今週、「電子登録債権法制」の中間試案がまとまったようですが、先月、それに関する勉強会(学者・実務者の集まりの任意のもの)に参加したのですが、えー、一言で申し上げると、これがすさまじくイケてないように思われるわけであります。
この法制は、単なる手形小切手法や民法といった法律問題だけ考えればいいものでなく、ファクタリングや証券化といった金融実務のお話や、IT技術、ネットビジネスや経済学的なマインドの話もあわせて考える必要があるため、
全部いっぺんに考えると頭がこんがらがるので、今回は電子債権について考える前に、もっと基礎的なレイヤーのお話として、電子認証を中心とする日本の電子法制の現状がどうなっているのか調べて、私なりに整理してみました。
話は長いですが、結論は簡単でして、
「堅いシステムを作り過ぎて、本末転倒になってまへんか?」
ということであります。
以下、お時間のある方はお付き合いください。
電子署名とは
電磁的記録(パソコン上などのファイル)というのは、ご案内の通り、簡単に書き換えができますので、確実に本人がその文書を作ったということを確かめるためには、本人しか知らない秘密鍵によって、その文書に電子的に署名することが必要・・・てなことが言われてます。
「技術的には確かにその通りだが、それ、ホント?」というところをちょっと考えてみたいと思いますが、その前に、なぜネット上で認証技術が必要になるのか、ちょっとだけ。
(ご興味ない方は、「無茶苦茶ややこしそう」という雰囲気だけつかんでいただいて、次の「電子署名法」の項にお進みください。)
公開鍵暗号方式、例えばRSA方式では、暗号化の逆の操作で署名を行うわけですが、やっていることは単なる掛け算(ただし「剰余系」の上での乗算)です。
署名したい文章(文字列=数列)に秘密鍵を乗じたものを「署名」とし、署名を受け取った者は、公開鍵を乗ずることによって、(公開鍵は秘密鍵の「逆数(ただし剰余系での)」なので、掛けると「1」になって元の文章が出てくることで)真正な署名であることが確かめられます。
つまり、署名s (平文aのd乗=ad)を受け取った者は、公開鍵r を乗ずることによって、nを法とする剰余系上で、
sr modn≡(ad) r modn≡adr modn≡a
というように、もとの文章aが復元されるため、秘密鍵dの保有者が、この文章aに署名をしたことがわかります。
RSA方式の署名は暗・復号化の処理スピードが対称鍵暗号に比べて千倍程度遅いため、暗号・署名の製品の実装では、文章を「ハッシュ関数」という関数で「要約」して、それに署名を行います。
一方向性ハッシュ関数とは、不定長の文字列を、ある一定の長さの文字列(128bitなど)に要約する関数。128bitというのは、漢字わずか8文字程度の情報量しかないのに対して、要約する元の文書は無限に存在するわけですから、理論上はまったく同じ128bitの文字列に要約される文章は無限に存在します。
ただし、2128というのは、1兆の1兆のそのまた1兆倍以上の数。毎秒1兆個づつカウントしても、宇宙の寿命の間には数え終わらないくらいですから、非常に「使いで」はあります。
「良いハッシュ関数」は、違う文字列から同じ要約値がバッティング(collision)する可能性や、要約値から本文が推測できる可能性を極めて低くしています。(つまり、100ページの契約書の句読点を一箇所変えるだけで、そのハッシュ値は、以前と全く違った、元が推定できない値に変化します。)
日本の電子署名法等が前提としているのは、公開鍵暗号(署名)方式としてRSA、ハッシュ関数としてSHA-1を利用したものになっている模様。
電子署名法
この電子認証について定めた法律が電子署名法(「電子署名及び認証業務に関する法律」平成十二年五月三十一日法律第百二号)ですが、この法律のキモは、以下の第3条。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
(よく存じませんが)、これは、民事訴訟法の「書証」に関する規定(民訴228条1項)
第二百二十八条(文書の成立)第4項
私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。
等に対応するんでしょうね。
電子署名法のその他の規定は、ほとんどすべて、主務大臣が認定する認証事業者について述べられているわけですが、ただ第3条をよく読むと、「主務大臣の認定を受けた認定認証事業者の認証した暗号鍵による電子署名で署名された電磁的記録しか、真正に成立したものと推定しないよ。」とは、書いてないですね。
つまり、電磁的記録であっても、それが本人が書いたものと推定できれば、国のお墨付きがある業者が関与しない電子署名でもいいし、そもそも電子署名などなくてもいいはずです。
ではこの、「認定認証事業者」というのは、具体的に、一体どういう方々なんでしょうか。
認定認証事業者
法務省のホームページ、「電子署名法の概要と認定制度について」
http://www.moj.go.jp/MINJI/minji32.html
を見ると、認定を受けた認証業務は、以下の通り、現在全部で19サービスあるようです。
AccreditedSignパブリックサービス2
日本認証サービス株式会社 (株主:カード会社、商社、ベンダー等多数。)
http://www.jcsinc.co.jp/service/a_sign.html
株式会社日本電子公証機構認証サービスiPROVE
株式会社日本電子公証機構(亜細亜証券印刷等)
http://www.jnotary.com/iprove/iprove/iprove_1.html
CECSIGN認証サービス
株式会社コンストラクション・イーシー・ドットコム (NTTデータ、ゼネコン等)
http://www.construction-ec.com/cectrust/index.html
セコムパスポートforG−ID
セコムトラストシステムズ株式会社 (セコム)
http://www.secomtrust.net/service/ninsyo/forgid.html
AOSignサービス (公共事業における電子入札、方面)
日本電子認証株式会社 (銀行、ゼネコン、NEC等)
http://www.ninsho.co.jp/aosign/
e-Probatio PS サービス (電子入札等)
株式会社NTTアプリエ (NTT西日本)
http://www.e-probatio.com/
TOiNX電子入札対応認証サービス
東北インフォメーション・システムズ株式会社 (東北電力)
https://www.toinx.net/ebs/info.html
TDB電子認証サービスTypeA
株式会社帝国データバンク
http://www.tdb.co.jp/typeA/
ビジネス認証サービスタイプ1
日本商工会議所
http://ca.jcci.or.jp/
電子入札コアシステム用電子認証サービス
ジャパンネット株式会社 (三菱電機系)
http://www.japannet.jp/ca/
全国社会保険労務士会連合会認証サービス
全国社会保険労務士会連合会
http://www.shakaihokenroumushi.jp/ca/ca_home.html
CTI電子入札・申請届出対応 電子認証サービス
株式会社中電シーティーアイ(中部電力、三菱重工等)
https://repository.cti.co.jp/G2B/
よんでん電子入札対応認証サービス
四国電力株式会社
http://www.yonden.co.jp/business/ninsho/
MJS電子証明書発行サービス
株式会社ミロク情報サービス
http://ca.mjs.co.jp/ca/index.html
税理士証明書発行サービス
日本税理士会連合会
http://www.nichizeiren.or.jp/guidance/denshi.html
日本司法書士会連合会認証サービス
日本司法書士会連合会
https://ca.nisshiren.jp/repository/
e-Probatio PS2サービス
株式会社NTTアプリエ (NTT西日本系)
https://www.e-probatio.com/ps/about/index.html
日本土地家屋調査士会連合会認証サービス
日本土地家屋調査士会連合会
www.chosashi.or.jp/repository/
MJS電子証明書サービス
株式会社ミロク情報サービス
http://ca.mjs.co.jp/index02.html
ごらんのとおり、主に、司法書士・税理士・土地家屋調査士・社会保険労務士といった、行政とのインターフェイスを司る士業や、公共事業や電力系の電子入札関係などで認証サービスが使われているということのようです。
「認証なのにベリサインがおらんやんけ?」と思う方がいらっしゃるかも知れませんが、株式会社日本電子公証機構が日本ベリサインを発行局とする電子証明サービスを行っているようです。
(例えば、http://www.verisign.co.jp/press/2005/pr_20050513.html)
(そのへんの経緯はよく存じませんが)、電子署名法では、認定認証事業者が政府から管理されて、いろいろ管理監督を受けることになりそうですので、あえて表面に出ずに黒子に徹するというのは、頭のいいやり方かも知れませんね。
本当に「電子署名」は必要なのか?
さて、90年代の中盤インターネットが商用化されたころから、
「インターネットは盗聴や改ざんがあるので怖い」
「電子商取引は電子認証や暗号技術で保護しないと非常に危険」
てなことが言われてたきたわけですが、実際には、ご案内の通り、ユーザはせいぜいSSLになってるかどうかを意識する程度で、「公開鍵方式の秘密鍵」なんてものを意識せずとも、ID・パスワードや、クレジットカード番号を入れるだけで本でも何でも買える簡単で便利な社会がすでにできあがっております。
また、「盗聴」の危険があるにも関わらず、仕事でも、(MS-wordやexcelなどのファイルはともかく)、暗号化しない平文のメールでやりとりしてる方が大半じゃないでしょうか。
ところが、例えば日本の電子申告システムe-Taxなどは、公開鍵を準備しないと電子納税できないガチガチのシステムになってるわけです。
恐ろしく手間のかかるe-TAXの利用
e-TAXのホームページ
http://www.nta.go.jp/e-tax/01.htm
の、「どうやって利用するの?」というところを見ると、
[ご利用の流れ]
1)開始届出書を納税地の税務署長に提出(送信)します。
2)電子署名を行うための電子証明書を取得します。
※電子署名と電子証明書は、インターネットを利用した手続等を安全に行うために使用する印鑑と印鑑証明書のようなものです。電子証明書を取得しておくと、これから増えるインターネットでのさまざまな手続にも利用することができ、とても便利です。
3)公的個人認証サービスなどICカードで発行される電子証明書をご利用の方は、別途ICカードリーダライタを取得する必要があります。
4)開始届出書提出(送信)後、e-Taxを利用するために必要なe-Taxソフト(CD-ROM)や利用者識別番号等の記載された通知書が税務署から届きます。
5)e-Taxソフトをインストールし、暗証番号の変更や電子証明書の登録をします。
と、「開始届出書」を提出した上に、わざわざ住基カードを取得したり、カードリーダライタまで買ってこないと電子申告できない・・・。
ご案内の通り、紙の申告書でも、自署して三文判を押せば申告でき、実印とか印鑑証明が必要ではない。なぜ、電子申告だからといって、実印よりも強固なセキュリティが必要なんでしょうか。
まだ、「還付申告」の場合には、詐欺が発生するかも知れないので、セキュリティもそれなりに考える必要もあるかも知れませんが、こちらから税金を支払おうというのに、そのデータを疑ってかかる必要もないのではないかと。(粉飾されてる可能性がある等は、紙の申告書でも発生する問題ですし、電子署名では防げません。)
こちらの説明ページ:
http://www.nta.go.jp/e-tax/01.htm
で、「動画での説明はこちらから」というところをクリックすると、おねえさんとマスコット・キャラのイータ君が「簡単でしょ?」「うわー、確かに便利!」などと言いながら説明してくれます。全部で17分強もありますが、お時間のある方は、「どこがやねん!」と、ツッコミを入れながら見るのもオツかも知れません。
国税の確定申告書作成コーナーのページ(H17年分はこちら)は、確定申告の計算や印刷用のpdfファイルを作成してくれるのですが、これはなかなか良くできていて私も毎年利用させていただいています。
つまり、国税のシステム全般がイケてない、と申し上げているわけではありませんし、ここまでweb上で作成してプリントして紙で提出するのは、オススメできます。
ただ、なぜ印刷して提出するなら楽チンなのに、同じデータをネットで送信しようとするだけで、いきなり役所に行って住基カードをもらってきたりカードリーダーを買って来たり、CD-ROMからソフトをインストールするといった手間をかけなければならないのか・・・・まったく不明であります。(明らかに、ネットのほうが不便になってます。)
米国の電子申告の現状
これに対してアメリカはどうなってるでしょうか?
アメリカでは、「e-file」というサービスで、個人や法人の申告が行えるようになってます。
こちら
http://www.irs.gov/efile/article/0,,id=118451,00.html
のページに個人向けの説明があるのですが、非常にシンプルで、もちろん、電子証明書入りのICカードを作成したり、カードリーダーを買って来い、といった必要は(もちろん)ありません。
Relax. You're done. Now SHARE - tell a family member or friend e-file is the smart way to file their federal and state income tax returns!
と書いてありますが、確かにメチャクチャ簡単そう。
「認証」はといえば、
http://www.irs.gov/efile/article/0,,id=101246,00.html
A PIN is any five digits you choose (except all zeros) to use as your electronic signature.
と、たった5桁!の数字(PIN)を入れるだけなので、日本のe-Tax担当の方が見たら腰を抜かすこと必至。なんといっても、5桁だと約10万通りの組み合わせしかないので、1024bitのRSA電子署名よりは、1兆×1兆×・・・倍以上「脆弱な」方法ですけど・・・・それで問題が発生しないんだったら、それでいいんのでは?(せめて8桁の英数字くらいにしたほうがいい気もしますが。)
パスワードを解析して申告書まで偽造するというのは、すごい手間がかかるし、紙で偽の申告書を出すほうが、はるかに簡単ですから、あまりそんなことするやついないと思います・・・。
ちなみに、日本と同様、
http://www.irs.gov/businesses/corporations/article/0,,id=146960,00.html
A1. IRS e-file is the name for the electronic filing of tax returns. When a corporation e-files they send their income tax return data to IRS electronically instead of on paper forms. In 2004 IRS started a new e-file system for corporations, referred to as “Modernized e-file” (MeF) that is web-based, allowing electronic filing of corporate income tax returns through the Internet. MeF uses the widely accepted XML format, a standardized way of identifying, storing and transmitting data.
ということで、提出データのフォーマットはXMLになっております。
また、法人ですが、
http://www.irs.gov/businesses/corporations/article/0,,id=146960,00.html
Q1. Which corporations are required to file returns electronically?
A1. Regulations issued January 11, 2005 require that corporations electronically file their Form 1120 or 1120s for tax periods ending on or after December 31, 2005 if they have assets of $50 million or more and file at least 250 returns, including income tax, information returns, excise tax, and employment tax returns, during a calendar year.
と、「大きい」企業、
A corporation that has 245 employees must file Form 1120 or 1120S electronically if it meets the asset criteria ($50 million or more). This is because each individual Form W-2 as well as the each of the employment tax returns is considered a separate return.
つまり、従業員約250人以上かつ資産50Mドル規模以上の企業は、e-fileで申告することが義務付けられています。
(ここで一点訂正:
以前、「アメリカではクレジットカードで納税ができて、ポイントも溜まるようだ」という話を聞いてブログにも書いたのですが、今見ると、
http://www.irs.gov/efile/article/0,,id=101316,00.html
The Taxpayer Relief Act of 1997 authorizes the Treasury to accept credit card payments for federal taxes but prohibits the IRS from paying a fee or consideration to credit card companies for processing these transactions.
ということで、財務省はカード手数料を負担できず、利用者がカード手数料を負担しているようです。最初からガセだったのか、途中から制度が変わったんでしょうか?)
「専門家に手伝ってもらわないと使えないシステム」でいいのか?
ということで、アメリカに比べて日本のe-Taxのシステムは相当複雑で、開始までの敷居がめちゃくちゃ高い、ということが言えるかと思います。
日本のe-Taxの利用実績はこちら
http://www.e-tax.nta.go.jp/topics/kensu.html
に開示されていて、開始届出書を提出した個人は平成18年7月10日現在累計で127,194人にいるのに対して、平成17年度に所得税の申告をe-Taxで行ったのは34,842人(約4分の1程度)。
法人のほうは、7月10日現在累計で80,477社開始届けに対して、平成17年度に法人税の申告をe-Taxで行ったのは32,484社(約4割)と、個人よりはかなりマシですが、それでも、「やってみようかという気になったけどやっぱりヤメた」人が相当多そうだ、ということが伺えます。
しかも、その実態は、「自分で”簡単に”ネットで送ってる」ということではなさそう。
TKCさんのホームページ
http://www.tkcnf.or.jp/01subete/tkcnfall2005_407.html
に、
国税庁殿によれば、法人税の税理士関与割合は86.8%(15年調べ)となっています。TKC全国会では〈電子申告を率先して実践することが「税理士としての社会的使命」を果たすことになる〉との認識から、平成16年4月に「電子申告推進プロジェクト」を発足し、その普及促進に努めてきました。
その結果、国税庁殿の発表によると法人税の電子申告数は23,097件(平成17年5月31日発表)で、このうちTKC会計人(2,091事務所)が行った電子申告数は18,916件と全体の81.9%となり、法人消費税においても全体の18,060件に対して、TKC会計人の実践件数は14,053件と全体の77.8%を占めています。
と書かれてますが、つまり、日本の法人の電子申告というのは、TKCさん一社ががんばって成り立っている、(TKCさんがいなければ壊滅状態)と読めるのではないかと思います。
会社法での対応
さて、「IT書面一括法」や「e文書法」で、メールでの通知や電子ファイルでの保存が幅広く認められてきており、日本全般の電子化については、もうちょっと考え方はフレキシブルかと思います。
先般改正になった会社法も、イケてるんじゃないかと思います。
葉玉さんの「会社法であそぼ」でのQ&Aによると、
http://blog.livedoor.jp/masami_hadama/archives/50866433.html
Q7
今朝の日経新聞に「取締役会決議にメール・・・」という記事が載っていましたが、これ、いいんでしょうか。(以下略)
A7
おっしゃるようにメールは、電磁的方法ですが、メールをすると、メールを受領したパソコンのハードディスクに電磁的記録が作成されます。370条の電磁的記録は、電子署名は不要ですから、普通にメールをして電磁的記録が作成されれば、370条を適用することができます。
http://blog.livedoor.jp/masami_hadama/archives/50756562.html
Q2
370条の「電磁的記録による意思表示」というのはどういった方法を想定されているのでしょうか?最初はメールかな?とも思ったのですが「電磁的方法」ではなく「電磁的記録」としている以上単なるメール審議では足りないように思えます。
A2
取締役が提案に対する同意を会社宛にメールをすれば、会社のパソコンのハードディスクに同意を記録したファイルができます。このファイルが電磁的記録による意思表示です。
ということで、明確に「電子署名は不要」とおっしゃってます。
技術的・理論的には、
「インターネットはオープンなネットワークで他人がデータの盗聴、改ざん等を行っている可能性も否定できないので、平文で電子署名も付されていないメールは、偽造されている可能性がある」
ということになりますが、みなさんの中で、(フィッシングなど知らない人から偽のメールをもらった経験がある人はいても)、知ってるメールアドレスからのメールを偽造された経験を持つ人はほとんど皆無じゃないでしょうか。
取締役のアドレスに宛てて、
「本議案には賛成ということでよろしいですか?」
というメールを送って、
「賛成します」
という返事が来たら、それは常識的にはその取締役によって「真正に作成された」ものと推定してかまわないのではないでしょうか。
また、いくら電子署名を使っても、パスワードやICカードの管理が甘かったら、結局は偽造される可能性があります。
「競争」の視点から考えた電子認証
ということで、RSA等の電子認証を法的に義務付けることが、どういう効果を生んでいるかということを考えてしまうわけですが。
例えば、ストックオプション会計は、ブラックショールズ式や二項モデルなど、σとか√とかが出てきて、文科系の人の95%は頭がクラクラしてしまうわけですが、それでも、それは、「たかが高校程度の数学」のお話なので、がんばれば普通の人なら理解できるはず。
ところが、RSAのように「剰余系上の素数の積が因数分解できるか」、といった話になると、大学の数学科以上のレベルのお話であり、言ってる意味の理解まではなんとかできたとしても、その技術でホントにセキュリティが確保されてるのかどうか、というと、それを証明できる人は世界でも一握り、といったレベルになってきます。
このため、政府などでシステムの方針をどうしようかというときに、システムの専門家から「インターネットは怖いので、ICカードで電子署名しないと危ないですよ〜」と言われたら、99.99%の人は、「あーそうですか」としか言えないわけです。
結果として、ICカードや公開鍵暗号を使ったシステムは、利用者を減らしてシステム投資のリターンを下げますし、(パスワードだけのシステムならブックファースト渋谷店のコンピュータ関連書籍売り場で立ち読みしている茶髪のお兄さんでも組めるかも知れないところが)、日本の名だたる大手SI業者さんにシステム製作を依頼しなければならなくなり、競争原理が働かず、投資額も上昇し、システムのROIを非常に低下させることになります。
また、税理士などの専門家団体の立場としては、webで誰もが簡単に税務申告できちゃうようなことだと中抜きになるので、「一般利用者に使いづらいシステム」こそが「いいシステム」なのかも知れません。が、ホントにそれは、国民全体のためになってるんでしょうか?
長文でしたが、以上のとおり、言いたいことは、「認証を必要以上に堅くすることは、競争原理推進と反対を向いている方針であり、結果として国民の役に立ってないのでは?」ということであります。
(続く)
