전자계약에 대한 정부의 견해

클라우드형 전자서명

근래에는 전자서명법 제정 초기에는 상정되지 않았던 클라우드형 전자서명이 등장하였으며 편리성과 비용면에서의 장점 때문에 보급이 확대되고 있습니다. 클라우드형 전자서명은 당사자형과 사업자형으로 나누어집니다.

전자계약에 대한 정부의 견해

그러나 클라우드형 전자서명 중 사업자형 전자서명은 계약 명의인의 서명을 사용하지 않기 때문에 전자서명법에 정한 요건을 충족하지 못할 수 있다는 우려가 있어왔고, 또한 전자서명법 제3조의 조문이 추상적이고 이해하기 어려워 혼란이 있었습니다.

이에 총무성,법무성,경제산업성 합동으로 공표한 '이용자의 지시에 따라 서비스 제공 사업자 자신의 서명 키로 암호화 등을 실시하는 전자계약 서비스에 관한 Q&A' 에서 이용자 지시형 전자계약서비스 제공 사업자에 의한 전자서명도 전자서명법상의 '전자서명'에 해당하며, 2요소 인증 등 일정 요건을 충족하는 경우 전자서명법 제3조의 진정성립 추정효가 작용한다는 취지를 명시하여 전자서명법에서의 위치설정을 명확히 하였습니다.

이용자의 지시에 따라 서비스 제공 사업자 자신의 서명 키로 암호화 등을 실시하는 전자계약 서비스에 관한 Q&A(총무성,법무성,경제산업성 합동)

전자서명법 2조 1항에 관한 Q&A (2020년 7월 17일)

Q1. '전자서명 및 인증업무에 관한 법률(2000년 법률 제102호, 이하 '전자서명법'이라 한다.)'에서 '전자서명'이란 무엇인가?

• 전자서명법에서의 '전자서명'은 그 제2조제1항에서 디지털정보(전자적 기록에 기록할 수 있는 정보)에 대해 이루어지는 조치로서, (1) 해당 정보가 해당 조치를 한 자의 작성과 관련된 것임을 나타내기 위한 것임(동항 제1호) 및 (2) 해당 정보에 대해 개편이 이루어지지 않았는지 여부를 확인할 수 있는 것임(동항 제2호) 모두에 해당하는 것으로 되어 있다.

Q2. 서비스 제공 사업자가 이용자의 지시를 받아 서비스 제공 사업자 자신의 서명 키에 의한 전자서명을 실시하는 전자계약 서비스는 전자서명법 상 어떻게 자리매김할 수 있는가?

• 최근 이용자의 지시에 근거해 이용자가 작성한 전자문서(디지털 정보)에 대해서 서비스 제공 사업자 자신의 서명키에 의해 암호화 등을 실시하는 서비스가 등장하고 있다. 이러한 서비스에 대해서는 서비스 제공 사업자가 「해당 조치를 실시한 자」(전자서명법 제2조 제1항 제1호)로 평가되는지, 혹은 서비스의 내용에 따라서는 이용자가 해당 조치를 실시했다고 평가할 수 있는지, 전자서명법상의 위치설정이 문제가 된다.

• 전자서명법 제2조제1항제1호의 '해당 조치를 한 자'에 해당하기 위해서는 반드시 물리적으로 해당 조치를 스스로 할 필요가 있는 것은 아니며, 예를 들어 물리적으로는 A가 해당 조치를 한 경우에도 B의 의사만을 근거로 A의 의사가 개재되지 않고 해당 조치가 이루어진 것으로 인정되는 경우라면 '해당 조치를 한 자'는 B라고 평가할 수 있을 것으로 생각된다.

• 이 때문에 이용자가 작성한 전자문서에 대해 서비스 제공 사업자 자신의 서명키에 의해 암호화를 실시하는 것 등에 의해 해당 문서 성립의 진정성 및 그 후의 비개변성을 담보하려는 서비스라도 기술적·기능적으로 볼 때 서비스 제공 사업자의 의사가 개재될 여지가 없고, 이용자의 의사만을 근거로 기계적으로 암호화된 것임이 담보되어 있다고 인정되는 경우라면 '해당 조치를 실시한 자'는 서비스 제공 사업자가 아니라 그 이용자라고 평가할 수 있을 것으로 생각된다.

• 그리고 상기 서비스에서 예를 들면, 서비스 제공 사업자에 대해서 전자문서의 송신을 실시한 이용자나 그 일시 등의 정보를 부수정보로서 확인할 수 있게 되어 있는 등, 해당 전자문서에 부착된 해당 정보를 포함한 전체를 하나의 조치로 다시 파악함으로써 전자문서에 대해 행해진 해당 조치가 이용자의 의사에 근거하고 있음이 밝혀지는 경우에는 이것들을 전체적으로 하나의 조치로 다시 파악함으로써, 「해당 조치를 실시한 자(=해당 이용자)의 작성과 관련된 것임을 나타내기 위한 것」이라고 하는 요건 (전자서명법 제2조 제1항)을 충족시킬 것으로 생각된다.

Q3．어떤 전자계약 서비스를 선택하는 것이 적당한가

• 전자계약 서비스에 있어서 이용자의 본인확인 방법이나 사칭 등의 방어 레벨 등은 다양하므로, 각 서비스를 이용할 때에는 해당 서비스를 이용해 체결하는 계약 등의 성질이나 이용자 사이에서 필요로 하는 본인확인 레벨에 따라 적절한 서비스를 선택하는 것이 적당하다고 생각된다.

전자서명법 3조에 관한 Q&A (2020년 9월 4일)

Q1. 전자서명법 제3조에서 '본인에 의한 전자서명(이를 실시하기 위해 필요한 부호 및 물건을 적정하게 관리함으로써 본인만이 실시할 수 있게 되는 것에 한한다.)'이란 어떤 것인가?

• 전자서명법 제3조의 규정은 전자문서(디지털 정보)에 대해서 본인 즉 해당 전자문서의 작성명의인에 의한 전자서명(이것을 실시하기 위해서 필요한 부호 및 물건을 적정하게 관리함으로써 본인만이 실시할 수 있게 되는 것에 한한다.)이 행해지고 있다고 인정되는 경우에 해당 작성명의인이 해당 전자문서를 작성한 것으로 추정되는 것을 정하는 것이다.

• 이 전자서명법 제3조의 규정이 적용되기 위해서는 다음 요건이 충족될 필요가 있다.

  ①전자문서에 전자서명법 제3조에 규정하는 전자서명이 부착되어 있어야 한다.

  ②상기 전자서명이 본인(전자문서 작성 명의인)의 의사에 따라 이루어진 것이어야 한다.

• 우선, 전자서명법 제3조에 규정하는 전자서명에 해당하기 위해서는 동법 제2조에서 규정하는 전자서명에 해당하는 것임과 더불어, 「이것(그 전자서명)을 실시하기 위해 필요한 부호 및 물건을 적정하게 관리함으로써 본인만이 실시할 수 있게 되는 것」에 해당하는 것이어야 한다(상기 ①).

• 이와 같이 전자서명법 제3조에서 규정하는 전자서명에 대하여 동법 제2조에서 규정하는 전자서명보다 더욱 그 요건을 가중하고 있는 것은 동법 제3조가 전자문서 성립의 진정을 추정한다는 효과를 발생시키는 것이기 때문이다. 즉, 이러한 효과를 발생시키기 위해서는 그 전제로서 암호화 등의 조치를 실시하기 위한 부호에 대해서 타인이 용이하게 동일한 것을 작성할 수 없다고 인정될 필요가 있으며(이하에서는 이 요건을 「고유성의 요건」 등이라고 한다.), 그러기 위해서는 해당 전자서명에 대해 상응하는 기술적 수준이 요구되게 될 것으로 생각된다. 따라서 전자서명 중 예를 들어 충분한 암호강도를 가지고 타인이 용이하게 동일한 키를 작성할 수 없는 것인 경우에는 동조의 추정규정이 적용되게 된다.

• 또, 전자서명법 제3조에서, 전자서명이 「본인에 의한」 것임을 요건으로 하고 있는 것은, 전자서명이 본인 즉 전자문서의 작성 명의인의 의사에 근거해 행해진 것임을 요구하는 취지이다(상기②).

Q2. 서비스 제공 사업자가 이용자의 지시를 받아 서비스 제공 사업자 자신의 서명키에 의한 암호화 등을 실시하는 전자계약 서비스는 전자서명법 제3조와의 관계에서는 어떻게 자리매김할 수 있는가.

• 이용자의 지시에 근거해 이용자가 작성한 전자문서에 대해서 서비스 제공 사업자 자신의 서명키에 의한 암호화 등을 실시하는 전자계약 서비스에 대해서는 제2조 관계 Q&A에 의해 전자서명법 제2조에 관한 전자서명법상의 위치설정을 나타낸 바 있으나, 또한 동법 제3조에 관한 위치설정이 문제가 된다.

• 상기 서비스에 대해서 전자서명법 제3조가 적용되기 위해서는 Q1에 기재한 대로 동 서비스가 동조에 규정하는 전자서명에 해당하는 것 및 해당 전자서명이 본인 즉 전자문서 작성 명의인의 의사에 근거해 행해진 것이 필요하다.

• 이 중 상기 서비스가 전자서명법 제3조에 규정하는 전자서명에 해당하기 위해서는 그 전제로서 동법 제2조 제1항에 규정하는 전자서명에 해당할 필요가 있다.이 점에 대해서는 제2조 관계 Q&A에서 이미 일정한 생각을 나타낸 대로 동 서비스의 제공에 대해 기술적·기능적으로 볼 때 서비스 제공 사업자의 의사가 개재될 여지가 없고, 이용자의 의사만을 근거로 기계적으로 암호화된 것임이 담보되어 있는 것이며, 동시에 서비스 제공 사업자가 전자문서에 실시한 조치에 대해 부수정보를 포함하여 전체를 하나의 조치로 다시 파악함으로써 해당 조치가 이용자의 의사에 근거하고 있음이 밝혀지는 경우에는 동법 제2조제1항에 규정하는 전자서명에 해당한다고 생각된다.

• 게다가, 상기 서비스가 전자서명법 제3조에 규정하는 전자서명에 해당하려면, 또한, 해당 서비스가 본인이 아니면 실시할 수 없는 것이어야 한다고 되어 있다.그리고 이 요건을 충족시키기 위해서는 문 1과 같이 동조에 규정하는 전자서명의 요건이 가중되고 있는 취지에 비추어 해당 서비스가 충분한 수준의 고유성을 충족하고 있는 것(고유성의 요건)이 필요하다고 생각된다.

• 보다 구체적으로는 상기 서비스가 충분한 수준의 고유성을 충족하고 있다고 인정받기 위해서는, ①이용자와 서비스 제공 사업자 사이에서 행해지는 프로세스 및 ② ①에서의 이용자의 행위를 받아 서비스 제공 사업자 내부에서 행해지는 프로세스의 어느 쪽에서도 충분한 수준의 고유성이 충족되어 있을 필요가 있다고 생각된다.

• ①및 ②의 프로세스에서 충분한 수준의 고유성을 충족하고 있는지에 대해서는 시스템이나 서비스 전체의 보안을 평가하여 판단될 것으로 생각되지만, 예를 들어, ①의 프로세스에 대해서는 이용자가 2요소에 의한 인증을 받지 않으면 조치를 할 수 없는 구조가 갖추어져 있는 경우에는 충분한 수준의 고유성이 충족되어 있다고 인정될 수 있다고 생각된다. 2요소에 의한 인증의 예로는 이용자가 미리 등록된 메일 주소 및 로그인 패스워드의 입력과 더불어 스마트폰에의 SMS 송신이나 수중에 있는 토큰의 이용 등 해당 메일 주소의 이용 이외의 수단에 의해 취득한 원타임 패스워드의 입력을 실시함으로써 인증하는 것 등을 들 수 있다.

• ②의 프로세스에 대해서는 서비스 제공 사업자가 해당 사업자 자신의 서명키에 의해 암호화 등을 실시하는 조치에 대해서 암호의 강도나 이용자별 개별성을 담보하는 구조 (예를 들면 시스템 처리가 해당 이용자에게 연결되어 적절하게 이루어지는 것) 등에 비추어 전자문서가 이용자의 작성과 관련된 것임을 나타내기 위한 조치로서 충분한 수준의 고유성이 충족되어 있다고 평가할 수 있는 것인 경우에는 고유성 요건을 충족하는 것으로 생각된다.

• 이상과 같이 어떤 서비스가 전자서명법 제3조에 규정하는 전자서명에 해당하는지 여부는 개별 사안에 있어서의 구체적인 사정을 감안한 재판소의 판단에 맡겨져야 할 사항이지만 일반론으로서 상기 서비스는 ① 및 ②의 프로세스 모두에 대해서도 충분한 수준의 고유성이 충족되어 있다고 인정되는 경우에는 전자서명법 제3조의 전자서명에 해당하는 것으로 인정받게 될 것으로 생각된다. 따라서 동조에서 규정하는 전자서명이 본인 즉 전자문서 작성명의인의 의사에 근거하여 행해졌다고 인정되는 경우에는 전자서명법 제3조의 규정에 의해 해당 전자문서는 진정으로 성립한 것으로 추정된다고 생각된다.

Q3. 서비스 제공 사업자가 이용자의 지시를 받아 서비스 제공 사업자 자신의 서명키에 의한 암호화 등을 실시하는 전자계약 서비스가 전자서명법 제3조의 전자서명에 해당하는 경우에, 「이것을 실시하기 위해서 필요한 부호 및 물건을 적정하게 관리하는 것」이란 구체적으로 무엇을 뜻하는가.

• 「이것을 실시하기 위해서 필요한 부호 및 물건을 적정하게 관리하는 것」의 구체적 내용에 대해서는 개별의 서비스 내용에 따라 다를 수 있지만, 예를 들면, 서비스 제공 사업자의 서명키 및 이용자의 패스워드 (부호) 및 서버 및 이용자의 수중에 있는 2요소 인증용의 스마트폰 또는 토큰 (물건) 등을 적정하게 관리하는 것이 해당할 수 있다고 생각된다.

Q4. 전자계약 서비스를 선택할 때 유의점은 무엇인가.

• 실제 재판에서 전자서명법 제3조의 추정효가 인정되기 위해서는 전자문서 작성명의인의 의사에 근거해 전자서명이 행해지고 있는 것이 필요하기 때문에 전자계약서비스 이용자와 전자문서 작성명의인의 동일성이 확인되는(이른바 이용자의 신원확인이 이루어진다) 것이 중요한 요소가 된다고 생각된다.

• 이 점에 관해 전자계약 서비스에 있어서의 이용자의 신원 확인의 유무, 수준 및 방법이나 위장 등의 방어 레벨은 다양하므로, 각 서비스의 이용에 있어서는 해당 각 서비스를 이용해 체결하는 계약 등의 중요성의 정도나 금액이라고 하는 성질이나 이용자 사이에서 필요로 하는 신원 확인 레벨에 따라 적절한 서비스를 신중하게 선택하는 것이 적당하다고 생각된다.