전자계약 도입 시 유의점
4.3 사업자형 전자서명 (전자계약의 도입 시 유의점에 대하여)
우시마 종합 법률 사무소,2021 年 11 月 22
(1)전자서명 해당성과 추정효
사업자형 전자서명이란 전자계약에 계약당사자의 전자서명이 아니라 서비스 제공사업자의 전자서명을 실시하는 것이다. 사업자형은 근시 그 이용이 확대되고 있으며, 상기 본인형 전자서명과 같이 이용자 자신이 인증국으로부터 전자증명서를 발급받을 필요가 없으므로 용이하게 전자계약의 이용을 개시할 수 있다는 이점이 있다.
사업자형에서는 계약당사자의 전자증명서를 이용할 수 없고 전자서명을 실시하는 주체도 계약당사자가 아니기 때문에 리모트형 서명과 마찬가지로 그러한 '서명'이 전자서명법 2조의 '전자서명' 요건을 충족시킬 것인가에 대해 논의가 있었다. 그러나 상술한 2조 Q&A에 의해 일정 요건을 충족시킴으로써 이에 해당하는 경우가 있다는 견해가 제시되고 있다.
구체적으로는 '기술적·기능적으로 볼 때 서비스 제공 사업자의 의사가 개재할 여지가 없고 이용자의 의사만을 토대로 기계적으로 암호화된 것임이 담보되어 있다고 인정되는 경우'라면 계약 당사자가 전자서명법 2조 1항 1호에서의 '해당 조치를 실시한 자'라고 평가 가능하다고 되어 있다. 게다가 「예를 들면, 서비스 제공 사업자에 대해서 전자문서의 송신을 실시한 이용자나 그 일시 등의 정보를 부수정보로서 확인할 수 있게 되어 있는 등, 해당 전자문서에 첨부된 해당 정보를 포함한 전체를 하나의 조치로 다시 파악함으로써 전자문서에 대해 행해진 해당 조치가 이용자의 의사에 근거하고 있음이 밝혀지는 경우」라면, 「해당 조치를 실시한 자(=해당 이용자)의 작성과 관련된 것임을 나타내기 위한 것이어야 한다」는 요건 (전자서명법 2조 1항 1호) 전체를 만족시킨다는 생각이 제시되고 있다. 상기 견해에 의하면, 전자계약 서비스의 내용에 따라서는 해당 요건을 충족하지 않는 것도 있을 수 있게 되므로 주의를 요한다.
또, 사업자형 전자서명을 이용했을 경우라도, 일정한 경우에는 「전자서명법 3조의 추정효」(「2단째의 추정」)를 받는 것이 가능하다고 생각되고 있다. 이 점에 관해서는 총무성, 법무성 및 경제산업성이 2020년9월4일에 공표한 '이용자의 지시에 근거해 서비스제공사업자 자신의 서명키로 암호화 등을 실시하는 전자계약서비스에 관한 Q&A(전자서명법 3조에 관한 Q&A)'4)(이하 '3조Q&A'라 한다.)에 의해 충분한 암호강도를 갖추고 있는 등으로 타인이 쉽게 동일한 것을 작성할 수 없다는 '고유성 요건'을 충족시킬 필요가 있다고 되어 있다.
이 '고유성 요건'을 충족시키기 위해서는 ①이용자와 서비스 제공 사업자 사이에서 이루어지는 프로세스 및 ②상기 ①에서의 이용자의 행위에 따라 서비스 제공 사업자 내부에서 이루어지는 프로세스 모두에 대해 충분한 수준의 고유성이 충족되어야 하며, 이들은 '시스템이나 서비스 전체의 보안을 평가하여 판단된다'고 되어 있다. 3조 Q&A는 상기 각 프로세스에서 어떠한 경우에 충분한 수준의 고유성이 충족되었다고 말할 수 있는가에 관해 이하 ①②와 같은 요소를 나타내고 있다.
①이용자와 서비스 제공 사업자 간에 이루어지는 프로세스
이용자가 2요소에 의한 인증을 받지 않으면 조치를 실시할 수 없는 구조가 갖추어져 있는 경우(예를 들면, 이용자가 미리 등록된 메일 주소 및 로그인 패스워드의 입력과 더불어 스마트폰으로의 SMS 송신이나 수중에 있는 토큰의 이용 등 해당 메일 주소의 이용 이외의 수단으로 취득한 원타임 패스워드를 입력함으로써 인증하는 것 등)
②상기 ①에서의 이용자의 행위에 따라 서비스 제공 사업자 내부에서 이루어지는 프로세스 서비스 제공 사업자가 해당 사업자 자신의 개인키에 의해 암호화 등을 실시하는 조치에 대해 암호의 강도나 이용자별 개별성을 담보하는 구조(예를 들면 시스템 처리가 해당 이용자에게 연결되어 적절하게 이루어지는 것) 등에 비추어 전자문서가 이용자 작성과 관련된 것임을 나타내기 위한 조치로서 충분한 수준의 고유성이 충족되었다고 평가할 수 있는 경우
상기 견해에 따르면, 전자계약 서비스라면 어떠한 경우에도 「고유성의 요건」을 충족한다고는 할 수 없다는 점에는 주의가 필요하다. 이것에 대해, 2단의 추정 중, 1단째의 추정(상기 최판 쇼39·5·12 참조)이 전자계약에도 미칠지에 대해서는, 현단계에서는 확정적인 생각은 정해지지 않았다.무엇보다 비밀키 등이 적정하게 관리되고 본인만이 이를 수행할 수 있다는 것이 담보되어 있다면, 1단계 추정을 인정한다는 생각은 있을 수 있으며, 무권한자에 의한 비밀키의 목적 외 사용이 이루어진 사실이나 해킹이나 암호해독 등에 의한 유출 등의 사실은 관련 추정에 대한 반증이 된다.
(2)신원확인
이상과 같이 '전자서명법 3조의 추정효'가 미치는 경우에는 성립의 진정이 추정된다.그렇지만, 사업자형 전자서명의 경우, 신원 확인을 거친 후에 인증국으로부터 발행되는 전자 증명서를 이용한 본인형과는 달리, 원래 계약 당사자 이외의 사람(계약 권한을 가지지 않는 사람)이 계약 당사자를 속여서 전자서명을 실시하고 있다고 하는 「변신」리스크가 있을 수 있다.
이러한 위장 리스크를 회피하기 위해서는 계약의 상대방에 대해 적절한 신원확인이 이루어지고 있는 것이 중요하며, 해당 전자서명 서비스에서 어떠한 수준에서의 신원확인이 요구되고 있는지(예를 들면 대면에서의 공적 신분증명서를 이용한 신원확인을 실시하는지, 자기신고를 바탕으로 한 신원확인에 머무르는 것인지 등)에 대해서는 충분히 검토해 둘 필요가 있다.또한 상정할 수 있는 신원확인방법으로는 경제산업성이 2020년4월17일에 공표한 '온라인 서비스에서의 신원확인기법 정리에 관한 검토보고서'가 참고가 될 것으로 생각된다.
전자계약·전자서명의 활용에 관한 여러 문제
Anderson Mori & Tomotsune, 2020 年 12 月
전자서명법 제3조의 적용 요건으로서 이 '당사자 인증'에 더해 '신원 확인'까지 필요한지 여부에 대해서는 견해가 엇갈리고 있다. 이 3조 Q&A에 있어서의 문4에서는 신원확인에 대한 언급이 있지만, 문1 및 문2에서 해설되고 있는 '고유성의 요건'으로서는 '신원확인'에 대해 언급되어 있지 않기 때문에 3조 Q&A의 입장에서는 '신원확인'을 전자서명법 제3조의 적용요건으로 하는 견해를 채용하고 있지 않은 것으로 생각된다.
이 점에서 2020년 11월 17일에 개최된 내각부 규제개혁추진회의 제3차 디지털 거버넌스 워킹그룹 10에 제출된 '자료 3-2-1 논점에 대한 응답(총무성·법무성·경제산업성 제출 자료)' 11에서의 '논점 ④에 대한 답변'에서 '신원확인'이 불필요한 것으로 확인됐다.
Last updated