電子署名とデジタル署名の違いを知ろう!仕組みや安全性についてポイント解説
混同されがちなデジタル署名と電子署名のそれぞれの意味や仕組み、有効性について、図を用いてわかりやすく解説します。
前回の記事では、仕組みや適用範囲、効果など電子署名の基本的な部分について説明しました。今回はその続きで、混同されやすい「電子署名」と「デジタル署名」について解説したいと思います。(今回も一旦法律的な話は割愛します。)
電子署名とは、電子文書に対して、当事者(間)で合意意志を示したことをデジタルに安全に記録する仕組みや技術になり、これにより誰がいつ何の文書に合意したかということを証拠とすることができます。また、契約書だけでなく、同意書や稟議書、申請書や発注書など幅広い文書で利用することができます。
デジタル署名は電子署名の実装技術の一つになります。デジタル署名は電子署名の特殊ケースと捉えることもできますが、通常はクラウドの電子署名サービスの中にデジタル署名技術を組み合わせることによって、その証拠力を高めるといった補完的な使われ方をすると考えていただければと思います。
デジタル署名の整合性を保つために、PKI(公開鍵暗号基盤)では、鍵を安全な方法で生成し、保管する必要があります。多くの場合、信頼できる認証局のサービスを利用します。認証局のサービスでは、発行する個人の身元の確認を厳格に行い、デジタル証明書を発行します。さらに、デジタル証明書の有効性確認、更新、失効などの処理を行う必要があります。
このようにデジタル署名を利用すれば、(PDF)ドキュメントそのものの非改ざん性を担保するとともに、然るべき認証局から発行されたデジタル証明書を利用することにより、デジタル署名の本人性についても強化可能です。しかしながらデジタル署名に必要な秘密鍵の管理も重要です。秘密鍵をインストールしたパソコンが誰でも使える状態であれば、印鑑と同じようになりすましも簡単にできる点に注意が必要です。またデジタル証明書には有効期限が存在しますので定期的に更新が必要です。
クラウドの電子署名では合意文書+データ+ログを、安全に電子署名サービス事業者が管理することで、証拠としますが、デジタル署名をそのオプションとして利用することによりさらに証拠力を高めることが可能です。ただし、デジタル署名は、署名者がデジタル証明書を準備したり、その秘密鍵を管理したり、有効期限があったりと運用管理の手間が発生します。通常のクラウド電子署名であれば、署名者はあらゆるデバイスやネットワークから特別な準備なしに署名が可能ですので、電子署名とデジタル署名ではこのようなトレードオフが発生することに注意してください。
なお、「電子署名」および「デジタル署名」の定義や概要、それぞれの法的有効性については、『電子署名の適法性 〜日本の裁判手続きにおける電子署名の有効性〜』で詳しく解説しています。あわせてご覧ください。