数ヶ月前、リスボンで小さなマーケティング代理店を経営している友人が、ドイツのクライアントとの契約をまとめるのを手伝っていました。すべて順調だったんですが、契約のところで詰まったんです。ドイツの法務チームがPDFを送ってきて、「適格電子署名」を求めてきました。友人は丸一分そのメールを見つめた後、こうメッセージを送ってきました。「これ何?なんで2年使ってる同じ署名ツールじゃダメなの?」
もしあなたがヨーロッパでビジネスをしているなら、たぶん同じ壁にぶつかったことがあるはずです。EUには27の加盟国すべてで電子署名を統括する単一の規則がありますが、略語と法的なニュアンスだらけで、ほとんどの創業者は必要に迫られるまで学ぼうとしません。なので、ここで解決しましょう。
これは、eIDASについて誰かに説明してほしかったと思うことすべてを、コーヒー片手に友人に話すように書いたものです。
eIDASとは実際何なのか
eIDASは「electronic IDentification, Authentication and trust Services」の略です。EU規則(No. 910/2014)で、2016年7月から施行されています。目的は、電子署名、電子シール、タイムスタンプ、デジタル識別について、欧州連合全体で単一の法的枠組みを作ることでした。
eIDAS以前は、各国にそれぞれ独自のルールがありました。フランスはひとつのアプローチ、ドイツは別、スペインはまた別。イタリアでデジタル契約に署名して、それをベルギーの裁判所で使おうとしたら、トラブルになる可能性があったわけです。eIDASはその問題をこう言って解決しました。EU加盟国のいずれかで作成された電子署名は、他のすべての加盟国で承認されなければならない、と。
これは中小企業にとって大きなことです。アテネの顧客にSaaSサブスクリプションを売って、電子署名をもらえば、その同じ書類がヘルシンキ、ダブリン、ワルシャワでも同じ法的効力を持つということです。
電子署名全般の仕組みについてもっと深く知りたい方は、僕の電子署名の法律ガイドで基本をわかりやすく解説しています。
ちょっとした歴史(短いって約束します)
EUの最初の試みは1999年のe署名指令でした。EU法における指令は変わっていて、各国が国内法に置き換える必要があり、そこで話がややこしくなったんです。各加盟国が指令を少しずつ違う形で解釈したので、本来の目的が台無しになりました。
eIDASは2014年にその指令を置き換え、2016年7月1日からすべての加盟国で直接適用されるようになりました。国内法への置き換えなし、加盟国の裁量なし(まあ、ほぼ)。そして2024年、EUはeIDAS 2.0を可決し、欧州デジタルアイデンティティウォレットを登場させました。これについては後で詳しく。
3つの署名レベル:SES、AES、QES
ここから略語スープが始まります。eIDASは電子署名を3つのレベルに定義していて、これらは互換性がありません。間違ったレベルを選ぶのは、中小企業がよくやる失敗のひとつです。
Simple Electronic Signature (SES)
これが基本版です。SESは「電子形式の他のデータに添付されたり論理的に関連付けられた電子形式のデータで、署名者が署名するために使用するもの」と定義されています。これが法的な定義で、意図的に広く取られています。
実際には、SESはこんなものです:
- メールの最後に名前をタイプする
- 「同意します」のチェックボックスをクリックする
- 手書きの署名をスキャンしてPDFに貼り付ける
- マウスや指で、タブレットに署名を描く
最も使いやすく、ほとんどのビジネスシーンで通用します。NDA、販売契約、雇用オファー、ベンダー契約、フリーランス契約:これらは通常SESで問題ありません。
Advanced Electronic Signature (AES)
AESはひとつ上のレベルです。AESとして認められるには、署名は4つの具体的な要件を満たす必要があります:
- 署名者と一意に紐づいている
- 署名者を識別できる
- 署名者が自分の管理下に置けるデータを使って作成されている
- 署名後に署名されたデータが変更された場合、検出できる
実際には、これは通常、秘密鍵を使った暗号署名と、何らかの本人確認(メールリンク、SMSコード、ID提出など)を意味します。私たちのCanUSignを含む多くの最新の電子署名プラットフォームは、ビジネスプランではデフォルトでAESレベルの署名を生成します。
AESは、より価値の高い契約に向いています。B2B SaaS契約、パートナーシップ契約、融資書類、そして誰が署名したか、書類が改ざんされていないことの強い証拠が欲しいものすべて。
Qualified Electronic Signature (QES)
これは重砲です。QESは基本的にAESに2つの追加要件を加えたものです。「適格署名生成装置」(ハードウェアセキュリティモジュールやスマートカードを想像してください)を使って作成されること、そしてEU信頼リストに公式に掲載されている信頼サービスプロバイダーが発行する「適格証明書」によって裏付けられていることです。
QESのキラー機能は?EU全体で手書き署名と同じ法的効力を持ちます。それだけです。電子だからという理由で裁判所が拒否することはできません。
デメリットは、QESのセットアップが面倒なことです。署名者は通常、対面またはビデオ通話で本人確認をし、Qualified Trust Service Provider(QTSP)から証明書を発行してもらい、特別な署名デバイスを使う必要があります。SESやAESより遅く、コストもかかります。
デジタル署名が裏側でどう動いているかの技術的な側面を理解したい方は、digital signature vs electronic signatureに書きました。
SES vs AES vs QES:簡単な比較
| 項目 | SES | AES | QES |
|---|---|---|---|
| 本人確認 | 不要 | 必要 | 強い(対面または動画) |
| 改ざん検知 | 不要 | 必要 | 必要 |
| 法的効力 | 認められるが弱い | 強力な証拠 | 手書きと同等 |
| セットアップ時間 | 数秒 | 数分 | 数日から数週間 |
| 1署名あたりのコスト | 無料または安価 | 低〜中 | $5〜$50+ |
| よくある用途 | NDA、社内文書、基本契約 | B2B契約、雇用、ベンダー契約 | 不動産、公証行為、裁判文書 |
| 国境を越えた承認 | あり、ただし品質はまちまち | あり | あり、最も強い立場で |
国境を越えた有効性(本当の魔法)
eIDASのこの部分は、もっと評価されるべきだと思います。規則第25条は、電子署名は電子であるという理由、またはQESの要件を満たしていないという理由だけで、法的効力や裁判での証拠能力を否定できないと述べています。
そして第25条(3)はさらに踏み込みます。ある加盟国のQESは、他のすべての加盟国で手書き署名と同じ法的効力を持つ、と。「でも我が国には特別なルールがある」は通用しません。
これは国境を越える中小企業にとって大きいです。各管轄区が独自の紙の署名を必要とすると思って、3つの異なる国の弁護士に契約を作り直してもらうのにお金を払っていた創業者と一緒に働いたことがあります。必要なかったんです。eIDAS準拠の電子署名ひとつで十分でした。
中小企業向けの実用的なユースケース
具体的にいきましょう。ヨーロッパ中の中小企業で実際にうまくいっているのを見たものはこんな感じです:
販売契約と見積書:99%の場合、SESで問題ありません。平均取引額が5万ユーロ未満で、規制の厳しい業界に売っていないなら、深く考えすぎないでください。
雇用契約:AESがちょうどいいところです。誰がいつ署名したか証明できるようにしたいし、改ざん検知も欲しい。ほとんどの国では雇用契約にAESが認められていますが、いくつか(特定の種類の合意についてのドイツなど)はまだQESを好むか、要求します。
NDA:SES、いつでも。次。
フリーランス契約:価値次第でSESかAES。5,000ユーロ未満ならSESで問題なし。それ以上ならAESに傾きます。
賃貸契約(商業):ほとんどの国でAES。一部でQES。地元で確認してください。
融資契約(B2B):小規模ビジネスローンならAES。銀行や規制された貸し手相手ならQES。
不動産購入:QES、ほぼ常に。そして多くの国では、その上にまだ公証人が必要です。
国境を越えたサプライヤー契約:AESが安全な選択です。どこでも通用し、何かあったときに必要な証拠が得られます。
特定の加盟国でQESが必要なもの
ここでは正直にならないといけません。eIDASは、特定の文書タイプにどの種類の署名が必要かについての国内法を上書きしません。各加盟国はまだ「この種類の文書にはQESが必要、以上」と言うことができます。
いくつかの例:
- ドイツ:雇用契約の解除(場合による)、消費者ローン契約、商業登記の一部の申請にはQESが必要。ドイツはEUでこの点について最も厳しい国でしょう。
- フランス:ほとんどの消費者契約はAESが使えますが、不動産取引や一部の金融契約にはQESが必要。
- イタリア:多くの行政文書や一部の商業申請にはQESが必要で、現地ではよく「firma digitale」と呼ばれます。
- スペイン:AEAT(スペイン税務当局)への税務申告や多くの政府とのやりとりにはQESが必要で、通常はDNI electrónico(チップ内蔵のスペイン国民ID)を使います。
- ポーランド:ほとんどのB2B契約はAESで動きますが、裁判所への提出書類にはQESが必要。
教訓:国境を越えて運営していて自信がないなら、地元の弁護士に聞きましょう。契約が無効にされるよりは安く済みます。
eIDAS 2.0とEU Digital Identity Wallet
EUは2024年にeIDAS 2.0を可決し、加盟国は2026年までに展開しています。目玉はEuropean Digital Identity Wallet(EUDI Wallet)で、すべてのEU加盟国は2026年までに自国民に提供しなければなりません。
このウォレットは基本的にスマートフォンアプリで、政府が認証したID、運転免許証、卒業証書、決済情報、そう、そして適格署名証明書を保存できます。アイデアは、QESレベルの文書をスマホをタップするだけで署名できるようにすることで、繰り返しの署名にスマートカードや対面確認が不要になります。
中小企業にとって、これはQESをずっとアクセスしやすくするはずです。今、1人の署名者のためにQESを設定するのに1週間かかり、100ユーロ以上することもあります。EUDI Walletなら、5分くらいで、市民は無料のはずです。
落とし穴は?実装にばらつきがあります。一部の国は先行しています(エストニアはe-Residencyプログラムで何年もこれをやっています)が、他の国はずっと遅れています。2026年までにどこでもスムーズに展開されると期待しないでください。
適切な署名レベルの選び方
僕の簡単な意思決定フレームワーク:
- その文書はいくらの価値? 1万ユーロ未満で規制対象外?SES。1万〜10万ユーロ?AES。それ以上、または規制業界?QESを検討。
- 法的にQESが必要? はいなら議論なし。QESを使ってください。
- 裁判沙汰になりそう? 紛争がほんの少しでも起こりそうなら、最低でもAESに。監査証跡の価値があります。
- 国境を越える? AESが安全な最低ライン。SESはeIDASがそうあるべきでないと言っていても、一部の裁判所で法的効力を否定されることがあります。
- 取引先は何を求めている? ドイツの大企業クライアントがQESが必要だと言うなら、QESを渡してください。議論する価値はありません。
正直な制限事項
eIDASは素晴らしいですが、魔法の杖ではありません。心に留めておくべきことがいくつか:
- 国内法はまだ重要です。 eIDASは床を設定するだけで、天井ではありません。加盟国は特定の文書タイプにQESを要求でき、実際にそうしています。
- 裁判所の解釈はまちまちです。 SESは技術的にはどこでも有効ですが、フランスの裁判所とルーマニアの裁判所では証拠の重み付けがまったく違うかもしれません。
- QESはまだ高いです。 eIDAS 2.0が来ても、摩擦は現実です。配送への明確な道筋がないなら、顧客にQESを約束しないでください。
- 信頼サービスプロバイダーの品質はまちまちです。 公式EU信頼リストにあるQTSPを使い続けてください。リストは公開されていて定期的に更新されます。
- EU圏外での承認は別問題です。 eIDASのもとでEU内で契約が有効だからといって、米国、英国(Brexit後)、その他の場所で執行可能とは限りません。地元のルールを確認してください。
まとめ
これらすべてからひとつだけ持って帰るなら、これにしてください:ほとんどの中小企業の契約はQESを必要としません。AESはほとんどのビジネスシーンで十分で、SESは日常的なものに問題ありません。コツは、いつレベルアップするかを知ることです。
eIDASはヨーロッパのビジネスに世界最高の電子署名の法的枠組みを与えましたが、それでも僕たちのほとんどはそれをうまく使えていません。より良い選択肢があるのに高価な旧式ツールにお金を払っていたり、法的なことが怖くて紙にとどまっていたり。どちらも必要ありません。
すぐにAESを扱えて、財布を破産させない電子署名プラットフォームを探しているなら、僕たちの安いDocuSign代替の比較を見てみてください。そして、eIDAS準拠の署名が実際にどんな感じか見たいなら、CanUSignを無料で試して、最初の文書を2分以内に署名できます。
法律はあなたの味方です。使いましょう。