企業間取引(BtoB)において電子契約を導入する企業が増えています。その利便性は高い一方で、契約当事者になりすました第三者による署名(なりすまし署名)や、契約メールの送信者を偽装する行為といったセキュリティ上のリスクも無視できません。契約書作成の専門家である行政書士の立場から、電子契約の安全性を確保し、なりすましを防止するための実務対応について解説します。電子契約に関連する法制度(電子契約に関する法令や電子署名法など)を踏まえ、具体的なセキュリティ対策を確認しましょう。
電子契約の法制度とセキュリティリスク
日本の民法では契約の成立に書面や押印は必須ではなく、メールや電子データによる契約も有効に成立し得ます(民法522条2項)。しかし、電子的な契約では「誰が契約したのか」「内容が改ざんされていないか」を証明することが重要な課題です。そこで制定されたのが電子署名及び認証業務に関する法律(電子署名法)です。同法3条は、本人による電子署名(本人だけが行うことができるよう管理された符号等を用いたもの)が行われている電子文書は、その電子文書が真正に成立したものと推定する、と定めています。つまり、信頼性の高い電子署名が付与された契約書は、「真正な契約書」として法的に推定されることになり、契約当事者が本人否認や改ざんを主張することが困難になります。
一方、電子契約には紙契約にはない新たなリスクも存在します。典型例がなりすましと改ざんです。第三者が他人になりすまして契約を締結してしまうと、当事者間の合意そのものが疑わしくなります。また、電子データは容易に複製・改変が可能なため、適切な対策なしでは契約内容を書き換えられてしまう恐れもあります。特にBtoBでは高額な取引や機密情報が関わるため、セキュリティ侵害の影響は甚大です。こうしたリスクを踏まえ、以下では電子契約のセキュリティを確保する具体策を順に説明します。
1. 信頼できる電子署名の採用
電子契約でもっとも重要なのは、契約書に付与する電子署名の信頼性です。電子署名法が推定効を認める「電子署名」とは、(1)文書の作成者を示す機能と(2)文書改ざんの有無を検知する機能の両方を備えたものを指します。具体的には、契約当事者本人に割り当てられた電子証明書や秘密鍵を用いて作成されたディジタル署名が典型例です。こうした電子署名であれば、誰が署名したかが明確化され、署名後に内容が変更されていないことも保証されます。電子署名法で求められる厳格な電子署名が付与された契約書には前述のとおり法律上の本人推定効が働き、不正ななりすまし署名や契約否認のリスクを大幅に低減できます。
実務上は、電子契約サービスを利用する場合でも、そのサービスが電子署名法に基づく信頼性の高い署名手段を提供しているか確認することが重要です。サービスによっては、契約当事者本人が電子証明書等で署名する「当事者型(本人型)の電子署名」が可能なものもあれば、プラットフォーム事業者が介在して署名の証明を行うだけで当事者本人の電子署名が付かない場合(いわゆる「電子サイン」方式)も存在します。後者の場合、電子署名法の適用による推定効は及ばないため注意が必要です。なりすまし防止の観点からは、できる限り電子署名法に則った厳格な電子署名を利用できるサービスを選ぶべきです。例えば、公的機関や認証局発行の電子証明書を用いるタイプのサービスでは、契約書・電子署名・電子証明書の三者を組み合わせて本人性と非改ざん性を検証できるため、紙の契約書以上に安全な締結が可能になります。
2. 本人認証とアクセス制御の強化
電子契約システムにログインしたり契約書にアクセス・署名したりする際の本人認証プロセスを強固にすることも、なりすまし防止の基本です。ID・パスワードだけの単純な認証では、情報漏えいや第三者による不正アクセスのリスクがあります。必ず多要素認証(MFA)や二段階認証を導入し、署名時には追加の確認コード入力や認証アプリによる承認を求めるようにしましょう。例えば、事前に登録したメールアドレスとパスワードでログインさせた上で、利用者の携帯電話に送信したワンタイムパスワードを入力させるといった措置により、不正なログインや署名実行を防ぐことが可能です。実際に、電子契約サービス各社もユーザーの安全性確保のためメール認証+ワンタイムパスワードや認証アプリによる二要素認証機能を提供しています。
加えて、アクセス権限の管理も徹底すべきです。社内で電子契約を扱う場合、誰もが契約書を閲覧・署名できるのではなく、ユーザーごとに閲覧専用・承認者・署名権限者といった役割分担を設定します。特に契約締結権限のない社員が勝手に契約を締結してしまうことのないよう、システム上で承認フロー(上長の事前承認)を要求することが望まれます。実務では、営業担当者が内容を送信しても、最終的に管理者が承認しないと相手方に契約書が送付されない仕組みなどにより、不用意な契約締結を防止できます。もし会社の代表権や委任を持たない従業員が無断で契約を結んでしまうと、紙契約の場合と同様に無権代理(民法113条)として契約無効を主張されるリスクがあります。権限管理と承認ワークフローの整備によって、内部者による不適切な契約締結やなりすまし的行為を防ぐことができるのです。
また、IPアドレス制限の活用も有効な手段です。これは、電子契約サービスへのアクセス元IPアドレスを限定することで、許可されたネットワーク(例えば自社オフィスやVPN経由の接続)以外からはシステムにログインできなくする対策です。IP制限を掛けておけば、たとえログイン情報が漏えいした場合でも社外の不審な場所からのアクセスを遮断できます。ただし、テレワーク環境下では許可IPの設定に配慮が必要です。社用PCへのVPN接続を義務づけるなど運用面で工夫し、セキュリティと利便性のバランスを図りましょう。
3. 監査証跡の整備と活用
電子契約において監査証跡(ログ)をしっかり残すことは、万一セキュリティ事故や紛争が発生した際の強力な武器となります。契約システムには、誰が・いつ・どの契約書にアクセスし、閲覧・署名などの操作を行ったかを自動的に記録する機能があります。例えば、「○年○月○日○時○分に、IPアドレスXXXの利用者ID山田太郎が契約書Aを開封」「○年○月○日○時○分にワンタイムパスワード認証の上で山田太郎が契約書Aに電子署名完了」といった履歴が残るイメージです。これらの操作ログやアクセスログを適切に保存・管理しておけば、後日「その契約書は見ていない」「自分は署名していない」といった紛争が起きた際に事実関係を客観的に証明できます。
とりわけ、なりすましの疑いが生じた場合には、監査証跡から不審なアクセスを発見できる可能性があります。普段とは異なるIPアドレスやデバイスから署名が行われていないか、通常とは異なる異常な時刻にアクセスされていないかなど、ログを分析することで不正の手がかりが得られるでしょう。電子署名法の推定効が及ばないケースであっても、システムの証跡と客観的な記録を積み重ねることで契約成立の真正を立証することは可能とされています。そのため、企業は電子契約サービスから監査ログを定期的にダウンロードして保管したり、不正アクセスの兆候を検知するアラートを設定したりするなど、ログの活用と監視体制を整備することが望まれます。
4. 電子契約データと証跡の安全な保管
セキュリティ対策の最後のポイントとして、締結後の契約書データや証跡の保管があります。電子契約書そのもの及び前述の監査証跡は、契約の有効性を裏付ける重要な証拠です。これらを安全に長期間保存するための措置も講じましょう。
まず、契約締結後に電子署名付きの契約書にタイムスタンプを付与することが有効です。タイムスタンプとは、電子データがある時点以降変更されていないことを証明する電子的な時刻証明で、公的な時刻認証機関により発行されます。電子署名に長期保存性を持たせるため、契約締結直後にタイムスタンプを押すことで、たとえ署名者の電子証明書が将来失効・期限切れとなっても、その契約書が締結時から改ざんされていない事実を証明し続けることができます。特に契約書は商法や税法上10年間の保存義務があるケースも多いため、長期署名(Long-Term Signature)の仕組みを利用して証明力を維持することが重要です。
次に、電子契約書データやログを保存する際は適切なバックアップとアクセス制限を実施します。社内サーバーやクラウドストレージに保存する場合、暗号化やアクセス権限設定によって機密性を確保し、不用意な削除・改ざんを防止します。クラウド上に保管する場合でも、自社で定期的にバックアップを取得し、万が一サービス提供事業者側で障害や不具合が起きた場合に備えることも忘れないでください。
さらに、電子契約書を紙で発行せず電子データのまま保存する場合には、電子帳簿保存法の要件にも注意が必要です。同法では、電子取引に関するデータ(注文書や契約書など)の保存要件として、タイムスタンプの付与やデータ改変防止措置を講じること等が求められています。実務上は、多くの電子契約サービスが契約締結と同時にタイムスタンプを付けたり、契約書データを訂正・削除できない形で保存する仕組みを備えており、この法律の求める真実性の確保に対応しています。自社で電子契約の仕組みを独自構築する場合も、法令に沿った保存要件を満たすようシステム設計を行いましょう。
5. その他のなりすまし対策と注意点
上記の技術的対策に加えて、日常の運用面での注意も不可欠です。例えば、契約相手方になりすましたフィッシングメールや偽の契約書送付に騙されないよう、社員に対するセキュリティ教育を徹底します。電子契約の案内メールには契約書へのリンクが記載されますが、もし見慣れない送信元ドメインや不自然な日本語のメールを受け取った場合には、安易にリンクをクリックせず発信元に電話確認するなどして真偽を確かめる習慣をつけましょう。幸い、主要な電子契約サービスではメールのなりすまし対策(DKIM署名や独自ドメインの利用など)も講じられており、受信者側でセキュリティソフトやメールフィルタを適切に設定しておくことで怪しいメールを排除できます。契約当事者間でも、初めて電子契約を使う際には事前に「どのサービスを使い、どのメールアドレスから招待が届くか」を確認し合うなど、ひと手間かけることで送信者偽装の被害を予防できます。
また、万一に備えて内部規程やマニュアルを整備しておくことも有用です。電子契約の社内ルールとして、利用できるサービスや手続きを定め、契約行為を行う前に相手先担当者を別途確認するフローなどを明文化します。インシデントが起きた場合の報告体制や、迅速に契約無効を主張・被害拡大を防止する手順も決めておくと安心です。
おわりに
電子契約は押印や書面郵送の手間を省き、契約業務を大幅に効率化します。しかし、その便利さゆえにセキュリティ面の不備があると重大なトラブルに発展しかねません。企業間取引においては特に、相手方になりすました不正契約や契約書改ざんによる被害リスクを念頭に置き、法律に適合した信頼性の高い電子署名の利用と多層的なセキュリティ対策の実装が必要です。行政書士など契約実務の専門家から助言を受けつつ、自社の電子契約の仕組みを定期的に点検・改善していくことで、紙の契約以上に安全で確実な取引環境を整えることができるでしょう。電子契約の正しい導入と運用によって、利便性とセキュリティを両立させたBtoB取引を実現してください。
