JIPDECトラステッド・サービス登録(リモート署名/電子契約)
サービス作成の目的
昨今、急速に普及しているクラウド上の電子契約サービスに対して、信頼できる電子契約サービスを検討することとしました。
信頼できる電子契約サービスの実現方法としては、サービス提供方針、実装方法とも多様であり、構成し得るあらゆる電子契約サービスに対し、満たすべき要件を網羅的に規定することは現実的ではないと考え、電子契約をB2BあるいはB2Cの契約行為の中で電子署名を利用し、電子文書のまま取り交わし、保管するものにフォーカスしました。
そこで、JIPDECでは、信頼の基点として検討が進んでいるリモート署名の枠組みでの利用が可能な電子署名を利用した電子契約サービスに限定した、「JIPDECトラステッド・サービス登録(電子契約)-リモート署名版-」の基準を作成しました。
一方、上記基準のうち、電子契約で利用する電子署名のエンジンのみの登録(下記イメージ図中の「リモート署名」の部分で範囲を明示)に特化したものとして、「JIPDECトラステッド・サービス登録(リモート署名(電子契約))」の基準も併せて作成しています。
適用範囲
この度の基準が対象とする、電子契約サービスにおけるシステムの構成イメージです。
「JIPDECトラステッド・サービス登録(電子契約)-リモート署名版-」は、イメージ図中の<電子契約システム>として囲んだ、利用者管理、署名鍵管理、署名機能、文書管理を含む箇所を対象としています。
一方、「JIPDECトラステッド・サービス登録(リモート署名(電子契約))」では、図中の「リモート署名」 の部分の範囲に限定されます。
基準について
本基準を作成するにあたっては、有識者の方々によるワーキンググループを設置しました。
本ワーキンググループで作成した基準をもとに、審査基準の項目を以下の要素で構成しています。
【1.総則】
- セキュリティ管理体制の構築、運用規定の制定
- リスクアセスメント、事業継続計画
- 教育・訓練・監査
【2.全般基準】
- 物理的対策、内部犯を含む不正アクセス対策、脅威侵入時の被害低減策
- なりすまし抑止策
- 安全な署名生成環境の提供
【3.利用開始段階の基準】
- 利用者の本人確認
- ログイン認証情報、署名鍵等の生成、発行方式
- 利用者情報の保管
【4.電子契約サービス提供段階の基準】
- 利用者認証、通信経路の秘匿 ※
- 署名の生成、検証方式
- 利用者管理、情報開示請求への対応 ※
【5.利用終了段階の基準】
- 利用者の解約に係る判断
- 利用者解約時の措置
【6.契約条件】
- 事業者・利用者間の契約に盛り込む事項
【7.利用者文書の保管に関する取扱い】
- アクセス管理、暗号化、冗長化、バックアップ ※
- 長期署名の扱い ※
- 利用者情報や利用者署名鍵の保護
【8.その他サービス事業者の役務】
- 暗号管理
- 電子契約サービス自体を廃止する際の措置 ※
2017年12月25日策定
※電子契約で利用されているリモート署名の仕組みの部分のみを審査する「JIPDECトラステッド・サービス登録(リモート署名(電子契約))」では、上記項目のうちの「※」が、審査対象外となります。
JIPDECトラステッド・サービス登録お申込みの流れ
- JIPDECトラステッド・サービス登録お申込み(お客様)
- 必要書類などのご案内(JIPDEC)
- 書類の準備(お客様)
- 書類のメール送付(お客様)
- 書類審査(JIPDEC)※1
- 現地審査(JIPDEC)※2
- 審査報告書作成(JIPDEC)
- JIPDECトラステッド・サービス登録完了/登録証の発行
※1:書類審査により指摘事項があった場合には、指摘箇所を修正し再度書類審査を実施します。
※2:現地審査により指摘事項があった場合には、指摘箇所を修正し再度現地審査を実施します。
