特定非营利活动法人 日本网络安全协会(会长:江崎 浩)标准化部会 电子签名工作小组保证级别任务小组(负责人:宫地 直人)发布了「签名保证指南(Signature Assurance Guidelines)Ver1.00」作为2025年度的成果,该指南将电子签名服务中的技术和运营要求体系化。 本指南的一大特色是,基于美国国家标准暨技术研究院(NIST)的「NIST SP 800-63: 数字身分指南(Digital Identity Guidelines)」理念,将身分(电子认证)中保证级别的框架扩展到电子签名领域。由此,提供了一个机制,可以将过去分别处理和评估的电子认证和电子签名,以保证级别的统一视角进行整理与比较。 本指南为电子签名服务的用户提供服务选择的判断标准,并为提供服务的业者提供设计与建构的方针。 ■背景 近年来,随着DX(数字转型)的进展以及行政手续、合约的电子化,电子签名及电子合约服务的使用正在迅速扩大。另一方面,电子签名的方式呈现多样化,不同服务的资安对策与保证级别各异,导致用户一直难以做出适当的选择。 过去电子签名领域也曾被指出需要跨产业的安全标准,JNSA电子签名工作小组便与多家企业及专家共同推进了相关探讨。 ■概要 为评估电子签名服务的可靠性,本指南定义了四个保证级别:签名者身分保证(SIAL)/签名流程保证(SPAL)/签名数据保证(SDAL)/服务运营保证(SOAL)。这些统称为「SxAL(Signature Assurance Level)」,使得能够根据用途和风险选择适当的电子签名服务。 此外,作为电子签名的要求,定义了本人身分(Identity)/本人意愿(Approval)/防篡改(Tamper-evidence)三个要素。通过这种方式,从比传统法律制度更实务且严格的角度整理了电子签名的可靠性。 ■主要内容 ①电子签名的定义(第1.2.章) ・本人身分(Identity):能够识别签名者是谁 ・本人意愿(Approval):签名归属于签名者本人 ・防篡改(Tamper-evidence):签名后文档未被更改 ②电子签名方式的整理 第2.2.1.章 本地签名方式:(持有现有签名密钥的PKI签名) 第2.2.2.章 远程签名方式:(借由远程保管签名密钥的PKI签名) 第2.2.3.章 认证记录签名方式:(通过登录进行签名) 第2.2.4.章 业者签名方式:(见证人型签名等由业者提供的签名保证) ③电子签名的保证级别 第2.3.1.章 签名者身分保证(SIAL):通过确认签名者身分来保证本人身分 第2.3.2.章 签名流程保证(SPAL):签名时的本人身分及确认签名意愿的保证 第2.3.3.章 签名数据保证(SDAL):关于签名数据本身可靠性的保证 第2.3.4.章 服务运营保证(SOAL):关于遵守运营政策的可靠性保证 ④电子签名风险管理(ESRM) 第3.2.章 步骤0:定义与初期保证级别的暂定(服务的定义与保证级别) 第3.3.章 步骤1:实施风险评估(签名风险的识别/分析/评估) 第3.4.章 步骤2:基本对策与最终保证级别的决定(通过风险应对与调整来决定) 第3.5.章 步骤3:文档化(签名服务核准规定与运营规定的制定和公开) 第3.6.章 步骤4:签名服务运营与重新评估(开始运营后及一定期间后的重新评估) ⑤附录(电子签名相关信息) A.签名保证级别符合声明书(规定) B.核准目的签名与发...