メインコンテンツへスキップ
Certyneo

API 電子署名:開発者向けRESTガイド 2026

ビジネスアプリケーションへの電子署名APIの統合は、これまで以上に戦略的になっています。本開発者向けガイドは、認証、ウェブフック、eIDAS準拠について、Aから Zまでカバーしています。

Certyneo チーム読了時間3分

更新日

Certyneo チーム

ライター — Certyneo · Certyneo について

Scrabble tiles spell out the word adequate.

はじめに

電子署名REST APIの統合は、2026年の開発チームにとって必須要件となっています。欧州企業の73%以上がすでに少なくとも1つの契約プロセスをデジタル化しており(出典:IDC European Digital Transformation Report 2025)、堅牢な技術統合の需要は急増しています。LegalTech SaaS、ERP、またはHRプラットフォームを構築する場合でも、電子署名APIの利用方法を理解すること - OAuth2認証、ウェブフック管理、eIDAS準拠 - は、文書フローの品質と法的価値を直接左右します。本REST開発者向けガイドは、段階的に対応します:アーキテクチャ、認証、ドキュメントのライフサイクル、リアルタイムウェブフック、セキュリティのベストプラクティスです。

---

電子署名REST APIのアーキテクチャ

RESTful原則とエンドポイント構造

適切に設計された電子署名REST APIは、明確に特定されたリソースとセマンティックなHTTP動詞に基づいています。基本的なリソースは通常以下の通りです:

  • `/documents` — PDF/DOCXドキュメントのアップロード、管理、取得
  • `/signature-requests` — 署名要求の作成と管理
  • `/signatories` — 署名者の管理と身元確認
  • `/audit-trails` — 認証済み監査ログの取得
  • `/templates` — 再利用可能なドキュメントテンプレートの管理

各リソースは標準的なCRUD エンドポイント(`GET`、`POST`、`PUT`、`PATCH`、`DELETE`)を公開し、標準化されたHTTPコード(`200 OK`、`201 Created`、`400 Bad Request`、`401 Unauthorized`、`422 Unprocessable Entity`、`429 Too Many Requests`)を含むJSON応答を返します。

しばしば無視されるクリティカルな側面はページネーション管理です。成熟したAPIは、offset/limitではなくカーソルベースのパターンを使用しており、署名済みドキュメントが数千に及んでも安定したパフォーマンスを保証しています。対象APIが`X-Next-Cursor`ヘッダーまたはボディ内の`next_page_token`フィールドを公開していることを確認してください。

APIバージョニングと後方互換性

バージョニングは、統合業者にとって重大な注意点です。2026年に主流の2つのアプローチは以下の通りです:

  1. URLバージョニング : `https://api.certyneo.com/v2/signature-requests` — 可読性が高く、CDNでキャッシュ可能、B2B APIに推奨。
  2. ヘッダーバージョニング : `Accept: application/vnd.certyneo.v2+json` — アーキテクチャ上より洗練されていますが、可視性が低い。

非推奨化ポリシーが最低12ヶ月間の保証があり、公開変更ログを公開しているベンダーを優先してください。未告知の互換性破壊は、署名フローに直接影響を与える可能性があり、法的な結果をもたらします(未署名の契約、期限切れなど)。

---

OAuth2認証とAPI呼び出しセキュリティ

OAuth2 : client_credentialsフローと authorization_codeフロー

認証は、電子署名API統合全体の基礎です。開発者にとって最も関連性の高い2つのOAuth2フローは以下の通りです:

Client Credentials Flow(M2M - Machine to Machine): ``` POST /oauth/token Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials &client_id=YOUR_CLIENT_ID &client_secret=YOUR_CLIENT_SECRET &scope=documents:write signature_requests:write audit_trails:read ``` このフローは、認証に関わるエンドユーザーがいないサーバー間統合(バッチ処理、契約の自動化)に最適です。

Authorization Code Flow + PKCE : アプリケーションが識別されたエンドユーザーに代わって行動する場合に推奨されます。PKCE(Proof Key for Code Exchange)はRFC 7636以降は必須であり、傍受攻撃から保護します。

セキュリティの重要なアドバイス:

  • `client_secret`をvault(HashiCorp Vault、AWS Secrets Manager)に保存する - 暗号化されていない環境変数に配置しないこと
  • トークン有効期限の60秒前のバッファを使用した自動トークンローテーションを実装する
  • 粒度の高いスコープを使用する:必ず必要な権限のみを要求する

APIキーと レート制限の管理

軽量な統合またはテスト環境の場合、一部のAPIは静的APIキー(Bearer Token)を提供しています。本番環境で使用する場合は、以下を システム的に適用してください:

  • 四半期ごとのキーローテーション
  • IP制限(許可リスト)
  • SIEMを通じた異常な呼び出しの監視

レート制限は避けられない現実です:電子署名APIは通常、プランに応じて毎分100~1000呼び出しを制限しています。指数バックオフとジッターを含むリトライメカニズムを実装してください: ``` retry_delay = base_delay * (2^attempt) + random_jitter ``` `429 Too Many Requests`で返されたヘッダー`Retry-After`を厳密に尊重してください。

---

API経由の署名要求のライフサイクル

署名要求の作成と設定

API経由の署名要求のライフサイクルは、状態スキーム(`draft` → `pending` → `in_progress` → `completed` | `declined` | `expired`)に従っています。詳細な技術ステップは以下の通りです:

ステップ1 - ドキュメントのアップロード: ``` POST /v2/documents Content-Type: multipart/form-data

file=@contrat.pdf ``` 応答:`{ "document_id": "doc_a1b2c3", "checksum_sha256": "e3b0c442..." }`

ステップ2 - 要求の作成: ```json POST /v2/signature-requests { "document_id": "doc_a1b2c3", "name": "2026年Q3サービス契約", "signatories": [ { "email": "signataire@client.fr", "first_name": "Marie", "last_name": "Dupont", "signature_level": "advanced", "fields": [{ "type": "signature", "page": 3, "x": 120, "y": 680 }] } ], "expiry_date": "2026-06-05T23:59:59Z", "reminder_settings": { "enabled": true, "frequency_days": 3 } } ```

ステップ3 - 有効化 : `POST /v2/signature-requests/req_x9y8z7/activate`

有効化から、署名者は招待状を受け取り、要求は`in_progress`状態に移行します。

署名済みドキュメントと監査証跡の取得

ステータス`completed`に達したら(次セクションのウェブフックで検出可能)、以下を取得してください:

``` GET /v2/signature-requests/req_x9y8z7/document/signed → 電子署名が埋め込まれたPDF署名(ETSI EN 319 132に準拠したPAdES-B-T)

GET /v2/signature-requests/req_x9y8z7/audit-trail → 認証された監査ログPDF(RFC 3161適合タイムスタンプ) ```

常に両ファイルを一緒にGEDまたはDMSに保存してください。監査ログは、法的異議が生じた場合の証拠として対抗可能です。

---

ウェブフック:リアルタイムイベントとエラー処理

ウェブフックの設定とセキュリティ

ウェブフックは、統合をコスト効率の悪いポーリングからリアクティブなイベント駆動型アーキテクチャに変換します。ウェブフックエンドポイントを設定してください:

``` POST /v2/webhooks { "url": "https://votre-app.com/hooks/certyneo", "events": [ "signature_request.completed", "signature_request.declined", "signatory.signed", "signature_request.expired" ], "secret": "whsec_votre_secret_hmac" } ```

必須HMAC セキュリティ : `X-Certyneo-Signature`ヘッダーで計算された署名を比較して、受け取るペイロードを検証します: ```python import hmac, hashlib

def verify_webhook(payload: bytes, secret: str, signature_header: str) -> bool: expected = hmac.new( secret.encode(), payload, hashlib.sha256 ).hexdigest() return hmac.compare_digest(f"sha256={expected}", signature_header) ``` 決して古典的な文字列比較を使用しないでください - タイミング攻撃に対して脆弱です。

べき等性と再送信の処理

ウェブフックは、タイムアウトまたは5xxエラーの場合に再送信される可能性があります。べき等性は必須で実装してください:

  1. 各ウェブフックペイロードから一意の`event_id`を抽出する
  2. 此の`event_id`が既に処理されていないかデータベースで確認する
  3. すぐに`200 OK`を返す(重複についても)無限再送信を避けるため
  4. ビジネスロジック処理を非同期的に処理する(キュー:Redis、RabbitMQ、SQS)

黄金律:ウェブフックエンドポイントは5秒以内に応答する必要があります。重い処理(メール送信、GED アーカイビング、ERP通知)はすべてワーカーを非同期処理に委譲する必要があります。

API経由で利用可能な署名レベルについての理解を深めるため、電子署名完全ガイドをご覧ください。このガイドでは、シンプル署名、高度な署名、適格署名の違いについて詳しく説明しています。

---

統合のベストプラクティスとパフォーマンス

サンドボックス環境とテスト戦略

信頼できるすべての電子署名APIは、本番環境から分離されたサンドボックス環境を提供しています。このテスト戦略を採用してください:

  • ユニットテスト : ネットワークに依存せずビジネスロジックを検証するためにAPI応答をモック化する(Wiremock、MSW)
  • 統合テスト : 実際のサンドボックスに対して実行し、完全なライフサイクル(作成 → 署名 → 取得)を検証する
  • ロードテスト : 同時リクエストのスパイク状況をシミュレートし、本番導入前のボトルネックを特定する
  • カオステスト : タイムアウトと5xxエラーをシミュレートし、リトライロジックを検証する

本番環境での実際の署名者ID でテスト決してしてはいけません。サンドボックスで作成された電子署名は法的価値がなく、これはテストに正確に必要なものです。

監視、可観測性、アラート

本番環境では、統合を次の方法でインストルメント化してください:

  • メトリクス : API呼び出しの成功率、レイテンシp95/p99、エンドポイント別のエラー率
  • 分散トレース : ヘッダーでトレースIDを伝播させ、ログをAPIプロバイダーのログと相関させる
  • アラート : エラー率が1%を超えた場合、またはレイテンシp99が3秒を超えた場合にアラートをトリガー

さまざまなプロバイダーが提供する可用性SLA(稼働率)を評価するには、電子署名ソリューション比較をご覧ください - API統合時にしばしば過小評価される重要な基準です。

別のプラットフォームから移行する場合、DocuSignまたはYouSignからCertynneoへの移行ガイドは、API移行の技術的側面と既存ウェブフックの互換性をカバーしています。

統合のROI(投資利益率)を見積もるには、電子署名ROI計算機を使用してください。APIを通じた自動化による生産性向上を統合しています。

署名が必要なドキュメントの自動生成をさらに進めたい場合は、AI契約生成をご覧ください。これは当社のREST APIとネイティブに連動します。

電子署名APIに適用される法的枠組み

電子署名APIの統合は、単なる技術的な問題ではなく、エディターとその顧客の法的責任に複数の基本的なテキストを直接関連付けます。

規則eIDAS n°910/2014とeIDAS 2.0

規則(EU)n°910/2014(eIDAS)は、欧州連合内の電子署名の法的枠組みを確立しています。3つのレベルを区別しています:

  • シンプル電子署名(SES) : 最小限の法的価値、低リスク行為に適している
  • 高度な電子署名(AES) : 署名者に一意的に関連付けられ、署名者の排他的管理下にあるデータから作成される - eIDAS 26条
  • 適格電子署名(QES) : EU全域で手書き署名と同等 - eIDAS 25条2項

規則eIDAS 2.0(規則EU 2024/1183)の段階的発効に伴い、開発者は認証フローに欧州デジタルアイデンティティウォレット(EUDIW)の統合を予想する必要があります。技術的な影響の詳細については、eIDAS 2.0ガイドをご覧ください。

フランス民法 - 第1366条と1367条

フランス法では、民法第1366条は「電子文書は、その出所者を適切に特定でき、かつその完全性を保証する条件下で確立および保存される場合、紙媒体の文書と同じ証拠力を有する」と規定しています。

第1367条は信頼できる電子署名の条件を明確にしています:署名者の特定とドキュメント完全性の保証。これらの要件は、認証済み監査ログを保存し、署名時に使用された身元確認の証拠を保存する技術的義務に変わります - APIが公開する必要があり、保存する必要があります。

ETSI EN 319 132規格 - PAdES

eIDAS準拠のPDF署名の必須テクニカルフォーマットは、ETSI EN 319 132で定義されたPAdES(PDF Advanced Electronic Signatures)です。APIは最低限PAdES-B-T(タイムスタンプ付き)を生成する必要があり、長期有効性を保証するためにはPAdES-B-LTまたはPAdES-B-LTA(10年以上のアーカイビング)が必要です。

GDPR n°2016/679 - 署名者データ

署名プロセス中に収集された個人データ(氏名、名前、メール、IPアドレス、AES/QES用身元データ)は、GDPR対象の個人データです。責任者または処理業者としての義務は以下のとおりです:

  • 保持期間を定義する(通常、法律上の処方箋に合わせた期間:民法的には5年)
  • API(`DELETE /v2/signature-requests/{id}/personal-data`)経由での自動消去メカニズムを提供する
  • 処理記録 (第30条GDPR)に処理を記録する
  • APIプロバイダーとDPA(Data Processing Agreement)を締結する

NIS2指令とサービス継続性

NIS2指令 (2022/2555)に基づき、重要またはかなり重要な事業体と見なされるソフトウェア編集者にとって、サードパーティAPI統合はサプライチェーン数値リスク分析に記録する必要がある依存性を生み出します。APIプロバイダーからSOC 2 Type II認証と可用性SLA ≥99.9%を要求してください。

ユースケース:実践における電子署名API

シナリオ1 - 中小工業企業のサプライヤー契約自動化

年間約200のサプライヤー契約を管理する中小工業企業は、紙資料の往復と、月2日の管理スタッフの時間を消費していた手動フォローアップを排除することを望んでいました。開発チームは、次のフローを通じてREST APIを既存の産業用ERPに直接統合しました:

  1. ERP内で購買発注が検証されると、`POST /v2/signature-requests`呼び出しが自動的にトリガーされます
  2. 生成されたPDF契約がアップロードされ、参照されたサプライヤー連絡先に署名要求が送信されます
  3. ウェブフック`signatory.signed`が購買発注のステータスをリアルタイムで更新します
  4. 署名済みドキュメントと監査ログは、別のAPI呼び出しでDMSに自動的にアーカイブされます

観察された結果(KPMG/IDC 2024-2025セクタ報告書):署名の平均遅延が8日から24時間未満に短縮、フォローアップに費やされた管理時間を60-70%削減、ドキュメント損失ゼロ。

シナリオ2 - 法律事務所向けのLegalTechプラットフォーム

5~30人の弁護士向けSaaS法律ソフトウェアの編集者は、エンドユーザーが代理権委任状、報酬契約、訴訟行為に直接インターフェイスからすぐに署名できるようにするために、電子署名APIを統合しました。

採用されたテクニカルアーキテクチャは、OAuth2 Authorization Code + PKCEフローを使用し、各弁護士が自分の代理で要求を認証できます。ウェブフック`signature_request.completed`は、署名済みドキュメントを法律事務所のGED(電子文書管理)システムのクライアントフォルダーに自動的に保存されるようにトリガーします。

編集者は、特に高度な電子署名(AES) APIを通じての利用可能性を高く評価しました - 全国弁護士委員会の推奨に従い報酬契約に必要なレベル。初回統合開発時間は、シニア開発者1人で約3週間で、テストカバレッジは85%でした。

シナリオ3 - プライベートクリニックグループのデジタルオンボーディング

約600床を有するプライベートクリニックグループは、従来は受け付けで印刷・手署されていたインフォームドコンセント様式と入院契約をデジタル化する必要がありました - 印刷・デジタル化コストで年間数千ユーロの費用と待ち時間の長さが問題でした。

API統合は病院情報システム(HIS)を電子署名プラットフォームに接続しました。患者が登録されると、HISはAPIを呼び出して、多数の署名者(患者+主治医)との署名要求を作成し、テンプレートのメタデータから計算された署名フィールドの自動配置を行います。

GDPR準拠には、医療記録の法定保管期間(医療法典R. 1112-7条に従い成人で20年)と整合性があるプログラムされた自動消去 API(`PATCH /v2/signature-requests` + 削除確認のウェブフック)の実装が必要でした。測定されたメリットは、受け付けでの待ち時間を80%削減、印刷・スキャンコストを40%削減しました。

結論

2026年における電子署名REST APIの統合には、複数の側面の同時習得が必要です:堅牢なRESTfulアーキテクチャ、セキュアなOAuth2認証、ウェブフックによるイベント駆動アーキテクチャ、eIDASおよびGDPR要件への準拠。統合設計の初期段階からこれらの問題を予測する開発者は、代償の大きい再設計と重大な法的リスクを回避できます。

3つの重要なポイント:APIコールをセキュアにする(OAuth2 + 最小スコープ + vault)、イベントをウェブフックで非同期かつべき等的に処理する署名済みドキュメントを認証済み監査ログと共に体系的にアーカイブする

Certynneoは、記録されたREST API、eIDAS準拠、無料サンドボックス、専用開発者テクニカルサポートを提供しています。Certynneoアカウントを作成して、サンドボックスAPIキーにアクセスし、本日から統合を開始してください。

Certyneoを無料で試す

5分以内に最初の署名エンベロープを送信。月5エンベロープまで無料、クレジットカード不要。

無料で始める料金を見る
すべての記事

テーマを深掘りする

電子署名をマスターするための包括的なガイド。

おすすめの記事

関連する記事で知識を深めましょう。

B2C契約における電子署名:2026年の有効性

B2C契約における電子署名は、法的有効性と顧客の同意の収集について具体的な質問を提起しています。2026年に知っておくべきことのすべてをここで説明します。

9 min

公的部門における電子署名:2026年ガイド

2020年以降、一定の閾値を超える公開調達では電子署名が必須となっています。ルール、必要なレベル、および行政機関のコンプライアンス実現方法をご確認ください。

9 min

地方自治体向け電子署名:行政デジタル化の必須ツール

地方自治体は手続きのデジタル化を加速させています。電子署名がどのようにあなたの契約を保護し、処理時間を短縮し、ヨーロッパの法的枠組みを遵守するかをご覧ください。

8 min