中小企業向けの eIDAS コンプライアンス: 2026 年の完全なチェックリスト

欧州 eIDAS 規制 (EU n°910/2014、eIDAS 2.0 によって間もなく修正される予定) は、欧州連合全体で電子署名を規制しています。中小企業にとって、コンプライアンスを遵守することは、単にチェックボックスをオンにするだけではありません。それは、契約が強制可能であること、署名データが保護されていること、そしてコストがかかる可能性がある法的リスクから自社を守ることを保証することです。これは、中小企業が eIDAS に完全に準拠していることを確認するための 12 の具体的なポイントからなる 2026 年のチェックリストです。

ポイント 1: 適切な署名レベルを選択する

最初の反射: 契約タイプをマッピングし、ターゲット レベルを関連付けます。標準的な商業契約 (見積書、発注書、単純な NDA): SES で十分です。雇用契約、リース、機密性の高いNDA、戦略的合意: 最低AES、できればOTP SMS付き。規制対象行為 (弁護士、公証人、基準値を超える公的契約): QES の義務化。このマッピングがないと、アンダーサイジング (契約の拒否) またはオーバーサイジング (過剰なコスト) が発生する危険があります。

ポイント 2: サービス プロバイダーの資格を確認する

サービス プロバイダーは、信頼できるサービス プロバイダー (QTSP) であるか、AES/QES レベルの QTSP に依存する必要があります。 ANSSI によって公開されている信頼サービス リスト (eidas.ssi.gouv.fr) および欧州信頼リスト (webgate.ec.europa.eu/tl-browser) を参照してください。フランスの参照 QTSP: Certigna、Docaposte、Certinomis、Universign。プラットフォーム (Certyneo、Yousign など) を介した SES/AES の場合は、明示的に文書化された eIDAS 準拠を確認してください。

ポイント 3: 監査証跡をテストする

テスト用封筒に署名し、監査証跡 (通常は別の PDF) を収集します。これには、署名者の ID と電子メール、各ステップのタイムスタンプ (送信、開封、検証、署名)、IP アドレス、ユーザー エージェント、ドキュメントのハッシュ、AES の場合は OTP 検証が含まれている必要があります。これらの要素のいずれかが欠けている場合、証拠の価値は弱まります。 Certyneo は、無料プランでも完全な監査証跡を提供します。

ポイント 4: タイムスタンプを制御する

タイムスタンプは、RFC 3161 に準拠したタイムスタンプ局 (TSA) によって発行される必要があります。企業の NTP サーバーからのタイムスタンプだけでは十分ではありません。 Adobe Reader で署名済み PDF を開きます: [署名] タブ → [詳細] → [タイムスタンプ]。そこには有効な TSA 証明書と認定時計が表示されるはずです。 PDF に認定されたタイムスタンプがない場合は、サービス プロバイダーの選択をやめてください。

ポイント 5: 少なくとも 10 年間は保存する

商法 (第 L. 123-22 条) は、商業文書の保存期間を 10 年間と定めています。労働法は、解雇後の雇用契約に 5 年間を課しています。アーカイブでは、整合性 (ハッシュ、シーリング) とアクセスを維持する必要があります。理想: PDF/A フォーマット (ISO 19005)、デュアル ストレージ (プライマリ + オフサイト バックアップ)、最大限の証拠を提供する認定電子金庫 (CFE)。 Certyneo はデフォルトで 10 年間アーカイブし、CFE パートナーへのエクスポートを提供します。

ポイント 6: データのローカリゼーションを確認する

署名データはどこにホストされていますか?機密性の高い契約を扱うフランスの中小企業の場合は、フランスまたは EU のホスティングを選択してください。下請け業者のリストとその所在地については、サービスプロバイダーに問い合わせてください (GDPR 第 28 条)。戦略的契約については、米国クラウド法の対象となるソリューションを避けてください。 Certyneo はフランスでホストされており、Cloud Act には依存しません。 /blog/cloud-act-signature-electronique の記事をご覧ください。

ポイント 7: GDPR と明確に連携する

署名と GDPR は密接に関連しています。各封筒には個人データ (名前、電子メール、IP、電話番号) が含まれています。処理登録簿 (GDPR 第 30 条) に電子署名が含まれていること、保存期間が一貫していること (10 年)、個人の権利が実装可能であること (アクセス、修正、ポータビリティ) を確認してください。大量の署名を要求する場合は、DPO をお勧めします。記事 /blog/signature-electronique-rgpd を参照してください。

ポイント 8: 上流の署名者を特定する

堅牢な AES の場合、特定は署名から始まりません。データ収集から始まります。電子メール (エイリアス、メーリング リストなし)、電話番号 (共有回線なし) をチェックし、識別情報源 (大量の契約の場合は ID、継続的な契約の場合は既存顧客の KYC) を追跡します。このデューデリジェンスにより、紛争が発生した場合の証拠が確実になります。

ポイント 9: チームを訓練する

営業、人事、法務チームは、署名者にサードパーティ製デバイスの使用を決して強制しないこと、変更された署名付き PDF を返却しないこと、実際の署名の代わりにスキャンした署名画像を貼り付けないことなどのルールを理解する必要があります。優れた反射神経を身に付けるには、チームごとに 1 時間のトレーニングで十分です。 Certyneo は、内部 (/リソース) で共有するための完全なガイドを提供します。

ポイント 10: サービスプロバイダーの契約を確認する

署名サービスプロバイダーの CGU/CGV は、eIDAS 準拠を開始し、アーカイブ期間を指定し、GDPR 下請契約 (第 28 条) を含め、下請け業者を文書化し、停止の場合の可逆計画を提供する必要があります。大量の処理を行う場合は、SOC 2 Type II または同等のものもリクエストしてください。 Certyneo の場合、これらのドキュメントは /legal および /security で入手できます。

ポイント 11: eIDAS 2.0 と EUDI ウォレットを準備する

eIDAS 2.0 規制 (EU 2024/1183) は段階的に発効し、加盟国は 2026 年末までに EUDI ウォレットを展開することが求められます。このデジタル ID ウォレットにより、特に物理的な登録局なしでリモートから QES にアクセスできるようになります。 SME を準備します。サービスプロバイダーが EUDI ウォレットのロードマップを持っているかどうかを確認し、ANSSI および欧州委員会からの連絡に従ってください。 /blog/eidas-2-nouveau-reglement-2026 を参照してください。

ポイント 12: 毎年監査する

コンプライアンスは獲得されたステータスではなく、継続的なプロセスです。年次監査（内部または外部）をスケジュールして、規制の変更、サービスプロバイダーの開発、契約タイプの最新のマッピング、効果的な人材確保、新入社員のトレーニングなどをチェックします。中小企業の場合、簡単な監査には半日かかり、多くの予期せぬ事態を回避できます。まず、certyneo.com/signup で無料の Certyneo アカウントを作成して実際のコンプライアンスをテストし、その後、eIDAS ガイドを参照してさらに詳しく調べてください (/guide/eidas)。