メインコンテンツへスキップ
Certyneo

eIDAS 2認定 署名提供者向け認証ガイド 2026年対応

eIDAS 2規則は信頼サービス提供者に新たな要件を課しています。2026年の完全対応を実現するための認証プロセス全体を解説します。

読了時間2分

Certyneo チーム

ライター — Certyneo · Certyneo について

署名提供者にとってeIDAS 2認証がもたらす変化

2024年4月11日に発効した規則(EU) 2024/1183(いわゆるeIDAS 2)により、欧州連合内で事業展開する信頼サービス提供者(PSC)は大幅に整理された規制枠組みに直面しています。2014年の元々のeIDAS規則からの改正は、認識されるサービスの範囲を拡大するだけでなく、認定条件を厳格化し、新しい保証レベルを導入し、国家管制機関の監視要件を強化しています。欧州市場で適格電子署名(QES)またはアドバンス署名(AdES)サービスを提供したいすべての事業者にとって、署名提供者向けeIDAS 2認証の取得方法を理解することはもはやオプションではなく、戦略的な義務となっています。

本記事は認証プロセスの包括的な概要を示します:適用される法令、遵守すべき技術標準、適合評価機関(CAB)の役割、現実的なスケジュール、および運用上の注意点です。

---

eIDAS 2の新しい規制環境:何が変わったか

規則910/2014からeIDAS 2規則2024/1183へ:主要な進化

元々のeIDAS規則(n° 910/2014)は欧州における統一デジタル信頼市場の基礎を確立しました。署名の3つのレベル(シンプル、アドバンス、適格)を定義し、適格提供者が国別信頼リスト(TSL、Trust Service Lists)に記載されることを義務づけていました。eIDAS 2はこのアーキテクチャを保持しつつ、複数の構造的な点で拡充しています:

  • 適格サービスの拡大 : 適格電子アーカイビング、電子属性証明書(AEA)、適格署名作成装置(QSCD)の遠隔管理。これらの新しいサービスは適格署名と同じ認定手続きの対象となります。
  • 欧州デジタルアイデンティティウォレット(EUDIW) : ウォレットと連携したいサービス提供者は、欧州委員会が公開する技術仕様(ARF — Architecture and Reference Framework、v1.4、2024)への適合を実証する必要があります。
  • 監視の強化 : 国別監視機関(フランスではANSSI)は調査命令権が強化されています。適格PSCは予告なし監査の対象となる可能性があります。
  • 通知期限の短縮 : 重大なセキュリティインシデントは24時間以内に管轄当局に通知する必要があります(以前のバージョンでは特定のインシデントに対して72時間)。

規則の全体像については、CertyneoのeIDAS 2.0ガイドeIDAS 2ガイドが全ての進化について分かりやすいまとめを提供しています。

保証レベルと認証への影響

アドバンス署名と適格署名の区別はシステムの中心的な役割を続けています。QESのみが完全性と帰属性に関する法的推定の恩恵を受け、これは手書き署名と等価です(eIDAS 2規則第25条)。この推定は署名提供者の認証に直接条件づけられています。

| レベル | 法的効力 | 提供者要件 | |---|---|---| | シンプル (SES) | 限定的 | なし | | アドバンス (AdES) | 有意 | ベストプラクティス + ETSI標準 | | 適格 (QES) | 最大(法的推定) | eIDAS 2認証必須 |

---

eIDAS 2認証プロセス ステップ別解説

ステップ1 — 組織的・技術的前提条件

認証プロセスを正式に開始する前に、提供者は3つの軸における成熟度をレビューする必要があります:

1. ETSI標準への適合 EN 319シリーズ標準は不可欠な技術基盤を構成しています。主要な標準は以下の通りです:

  • ETSI EN 319 401 : 信頼サービス提供者の一般要件
  • ETSI EN 319 411-1 および 411-2 : 認証局ポリシーと要件(適格認証用のPTC-QCプロファイル)
  • ETSI EN 319 421 : タイムスタンプ提供者のポリシーと要件
  • ETSI EN 319 132 : XAdES(XML)、CAdES(CMS)、PAdES(PDF)署名形式

これらの標準への適合は、適格提供者にとって任意ではありません。欧州委員会の実行法により明示的に要求されています。

2. 情報システムセキュリティ QSCD(適格署名作成装置)はCommon Criteria (CC) EAL4+またはそれ以上で認証される必要があります。リモート署名ソリューション(主流のSaaSモデル)では、要件はHSM(Hardware Security Module)および暗号鍵管理手順もカバーします(最低FIPS 140-2レベル3準拠)。

3. セキュリティポリシー(PSSI)とリスク管理 認証ファイルはISO/IEC 27001に適合した形式化されたPSSIを要求します(認証は強く推奨され、CABから要求される場合もあります)。NIS2要件も「重要」または「必須」機関として分類されるサービス提供者の場合は統合する必要があります。

ステップ2 — 適合評価機関(CAB)の選択と契約

フランスでは、COFRAC(フランス適合評価委員会)から信頼サービス提供者の評価認定を受けたCABの数は限定的です。例えば、LSTI(Laboratoire de Sécurité des Technologies de l'Information)とBureau Veritas Certificationが参照される事業者です。欧州規模では、各加盟国が通知CAB一覧を公表しています。

CABの役割は適合監査を2段階で実施することです:

  1. 文書レビュー(段階1):ポリシー、手順、認証実践宣言書(DPC / CPS)および技術証拠の検査。
  2. オンサイト監査(段階2):運用管制の確認、侵入テスト、チーム担当者へのインタビュー。

CAB監査の総期間は通常、候補者の事前の成熟度に応じて4〜8週間です。

ステップ3 — 国別監視機関による処理

フランスではeIDAS 2認証申請を処理するのはANSSI(Agence Nationale de la Sécurité des Systèmes d'Information)です。CAB監査報告書に基づき、ANSSIは独自の分析を実施し、補足情報または是正措置を要求する場合があります。

規制上の処理期限は完全なファイル受領から3ヶ月です(eIDAS 2規則第17条)。実際には、初期ファイルが不完全な場合、実際の期間はより長くなることが一般的です。

国別信頼リストに登録されると、提供者はEUTLEU Trusted List)に自動的に登録され、欧州委員会により公表され、全27加盟国でクロスボーダー認識を得ます。

ステップ4 — 適格維持と更新

eIDAS 2認証は永続的ではありません。適格提供者は以下の対象となります:

  • 年1回の監視監査 : CABにより実施
  • 24ヶ月ごとの完全更新監査(以前の慣行よりも短期化)
  • 予告なし管制:ANSSI主導による

インフラの重大な変更(HSM変更、PKI進化、新しい適格サービス)は事前通知手続きをトリガーし、部分的な監査を必須とする場合があります。

---

コスト、スケジュール、リスク要因:IT責任者が予測すべきこと

予算と人的資源

最初のeIDAS 2認証コストは重要です。支出項目には以下が含まれます:

  • CAB監査 : 対象範囲の複雑さに応じて40,000€から120,000€
  • 技術適合作業(HSM、PKI、CC認証QSCD):専有インフラの場合80,000€から数百万ユーロ
  • ISO 27001認証(事前推奨):規模に応じて15,000から50,000€
  • 法務コンサルティングと DPC作成:10,000から30,000€
  • 内部コスト : 12〜18ヶ月間の専任チーム配置(RSSI、DPO、コンプライアンス責任者)

全ての項目を合計すると、中堅規模の提供者にとって完全な認証は全体で200,000から500,000€の投資を表し、これは定期的なメンテナンスコストを除きます。

運用上のリスク要因

認証手続きにおける失敗または遅延の最も頻繁な原因は以下の通りです:

  1. 不十分に詳細なDPC : 認証実践宣言書は時に過小評価される粒度で各管制をドキュメント化する必要があります。
  2. 鍵ライフサイクル管理における欠陥 : 失効、アーカイビング、秘密鍵の破棄。
  3. インシデント管理ガバナンスの不十分さ : SIEM欠如、テスト済みの危機管理手順がない、runbooks不在。
  4. NIS2の過小評価 : 2024年10月以降、適格PSCはNIS2指令の意味で自動的に「重要」機関として分類され、追加の報告と危機管理義務があります。

既に認証済みの提供者にこれらの制約を委譲したいと考える企業にとって、Certyneoで利用可能な電子署名ソリューション比較は、このビルドまたはバイの選択を客観化するのに役立ちます。

---

eIDAS 2と企業内の電子署名:移行の課題

利用企業(提供者ではなく)にとって、SaaS署名提供者のeIDAS 2認証は現在、選択基準として避けられません。RFPに国別信頼リストへの記載を要求する条項を統合することは、規制対象セクター(金融、ヘルスケア、不動産)での標準的な慣行となっています。

確かに、企業における電子署名では、高リスク価値に関する秘密契約、委任状、電子公証実務などでQESを必須または強く推奨される用途と、AdESで十分な場合を明確に区別することが不可欠です。この用途マッピングは、提供者に契約上要求可能なサービスレベルを直接決定します。

既存ソリューションからeIDAS 2認証提供者への移行を行う組織は、また証拠アーカイブの可搬性を予測する必要があります。DocuSignまたはYouSignからCertyneoへの移行ガイドは、移行中にすでに署名されたドキュメントの法的効力を保持するためのベストプラクティスを詳述しています。

eIDAS 2認証に適用される法的枠組み

基本的なテキスト

信頼サービス提供者の認証は、その全体を習得する必要がある密集した規制階層に基づいています:

規則(EU) 2024/1183(2024年4月11日) (eIDAS 2):規則910/2014の対応する規定を廃止し置き換える参照テキスト。適格提供者のステータス取得および維持の条件、国別監視義務、新しいサービス(EUDIW、AEA)に関する要件を定義します。

規則(EU) n° 910/2014 (eIDAS 1):修正されない規定について引き続き部分的に適用可能;本規則下で採択された実行および委任法は正式な修正まで有効です。

フランス民法典、第1366および1367条 :第1366条は電子署名と手書き署名の等価性の原則を確定性条件で定めます;第1367条は、適格署名が使用される場合は反対の証拠があるまで確定性が推定されることを明確にしています。これらの国別規定はeIDAS 2の第25条の法的推定と直接連動します。

指令(EU) 2022/2555 (NIS2) : 2024年10月15日の法律によりフランス法に転換され、適格信頼サービス提供者を自動的に「重要」機関に分類します。義務:重大なインシデントについて72時間以内にANSSIに報告、形式化された網羅的リスク管理の導入、定期的なセキュリティ監査。

規則(EU) 2016/679 (GDPR) :署名サービス提供者は個人の機密データ(署名者のアイデンティティ、監査ログ)を処理します。最小化、保持制限、完全性の原則への準拠は特定のインパクト評価(AIPD)を要求します。各サービスに対する処理の法的根拠を文書化する必要があります。

規制的価値を持つ技術標準

欧州委員会の実行法(特に決定(EU) 2015/1506と改正案)はETSI標準を適合の推定根拠として指定しています:

  • ETSI EN 319 401 : TSP一般要件
  • ETSI EN 319 411-1 および 411-2 : 認証ポリシー
  • ETSI EN 319 421 : 適格タイムスタンプ
  • ETSI EN 319 132 / 122 / 102 : AdES形式(XAdES、CAdES、PAdES、ASiC)
  • ETSI TS 119 431 : リモート署名サービス

非適合の場合の法的リスク

適格提供者ステータスの不正または過失使用はANSSIが発行する行政制裁(停止、信頼リストから削除)および刑事罰(個人データセキュリティ欠如に対する刑法226-17条)に露出しています。民法上、非適合期間中に発行された署名の法的効力が争われた場合、提供者の利用企業への契約責任を招く可能性があります。

使用シナリオ:実際のeIDAS 2認証

シナリオ1 —QES適格を目指す中堅規模SaaS事業者

文書デジタル化を専門とする企業(従業員約100名)は、銀行保険セクターのクライアント向けに年間数百万の署名トランザクションを管理し、eIDAS 2適格を要請する決定をしました。これまで企業は大部分のクライアント契約には十分であるが最大の法的効力(SEPAマンデート、公証人証拠構成)を必須とする行為には不十分なアドバンス署名(AdES)をベースに提供していました。

ETSI EN 319 411-2要件と比較した約15の主要なギャップを明らかにする3ヶ月の内部監査後、企業は14ヶ月間の適合化プログラムを開始します。主要な作業はFIPS 140-2レベル3認証済みモジュールへの既存HSM置き換え、180ページのDPC作成、CAB監査前のISO 27001認証取得を含みます。総投資額は340,000€に達しました。プロセス完了時、フランス信頼リスト登録により、企業は以前体系的に除外されていた入札にアクセスでき、推定される収益増は20%です。

シナリオ2 —医療法定行為向けの適格署名を統合するヘルスケアグループ

約1,200床の統合ヘルスケアグループは、インフォームドコンセント手続き、医師権限委任、臨床研究契約プロセスをデジタル化したいと考えています。これらのドキュメントはHAS参照枠組みおよび医療データ法的枠組み(CSP第L. 1110-4条)によってQESが要求または強く推奨されるカテゴリーに分類されます。

内部インフラ認証をコスト過剰および非コア事業と判断し、グループは既にリスト登録されている第三者提供者の統合を選択します。DSIはETSI EN 319 401チェックリストに基づくコンプライアンス監査を実施し、契約化前にEUTLへの実際の記載を確認します。デプロイメント(4ヶ月で実施)は臨床研究ファイルの署名収集時間を65%削減し、医療関連ドキュメントでのシンプル署名使用に関する法的異議のリスクを排除しました。

シナリオ3 —秘密契約の保護強化を求める法律事務所

企業法を専門とする法律事務所(パートナー約30名)は年間約400件のM&A取引と事業譲渡を管理し、秘密契約署名を保護したいと考えています。個別トランザクション価値は頻繁に100万ユーロを超え、様式的欠陥は事務所の専門責任を招く可能性があります。

分析後、IT部門とマネージング・パートナーはeIDAS 2認証提供者からのQESを100,000ユーロを超える価値の行為に対する最小限の契約要件として合意します。提供者選択基準は国別信頼リスト記載の確認と最近の適合認証書提供(12ヶ月以内)を必須として統合しています。このフレームワークにより事務所は後続紛争中の署名妥当性に関する多重側面分析要求を80%以上削減することができ、同様の企業の観察に基づいています。

結論

適格電子署名提供者として eIDAS 2認証を取得することは、要求的で費用がかかり、かつ長期にわたるプロセスです — しかし欧州市場でクライアントに最大の法的保証を提供したいすべての事業者にとって避けられません。ETSI標準への適合化、CAB監査、ANSSIによる処理、および継続的な適格維持の間で、このアプローチは12〜24ヶ月にわたる実質的なリソースを動員します。

利用企業にとって良いニュースは、このインフラを内部で構築する必要がないことです:既にeIDAS 2認証済みで国別信頼リストに登録されているSaaS提供者を選択することで、QESに関連する法的推定から直ちに恩恵を受けることができ、認証コストを負担しません。

Certyneoは法律上の厳密さと使いやすさを要求するB2B企業向けに設計された、信頼できる認証提供者です。今すぐ料金を確認し、無料トライアルを開始してください

Certyneoを無料で試す

5分以内に最初の署名エンベロープを送信。月5エンベロープまで無料、クレジットカード不要。

無料で始める料金を見る
すべての記事

テーマを深掘りする

電子署名をマスターするための包括的なガイド。

おすすめの記事

関連する記事で知識を深めましょう。

電子署名対紙署名のコスト:2026年比較

紙のプロセスは見た目以上にコストがかかります。紙署名と電子署名間のコスト比較により、意思決定をサポートします。

8 min

電子署名と人事・RGPD:完全ガイド2026

eIDAS、RGPD、従業員の個人データ管理の間で、人事文書の電子署名は厳格な規則に従う必要があります。コンプライアンスを維持する方法をご紹介します。

9 min

労働法コンプライアンス:雇用主の義務

労働法におけるコンプライアンスは、すべての雇用主が厳守しなければならない数十の義務に基づいており、違反すると罰則が課せられます。2026年の完全なガイドをご覧ください。

9 min