eIDAS 2 vs eIDAS 1: 中小企業向けの主要な変更点

はじめに: なぜeIDAS 2が中小企業のゲームを変えるのか

2024年5月20日以来、規則(EU) 2024/1183 — 一般にeIDAS 2と呼ばれている — が発効し、規則(EU) No. 910/2014(eIDAS 1)は段階的に廃止・置換されています。フランスの中小企業にとって、この切り替えは単なる行政的な更新ではありません。デジタル信頼レベルを再定義し、ヨーロッパのアイデンティティウォレット(EUDIW)を導入し、信頼サービスプロバイダーの要件を強化し、認識されるサービスの範囲を拡大します。この記事では、eIDAS 1とeIDAS 2を詳細に比較し、中小企業にとって実際の運用上の影響を特定し、2026年に準拠するための行動計画を提供します。

---

1. 復習: eIDAS 1が確立したもの(2014-2024)

1.1 初期規則の基礎

2014年7月に採択され、2016年9月から適用可能になったeIDAS 1は、ヨーロッパのデジタル信頼領域の最初の礎を築きました。3つの大きなカテゴリーの電子署名 — シンプル(SES)、高度(AdES)、認定(QES) — を導入し、信頼されたプロバイダーの信頼リスト(Trusted List)を作成しました。これは欧州委員会のポータルで確認できます。

中小企業にとって、eIDAS 1の主な利点は、認定署名の国境を越えた認識でした。フランスのQESで署名された契約は、ドイツ、スペイン、イタリアで法的に認識されました。これは「差別禁止」と呼ばれる原則で、CertyneoなどのSaaSプラットフォームが自社のサービスを構築する基盤になっています。

1.2 特定されたの制限

その進歩にもかかわらず、eIDAS 1は、欧州委員会の2021年の評価報告書で文書化されたいくつかの不足に苦しんでいました:

• アイデンティティスキームの断裂化: FranceConnect+の実質的なレベルなど、その国家スキームを通知した加盟国のみが相互認識から受益していました。2023年には、27の加盟国のうち14のみが準拠スキームを通知していました。
• ネイティブなモバイルサポートの欠如: 認定署名作成デバイス(QSCD)は、スマートカードやハードウェアトークンが必要なことが多く、モバイル採用を妨げていました。
• 信頼できるサービスが限定的: eIDAS 1は9種類の認定サービスをリストアップしていました。新しい用途(認定電子保存、属性管理)は規制されていませんでした。
• 統一されたアイデンティティウォレットがない: 各市民または企業はサイロ方式で自分の識別子を管理していて、保証された相互運用性がありませんでした。

これらの制限により、欧州委員会は2020年に審議を開始し、3年間の三者協議の後、eIDAS 2規則に至りました。

---

2. eIDAS 2が中小企業にもたらす5つの大きな革新

2.1 ヨーロッパデジタルアイデンティティウォレット(EU Digital Identity Wallet — EUDIW)

これが規則の最も目に見える革新です。2026年11月(第5a条で定められた施行期限)までに、各加盟国は少なくとも1つの認定デジタルアイデンティティウォレットを市民と住民に提供しなければなりません。中小企業にとって、この進化には2つの直接的な結果があります:

1. 顧客とパートナーの認証が簡素化される: ウォレットは、検証された属性(年齢、VAT ID、Kbis抜粋、認定銀行データ)を摩擦なく共有できるようになります。ドイツのパートナーとの枠組協定は、EUDIWから彼の専門的属性を即座に検証した後に署名できます。
2. 特定の部門でEUDIWを受け入れる義務: 大規模プラットフォーム(第45bis条)と特定の公共サービスのオンラインサービスは、EUDIWを認証手段として受け入れなければなりません。B2Bポータルを提供する中小企業は、認証APIを適応させる必要があります。

2.2 認定信頼サービスのリストの拡張

eIDAS 2は、認定信頼サービスのカタログを9から14のカテゴリーに拡張します。中小企業に直接関係する新しいエントリーは以下の通りです:

• 認定電子保存(第45septies条): 長期保存と強化された証拠価値を備えています。これまで、証拠価値を持つ保存は、フランスではSIAF/ANSSI参考資料など、国家参考資料に依存していました。eIDAS 2はヨーロッパの枠組みを調和させます。
• 認定署名作成デバイスの遠隔管理(RQSCD): 今や明確に規制されている場合、これはクラウド認定署名ソリューションにある曖昧さを解消します。50人の従業員を持つ中小企業では、物理的なトークンなしで、どのデバイスからでも認定署名にアクセスできることを意味します。
• 認定電子レジスタリサービス: ブロックチェーンまたは分散台帳技術に基づくレジスタリは、認定ステータスを取得でき、契約管理の新しいモデルを開きます。

電子署名レベルとそれらの法的価値についてさらに詳しく知るには、当社の電子署名の完全ガイドを参照してください。

2.3 認定信頼サービスプロバイダー(QTSP)のセキュリティ要件の強化

eIDAS 2は、認定信頼サービスプロバイダー(QTSP)の義務を厳しくしています。改正された第24条は特に以下を課しています:

• ヨーロッパのフレームワーク(EU Cybersecurity Act、規則2019/881)に準拠したサイバーセキュリティ認証: ENISA開発中の部門別スキーム。
• 運用レジリエンスの強化された要件: QTSPは、事業継続計画を文書化し、国家監督機関に提出する必要があります(フランスではANSSI)。
• セキュリティインシデント通知義務が24時間以内(NIS 2との整合)。

利用側の中小企業にとって、これはプロバイダー選択での勤勉な調査が増えることを意味します。署名ソリューションが更新されたトラストリストに載っているかどうかを確認することが、購買プロセスの重大なステップになったのです。当社の電子署名ソリューションの比較がこの分析に役立つかもしれません。

2.4 アイデンティティスキームの相互運用性の強制

eIDAS 1では加盟国に通知(またはしない)の自由を与えていたのに対し、eIDAS 2は公共サービスのオンラインで使用されるアイデンティティスキームについて通知と相互運用性を義務化します(第5条)。フランス・アイデンティティ — 内務省が推進する国家スキーム — はEUDIWの技術仕様との整合性が進行中です。欧州委員会は実施規則(EU) 2024/2977で公開しています。

公共行政と定期的にやり取りする中小企業(政府調達、税務申告、税関手続き)にとって、この進化は、オンラインの手続きが全EU内で認識される一意のデジタル識別子の周りに段階的に統一されることを意味しています。

2.5 責任と監督に関する新しい規則

eIDAS 2はプロバイダーの責任体制(改正された第13条)を明確にし、拡大しています。QTSPは、義務違反による個人または法人への損害について、不在の責任を証明しない限り、現在は推定され責任があります。eIDAS 1と比較して強化されたこの推定責任は、中小企業に以下を促すべきです:

• プロバイダーとのコミットメントを契約で正式化する(SLA、可用性保証、損害賠償)。
• QTSPの職業賠償責任保険の適用範囲を確認する。
• 署名トランザクションの監査証拠を保持する(タイムスタンプログ、署名検証レポート)。

当社のチームは企業での電子署名に関する詳細なガイドを執筆しており、これらの契約的側面をカバーしています。

---

3. eIDAS 1 vs eIDAS 2の比較表: 具体的に変わること

3.1 主要な進化の概要

| 基準 | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | アイデンティティウォレット | なし | EUDIW必須(加盟国) | | 認定サービス | 9カテゴリー | 14カテゴリー(保存、RQSCD、レジスタリ...) | | スキーム通知 | 自由 | 公共サービスでは必須 | | QTSP セキュリティ | Common Criteriaカテゴリー | Cybersecurity Act + ENISAスキーム | | QTSP 責任 | 部分的 | 推定責任の強化 | | インシデント通知期限 | 未指定 | 24時間(NIS 2整合) | | モバイルQSCD | 法的曖昧性 | RQSCDは明確に規制 |

3.2 2026年に注意すべき主要な期限

• 2024年5月: 規則(EU) 2024/1183の発効。
• 2026年11月: 各加盟国が認定EUDIW解を少なくとも1つ提供する期限。
• 2027年: 大規模プラットフォーム(第45bis条)がEUDIWを認証手段として受け入れることの義務化。
• 2028年: EUDIW技術仕様の実施行為の予定改正(委任規則)。

中小企業がより準拠したソリューションへの移行を検討している場合、当社のCertyneo への移行オファーには無料のeIDAS 2準拠監査が含まれています。

---

4. 中小企業をeIDAS 2準拠にするための実践的な行動計画

4.1 既存の文書フローの監査

電子署名またはデジタルアイデンティティを現在使用しているすべてのプロセスをマッピングすることから始めます。サプライヤー契約、給与明細の電子化、SEPA委任、機密保持契約、人事行為です。各フローについて、次を特定します:

• 使用されている署名レベル(SES、AdES、QES)。
• 現在のプロバイダーとトラストリストでのステータス。
• 異議が唱えられた場合の法的リスクレベル。

この監査は、2025年3月に発表されたANSSIの準拠ガイドで推奨される出発点です。

4.2 署名ソリューションをアップグレードする

現在のプロバイダーがeIDAS 2のトラストリストに記載されていないか、RQSCDをまだ提供していない場合、市場のオファーを比較する時間が来ました。Certyneoは、3つのすべての署名レベル(SES、AdES、QES)をサポートし、認定電子保存やデバイスの遠隔管理など、eIDAS 2の新しい要件をネイティブに統合する認定QTSPです。

4.3 チームを教育し、契約を更新する

eIDAS 2は認定署名の証拠価値を強化しますが、良好な文書管理慣行も課しています。法務チームと管理チームが以下を確認してください:

• 3つの署名レベルと個々の法的価値を区別する方法。
• サプライヤー契約にeIDAS準拠監査条項を統合する。
• 署名検証の証拠(検証レポート、タイムスタンプ)を法定保存期間(性質に応じて3〜10年)の間保持する。

この方法を構造化するために、当社の電子署名ROI計算機により、アップグレードに関連する運用利益を定量化できます。

適用される法的枠組み

参考資料

フランスの中小企業のeIDAS 2準拠は、習得することが不可欠な規範的な重層の中に収まります。

欧州議会および理事会規則(EU) 2024/1183 (「eIDAS 2」と呼ばれるもの): これは基本テキストであり、2024年4月30日にJOUEで発表されました。規則(EU) No. 910/2014を、2027年まで進行する展開スケジュールに従って廃止し置換します。加盟国での法定施行のための国家立法を必要とせず、すべての加盟国で直接適用されます。

規則(EU) No. 910/2014 (eIDAS 1): eIDAS 2が提供する移行期間中、いくつかの規定は引き続き適用されます。特に、2024年5月前に認定を取得し、再認定の期限がある認定プロバイダーについて。

フランス民法、第1366・1367条: 第1366条は電子文書とペーパー文書の同等性の原則を設定します。ただし「発行者を適切に特定でき、その完全性を保証する方法で確立・保持される必要があります」。第1367条は電子署名を証拠の手段として認識し、政令で定められる条件を参照しています(2017年9月28日の政令2017-1416号で、民法第R. 1369-1から1369-10条に符号化されています)。

規則(EU) 2016/679 (GDPR): EUDIWの展開と電子署名フロー内のアイデンティティ属性の処理は、GDPR意味での個人データの処理です。中小企業は、QTSPがGDPR第28条の意味での下請業者として機能し、準拠するDPA(データ処理契約)があることを確認する必要があります。CNILは2026年1月にEUDIW-GDPR統合に関する特定の推奨を公開しました。

指令(EU) 2022/2555 (NIS 2): eIDAS 2はNIS 2の通知義務(eIDAS 2第24条§2がNIS 2規定を参照)で明確に整合しています。QTSPは、サイズに応じてNIS 2意味での「必須」または「重要」エンティティと見なされ、この名義で定期的なセキュリティ監査の対象になります。

ETSI標準: 認定電子署名はETSI EN 319 132-1(XAdES)、ETSI EN 319 122-1(CAdES)、ETSI EN 319 162-1(ASiC)、ETSI EN 319 102-1(検証手順)に準拠する必要があります。規格ETSI TS 119 461は遠隔アイデンティティ検証(IDV)を規制し、特にRQSCDに関連があります。

非準拠の場合の法的リスク

eIDAS 2に準拠しない電子署名ソリューションを使用すると、中小企業は複数のリスクにさらされます:

• 司法での不受理: 裁判官は、署名レベルが署名行為に対応していない電子署名を除外する可能性があります(例: 高度または認定レベルが必要な行為に対する単純な署名)。
• 契約責任: パートナーが署名の無効を理由に契約に異議を唱える場合、中小企業は損害賠償請求にさらされる可能性があります。
• GDPR制裁: プロバイダーのセキュリティ欠陥に関連するデータ違反の場合、中小企業は共同責任者またはコントローラーとして、CNILから年間世界売上高の4%まで罰せられる可能性があります(GDPR第83条§4)。

具体的な使用シナリオ

シナリオ1: 年間400のサプライヤー契約を管理する80人の工業用中小企業

年間約400のサプライヤー契約を処理する金属加工セクターの中小企業は、2024年まで単純電子署名(SES)をすべての契約に使用していました。eIDAS 2準拠監査後、契約の35%は、特にEUの他の加盟国のサプライヤーとの司法異議に抵抗するために、高度または認定署名が必要であることに気付きました。

高度な署名(AdES)で通常契約へ、認定(QES)で枠組み契約へ、認定電子保存(eIDAS 2の新しいサービス)を有効化することで移行した後、この中小企業は、署名後の文書管理に費やされる時間を70%削減し(ファイリング、検索、認定コピーの送付)、以降の18ヶ月間に署名異議関連の紛争をゼロに削減しました。前18ヶ月間は2件の事件がありました。

シナリオ2: 15人のコラボレーターを持つ法律コンサルティング事務所

企業法専門の事務所は、年平均1200の署名行為(委任状、委任状、機密保持契約)を発行していました。企業クライアントからの需要が増加していました。EU全体で認識可能な認定署名についてです。eIDAS 1では、認定証明書を取得するには対面またはビデオ検証が長期間(ユーザーあたり45〜90分)必要でした。

eIDAS 2で規制されたRQSCD(Remote Qualified Signature Creation Device)のおかげで、事務所は100%遠隔登録プロセスを通じて、ETSI TS 119 461規格に準拠して、2週間未満ですべてのコラボレーターに認定署名を展開できました。内部採用率は40%から95%に3ヶ月で上昇し、署名後の平均返却時間は4.2日から6時間未満に削減されました。

シナリオ3: EUの3か国で営業するe-コマース中小企業

35人を雇用し、フランス、ベルギー、オランダで営業する小売企業は、3種類のオンライン契約を管理する必要がありました。地域従業員の雇用契約、運送業者とのパートナーシップ契約、専門クライアント向けのSEPA委任。eIDAS 1下での国家要件の断裂化により、3つの異なる署名ワークフローを管理する必要があり、管理コストは年間約12000ユーロと推定されていました。

eIDAS 2準拠のユニークなソリューション採用 — 3か国での認定署名の相互認識を統合 — により、ワークフローを統合でき、管理コストを約4500ユーロ/年に削減(62%削減)でき、外国署名の法務部門による手動検証に関連する遅延を排除できました。

結論

eIDAS 2は、規制フレームワークの単なる化粧直しではありません。ヨーロッパのデジタル信頼のルールを根本的に再定義しています。フランスの中小企業にとって、5つの主要な進化 — EUDIWウォレット、認定サービスの拡張、RQSCD、義務的な相互運用性、強化された責任 — は、準拠要件とドキュメント変革を加速させる機会の両方を表しています。

これらの変更を今日から予測する中小企業は、実際の競争優位を得ます: EUを通じて摩擦なく認識される契約、統合された証拠価値アーカイブ、完全にデジタル化され安全な署名プロセス。

Certyneoはこの移行をサポートするように設計されています。certyneo.comで無料トライアルを開始し、既存の文書フローについてeIDAS 2準拠監査を無料で受けてください。