メインコンテンツへスキップ
Certyneo

フランスにおける電子署名サービスプロバイダーの法的義務

eIDAS適格性、RGPD適合性、ANSSI要件:電子署名サービスプロバイダーは要求の厳しい法的枠組みに直面しています。遵守すべきすべての義務を発見してください。

読了時間2分

Certyneo チーム

ライター — Certyneo · Certyneo について

white printer paper close-up photography

はじめに

フランスで電子署名ソリューションをデプロイすることは即席には構成されていません。各適格署名または高度な署名の背後には、信頼サービスプロバイダー(PSCo)に対する数十の法的義務が隠れています。eIDASレギュレーション、RGPD、一般セキュリティ規範、ETSI規格...規制枠組みは同時に密集的かつ進化的です。利用者である企業にとって、これらの法的義務フランスeIDASRGPDを理解することは、適合したパートナーを選択し、あらゆる法的リスクを回避するために不可欠です。本記事は、セクションごとに、フランス国内で事業を行うPSCoに適用可能なすべての要件の全体像を詳細に説明しています。

---

適格信頼サービスプロバイダーの地位

eIDASの意味におけるPSCoとは何か?

レギュレーション eIDAS n°910/2014は、2つのカテゴリーのプロバイダーを区別しています:非適格信頼サービスプロバイダーと適格プロバイダー(PSCQ)。最初のグループは、必須の第三者監査なしで単純または高度な電子署名サービスを提供できます。2番目のグループ(eIDASの第3(15)条の意味における適格署名を配信するためにのみ許可されている)は、著しくより厳格な要件を満たす必要があります。

フランスでは、国家情報システムセキュリティ機関(ANSSI)が、eIDASの第17条に規定される監督機関(「Supervisory Body」)の役割を果たします。同機関は、フランスの信頼リスト(TSL - Trust Service List)を公開・維持し、公式ウェブサイトでアクセス可能であり、適格プロバイダーとそのサービスを記載しています。

適格化手続き:監査と適合性

PSCoが適格ステータスを取得するには、必ず以下を実施する必要があります:

  • COFRAC により EN ISO/IEC 17065規格に従い認定された適合性評価機関(CAB - Conformity Assessment Body)によってそのサービスを監査させる。
  • 監査報告書をANSSIに提出し、同機関が適格ステータスの付与について判断する。本ステータスは少なくとも24ヶ月ごとに再評価される(eIDAS第20条§1)。
  • サービスに実質的な変更がある場合、予定されている変更の3ヶ月前にANSSIに通知する(eIDAS第21条)。

これらのステップの非遵守は、プロバイダーをTSLから削除し、適格署名に付与される法的推定を喪失させます。顧客企業にとって、TSLに記載されていないPSCoの利用は、法的信頼性の推定の恩恵を全く受けないことを意味しています。

> 異なるレベルの署名とその法的効果について詳しく知るには、弊社のガイドをご覧ください。

---

PSCoに課される技術およびセキュリティ義務

ETSI規格の遵守

適格プロバイダーは、欧州電気通信標準化機構(ETSI)によって発行された一連のヨーロッパ規格に適合する必要があります。主要なものは以下の通りです:

  • ETSI EN 319 401:すべてのPSCoに適用される一般的なセキュリティ要件。
  • ETSI EN 319 411-1 および 411-2:適格署名用証明書を発行する認証局のポリシーと実践。
  • ETSI EN 319 132:高度な電子署名形式(XMLはXAdES、PDFはPAdES、CMSはCAdES)。
  • ETSI EN 319 122:適格署名のためのCAdES形式。
  • ETSI TS 119 431:リモート署名作成サービス(QSCD遠隔)の要件。

これらの規格は任意ではありません。eIDASレギュレーション(付属書II、IIIおよびIV)は、適格証明書および署名作成デバイスの最小要件を定義するために明示的にそれらを参照しています。

署名作成セキュアデバイス(QSCD)の管理

適格署名の柱の1つは、eIDASの付属書IIに適合する署名作成セキュアデバイス(QSCD - Qualified Signature Creation Device)の使用です。プロバイダーは以下を保証しなければなりません:

  • 署名者の秘密鍵は、QSCDの外部で生成、保存、またはコピーされることはない。
  • 鍵の生成は、認定環境内でのみ行われる(Common Criteria EAL 4+認定またはそれと同等のもの)。
  • 署名行為に先立つ署名者の認証は、少なくとも2つの認証要因に基づいている。

リモート署名という文脈において(SaaS環境ではますます蔓延している)、これらの要件は、秘密鍵をホストするサーバーHSM(Hardware Security Module)に適用されます。ANSSIは、達成すべきセキュリティ基準を定義する特定の保護プロファイル(PP-0075、PP-0076)を発行しています。

事業継続性とインシデント通知のポリシー

eIDASの第19条は、あらゆる信頼サービスプロバイダー(適格かどうかを問わず)に以下を課します:

  • セキュリティ侵害の検出後24時間以内に、監督機関(ANSSI)および必要に応じてデータ保護機関(CNIL)に、サービスの信頼性に影響を与える可能性のある侵害を通知する。
  • 定期的にテストされた文書化された事業継続計画を保有する。
  • 危険管理、インシデント管理、バックアップポリシーなど、特に情報セキュリティポリシーをカバーする形式化されたポリシーを保有する。

これらの要件は、2023年8月1日の法律n°2023-703によってフランス法に転置された指令NIS2(2022/2555/EU)の要件と部分的に重なります。これは重要な規模のPSCoをサイバーセキュリティの強化された義務の対象となる重要または重要なエンティティに分類します。

> ドキュメンタリーワークフローにこれらの制約をどのように統合すべきかをご覧ください。

---

PSCoに対する特定のRGPD義務

PSCoは、責任者または処理者か?

プロバイダーのRGPD適格性は、提供されるサービスの性質に依存します:

  • PSCoが署名者の名義で直接適格証明書を配信し、個人データ処理の目的(身元、認証生体認証データ)を決定する場合、RGPD第4(7)条の意味において責任者として機能します。
  • クライアントB2BのプラットフォームにそのAPIを統合し、このクライアントの指示のみに従って個人データを処理する場合、RGPD第4(8)条に従い処理者の資格を有し、RGPD第28条に適合するDPA(Data Processing Agreement)を必ず締結しなければなりません。

実際には、ほとんどのPSCo SaaSは両方の資格を累積しています:自身の認証基盤の管理について責任者であり、署名者のドキュメントおよびメタデータの処理について処理者です。

生体認証およびアイデンティティデータに関連する特定の義務

署名者の識別と認証(適格証明書を配信するための必須ステップ)は、しばしば機密データの処理を伴います:身分証明書のスキャン、ビデオセルフィー、顔認識生体認証データ。これらのデータはRGPDの対象となる個人データ、または RGPD第9条に該当する生体認証データです(特別なカテゴリー)。

PSCoの義務は以下を含みます:

  • 法的根拠:明示的な同意(第9§2a)または、場合によっては法的義務(第9§2b)生体認証データの処理用。
  • 限定された保持期間:CNIL指令によると、識別データは厳密に必要な時間保持されるべきであり、一般的には証明書の有効期間+法定証明期間(私人契約については10年間であることが多く、民法第2224条)に合わせられます。
  • 影響評価(AIPD)義務(第35条 RGPD)処理が高いリスクを引き起こす可能性がある場合 - これは生体認証の場合は体系的に当てはまります。
  • 処理レジスタ(第30条 RGPD)最新に保たれ、各処理カテゴリーを文書化しています。

国際的なデータ転送

多くのPSCoは、欧州経済地域(EEA)外で全部または一部のインフラをホストしています。この場合、RGPDの第V章で要求される適切な保証:適切性決定、欧州委員会の標準契約条項(SCC)、または拘束力のある企業ルール(BCR)が課されます。Schrems II判決(CJEU、C-311/18、2020年7月16日)は、米国への転送は事前の国別リスク分析を必要とすることを想起しています。

> これらの規則が貴組織に与える影響を理解するには、弊社のガイドをご参照ください。

---

ユーザーに向けた透明性および情報提供の義務

認証ポリシー(PC)および認証実践宣言書(DPC)

証明書を配信するあらゆるPSCoは、ETSI EN 319 411規格に従い、認証ポリシー(PC)および認証実践宣言書(DPC)を公表するために拘束されています。これらのドキュメント(自由にアクセス可能)は、以下を詳細に説明します:

  • 署名者の識別および登録の手続き。
  • デプロイされたセキュリティの物理的およびロジカル対策。
  • 証明書の失効の条件および関連遅延。
  • PSCoの責任と保証の制限。

これらのドキュメントの欠落または不完全性は、認定機関による再適格監査時に特定される可能性のある非適合性を構成します。

クライアントに向けた契約前および契約情報

純粋に技術的な義務を超えて、RGPD第13条は、PSCoが以下に関する清潔で利用可能な情報を提供することを各人に対して課しています:

  • 責任者のアイデンティティおよびDPO(大規模に機密データを処理するPSCoについて必須、RGPD第37条)の連絡先。
  • 各処理の目的および法的根拠。
  • 人々の権利(アクセス、訂正、削除、ポータビリティ、異議)。
  • データの潜在的受取人(処理者、機関)。

これらの情報は、サービスのプライバシーポリシー、利用規約およびその場合はクライアントとの間で締結されたDPAに記載されるべきです。

適格電子タイムスタンプおよび監査ログ

長期的な署名の法的価値を保証するために、真摯なPSCoは各署名行為に適格電子タイムスタンプ(eIDAS第42条)を体系的に関連付けます。このタイムスタンプは、指定された日付でのデータの存在の法的推定証拠を構成します。監査ログ(識別ログ、ドキュメント指紋、署名データ)の保存は、後の司法的検証を可能にするための事実上の義務です。

> ソリューション比較を含むマーケットプレイスの詳細については、弊社のベンチマークをご覧ください。

---

eIDAS 2.0:2026~2027年が予期される新しい義務

レギュレーション eIDAS 2.0(EU)2024/1183

2024年4月30日にEU公式紙に公開された、レギュレーション(EU)2024/1183(「eIDAS 2.0」)は、PSCoの義務を3つの軸で著しく強化しています:

  • 欧州デジタルアイデンティティウォレット(EUDI Wallet):加盟国は、2026年11月2日までに認定されたデジタルアイデンティティウォレットを提供しなければなりません。PSCoはeIDAS 2.0アイデンティティを通じて適格署名を提供するためにこのウォレットとサービスを統合する必要があります。
  • 属性証明の管理:eIDAS 2.0は、適格プロバイダー機関によって配信される適格属性証明(QEAAs)を導入します。新しい監査および適格化手続きが適用されます。
  • 監督の強化:国家監督機関(フランスはANSSI)の権限が拡大され、特に予告なし監査を実施する能力と、短い期限内で強制是正措置を課す能力が含まれます。

現在のプロバイダーに対する実際の含意

eIDAS 1.0で既に適格化されたPSCoは、委員会実装行為で設定された期限(公開または公開中)の前に段階的な適合性向上を実施する必要があります。主な適応は以下を関係します:

  • EUDI Walletを認証手段としてサポートするための識別インフラの再構築。
  • 新しいタイプの証明書および証明を統合するためのPC/DPCの更新。
  • 遠隔QSCDのセキュリティ要件の強化、今後の新しい保護プロファイルを伴う。

顧客企業にとって、これはプロバイダーが文書化および検証可能なeIDAS 2.0適合性ロードマップを保有していることを今から確認することを意味しています。

フランスで事業を行う電子署名サービスプロバイダーの義務に適用される法的枠組み

フランス国内で事業を行う電子署名プロバイダーに適用可能な規範チェーンは、いくつかの相補的な階層レベルで構造化されています。

フランス民法 - 第1366条および第1367条

民法第1366条は、電子書類を紙の書類と同等の証拠方法として認識し、「その発信者を適切に識別でき、その完全性を保証するような条件で確立し保存される」ことを条件としています。第1367条は、電子署名は「それが付属する行為とのリンクを保証する信頼できる識別プロセスの使用を構成する」ことを明確にしています。信頼性の推定は、eIDASの意味における適格署名から恩恵を受けられ、署名者に有利に証明の負担を転換します。

レギュレーション eIDAS n°910/2014/EU

本レギュレーションは、すべての加盟国で直接適用可能であり、信頼サービスの法的枠組みを確立します。その第26条は、高度な電子署名の条件を定義し、その第28条は適格証明書の要件を定義し、その付属書Iこれらの証明書の必須内容の詳細を説明しています。適格PSCoは、レギュレーションの技術的および法的要件への適合性の推定から恩恵を受けます(第19§2条)。これは訴訟の場合に大きな利点を構成します。

レギュレーション eIDAS 2.0 - (EU)2024/1183

2024年4月30日に発行された本修正レギュレーションは、信頼サービスの新しいカテゴリー(適格属性証明、適格アーカイブサービス)を導入し、監督義務を強化します。これは、委員会実装行為に従う段階的な適用可能性でレギュレーション910/2014を部分的に廃止および置換します。

RGPD - レギュレーション(EU)2016/679

RGPDは、電子署名サービスの枠組み内で実施される個人データの処理に適用されます。第5条(合法性の原則)、第6条(法的根拠)、第9条(機密データ)、第13-14条(情報)、第28条(処理者)、第32条(セキュリティ)、第33-34条(違反通知)、第35条(AIPD)および第37条(DPO)は、最も頻繁に適用可能な規定を構成します。CNILはフランスの担当管制機関であり、RGPD第83§5条に従い最大2000万ユーロまたは年間世界売上高の4%の罰金を科すことができます。

指令NIS2 - (EU)2022/2555

2023年8月1日の法律n°2023-703によってフランス法に転置された、NIS2は重要な規模のPSCoを、サイバーリスク管理およびインシデント24時間以内通知(早期警告)その後72時間(完全通知)の義務の対象となる重要または重要なエンティティの間に分類します。

ETSI規格

EN 319 401、EN 319 411-1/2、EN 319 132、EN 319 122およびTS 119 431の規格の全体は、適格化監査の必須技術参照を構成します。それらの非遵守は、適格ステータスの取得または維持の不可能性をもたらします。

非適合性の場合の法的リスク

非適合プロバイダーは以下に晒されます:フランスTSLからの削除、契約上および契約外責任の起訴、CNIL管制制裁、最大1000万ユーロまたは世界売上高の2%に達する可能性があるNIS2罰金重要なエンティティ用および重要なエンティティ用2000万またはCAの4%、および無効な署名による損害を被った顧客からの司法上の請求。

使用例:企業がPSCoのコンプライアンスを確認する方法

シナリオ 1 - 年間3,000件の仕入先契約を管理する産業グループ

機械装置製造に従事する中堅企業(ETI)は、SaaS電子署名プラットフォーム経由で仕入先契約全体をデジタル化しています。規制進化後に開始した内部監査中に、法務部門は、最初に選定されたプロバイダー(価格基準で選定)はフランスTSLまたはいかなるヨーロッパTSL上でも参照されていないことを認識します。配信された署名は、署名者の強固な識別メカニズムなしで「単純な」タイプです。

法的リスク(署名されたすべての契約の法的価値は訴訟時に異議を唱えられる可能性がある)に直面して、企業はANSSI適格PSCoへの移行を開始します。新しいソリューションは、適格証明書を備えた高度な署名、適格電子タイムスタンプおよびエクスポート可能な監査ログを統合しています。8週間以内に実施された移行チャネルは、新しい行為を遡及的に保護し、適合ドキュメンタリーポリシーを確立することを許可します。法務チームは、実行なしに争われなかったという事実のために古い契約に関連する訴訟リスクが周辺的なままであると推定しますが、新しいすべての署名は現在カバーされています。

観察されたゲイン:署名の真正性に関連する潜在的訴訟の60%削減、および複雑な契約に対する平均署名遅延で3.5日のゲイン検証ワークフロー自動化に感謝しています。

シナリオ 2 - 商事法に特化する25名協力者の法律事務所

弁護士事務所は、権限書、相談および訴訟行為の署名のデジタル化を望み、複数のプロバイダーを評価しています。その分析グリッドは、以下の基準を統合しています:TSL上での存在、アクセス可能なPC/DPC公開、RGPD適合DPA存在、連絡可能なDPO利用可能性および遠隔QSCD証明。

評価された5つのプロバイダーの中で、2つだけがすべての基準を満たしています。事務所は最終的に、遠隔QSCD経由でネイティブに適格署名を提供するPSCoを保持し、民法第1367条の信頼性推定を保証しています。設置は、訓練を含め3週間以内に行われます。結果:権限書の75%は現在24時間以内に署名されています(以前は郵送での5~7日)、事務所は提供されるセキュリティレベルについてクライアントに正当性を与えることができます - 商業提案における差別化引数です。

シナリオ 3 - 約1,200ベッドの病院グループ

公立病院グループは、就業契約、スタージュ協定およびケアパートナー施設とのパートナーシップ契約のデジタル化を望んでいます。処理されたデータの機密性(医療職員の健康データ、人材データ)は、PSCoのRGPD義務に対する特に注意を課しています。

DSIとその組織のDPOは以下を要求しています:フランス健康データホスター認定HDS(健康データホスター、健康法第L.1111-8条で規定された認定)でのデータホスティング、EEA外への転送不在、識別スタッシング署名者のための有文AIPD、および本番前の署名DPA。

適切な基準に応じてPSCoを選択した後、デプロイは優先的に人材契約(年間約800行為)をカバーしています。有期契約の平均署名遅延は9日から48時間以下に低下し、人材チームに重要な能力を開放しています。組織は、毎年DPOによって監査される同意の完全なトレーサビリティを備えています。

結論

フランスの電子署名サービスプロバイダーに課される法的義務は、要求の厳しい規範に形成されます:eIDAS適格性、RGPD適合性、ETSI規格の遵守、NIS2義務およびeIDAS 2.0への切迫した適応。利用者である企業にとって、PSCoのコンプライアンスを確保することは、オプションの遠足ではありません - これは署名行為の法的価値および署名者の個人データ保護の不可欠な条件です。

Certyneo は電子署名サービスプロバイダーであり、すべてのこれらの要件に対応するために設計されています:eIDAS適合性、RGPDバイデザイン、主権ホスティングおよび文書化されたeIDAS 2.0ロードマップ。最初の日から個人的なサポートを受けながら、完全な適合性で署名をセキュリティ保護する準備はできていますか?

Certyneoを無料で試す

5分以内に最初の署名エンベロープを送信。月5エンベロープまで無料、クレジットカード不要。

無料で始める料金を見る
すべての記事

テーマを深掘りする

このトピックに関する参考記事。

中小企業向けの eIDAS コンプライアンス: 2026 年の完全なチェックリスト中小企業が 2026 年の eIDAS 規制に準拠していることを確認するにはどうすればよいですか? 12 項目のチェックリスト: 署名レベル、サービス プロバイダー、アーカイブ、GDPR。電子署名 HR & GDPR:2026年完全ガイドeIDAS、GDPR、従業員の個人データ管理の間で、貴社のHR文書の電子署名には厳格な規則が適用されます。コンプライアンスを維持する方法をご覧ください。アフィリエイト プログラム: 法的枠組みと契約 2026医療部門における電子署名:RGPD&HDS医療部門は、デジタル規制への最も厳格な制約の対象となっています。医療機関向けに法的に有効でGRPD準拠、かつHDS認定済みの電子署名をデプロイする方法をご覧ください。医療処方箋と電子署名 2026フランスでは医療処方箋のペーパーレス化が加速しています。eIDAS規制枠組みとDMP要件を尊重しながら、電子署名が処方箋を如何にセキュアにするかをご覧ください。

テーマを深掘りする

電子署名をマスターするための包括的なガイド。

おすすめの記事

関連する記事で知識を深めましょう。

企業における給与計算の完全管理:2026年ガイド

給与計算は企業のすべての戦略的な柱です。2026年の義務、ベストプラクティス、そしてデジタル化がこのプロセスをどのように変革するかを発見してください。

9 min

企業における給与管理完全ガイド:2026年版

給与管理は企業のすべてのHR義務の中心です。ベストプラクティス、2026年の法的要件、そしてデジタル化があなたのプロセスをどのように簡素化するかを発見してください。

9 min

給与明細書の完全管理:2026年ガイド

給与明細書の管理は脱ペーパー化と新しい法的義務により急速に進化しています。2026年の完全な法令順守のためのすべての鍵を発見してください。

9 min