フランスにおける電子署名サービスプロバイダーの義務

はじめに

フランスで電子署名ソリューションを導入することは、即興ではできません。適格または高度な署名の背後には、信頼サービスプロバイダー(PSCo)に該当する数十の法的義務があります。eIDAS規則、RGPD、一般セキュリティ参照枠、ETSI規格…規制枠組みは密集していると同時に進化しています。利用企業にとって、フランスのeIDAS RGPD電子署名サービスプロバイダーの法的義務を理解することは、適合するパートナーを選択し、法的リスクを回避するために不可欠です。本記事では、フランス領土で活動するPSCoに適用可能なすべての要件の全体像を、セクションごとに詳しく説明しています。

---

適格信頼サービスプロバイダーの地位

eIDASの意味でのPSCoとは？

eIDAS規則第910/2014号は、プロバイダーを2つのカテゴリーに分けます：非適格サービスプロバイダーと適格プロバイダー(PSCQ)。最初のものは、第三者監査なしで簡単な電子署名または高度な電子署名を提供することができます。2番目のもの—eIDASの第3条(15)の意味で適格署名を発行することのみ許可されたもの—はかなり厳格な要件を満たす必要があります。

フランスでは、国家情報システムセキュリティ機関(ANSSI)がeIDASの第17条で予見されている監視機関の役割を果たします。ANSIIはフランス信頼リスト(TSL —信頼サービスリスト)を発行・管理しており、公式サイトからアクセスでき、適格プロバイダーとそのサービスをリストアップしています。

適格化手続：監査と適合性

PSCoが適格地位を取得するには、必ず以下を行わなければなりません：

• COFRAC認定CAB(適合性評価機関)に監査を実施させる。これはEN ISO/IEC 17065規格に従って実施されます。

• 監査報告書をANSIIに提出し、ANSIIが適格地位の付与について判断します。この地位は少なくとも24ヶ月ごとに再評価されます(eIDAS第20条§1)。

• サービスの大幅な変更をANSIIに通知する必要があり、これは予定変更の3ヶ月前に行う必要があります(eIDAS第21条)。

これらの手順を遵守しない場合、プロバイダーはTSLから削除される可能性があり、適格署名に付属する法的推定の利益を失う可能性があります。クライアント企業にとって、TSLにリストされていないPSCoを使用することは、信頼性の法的推定の利益を受けないことを意味します。

> eIDAS 2.0規則のさまざまなレベルの署名とその法的効果についてさらに詳しく知るには、eIDAS規則の完全ガイドをご覧ください。

---

PSCoに課せられた技術的およびセキュリティ要件

ETSI規格への準拠

適格プロバイダーは、欧州電気通信標準化機関(ETSI)が発行した一連のヨーロッパ規格に準拠する必要があります。主なものは：

• ETSI EN 319 401 ：すべてのPSCoに適用される一般的なセキュリティ要件。

• ETSI EN 319 411-1および411-2 ：適格署名証明書を発行する認証局のポリシーおよび慣行。

• ETSI EN 319 132 ：高度な電子署名形式(XMLのXAdES、PDFのPAdES、CMSのCAdES)。

• ETSI EN 319 122 ：適格署名のためのCAdES形式。

• ETSI TS 119 431 ：リモート署名作成サービス(遠隔QSCD)の要件。

これらの規格は任意ではありません。eIDAS規則(附属書II、IIIおよびIV)は、適格証明書およびデバイスの最小要件を定義するために明示的にそれらを参照しています。

セキュアな署名作成デバイス(QSCD)の管理

適格署名の柱の1つは、eIDASの附属書IIに準拠したセキュアな署名作成デバイス(QSCD —適格署名作成デバイス)の使用です。プロバイダーは以下を保証する必要があります：

• 署名者の秘密鍵はQSCD外で生成、保存、またはコピーされることはできません。

• 鍵の生成は認定環境内でのみ行われます(Common Criteria EAL 4+認定または同等)。

• 署名者の認証は署名行為に先立ち、少なくとも2要素認証に基づいています。

リモート署名—SaaS環境ではますます一般的—の文脈では、これらの要件はキーをホストするサーバーHSM(ハードウェアセキュリティモジュール)に適用されます。ANSIIは特定の保護プロフィール(PP-0075、PP-0076)を発行しており、達成すべきセキュリティ基準を定義しています。

継続性ポリシーとインシデント通知

eIDASの第19条は、すべての信頼サービスプロバイダー(適格またはそうでない)に以下を義務付けます：

• セキュリティ侵害を検出してから24時間以内に、監視機関(ANSSI)および必要に応じてデータ保護機関(CNIL)に通知する。これはサービスの信頼性に�悪影響を与える可能性があります。

• 定期的にテストされた書面化された業務継続計画を維持する。

• セキュリティリスク管理、インシデント管理、バックアップポリシーを含む形式化された情報セキュリティポリシーを持つ。

これらの要件は、NIS2指令(2022/2555/EU)の要件と部分的に重複しており、2023年8月1日第2023-703法でフランス法に転置されており、かなりの規模のPSCoを重要または必須エンティティに分類し、強化されたサイバーセキュリティ義務の対象となります。

> PSCoが法律事務所向けの電子署名をどのようにしてこれらの制約を文書ワークフローに統合する必要があるかについて、詳しく知ることができます。

---

PSCoに固有のRGPD義務

PSCoは責任者か処理者か？

規制されたRGPDプロバイダーの適格性は、提供されるサービスの性質に依存します：

• PSCoが署名者の名前で直接適格証明書を発行し、個人データ処理の目的を決定する場合(身元、認証用生体情報データ)、RGPD第4条(7)の意味で責任者として機能します。

• これがB2Bクライアントのプラットフォームに統合され、このクライアントの指示のみに従ってデータを処理する場合、RGPD第4条(8)の意味で処理者の資格を持ち、RGPD第28条に準拠したDPA(データ処理契約)を必ず締結する必要があります。

実際には、ほとんどのPSCo SaaSは両方の資格を組み合わせています：自社の認証インフラの管理では責任者であり、署名者の文書とメタデータの処理では処理者です。

生体情報および身元データに関連した特定の義務

署名者の識別と認証—適格証明書を発行するための必須ステップ—は、多くの場合、機密データの処理を伴います：身分証明書のスキャン、セルフィービデオ、顔認識生体情報データ。このデータはRGPDの対象となる個人データを構成し、RGPD第9条に該当する生体情報データさえもあるかもしれません(特別なカテゴリー)。

PSCoの義務には以下が含まれます：

• 法的根拠 ：生体情報データの処理については、明示的な同意(第9条§2a)または特定の場合は法的義務(第9条§2b)。

• 保持期間が限定される：CNILガイドラインによると、識別データは厳密に必要な時間保持される必要があり、通常は証明書の有効期間+法的証明期間(私署証書では多くの場合10年、民法第2224条)に合わせられます。

• 影響評価(AIPD)が必須(第35条RGPD)です。処理が高いリスクを引き起こす可能性のある場合—これは生体認証では常にそうです。

• 処理登録(第30条RGPD)が最新に保たれ、各処理カテゴリーを文書化しています。

国際的なデータ転送

多くのPSCoは、インフラの全部または一部を欧州経済領域(EEE)外にホストしています。この場合、RGPD第Vチャプターで要求される適切な保障が課されます：適合性決定、欧州委員会の標準契約条項(SCC)またはバインディング企業ルール(BCR)。Schrems II判決(CJEU、C-311/18、2020年7月16日)は、米国への転送がリスク分析が事前に行われることを要求することを思い出させました。

> これらのルールが組織に与える影響を理解するには、企業における電子署名ガイドをご覧ください。

---

ユーザーへの透明性と情報義務

認定ポリシー(PC)および認定実践宣言(DPC)

証明書を発行するすべてのPSCoは、認定ポリシー(PC)および認定実践宣言(DPC)を発行する必要があります。これらはETSI EN 319 411規格に準拠しています。これらの文書は自由にアクセス可能であり、以下を詳述しています：

• 署名者の識別と登録の手順。

• 展開されたセキュリティ対策(物理的および論理的)。

• 証明書失効の条件と関連遅延。

• PSCoの責任と保証の制限。

これらの文書がない、または不完全な場合、適格プロバイダーによって認定監査時に検出されるべき非準拠を構成します。

クライアントへの契約前および契約情報

純粋に技術的な義務を超えて、RGPD第13条は、PSCoが明確で入手可能な情報を、データが収集されるすべての個人に提供することを義務付けています：

• 責任者の身元と連絡先、およびDPOの連絡先(大規模に機密データを処理するPSCoでは必須、RGPD第37条)。

• 各処理の目的と法的根拠。

• 個人の権利(アクセス、訂正、削除、ポータビリティ、異議)。

• データの潜在的な受取人(処理者、当局)。

この情報は、サービスのプライバシーポリシー、利用規約、および必要に応じてクライアント専門家と締結されたDPAに含まれる必要があります。

適格タイムスタンプと監査証跡

署名の長期的な証拠価値を保証するために、真摯なPSCoは通常、各署名行為に適格電子タイムスタンプ(eIDAS第42条)を体系的に関連付けています。このタイムスタンプは、指定された日付のデータの存在の法的に推定される証拠を構成しています。監査証跡(識別ログ、文書フットプリント、署名データ)の保持は、その後の司法検証を可能にするための実質的義務です。

> 電子署名ソリューション比較でこれらの基準に従ってマーケットソリューションを比較してください。

---

eIDAS 2.0：2026〜2027年に向けた新しい義務

eIDAS 2.0規則(EU) 2024/1183

2024年4月30日にEU官報に掲載されたeIDAS 2.0規則(EU) 2024/1183は、3つの軸の周りでPSCoの義務を大幅に強化しています：

• 欧州デジタル身分ウォレット(EUDI Wallet) ：加盟国は2026年11月2日までに認定デジタル身分ウォレットを提供する必要があります。PSCoはeIDAS 2.0身分による適格署名を提供するためにこのウォレットと統合する必要があります。

• 属性証明の管理 ：eIDAS 2.0は適格プロバイダーによって発行される適格属性証明(QEAAs)を導入しています。新しい監査および適格化手続が適用されます。

• 監視の強化 ：国家監視機関(フランスの場合ANSSI)の権限が拡大され、特に予告なし監査を実施し、短縮期限内に是正措置を課す能力が含まれます。

現在のプロバイダーの実用的な影響

eIDAS 1.0の下で既に適格化されているPSCoは、設定された期限までに段階的な適合性更新を進める必要があります。これらは欧州委員会の実行法(発行されたか発行予定)によって定義されています。主な適応に関しては：

• EUDI Walletを認証手段としてサポートするための識別インフラの全面的な変更。

• 新しい種類の証明書と証明を統合するためのPC/DPCの更新。

• リモートQSCDのセキュリティ要件の強化。新しい保護プロフィールが今後公開されます。

クライアント企業にとって、これはプロバイダーが文書化および確認可能なeIDAS 2.0適合ロードマップを持っているかを既に今日確認することを意味しています。

電子署名サービスプロバイダーの義務に適用できる法的枠組み

フランスで活動する電子署名サービスプロバイダーに適用可能な規範的チェーンは、複数の補完的な階層レベルで構成されています。

フランス民法—第1366条および1367条

民法第1366条は、「その発信者を適切に特定することができ、その完全性を保証する条件下で確立および保持される」場合、電子記録を紙の記録と同等の証拠モードとして認識しています。第1367条は、電子署名は「その署名が添付される行為とのリンクを保証する信頼できる識別プロセスの使用からなる」と明確にしています。eIDASの意味で適格署名は信頼性の推定の利益を享受し、証拠の負担を署名者の有利に反転させます。

eIDAS規則910/2014/EU

この規則は、すべての加盟国で直接適用可能であり、信頼サービスの法的枠組みを確立しています。その第26条は高度な電子署名の条件を定義しています；その第28条は適格証明書の要件を定義しています；その附属書Iはこれらの証明書の必須内容を詳述しています。適格PSCoは、規則の技術的および法的要件への適合の推定の利益を享受しています(第19条§2)。これはリティゲーションの場合の大きな資産を構成しています。

eIDAS 2.0規則—(EU) 2024/1183

2024年4月30日に発行されたこの修正規則は、新しいカテゴリーの信頼サービス(適格属性証明、適格アーカイブサービス)を導入し、監視義務を強化しています。欧州委員会の実行法に従う段階的な適用可能性を伴い、規則910/2014の一部を廃止し置き換えています。

RGPD—規則(EU) 2016/679

RGPDは、電子署名サービスの枠組み内で実行されたあらゆる個人データの処理に適用されます。第5条(適法性の原則)、第6条(法的根拠)、第9条(機密データ)、第13〜14条(情報)、第28条(処理者)、第32条(セキュリティ)、第33〜34条(違反通知)、第35条(AIPD)および第37条(DPO)は最も頻繁に適用される規定です。CNILはフランスでの管轄監視機関であり、2000万ユーロまたは年間世界売上高の4%(RGPD第83条§5)の罰金を課すことができます。

NIS2指令—(EU) 2022/2555

2023年8月1日第2023-703法によってフランス法に転置されたNIS2は、相当な規模のPSCoを強化されたサイバーセキュリティリスク管理義務とANSIIへのインシデント通知義務(初期警告まで24時間、その後完全な通知まで72時間)の対象となる重要または必須エンティティに分類します。

ETSI規格

EN 319 401、EN 319 411-1/2、EN 319 132、EN 319 122およびTS 119 431のすべての規格は、適格化監査の必須技術参照を構成します。これらを遵守しないと、適格地位を取得または維持できません。

非準拠の場合の法的リスク

非準拠プロバイダーは以下にさらされます：フランスTSLからの削除、契約上および不法行為上の責任追及、CNIL行政制裁、相当な規模のエンティティについて1000万ユーロまたは世界売上高の2%、および必須エンティティについて2000万ユーロまたは世界売上高の4%に達する可能性のあるNIS2罰金、ならびに署名の法的有効性に理由がある理由により損害を被ったクライアントの司法的救済。

ユースケース：企業がPSCoの適合性を確認する方法

シナリオ1—年間3000件の仕入先契約を管理する産業グループ

機械装置製造に従事する中規模産業グループ(ETI)は、SaaS電子署名プラットフォームを介してすべての仕入先契約を非物質化します。規制変更のきっかけで開始された内部監査中に、法務部門は、最初に価格基準で選択されたプロバイダーが、フランスTSLにもヨーロッパのいずれかのTSLにも記載されていないことに気付きます。提供される署名は、署名者の堅牢な識別メカニズムなしで「簡単」タイプです。

リスクに直面—署名されたすべての契約は、リティゲーションの場合、それらの証拠価値が異議を唱えられる可能性があります—企業は適格ANSSI PSCoへの移行を開始します。新しいソリューションは、適格証明書を持つ高度な署名、適格タイムスタンプ、およびエクスポート可能な監査証跡を統合しています。移行プロジェクトは8週間以内に実行され、新しい行為を遡及的に保護することができます。法務チームは、実行の欠如と異議のために古い契約に関連した訴訟リスクは限定的であると推定していますが、すべての新しい署名は現在適切にカバーされています。

観察された利益：署名の真正性に関連した潜在的なリティゲーションの60%削減、複雑な契約の平均署名遅延の3.5日の利益。これはワークフロー自動化を通して得られました。

シナリオ2—ビジネス法を専門とする25人の弁護士事務所

弁護士事務所は、委任状、相談、および訴訟行為の署名をデジタル化したいと考えており、複数のプロバイダーを評価しています。その分析グリッドには以下のものが含まれます：TSL上の存在、アクセス可能なPC/DPC発行、RGPD準拠DPAの存在、連絡可能なDPO、およびリモートQSCDの認証。

評価した5つのプロバイダーのうち、2つだけがすべての基準を満たしています。事務所は最終的に、QSCD経由で適格署名をネイティブに提供するPSCoを選択しています。これにより、民法第1367条の信頼性の推定が保証されます。セットアップには3週間かかり、トレーニングを含みます。結果：75%の委任状は現在24時間以内に署名されています。以前は5〜7日でした(郵送)。事務所は顧客に対して、ソリューションが提供する法的セキュリティのレベルを正当化できます。これは商業提案における差別化要因です。

シナリオ3—約1200床の病院グループ

病院グループは、労働契約、インターンシップ契約、および提携医療機関とのパートナーシップ契約をデジタル化したいと考えています。処理されるデータの機密性(医療専門家の健康データ、HR データ)により、PSCoのRGPD義務に対して特別な注意が必要です。

DSIおよび機関のDPOは以下を要求しています：フランス内のHDS認定データセンター(公式医療データホスティング、公式医療法典第L.1111-8条により規定)でのデータホスティング、EEE外への転送なし、署名者識別処理に関する文書化されたAIPD、および本番前のDPO署名。

これらの基準を満たすPSCoの選択後、展開は最初にHR契約(年間約800行為)をカバーしています。有期契約の署名の平均遅延は9日から48時間未満に短縮されており、HR部門のチームに大幅な能力を解放しています。機関は、収集されたすべての同意の完全なトレーサビリティを持ち、年次DPO監査によって検査されます。

まとめ

フランスの電子署名サービスプロバイダーに対する法的義務は、要求される規範的コーパスを形成しています：eIDAS適格性、RGPD準拠、ETSI規格への遵守、NIS2義務、およびeIDAS 2.0への迫り来る適応。利用企業にとって、PSCoの適合性を確保することはオプションのプロセスではありません。署名行為の証拠価値と署名者の個人データの保護の必須条件です。

Certyneoは、すべてのこれらの要件に応じるために設計された電子署名サービスプロバイダーです：eIDAS準拠、RGPDの設計、主権ホスティング、および文書化されたeIDAS 2.0ロードマップ。署名を完全に準拠で保護する準備はできていますか？Certyneoでのデモンストレーションをリクエストするか、アカウントを作成してください。初日からのパーソナライズされたサポートを受けてください。