認定電子証明書企業向けガイド：2026年版

認定電子証明書が企業にとって不可欠になった理由

契約プロセスの非物質化がすべての分野で加速している中、認定電子証明書の問題は法務部門、IT担当部長、経営陣にとって戦略的課題として浮上しています。ANSSI 2024年度年次報告書によると、認定電子署名を採用したフランスのPMEの78％以上が、契約交渉の期間を60％以上短縮しています。しかし、多くの企業はシンプル署名、高度な署名、認定署名を混同しており、法的行為が異議を唱えられるリスクがあります。この記事では、認定電子証明書とは何か、RGSおよびeIDASの枠組みを尊重しながら取得する方法、および組織内で効果的に展開する方法について、段階的に説明します。

認定電子証明書とは何か？

電子証明書は、認証局（AC）から発行されたデジタルファイルであり、個人または法人の身元を公開暗号化キーに結びつけます。これは、第三者がデジタル署名の真正性と完全性を検証できるようにする主要な要素です。

「認定」という用語は、欧州規則eIDAS（規則910/2014、第28条）から生じる正確な定義を指します。証明書は、信頼できる認定サービス提供者（PSCQ）から発行され、国の信頼リスト（フランスではANSSIが公開）に登録されている必要があります。さらに、証明書化ポリシーと実践を規制するETSI EN 319 411-2標準の技術要件を遵守する必要があります。

実際には、認定証明書は以下を保証します：

• 署名者の確認済み身元（面前での身分確認または認定された同等の手段）；
• 署名文書の完全性（その後の修正は検出可能）；
• 否認不可性（署名者は署名を否認することはできません）。

シンプル、高度、認定署名の違い

eIDAS規則では、3つのレベルの電子署名を区別しており、それぞれ異なるレベルの証明書に関連しています：

| レベル | 必要な証明書 | 証拠力 | 一般的な用途 | |---|---|---|---| | シンプル | 不要 | 弱い | 通常の発注書 | | 高度 | 高度な証明書（PSCQ） | 中程度 | B2B商業契約 | | 認定 | 認定証明書（認定PSCQ） | 最大、手書き署名に相当 | 公証人行為、公共調達、機密HR |

認定署名のみが、手書き署名への法的同等性の推定の恩恵を受けます（民法第1367条）。認定電子証明書が不可欠です。レベルの違いの詳細については、電子署名の完全ガイドをご覧ください。

---

RGS枠組み：フランス固有の詳細事項

フランスでは、一般セキュリティ参照基準（RGS）は、2010-112令により確立され、ANSSIによって定期的に更新され、行政機関の情報システムに適用される安全要件を定義しています。公的機関（公共調達、オンライン手続き）と契約する企業にとって、RGSの遵守はしばしば契約上または規制上の義務です。

証明書に適用されるRGSレベル

RGSは証明書の適格性について3つのスター評価を定義しています：

• RGS*（1つ星）：基本レベル、感度の低い一般的な用途に適応；
• RGS（2つ星）**：中間レベル、行政オンライン手続きのほとんどが必要；
• RGS（3つ星）*：高いレベル、法的または財政的リスクが高い行為の場合。

電子化された公共調達では、購入プロファイルを通じて、令2016-360（第39条および40条）は一般的に最小でもRGS署名レベルを課しており、同等の適格性の証明書を意味します。

RGSとeIDASの連携

eIDAS規則が発効して以来、両方の参照基準が共存しています。eIDASの意味の認定証明書は、大多数のケースでRGS**要件を満たしていると見なされます。ANSSIは互換性を確認するための対応表を公開しています。したがって、民間パートナーと公的パートナーの両方と協力している企業は、フランスの信頼リストに登録されているPSCQから発行された認定eIDAS証明書を優先することをお勧めします。これは両方の参照基準を同時にカバーしています。

欧州規則を深堀りするため、eIDAS 2.0ガイドは予定されている重大な変更とフランス企業への影響を詳述しています。

---

認定電子証明書を取得する方法：ステップバイステップのプロセス

認定電子証明書を取得することは自明ではありません。要求者の身元の厳格な検証と、法人の場合はその法的代表性が必要です。主要なステップは以下の通りです。

ステップ1：適切な認定信頼サービスプロバイダーを特定する

フランスでは、認定証明書を発行する資格のあるPSCQは、ANSSI（esignature.gouv.frポータルで利用可能）が公開する信頼サービスステータスリスト（TSL）に記載されています。このリストに存在するアクターの中には、CertEurope、Certinomis（La Poste子会社）、KeyneticsなどのACや、eIDAS相互認識の原則に従って認識されている他のヨーロッパプロバイダーがあります。

検討する選択基準：

• フランスおよび/またはヨーロッパのTSLへの実在の存在；
• 提供される証明書の形式（ソフトウェア、スマートカード、HSMクラウド）；
• 既存のIT基盤との互換性；
• 料金および有効期間（通常1～3年）；
• サポートレベルおよび登録期間。

ステップ2：登録ファイルの作成

企業の場合、認定証明書の要求には、保有者（個人）の身元と法人を代表する能力の両方を証明する文書の提出が必要です。通常必要な書類は：

• 保有者の公式身分証明書（パスポート、国家ID）；
• 3ヶ月以内のKbisの抜粋（協会、公的機関に相当するもの）；
• 権限委譲（保有者が法定代表者でない場合）；
• 登録要求フォーム（選択されたPSCQ固有）。

身元確認は、PSCQから委任された登録オペレーター（OE）の前で面前で実行する必要があります。または、ETSI TS 119 461の標準に準拠した承認されたリモート検証手順です。

ステップ3：証明書の配達と有効化

選択された形式に応じて、証明書は以下を通じて配達されます：

• 認定署名作成デバイス（QSCD）：暗号化USBキーまたはCommon Criteria EAL 4+認定スマートカード；
• リモート認定電子署名サービス（RQES）はPSCQで管理され、秘密キーはETSI EN 419 241標準に従って認定されたHSM（ハードウェアセキュリティモジュール）でホストされます。

RQESサービスのデプロイは、今日、企業で最も採用されているソリューションです。暗号化サポートの物理的な管理を回避しながら、認定される適合性を維持するためです。電子署名ソリューションを比較して、あなたのコンテキストに最適なモデルを特定します。

ステップ4：ビジネスプロセスへの統合

証明書を取得したら、企業のドキュメントフローへの統合は一般的にSaaS電子署名プラットフォームを通じて行われます。これは必ずETSI標準（XAdES、PAdES、CAdES）と互換性があることが必須であり、デジタル証拠の相互運用性と永続性を保証します。企業における電子署名に関する専門記事は、このデプロイを構築するのに役立ちます。

---

コスト、有効性、更新：企業が予測すべきこと

2026年の料金幅

認定証明書の料金は、形式とプロバイダーによって異なります：

• 物理的サポート証明書（USB/カード）：1人当たり年間80～250ユーロ（税別）；
• 認定クラウド証明書（RQES）：1人当たり年間40～150ユーロ（税別）、ボリュームによる；
• 企業向けパッケージ：10人の保有者から大幅な割引が適用され、単価の30～40％に達する可能性があります。

これらのコストは、生成されるコスト削減の観点から考慮すべきです：印刷、郵送、郵便処理遅延、異議を唱えられた署名に関連する紛争の排除。

有効性と更新期間

認定証明書の有効性は、一般的に加入されたオファーに応じて1、2、または3年に固定されます。満期時に、以前に署名されたドキュメントは有効なままです（認定されたタイムスタンプサービスを通じて完全性が保持される限り）。しかし、新しい行為は期限切れの証明書では署名できません。したがって、監視と更新プロセスを実装することが重要です。理想的には有効期限の60日前。

失効と事故管理

秘密鍵が妥協された場合（サポートの紛失、盗難、漏洩の疑い）、証明書はすぐにPSCQに失効する必要があります。PSCQは失効を証明書失効リスト（CRL）またはOCSPプロトコルで公開します。この証明書を使用した以降の署名を無効にします。内部セキュリティポリシーは、専用の連絡先と24時間以内のアラート期間を規定する必要があります。

---

企業での成功したデプロイメントのためのベストプラクティス

ガバナンスと内部ロール

成功したデプロイメントは明確なガバナンスに基づいています。以下を指定することをお勧めします：

• PKI責任者（IT側の公開鍵基盤）、PSCQとの関係と更新監視を担当；
• 法務リファレンスは、認定署名（対高度）が必要なユースケースを検証します；
• 委任された管理者は、部門別に保有者の運用管理を担当します。

トレーニングと変更管理

認定証明書の採用だけでは十分ではありません。同僚は証明書を使用する方法、有効化のタイミング、および事故時に対応する方法を理解する必要があります。短い（1～2時間）のトレーニング計画と文書化された手順は、使用エラーとサポートチケットを大幅に削減します。

監査とトレーサビリティ

証拠の義務を満たすために、各署名の監査ジャーナルを保持します：署名者の身元、ドキュメントフットプリント、認定日時、証明書識別子。これらのデータは、紛争の場合の証拠チェーンの基礎を構成します。ETSI EN 319 132（XAdES）標準は、ネイティブにこの情報を含む署名フォーマットを規定しています。

認定電子証明書に適用される法的枠組み

民法と証拠力

フランスの法律では、民法第1366条は、電子文書と紙文書の同等性の原則を、「それが由来する人物の身元が適切に確実にされ、その完全性を保証する性質の条件で確立および保管されている」という条件下で確立しています。第1367条第2項は、認定電子署名が信頼性の推定の恩恵を受けることを明記しています。署名を異議を唱えている当事者が反対の証拠を提供するのは署名者に有利です。

eIDAS規則910/2014

欧州規則eIDAS（910/2014）は、2016年7月1日以来すべての加盟国で直接適用される超国家的基盤を構成します。その第25条（2）は「認定電子署名は手書き署名と同等の法的効果を持つ」と規定しています。第28条および29条は、認定証明書および認定署名作成デバイス（QSCD）に適用される要件を定義します。附録Iは、認定証明書の必須表示のリスト（ポリシーOID、PSCQ身元、公開キー、有効性日付など）です。

eIDAS 2.0の進化

eIDAS 2.0規則（EU規則2024/1183、2024年5月20日発効）は、欧州デジタル身元ウォレット（EUDIW）を導入し、認定信頼サービスへのアクセスの要件を強化します。企業は、2026～2027年までにこれらの新しいメカニズムの統合を予測する必要があります。

適用可能なETSI標準

• ETSI EN 319 411-2：認定証明書を発行するPSCQのポリシーと実践；
• ETSI EN 319 132（XAdES）およびETSI EN 319 122（CAdES）、ETSI EN 319 162（PAdES）：高度および認定電子署名フォーマット；
• ETSI EN 419 241：署名サーバーの要件（RQES）。

GDPRとデータ保護

登録（身元確認、文書収集）の文脈における個人データの処理は、GDPR 2016/679の対象となります。PSCQとクライアント企業は、処理の共同責任者であるか、構成に応じて責任者/プロセッサーの関係にあります。GDPR第28条に準拠したDPA（データ処理契約）が署名される必要があります。登録データは、証明書のライフタイム期間と適用可能な処理期間（契約上5年）を保存する必要があります。

NIS2指令とインフラストラクチャセキュリティ

NIS2指令（2022/2555/UE）はフランス法第2024-449号によって転置され、必須および重要な機関に、デジタルサプライチェーンセキュリティを含む危険管理対策を実装することを課しています。国立TSLに登録された認定PSCQの使用は、これらの要件に部分的に満たすための認識されたベストプラクティスです。

ユースケース：認定証明書の実装

シナリオ1：高い証拠力の行為を管理する法律事務所

20人以上の協会メンバーと共同労働者を持つビジネス法律事務所は、定期的に社会的利益譲渡行為、取引プロトコル、および代理人委任を署名する必要があります。これまで、各行為は印刷、手書き署名、スキャン、郵便送付が必要でした。つまり、署名サイクルごとに平均4～7営業日。各協会メンバーに認定クラウド証明書（RQES）をデプロイした後、この期間は公証人の介入を必要としない行為については4時間未満に短縮されます。事務所は、文書管理に関連する管理時間の65％削減を推定し、使用開始後の最初の18ヶ月間、署名の異議は記録されていません。Certyneo が提供する法律事務所向け電子署名ソリューションは、このタイプのワークフローにネイティブに統合されます。

シナリオ2：公共調達者と契約するPME産業

金属加工業を営む120人を雇用するPMEは、購入プロファイルの電子化された公開入札に定期的に応札しています。最小限RGS**レベルの証明書で電子的に入札書と契約書に署名する必要があります。CEO と承認された商業取締役のための2つの認定証明書を取得した後、PMEは出発地を離れることなく期限内に入札書を提出できました。1年間に、これはおよそ35件の入札呼び出し書です。つまり、文書管理のみで年間約15日間作業の節約です。証明書のeIDAS準拠は、ドイツとベルギーの購買事業者との署名認識も保証し、商業範囲を拡大します。ROI計算機を使用して、独自のコンテキストの潜在的な利益を見積もります。

シナリオ3：HR およびサプライヤー行為を保護する医療グループ

約1,200のベッドを持つ病院グループであり、複数の機関を統合しており、年間約3,000件の雇用契約、修正、サプライヤーコミットメントに直面しています。人事部長と調達部長は共同で認定署名ソリューションをデプロイし、認可された取締役のために発行された証明書を所有しています。並行して、当局者が署名するドキュメントは高度な署名ワークフローで処理され、認定署名を高い法的価値の取締役行為に予約します。結果：雇用契約最終化の平均期間は12日から2.5日に短縮され、不完全なファイル率（署名欠落、署名された誤ったバージョン）は78％低下しました。Certyneo による医療分野の電子署名ソリューションは、病院部門の規制の特殊性を統合しています。

結論

認定電子証明書を取得することは、今日、デジタル行為を安全に保護し、公開調達の要件に対応し、eIDAS規制枠内で登録したいすべての企業にとって必須の段階です。制約ではなく、競争力のレバレッジです：署名時間の短縮、攻撃不可能な証拠チェーン、EU全体における国境を越えた認識。

覚えておくべき重要なステップ：ANSSIの信頼リストに登録されているPSCQを選択して、厳格な登録ファイルを作成し、デプロイメントを容易にするためにクラウド形式（RQES）を選択して、ETSI標準に準拠したプラットフォームに証明書を統合します。

Certyneo は各ステップであなたをサポートします：適切な署名レベルの選択からビジネスプロセスへの統合まで。無料デモをリクエストして、48時間以内に組織で認定署名をデプロイする方法を発見してください。