eIDAS適格プロバイダー：2026年公式リスト

eIDAS「適格」ステータスが企業にとって決定的である理由は何ですか？

eIDAS規則（No. 910/2014）の発効以来、ヨーロッパの電子署名市場は3段階の階層構造に沿って深く再編成されました。簡易電子署名（SES）、高度な電子署名（AES）、および適格電子署名（QES）です。最後の適格電子署名は、欧州連合の全加盟国において手書き署名との法的同等性の推定の恩恵を受ける唯一のものです。

企業が適格署名を提供できるようにするには、必然的に監査を受けて自国の信頼リスト（Trust List）に登録されている必要があります。フランスでは、フランス国立情報システムセキュリティ庁（ANSSI）がこの公式レジスタを保有しており、欧州委員会が管理する一元化されたヨーロッパリストに再び公開されます。

この構造を理解することは、機密性の高い商業契約に署名する前に基本的です。規制上の基礎についてさらに詳しく知るために、当社のeIDAS 2.0規則に関する完全ガイドは、改正eIDAS 2.0規則（EU規則2024/1183）が導入したすべての義務と進化について詳細を説明しています。

---

適格信頼サービスプロバイダーはどのように認証されますか？

適格信頼サービスプロバイダー（PSCQ）のステータスへの道は要求が厳しいものです。これは適合性評価機関（CAB、Conformity Assessment Body）によって実施された監査を含み、ETSI EN 319 401（一般要件）およびETSI EN 319 411-2適格証明書の基準に従った監査です。

ANSSIの適格化段階

1. 適格化申請書の提出：プロバイダーは技術的、セキュリティ、および組織上の文書をANSSIに提出します。
2. 認定CABによる監査：Bureau Veritas、LSTI、またはApave Certificationなどの第三者機関が、実地および書類による適合性を検証します。
3. 適格化決定：ANSSIは適格化を宣言し、プロバイダーをフランスの信頼リスト（TL-FR）に登録します。
4. 定期的な更新：適格化は再評価され、通常2年ごとに要件の維持を保証します。

監査は具体的に何を検証しますか？

監査人は特に以下を調査します：

• 暗号化鍵をホストするデータセンターの物理的セキュリティ（CC EAL 4以上またはFIPS 140-2 Level 3以上認証されたHSMモジュール）；
• プロバイダーが公開した認証方針（CP）および認証実務宣言書（CPS）；
• 署名者の身元確認手続き（対面または規格EN 419 241-1に適合した遠隔身元確認）；
• 失効管理およびOCSP/CRLサービスの可用性。

これらの基準は、フランスでこの認証レベルに到達し維持できるのはほんの一握りのプレイヤーのみである理由を説明しています。

---

フランスで2026年に参照されているeIDAS適格プロバイダー

適格プロバイダーの公式リストはいつでも欧州委員会の公式ポータル（eidas.ec.europa.eu/efts）で参照でき、「フランス」とサービス「QCertESig」（電子署名用適格証明書）でフィルタリングできます。この記事の執筆時点（2026年6月）でレジスタに含まれていたプレイヤーは次のとおりです：

フランスの信頼リストに登録されたプレイヤー

| プロバイダー | 適格サービスのタイプ | 特異性 | |---|---|---| | Certigna (Dhimyotis) | 適格証明書、適格タイムスタンプ | ラ・ポスト・グループ、2016年以来eIDAS認証 | | Certinomis | 適格証明書 | ラ・ポスト子会社、公的部門向け | | ChamberSign France | 適格証明書 | 商業会議所ネットワーク、強いSME/SMB定着 | | Keynectis / DocuSign France | 適格証明書 | DocuSignに買収、ANSSIラベル維持 | | Universign (Tessi) | 適格証明書、タイムスタンプ | 市場の先駆者、Tessiグループに統合 | | Entrust (ex-Datacard) | 適格証明書 | 国際的なプレイヤー、マルチ加盟国信頼リスト | | Oodrive Sign | 適格証明書 | フランス主権エディター、SecNumCloud認証 |

> 警告：このリストは情報および参考目的で提供されています。欧州委員会の公式信頼リストのみが有効です。契約上の約束の前に、ETSIポータルで常に現在のステータスを確認してください。

欧州信頼リストを通じてフランスで認識されている外国プロバイダー

eIDAS規則第25条で定められた相互承認の原則により、別の加盟国の信頼リストに登録されたPSCQによって発行された適格署名は、フランスで同じ法的効力を生み出します。頻繁に使用される非フランス系プレイヤーの中には：

• Namirial（イタリア）：遠隔適格署名（QES遠隔署名）に強い；
• SwissSign（スイス）：注意、スイスはEUのメンバーではありません。認識は部分的です；
• Qualified.one / Asseco Data Systems（ポーランド）：ヨーロッパの公的プレイヤー、国境を越えた取引で頻繁。

これらのソリューションをビジネスニーズに応じて比較するために、当社の電子署名ソリューション比較を参照してください。価格、コンプライアンス、API統合の基準を分析しています。

---

組織に適切なeIDAS適格プロバイダーを選択するにはどうすればよいですか？

信頼リストに含まれることは必要条件ですが、十分条件ではありません。PSCQの選択は複数の補完的な基準に基づくべきです。

技術的統合基準

• 利用可能なREST APIまたはSDK：ビジネスワークフロー（ERP、SIRH、CRM）での署名の自動化に必須；
• サポートされている署名形式：PDFのPAdES、XMLのXAdES、バイナリファイルのCAdES — すべてETSI EN 319 100によって標準化；
• サービス可用性：99.9％を超えるSLA、営業時間外の計画メンテナンス期間で契約上保証；
• データホスティング：フランスまたはEU内のホスティングを優先し、機密データの場合はSecNumCloud認証を理想とします。

法律およびコンプライアンス基準

• プロバイダーが最新の適格化報告書を提供していることを確認してください（24ヶ月以内）；
• 公開可能で監査された認証方針（CP）を要求；
• 一般条件がeIDAS規則附属書Iの意味で適格証明書の交付を明示的に規定していることを確認。

運用およびサポート基準

• 署名者の登録手続き：機関での対面、eIDAS適合ビデオ識別、または電子身分証からのNFC；
• フランス語によるサポート、契約上の応答期限；
• 法務およびIT部門の研修とドキュメントの利用可能性。

組織が大量のHR文書ワークフローを管理している場合、当社のHR部門向け電子署名ページは特定のユースケース（労働契約、修正、オンボーディング）および文書タイプ別の推奨署名レベルについて詳細に説明しています。

---

eIDAS 2.0：2026年の適格プロバイダーへの変更は何ですか？

eIDAS 2.0規則（EU規則2024/1183、2024年5月から段階的に適用開始）は、PSCQとそのクライアントに直接影響を与える複数の構造的変化を導入します。

ヨーロッパデジタルアイデンティティウォレット（EUDI Wallet）

改正規則第6a条は加盟国に対し、2026年9月までにEU全体で認識されるデジタルアイデンティティウォレット（EUDI Wallet）を提供することを義務付けます。適格プロバイダーにとって、これは以下を意味します：

• 署名者のオンボーディングの身元証明としてウォレットから発行されたアイデンティティ属性を受け入れる義務；
• 新しい適格サービスの出現：適格電子属性証明書（QEAA、Qualified Electronic Attestation of Attributes）。

新しい適格サービスとスコープの拡張

eIDAS 2.0は適格信頼サービスのリストを拡張して以下を含みます：

• 適格電子保管サービス（QPDS、第45f条）；
• 遠隔署名作成デバイス管理サービス（QRCD）。

これらの進化は、既存プロバイダーにとっての適合性調査の制約（これらのサービスの厳しい期限）と、ENISAおよびETSIが公開した技術仕様をすばやく統合できる新規参入者にとっての差別化の機会を表します。

既存プラットフォームからより適合したソリューションへの移行を検討している企業の場合、当社のDocuSignまたはYouSignからCertyneo への移行ガイドは具体的な手順と規制上の注意点を提示しています。

eIDAS適格プロバイダーに適用できる法的枠組み

eIDAS規則とヨーロッパ法

法的基礎は欧州議会および評議会規則（EU）第910/2014（2014年7月23日）であり、内部市場における電子取引用の電子識別および信頼サービスについての規則（いわゆる「eIDAS規則」）です。これは規則（EU）2024/1183（eIDAS 2.0）によって改正されています。この規則はすべての加盟国で国家的転置なく直接適用されます。

適格プロバイダーのための主要な規定：

• 第17条：各加盟国が管轄機関（フランスではANSSI）を指定する義務；
• 第20条：信頼リスト上の監督、監査、および登録の手続き；
• 第25条：QESと手書き署名間の同等性推定、EU全体での法的効力保証；
• 附属書I：電子署名用適格証明書に関する要件；
• 附属書II：適格署名作成デバイス（QSCD）に関する要件。

フランス国内法

国内法では、電子署名は以下によって規制されます：

• 民法第1366条および1367条：第1366条は、作成者のアイデンティティの保証と文書の整合性を条件として、電子文書に証拠価値を認めます。第1367条は、信頼できるプロセスで作成された電子署名による方式の署名が、施行令に従って作成された場合に信頼性の推定の恩恵を受けることを明確にしています；
• 2017年9月28日の命令第2017-1416号：適格電子署名がフランスで信頼できると推定される条件を定義し、eIDAS規則に明示的に言及しています；
• 2005年6月16日の命令第2005-674号：電子方式による特定の契約上の形式の達成に関するもの。

個人データ保護

オンボーディングおよび署名プロセスは個人データの処理を伴います（身元データ、ビデオ識別用の生体認証）。適格プロバイダーは規則（EU）2016/679（GDPR）の対象となり、特に以下を行う必要があります：

• 処理が大規模な場合、DPOを指定；
• CILレジスタで処理を文書化；
• 適切な保証によるEU外の転送を規制（標準契約条項、適切性決定）。

サイバーセキュリティおよびレジリエンス

2024年10月以来、NIS2指令（2022/2555/EU）は適格信頼サービスプロバイダーに適用され、重要事業体として分類されます。リスク管理対策の実施、重大インシデントをANSSIに24時間以内に通知し、定期的な監査を受ける必要があります。不遵守は1000万ユーロまたは年間世界売上高の2％に達する罰金にさらされます。

参考技術基準

• ETSI EN 319 401：信頼サービスプロバイダーの一般要件；
• ETSI EN 319 411-2：適格証明書の方針プロフィール；
• ETSI EN 319 132：XAdES署名形式；
• ETSI EN 319 122：CAdES署名形式；
• ETSI EN 319 162：PAdES（PDF）署名形式。

ユースケースシナリオ：eIDAS適格署名が必須となるのはいつですか？

シナリオ1 — 高い証明力を持つ個人契約を処理する法律事務所

20人程度の協力者がいる商法律事務所は、毎月数十件の社会的持分譲渡、和解議定書、および資産負債担保契約（GAP）を処理しています。これらの行為は多くの場合、数十万ユーロを超える金額に関わり、司法上異議を唱えられる可能性があります。

eIDAS適格プロバイダーへの移行前、事務所は高度な署名（AES）ソリューションを使用していました。これはほとんどの通常の行為で十分でした。訴訟で対当事者が署名の真正性を異議唱えたインシデントの後、事務所は高リスクのすべての行為にQESを選択することに決めました。結果：訴訟手続き中に署名の証拠を作成するために費やされた時間が90％削減され、これはQESに付属する取り消せない法的推定のおかげです。単位あたりの追加コスト（ボリュームに応じて約2～5ユーロ）は、訴訟費用の削減によって完全に吸収されました。

シナリオ2 — 国境を越えた仕入先契約を管理する中堅企業（ETI）

フランス、ドイツ、イタリア、ポーランドに確立された仕入先を持つ産業用機器セクターの中堅企業（ETI）は、従来、契約フレームワークを郵便で送信するか、対面署名会議を調整する必要があり、契約あたり10～21営業日の遅延が生じていました。

ヨーロッパの信頼リストに登録されたPSCQに接続されたソリューションを配置することで、企業は平均で48時間以下に署名サイクルを短縮しました。加盟国間の相互承認は追加の合法化の必要なしに法的価値を保証します。年間350件の仕入先契約のポートフォリオでは、推定利益が年間40,000ユーロを超えています。これはACFEおよびAPQCが公開したセクター研究と一致した金額です。

シナリオ3 — 医療セクターの要件の対象となる病院グループ

約1,200床の病院グループは、公開入札、臨床研究協力協定、および病院医者の契約を電子的に署名する必要があります。これらの文書は公開調達コード、これはレベル**のRGS（一般セキュリティフレームワーク）またはeIDAS同等レベルの電子署名を要求する、または公開市場の電子化以来。

フランスの信頼リストに登録されたPSCQに依拠することで、グループは公開調達コード第R. 2132-7条との適合性を保証しながら、市場署名の遅延を15日から72時間以下に短縮します。医療情報システム（SIH）との統合は文書の送信とフォローアップを自動化し、約0.4人の正社員を契約関連の管理タスクから解放しました。

結論

eIDAS適格プロバイダーを選択することは単なるソフトウェア購入ではありません：それはあなたの行為の証拠価値、組織の規制遵守、およびビジネスおよび機関パートナーの信頼を関与させる戦略的決定です。2026年には、eIDAS 2.0の段階的実装とNIS2の新しい義務が開始されると、要件レベルは増加するだけです。

重要な要点を覚えておいてください：公式信頼リストへの登録を常に確認し、公開認証ポリシーを要求し、署名レベル（QES、AES、SES）を各文書の法的リスクに適応させてください。

Certynoは登録されたPSCQを通じて適格証明書へのアクセス、堅牢なAPI統合、および専用の法的サポートを提供することで、このプロセスをサポートしています。適格署名に移行する準備はできていますか？Certynoで実演を要求するか、アカウントを作成して、今日から組織をコンプライアンスに対応させてください。