eIDAS 1からeIDAS 2への移行：2025年の署名への影響

2024年5月20日、規則（EU）2024/1183 — 一般にeIDAS 2と呼ばれる — がヨーロッパ連合官報に掲載され、規則第910/2014号（eIDAS 1）を段階的に廃止しました。このテキストは2016年以来、ヨーロッパにおけるデジタルアイデンティティと電子署名の最も構造的な改革を示しています。契約ワークフローで電子署名ソリューションを使用するフランスの企業にとって、移行は単なる形式ではありません。技術的、法的、組織的な調整が含まれており、その期限は2026年およびその先まで延びています。2025年のeIDAS 1からeIDAS 2への移行とその電子署名への影響を理解することは、法務部門、CIO、および人事部門にとって優先事項となっています。この記事は、フレームワークの基本的な進化、移行の正確なスケジュール、およびコンプライアンスを維持するための具体的な対策を解読します。

eIDAS 2規則が根本的に変更する内容

2014年規則から2024年の抜本的改正へ：なぜ改正が必要だったのか

eIDAS 1は、ヨーロッパ連合内での電子署名の相互認識の基礎を設定しました。3つの階層的レベル — 単純（SES）、高度（AdES）、適格（QES） — が署名の証拠能力を構造化し、信頼できるプロバイダーのリスト（TSL）によって支持されていました。しかし10年間で、2つの大きなギャップが明らかになりました。

第一に、元の規則は本質的に公的機関との関係（G2B、G2C）に適用されました。民間取引（B2B、B2C）で直接的な義務を生じさせず、各加盟国が不均等に埋めた規範的なギャップを生じさせました。第二に、モバイルアプリケーション、オープンバンキング、テレメディシンなどのデジタルサービスの拡大により、大陸レベルで移植性があり相互運用可能なデジタルアイデンティティシステムの欠落が明らかになりました。

eIDAS 2は、欧州デジタルアイデンティティウォレット（EU Digital Identity Wallet、EUDIW）を導入し、信頼できるサービスの範囲を新しいユースケースに拡大することで、これら2つの課題に対応しています。適格電子アーカイビング、適格属性認証、電子レジスター認定済みブロックチェーンアプリケーション含む）。

適格信頼サービスの新しいカテゴリ

eIDAS 2規則は、適格信頼サービス（第3条および改訂付属書IV）のリストを拡大しています。eIDAS 1で既に認識されている署名、シール、タイムスタンプの認定に加えて、以下が適格になります：

• 適格電子アーカイビングサービス（第34条bis）：署名付き文書の長期にわたる完全性と可読性を保証する義務、プロバイダー（QTSP）の強化された要件を伴います。
• 適格リモート署名作成デバイス管理サービス（QRCD）：HSM（ハードウェアセキュリティモジュール）クラウド経由のリモート署名ソリューションの強化されたフレームワーク。
• 適格属性認証：第三者信頼できるプロバイダーがエンティティの属性（例えば弁護士の資格、医師のステータス）を認証できるメカニズム（アイデンティティ全体を明かさずに）。
• 適格電子レジスター：監査可能性と回復力の厳格な条件下での分散型レジスターの認識。

電子署名ソリューションのユーザーにとって、この拡張は、市場で利用可能な適格信頼できるサービスが多様化することを意味し、プロバイダー（QTSP）選択の基準がこれらの新しい機能を統合する必要があることを意味しています。

EUDIW：署名の基盤としてのデジタルアイデンティティウォレット

eIDAS 2の最も目に見える革新はEUDIWのままです。各加盟国は、2026年11月26日までに、市民と住民にデジタルアイデンティティウォレットを無料で提供する必要があり、すべての他の加盟国と相互運用可能です（第5条bis国家コンプライアンス期限に従う）。このウォレットは以下を可能にします：

• サードパーティの識別プロバイダーに頼ることなく、高い保証レベル（LoA High）でユーザーを認証する；
• ウォレットから直接、適格値（QES）を持つ電子文書に署名する；
• RGPDのデータ最小化原則を尊重して、選択的なアイデンティティ属性を共有する。

企業にとって、EUDIWは理論的には、適格署名の前の身元確認手続きを簡素化し、ビデオ識別または対面識別の摩擦を除去します。実際には、その影響は、全国的な展開のペースに依存します — フランスは2025年に「France Identité」プログラムの枠組みでパイロット試験を開始しました。

eIDAS 1からeIDAS 2への移行の正確なスケジュール

理解すべき規制上のマイルストーン

規則2024/1183は2024年5月20日に発効しましたが、その適用は段階的です。以下は主要な期限です：

| 日付 | イベント | |------|----------| | 2024年5月20日 | JOUEへの掲載、正式な発効 | | 2024年11月20日 | 委員会による施行規則採択の6ヶ月期限（EUDIWの技術仕様） | | 2025年末 | ETSI改訂規格の発行（EN 319 411-1/2、EN 319 401）eIDAS 2要件を統合 | | 2026年5月26日 | 加盟国がニューカテゴリーの適格サービスで準拠する期限 | | 2026年11月26日 | 各加盟国によるEUDIWの必須提供 | | 2027-2028 | 国家信頼リスト（TSL）および新しいQTSPの認定の完全改訂 |

eIDAS 1は有効なままであり、その下で発行された署名は完全な法的価値を保持しています。既存の文書に再署名する義務はありません。しかし、適格信頼できるプロバイダーは、2027年までに新しい技術仕様に従ってその認定をリニューアルする必要があります。

何が変わらないのか、何に注意する必要があるのか

継続性は移行の基本原則です。署名の3つのレベル（SES、AdES、QES）は、定義が変わらないまま保持されています。適格値（QES）に添付された署名と手書き署名との等価性の推定（eIDAS 1第25条、eIDAS 2第27条で繰り返される）は有効なままです。あなたの現在の電子署名の法的価値は疑問を持たれていません。

一方、注意する必要があること：2025-2026年を通じてヨーロッパ委員会が発行する施行規則は、EUDIWおよび新しいサービスカテゴリーの正確な技術仕様を設定します。これらのレベル2テキストは、インテグレーターおよびソフトウェア出版社にとって実用的な重要性があります。人事または法的プロセスで電子署名を使用する企業にとっては、プロバイダーにeIDAS 2コンプライアンスロードマップを要求することが推奨されています。

企業およびその署名ソリューションへの具体的な影響

どのワークフローが優先的に影響を受けるのか？

eIDAS 1からeIDAS 2への移行は、使用される署名レベルに応じて同じ影響を与えません。企業にとって、3つの状況が区別されます：

単純電子署名（SES）：低値の補遺、受領証明書、内部フォーム用。即座の更新義務はありません。証拠規則は民法（第1366-1367条）によって支配され、eIDASによって直接ではありません。

高度電子署名（AdES/AdESQC）：商業契約のB2Bソリューション、脱物質化した雇用契約または不動産行為を使用する企業は、プロバイダーが改訂版eIDAS 2用の仕様書ETSI EN 319 132（XAdES）、EN 319 122（CAdES）、EN 319 142（PAdES）への準拠を維持していることを確認する必要があります。これらの規格はETSIによって2025年末までに発行されます。

適格電子署名（QES）：適格プロバイダー（QTSP）はeIDAS 2の新しい認定に合格する必要があります。移行期間は合理的な期限（2027年まで）を与えていますが、2025年に開始される入札は、選択基準でeIDAS 2コンプライアンス条項を含める必要があります。利用可能なオプションを比較する組織にとって、電子署名ソリューション比較は、このトピックに関する編集者の成熟度を評価することができます。

適格信頼できるプロバイダー（QTSP）の新しい要件

eIDAS 2は、QTSPに適用可能な要件を3つの主要なポイントで厳しくしています：

1. システムセキュリティ：QTSPの場合、NIS2（指令（EU）2022/2555）への必須適合、現在は重要エンティティに分類されています。これは24時間以内のインシデント通知義務、年次セキュリティ監査、業務継続計画の実装に変換されます。

1. 強化された責任：eIDAS 2の第13条はQTSPの責任レジームを拡大します。証明されたデフォルトの場合、立証責任は反転しています：プロバイダーは、その逆ではなく、過失を犯さなかったことを証明する必要があります。

1. 必須相互運用性：QTSPはEUDIWと互換性のある標準化APIを公開して、ウォレット識別の本来の統合を可能にする必要があります。この要件は、開発者に利用可能な統合インターフェースの最新化を加速させます。

このコンテキストでプロバイダーの変更を検討している企業にとって、DocuSignまたはYouSignをeIDAS 2準拠ソリューションに移行することは、2027年の緊急ではなく、今から予測する価値がある対策です。

個人データおよびeIDAS 2：RGPDとの調整

EUDIWは個人データのアイデンティティを収集および処理します。eIDAS 2規則は明示的に（前文11および第5条bis §14）、デバイス全体がRGPD（規則（EU）2016/679）に準拠する必要があることを規定しています。いくつかの注意点：

• 選択的開示：ウォレットは、ユーザーが取引に厳密に必要な属性のみを共有できるようにする必要があります（最小化の原則、RGPD第5(1)(c)条）。契約署名の場合、完全な生年月日を明かすことなく成人であることの確認のみが共有される可能性があります。
• EUの外への移転：EUDIWの枠組みで処理されるアイデンティティデータは、適切な保証のない欧州経済領域外に移転することはできません（RGPD第46条）。米国のクラウドインフラストラクチャを使用するプロバイダーは、その準拠性を文書化する必要があります。
• 署名ログの保存：署名証拠のアーカイビングは、文書の性質に比例した保存期間を遵守する必要があります。新しいeIDAS 2適格アーカイビングサービスは、この要件に対応するための技術的フレームワークを提供します。

国際雇用契約を管理する企業は、特にEU外に住む署名者がいる場合、このRGPD/eIDAS 2の関係に特に関心があります。

eIDAS 1からeIDAS 2への移行に適用される法的枠組み

参照テキスト

移行は習得が不可欠なテキストの積み重ねに基づいています：

ヨーロッパレベルで：

• 規則（EU）第910/2014号（eIDAS 1）：eIDAS 2による段階的廃止まで有効なままです。署名の3つのレベル（SES、AdES、QES）を定義し、QTSPのレジームを定義しています。
• 規則（EU）2024/1183（eIDAS 2）：2024年5月20日に発効。eIDASを1を実質的に変更しますが、即座には廃止しません。EUDIWに関する規定は、施行規則の公開時点で適用されます。
• 規則（EU）2016/679（GDPR）：EUDIWの枠組みでのアイデンティティデータの処理および署名プロセスに完全に適用されます。eIDAS 2の第5条bis §14は、この従属を明示的に思い出させています。
• 指令（EU）2022/2555（NIS2）：QTSP、現在重要エンティティに分類されて、強化されたサイバーセキュリティ義務を課します。フランス法では、2024年6月20日の命令第2024-821号により移行されました（施行令）。

フランスレベルで：

• 民法、第1366および1367条：電子形式での書面の証拠価値の基礎。第1366条は、条件下で電子的な書面と紙の等価性を確立します。第1367条は、適格署名（QES）に手書き署名と同じ証拠的価値を与えます。
• 2017年9月28日令第2017-1416号：私的手書き文書での電子署名の使用条件を明記します。移行期間中に適用可能なままです。
• 一般セキュリティ参考資料（RGS）v2：フランスの行政機関の場合、RGSはANSSIによって参照されるソリューションの使用を強制しています。eIDAS 2を統合するためのその更新は2026年中に予想されています。

適用可能なETSI技術規格

ETSI規格は、規範的階層のレベル3を構成します。現在適用可能なバージョン：

• EN 319 132-1/2：XAdES形式（高度なXML署名）
• EN 319 122-1/2：CAdES形式（高度なCMS署名）
• EN 319 142-1/2：PAdES形式（高度なPDF署名）
• EN 319 401：信頼できるサービスプロバイダーの一般要件
• EN 319 411-1/2：適格証明書を発行するACの要件

これらの規格は、eIDAS 2の新しい要件を統合するために2025年末までに改訂されます。QTSPとの契約には、追加料金なしで改訂版への更新を含めるべき条項が含める必要があります。

非準拠のリスク

2027年後にまだ認定されていないプロバイダーが発行した署名は、既に署名されたドキュメントの法的価値を自動的に失うことはありませんが、手書き署名との等価性の法的推定から受益しなくなります（eIDAS第25条）。その場合、署名の整合性および署名者の身元を証明する負担は、紛争の場合、完全に企業にかかっています。このリスク証拠は、処方期限が長い行為にとって特に敏感です（商業問題では5年、不動産上の権利では30年）。

シナリオ：組織がeIDAS 2の移行をどのように予測しているか

シナリオ1：25人の協力者を持つ法律事務所がドキュメントコンプライアンスを合理化します

事業法を専門とする25人の協力者を持つ法律事務所で、授権状、譲渡契約および合意議定書の署名の集約的な活動を使用して、2024年まで署名ソリューション（AdES）全体に適用していました。eIDAS 2の発表で、事務所は、その弁護士会の新しい推奨事項に従ってQESが必要な文書を特定するために、毎年署名された1200ドキュメントの監査を実施しました。

結果：15％の行為（年間約180）が適格署名にリクラスされており、これらの文書の証拠レジームを保護しました。事務所は、施行規則の発行時点でのeIDAS 2準拠を保証し、追加コストなしで署名編集者との契約を交渉しました。署名者の身元確認に関連する管理時間は、2026年に予定されているEUDIW統合の予測により40％減少しました。

シナリオ2：150人の従業員を持つ産業用中小企業がサプライヤー契約チェーンを保護します

年間約350のサプライヤー契約 — 発注書、NDA、フレームワーク契約 — を管理する産業用中小企業は、内部および外部ワークフロー用の2つの異なる署名ソリューションで動作していました。監査証拠の分数を作成しました。eIDAS 2への移行と適格アーカイビングの新しい要件のコンテキストで、ITディレクターは単一プラットフォームへの統一を決定しました。

適格電子アーカイビング（将来のeIDAS 2カテゴリー）を統合したソリューションに移行することで、中小企業は安全なストレージのコストを30％削減し、デジタル金庫にプルーフを署名に統合しました。契約チェーン全体は、サプライヤー監視時に2分以下で監査可能です — 自動車産業の与件企業からの増加する要件。

シナリオ3：約600床の病院グループはEUDIW統合を準備します

公的病院グループは、公的購買コード要件に従って、医療契約および公開入札用の適格電子署名を使用していました。eIDAS 2で、ITサービスは2つの優先事項を特定しました：施設で介入する自由医学医などと機関でのウォレット「France Identité」の将来の統合、およびそのQTSPのNIS2準拠。

グループは、eIDAS 2準拠の具体的なロットを使用して、デジタル戦略計画2025-2028にスキーマを記入しました。技術的な移行と代理人の訓練のための45,000€の予算プロビジョンを示しています。目標は、11月2026年に予定されている全国展開の時点でEUDIW経由での署名を受け入れることができるようになることであり、その結果、医療プロフェッショナル自由契約との契約期間は、利用可能なベンチマークセクターに従って3日から平均4時間未満に削減されます。

結論

eIDAS 1からeIDAS 2への移行は、正確なスケジュール2027年までの機継では、改変されていない構造的な進化です。電子署名への影響は実質的です — 適格サービスの拡大、EUDIWの到着、QTSPのためのNIS2要件の厳格化 — しかし、事前に予測される限り管理可能です。今すぐ行動する企業は、ワークフローを監査し、プロバイダーとの契約を保護し、規制的なストレスなしにチームをトレーニングするための余地を得ることができます。

Certyneoは、明確なeIDAS 2準拠ロードマップ、アップデートされた署名形式、EUDIWの統合準備ができたアーキテクチャを備えた新しい規制フレームワークでこの移行を通じて企業を支援しています。この新しい規制フレームワークで署名フロー保護する準備はできていますか？当社のオファーを発見し、Certyneoで無料で開始する。