eIDAS規則: ヨーロッパの電子署名をすべて理解する
更新日
eIDAS規則はヨーロッパの電子署名に関する基礎となる条文です。3つの署名レベル(シンプル、高度、認定)を定義し、電子行為の法的価値を確立し、信頼サービスプロバイダーを規制しています。このガイドは2026年に準拠するために知っておくべきすべてを説明します。
eIDASとは何か、なぜ作られたのか?
eIDAS以前、EU加盟国はそれぞれ独自の電子署名規制を持っており、国境を越えた取引を妨げる法的断片化を生み出していました。フランスで有効な電子署名が必ずしもドイツやスペインで認められるとは限りませんでした。
規則(EU)第910/2014号(eIDAS:Electronic IDentification, Authentication and trust Services)は、2014年7月23日に採択され、2016年7月1日に適用開始されました。規則(指令ではない)として、27のEU加盟国で国内法への移管なしに直接かつ統一的に適用されます。
eIDASは3つの主要目標を追求します:電子IDの相互承認によりヨーロッパで単一デジタル市場を作成すること、国境を越えた電子取引の法的セキュリティを保証すること、認定信頼サービスプロバイダー(QTSP — Qualified Trust Service Provider)を通じてデジタルサービスの信頼枠組みを確立することです。
eIDASで定義された3つの署名レベル
eIDASは3つの電子署名レベルのピラミッドを確立し、それぞれが独自の技術要件と証拠価値を持ちます。
シンプル電子署名
eIDAS要件
- 他のデータにリンクされた電子形式のデータ
- 署名に使用(特定の技術要件なし)
- シンプルなクリック、チェックボックス、名前入力でも可能
使用例
- 利用規約への同意
- オンラインフォーム
- 確認メール
法的価値
基本的な契約価値、法的推定なし
高度電子署名
eIDAS要件
- 署名者と一意にリンクされている
- 署名者を識別できる
- 署名者の独占的コントロール下にあるデータで作成
- 文書の後続変更が検出可能
使用例
- 労働契約
- NDA
- 商用契約
- 委任
法的価値
強い証拠価値 — 重要な契約に推奨
認定電子署名
eIDAS要件
- AESのすべての要件を満たす
- 認定署名作成デバイス(QSCD)で作成
- QTSPが発行する認定証明書に基づく(EU信頼リスト)
使用例
- デジタル認証行為
- 要求の厳しい公共調達
- 規制された行為
法的価値
自筆署名と同等の法的推定(eIDAS第25条)
eIDAS 2.0:2024年の改訂
eIDAS規則は規則(EU)2024/1183により改訂され、2024年4月30日にEU官報に公表され、2024年5月20日に発効しました。この改訂は、初期の枠組みを現代のデジタル課題に対応させるために近代化しました:市民のデジタルアイデンティティ、ソブリンクラウド、信頼プロバイダーのレジリエンス。
eIDAS 2.0の主要措置は欧州デジタルアイデンティティウォレット(EUDIW)です。2026年末までに、各加盟国は市民と居住者に、認定されたアイデンティティ証明書を保存・提示するアプリケーションを提供する必要があります — IDカード、運転免許、卒業証書のデジタル版。この進化は認定署名プロセスに直接的な影響を与えます。
デジタルアイデンティティウォレット(EUDIW)
eIDAS 2.0はEuropean Digital Identity Walletを導入します:各ヨーロッパ市民は、EU全域で相互運用可能なモバイルアプリケーションに認定されたアイデンティティ証明書(IDカード、運転免許、卒業証書)を保存できます。
QTSPの強化
認定信頼サービスプロバイダー(QTSP)に適用される要件が、特にサイバーセキュリティ、監査、サービス継続性の面で強化されました。
新しい信頼サービス
eIDAS 2.0は新しい認定サービスを追加します:認定電子アーカイブ、認定属性データ管理、認定電子登録簿(認定ブロックチェーン)。
強化された相互運用性
加盟国間でデジタルアイデンティティの相互認識が改善されました。EU加盟国で発行された認定署名はどこでも認められます。
実務でeIDASに準拠する方法
eIDAS準拠は単に署名レベルを選ぶことではありません。プロセス全体についての検討を含みます:リスクの特定、ツールの選択、証拠の保存、文書ガバナンス。
eIDASに準拠して電子署名プロセスを保護したい企業のための実務チェックリストは以下のとおりです:
CertyneoのeIDAS準拠アプローチ
Certyneoは、eIDAS規則のSES(シンプル電子署名)とAES(高度電子署名)レベルを実装しています。高度署名は二要素認証に基づいています:メールで送信される使い捨てリンクと、OTP SMS経由でSMSで送信されるOTPコード。このメカニズムは高度署名に関するeIDAS第26条の4つの基準を満たします。
各エンベロープは完全な監査証跡を生成します:各操作のタイムスタンプ(送信、リンク開封、OTP検証、署名付与、場合により拒否)、署名者のIPアドレス、ブラウザのユーザーエージェント。この監査証跡は最終PDFの各ページの下部に統合され(監査フッター)、10年間保存されます。
データはフランスでホストされています(IONOSインフラ)、EUの一部として、デジタル主権とGDPRの要件に準拠しています。すべての技術的詳細については、セキュリティとコンプライアンスページをご覧ください。
eIDASに関するよくある質問
eIDAS規則とは何ですか?
eIDAS(Electronic Identification, Authentication and Trust Services)は、欧州連合で電子署名、電子シール、タイムスタンプ、電子配信サービス、ウェブサイト認証サービスに共通の法的枠組みを確立するEU規則(EU)第910/2014号です。2016年7月1日に発効し、27のEU加盟国で直接適用されます。
eIDASとeIDAS 2.0の違いは何ですか?
eIDAS 2.0(規則(EU)2024/1183、2024年5月20日発効)は、特に欧州デジタルアイデンティティウォレット(EUDIW — European Digital Identity Wallet)を導入することでeIDAS 1.0を近代化し、ヨーロッパ市民が認定デジタルID証明書を保存できるようにします。企業にとって、eIDAS 2.0は認定信頼サービスプロバイダー(QTSP)の要件を強化し、国境を越えた相互運用性を改善します。
シンプル電子署名はeIDASに従って法的価値を持ちますか?
はい。eIDAS第25条は、電子形式であるという唯一の理由で電子署名の法的効果を拒否することを明示的に禁止しています。したがって、シンプル署名(SES)は法的価値を持ちますが、認定署名(QES)に留保される法的推定の恩恵は受けません。紛争の場合、署名を主張する者がその真正性を証明する必要があります。
契約にどのeIDASレベルを選ぶべきかをどのように知りますか?
一般的なルールは、文書の法的および商業的リスクに応じてレベルを調整することです。リスクの低い一般文書(見積書、社内発注)には、シンプル署名で十分です。重要な商用契約、労働契約、NDA、または委任には、高度署名(AES)が推奨されます。認定署名(QES)は、法律が明示的に要求する状況(一部の行政行為、大規模な公共調達)、または紛争リスクが最大の場合のために予約されています。
CertyneoはどのようにeIDASに準拠していますか?
CertyneoはeIDASに従ってシンプル署名(SES)と高度署名(AES)を実装しています。高度署名は、署名者を行為にリンクする二重OTP(メール+SMS、OTP SMS)に基づいています。各エンベロープは最終PDFに統合されたタイムスタンプ付き監査証跡を生成します。データはフランス(EU)でホストされ、デジタル主権の要件に準拠しています。
eIDASはEU外の企業に適用されますか?
eIDASはEUで提供される信頼サービスに適用されます。署名がEUで認められることを希望するEU外の企業は、eIDAS準拠のソリューションまたはEU加盟国の信頼リストで認められた認定信頼サービスプロバイダー(QTSP)を使用する必要があります。国際的なB2B取引には、一部の第三国との相互承認協定が存在します。