ドイツの「デジタル署名法」
(仮訳)
<2000年2月27日改訂版>
翻訳:夏井高人
これは,1997年8月に施行されたドイツのいわゆる「マルチメディア法:情報通信サービスの枠組みとなる諸条件の規律に関する法律Gesetz
zur Regelung der Rahmenbedingungen fur Informations- und Kommunikationsdienste」の中の一部分として話題を呼んでいる「デジタル署名法」の部分仮訳です(ドイツの「マルチメディア法」は,ほかに他の法律の一部改正法等の多数の条項を含んでいます。)。
非常に大急ぎで翻訳したので,誤訳もあるかもしれません。ご注意ください。
この法律のオリジナル・テキストは,
http://www.iid.de/rahmen/iukdgk.html
で入手することができます。このオリジナル・テキストは,ドイツ語で記載されています。
1994年3月23日欧州議会及び欧州委員会指令94/10/EG(AB1.EG No. L 100, p.30)によって最終的に改正された標準及び技術の規則の領域における情報手段に関する1983年3月23日欧州委員会指令に基づく通知義務は遵守された。
§1 目的及び適用範囲
(1) この法律の目的は、デジタル署名のための枠組規定を定め、これに基づいて安全に運用され、そして、デジタル署名の偽造又は署名データの偽造を確実に判別できるようにすることにある。
(2) この法律におけるデジタル署名について明文の定めがある場合を除き、デジタル署名に関し異なる手続を適用することは自由である。
§2 定 義
(1) 本法の意味におけるデジタル署名(digitale Signatur)は、秘密署名鍵(privat Signaturschussel)でデジタル・データ化された印章(Siegel)であって、それと対応する公開署名鍵(offentlichen Signaturschlussel)によって支援され、認証機関(Zertifizierungsstelle)又は第3条に規定する所管官庁(Behorde)の署名鍵認証書(Signaturschlussel-Zertifikat)によって署名鍵の保有者及びデータの不改変を確認できるものである。
(2) 本法の意味における認証機関は、公開署名鍵が自然人に帰属することを証明し、そして、そのための第4条に規定する認可を受けた自然人又は法人である。
(3) 本法の意味における認証書(Zertifikat)は、公開署名鍵が自然人に帰属することについてのデジタル署名を付したデジタル証明書(署名鍵認証書)、又は、署名鍵認証書と明白な関連性を有するその他の情報を含むことについての個別のデジタル証明書(属性認証書)である。
(4) 本法の意味におけるタイムスタンプ(Zeitstempel)は、当該特定のデジタル・データが特定の時刻を示すことについての認証機関によるデジタル署名を付したデジタル証明書である。
§3 所管官庁
署名に認証書を付す者の認可とその証明書の発行、並びに、本法及び第16条所定の法規命令を遵守していることの監督は、電気通信法(Telekommunikationsgesetzes)第66条所定の官庁の責務に属する。
§4 認証機関の認可
(1) 認証機関の業務をするためは、所管官庁の認可を要する。これは、申請によってなされる。
(2) 申請者が認証機関の業務をするのに必要な信頼性を有していないと推測すべき合理的な根拠がある場合、申請者が認証機関の業務をするのに必要な専門的能力を有すると認められない場合、又は、業務開始の時点において、本法及び第16条所定の法規命令に規定する認証機関の業務をするのに必要なその他の要件を充足しないと見込まれる場合には、認可は拒絶されなければならない。
(3) その業務に関連する法律上の諸要件を遵守することを認証機関の所有者として保障する場合は、必要な信頼性を有する。認証機関の業務において職務を行う者が必要な知識、経験及び技能を有する場合は、必要な専門的能力を有する。本法及び第16条の法規命令に基づく安全性確保要件充足のための措置が、所管官庁に対し期限内に提出される安全確保計画の中に示されており、かつ、所管官庁が承認する機関がその実施を検証及び確認する場合は、認証機関の業務に関するその他の要件を充足する。
(4) 業務開始時点及び業務遂行時点において、認証機関が本法及び第16条所定の法規命令の規定する諸要件を充足しているかどうかを確認する必要があるときは、付随的な意見を付して認可することができる。
(5) 所管官庁は、認証書の署名に付する署名鍵について認証書を発行する。認証機関による認証書の付与に関する諸規定は、それに対応する所管官庁にも適用される。所管官庁は、公衆がアクセス可能な電子通信接続を介して、いつでも誰でも、所管官庁が発行する認証書の確認と取消ができる状態を保持しなければならない。このことは、認証機関の住所及び電話番号、所管官庁が発行した認証書の停止、認証機関の業務の終了と禁止、並びに、認可の取消又は撤回に関する情報についても適用される。
(6) 本法及び第16条所定の法規命令に基づく費用(手数料及び経費)は、公的支出として扱われる。
§5 認証書の発行
(1) 認証機関は、認証書の申請をする者を確実に同定しなければならない。認証機関は、同定された者への公開署名鍵の帰属を署名鍵認証書によって確認し、また、公衆がアクセス可能な電子通信接続を介して、いつでも誰でも、署名鍵認証書及び属性認証書を調査でき、署名鍵の所有者の同意に基づきそれらを呼び出すことができる状態を保持しなければならない。
(2) 認証機関は、申請者から要求があるときは、第三者を代理する権限の表示並びに業務上適法な許可その他の許可を、これら代理権又は許可の記録について第三者の同意が確実に証明される場合に限り、署名鍵認証書又は属性認証書に記録しなければならない。
(3) 認証機関は、申請者から要求があるときは、実名の代わりに仮名(ein Pseudonym)を認証書に記録しなければならない。
(4) 認証機関は、認証書に用いるデータが偽造又は変造されないようにするための防止措置を講じなければならない。また、認証機関は、秘密署名鍵の機密性を保障するための防止措置を講じなければならない。認証機関における秘密署名鍵の保管は、強制されない。
(5) 認証機関は、認証業務を遂行するために信頼に足る者(zuverlassiges Persona)を指定しなければならない。署名鍵の準備及び認証書の作成に際しては、第14条所定の技術仕様を採用しなければならない。第1項第2文所定の認証書調査の際の技術仕様についても同様である。
§6 通知義務
認証機関は、第5条第1項所定の申請者に対し、デジタル署名を確実なものとし、かつ、信頼に足る検査を実施するために必要な措置を教示しなければならない。認証機関は、上記申請者に対し、どのような技術仕様が第14条第1項及び第2項の要件を満たすかについて、並びに、秘密署名鍵で作成されたデジタル署名の帰属について教示しなければならない。認証機関は、上記申請者に対し、時間の経過によって現在の署名の確実性が損なわれてしまう以前に、デジタル署名を付すデータに新たな署名をすべきであることを通知しなければならない。
§7 認証書の内容
(1) 署名鍵認証書は、次の各事項を含まなければならない。
1. 混同のおそれがある場合には、追記(Zusatz)を付し又は署名鍵所有者を混同なく確実に識別できる仮名(Pseudonym)を付した署名鍵所有者の名前
2. 付属する公開署名鍵
3. 署名鍵所有者の公開鍵及び認証機関の公開鍵を使用可能とするためのアルゴリズムの名称
4. 認証書の連続番号
5. 認証書の有効期間の始期及び終期
6. 認証機関の名称、並びに、
7. 署名鍵の使用が特定の技術及び区域内での利用に限定されているかどうかの指示
(2) 第三者のための代理権に関する事項、並びに、業務に関する法律上の許可その他の許可は、署名鍵認証書又は属性認証書のいずれかに付すことができる。
(3) これら以外の事項は、関係者の要望がある場合にのみ、署名鍵認証書に含ませることができる。
§8 認証書の無効
(1) 署名鍵所有者若しくはその代理人から請求があった場合、第7条に違反して虚偽の表示による認証書が発行された場合、認証機関の業務終了後に他の認証機関に業務引継がなされなかった場合、又は、所管官庁が第13条第5項第2文に基づいて業務停止を命じた場合、認証機関は、認証書を無効としなければならない。この無効は、その認証書が無効となる時刻を含まなければならない。無効の撤回は、許されない。
(2) 認証書が第三者に関する事項を含んでいる場合には、その第三者も認証書の無効を主張することができる。
(3) 所管官庁は、認証機関が業務を終了させた場合、又は、その認可が撤回若しくは取消された場合には、第4条第5項に基づいてその認証機関に対して発行した認証書を無効にする。
§9 タイムスタンプ
認証機関は、請求があるときは、デジタル・データにタイムスタンプを付さなければならない。この場合には、第5条第1項及び第2項を適用する。
§10 文書化
認証機関は,データ及びその真実性をいつでも確認することができるようにするため,この法律及び16条の法規命令を遵守するための安全確保措置及び発行された認証を文書化しなければならない。
§11 業務の終了
(1) 認証機関は、その業務を終了する場合には、所管官庁に対し可及的速やかにそのことを報告し、かつ、業務終了時点において有効な認証書を他の認証機関に引き継ぎ、または、それを停止する措置を講じなければならない。
(2) 認証機関が第10条に基づいて作成した文書は、認証書を引き継ぐ者に引渡し、さもなくば、所管官庁に引渡さなければならない。
(3) 認証機関は、破産手続または和議手続の開始を申請するときは、所管官庁に対しそのことを直ちに報告しなければならない。
§12 個人データの保護
(1) 認証機関は、関係者自身から直接になされる場合であって、かつ、認証の目的のためにそれが必要な場合にのみ、個人データ(personenbezogene Daten)を収集することができる。第三者からのデータ収集は、本人が同意がある場合にのみ認められる。第1文に規定する目的の場合を除き、本法その他の法規で許容される場合又は関係者本人の同意がある場合にのみ、このデータを利用することができる。
(2) 仮名(Pseudonym)による署名鍵所有者については、犯罪行為もしくは秩序違反行為の訴追のため、公共秩序に対する危険の防止のためのため、又は、連邦政府及びラントの憲法擁護庁(Verfassungsschutzbehorden)、連邦諜報機関(Bundesnachrichtendienstes)、軍事防諜機関(Militarischen Abschirmdienstes)若しくは税関検事庁(Zollkriminalamtes)の法律上の職務遂行のために必要な場合に限り、認証機関は、所管官庁の要求に基づき、その者の同定のためのデータを通知しなければならない。通知(Die Auskunfte)は、書面でなされなければならない。仮名の解明によって法規違反のないことが明らかとなったとき、又は、通知に関する署名鍵所有者の利益が優越する場合には、それを求めた官庁は、直ちに、署名鍵所有者に対し、その仮名を解明したことを通知しなければならない。
(3) 連邦個人データ保護法第38条は、適法に適用され、個人データ保護に関する諸法規に違反する嫌疑が存在しない場合にも検査をなし得る。
§13 責務の監督及び履行確保
(1) 所管官庁は、認証機関に向けて、本法及び法規命令の遵守を確実にするための措置を講ずることができる。また、特に、所管官庁は、不適当な技術仕様の利用を禁止し、認証機関の業務の一部又は全部を暫定的に禁止することができる。事実と相違して第4条に基づく認可を受けているとの印象を与える者は、認証業務行為を禁止され得る。
(2) 第1項第1文の監督の目的のために、認証機関は、所管官庁に対し、通常の営業時間内に事業所及び営業場所へ立ち入ることを承認し、要求があれば、関係する帳簿(Bucher)、記録(Aufzeichnungen)、領収証(Belege)、文書(Schriftstucke)その他の証拠を閲覧に供し、回答をし、そして、必要な支援を提供しなければならない。回答義務を有する者は、その者自身又は民事訴訟規則第383条第1項第1号ないし第3号(§ 383 Absatz 1 Nr. 1 bis 3 der Zivilprozessordnung)所定の親族が犯罪行為または秩序違反法の違反行為として刑事訴追を受けることになる場合には、その質問に対する回答を拒むことができる。回答義務を有する者は、この権利を告知されなければならない。
(3) 本法若しくは法規命令上の義務の不履行がある場合、又は、認可拒絶事由がある場合において、第1項第2文の措置が奏功する見込みがないときは、所管官庁は、既に与えた認可を取り消さなければならない。
(4) 認可の取消若しくは撤回の場合又は認証機関が業務を終了する場合には、所管官庁は、他の認証機関へ業務の引継がなされたこと又は署名鍵所有者との契約が解除されたことを確認しなければならない。認可を受けた業務を継続しないのであれば、破産手続又はは和議手続が開始する場合も同様である。
(5) 認証機関が発行した認証書の有効性は、認可の取消又は撤回によって損なわれることはない。認証書が偽造されたこと若しくは偽造防止が不十分であること、又は、認証鍵の利用に用いられる技術仕様がデジタル署名の偽造を発見不可能とし若しくは署名データの変造を発見不可能とするようなセキュリティ上の欠陥を有することが推定される場合には、所管官庁は、認証の停止を命ずることができる。
§14 技術仕様(Technische Komponenten)
(1) 署名鍵の作成と蓄積及びデジタル署名の作成と検査は、偽造のデジタル署名及び違法に署名されたデータを確実に識別し、かつ、秘密署名鍵の無権限使用を防止するために、事前に安全確保することができる技術仕様を用いなければならない。
(2) 署名を付すデータの表示は、そこにデジタル署名が作成されたことを明瞭に示すため、そして、どのデータにデジタル署名が関係付けられているのかを確定するために、事前に安全確保することができる技術仕様を用いなければならない。署名が付されたデータの検査は、署名が付されたデータが変更されていないかどうか、どのデータにデジタル署名が関係付けられているのか、そして、どの署名鍵所有者にそのデジタル署名が帰属するのかを確定するために、事前に安全確保することができる技術仕様を用いなければならない。
(3) 第5条第1項若しくは第2項に従って検査し又はアクセスできる署名鍵認証書において用いられる技術仕様については、認証記録の違法改変及び違法アクセスから保護するために、予防措置を講じなければならない。
(4) 第1項ないし第3項所定の技術仕様については、技術標準に基づいて十分に検査されており、かつ、所管官庁が認可する機関によってその要件充足性が証明されていなければならない。
(5) 欧州連合の他の加盟国もしくは欧州経済圏条約の他の締約国において有効な規則若しくは要件を遵守して作成され又は流通し、かつ、同等の安全性が保障されている技術仕様については、第1項ないし第3項所定の安全確保技術の性状に関する要件を充足しているものとする。所管官庁は、個々の事案毎に、申請により、第1文の要件充足性を証明しなければならない。第1項ないし第3項所定の意味における安全確保技術の性状に関する要件の証明のために、所管官庁が認可した機関から証明書の呈示を求められるときは、欧州連合の他の加盟国もしくは欧州経済圏条約の他の締約国において認可を受けた機関による証明書は、当該機関の証明書を基礎付ける技術要件、検査及び検査手続が、所管官庁に認可された機関におけるそれと同等である限り、斟酌され得る。
§15 外国の認証書
(1) 公開署名鍵によって検査可能であり、欧州連合の他の加盟国又は欧州経済圏条約の締約国である外国の認証書が付されているデジタル署名は、本法におけるデジタル署名との同等性を有する。
(2) 上記の超国家的または国際的な協定が締結されている場合に限り、他の国に対しても第1条の規定を適用する。
§16 法規命令
連邦政府は、法規命令で、第3条ないし第15条を実施するため、以下の事項に関して必要な法的規律を定めることができる。
1. 認可の交付、撤回及び取消の手続及び認証業務終了手続の細目
2. 第4条ないし第6条の手数料の発生要件及び手数料の額
3. 認証機関の義務の細目規定
4. 署名鍵認証書の有効期間
5. 認証機関の監督に関する細目規定
6. 技術仕様の検査、技術仕様の要件充足性の検査及びその証明書に関する細目規定
7. 並びに、新しい電子署名が付されるべき期間
Copyright (C) 1998 Takato NATSUI, All rights reserved.
最終更新日:Jun/29/1998