電子署名とデジタル署名の違い
「電子署名」と「デジタル署名」——この二つの言葉は、日常業務の中でしばしば混同されて使われている。しかし、規制対応や品質管理の文脈においては、両者は明確に区別されるべき概念である。特に21 CFR Part 11やGxPに関わる医薬品・医療機器業界では、この違いを正確に理解しておくことが、適切なシステム設計やバリデーション対応の前提となる。
本稿では、「電子署名」と「デジタル署名」それぞれの定義と仕組みを整理し、両者がどのように異なるのかを、初学者にも分かりやすく解説する。
「電子署名」とは何か
広義の定義:手書き署名を電子化したもの
電子署名(Electronic Signature)とは、紙への手書きサインに相当する「意思表示の証跡」を、電子的な手段によって記録したものの総称である。その具体的な形式は多様であり、以下のようなものが含まれる。
- スキャンした手書きサイン:紙にサインしたものをスキャンし、電書類に貼り付けたもの
- タイプ入力による氏名:フォームに自分の氏名をキーボードで入力して「署名」とするもの
- タッチパネル上の手書き:タブレット端末の画面に指やペンで直接サインしたもの
- チェックボックスのクリック:「同意する」ボタンを押すことで署名に代える方式
これらに共通するのは、「本人がそこに意思を持って記録した」という事実を電子的に残すことであり、必ずしも暗号技術を用いているわけではない。
法的な文脈における電子署名
日本の「電子署名及び認証業務に関する法律」(電子署名法、2001年施行)では、電子署名を「電磁的記録に記録することができる情報について行われる措置であって、次の各号のいずれにも該当するもの」と定義しており、以下の二要件を同時に満たすことを求めている(第2条第1項)。
- 第一号(本人性):当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること
- 第二号(非改ざん性):当該情報について改変が行われていないかどうかを確認することができるものであること
この定義は技術的な手段を問わず広く電子署名を認めているが、本人性に加えて非改ざん性の確認可能性も要件として明示されている点に注意が必要である。
「デジタル署名」とは何か
暗号技術を用いたシステム的な仕組み
デジタル署名(Digital Signature)は、電子署名の一形態ではあるが、その本質は公開鍵暗号技術(PKI:Public Key Infrastructure)に基づいた数学的・技術的な保証の仕組みである。単に「サインを電子化する」のではなく、署名者の同一性とデータの完全性を暗号学的に証明するものである。
デジタル署名が機能する仕組みは、以下のステップで理解できる。
デジタル署名の仕組み(概要)
【署名の生成】
- 署名者は、署名すべき文書のデータから「ハッシュ値」(文書内容を固定長の数値に変換したもの)を生成する
- そのハッシュ値を、署名者固有の「秘密鍵(Private Key)」で暗号化する
- 暗号化されたハッシュ値が「デジタル署名」として文書に付与される
【署名の検証】
- 受信者は、署名者の「公開鍵(Public Key)」を使って署名を復号し、ハッシュ値を取り出す
- 受信した文書から独自にハッシュ値を計算する
- 二つのハッシュ値が一致すれば、文書が改ざんされておらず、かつ正当な署名者によるものであることが証明される
この仕組みにより、デジタル署名は「なりすまし」「改ざん」「否認(あとで署名していないと主張すること)」の三つに対する技術的な防御を提供する。
認証局(CA)の役割
デジタル署名の信頼性は、「その公開鍵が本当に本人のものであるか」を第三者が証明することで担保される。この役割を担うのが認証局(CA:Certificate Authority)である。認証局は署名者の身元を確認した上で「デジタル証明書(電子証明書)」を発行し、公開鍵が確かに本人に帰属することを保証する。
両者の違いを整理する
以下の表に、電子署名とデジタル署名の主要な相違点を整理する。
比較項目 /電子署名(広義) /デジタル署名
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
定義の広さ /電子的な署名手段の総称(広義) /公開鍵暗号技術を用いた特定の方式
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
技術的基盤 /必ずしも暗号化を伴わない /PKI(公開鍵基盤)が必須
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
本人確認の強度 /方式によって大きく異なる /認証局による証明書で担保
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
改ざん検知 /原則として不可 /ハッシュ値の一致検証により可能
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
否認防止 /保証されない場合が多い /技術的に否認防止が担保される
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
導入の容易さ /比較的容易 /PKIインフラの整備が必要
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
法的効力 /方式・国・契約内容による /多くの国で高い法的効力が認められる
この表が示すように、デジタル署名は電子署名の「部分集合」、すなわちより強固な要件を満たす特定の電子署名方式であると位置づけることができる。
規制文書における用語の扱い
21 CFR Part 11の視点から
FDA(米国食品医薬品局)の21 CFR Part 11(電子記録・電子署名規則)では、電子署名を§11.3(7)において「個人によって実行、採択、または授権された、シンボルまたは一連のシンボルのコンピュータデータの集合体であって、当該個人の手書き署名の法的拘束力のある等価物となるもの」と定義しており、生体認証に基づくものとそうでないものを区別している。
Part 11はデジタル署名の使用を直接義務付けてはいないが、§11.100では電子署名の運用に関して以下を求めており、実務的にはPKIベースのデジタル署名がこれらの要件への適合手段として広く採用されている。
- (a) 各電子署名は一個人に固有のものとし、他者に再使用または再割り当てしてはならない
- (b) 電子署名の確立・割り当て前に、当該個人の身元を確認しなければならない
- (c) 電子署名の所有者は、当該署名が手書き署名と同等の法的拘束力を持つことを証明しなければならない
また、Part 11は電子署名に対し、少なくとも以下の要件を求めている(§11.200)。
- 二つ以上の識別要素(例:IDとパスワード)の組み合わせ
- 一定時間経過後または連続セッション終了時の再認証
さらに、§11.70(Signature/record linking)では、電子署名と電子記録はリンクされなければならず、署名が削除・コピー・他の電子記録への転用を防ぐ手段が必要と規定されている。
なお、Part 11は§11.3(5)においてデジタル署名そのものも以下のとおり定義しており、FDA自身がデジタル署名を電子署名のサブセットとして明示的に位置づけていることも付記しておく。
> “Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.”
これらの要件を技術的に充足する手段として、デジタル署名の仕組みは特に有効である。
「電子署名法」と「デジタル署名」の関係
日本の電子署名法において、法的効力が認められる電子署名の中でも特に高い信頼性を持つものとして「特定認証業務」が定められており、これは実質的にPKIベースのデジタル署名に相当する。法律は「電子署名」という上位概念を用いているが、強い法的効力を求める場合は技術的にデジタル署名の要件を満たすことが求められる。
実務上のポイント
電子署名とデジタル署名の違いを理解した上で、実務での判断に役立てるために、以下の点を押さえておくとよい。
1. 何を保証したいかによってシステムを選ぶ
単に「承認した記録を残す」だけであれば、簡易な電子署名(ID+パスワードによる承認など)でも要件を満たし得る。しかし、「誰がいつ何に署名したかを後から証明する」「署名後のデータ改ざんを検知する」という目的のためには、デジタル署名の仕組みが必要となる。
2. 規制当局は「技術ではなくリスク」で判断する
FDA査察においては、使用している技術の名称よりも、「その仕組みが署名の真正性・完全性・否認防止を実際に担保しているか」が問われる。名称にとらわれず、保証の実態で評価することが重要である。
3. ベンダー選定時の確認事項
電子署名システムを外部ベンダーから調達する際は、以下を確認することを推奨する。
- PKI(デジタル署名)を採用しているか、それとも別の方式か
- 認証局(CA)の信頼性と証明書の有効期間管理
- Part 11・EU GMP Annex 11への適合状況
- 監査証跡(Audit Trail)の保持と改ざん防止の仕組み
まとめ
電子署名とデジタル署名は、日常的な会話では混用されることが多いが、技術的・規制的文脈においては明確に異なる概念である。
- 電子署名は、電子的な意思表示の記録手段の総称であり、技術的な強度は方式によって大きく異なる
- デジタル署名は、PKIと暗号技術を用いた特定の方式であり、本人確認・改ざん検知・否認防止を技術的に保証する
GxPやPart 11が求める電子署名の「真正性・信頼性・本人帰属性」を確実に担保しようとすれば、自ずとデジタル署名の仕組みが中心的な選択肢となってくる。
用語の違いを正確に把握することは、適切なシステム選定・バリデーション戦略・規制対応の出発点である。「電子署名を使っています」という一言の背後に、どのような技術的保証が実装されているかを問い続ける姿勢が、品質管理の現場では不可欠である。
