契約書のオンライン署名サービスを検討する打ち合わせでは、「電子署名」と「デジタル署名」が同義語のように行き来する場面が頻繁に登場します。実は同じものではありません。誤解は、ベンダーのウェブサイトすら混同するほど広まっており、買い手が想定していたよりも弱い証拠記録しか得られていない、という購買上の実害も日々起きています。
本ガイドでは、両者の本当の違いを解きほぐします。法律レベルで、そして暗号技術レベルで、両者の境界線がどこに引かれるのか。そして、その理解がプラットフォーム選定にどう影響するのか。この区別が腹落ちすると、電子署名カテゴリ全体が一気に見通しよく整理できるようになります。
先に結論
電子署名とは、広義の法的概念です——人が文書に対し署名意思を示すために付した、あらゆる電子的な印を指します。タイプした氏名、「同意する」ボタンのクリック、タブレット上の手書きのサイン、メールでの承認——どれも、ほとんどの管轄区域における基本定義を満たします。
デジタル署名とは、特定の暗号技術です——文書のハッシュ値を署名者の秘密鍵で暗号化したもので、対応する公開鍵を持つ誰もが検証できます。完全性と署名者の同一性について、他のいかなる手段にも勝る数学的な証明を生み出します。
すべてのデジタル署名は電子署名でもあります。しかし、その逆は成り立ちません。
「電子署名」は法的カテゴリ、「デジタル署名」はその中の特定の技術実装、と捉えるのが整理しやすいです。タッチスクリーンに名前を書くのは電子署名。認定認証業務者が発行した証明書付きでPDFに署名するのは、電子署名であり同時にデジタル署名でもあります。
電子署名とは何か
電子署名は、定義として広範です。日本では電子署名及び認証業務に関する法律(電子署名法、平成12年法律第102号)第2条第1項が、電子署名を「電磁的記録……に記録することができる情報について行われる措置」であって、署名者を識別でき、かつ改変が行われていないかを確認できるものとして定めています。
EUのeIDAS規則(規則910/2014、規則2024/1183による改訂)も第3条(10)で同様の基本定義を採用しています——「電子的形式のデータであって、他の電子的形式のデータに添付され又はこれと論理的に関連付けられ、署名者により署名のために用いられるもの」。
両者の定義に共通するのは、焦点が意思であり、技術ではないという点です。法律は、その署名が暗号的に守られているかどうかを問題にしません。問題にするのは、署名した人がそれを行う意思を持っていたか、そしてその事実が紛争時に立証可能かどうかです。
このため、メールにタイプされた氏名が法的効果を持ちうるし、ソフトウェアのEULAでチェックボックスをクリックすることで条項に拘束されることも起こります。どちらも電子署名であり、どちらも法律の定義を満たし、どちらも裁判で証拠として採用可能です——ただし証拠としての重みは、周辺の状況(本人確認の有無、署名イベントのタイムスタンプ、署名済みファイルの改ざん耐性)に依存します。
一方で、日本のビジネス慣行では「印鑑(はんこ)」「実印」「電子印鑑」といった独自の文化があります。電子署名法は、ハンコ文化と電子契約の橋渡しとして設計されており、特に同法第3条は「適切に行われた電子署名は、本人による真正な意思表示として推定される」と規定しています。これは、紙の文書における押印と同等の推定効を電子署名に与えるという、日本の電子契約導入を支えてきた重要な条文です。
デジタル署名とは何か
デジタル署名は、特定の暗号技術です。仕組みは次のとおりです。
- 文書をハッシュ関数(現代の実装ではSHA-256)に通し、文書の内容を一意に特定する固定長のフィンガープリントを生成します。
- そのハッシュ値を、署名者の秘密鍵——署名者本人だけが知る秘密——で暗号化します。
- 暗号化されたハッシュ値を、デジタル署名として文書に添付します。
- 署名者の公開鍵を持つ誰もが、暗号化されたハッシュ値を復号し、文書から新たに計算したハッシュ値と比較できます。両者が一致すれば、その文書は対応する秘密鍵の保有者によって署名されたものであり、署名後に改変されていないことが証明されます。
このアプローチの暗号的強度は、数学的に厳密です。デジタル署名は、他のいかなる手段にも実現できない3つのことを同時に達成します。
- 署名者の認証——秘密鍵を持つ者しかこの署名を生成できない。
- 文書の完全性保証——文書への変更は、たとえ1バイトでも、数学的に署名を破壊する。
- 否認不可性(Non-Repudiation)の確保——他の誰も秘密鍵を持っていないので、署名者は後から「自分は署名していない」と信用できる形で主張することはできません。
デジタル署名が技術的正確性を超えた法的効力を持つためには、公開鍵・秘密鍵の鍵ペアが、検証された個人の同一性に紐付いていなければなりません。ここで登場するのが認証局(CA)と認定認証業務です。認証局は、証明書保有者の本人確認を行ったうえでデジタル証明書を発行し、その証明書が公開鍵と個人との紐付きを保証します。
日本では、電子署名法第4条以降の規定により、認定認証業務を行う事業者として、セコムトラストシステムズ、GMOグローバルサイン、ジャパンネット、サイバートラスト、e-Probatio、商業登記電子認証局などが認定されています。これらは「特定認証業務」と「認定認証業務」に分かれており、認定認証業務による電子署名は、電子署名法第3条の真正性推定効が働く強い形式です。
EU規制下では、これに対応するのが適格認定電子署名(QES, Qualified Electronic Signature)です。EU加盟国の認定された適格信頼サービス事業者(QTSP)が発行した適格証明書を、適格署名生成装置を用いて作成したものを指します。eIDAS第25条(2)により、QESはEU全加盟国で手書き署名と同等の法的効力を持ちます。
実際にどう動くのか、具体例で
違いを最も明快に理解できるのは、3つの異なる方法で文書に「署名」したときに何が起きるかを追ってみることです。
方法1:iPad上で名前を手書きする(電子署名、暗号技術なし)。タッチスクリーンが指の動きをピクセルの軌跡として記録し、結果をPNG画像としてPDFに埋め込みます。PDFリーダーは、配置した位置にその画像を表示します。この画像と文書を暗号的に結びつけるものは何もありません——編集ツールを持つ者なら誰でも署名画像を差し替えられますし、その後にPDFを封印しなければ、誰もそれに気づきません。法的効力は、署名意思の証明(メールの履歴、監査ログ、配置のタイムスタンプ)から生じるのであって、画像そのものから生じるのではありません。
方法2:DocuSignやSign.Plusで署名する(電子署名に、プラットフォームが付与するデジタル署名で裏打ちしたもの)。手書きまたは入力で署名し、プラットフォームがIPアドレス、タイムスタンプ、認証要素、配置の操作を記録します。次に、プラットフォームが完成した文書の暗号ハッシュを計算し、プラットフォーム自身のデジタル証明書で封印します——あなたの証明書ではありません。結果として、文書は封印後に改ざんされていないことが証明できますが、文書上の署名はあなたの意思を表しており、暗号的な完全性の証明はプラットフォームのものであって、あなた個人のものではありません。これが2026年現在、主要な電子署名プラットフォームの大多数の動作原理です。
方法3:自分の認定認証業務証明書(または適格電子署名証明書)で署名する(電子署名であると同時に、本物の個人デジタル署名でもあるもの)。認定認証業務者または適格信頼サービス事業者から、ビデオ通話または対面での本人確認を経て発行されたデジタル証明書を保有します。署名する際、あなたの秘密鍵——通常はハードウェアセキュリティモジュールやICカードに保管——が文書のハッシュを暗号化します。生まれるデジタル署名は、数学的にも本人確認の意味でも、あなた自身のものです。日本の電子署名法第3条による真正性推定効が働き、EU内ではeIDAS第25条(2)により全加盟国で手書き署名と同等の法的効力を持ちます。
3つの方法はすべて、法律上の電子署名にあたります。しかし、暗号的なデジタル署名を内部で使っているのは方法2と3だけ。さらに、プラットフォームではなくあなた本人のデジタル署名と証明できるのは、方法3だけです。
並列比較
| 項目 | 電子署名 | デジタル署名 |
|---|---|---|
| 定義 | 法的概念——署名意思を示す電子的な印すべて | 技術手段——公開鍵暗号方式による暗号封印 |
| 必要な技術 | 特定の技術なし——タイプした氏名やボタンクリックでも可 | 非対称鍵ペア、ハッシュ関数、信頼された認証局による証明書 |
| 本人との結びつき | 状況証拠で推認(メール、IP、タイムスタンプ) | デジタル証明書を介して、検証された本人と暗号的に結合 |
| 文書の完全性 | 署名を取得するプラットフォームの実装に依存 | 暗号封印で保証——いかなる変更も数学的に検出可能 |
| 法的地位(日本) | 電子署名法第2条の電子署名として認められる;ただし第3条の真正性推定効を得るには、認定認証業務を介した適切な手続きが必要 | 認定認証業務に基づくものは電子署名法第3条の真正性推定効を満たし、紙の押印と同等の証拠力を持つ |
| 法的地位(EU) | eIDASでいう単純電子署名——電子的だからという理由だけでは法的効力を否定されない | eIDASの先進電子署名(AES)または適格電子署名(QES);QESは手書き署名と同等の法的効力 |
| 典型的な利用場面 | 日常的な商取引、NDA、雇用契約書 | 規制対象取引、行政手続き、強い本人確認を要する重要契約 |
| 否認リスク | 高め——署名者が本人性や意思を争いやすい | 非常に低い——否認不可性が暗号的に組み込まれている |
法律がそれぞれを要求する場面
日常的な契約の大半において、法律はどちらの種類を使うべきかを指定していません。日本の電子署名法、米国のESIGN法、EUのeIDAS規則のいずれもが、その基本部分では合理的な電子署名を受け入れます。選択はあなた次第であり、ほとんどの企業が方法2(プラットフォームが付与するデジタル署名で裏打ちした電子署名)を既定の選択肢としています——摩擦と証拠力のバランスが取れているからです。
例外——本物の個人デジタル署名(典型的には認定認証業務による署名やQES)が要求される、または強く推奨される場面——は限定的ですが、明確です。
- 商業登記電子申請、不動産登記電子申請、特許出願電子申請。商業登記電子認証局や法務省指定の認証業務による電子署名が必要となる場面が多く、市販のSaaS型電子署名は使えません。
- EU規制対象取引。一部加盟国の不動産取引(ドイツ、フランス等の特定の証書)、MiFID II下の規制金融商品、多くのEU加盟国における裁判所提出書類、指令2014/24/EUの基準を超える公共調達。
- EU域内クロスボーダー契約で、当事者の一方が最高の法的効力を要求する場合。eIDAS第25条(2)により、QESはEU全加盟国で手書き署名と同等の法的効力を持つ——当事者が異なる管轄区域にあり、統一的に認められる形式を求める場合に有用です。
- 米国21 CFR Part 11(FDA規制下の電子記録)。製薬会社、医療機器メーカー、臨床試験スポンサーは、暗号的完全性管理と本人確認を備えた署名を使用することが義務付けられています。主要な電子署名プラットフォームは、上位プランで21 CFR Part 11に対応します(PandaDoc Enterpriseワークスペース、DocuSign Enhancedなど)。
- e-Tax電子申告、eLTAX、各種行政電子申請。国税電子申告納税システム(e-Tax)、地方税電子化(eLTAX)、社会保険電子申請、輸出入申告(NACCS)の多くは、商業登記電子認証局やマイナンバーカード(個人番号カード)に格納された公的個人認証サービス(JPKI)の電子証明書を要求します。
その他のほとんどの商取引や人事書類においては、評判のよい提供者——DocuSign、PandaDoc、Sign.Plus、Dropbox Sign、SignNow、クラウドサイン、GMOサイン、freeeサイン、ContractS——のプラットフォーム署名で、裁判での証拠採用に十分です。
プラットフォーム選びへの影響
ベンダーのマーケティング資料を読むときの実務的な読み解き方をお伝えします。DocuSignやDropbox Sign、SignNowが「電子署名」と言うとき、彼らはこの用語を広い法的意味で使っています。彼らが「デジタル署名」と言うときは、次の2つのいずれかを意味し得ます。
- プラットフォームが完成した文書に対し、プラットフォーム自身の証明書を使って暗号封印を適用するという意味(最も一般的)——文書の完全性とプラットフォームレベルの監査記録は得られますが、デジタル署名はプラットフォームのものであって、あなた個人のものではありません。
- プラットフォームが、署名者本人に紐付いた証明書の発行や受け入れをサポートしているという意味(より少ない)——eIDAS下では、これがAESやQESを可能にする仕組みです。Sign.PlusはFreeを含む全プランでQES対応;DocuSignはEnhanced/IAMでQTSP連携;PandaDocはEnterpriseでQESレベル署名;Dropbox SignはPremiumのアドオンでQES;SignNowはネイティブでQESに非対応。
規制対象取引が明示的にQESや個人デジタル署名を要求する場合、署名者本人に紐付いた証明書モデルをサポートするプラットフォームが必要です——加えて、署名者がQTSPまたは認定認証業務者で本人確認を完了する必要があります。これは通常の署名よりも摩擦が大きいですが、EU全域で手書き署名と同等の法的効力を持つ署名が得られます。
それ以外のすべての場合、プラットフォームが付与するデジタル署名で裏打ちした電子署名が適切な選択です。プラットフォームが提供する暗号的完全性——監査証跡(IPアドレス、タイムスタンプ、認証要素、署名者の操作)と組み合わさって——は、日常的な紛争で証拠として機能する記録を、個人証明書による追加の摩擦なしに作り上げてくれます。
よくある誤解
- 「デジタル署名は電子署名より常に法的に強い。」誤りです。ほとんどの契約はデジタル署名を要求していませんし、適切に取得された電子署名は完全に拘束力を持ちます。正しい問いは、あなたの契約が、暗号的な本人確認の追加層を必要とする規制カテゴリに属するかどうかです。
- 「メールにタイプされた氏名は法的署名にはなり得ない。」多くの管轄区域で誤りです。電子署名法、eIDAS、ESIGN下では、署名意思を示しているタイプされた氏名は、法律上の電子署名の定義を満たします。日本の判例でも、メール末尾の署名や本文中の氏名表記が、当事者の意思表示として認められたケースがあります。
- 「Adobe Reader Fill&Signはデジタル署名を作る。」混在しています。Adobe ReaderのFill&Sign機能は法的には電子署名を作成しますが、Adoboが信頼する認証局からのデジタルIDで署名しない限り、暗号的なデジタル署名は適用されません。一般的なFill&Signの利用は、画像を埋め込むだけ——電子署名ではあっても、デジタル署名ではありません。
- 「私のPDFはデジタル署名がなければ裁判で検証に通らない。」誤りです。裁判所は署名のコンテキスト——意思、本人性、完全性、保管——を評価します。暗号技術だけでなく。評判のよいプラットフォームから署名されたPDFと、プラットフォームの完了証明書をセットにすれば、日常的に証拠として採用されます。
- 「デジタル署名、PKI署名、X.509署名は別物。」大部分が同じものです。PKI(Public Key Infrastructure、公開鍵基盤)はシステム;X.509は証明書フォーマット;「デジタル署名」とは、X.509証明書からの秘密鍵で文書ハッシュに署名することによって生み出される結果のこと。
あなたに必要なのはどちらか
判断のフレームは短くまとまります。
- 日常的な商取引、NDA、雇用契約、業務委託契約、売買契約、賃貸借契約:評判のよい電子署名プラットフォームが付与する電子署名で十分で、これがほとんどの企業の使い方です。プラットフォームレビューで編集部の検証ランキングをご覧ください。
- EU規制対象取引、最高の法的効力が重要なクロスボーダー案件、契約相手が明示的に適格電子署名を要求する場合:署名者本人に紐付いた証明書をサポートするプラットフォームを使用してください。Sign.PlusはFreeを含む全プランでQES対応;DocuSign EnhancedとPandaDoc Enterpriseは、認定QTSPを通じてQESを提供。
- 21 CFR Part 11やHIPAA規制対象ワークフロー:適切なコンプライアンスティアを持つプラットフォームを使用してください——DocuSign Enhanced、PandaDoc Enterprise(21 CFR Part 11ワークスペース付き)、Sign.Plus Enterprise(HIPAA + BAA)、またはDropbox Sign Premium。
- 商業登記、不動産登記、特許出願など行政電子申請:SaaS型電子署名は使えません。商業登記電子認証局やマイナンバーカードによる公的個人認証サービス(JPKI)が必要です。
- 遺言(自筆証書遺言以外):公正証書遺言など、公証人による作成が法律で要求されている文書は、電子署名でもデジタル署名でも代替できません。
プラットフォームを評価中、あるいはどのコンプライアンスティアが本当に必要か判断中の方は、電子署名コスト計算ツールでシナリオを主要プラットフォームに通せば、最も安く適合するオプションが浮かび上がります。法律枠組みが国によってどう異なるかについては、電子署名の法的有効性ガイドでeIDAS、ESIGN、UETA、主要な非EU管轄区域を詳しく解説しています。
正解の最も短い表現はこうです——ほとんどの企業に必要なのは電子署名。一部の企業に必要なのはデジタル署名。自分がどちらに属するかを正しく見抜けることが、適切なツールを買うか、自分にない問題を過剰設計するかの分かれ目です。
