發布成果「簽名保證指南 Ver1.00」
JNSA發布了「簽名保證指南 Ver1.00」,該指南基於NIST標準將電子簽名服務的要求系統化,並定義了四個保證級別(SxAL)。
📋 文章處理履歷
- 📰 發表: 2026年4月8日 23:00
- 🔍 收集: 2026年4月8日 14:30
- 🤖 AI分析完成: 2026年4月20日 19:13(收集後292小時43分鐘)
特定非營利活動法人 日本網路安全協會(會長:江崎 浩)標準化部會 電子簽名工作小組保證級別任務小組(負責人:宮地 直人)發布了「簽名保證指南(Signature Assurance Guidelines)Ver1.00」作為2025年度的成果,該指南將電子簽名服務中的技術和運營要求體系化。
本指南的一大特色是,基於美國國家標準暨技術研究院(NIST)的「NIST SP 800-63: 數位身分指南(Digital Identity Guidelines)」理念,將身分(電子認證)中保證級別的框架擴展到電子簽名領域。由此,提供了一個機制,可以將過去分別處理和評估的電子認證和電子簽名,以保證級別的統一視角進行整理與比較。
本指南為電子簽名服務的使用者提供服務選擇的判斷標準,並為提供服務的業者提供設計與建構的方針。
■背景
近年來,隨著DX(數位轉型)的進展以及行政手續、合約的電子化,電子簽名及電子合約服務的使用正在迅速擴大。另一方面,電子簽名的方式呈現多樣化,不同服務的資安對策與保證級別各異,導致使用者一直難以做出適當的選擇。
過去電子簽名領域也曾被指出需要跨產業的安全標準,JNSA電子簽名工作小組便與多家企業及專家共同推進了相關探討。
■概要
為評估電子簽名服務的可靠性,本指南定義了四個保證級別:簽名者身分保證(SIAL)/簽名流程保證(SPAL)/簽名資料保證(SDAL)/服務運營保證(SOAL)。這些統稱為「SxAL(Signature Assurance Level)」,使得能夠根據用途和風險選擇適當的電子簽名服務。
此外,作為電子簽名的要求,定義了本人身分(Identity)/本人意願(Approval)/防篡改(Tamper-evidence)三個要素。透過這種方式,從比傳統法律制度更實務且嚴格的角度整理了電子簽名的可靠性。
■主要內容
①電子簽名的定義(第1.2.章)
・本人身分(Identity):能夠識別簽名者是誰
・本人意願(Approval):簽名歸屬於簽名者本人
・防篡改(Tamper-evidence):簽名後文件未被更改
②電子簽名方式的整理
第2.2.1.章 本地簽名方式:(持有現有簽名金鑰的PKI簽名)
第2.2.2.章 遠端簽名方式:(藉由遠端保管簽名金鑰的PKI簽名)
第2.2.3.章 認證記錄簽名方式:(透過登入進行簽名)
第2.2.4.章 業者簽名方式:(見證人型簽名等由業者提供的簽名保證)
③電子簽名的保證級別
第2.3.1.章 簽名者身分保證(SIAL):透過確認簽名者身分來保證本人身分
第2.3.2.章 簽名流程保證(SPAL):簽名時的本人身分及確認簽名意願的保證
第2.3.3.章 簽名資料保證(SDAL):關於簽名資料本身可靠性的保證
第2.3.4.章 服務運營保證(SOAL):關於遵守運營政策的可靠性保證
④電子簽名風險管理(ESRM)
第3.2.章 步驟0:定義與初期保證級別的暫定(服務的定義與保證級別)
第3.3.章 步驟1:實施風險評估(簽名風險的識別/分析/評估)
第3.4.章 步驟2:基本對策與最終保證級別的決定(透過風險應對與調整來決定)
第3.5.章 步驟3:文件化(簽名服務核准規定與運營規定的制定和公開)
第3.6.章 步驟4:簽名服務運營與重新評估(開始運營後及一定期間後的重新評估)
⑤附錄(電子簽名相關資訊)
A.簽名保證級別符合聲明書(規定)
B.核准目的簽名與發...
本指南的一大特色是,基於美國國家標準暨技術研究院(NIST)的「NIST SP 800-63: 數位身分指南(Digital Identity Guidelines)」理念,將身分(電子認證)中保證級別的框架擴展到電子簽名領域。由此,提供了一個機制,可以將過去分別處理和評估的電子認證和電子簽名,以保證級別的統一視角進行整理與比較。
本指南為電子簽名服務的使用者提供服務選擇的判斷標準,並為提供服務的業者提供設計與建構的方針。
■背景
近年來,隨著DX(數位轉型)的進展以及行政手續、合約的電子化,電子簽名及電子合約服務的使用正在迅速擴大。另一方面,電子簽名的方式呈現多樣化,不同服務的資安對策與保證級別各異,導致使用者一直難以做出適當的選擇。
過去電子簽名領域也曾被指出需要跨產業的安全標準,JNSA電子簽名工作小組便與多家企業及專家共同推進了相關探討。
■概要
為評估電子簽名服務的可靠性,本指南定義了四個保證級別:簽名者身分保證(SIAL)/簽名流程保證(SPAL)/簽名資料保證(SDAL)/服務運營保證(SOAL)。這些統稱為「SxAL(Signature Assurance Level)」,使得能夠根據用途和風險選擇適當的電子簽名服務。
此外,作為電子簽名的要求,定義了本人身分(Identity)/本人意願(Approval)/防篡改(Tamper-evidence)三個要素。透過這種方式,從比傳統法律制度更實務且嚴格的角度整理了電子簽名的可靠性。
■主要內容
①電子簽名的定義(第1.2.章)
・本人身分(Identity):能夠識別簽名者是誰
・本人意願(Approval):簽名歸屬於簽名者本人
・防篡改(Tamper-evidence):簽名後文件未被更改
②電子簽名方式的整理
第2.2.1.章 本地簽名方式:(持有現有簽名金鑰的PKI簽名)
第2.2.2.章 遠端簽名方式:(藉由遠端保管簽名金鑰的PKI簽名)
第2.2.3.章 認證記錄簽名方式:(透過登入進行簽名)
第2.2.4.章 業者簽名方式:(見證人型簽名等由業者提供的簽名保證)
③電子簽名的保證級別
第2.3.1.章 簽名者身分保證(SIAL):透過確認簽名者身分來保證本人身分
第2.3.2.章 簽名流程保證(SPAL):簽名時的本人身分及確認簽名意願的保證
第2.3.3.章 簽名資料保證(SDAL):關於簽名資料本身可靠性的保證
第2.3.4.章 服務運營保證(SOAL):關於遵守運營政策的可靠性保證
④電子簽名風險管理(ESRM)
第3.2.章 步驟0:定義與初期保證級別的暫定(服務的定義與保證級別)
第3.3.章 步驟1:實施風險評估(簽名風險的識別/分析/評估)
第3.4.章 步驟2:基本對策與最終保證級別的決定(透過風險應對與調整來決定)
第3.5.章 步驟3:文件化(簽名服務核准規定與運營規定的制定和公開)
第3.6.章 步驟4:簽名服務運營與重新評估(開始運營後及一定期間後的重新評估)
⑤附錄(電子簽名相關資訊)
A.簽名保證級別符合聲明書(規定)
B.核准目的簽名與發...