柳谷智宣がAdobe Acrobatを使い倒してみた 第164回

リリースや証明書発行時に便利！　企業（組織）の角印に当たる署名をAcrobatで押す方法

　本連載は、Adobe Acrobatを使いこなすための使い方やTIPSを紹介する。第164回は、データの発行元を証明するための仕組み「eシール」について紹介する。

データの発行元を証明するためのeシール

　Acrobatでは、電子署名をすることで、発行したPDFが改ざんされていないことを証明できる。とはいえ、電子署名は個人の意思表示を伴うが、ビジネス文書の種類によってはそぐわないこともある。例えば、請求書や領収書、資格証明書などの経理関係書類やIoTデバイスから出力されるデータなど、企業が発行したことは証明したいものの、誰かの本人確認をする必要がないケースが考えられる。現状では、社長などの電子署名を利用することがあるが、忙しい社長がすべての書類に署名するのも無理がある。しかし、秘書などが勝手に署名するのは、本人性を台無しにするもので本末転倒だ。

　そこで、例えるなら、企業や団体などの組織の角印の電子版に相当するものが求められ、eシール（Electronic Seal）が生まれた。企業のような組織が発行するデータの発行元を証明するための仕組みだ。

誰もが使える組織の角印のような署名ができると色々捗る

　実は、すでにEUではeシールが普及している。適格eシールは紙文書における法人印やスタンプと同等の法的効力を持ち、EU加盟国内では相互認識が義務付けられている。例えば、電子インボイスや税務報告に採用されているほか、血液検査結果や財務報告書など、機密性が高い情報の改ざん防止に利用されている。機械間通信（M2M）などの自動化されたプロセスにも利用されている。電子署名は意思表示を伴う個人向け、一方でeシールは組織の発行元証明を目的とするのが異なるポイントとなる。

　日本でも2024年度中にeシールの認定制度を開始する予定となっている。しかし、これから細かいところを詰めて、認証局を立ち上げる必要があるので、日本版eシールを使えるのはまだ先の話になりそう。

　グローバルで使われているAcrobatはもちろんeシールにも対応している。一足早く触ってみたいので、EU規則に準拠した適格eシールを発行できる国内の認証局であるGMOグローバルサインにお話を伺った。すると、EUの本物のeシールを日本で試すのには色々とハードルがあることが判明。しかし、組織が作成した文書を証明するための署名用証明書のサービスであれば試用できるという。せっかくなので、今回はこの文書署名用証明書（AATL用証明書）による署名にチャレンジしてみた。

まず文書署名用証明書（AATL用証明書）を設定してみる

　AATL（Adobe Approved Trust List）はAdobeの電子署名プログラムで、所定の技術要件をクリアした認証局（CA）しかメンバーとして登録できない。もちろん、GMOグローバルサインはメンバーとなっており、互換性が保証されている。

　まずはGMOグローバルサインのウェブページから申し込み、必要情報の入力や会社の確認などを行う。これが、なかなか厳密で、例えば本社登記している住所にしか確認のはがきを送付できなかったりする。

　ここで注意が必要なのが、「コモンネーム」とメールアドレスの入力。証明書利用者を識別するための情報を入力する際、「コモンネーム」は必須となっており、入力例として、「Taro Yamada」と入っていたのだが、ここに組織名を入力しなければならないのだ。筆者は最初、例に従って自分の名前を入れてしまい、最初から手続きをやり直す羽目になってしまった。

　同じく、メールアドレスも担当者のものではなく、署名時に表示される組織のメールアドレスを登録すること。筆者はここでも個人のアドレスを入力してしまうというミスを犯してしまった。

　認証が完了すると、証明書のダウンロードリンクが記載されたメールが届くので自分の環境で設定を行う。

会社の確認などの認証作業が完了すると、証明書をダウンロードできるようになる

　eシールをアプリで押すサービスもあるのだが、今回は専用のUSBトークンを使う方法を試してみた。USBトークンは専用のドライバソフトをインストールし、「SafeNet Authentication Client」で初期化。様々なパスワードやPINを設定し、利用できるようになる。パスワードを忘れると、USBトークンが使えなくなることもあるので、厳重に管理すること。

届いたUSBトークンを「SafeNet Authentication Client」で初期化する

パスワードやPINなどを設定する

　証明書をインストールする際は、Fortifyというセキュリティツールを利用し、Chromeなどのブラウザ経由で操作する。その後、トークンパスワードを入力し、鍵をUSBトークンに書き込めば準備完了だ。ここで重要になるのが各種パスワードとなる。複数あるが、適当に入力せず、前述のように忘れないように管理すること。筆者はノリで作業し、試行回数を超えてしまい、USBトークンをリセットする羽目なった。

Fortifyをインストールし、ブラウザを認証する

契約時に申し込んだ内容が表示されるので「作成」をクリックする

鍵の生成プロバイダーを選択して「実行」をクリックすると書き込まれる

USB内にユーザー証明書が書き込まれた

Acrobatでの署名も簡単

　準備が完了したら、Acrobatで署名してみよう。「証明書を使用」を開き、「証明（不可視署名）」をクリック。最初は、確認画面が出るので「OK」をクリック。続いて、「デジタルID」の選択画面が開くので、自社名のIDを選択しよう。発行者は「GlobalSign」になっているはずだ。

　「証明後に許可する操作」は「変更を許可しない」にして、「署名」をクリックする。最後に、トークンパスワードを入力すれば署名完了だ。画面上部に、組織名が表示され、証明され、改ざんされていないことがわかる。

　メールアドレスにモザイクがかかっているのは、組織用アドレスではなく、筆者個人のアドレスを登録してしまったため。申し込みする際、ディスティングイッシュネーム情報の登録時は、厳重に確認することをお勧めする。

Acrobatの「証明書を使用」から「証明（不可視署名）」をクリックする

登録した自社のデジタルIDを選択する

「変更を許可しない」を選択して、「署名」をクリック

トークンパスワードを入力する

組織の証明書で署名できた

　ユーザーからすると、証明している相手の名前が個人名から組織名になっているだけというならそうだが、やはり個人名だとおかしい文書もある。そんな時、安価に手軽に組織が発行したことを証明する署名を付けられるなら、色々な文書で活用できそう。受け取り手の信頼も得られるし、勝手に改ざんされる心配もない。

　給与明細や見積書、電子カルテ、決算資料、製品カタログ、取扱説明書など、組織の署名はいろいろなところで活用しそう。日本版eシールの一刻も早い導入を期待したい。今すぐに、利用したいというのであれば、GlobalSignの「文書署名用証明書」サービスの利用を検討してみよう。なお、利用料金は1年間8万4000円（税抜）となる。