Explicación sobre la creación y autenticación de firmas electrónicas: ¿Cuál es su eficacia legal?
En las interacciones en Internet, dado que no es necesario enfrentarse cara a cara con la otra parte, es necesario verificar si el emisor y el receptor de la información son realmente quienes dicen ser, y si la información no ha sido alterada en el camino.
Aquí, explicaremos la creación de firmas electrónicas utilizando tecnología de cifrado, que es un medio efectivo para esto, y la autenticación.
¿Qué es una firma electrónica?
La “Ley de Firma Electrónica (Ley Japonesa de Firma Electrónica y Servicios de Autenticación)” define y regula las “firmas electrónicas” aplicadas a los documentos electrónicos, así como los negocios que realizan su autenticación, y establece la validez legal de las firmas electrónicas.
En esta Ley de Firma Electrónica, una “firma electrónica” es una medida tomada con respecto a la información que se puede registrar en un registro electromagnético, que:
- Indica que la firma electrónica fue creada por la persona en cuestión (autenticidad)
- Permite verificar si se ha realizado alguna modificación a la firma electrónica (integridad)
Se considera que cumple con ambos requisitos (Artículo 2, párrafo 1 de la Ley de Firma Electrónica). Si se ha realizado una firma electrónica que solo la persona en cuestión puede realizar, se presume que es auténtica, al igual que un documento con la firma o sello de la persona (Artículo 3 de la Ley de Firma Electrónica).
Validez legal de los contratos electrónicos
Un contrato se establece cuando la otra parte acepta una declaración de intención que indica el contenido del contrato y propone su conclusión (Artículo 522 del Código Civil Japonés), y no es necesario crear un documento escrito. Sin embargo, si el contrato se convierte en un conflicto, se necesita algo que se pueda presentar como evidencia en el juicio.
En este sentido, para utilizar un contrato como evidencia en un juicio, “el documento debe probar que su creación es auténtica” (Artículo 228, párrafo 1 del Código de Procedimiento Civil Japonés), pero cuando se presenta un documento en papel como evidencia, si el documento tiene la firma o el sello de la persona o su representante, se presume que el documento es auténtico (creado por la voluntad de la persona) (Artículo 228, párrafo 4 del Código de Procedimiento Civil Japonés).
En respuesta a esto, la validez legal de los contratos electrónicos también se ha organizado mediante la Ley de Firma Electrónica.
Servicios de autenticación de firmas electrónicas
Para hacer un contrato electrónico con fuerza probatoria en un juicio, es necesario cumplir con el requisito de “creado por la persona en cuestión”, pero a diferencia de las firmas en papel que se pueden verificar al ver el documento, las firmas electrónicas son datos electrónicos, por lo que se necesita un medio para probar que fueron creadas por la persona en cuestión.
Al respecto, el Artículo 2 de la Ley de Firma Electrónica establece:
Artículo 2 de la Ley de Firma Electrónica (Definición)
Párrafo 2: En esta ley, “servicios de autenticación” se refiere a los servicios que prueban que los asuntos utilizados para confirmar que la firma electrónica fue realizada por el usuario (en adelante, “usuario”) que utiliza sus servicios, u otra persona a petición de la misma, se refieren al usuario.
Párrafo 3: En esta ley, “servicios de autenticación específicos” se refieren a los servicios de autenticación realizados para las firmas electrónicas que, de acuerdo con su método, solo la persona en cuestión puede realizar y que cumplen con los estándares establecidos por la ordenanza del ministerio competente.
De esta manera, la Ley de Firma Electrónica prevé que un tercero pruebe que es una firma electrónica realizada por la persona en cuestión, y llama a este servicio “servicio de autenticación”, y define el servicio de autenticación realizado para las firmas electrónicas que solo la persona en cuestión puede realizar y que cumplen con los estándares establecidos por la ordenanza del ministerio competente como “servicio de autenticación específico”.
Actualmente, la tecnología de autenticación adoptada como estándar para los “servicios de autenticación específicos” es la tecnología PKI (Public Key Infrastructure) que utiliza un método de cifrado llamado cifrado de clave pública (Artículo 2 del Reglamento de Ejecución de la Ley de Firma Electrónica). El “servicio de autenticación específico” es un servicio que utiliza esta tecnología para cifrar documentos electrónicos y verificar la identidad de la persona, y emitir un certificado electrónico para probar que la firma electrónica es de la persona en cuestión. Se permite que las empresas privadas realicen este servicio de autenticación, y las instituciones de terceros que realizan el servicio de autenticación se llaman “autoridades de certificación electrónica”, y sus estándares de certificación, etc., están establecidos en el Artículo 4 y siguientes de la Ley de Firma Electrónica.
Firma electrónica y sello de tiempo
La firma electrónica y el sello de tiempo son “pruebas” que garantizan “cuándo”, “qué” y “quién” en la sociedad de Internet, y son un medio poderoso para verificar la autenticidad de los documentos electrónicos.
Creación y envío de firma electrónica
La creación y envío de firmas electrónicas se realiza actualmente mediante el uso de un par de claves privadas y públicas en el “sistema de cifrado de clave pública” y un método que utiliza una función hash, de la siguiente manera:
- El creador solicita el uso de un certificado digital a la autoridad de certificación.
- La autoridad de certificación verifica la identidad, verifica la correspondencia entre la clave privada y la clave pública, y luego genera la clave privada utilizada para cifrar el documento y la clave pública utilizada para descifrarlo.
- La autoridad de certificación emite un certificado digital de la clave pública registrada por el creador.
- El creador acepta el certificado digital de la autoridad de certificación.
Con esto, el remitente utilizará el certificado digital para enviar datos electrónicos.
- El remitente convierte los datos electrónicos en un valor hash (también conocido como resumen de mensaje) mediante una función hash. Una función hash es una función que convierte datos (valores de entrada) como letras y números en algún valor numérico (valor de salida).
- Este valor hash se cifra con la clave privada que corresponde a la clave pública certificada por el certificado digital. Esta acción se llama “firma electrónica”.
- El remitente combina los datos electrónicos (texto plano) y la firma electrónica, y los envía al destinatario junto con el certificado digital.
- El destinatario divide los datos recibidos en datos electrónicos (texto plano) y firma electrónica, y genera un valor hash utilizando la misma función hash que el remitente a partir de los datos electrónicos (texto plano).
- Descifra la firma electrónica utilizando la clave pública del remitente y obtiene el valor hash.
- Si los valores hash obtenidos en los pasos 4 y 5 coinciden, se puede confirmar que los datos electrónicos provienen del remitente y que no han sido alterados.
Debido a las características del valor hash, si el contenido del documento electrónico es exactamente el mismo que cuando se firmó electrónicamente, el valor hash creado y el valor hash descifrado serán exactamente los mismos, y si incluso una sola letra es diferente, el valor hash será completamente diferente.
Por lo tanto, al verificar la coincidencia de los dos valores hash, se puede confirmar que el documento electrónico en cuestión no ha sido alterado.
Sello de tiempo
Se puede confirmar que el contenido del documento no ha sido alterado mediante la coincidencia del valor hash del documento electrónico y la firma, pero además, el “sello de tiempo” (TS) se utiliza para demostrar “cuándo” existió el documento (prueba de existencia) y que el contenido del documento no ha sido alterado desde ese momento (prueba de no alteración). El sello de tiempo se considera un medio efectivo para verificar la autenticidad de los documentos electrónicos junto con la firma electrónica.
El usuario envía el valor hash de los datos originales a la Autoridad de Sellado de Tiempo (TSA: Time-Stamping Authority), y la TSA envía al usuario un TS con información de tiempo añadida a este valor hash. Se puede demostrar que el contenido no ha sido alterado al verificar la coincidencia del valor hash del documento electrónico y el valor hash del sello de tiempo.
Almacenamiento de datos
Las empresas y los trabajadores autónomos están obligados a conservar documentos contables como pedidos y contratos que son objeto de procesamiento contable durante 7 años (o 10 años), y según la Ley de Almacenamiento de Libros Electrónicos (Ley sobre excepciones especiales para el método de almacenamiento de documentos contables relacionados con impuestos nacionales creados utilizando computadoras), también están obligados a almacenar información de transacciones cuando realizan transacciones electrónicas (Artículo 10 de la Ley de Almacenamiento de Libros Electrónicos).
En cuanto a la conservación a largo plazo de estos documentos electrónicos, según el Reglamento de Ejecución de la Ley de Almacenamiento de Libros Electrónicos, es necesario “añadir un sello de tiempo relacionado con el trabajo certificado por la Fundación Japonesa de Comunicaciones de Datos” a dicho documento electrónico (Artículo 3, párrafo 5, ítem 2 del Reglamento de Ejecución de la Ley de Almacenamiento de Libros Electrónicos), y se requiere “mantener la información relacionada con la persona que realiza o supervisa directamente la conservación de dichos registros electromagnéticos de manera que se pueda verificar” (Artículo 8 del Reglamento de Ejecución de la Ley de Almacenamiento de Libros Electrónicos).
Resumen
La digitalización de documentos se ha convertido en la base para la reforma de los procesos de negocio y la mejora del servicio al cliente, y la importancia de la grabación y gestión a través de la digitalización de documentos está aumentando día a día.
La validez de los contratos electrónicos es reconocida, y en los juicios, los contratos electrónicos pueden ser utilizados como evidencia. La tendencia hacia la digitalización en los contratos entre empresas está avanzando rápidamente. Es necesario entender las diversas leyes y regulaciones relacionadas con los contratos electrónicos y responder adecuadamente.
Presentación de las medidas propuestas por nuestro despacho
El despacho de abogados Monolith es una firma legal con alta especialización en IT, especialmente en aspectos de Internet y derecho. En los últimos años, el uso de firmas electrónicas ha aumentado, y la necesidad de verificaciones legales está creciendo cada vez más. Teniendo en cuenta las regulaciones de diversas leyes, nuestro despacho analiza los riesgos legales relacionados con los negocios que se han iniciado o que se planean iniciar, y busca legalizarlos sin detener el negocio tanto como sea posible. Los detalles se describen en el artículo a continuación.