NFT印鑑に潜む課題とは
21年8月18日、印鑑メーカー「シヤチハタ社」が出したプレスリリースが話題になりました。「日本初!NFTを活用した電子印鑑を共同開発」と題されたリリースには、以下のような言葉もありました。
押印された印影から押印者を証明するだけでなく、従来の電子印鑑が抱えていた印影の偽造リスクの問題を、ブロックチェーンの特徴である改ざん耐性を活用して解決します。
一般的なツイッターでの反応は冷ややかで、自分も「何言ってるんだ」という反応でしたが、NFTで盛り上がっている界隈からは絶賛する声も多く見られました。
今日は、NFTで印鑑というアイデアの欠点をたくさん指摘していきます。
印鑑の役割を考える
印鑑は、所有者本人の意思確認や承認の証拠として使用されます。印鑑の場合は押印や捺印、印影という言葉がありますが、世界的には署名すること、署名が同等の機能を果たしており、また電子署名という技術ともその名の通り共通点が多いです。
ちなみに、電子署名のほかに、電子署名を用いた電子印鑑サービスというものもあるようです。これは電子署名に含むこととします。ちなみに印影を画像ファイルにしただけのものも一般的に電子印鑑と呼ぶのが事態をややこしくしています。
さて、みなさんは押印と捺印の違いをご存知でしょうか。「記名押印」は印刷や代筆された氏名の横に印鑑を押すこと、「署名捺印」は自筆した氏名の横に印鑑を押すことのようです。証拠能力が低い順に記名のみ、記名押印、署名のみ、署名捺印とのことです。
誰にでも偽造できる記名には証拠としての価値が全くないことは自明なので、上記の序列の中にある記名押印<署名から、印鑑と署名では署名のほうが証拠能力が格上ということがわかります。したがって、印鑑の目的は
- 署名に加えた、弱い二段階認証のようなもの (署名捺印の場合)
- 署名することが難しいか、面倒な場合の意思確認の証拠 (記名押印の場合)
の2つであると整理できます。
また追加で、本来それでいいのかと疑問に思いますが、印鑑は代理で押すことができる(権限を移譲できる) という特徴があります。これと印影の特徴的な見た目を、印鑑独特の機能要件として頭の片隅に置いておきましょう。
NFT印鑑サービスの概要
プレスリリースからサービスの目的を引用します。
押印された印影から押印者を証明するだけでなく、従来の電子印鑑が抱えていた印影の偽造リスクの問題を、ブロックチェーンの特徴である改ざん耐性を活用して解決します。
電子契約では、書類に印影が表示されないサービスが多く、書類が締結済みか分からないというデジタル時代特有の悩みが生じており、押印の痕跡が一目で分かる“見読性”を備えるとともに、押印者の本人性を証明する機能を備えた「デジタル時代の新たな印影(印鑑)」のニーズが高まっています。
印鑑文化圏の外では解決済みなようですが、どのようにNFT印鑑を使用すれば解決できるとしているのか見ていきます。
まず、NFT印鑑が押印された電子文書には印鑑所有者の情報とNFT化された印影(実在しない印鑑の印影) の情報が刻印され、押印の記録がブロックチェーンに残るそうです。明確には書いてありませんが、電子署名を用いた電子印鑑サービスに統合されると解釈しました。
また、このサービスが使用するブロックチェーンはJCBIが運営管理するコンソーシアムチェーンだそうです。また、さまざまな電子契約システムで共通して利用可能なNFT印鑑API連携サービスが提供予定だそうです。
まとめると、以下のような点がポイントとして挙げられます。
- 押印された電子文書には印鑑所有者の情報と印影が表示される
- 印影は実在しない印鑑のもの
- 押印の記録がブロックチェーンに残る
- API連携によって外部サービスからも利用可能にする予定
機能の評価
まず、NFT印鑑と称されるこのサービスの本質は、印影と押印者情報をコンソーシアムチェーンを使って保管・配信してもらえる電子署名サービスです。先程の印鑑の目的に照らし合わせると、
- 押印は電子署名サービスの一環で、それ自体が二段階認証ではない (二段階認証を別途組み合わせることはでき得る)
- 印刷して署名捺印するよりは手間はかからないかもしれない (その割に、記名押印よりは格段に証拠能力は高いと考えられる、ただし使用頻度と管理作業のオーバーヘッドによる)
また、特徴的な機能要件として挙げた印影と押印権限の移譲に関しても、電子署名サービスそのものであるので保たれていると言えそうです。というか、つい先程述べたように、これはほぼ普通の電子署名サービスなのです。
NFTを使う必要がなさすぎる理由
では、なぜコンソーシアムチェーンで電子印鑑と保有者情報、印影をNFTとして管理すると言っているのでしょうか。結論から言うと、プレスリリースを通してバズを狙っているだけかと思われます。
まず、「NFT印鑑サービスの概要」でまとめたサービスの機能ですが、ユーザーも外部事業者も全てシャチハタに問い合わせることで実現しています。サービスのセキュリティ自体も、ブロックチェーンへの書き込み権限がシャチハタに限られるこの構造に依存しています。
したがって、セキュリティやユーザビリティを損なうことなくデータベースとファイルサーバー、あるいはクラウドでより効率的に再現できるため、そもそもブロックチェーンを使ったりNFT化する意味が皆無です。
本当に画像データは必要なのか?
これで切り捨てると味気ないので、もう少し具体的に指摘します。
通常の電子署名においても、どうにかして署名者の公開鍵と署名者自身を結びつける必要があります。この手段がないと、電子署名が本当に思い通りの相手によるものなのか判断できません。多くの場合、電子証明書を交換し、第三者が運営する認証局に問い合わせて確認します。
そしてこれはNFTに関しても同様です。なりすましの登録を防ぐには、シャチハタが唯一登録権限を持ち、なりすましを正しく検知し登録させない必要があります。これはNFTの偽造が流行していることからもわかるでしょう。(昨今は人気のNFTはすぐに誤認購入を狙ったニセモノが出回ります)
シャチハタが正しいデータを教えてくれることにも依存しています。これは当たり前のようですが、不具合や攻撃によって利用できなかったり、悪用される可能性があります。
また、印影の画像データ自体に証拠能力はなく、しっかりと電子署名したファイルなので、印影は押印済みかどうかをわかりやすくするただのギミックです。自動生成すればよく、画像ファイルすら本来は必要ないのではないでしょうか。
その画像データも「NFT化」されているとはいえ、NFT自体は一般的には画像データへのリンクやハッシュ値が含まれるにとどまります。つまり、印影データは高い確率でどこかのクラウドプロバイダーに置いてあるでしょう。
最後に、タイムスタンプ機能も、ブロックチェーンがなくても通常の電子署名で実現できます。というか、電子署名を用いた電子印鑑サービスにも基本的に搭載されているはずです。
したがって、今回プレスリリースが打たれたサービスは一昔前によく聞いた「ブロックチェーンいらないのにブロックチェーン使いたがる」やつなので、2017年にタイムスリップした気がしてきます。
プレスリリースの実情は?
推測に過ぎませんが、あまりにも詰めが甘いため、バズ狙いでアイデアを出してみた程度のプレスリリースだったのではないかと思います。というかそう願っています。
電子署名はもっと一般的になってほしいので、決して変な方向に行ってしまわないよう応援してます。DocuSignとかだいぶ一般的になってきた印象がありますね。
