図:RFC 3161タイムスタンプの生成・署名・検証フローの概念図
はじめに
写真や文書が「この時刻に存在していた」ことを証明するには、何が必要でしょうか。単に日付を書き込むだけでは不十分です。紙に書いた日付も、デジタルファイルのメタデータも、後から書き換えることができます。
RFC 3161 は、この問題を解決するために設計された国際標準プロトコルです。本記事では、RFC 3161の仕組みを技術的な観点から解説し、日本の法制度における電子証拠としての有効性について整理します。
RFC 3161とは何か
RFC 3161(正式名称:Internet X.509 Public Key Infrastructure Time-Stamp Protocol)は、IETF(Internet Engineering Task Force)が2001年に策定した電子タイムスタンプの国際標準仕様です。
タイムスタンプとは「このデータがこの時刻に存在した」という事実を、第三者が電子署名で保証することを意味します。RFC 3161が革新的なのは、信頼された第三者機関(TSA: Time Stamping Authority) の電子署名をデータのハッシュ値に付与することで、後からの改ざんを数学的に検出可能にした点です。
タイムスタンプが生成される仕組み
ハッシュ値の計算
まず、対象データ(写真や文書)から SHA-256 などのアルゴリズムでハッシュ値(固定長の数値)を計算します。ハッシュ値はデータの「指紋」のようなもので、データが1バイトでも変化すると全く異なる値になります。
元データ → SHA-256ハッシュ関数 → ハッシュ値(64文字の16進数)
重要なのは、ハッシュ値からは元のデータを復元できないことです。TSAに送信するのはハッシュ値だけなので、データの内容は外部に漏洩しません。
TSAへのリクエストと署名
クライアントはハッシュ値を含む タイムスタンプリクエスト(TSR) をTSAへ送信します。TSAは受け取ったハッシュ値に現在時刻を付加し、自身の秘密鍵で電子署名した タイムスタンプトークン(TST) を返送します。このトークンには以下が含まれます:
- 対象データのハッシュ値
- TSAが認定した正確な時刻
- TSAの電子署名(X.509証明書)
検証の仕組み
タイムスタンプトークンを受け取った第三者は、次の2ステップで真正性を確認できます:
- TSAの電子署名が正規のものかを確認(公開鍵による署名検証)
- トークン内のハッシュ値と現在のデータのハッシュ値が一致するかを確認
この検証により「このデータが署名時刻に存在し、かつその後改ざんされていない」ことが数学的に証明されます。
図:RFC 3161タイムスタンプの生成から検証まで(ハッシュ値だけを送るためデータは外部に漏れない)
日本の法制度との関係
電子署名法との関係
日本の 電子署名及び認証業務に関する法律(電子署名法) は、電子署名の法的効力を民事訴訟法上の私文書の真正推定と結びつけています。RFC 3161タイムスタンプは電子署名法における「電子署名」そのものではありませんが、証拠の信頼性を補強する重要な役割を果たします。
電子帳簿保存法への対応
2022年1月施行の 改正電子帳簿保存法 では、電子取引データの保存に際してタイムスタンプ要件が定められています。要件を満たすためには:
- 一定の技術水準を満たすタイムスタンプを付与すること
- タイムスタンプの発行から一定期間内に保存処理を完了すること
RFC 3161タイムスタンプは、この「一定の技術水準」を満たす代表的な方式として認められています。
民事訴訟における証拠能力
裁判所における電子証拠の評価は、その時刻の信頼性と改ざん検出能力に依拠します。RFC 3161タイムスタンプは次の2点で証明力を高めます:
- 国際的に認められたTSAの署名による 時刻の信頼性
- ハッシュ値による 改ざん検出の確実性
図:RFC 3161は電子帳簿保存法のタイムスタンプ要件と電子署名法の証拠能力補強の両方に機能する
電子証拠として認められる実務的条件
RFC 3161タイムスタンプが法的に有効な電子証拠として機能するためには、以下の条件を満たすことが重要です。
認定されたTSAの利用
TSAが信頼性の高い機関であることが前提です。日本国内では総務省が認定した認定タイムスタンプ業務を提供する事業者(セコムトラストシステムズ、アマノセキュアジャパン等)の利用が推奨されます。
ハッシュアルゴリズムの適切な選択
SHA-1はすでに脆弱性が発見されているため、SHA-256以上 のアルゴリズムを使用することが必要です。Imprintでは標準的にSHA-256を採用しています。
撮影からタイムスタンプ取得までの時間
撮影直後にタイムスタンプを取得することが理想です。時間的な間隔が大きいほど、その間に改ざんが行われた可能性を主張されるリスクが高まります。
タイムスタンプトークンの長期保管
タイムスタンプトークンは、証拠として参照される期間を超えて保管する必要があります。TSAの証明書が失効した後も検証可能な長期署名形式(XAdES-LTA等)への移行も検討に値します。
図:RFC 3161タイムスタンプが法的証拠として機能するための4条件(1つでも欠けると証明力が低下する)
Imprintにおけるタイムスタンプの実装
Imprintでは、写真解析と同時にRFC 3161タイムスタンプを取得できます。
撮影制御フローでの自動取得
「カメラで撮影」機能や「撮影依頼リンク」経由での撮影では、サーバー受信直後に自動的にタイムスタンプを取得 します。撮影者がアプリを操作する前にサーバー側でタイムスタンプが付与されるため、「撮影後に加工してからアップロードした」という主張を完全に排除できます。
事後検証でのタイムスタンプ取得
既存写真をアップロードした場合でも、解析結果画面の「タイムスタンプを取得」ボタンから手動で取得できます。この場合のタイムスタンプは「この時刻にこのデータが存在した」ことを証明しますが、撮影時刻はEXIFメタデータで別途確認する形になります。
PDF証明書への記載
取得したタイムスタンプ情報(認証局・取得時刻・シリアル番号)は、解析結果のPDF証明書に自動的に記載されます。このPDFは法的書面や保険査定書類への添付を想定したA4レイアウトで生成されます。
まとめ
RFC 3161タイムスタンプは、デジタルデータの存在証明において現時点で最も信頼性の高い手段のひとつです。
| 観点 | 内容 |
|---|---|
| 技術的根拠 | SHA-256ハッシュとTSAの電子署名による数学的な改ざん検出 |
| 法的根拠 | 電子帳簿保存法への対応・民事訴訟での証拠能力の補強 |
| 実務的条件 | 認定TSA・SHA-256・撮影直後の取得・長期保管 |
保険・不動産・法務の現場で写真の真正性を主張するためには、撮影から証明書発行までの一貫したフローを確立することが重要です。Imprintはこの全工程を単一のプラットフォームで提供しています。