電子署名 – EUの概況について

このブログはメディデータのGlobal Compliance and Strategy PrincipalであるFiona Mainiと Global Compliance and Strategy AnalystのValeria Orlovaが執筆しました。

進化し続けるこの世界では、従来のプロセスをデジタルで簡略化することが当たり前のように行われています。私たちの常識は、日々の活動がテクノロジーによって支えられている現実へと変わりつつあります。署名もその例外ではありません。紙にインクでサインしていた時代から、デジタル文書を受け取り、電子署名（eSignature）を追加してサインすることが一般的になりつつあり、印刷、郵送、現地へ赴くことなどの必要性がなくなってきています。

署名という奇抜な見た目に反して、その基本原則は尊重されるべきものである。署名は、署名する人と一意に結び付き、署名された文書の内容に対する承認、同意、宣言などの意味を持つ。電子署名は、紙の署名と同様にこれらの重要な側面をすべて備えており、間違いなくセキュリティの対象の1つとなっています。

電子署名とは何なのか？

欧州委員会の定義（eIDAS規則：欧州市場向けの電子署名に関するEU規則）によると、電子署名とは「他の電子形式のデータに添付され、または論理的に関連付けられた電子形式のデータで、署名者が署名するために使用されるもの」を意味するとあります。これは、基本的な、つまり「単純な」電子署名を説明しています。欧州委員会は、電子署名の種類として、署名者認証の基準が高い順に、simple（単純な署名）、advanced（高度な署名）、qualified（適格署名（QES））の3つを挙げています。

• 高度電子署名（An advanced electronic signature：AdES）は、「署名者を一意に識別でき、署名者が管理を保持できる方法で作成され、その後のデータの変更が検出可能な方法で文書にリンクされている」などの要件に従わなければなりません。各ユーザーには、一意のPKI署名キーと関連するデジタル証明書があります。この証明書は署名者に一意にリンクされており、個人のデジタルIDとして機能します。証明書は、作成される各署名に埋め込まれます。
• 適格電子署名（またはQES）は、最高レベルのセキュリティであり、最も厳格な要件に従います。資格のある信頼サービスプロバイダーによって発行され、署名者の身元の証明として機能する電子署名の信頼性を証明する必要があります。

臨床試験において、インフォームド・コンセントの一環として、参加希望者（試験への参加を決定した方）は、インフォームド・コンセントに署名します。電子によるインフォームド・コンセント（eConsent）では、各国の規制や法律で使用が許可されている場合においてこの署名を電子化することができます。電子署名は、現地で適用することも、許容される場合には参加者の自宅からリモートで適用することも可能です。

どのレベルの署名が必要なのか？

国や医療機関によって署名のレベルは様々で、簡単なものから高度なもの、適格なものまで要求されます。メディデータは過去4年間にわたり、保健当局と直接関わり、EU（欧州連合）および世界各地の電子署名の使用に関連する地域の規制や法律に精通してきました。 

この調査については、メディデータの「eConsent White Paper 2.0」で詳しく説明していますが、当局の主な調査結果では、いくつかの共通するシナリオが示されています。

1. 電子署名を含む完全なeConsentが許可されているが、現地で明示する必要がある。
2. 電子署名を含む完全なeConsentが許可されており、遠隔地での明示が可能である。 
3. 電子署名を含む完全なeConsentが許可されているが、電子署名はeIDASに従った適格な署名でなければならない。
4. .試験参加者に通知するための電子的方法の使用は許可されるが、署名は紙に手書きの湿式署名のみでなければならない。

メディデータは、EU加盟国全体で臨床試験への参加同意のための電子インフォームド・コンセントの受け入れに関して、ある程度断片的に状況を確認しています。電子署名を全く認めない国もあれば、単純署名や高度な署名を認める国もあり、また適格署名を求める国もあります。適格電子署名には、参加者と施設スタッフのために必要とされる多くの追加ステップがありますが、EUデジタルIDウォレットを導入するeIDAS規則の改正案により、今後10年間で適格な署名の提供プロセスが簡素化され、特定の地域における電子署名の採用に対する障壁が緩和される可能性があります。