インターネットを介して情報の拡散や商取引ができる時代となるのに伴い、そのデジタルデータが本物であることを証明する方法(デジタルエビデンス)がビジネスの場で求められています。
本コラムでは、2000年の事業立ち上げから長年タイムビジネス事業に関わってきた柴田が、タイムスタンプや電子署名、e-文書法対応をはじめ、デジタル情報の真正性証明の最前線を解説いたします。
前回のコラムでは、「Society5.0」の基盤となる、データの完全性を確保する仕組みとして、タイムスタンプやeシールなどのトラストサービスの公的枠組みの具体的な検討が始まっている旨を解説させていただきました。
総務省により設定された有識者会議により、議論を重ねた末、「最終取りまとめ(案)」が発出され、トラストサービスに関する課題や在り方の方向性が示されましたが、その際に参考とされたのが、EU加盟国における電子取引における本人確認の電子IDや、電子署名、タイムスタンプ等のトラストサービスの統一基準を定めた法的規則、「eIDAS規則」(イーアイダス規則)です。
今回は、この「eIDAS規則」について、詳しく解説します。
eIDAS規則とは、EU域内の文化・経済・政治の異なる国を跨いで健全な電子取引ができるように、流通するデータを一定の信頼レベルに保つことを実現した画期的な直接法です。
EU委員会がDigital Agenda for Europe2010で掲げた
「超高速インターネット及び相互接続可能なアプリケーションを基盤とする『デジタル単一市場』の創設から、持続可能な経済的・社会的便益が得られるようにすること」
を実現するために、2014年7月23日に規則として成立され、2016年7月1日から施行されています。
【図1 eIDAS規則】
eIDASの画期的なポイントは、以下の5点と考えます。
1. 加盟国に直接効力をもつRegulationとして制定されたこと
EUでは、日本とほぼ同時期の1999年に、各国内法に置き換えることを指示するDirectiveとして「電子署名指令」が発令されていました。(e-Signature Directive 1999/93/EC)
しかし、デジタル単一市場を創造するには、統一した信頼の基準が必要であることが示され、
■域内各国で規定されているレベルに差異があるとダメでしょ
■電子署名だけでは実現できないでしょ
ということで、「電子署名指令」を廃止し、あらたに、「電子本人認証(eID:electronic Identification)」と「トラストサービス(eTS:electronic Trust Service)」を規定して、直接法である規則(Regulation)として制定したのです。
eIDASの副題には、
“on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC”と明示されています。
2. トラストサービスに法的効力を与えたこと
eIDASでは、Article3の(16)にトラストサービスが定義されています。
「トラストサービス」とは通常、有料で提供される電子サービスであり、以下から構成される。
(a)電子署名、eシール、タイムスタンプ、電子登録配布サービスそしてそれらのサービスに関連した電子証明書の生成、検証、妥当性確認
(mhayama@bm-x.jp)Webサイト認証のための電子証明書の生成、検証、妥当性確認
(c)電子署名、eシール、タイムスタンプ、あるいはそれらのサービスに関連する電子証明書の保存
そして、Chapter3の各サービスにおいては、
「それが電子形式であるという理由のみで、法的効果や法的手続きにおける証拠としての許容性を否定されない。」と、法的に効力を持たせています。
3. EU統一の基準と適格性をチェックする機能を設定したこと
各加盟国において、国家監督機関(Supervisory body)を設定し、適格トラストサービス事業者の適合性を評価する機関(conformity assessment body)を指定することが明記されています。
トラストサービス事業者は、この適合性評価機関により、EUの統一基準に則った評価・監査を受けることで適合性が確認され、そのレポートが国家監督機関に提出されることで適格トラストサービス事業者として認定されます。
4. マシンリーダブルの見える化を実現
加盟国ごとに適格トラストサービス事業者とサービスの情報をまとめた「トラステッドリスト」を作成し、
■統一したフォーマットで管理し告示すること
■そのリスト内の情報はマシンリーダブルとし、電子署名もしくはeシールを付すこと
を規定し、さらにEUとして、それら各国のリストを公衆が利用可能にすることを規定しています。
トラステッドリストの実物は、以下のURLで公開されています。
https://webgate.ec.europa.eu/tl-browser/#/
このトラステッドリストの詳細については、ETSI TS 119 612に規定されています。
5. リモート署名を認めていること
電子署名の作成環境について、署名者に代わってトラストサービス事業者によって管理されるリモート署名は経済的効果があると記載があり、
「信頼できるサービスを提供する事業者は、署名者の管理下で使用されることを保証するために、特定の管理及び管理上のセキュリティ手順を適用し、安全な通信チャネルを含む信頼できるシステム及び製品を使用すべきである。」としています。
EUの政策執行機関である欧州委員会の部局DG-Connect(情報社会・メディア総局)では、eIDとトラストサービスの利点を、以下のように整理しています。
■eID(電子本人認証)
・コストと時間の節約
・顧客基盤の拡大
・クロスボーダー取引の信頼性
・ビジネス・顧客の利便性
■eSignature(電子署名:自然人)
・プロセスの合理化によるコストと時間の削減
・より革新的なビジネス・プロセス
・ビジネス・顧客の利便性
■eTimestamp(タイムスタンプ)
・強化されたドキュメント・トラッキング
・アカウンタビリティの向上
■Qualified Web Authentication Certificate(ウェブサイト認証)
・フィッシングを回避し、ビジネスの評判を保護
・消費者の信頼向上
■eSeal(eシール)
・プロセスの合理化によるコスト削減
・文書の出所の信頼
■Electronic Registered Delivery Service(電子書留送付サービス)
・ドキュメント交換の時間とコストの削減
・効率の向上と信頼性の向上したドキュメント管理
【図2 eIDとトラストサービスの利点】
eIDASが施行された2016年時点では、適格トラストサービス事業者の数は151でした。
現在、2020年1月時点では、29ヵ国で179事業者です。
【図3 適格トラストサービス事業者数】
デジタル単一市場の実現にむけて、2019年12月時点で実際にeIDASに準拠している各種制度、法令を記載します。これらは、今後増えていくものと思われます。
■マネーロンダリング対策指令
Anti Money Laundering Directive 5 (AMLD5) Directive (EU) 2018/843
■改正決済サービス指令
Payment Service Directive 2 Directive (EU) 2015/2366
Commission Delegated Regulation (EU) 2018/389
■単一デジタルゲートウェイ(域内の各種手続きのオンライン窓口の一本化)
Once Only Principle cross border
EU Regulation 2018/1724 on Single Digital Gateway of 02/10/2018
■KYC(オンラインによる顧客確認)
Digital on boarding and portability of Know Your CustomerEC Expert Group on eID and remote Know Your Customer (5 th meeting held on 23 May 2019) jointly managed by CNECT, JUST and FISMA
■会社法指令(企業におけるデジタルツール・プロセスの利用に向けて改正)
Company law
Proposal to amend the Directive (EU) 2017/1132 adopted by European Commission on 25/04/2018 as regards the use of digital tools and processes in company law
■偽情報・フェイクニュース対策
Tackling online disinformation / Fighting fake news
COM(2018) 236 final adopted on 26/04/2018
■GDPR対応(属性、資格などの確認結果をやり取りする際のデータ最小化)
GDPR compliance
■AVMS指令(マイノリティ保護、年齢認証、保護者同意)
Audiovisual Media Service Directive(視聴覚メディア・サービス指令)、EUにおける視聴覚コンテンツやサービス(例:放送やオンライン配信等)に関する規定を定めている。
eIDAS規則は、これからのデジタル社会の発展を見越して、デジタルデータにもリアル社会と同等の信頼の基準を設けるという発想で策定されており、EUでは、トラストサービスの法的効果を認め継続して運用される仕組みを構築しています。
【図4 EUにおけるトラストサービスの枠組み】
その点、我が国はというと、流通するデータの信頼を確認できる手段が統一されていない中で、さまざまなネットを介したデジタルサービスが展開されつつあり、各サービスにおいて独自の基準で担保することで利用者の選択に委ねています。一方で、利用者は漠然とした不安を感じています。
eIDASのように、さまざまな制度、法令が準拠できるような法的効力を示し、それに準じたトラストサービスが継続して提供される仕組が制度として整備されることは、「Society5.0」の実現に向けて不可欠と言っても過言ではないでしょう。
セイコーソリューションズはトラストサービス分野のリーディングカンパニーとして、今後、新たな法的規則や公的な制度の確立によって必要とされるサービスについても、いち早く取り組んでいく所存です。
【図5 日本におけるトラストサービスの信頼性を保証するフレームワーク】
1982年 電気通信大学通信工学科を卒業し、株式会社第二精工舎(現セイコーインスツル株式会社)に入社。
2000年にタイムビジネス事業(クロノトラスト)を立ち上げ、2013年にはセイコーソリューションズ株式会社の設立と共に移籍。
タイムビジネス協議会 (2006年発足時より委員、2011年より企画運営部会長)を母体としたトラストサービス推進フォーラムを2018年に立ち上げ、現企画運営部会長。
専門分野は、タイムビジネス(TrustedTime) 論理回路設計・PKI・情報セキュリティ。
■トラストサービス推進フォーラム 企画運営部会長
■タイムビジネス信頼・安心認定制度 認定基準作成委員
■UTCトレーサビリティJIS原案作成委員会(JISX5094)委員
■総務省WRC15宇宙分科会構成員
■総務省トラストサービス検討ワーキンググループ構成員
■令和元年度「電波の日・情報通信月間」関東情報通信協力会長表彰
■『概説e-文書法 / タイムビジネス推進協議会編著』(NTT出版)共著
■『帳簿保存・スキャナ保存』完全ガイド(税務研究会出版)監修
講習実績
■「もらった領収書をスマホ撮影!?規制緩和の内容や最新動向をご紹介します」
2年連続で規制緩和となった電子帳簿保存法のスキャナー保存について、要件を満たした運用手順や、実際の電子化手法などを中心に紹介
■ITU/BIPM WorkShop“Future of International Time Scale“(2013年9月)
■TSP Compliance Info-Day(2015年12月)