Trust service

358045_R

トラストサービス

2019年1月31日に「トラストサービス」に関する1回目の総務省の有識者会議(トラストサービス検討ワーキンググループ)がありました。このワーキンググループは、「プラットフォームサービスに関する研究会」の下に設置されたもので、開催要項には次のように設置の目的が記されています。

Society5.0の基盤として、誰からの/何からのデータであるかを確認する仕組みや、データの完全性を確保する仕組みとしてのトラストサービスが不可欠であると考えられる。・・・・、我が国におけるトラストサービスに関する課題を整理し、その在り方について、検討を行う。

(「トラストサービス検討ワーキンググループ」開催要綱:http://www.soumu.go.jp/main_content/000597570.pdf より)

トラストサービスとは?

では、トラストサービスとは何なのでしょうか?日本公認会計士協会のWebサイトには次のように記されています。

Trustサービスとは、インターネットを介した電子商取引の安全性やシステムの信頼性等に関する内部統制について保証を与えるサービスであり、米国公認会計士協会(以下「AICPA」という。)とカナダ勅許会計士協会(以下「CICA」という。)によって基準化され、世界基準として既に欧米を中心として各国で公認会計士が広くサービスを提供し認知されています。

(日本公認会計士協会:http://www.hp.jicpa.or.jp/ippan/trust/index.html より)

2016年に発効したEUのeIDAS(electronic Identification and Authentication Services)規規(※1)の第3条の16項に、トラストサービスの定義が次のように記されています。

(16)‘trust service’ means an electronic service normally provided for remuneration which consists of:

(a) the creation, verification, and validation of electronic signatures, electronic seals or electronic time stamps, electronic registered delivery services and certificates related to those services, or

(電⼦署名、eシール、タイムスタンプ、電⼦登録配布サービス、そしてそれらのサービスに関連した電⼦証明書の⽣成、検証、妥当性確認)

(b) the creation, verification and validation of certificates for website authentication; or

(Webサイト認証のための電⼦証明書の⽣成、検証、妥当性確認)

(c) the preservation of electronic signatures, seals or certificates related to those services;

(電⼦署名、eシール、タイムスタンプ、あるいはそれらのサービスに関連する電⼦証明書の保存)

eIDAS:https://www.eid.as/home/#article3 より)

(※1)EUが、電子取引サービスにおいて、その信頼性を高め促進する為の、電子的に本人を確認するeIDやトラストサービスの技術的・法的な枠組みを定めた統一ルールで、1999年に定められた電子署名指令に替わって定められたものです。

trust2019_001_R(総務省「プラットフォームサービスに関する研究会」(第2回)配布資料:トラストサービスに関する現状2018年11月5日:http://www.soumu.go.jp/main_content/000583371.pdf より)

ワーキンググループの検討課題とは

ワーキンググループでは何が検討されるのでしょうか?「トラストサービスに関する主な検討事項」という資料には、2つの視点から5つの検討事項が示されています。

視点1は「ネットワークにつながる人・組織・モノの正当性を確認できる仕組みの確保( Identification/Authentication)」として、検討課題の1に「人の正当性を確認できる仕組み」、具体的に「利用者認証」と「リモート署名を実現する上での技術的課題や制度的課題の検討」、検討事項の2に「組織の正当性を確認できる仕組み」、具体的には「組織による認証」と「ウェブサイト認証」、検討事項の3に「モノの正当性を確認できる仕組み」が挙げられています。

視点2は「データの完全性の確保(Data Integrity)」として、検討事項の1に「データの存在証明・非改ざん証明の仕組み」、具体的に「タイムスタンプ」、検討事項の2に「データの完全性と送受信の正当性の確認を組み合わせた仕組み」。具体的に「eデリバリー」が挙げられています。

電子署名、タイムスタンプ、eシール、リモート署名、Webサイト認証、eデリバリーとは?

トラストサービスの中にeシールやタイムスタンプなど聞きなれない言葉が出てきます。これらはどんな意味なのでしょうか?

〇 電子署名

ワーキンググループの資料のeIDASの説明には、

「自然人が電磁的に記録された情報について、その自然人が作成したことを示すもの」(http://www.soumu.go.jp/main_content/000597573.pdf より)

とあります。

また、総務省のWebサイトの「国民生活と安心・安全」には

「電磁的記録に記録された情報について作成者を示す目的で行われる暗号化等の措置で、改変が行われていないかどうか確認することがで きるもの」(http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/law_2.pdf より)

とあります。

自然人(Natural person)というのは法律用語です。純粋に実在する人を指します。法律的には、生まれたその時点で権利能力が認められた存在ということになります。この自然人に対比するのは法人(Legal person)です。法律によって「人」のように権利や義務を得る資格を付与された団体で、会社などがそうです。

上記の説明にあるように、電子署名は実社会でいえばサインや印のようなもので、相手の確認、なりすましや改ざんを防止し、ファイルの正当性を証明するものです。そして電子署名にはPKI(PKI:Public Key Infrastructure 公開鍵暗号基盤)という暗号化の技術が用いられています。

〇 タイムスタンプ

前述のワーキンググループの資料では、

「電子データが、ある時刻に存在していたこととその時刻以降に改ざんされていないことを示すもの」(http://www.soumu.go.jp/main_content/000597573.pdf より)

とあります。

また、総務省のWebサイトの「国民生活と安心・安全」には、

「「電子データ」が“ある日時に存在していたこと”及び“その日時以降に改ざんされていないこと”を証明できるものであり、時刻認証業務によって付与される」(http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/law_16.pdf より)

とあります。

つまり、電子署名が本人性の証明と非改ざん性の証明の機能を有するのに対して、タイムスタンプは署名時刻に間違いなくその文書が存在したという時刻と、その時刻以降に改ざんされていないということを保証するものです。前者は「存在証明」、後者は「非改ざん証明」あるいは「完全性証明」と呼ばれています。

trust2019_002_R(タイムスタンプ技術解説 最新動向と将来展望 https://www.ipa.go.jp/files/000013707.pdf より)

〇 eシール(Electronic seal)

ワーキンググループの資料では、

「文書の起源と完全性の確実性を保証し、電子文書等が法人によって発行されたことを示すもの」(http://www.soumu.go.jp/main_content/000597573.pdf より)

とあります。

実社会においては署名できるのは自然人で法人の場合は代表権を持つ自然人しか署名できません。電子署名においても、前述の定義のeIDAS規則では個人が行うもので、それと同様の行為を行う法人の場合を「eシール」と定義しているようです。

〇 リモート署名

リモート署名については経済産業省の「電子署名法研究会」の資料に次のように定義されています。

事業者のサーバに利用者(エンドエンティティ)の署名鍵を設置・ 保管し、利用者がサーバにリモートでログインし、自らの署名鍵で 事業者のサーバ上で電子署名を行うこと。(電子署名法研究会(平成28年度第1回)‐配布資料「資料4 リモート署名概要と昨年度の検討結果」:http://www.meti.go.jp/committee/kenkyukai/shoujo/denshishomeihou/pdf/h28_001_04_00.pdf より)

リモート署名はクラウド型の署名方式ですので、サーバ署名、クラウド署名ということもあるようです。リモート署名に対して、申請者等が所有するコンピュータにおいて電子署名を実行する方法をローカル署名といいます。リモート署名では電子署名を実行するアプリケーションがサーバに実装されていますが、ローカル署名では、利用者は署名アプリケーションをインストールしたり、タイムスタンプの利用契約が必要になったりします。

(執筆中)

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です