EUとの相互承認
日・EUデジタルパートナーシップ
2022年5月12日に東京で開催された第25回日・EU首脳会議において、経済成長を促進し、特にデータについて、DFFTの重要性に係る共通認識を踏まえ、人間中心のデジタルトランスフォーメーションを通じた持続可能な社会を達成するためデジタル分野の協力を前進させることを目的として、「JAPAN-EU DIGITAL PARTNERSHIP」が発出されました。
その中で「トラストサービス:デジタル・アイデンティティ及びデジタル署名」について「双方は、行政、商取引、電子商取引にとって成功の鍵となるトラストサービスの相互運用性に向けたパイロット・プロジェクトを通じ、取り組みを継続する。これは、長期的な目標である相互認証への道を開き得るものである。」とされ、日欧間のトラストサービス相互認証の取り組みを継続することが決定されました。
EUとのトラストサービスの相互承認
諸外国の中では、欧州がトラストサービスに関する包括的な法制度であるeIDAS規則を2016年から適用しており、EU域外とのトラストサービスの相互承認についても同規則14条により明確に示されています。その内容は以下となります。
eIDAS Article14
(International aspects)
現在のArticle14(要約)
1. 第三国のトラストサービスが、EU運営条約(TFEU)第218条に従ってEUと第三国間で締結された協定に基づいて承認されている場合には、EUの適格トラストサービスと法的に同等のものとして承認される。
2. 第1項の協定は、特に以下のことを保証しなければならない。
(a) 第三国のトラストサービス提供者およびその提供するトラストサービスが欧州連合の適格トラストサービス提供者およびその提供する適格トラストサービスに適用される要件が満たされていること。
(b) 欧州連合内の適格なトラストサービスが、協定が締結された第三国のトラストサービスと法的に同等であるとみなされること。
すなわち、トラストサービスの法的同等性、適格トラストサービス要件への適合、相互承認の協定(MutualRecognition Agreement)の締結が必要となります。
また、ETSI ESI(*1)ではトラストサービスの国際的な受け入れに関する技術報告書(*2)を出しており以下の4つの柱(4Pillars)による比較が示されました。
- 法的同等性
- 監督・監査制度
- 技術標準
- トラストアンカーの開示
トラストサービスの国際相互承認のためにはこれら4つの観点による同等性の確認が要求されています(図1参照)(*3)
- 図1 トラストサービスの相互承認に必要な4つの柱(4 Pillars)
- *1) 欧州電気通信標準化機構 (European Telecommunications Standards Institute)の電子署名基盤技術委員会(Technical Committee(TC) Electronic Signature and infrastructures(ESI))
- *2)ETSI TR 103 684 V1.1.1(2020-01) Global Acceptance of EU Trust Services
- *3) https://www.enisa.europa.eu/events/tsforum-caday-2019/presentations/01-02-fiedler
法的同等性
eIDAS規則に規定されたトラストサービスの法的効果は以下となります。相互承認のためには、これらの法的効果を日本でも認める必要があります。日本側の法制度を整備し、トラストサービスの法的効果を同等のものとして規定して初めて、EUで日本のトラストサービスを用いた場合にも同様の法的効果が得られます。
Article 25 (Legal effects of electronic signatures)(電子署名の法的効力)
- 電子署名は、それが電子形式であること、又は適格電子署名の要求事項を満たさないということを理由とするのみにより、法的効力及び法的手続きにおける証拠としての許容性を否定されてはならない。
- 適格電子署名は、手書き署名と同等の法的効力をもつ。
- ある加盟国で発行された適格証明書に基づく適格電子署名は、他のすべての加盟国においても適格電子署名として認められる。
Article 35 (Legal effects of electronic seals)(eシールの法的効力)
- eシールは、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式である、又は適格eシールの要求事項を満たさないという理由だけで否定されない。
- 適格eシールは、適格eシールがリンクされているデータの完全性及びデータの起源の真正性の推定をうける。
- ある加盟国で発行された適格証明書に基づく適格eシールは、他の全ての加盟国で適格eシールとして認められる。
Article 41 (Legal effect of electronic time stamps) (電子タイムスタンプの法的効力)
- 電子タイムスタンプは、それが電子形式であるか、又は、適格タイムスタンプの要求事項を満たしていないという理由だけで、その法的効力及び法的手続きにおける証拠としての能力を否定されてはならない。
- 適格電子タイムスタンプは、それが示す日時の真正性とその日時を結びつけたデータの完全性に関する推定を享受する。
- ある加盟国で発行された適格電子タイムスタンプは、他の全ての加盟国で適格電子タイムスタンプとして承認される。
Article 43 (Legal effect of an electronic registered delivery service) (電子書留配信サービスの法的効力)
- 電子書留配信サービスを利用して送受信されたデータは、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式である、又は適格電子書留配信サービスの要求事項を満たしていないという理由だけで否定されてはならない。
- 適格電子書留配信サービスを利用して送受信されたデータは、データの完全性、識別された送信者によるデータの送信、識別された宛先者による受信、及び適格電子書留配信サービスで示されたデータの送受信の日時の正確性に関する推定を享受する
Article 45a (Legal effects of electronic attestation of attributes)(電子属性証明の法的効果)
- 電子属性証明は、それが電子形式であるという理由だけで法的手続きの証拠としての法的効力と承認を否定されてはならない。
- 適格電子属性証明は、紙の形で合法的に発行された証明と同じ法的効力を有するものとする。
- 1つの加盟国で発行された適格電子属性証明は、他の加盟国における適格電子属性証明として承認されなければならない。
Article 46 (Legal effects of electronic documents) (電子文書の法的効力)
電子文書は、それが電子形式であるという理由だけでは、その法的効力及び法的手続きにおける証拠としての能力を否定されてはならない
トラストサービスの監督・監査フレームワーク
トラストサービスの監査、認定のスキームを図Xに示します。前述の4つの柱(4 Pillars)との関係においては、トラストサービスの法的枠組みは、eIDAS規則により定められており、国による監督、適合性評価機関(CAB)による監査制度が定められ、トラストサービス事業者(TSP)が準拠すべき技術標準をETSI等が規定しており、CABによる適合性評価レポートにより国が認定したトラストサービスをTL告知機関がTrust Service Status Listの形でトラストアンカーとして公開するしくみとなっています。
- 図2 トラストサービスの監督・監査フレームワーク(*4)
- 図3 日欧電子署名関連技術基準のマッピング(*5)
- *5) 慶應義塾大学 第10回記念サイバーセキュリティ国際シンポジウム(2020年10月7日)グローバルセッション基調パネル #2: International Mutual Recognition for Trust Services西山 晃(セコムトラストシステムズ株式会社、担当部長)発表資料より抜粋
トラストアンカーの開示
電子署名やタイムスタンプなどのトラストサービスを利用する際は、そのサービスが自称の「オレオレ」サービスではなく、適合性調査や評価を受け、国が認定した信頼あるサービスであることを確認できる必要があります。これは、電子署名やタイムスタンプの有効性を検証する際に用いる検証ソフトウェアで認証局やタイムスタンプ局の公開鍵証明書が認定を受けたものであることを検証(証明書検証と呼びます)することで確認できます。認定トラストサービスの公開鍵が信頼の基点となることから、それらは「トラストアンカー」と呼ばれます。
日本では認定されたトラストサービスの公開鍵はそのハッシュ値が官報で公開されます。また、認定認証局は電子申請で利用する場合、政府ブリッジ認証局と相互接続することにより政府認証基盤(GPKI)と繋がります。
EUでは、認定された適格トラストサービスの公開鍵は各加盟国が管理するTrust Service Status List(トラステッドリストとも呼ばれます)に掲載し公開されます。また、各加盟国のトラステッドリストのリンク情報を一覧表にしたEU LOTL(List of Trusted Lists)を欧州委員会が管理・公開しています。
トラストアンカーは検証ソフトで電子署名やタイムスタンプの有効性を検証する際に用いられるため機械可読の形での公開が望ましいですが、EUのTrusted List が機械可読の形式(ETSI TS 119 612の標準規格)に対応しているのに対し、日本では残念ながら、まだその仕組みは確立されていません。
EUとのトラストサービスの相互運用のためには、双方で相手国のトラストアンカーを確認できることが必要となります。EUのトラストアンカーと日本のトラストアンカーをどのように相互で確認できる仕組みを構築するかが今後の課題となります。
- 図4 EUのトラストアンカーと日本のトラストアンカー(*6)
- *6) 慶應義塾大学 第10回記念サイバーセキュリティ国際シンポジウム(2020年10月7日)グローバルセッション基調パネル #2: International Mutual Recognition for Trust Services西山 晃(セコムトラストシステムズ株式会社、担当部長)発表資料より抜粋加筆