レポート

欧州のクロスボーダー認証への取り組み
株式会社コスモス・コーポレイション
ITセキュリティー部責任者 濱口 総志 氏

印刷用

「電子署名指令」とeIDAS規則

 EU で1999年に採択された「電子署名指令」は、電子署名の法的効力、認証サービス事業者の責任、適格証明書(以下、QC)を発行する認証サービス事業者に対する適切な監査システムの確保などを定めていた。しかし、その実現に向けた取組は、各加盟国において国内法を制定して進めることとしていたため、監査の有無や監査時の使用技術規格、認証局間の規制の厳格さや監査コスト、法的解釈、適格証明書の相互運用性を保つために必要なトラストリストのフォーマットなどについて、ギャップと課題が生じていた。
 「eIDAS規則(以下、eIDAS)」は、eIDとeトラストサービス(以下、eTS)(電子署名、電子シール、タイムスタンプ、電子配布、ウェブサイト認証など)について定めたもので、全ての加盟国に法律として直接適用される。2014年7月23日に批准、同年8月28日に公開され、現在、実現に必要な技術規格としてETSI、CEN、ENの整備が進められている。eIDASを補足するDelegated Actと個別仕様等を規定するImplementing Actについては、認証局事業者とサービスプロバイダのニーズはあるが、策定の予定は確定していない。

図1

 

eIDとeTSについての規定

 eIDASは、公的機関のオンラインサービスにおいてeIDを使った本人確認が必要な場合には他の加盟国のeIDの受け入れを求めている。eIDの保証レベルは3段階としているが、その測定基準はImplementing Actで規定するとしている。eIDは通知後2か月でリストに掲載するとし、加盟各国には通知から12か月以内に相互承認を開始できるような体制整備を求めている。
 「電子署名」については、eIDASではeTSの一つとして取り扱っている。適格証明書を使った電子署名は、EU域内の他国の署名も含めて、手書きの署名と同等とみなすとし、公的セクターにおいて電子署名を要求する場合は、適格電子署名を用いた署名を認めること、適格電子署名より高レベルのセキュリティを要求してはいけないことを定めている。また、電子署名指令の採択以降、その本来の趣旨と異なり、法人による電子署名を認めてしまっていた国もあったため、eIDASには自然人のみが電子署名を行えることを明記している。

図2

 「電子シール」については、よく質問をいただくが、電子署名と同じような記載となっているものの、実際の法的効力は大きく異なる。電子署名は自然人の氏名または仮名を確認するために署名として使われ、電子シールは元の電子データの起源と完全性を保証し法人の名称を確認するために電子データへの添付などの形で使われる。
 ドイツでは、電子シールは、企業ロゴのスタンプのようなもので、契約書などに付けられているが、請求書の有効性には影響せず、あまり法的効力を持っていないようである。電子シールは起源のみでなく完全性も保証するため、ドイツの法体系にインパクトを与える可能性はあるが、規則作成に携わった委員にも話を聞いたところ、日本における代表取締役の印鑑のようなレベルではなく、ゴム印レベルのようなものを想定しているとのことである。
 また、これまでに法律で定められていなかった「電子タイムスタンプ」(時間情報と結びつけることにより、そのデータがその時間に存在していた証拠を確立するもの)についても法的有効性を認め、適格タイムスタンプは、その時刻の正確性とデータの完全性を保証し、他の全ての加盟国で通用するとしている。
 「電子登録配布サービス」(電子手段により送信されたデータの取扱に関する証拠を提供するサービス)については、法的有効性や要件について定めているが、例えば「メールの受信時」とは、開封時/メールボックスへの到達時/受信サーバーでの受信時のどの時点を指すか、といった点について、専門家の間で合意が取れておらず、詳細には規定していない。この他のTSである「検証サービス」、「適格保存サービス」、「ウェブサイト認証」についてはあまり具体的に規定せず、「詳細はImplementing Actで定める」としている。

トラストサービスと認証局適格トラストサービスプロバイダについて

 eIDASでは、発行対象の自然人や法人の身元・属性を証明し適格証明書を発行する「認証局適格トラストサービスプロバイダ(以下QTSP)」については、登録プロセス、失効、セキュリティ対策と専門性について規定した。また、加盟各国にはQTSPのリスト(トラストリスト)を、EU議会にはトラストリストのリストを、自動処理可能な形で公開・維持するよう求めたほか、トラストリストに掲載されたQTSPがその証として使用できる「EUトラストマーク」というマークが作られた。加盟国には国内または他の加盟国の監督機関を指定すること、QTSPには少なくとも2年ごとに適合性調査機関から自費で監査を受けることを求め、監督機関はいつでもQTSPに対する監査が可能、監督機関の指摘に従わないサービスプロバイダは地位を取消されることを規定している。
 EU域外の国のトラストサービスに対する要求事項は、以前よりも少し厳しい内容となり、その国または国際機関との合意の下でのみEU 域内のトラストサービスと同等とみなすとしている。

eIDASで実現されることと今後について

 eIDAS により、eIDの国境を越えたセキュアな認証による外国の大学への出願や電子健康情報へのアクセスなどの利便性向上、外国に移住する手続きや外国の案件に対する入札のオンライン化・効率化、ユーザ名とパスワードによるログインからeID認証となることによるセキュリティの向上などが実現でき、様々な面でメリットがある。認証局にとっては、他の加盟国への参入が容易となり、市場の拡大および競争力の向上につながり、市民にとってのサービスの選択肢の拡大、新規ビジネスの可能性や雇用の創出にもつながる。
 現在、電子調達の相互運用性、eIDの相互運用性、電子処方箋の相互運用性などに関する実証実験が行われている。PEPS方式の認証には、市民とサービスプロバイダとの間で直接の相互認証がない、適用方法が複雑、常にデータがPEPSを経由するため攻撃対象となりやすいなどの課題があり、フランスのANSSIとドイツのBSIが共同で、STORK MW[1]に基づいたeIDAS tokenの技術仕様を作成し、β版をWebサイトで公開している。

会場からの質問

会場質問 :EU域内で個人認証やIDの認定に関する法制度が国により異なるなかでのクロスボーダーの認証の前提として、本人確認(自然人とIDとの間の認証)のレベルはどの程度確保されるのだろうか。

濱口氏より :各国でeID を発行する仕組みが異なるので保証レベルが各国で異なり、eIDを利用していない国については、健康保険カードなどで代用可能ではないかという議論がなされている。基本的には、「受入国よりもeIDカード発行国の方が高い信頼性を有する」という条件を満たす場合のみ、相互認証が実現するので、自国の仕組みより信頼性の低いeIDが流入することはないようになっている。

会場コメント :日本でも導入が予定されているマイナンバーに係る大きな課題として「番号の盗難」という課題がある。

濱口氏より :アイデンティティの盗難は非常に大きな問題である。eID の盗難・紛失の場合、そのeID を失効させ、新しいeID を受領し新たなパスワードを設定することとなっているが、最初にeIDの発行を受ける前に、既に生体情報などが盗まれていた場合、本人確認はどのように行うか、参照する資料は何をもとに作られたものなのか、といった点が問題になってくるため、長期的な検討が必要だろう。

以上

脚注:

[1]Secure idenTity acrOss boRders linKed Middle Wear:EU 全体でeID の相互運用性プラットフォームを確立するプロジェクト

  • 2014年11月25日 第43回電子情報利活用セミナー「本人確認と電子記録利活用の潮流」