EU eシール用適格証明書の発行と利用事例

GMOグローバルサイン株式会社 プロダクトマネジメント部
部長  漆嶌 賢二 氏

eシールとは何か

 欧州では、封筒を送る際に押す蝋印(シーリングワックス)を語源として「封をすること」をシールと呼んでいます。電子署名が「自然人による署名」であるのに対して、法人や組織による署名がeシールという位置づけになります。法人による署名自体は特段新しいものではありませんが、今回EUで言われている適格eシールと呼ばれるものは、従来のeシールに対して
・より厳格な身元確認が行われる
・適格eシール提供事業者自身が審査を受けEUトラストリストに掲載されている
・署名に際し、EU認定された適格署名生成デバイスを使用している
ことを追加要件としたものです。

 個人が行う電子署名とeシールは、使用する適格証明書の内容が一部異なります。どちらも形式はX.509に準拠していますが、eシール用では主体者の格納部分に加盟国のVAT番号(無い場合は国で登録された法人の識別番号(日本では法人番号))を記載しています。この他、証明書ポリシに法人用適格セキュア署名生成デバイスをしていること、QC(適格証明書)ステートメントに種別がeシール用であることなどが記載されています。

 GMOグローバルサインは、審査チームの拠点がベルギーであるため、ベルギーのトラストリストに電子署名用およびeシール用、Webサイト用適格証明書発行が可能なプロバイダ、適格タイムスタンプ発行サービスが提供可能な企業として登録されています。

 適格電子署名か適格eシールかは、Acrobat Readerの証明書ビューアで確認することができます。署名プロパティの詳細を見たときに、Anex1となっていれば電子署名用証明書、AnexⅢと書かれていれば適格eシール用証明書だとわかります。

eシール利用例

1)郵便・貨物の税関手続き

 EUでは、EU加盟国の郵便、貨物の税関手続きオンライン化プロジェクト(ICS2:Import Control System2)が進んでおり、来年3月から実運用開始を予定しています。現在、EU加盟国で運輸事業者がシステム化への対応を行っていますが、この中でICS2に送る貨物情報にはeシールをつけることが要件となっています。ICS2の導入はまず航空郵便に対して行われ、その後、航空カーゴ、さらに船舶・道路・鉄道へと広げていく予定です。

2)欧州との請求書(インボイス)と税務処理

 EU事業者は、購入者に発行した商品や役務の請求書(クレジットインボイス)をもとに、購入者から支払いを受けた付加価値税(VAT)の控除や還付、さらに仕入税控除を行います。しかし、各国ごとに課税対象や税率が異なるため、インボイスにeシールを付与することによってVAT番号により販売者との紐づけが確実に行われ、ミスが低減されスムーズな自動処理が可能となります。

図.利用例:欧州との請求書(インボイス)と税務処理

図.利用例:欧州との請求書(インボイス)と税務処理

3)欧州決済サービス指令(PSD2)対応

 PSD2により、決済サービスプロバイダー(クレジットカード会社、スマホ決済サービス提供事業者等)はeIDAS規則を準拠することが求められることになりました。当社が一般企業に対して適格証明書を発行する場合は、各国で公開されているVAT番号を確認し発行しますが、PSD2の対象となる事業者に対して発行する場合には、決済サービスプロバイダーの国家監督機関(NCA)に当該の決済サービスが登録されていることを確認した上で証明書を発行することになります。
 この手順により発行された適格証明書を用いて、決済サービスプロバイダーはWebサイトのデータ保護や顧客とのやりとり、金融機関への口座振替登録手続きでeシールを活用しています。

 GMOグローバルサインのeシールEU適格証明書発行サービスは開始して1年半程度で、欧州中心だがアジア圏でも利用が広がっており、貨物だけでなくブロックチェーンセキュリティや金融系サービス等様々な分野で電子調達や公式文書の署名に使用されています。JIPDECが使用しているeシール用適格証明書も当社が発行しているもので、登録証等にご利用いただいています。今後は、政府調達の応札要件となっているため利用するケースも増えてくると思われます。

eシール用適格証明書の発行の流れ

 eシール用適格証明書発行に至る審査プロセスは、国ごと、会社ごとで審査プロセスは異なりますが、GMOグローバルサインではEV SSL証明書発行と同等の厳格な審査を行っています。
 当社発行プロセスにおけるポイントは以下の3点あります。
 (1) 組織の一部門に対して発行する場合でも、組織の正式な代表者(執行役員以上)が鍵管理方法や失効申請義務に関する同意書に署名する必要がある。
 (2) 同意書への署名に際しては、第三者検証者(公証人、弁護士、公認会計士)が対面で本人確認、同意書の確認を行い、検証者自身の手書き署名も求める。
 (3) 第三者検証者の確認後にEU認定済みUSBトークンを送付

まとめ 

 eシール証明書は法人向けに発行された証明書で、特段新しい仕組みではないが、厳格な審査がされているという点が異なります。ポEUでは、eIDAS規則が施行され、これに従った適格証明書や適格タイムスタンプを発行するサービスが開始されています。これらのトラストサービスプレイヤーが揃ったことで、eシールを要件とするような通関や政府プロジェクト、制度が始まりつつある段階に進んでおり、今後それらのトラストサービス企業の利用が増加すると思われます。証明書の利用場面では、担当者の個人名を含む証明書を利用することが適切でない場合もあるので、プライバシーへの配慮の点からeシールを積極的に利用するケースも増えてくると考えられます。


GMOグローバルサイン株式会社 プロダクトマネジメント部 部長
漆嶌 賢二 氏(CISSP)

2002年頃より、PKI、TLS、電子署名、タイムスタンプ関連の開発、コンサルティング、販売に携わり、アジア国際相互接続実験、ETSI Plugtest™のテストケース共同設計(ETSI STF351)、国際・国内標準化、ECOM・JNSA・TBF・CRYPTREC等のガイドライン策定、調査に従事。
以降、クラウド事業インフラ立上げ、品質保証、CSIRT、PSIRTの責任者を経て、2020年2月より現職にて再びPKI、電子署名事業に携わる。

本内容は、2020年10月16日に開催された第98回JIPDECセミナー「eシールとは? —内外での活用状況からJIPDECの取組みまで」の講演内容を取りまとめたものです。