2020.11.11
レポート
「日本版eシール」に関する検討状況とサービス検討
株式会社帝国データバンク 業務推進部 サービスサポート課
課長補佐 小田嶋 昭浩 氏
帝国データバンクについて
提供サービス
1900年創業以来「企業信⽤調査」を実施しており、全国1,700人の調査員が調査対象社を直接訪問(現地確認調査)し、企業が実在して取引が正常に行える状態が否かを確認しています。具体的には、新規取引開始時などにA社がB社の支払い能力などを調べる際、帝国データバンク(以下、TDB)がA社に代わってB社を現地訪問し、第三者として情報を収集し、レポートをA社に提出する流れとなります。
TDBの電子認証サービス
TDBでは、インターネット上でも現実世界と同様に、企業がたしかに存在することを確認し(現地現認)、取引相手が実在することを証明する手段のひとつとして電子証明書を発行しています。
政府における「eシール」に関する検討状況
総務省が2019年1月から11月にかけて「プラットフォームサービスに関する研究会」内「トラストサービス検討WG」の最終報告書に、具体的なニーズと課題が顕在化しているタイムスタンプ、eシール、リモート署名について継続して検討することが示されました。報告書には取組の方向性を提示しています。
1)タイムスタンプ事業者に対する国としての認定制度を創設。
2)eシールの認定事業者に対する国が一定程度関与した基準に基づく民間の認定制度を創設。
3)リモート署名について電子証明法上の位置づけを検討。
TDBが【発出】する電子データのシーンと潜在するリスク
TDBが調査報告書等をインターネットやAPI経由で送る際、デジタルデータの場合はフォーマットがわかっていれば誰でも編集ができてしまうため、作成者がTDBなのか悪意の第三者なのか判明せず、なりすましの攻撃にあう可能性があります。
また、改ざんされた場合、データは届きますが、途中で改ざんされた場合は改ざんがあったか否かを確認することもできずに届けられてしまう危険性もあります。これによって、善意の第三者(受領側)が、偽造レポートに基づき判断を誤り、また、レポート対象社が場合によっては業務を妨害されて被害を受けることも考えられます。(図1)
eシール付与による実現と効果
なりすまし偽造や悪意の改ざんを防ぐ解決策としてeシールがあります。セキュアな環境でeシールを付与したデータを送ると、お客様のもとに届いた時点で「発出元確認」および「改ざん検知」が可能になります。
データ受領側では、eシールがあることでTDBが発出元と判断、または明示可能であり、改ざんを検知した場合は無効なデータであることがわかります。レポートにTDB発出後に改ざんされた形跡があれば、第三者によるものと主張することも可能です。
eシールであることが望ましい理由
TDBでは、以前電子署名に関しても検討しましたが、調査レポートや納品データが署名押印(意思表示)不要なため、過剰性能となり現業にはそぐわないと判断した経緯があります。一方、eシールは上述のとおり発出元証明・改ざん検知が可能なことから、現業に適すると判断しました。
もう1点、電子署名は自然人の電子証明書で行った場合、人事異動等で担当者が変わった場合は電子証明書の再発行が必要になり、業務が猥雑になる恐れがあります。一方で、eシールであれば、担当者変更を事由とする失効・発⾏が不要であることもメリットと考えています。
TDBが【確認】する電子データのシーンと潜在するリスク
元データにeシールが付与されることで、非対⾯のリスクを回避しデータの信頼性向上を実現することができます。
TDBが確認する場面に限らず企業の審査部、決裁者などにも当てはまりますが、企業の発出する公告やプレスリリース、保持する資格、免許などを非対面で受け渡す場合にはリスクが伴います。
インターネット経由(非対面)の場合は、フリーアドレスからの送信やなりすまし、ファイルのプロパティ改ざんなどにより、作成者が判明しないなどの問題が起こり得ます。この際、審査部署ではデータ発出元の真正性および完全性の確認は困難となり、また、データ発出側においても発出元の真偽や完全性の証明は難事です。
なお、紙(対面)でのやりとりの場合でも、発出元は明らかで改ざんは通常あり得ない想定ですが、印刷物のデータ化は非効率で人間の手が介在していることから正確性にも疑問が残ります。(図2)
非対面リスクの回避に向けたeシール付与による実現と効果
非対面でのデータ受渡し時におけるリスク回避にも、eシールが有効に働きます。
データの受領側では、仮にeシールがなければ発出元以外と判断が可能で、仮に改ざんが検知されれば無効なデータと判断することも可能です。また、発出元としても発出元を明示でき、仮に改ざんが検知された場合も「第三者による改ざん」であると主張することができます。どちらも真正性確認作業の簡素化あるいは自動化が可能なため、業務の効率化も期待されます。
TDBが【想定】する電子データへのeシール付与
最後にTDBが想定する今後の電子データへのeシールの付与について、当社が2020年6月30日に出したプレスリリースをもとにご説明します。
eシールの発行
「申請者が本人であること・実在していること」を厳密に確認しeシールを発⾏します。eシール利⽤により発出元組織と非改ざん性を同時に確認可能にし、印刷・郵送・再入⼒の「時間・労⼒・コスト」の削減を実現します。
サービスの考え方
統⼀基準のもと、さまざまな事業者が連携・協業できる「開かれた」eシールサービスを提供することで、ビジネスシーンにおけるペーパーレス化を促進します。また、eシールには、識別子として国際標準規格に基づく発番機関が発⾏する「法人番号」「TDB企業コード」を格納することで、発出元組織を容易に特定できる仕組みとします。
サービスの基準
TDBは法人(組織)に対する本人確認、eシール証明書プロファイル・⺠間認証制度のほか、タイムスタンプの認定制度やリモート署名に関するガイドライン、統⼀されたAPI仕様などを重視したサービス基準を作成し、当該基準をもとに他社との連携、協業を目指します。
※ 内容は、説明者の個人的⾒解であることをお断りいたします。
※ 内容は、TDBが実施することを保証するものではありません。
●いただいた主なご質問への回答
【質問】現行の電子署名とeシールの違い、使い分けは?
→日本での検討と整理が必要だと思っています。どういった場面で電子署名なのか、eシールなのかといった点が整理され、ユーザにわかりやすく伝わればいい、と考えています。
【質問】eシール申込み組織に対する実在性確認方法は? 商業登記だけで十分か?
→現地現認までを行う実在性確認をTDBとしては重要視していきたいと考えています。
【質問】eシールに格納されるべき「識別子」について
→同一商号の存在を考えれば、「1組織に対して1コード(重複がない)」付番が必要となっています。海外取引を事前想定すると、付番される番号は国際標準規格に基づく発番機関が発⾏する「法人番号」「TDB企業コード」を格納し、発出元組織を容易に特定できることが重要です。
また、合併と被合併で見た目の識別子が変わる場合もあります。A社(番号1)とB社(番号2)が合併して、存続会社は2番だが、商号変更してA社になった場合、A社(番号2)の場合もあります。そのため、新旧A社を紐づけするような考慮も必要になると考えています。
株式会社帝国データバンク 業務推進部ネットサービス課課長補佐
小田嶋 昭浩 氏
1995年株式会社帝国データバンク入社
2001年同社電子認証事業に参画、主に電子認証局の運営に携わり、現職。外部組織においてトラストサービスの検討に携わる。
【社外活動】
・電子認証局会議(CAC) 事務局/トラストサービス推進フォーラム(TSF) eシール認証制度検討SWG 主査/総務省「組織が発行するデータの信頼性を確保する制度に関する検討会」、「タイムスタンプ認定制度に関する検討会」両構成員(2020年~)/総務省「個人番号カード・公的個人認証サービス等の利活用推進の在り方に関する懇談会、制度検討SWG(旧、属性認証検討SWG)」構成員 (2015年~2017年)/経済産業省「電子署名法研究会」等、構成員、WGメンバー (2013年~2016年)
【主な著書】
「電子署名活用ガイド」(電子認証局会議 共著 初版2009年4月 第2版2013年9月)/「電子証明書に格納された属性情報の信頼性と利用に関するガイドライン」(電子認証局会議 共著 初版2015年12月 第1.7版2020年3月)
本内容は、2020年10月16日に開催された第98回JIPDECセミナー「eシールとは? —内外での活用状況からJIPDECの取組みまで」の講演内容を取りまとめたものです。