一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2021.04.16

レポート

【JNSA PKI相互運用技術WG・電子署名WG主催セミナー】 PKI & TRUST Days online 2021 「デジタル社会におけるトラスト」での講演

 2021年4月16日、【JNSA PKI相互運用技術WG・電子署名WG主催セミナー】PKI & TRUST Days online 2021「デジタル社会におけるトラスト」のパネルディスカッション「デジタルトラストにおける法と技術のあり方」において、当協会常務理事の山内徹が「適合性評価の制度等について ーISOに基づく枠組等の紹介ー」というテーマで説明を行いました。

JNSA PKI相互運用技術WG・電子署名WG主催セミナー
PKI & TRUST Days online 2021「デジタル社会におけるトラスト」

講演内容

適合性評価の制度等について

適合性評価は標準がないとできない。

経済産業省で技術系職員としてIT政策、基準認証政策をやっていた。

基準認証政策というのは基準と適合性の政策である。

論点としては、トラストサービスの認定、評価基準の策定、国際的な相互承認等があがっていて、基準を作ったうえで適合性評価の話になる。

電子署名やeシールの電子証明書を発行する認証業務や、タイムスタンプを電子データに係る情報に付与する役務を提供する認証業務であるTSPを評価するという適合性評価機関(CAB)がある。
欧州では認定機関(AB)がCABを認定するという仕組みになっている。このWGの議論で注意しないといけないのは、国の認定は、TSPを認定するもの。
認定という2文字が、TSPを認定する場合と、適合性評価機関を認定する2つの意味を指している場合があるので、いつもどちらの意味で使われているかを考えないといけない。

ISOのような、ISMSなどマネジメント認証、検査も適合性評価になる。
ヨーロッパは全部束ねて、横ぐしでさして適合性評価と言っているのがポイント。
ばねやねじなどの製品認証と同等に扱われる。有形無形一緒。

CABはありとあらゆる製品を監査するということで、多国籍企業がやっている。
日本は縦割り。財団法人をたくさん作り、それぞれで検査を行ってきた。
特定分野に特化してそれぞれ行ってきたため、欧米の機関には太刀打ちできない。

17024,17025という基準を作り、各CABは適合してきている。
ヨーロッパは試験も認証もできる。
CABの力量を認定するのは、日本だと製品評価技術基盤機構認定センター、日本適合性認定協会もJISを作っている。マネジメントシステム認定センターも専門的なことしかやっていない。
それにくらべるとヨーロッパは各国に一つずつ認定機関がある。

CABが9001や27001で認証,ABがCABに対し17021,17065で認定している。
JISマークが日本では有名で、日本品質保証機構など国内の認証機関が認証を受けた事業者が、認証を受けた製品等にJISマークを表示することができる。

国内標準を作るべきではないか。また、だれが認定するかという論点がある。

JIPDECはCABとして頑張っていきたい。

10月にトラストサービスの評価と指定調査機関業務に合わせた体制を準備する予定。

問い合わせ