一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2021.06.11

レポート

【システム監査学会第35回研究大会】統一論題:デジタル変革時代のシステムと監査~デジタル社会のトラスト、レジリエンス、サステナビリティへの貢献~

 2021年6月11日、【システム監査学会第35回研究大会】統一論題:デジタル変革時代のシステムと監査~デジタル社会のトラスト、レジリエンス、サステナビリティへの貢献~において、当協会常務理事の山内徹が特別講演「デジタル社会を支えるトラストの基盤の整備について」というテーマで講演を行いました。

講演内容

デジタル社会を支えるトラストの基盤の整備について、説明する。
5月26日にデジタル・ガバメント閣僚会議の下にあるデータ戦略タスクフォースにおいて包括的データ戦略(案)がまとめられた。6月の中旬のデジタル・ガバメント閣僚会議で決定される。その1丁目1番地にトラスト基盤が書かれている。それに関して知っている話をさせてもらう。その前に電子署名法など基本的なことを説明していく。

元々経済産業省に勤務していた。内閣官房IT担当室(現在の内閣官房IT総合戦略室)においてIT戦略をやっていた。まさにデジタル庁に代わっていくのが内閣官房IT室。それ以外に経産省でIT政策や基準認証政策をしていて、今はJIPDECにいる。
個人的に海外の経験としてシンガポールにいた。画面にあるのはマーライオンだが、今喋っている自分の背景がガーデンバイザベイというシンガポールの人口植物園。そういったところでITが盛んになっている。世界中でデジタル革命が起こっているが、アジアではシンガポールが先頭をきっている。日本は後塵を拝しているが、データ戦略で巻き返していこうというのが日本政府の考えではないかと思っている。

JIPDECはプライバシーマーク制度が重要だが、今日説明する電子署名法の指定調査機関としての仕事も行っている。
システム監査学会の事務局の仕事もさせていただいている。
今日はこの電子署名法に基づく指定調査機関の話が中心になる。

コロナの問題が世の中を大きく変えていっている。テレワークやリモート会議とともに押印や対面をやめていこうという話が進んでいる。その際に人々が本当にデジタル化をしていくためには紙の世界に慣れ親しんできている人の心配を取り除くということが大事で、それがトラスト。そのトラストの中身を分解すると「情報の担い手の人や法人等が本物であること、情報が改ざんされていないこと」を保証する仕組みということである。

それをデジタルトラストとして定義していく。1番の情報の担い手の人や法人等が本物であることというのは、実際に通信の相手が本物であるかということと、ほかの人間や企業がなりすましていないか、ということ。特にメールなりすましなどで会社の関係者や取引先になりすましたメールにだまされ、何十億円のお金を振り込んでしまった会社がある。
また、アメリカのサイバー攻撃においてもランサムウェアを仕込まれるときは、だいたいメールでやられる。
もうひとつは情報が改ざんされていないこと。電子文書や時刻が本当に正しいということが大事。紙の世界では印鑑、印鑑登録証明書で担保しているがデジタルの社会ではどうするか。改ざんされていればあとでわかるようにできないか。これらを満たすことをデジタルトラストと呼んではどうかということを提案したい。

電子署名について説明する。電磁的記録に記録された情報について、誰がこれを作成したかということ。改変があればあとで検証が可能というのが電子署名。このなかで、暗号技術(パブリックキーインフラストラクチャー:PKI)を使ったものをデジタル署名という。
ポイントは、暗号化をする鍵と復号する鍵のペアが世界にひとつしかない。鍵を揃えるためには、その解析に何百万年もかかる。量子型コンピュータが普及すると何十年になるかもしれない。いずれにしても暗号技術を高度化していくことにより、電子署名を守っていく。この技術はインターネット全般を支えており、例えばSSL通信も暗号技術(PKI)を使っている。
A商事がB商事に送った注文書がA商事から送られたこと、B商事に発注した内容が改ざんされていないことが電子署名で実現する。

電子署名を実現する一番重要な役割が認証局。最近はやりのトラストサービスの代表的なものが認証局。これは紙文書への押印に使われる印鑑の登録に類似している。皆さんが市役所に行って貰ってくる印鑑登録証明書と同じようなものを電子証明書として発行するのが認証局。
まず印鑑登録証明書を作るときには、世界で自分しか持っていない、実印というものをはんこ屋さんで作ってもらってそれを地方公共団体にもっていき、印鑑登録証明書を発行してもらう。これは印鑑ではなく、印影に対しての証明書。この印影を作ることができる印鑑を使って契約書にハンコを押すとき印鑑登録証明書もつけておけば偽造されている場合はわかるし、なりすましとか、改ざんがなされないことが印鑑を使った仕組み、あるいは印鑑登録証明書を発行するサービスによって実現している。ここでトラストサービスを誰がやっているかというと、市役所の窓口の方がやっている。窓口の方が本人確認したうえで、市役所の名前で公印が押された印鑑登録証明書が出ている。
これと同じようなことを認証局が行う。認証局というのは機能であるので一般の民間企業が認証局サービスをすることもできるし、公的機関、実は地方公共団体情報システム機構(J-LIS)も認証局のサービスをすることができるので、公的な認証局もあれば、民間の認証局もある。ここでは技術的な差はない。印鑑登録証明書と類似の仕事として電子証明書を発行することはこの認証局のサービスとなる。ではこの印鑑登録証明書に対応した印鑑は何かということだが、これはさっき説明した秘密鍵と公開鍵のペアに対して電子証明書を発行しているが、正確に言うと、公開鍵に対する証明書のことを電子証明書と一般的に言う。印鑑に対応しているのは公開鍵に対して電子証明書を発行するのが認証局の仕事。印影と本人を紐づけるのに対し、電子署名と本人を紐づけている。

こういう仕組みは2001年から始まっている。2000年に公布された電子署名および認証業務に関する法律で決められて、2001年に施行されている。目的は電子署名の円滑な利用促進により、電子文書の流通や情報処理の促進ということで主務省は総務省、法務省及び経済産業省。5月10日に成立したデジタル改革関連法案の結果デジタル庁ができる。3つの省庁のなかの総務省と経済産業省は主務省でなくなりデジタル庁に変わる。デジタル庁と法務省の共管になることが決まっている。

電子署名法の構成はトリッキーな法律。電子署名の定義、電子証明書に関する概念を示して、かつ電子証明書を発行する認証局のことを認証業務、特定の基準を満たしてるものを特定認証業務の認定と呼んでる。電子署名に関しては第3条で民事訴訟における推定効がはたらく。私文書の真正性の成立を推定するための条件として電子署名が本人によってなされることが書いている。第4条以降に特定認証業務の認定を国が行う。国は総務省、法務省、経済産業省の3つだが、そのうち総務省と経済産業省がデジタル庁に置き換わるようになっている。

JIPDECは指定調査機関の仕事をしていて、3つの主務省と呼ばれる役所から指定を受けて、私たちが実質的に認証局の現場に行って実地調査を行い、信頼できる認証局であることを確認したうえで主務三省がこの認証局を認定認証業務として認定している。
そこが発行する電子証明書に基づいて一般の方や一般の企業が電子署名を行うようになっている。
ただし、この認定を受けていない認証局はたくさんある。この認定を受けるとどんなメリットがあるかというと、この法律は恐るべきことに全く具体的な法的な効果というものがない。この法律において認定を受けなきゃできないということは全く規定されていない。認証局の会社の方が受けたい場合には主務三省に申し込んでJIPDECが指定調査機関として調査をしてという手続きはあるが結果として法的なお墨付きがあるかというと国から認定されたというお墨付きはあるが、だからといってここから発行される電子証明書が何か特別な法的な効果があるというのはない。ただし、現時点では電子申請を行うときの電子証明書はこの認定認証業務から発行された証明書を使った電子署名がなされていることが多い。またサムライ業といわれる司法書士や社会保険労務士、行政書士の方々が電子申請をお客に代わってやるときに認定認証事業から発行された電子証明書を使われることが多い。それなりにGtoBという、国と企業の電子申請や電子入札、電子調達では使われている。

電子契約の進展において、電子署名法に基づいている電子署名だが、認定されていない電子証明書が多い。実際に普及している企業同士のBtoBにおいては、必ずしも認定を受けていないものが普及している現状。2000年頃は公共調達や公共入札で使われていたが、現在は電子証明書の多くが民間レベルでの電子契約で使われていて、必ずしも認定されていないものでも電子証明書が使われている。印鑑登録証明書のように電子証明書が使われていて、IT業界や金融業界、不動産業界から使われているのが6,7年前からはじまっている。
そして急に爆発したのが去年。去年の3月以降の新型コロナウイルスを契機とした緊急事態宣言で電子契約のニーズが顕在化した。一言で言うと会社の部長さんや、部長さんの部下の人が、印鑑押すためにだけ会社に行かなければならないのはなんなんだということで理不尽なということが企業の方々から意見が出た。
システム監査学会の会員は監査の仕事をされている人も多いと思うが、多くの場合印鑑を使っている。印鑑を自宅で使っている場合は良いかもしれないが、それでも郵便局へ出さないといけないとかそういうことも含めて考えたら紙と印鑑を使う世界があるゆえに自宅で待機できないということがはっきりしてきた。企業であろうと個人事業主であろうと大変なわけで、電子署名を使って契約していくことになったわけである。
その際に電子署名をめぐる当事者型の電子署名、あるいはサービスを提供するベンダーの電子署名、どちらも使えるのかという議論が起き、政府からQ&Aが出た。説明は省略するが、去年は大きな変化の年だった。JIPDECは2014年から電子契約元年プロジェクトを推進してきたことを申し上げておく。

電子契約サービスの普及と課題としては、電子契約サービスはたくさん普及しているので、コロナウイルスの関係でも電子契約サービスはビジネスのうえで脚光を浴びているが、本当に大丈夫かというのはまだ議論がある。というのは、電子証明書については認定されていない認証局の電子証明書が使われているし、その電子証明書を使って本当に本人なり企業が処理を行っているか確認できないような状況。したがって電子契約サービスを利用する方々の本人確認の方法やなりすまし等の防御が必要となっている。

なぜ紙の世界になかったことが起きているかというと、クラウド型の電子契約サービスゆえの問題。電子契約サービスのメリットというのは、印鑑とか紙を使わないので全部パソコン上でできるということ。契約書はどこにあるかというと、紙ではないわけで、全部電子データ、デジタルデータとしてクラウドサービスに預けてある。電子署名もどこで行うかというと、最近は手元ではなく、クラウドサービスにアクセスするための2要素認証を使いながら暗号化を行われるところがクラウドサービスで行われている。クラウドサービスで電子データの管理も電子署名も行われている。このクラウドサービスが信用できないと、なりすましもなされるし、あるいは契約書も外に持っていかれるかもしれない、そういう危険性がある。したがってポイントとしては、電子的に作成された契約書が本当に適正に保管されているか、確実に甲者と乙者が電子署名を行ったものか確認する必要がある。この部分は紙を使った契約書に印鑑を押すという世界では考えられなかったこと。なので、紙と印鑑を撲滅してしまえても、電子契約サービスが信頼できるかというのは引き続き大きな問題として残る。

電子契約サービスの普及の中で、電子署名について説明したが、これから電子証明書は人間だけでなく法人に対して発行されていくもの、あるいは物に対して発行されていくものも出てくる。
さきほど説明した電子署名法は自然人が行う電子署名に対してだけ決めている。自然人は人間であり、人種や国籍は関係ない。人間であり少なくともロボットではない。あるいは法人という抽象的な概念ではない。
これからは自動的にすべての事務処理が商談も含めてAIが行っていくことになっていくと契約書も自然に任せたプロトコルでAIが計算しある一定の条件になると着実にコントラクトというか契約書を結ぶ。スマートコントラクトというが、1人1人の人間が確認して電子署名を行うのではなく、法人が行っていくこともありうる。契約書というのは法人が行うケースではなく会社の社長が行う。それで言うと、引き続き左側の認証局から発行される電子証明書を使った電子署名になると思う。
これから請求書とか領収書のようなもの、あるいは資格の認定証のようなものだと事実だけを示したものになるとリスクもそれほどないし、その法人が発行したものを示すeシールというもので電子署名の代わりにしていこうという動きになっている。ヨーロッパではeシールと呼ばれるが、電子的な法人からデータが発行されたということを証明する電子データというのがeシールという形で付くようになっている。
一番右はIoTの世界でセンサーそのものがデータを出していく。あるいはロボットがデータを出していく世界がsociety5.0で実現していくわけだが、その場合には認証局はモノとかロボットとかセンサーに対して電子証明書を発行していくことになると思う。
これらのもととなる本人確認やモノの確認というのは公的なデータベースから参照されることによって自動的に電子証明書が発行される世界になってくると思う。これをベースレジストリという公的なデータベースと併せて連携させていくことによりトラストサービスが自然人に対して電子証明書を発行する認証局だけではなく法人が行うeシールに対する電子証明書を発行する、あるいはセンサーやロボットに対して行うeシールまたは電子署名に対して電子証明書を発行するという形で広がっていくことが言いたい。つまり、これから紙と印鑑に代替する電子署名だけでなく、eシールやセンサーが発行するデータの真正性を確保するトラストサービスが広がっていくことを強調しておく。
この資料は去年平井大臣に説明した資料。慶応義塾大学の手塚教授と一緒にトラストの重要性を説明した。

デジタル改革関連法案は5月12日に参議院の本会議で通り、制定がなされた。前の日に参議院内閣委員会において、デジタル庁に何をしてもらうかという国会の付帯決議の中で、トラストサービスについて信頼性の確保が重要であることに鑑み、デジタル庁を司令塔として、国際的な相互運用性を確保するという点で、信頼性を評価するための基準の策定及び評価に関する包括的な仕組みの構築に取り組むことという内容が入った。立法府として、デジタル庁にしっかりやれとエールを送るとともに、ちゃんとやってないと、野党が総理や大臣を国会の場で追及することができる。ということで、トラストの話はローカルな話でなく日本国を巻き込んだ大きな話になっている。

具体的なデータ戦略の話。今年の3月の時点でデータ戦略タスクフォースの中でトラストをまとめていこうという話になり、トラストに関する課題を抽出するために、4月から5月にかけて3回トラストに関するワーキングチームが設置され、私もこのメンバーとして議論に参加してきた。 包括的なデータ戦略はトラストだけではない。手塚先生が親会であるデータ戦略タスクフォースのメンバーとして強烈に、データ戦略にトラストがないとダメだと強く主張し、このワーキングチームができた。

トラストに関するワーキングチームでは一緒に資料を作ったり何度も発言したので議事録に載っているが、日本では電子署名法とか公的個人認証サービスに関する法律などバラバラになっていることを考えると、データ社会全体を支える包括的なトラスト基盤、横断的なものが必要であるということが明確化された。
また、意思の表示の証明は電子署名、発行元証明はeシール、存在証明はある時間におけるあるデジタルデータが存在していたことを証明するためのタイムスタンプのこと。こういった電子署名やeシールやタイムスタンプのようなトラストサービスに共通する水平横断的な一般原則と共通要件を整理し、認定スキームが必要だということである。そのとき国際相互連携として。国際相互承認が特にヨーロッパとやっていくのが必要だと決めた。
主な論点として、認定スキームの創設。これは電子署名法で国の認定制度があるが、BtoGで使われているぐらいで、民間の電子契約サービスでほとんど使われていないし、これからも国の認定制度が十分に活用されていくのかよくわからないので、根本的に考え直して作っていこうというのが私が強く主張してきたことである。その際にはeシールとかIotとかを含めて考えるべき。そしてそれらの基盤を創設したうえで、認定を受けたトラストサービスであればそこから発行される電子証明書あるいはそれを使った電子署名が法的に効果があるのかないのか。通用性と言うが、一般の取引で使えるとともに、少なくとも市役所とか年金機構、税務署や法務局で使えることを明確化するような効果を法律で作るべきだとして、民事訴訟法の効果を作るべきだ、ということを書いている。
電子署名法に基づく認定を受けた認証局から発行されたからといって民事訴訟法で特段の法的効果もないし、それが国の手続きで必ず使えるということも決まっていない。したがって法的な効果も含めた認定の効果と認定されたトラストサービスをくっつけて考えるべきだということである。そしてそれらの認定されたものをクオリファイドなサービスとしてトラステッドリストとして公表する。現在の電子署名法に基づく認定認証業務は官報に載っているのと、主務省のホームページに載っているだけ。いちいち官報を確認しないといけない。官報を見るとフィンガープリントが載っている。官報を見なきゃダメなのは問題だと思っている。

包括的なデータ戦略の概要のなかで、トラストの枠組みの整備というのがしっかりと決まっていて、包括的なデータ戦略として決められた。これが5月中旬のデジタル・ガバメント閣僚会議で決められたうえで、デジタル庁の仕事として行うことになっている。この太い黒枠内が、トラストに関する枠組みで、認定スキームを作っていくなどになる。

トラスト基盤のイメージとしては、トラストサービスというものがeシールであろうと電子署名であろうとタイムスタンプであろうと、どういうものかということをしっかり決めたうえで、それらに関する個別事項を決め、民事訴訟とか通用性のことを決め、さらに細かい技術基準は全て規格で作っていこう、標準で作っていこうということである。
例えばJISなど日本産業規格で作っていくのがいい。現状の電子署名法は全て技術基準など施行規則や告示などで決まっており、とてもじゃないが一般の人は読んでも理解できないし、法令で決まっているものは10年20年経ってもなかなか変わらない。それに比べて産業標準、技術基準というものは定期的に見直されていくということなので規格で決められるべきだと思う。これはヨーロッパでもそうだし、アメリカのNISTでもそうなっている。

トラスト基盤をつくっていくなかで、デジタル庁が国家監督機関になり、例えばJIPDECが適合性評価機関として認めてもらえるなら、引き続き電子署名法の指定調査機関の仕事をさらに拡大してトラストサービスの評価をさせていただき、その結果がトラステッドリストとして官報ではなく電子的にデジタル的に可読な、コンピュータが読むことができるものを通じて国際的に認められるものをつくっていく。

デジタル庁への期待としては、国の司令塔として、様々なトラストサービスの健全な発展を促すための基盤をやっていただくことになると思う。また、民間の力を活用したトラストサービスとして、評価制度を作っていき技術基準を作り評価機関を作る。その評価機関にJIPDECがなれたらよいが、JIPDECだけでなく力のある適合性評価機関が出てくることも期待される。そして国際的な相互運用性がなされて、ヨーロッパのeIDAS規則やアメリカのNISTとの相互運用もできるようになることが大事。
住民基本台帳や戸籍、商業登記のデジタル化データなどとの連携もできて、本人確認や法人の実在性確認ができるような仕組みを目指していきたい。

トラストサービスに係る実績は電子署名法の指定調査機関の仕事をしてきたということだけではなくて、ヨーロッパのeIDAS規則に基づく認証局を審査する能力を私含め12名が取得している。ドイツのTUViTという適合性評価機関の審査員資格も取っている。国際的な相互運用性が確保されたトラストサービスの実現できる努力もしている。ETSIという欧州電気通信標準化機構の方々を日本に招聘して国際的な活動も実施している。

電子署名法に基づく指定調査機関の仕事だけではなく、電子契約サービスに使われるいま一番需要がある電子契約サービスの信頼性を確保するための認証局やリモート署名、そして電子契約サービスそのものについて、今後はeシールの認証局なども視野に入れて評価をしていきしっかりした登録証を出す。この登録証も紙でなくJIPDECのeシールを付けたデジタルな登録証を出してコンピュータでも可読ができてsociety5.0のなかでこの電子署名は間違いなく真正だ、タイムスタンプは間違いなく正しいということをコンピューターがしっかりと判断できることをAIやIoTの世界で実現していく。

JIPDECは認証局や電子証明書取扱業務、リモート署名や電子契約などを評価している。

現在、日鉄ソリューションズ社の認証局やみずほ銀行の認証局、あるいはそういったものを使って電子証明書を本人に着実に渡すことをやっておられる方々を評価させていただいて公開している。またリモート署名というクラウドサービスにおいて離れたところから電子署名を行うサービス、利用者が離れたところで着実に電子署名を行うことができるようなサービスをサイバートラスト社のitrustリモート署名サービスというものを評価させてもらってる。

デジタル庁が司令塔となって実現させていくトラストの基盤の整備にJIPDECとして貢献していく所存である。

問い合わせ