慶應義塾大学　環境情報学部　教授　手塚　悟　氏
（デジタルトラスト協議会　代表）

• 印刷用PDF
• 講演資料

Society5.0 を中核とするデータ駆動型社会やデジタルトランス・フォーメーションにおいて、良質、最新、正確かつ豊富なリアルデータが価値の源泉であり、データはわが国の経済社会を支える中核をなすものとして、取組みが重要視されています。
データの安心・安全な環境づくりには、データの真正性やデータ流通基盤の信頼性確保が重要となります。具体的には、インターネット上における人・組織・データ等の正当性を確認し、改ざんや発信元のなりすまし等を防止する仕組みが重要であり、この仕組みをトラストサービスと定義しています。
EU域内27カ国は、デジタル・シングル・マーケット創設のため、包括的なトラストサービスの法制化を進めています。
　
（1）トラストサービスの機能
　トラストサービスには以下の機能があります。
　・電子署名（個人名の電子証明書）
　・タイムスタンプ
　・eシール（発行元の電子証明書）
　・ウェブサイト認証
　・モノ（IoT機器）の正当性の認証
　・eデリバリー（送・受信の正当性とデータの完全性確保）

（2）トラストアンカーの役割
トラストアンカーは、データの送受信での「なりすまし」や「データ改ざん」を防ぐため、両者の正当性を保証する役割を担っており、特定認証業務、認定認証業務の認証局の機能がトラストアンカーとなります（図1）。

IT総合戦略本部内に設置されたデジタル・ガバメント閣僚会議内のデータ戦略タスクフォース下に「トラストに関するワーキングチーム（以下、「WG」という。）」が設置され、本年5月12日に成立したデジタル改革関連法の附帯決議として、トラストサービスに関する事項と、デジタル庁を司令塔として国際的な相互運用性を踏まえつつ、信頼性を評価するための基準策定、評価に関する包括的な仕組みの構築に取り組むことが法律事項として示されました。
一方、民間側としてデジタルトラスト協議会の活動がWGの検討に貢献し、協議会としての役割を果たしています。
6月18日に閣議決定されたデータ戦略タスクフォースの「包括的データ戦略」の目次に「トラスト」が揚げられていますが、この内容をWGが検討し、最終的に閣議決定に至りました。
以下、トラスト基盤構築の具体的な論点について説明します。
（1）トラスト基盤の構築
電子署名法や個人認証法など、既存の制度を包括的にまとめる「包括的なデータ基盤」が必要です。また、電子署名、タイムスタンプ、eシール等のトラストサービスに共通する、水平横断的な一般原則と共通要件を整備し、認定スキームを創設し、さらに国際相互承認を念頭に置いて整理していきます。

（2）トラスト基盤構築の論点
トラスト基盤構築にあたっては、6つの論点を挙げています。
　・認定スキームの創設
　・トラスト基盤の創設
　・認定の効果
　・認定基準
　・クオリファイドサービスをトラステッドリストとして公表
　・国際的な相互承認

（3）トラスト基盤構築のスケジュール
データ戦略として「トラストの枠組みの整備」「プラットフォームの整備」「ベース・レジストリの整理」という3つの大きな柱があります。トラスト基盤の構築についてはデジタル庁を中心に関係省庁協力のもと、2020年代の早期実現を目指して進めていくこととしていますが、他2つの整備が具体的に2025年まで、と実現時期を定めているのに対し、トラスト基盤については法制度の整備から入るため、明確にいつまで、とは言い切れません。ただし、25年頃までに3つの柱を揃える動きになると思います。

トラストの枠組みと6つの論点を図3に示しています。

図中の「トラスト基盤」が法整備で、ここで認定スキームの創設、トラスト基盤の創設、認定の効果を検討します。
認定の仕組みとしては民間主導の認定機関もあり得ますが、国際連携を考えると国家監督機関（デジタル庁）が担うのではないかと思います。
現在、JIPDECが指定機関として適合性評価機関となっていますが、国際連携の点から、適合性評価機関を認定する機関があり、そこから認定を受けて適合性評価機関ができる、という国際的な流れに沿い、今後、わが国でも整理が必要でしょう。
適合性評価機関によりトラストサービスの評価を行うには、認定要件、共通要件、個別要件で認定基準を策定し、トラストサービスを評価し、適合性評価機関が評価報告書を挙げ、国家監督機関が認めて掲載します。機械可読型のトラステッドリストに認定を受けたトラストサービスをすべて表記し、自動的に評価し、発行された証明書などを自動的にチェックし、エンドユーザが検証時にYes/Noがわかる仕掛けを提供していきたいと考えています。

（2）トラスト基盤の法体系について
法体系のあるべき姿としては、包括的な制度に基づく法体系が必要です。現在は、電子署名、タイムスタンプ、電子委任状、発行元証明（eシール）はそれぞれ個別に法制化されており、共通部分がないため、これらを統合する形を取り、さらにそれぞれに規格を設けたいと考えています。
IT分野は技術的なものの走りが早く、技術の進化に法律が間に合わないという問題が生じています。たとえば、電子署名法は20年前に制定されたまま、技術面で変更すべき点がありながらも改訂されずにいます。このため、法体系の中で技術面を切り出して参照する型にできれば最先端の標準が適用され、制度、社会基盤として後れを取らずに安定的な動きがとれると考えます。

（3）認定の効果
社会全体のデジタル化を強力に推し進めるため、トラストサービスを認定することにより、データの信頼性を担保し、その流通を進行すべきであり、このために、通用性や民事訴訟法などの効力をしっかり押さえて、わが国のデータの信頼性を確保すべきであると考えます。

（4）認定基準
トラスト基盤の仕組みの中でどう評価すべきか、基準をどういう構造とするか。クオリファイドサービス認定基準、特定サービス基準、個別要件、共通要件の考え方で整理していきたい。適合性評価機関の概念も定着させるべきと考えます。国際標準を参考に作っていくことになります。

（5）クオリファイドサービスをトラステッドリストとして公表
国内の利用者がデータの適格性を確認できるよう、技術、機能を活用した仕組みの元、トラステッドリストを公表すべきと考えます。

（6）国際的な相互承認
EU、米国との相互承認ができるような法制度、技術を持つことが一番の重要事項と考えます。そのためには、法制度、監督・適合性評価、技術標準、トラストアンカー間の接続の仕組みの整備が必要です。

国際相互連携がなぜ必要なのでしょうか。それは、2019年1月のダボス会議においてわが国から発した「Data Free Flow with Trust」の「Trust」を具備する必要性があるからです。
2019年にEU、米国と、2021年1月には英国とそれぞれ経済連携協定を締結しており、単なる「Data Free Flow」では安心、安全にデータを取り扱うことができないため、「with Trust」とすることにより、World Wideなデジタルトレード、デジタルトラストが実現できるのです。
各国とのデータのやり取りに電子認証を付与することは必須であり、これにより相互に信頼できるもの、法的な裏付けができているものであると認め合い、国際的に流通する世界を作られていくことになります。
日本とEU、米国間で「Data Free Flow with Trust」を実現するためには、トラストアプリケーションサービス、トラストデータ連携、トラストサービス基盤の3構造が考えられます。日本で特に重要なのがトラストサービス基盤であり、電子認証、電子署名、タイムスタンプ、eシールが整備されることで、安心・安全なデータ流通が可能となるのです。
EUはGDPRという非常に高いレベルの個人情報保護管理を行い、日本の個人情報保護法も同等のレベルが求められ、結果として個人データの相互流通が可能となっています。トラストに関しても同様に国際連携にしっかり対応していかなければならない、と強く感じています。
日EU間連携を行うにあたり、日本はまだ法制度の面を含め整備が遅れています。包括的なトラスト基盤を作る、Digital Agencyにはだれがなるのか、など整備をしていかなければならず、まずは技術面の実験を行っています。今後の米国との連携をも見据えて実行していかなければなりません。

図4は、包括的データ戦略の意思決定としてまとめられた資料となります。
ここに書かれていることは「～しなければならない」こととして、今後整備に取り組んでいくこととなります。