2022.11.21
レポート
デジタルトラストの動向と今後の方向性
一般財団法人日本情報経済社会推進協会
常務理事 山内 徹
デジタルトラストの概念
デジタルトラストとは、以下の2つを実現することを言います。
①情報の担い手の人や法人等が本物であること(本人性)
インターネット上における通信の相手が本人であり、なりすましをされていないことを、誰でも確認できること。
②情報が改ざんされていないこと(非改ざん性)
デジタルデータは容易に改ざんされてしまうため、電子署名、タイムスタンプ等により、それを防止すること。
トラストサービスとは、インターネット等の利用者の本人確認、デジタルデータの改ざん防止等の仕組みを提供するサービスです。まず、トラストを必要とするアプリケーションがあって、かつ、利用者が目で見て確認することが容易でないため、一般には認識されにくい縁の下の力持ち的な役割を果たします。デジタル社会を支えるインフラとも言えるでしょう。
このように、トラストサービスについては、その信頼性がわかりにくいため、第三者機関による評価が必要です。
マイナンバーカードの公的個人認証サービス
マイナンバーカードのICチップには、2種類の電子証明書として「署名用電子証明書*1」と「利用者証明用電子証明書*2」が入っています。
「署名用電子証明書」には、氏名、生年月日、性別、住所情報等が入っています。一方、「利用者証明用電子証明書」は、マイナンバー法*3が成立したときに盛り込まれた概念で、名前、性別等の記載はなく、人間にとっては意味がない、コンピュータでのみ判読可能な文字列によって構成された情報と、当該電子証明書の有効期限等が記載されています。
これらは、マイナンバー法に基づき地方公共団体情報システム機構(J-LIS)が提供しています。(図1)
*1)インターネット等で電子文書を作成・送信する際に利用する電子証明書のこと。マイナンバーカード内の「署名用電子証明書」はe-Taxの電子申請などに用いられる。
*2)インターネットのウェブサイト等にログインする際に利用する電子証明書のこと。マイナンバーカード内の利用者証明用電子証明書はマイナポータルへのログイン、コンビニでの住民票の写し等の交付などに用いられる。
*3)「行政手続における特定の個人を識別するための番号の利用等に関する法律」(2013年(平成25年)5月31日公布)
※ *1・*2の説明については、「よくあるご質問-電子証明書とはなんですか。」(マイナポータル)をもとに一般財団法人日本情報経済社会推進協会が作成。
電子署名(デジタル署名)
企業間取引において、たとえばA社がデジタルデータで商品を発注した際、取引先のB社がA社からの発注データで間違いないかを電子署名*4の検証によって確認できます。A社は、A社の「秘密鍵」を使ってそのデジタルデータに電子署名を行い、B社がA社の「公開鍵」を使ってA社からの発注データであることを確認します。電子署名を行うための「秘密鍵」とその電子署名を検証するための「公開鍵」を組合せて使用しますが、「公開鍵」の情報から「秘密鍵」を推測して電子署名を偽造することは極めて困難で実用的には不可能であることが数学上実証されています。
電子証明書とは、「公開鍵」がどこの誰(人・企業等)の所有物であるかを紐づけ、証明するデジタルデータであり、リアルの世界における印鑑登録証明書に似ています。たとえば、人や法人は、何らかの契約に際して、印鑑を地方公共団体や法務局に登録(印影を登録)し、当該印鑑登録証明書を添えて押印することで、本人と印影が紐づけられて契約書の真正性が推定されます。一方、取引文書等のデジタルデータを発出するA社の「公開鍵」とA社が紐づいていることを示す電子証明書を発行する認証局をトラストサービス(認証局)と呼ぶこととします。
前述のとおり、トラストサービス(認証局)は、縁の下の力持ちなので、一般にはその信頼性がわかりにくく、その評価を行うことが必要です。トラストサービス(認証局)のセキュリティ対策が脆弱であれば、電子証明書の偽造や不正な発行がなされる可能性があります。そのため、トラストサービス(認証局)その他の信頼性確保を目的とした国際的ルールが整備されてきています。
まず、米国IT企業等が運営する制度があります。Microsoft、Google等のブラウザベンダが主導して、WebTrust for CAというトラストサービス(認証局)の適合性評価制度を運営し、さらに、Adobeは自社として信用できるトラストサービス(認証局)をAATLというリストに掲載しています。
他方、EUは、デジタル単一市場の実現のため、米国IT企業の動向を踏まえつつ、eIDAS規則を制定し、欧州標準に基づくさまざまなトラストサービスの適合性評価制度の構築を加盟国に義務づけるとともに、信頼できるトラストサービスをEU トラステッドリスト(TL)として公表しています。
日本は、約20年前に、電子署名及び認証業務に関する法律(以下「電子署名法」という。)を施行し、電子署名のみに用いられる電子証明書を発行するサービス(特定認証業務)を国が認定する制度を設けました。これも、トラストサービス(認証局)の評価制度と言えましょう。
*4)電子署名は、デジタルデータに対して人が行う措置とされていますが、本講演で示したユースケースとして、会社間の取引データの場合を取り上げました。会社等組織の発行するデジタルデータに対して行う措置は、欧州では「eシール」と呼ばれており、わが国でも総務省が「eシールに係る指針」を公表しています。
電子署名法に基づく認定制度
2021年9月のデジタル庁の設置以降、デジタル庁と法務省がトラストサービス(認証局)を認定する制度を運営しており(それ以前は総務省、法務省及び経済産業省の所管)、JIPDECは指定調査機関として、認定・更新の決定に先立つ実地調査に従事しております。
電子署名法においては、トラストサービス(認証局)の認定を受ける者は民間企業等とは限定していませんが、今まで認定を受けようとした者はすべて民間企業等です。
ちなみに、先ほどご紹介したJ-LISが運営する公的個人認証サービスについては、総務省はトラストサービスとは呼んでいません。トラストサービスは民間企業等によって提供されるものと、解釈されることが多いようです。しかし、私個人は、民間企業等が運営する認証局、J-LISの公的個人認証サービスの認証局、どちらもトラストサービスに含まれると考えています。当然、J-LISの認証局もセキュリティ面で安全性を確保されることが求められます。議論があるところかもしれませんが、ここでは、両者とも、公開鍵暗号という同じ技術を用いたトラストサービス(認証局)である、ということをご理解いただければ幸いです。
さて、JIPDECは、認定された民間のトラストサービス(認証局)に対し、年1回、電子署名法施行規則等に基づく基準に従って厳密な実地調査を実施しています。その調査の報告を受けて内閣総理大臣及および法務大臣がトラストサービス(認証局)を認定および更新をします。2022年10月27日現在、10(8社10業務)のトラストサービス(認証局)が認定されています。(図2)
2021年11月10日、スマートフォンを活用したmy FinTech株式会社による斬新なトラストサービス「my電子証明書」が認定されました。これも含めた10のトラストサービス(認証局)は、JIPDECの責任ある実地調査を経て、認定されたものです。
マイナンバーカードを活用した民間トラストサービス
「my電子証明書」においては、マイナンバーカードの公的個人認証サービスを、利用者の身元確認に用います。これまでは、原則として、実印を押した紙の申込書に加えて、印鑑登録証明書や住民票の写しを基に電子証明書を発行していましたが、スマートフォンにマイナンバーカードをかざすことで、公的個人認証サービスによる「署名用電子証明書」を用いた電子署名を付した申込みを行っていただき、認証局は、紙を用いない身元確認が可能となり、マイナンバーカードの中の電子証明書とは別の民間の電子証明書をスマートフォンに向けてオンラインで発行することができます。(図3)
J-LISの公的個人認証サービスの電子証明書と民間のトラストサービスが発行する電子証明書の役割分担について、注目してください。民間の電子証明書の用途は、認定された際に明確にされていれば制限はなく自由度がありますが、民間分野において、J-LISの公的個人認証サービスの電子証明書を利用する際には制約があります。
「my電子証明書」は、公的なトラストサービスである公的個人認証サービスと、民間のトラストサービス(認証局)の最適な組み合わせであると言えましょう。
さて、2022年4月公表の総務省の「マイナンバーカードの機能のスマートフォン搭載等に関する検討会 第2次とりまとめ」*5で、「公的個人認証サービスと紐づけられた民間IDの利活用を進めることが重要である」と示されました。同検討会は本年8月にデジタル庁に移管され、マイナンバーカードの機能自体の搭載を2023年5月11日に開始できるよう、検討がなされているところです。
本日のJIPDECセミナーの主題は、公的個人認証サービスを上手に活用した、新たな民間発行の電子証明書による民間デジタルIDであることをご理解ください。
まとめ
デジタルトラストは重要です。特に、J-LISの公的個人認証サービスと紐づけられた民間デジタルIDとして、民間のトラストサービス(認証局)が発行する電子証明書が有効であると考えます。
デジタル田園都市国家構想の一環として、民間デジタルIDに係る利用者に対する普及啓発が、今後一層重要になると考えています。
引き続き、JIPDECはデジタル社会の縁の下の力持ちであるトラストサービスの普及啓発及び適合性評価活動に取り組んで参ります。
- 講師
- 一般財団法人日本情報経済社会推進協会(JIPDEC) 常務理事 山内 徹
・内閣官房IT担当室(2007~2009年)、経済産業省等においてIT政策及び基準認証政策の企画立案に携わった後、一般社団法人JPCERTコーディネーションセンター主席研究員を経て、2015年6月より現職。
・2018年4月より、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)代表理事を兼務。
・2018年度より、地方公共団体情報システム機構(J-LIS)に設置された認証業務情報保護委員会の委員を務める。
・海外経験:米国、シンガポール