筆者：株式会社コスモス・コーポレイション
ITセキュリティ部 責任者 濱口 総志
（JIPDEC客員研究員）
監修：慶應義塾大学大学院 政策･メディア研究科
特任教授　手塚 悟

本コラムでは、適格でないトラストサービスとその意義について解説します。
eIDAS規則により、電子署名、タイムスタンプ等のトラストサービスについて、欧州には「適格トラストサービス」「適格でない通常のトラストサービス」「それ以外のサービス」の３レベルが存在することとなりました。最も要求が厳しく、法的効力も明文化されている適格トラストサービスを一番高レベルの、つまり、レベル３のサービスとすれば、適格でないトラストサービスはレベル２のサービスといえ、一定の法的効力が推定できるサービスといえるのではないでしょうか。

（注） Regulation (EU) No910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

eIDAS規則では、トラストサービスについて以下のように定義しています。（筆者翻訳）

「トラストサービス」とは、下記により構成される、通常は報酬のために提供される電子サービスをいう。
1. 電子署名、eシール、または電子タイムスタンプの生成、検証、照合、または、eデリバリー及びこれらのサービスに関連する証明書
2. ウェブサイト認証のための証明書の生成、検証、照合
3. これらのサービスに関連する電子署名、シール、または証明書の保存

このトラストサービスの中でも、eIDAS規則が定める要件に適合したトラストサービスを適格トラストサービスといいます。
両者の違いをまとめると、以下の表のようになります。

まず、法的効力の違いについてですが、電子署名のケースを例に説明すると、eIDAS規則では、適格電子署名の法的効力を手書きの署名と同等と定めています。一方で、適格電子署名以外の電子署名についても、法的効力を否定してはいません。つまり、適格電子署名でない場合、その電子署名の法的効力について法廷で議論となる可能性があるということになります。

一方で、eIDAS規則では、適格でない電子署名を提供するトラストサービスプロバイダに対する要求事項も含まれており、また、その要求事項への適合性について、国が指定する監督機関の監督下に置くことを求めています。監督機関は、ユーザ、他国の監督機関、ビジネスパートナーから、トラストサービスプロバイダがeIDAS規則で定められているトラストサービスの要求を満たしていないとの報告を受け取った、あるいは、監督機関自身の監視により不適合事項を見つけた場合、当該トラストサービスプロバイダに対し、必要な措置を講じることが認めらています。
　そのため、適格でないトラストサービスプロバイダであったとしても、適切な技術基準への適合や、マネジメントシステム及びセキュリティポリシーの維持が要求され、これらのeIDAS規則への適合性について、任意の第三者監査を受けることが望ましいといえます。
　つまり、適格でないトラストサービスプロバイダであっても、国の定める監督機関の監視を受け、eIDAS規則が定める要件に適合することが求められており、一定水準の信頼性が確保されているといえます。

これらのトラストサービスは、B2Bにおける電子契約等の互いのビジネス上の信頼関係に基づく取引等で現在も広く利用されており、電子化、効率化による経済成長に最も必要な仕組みであるともいえ、eIDAS規則は、そのトラストサービスに一定水準の要件への適合性を求めることで、電子化、効率化の促進を目指しています。

（2017年6月掲載）