一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2017.07.03

レポート

EU電子署名・トラストサービス動向

(4)eIDAS規則を取り巻く産業界の動き

筆者:株式会社コスモス・コーポレイション
ITセキュリティ部 責任者 濱口 総志
(JIPDEC客員研究員)
監修:慶應義塾大学大学院 政策・メディア研究科
特任教授 手塚 悟

1. 金融業界とeIDAS

1.1 反マネーロンダリング指令

EUでは、マネーロンダリング、またはテロリストの資金調達を目的とした金融システムの使用防止に関する法令である「第四次反マネーロンダリング指令」(4AMLD)(注1)をより効果的なものにするための改正案(注2)が、2016年、欧州委員会に提案されました。
4AMLDの目的の1つは、取引/決済当事者をより適切に識別/検証することですが、この実現のために、eIDAS規則に基づくeID及びトラストサービスの適用が有効であると考えられています。
この改正案では、例えば、銀行口座開設時における本人確認について、従来の本人確認資料を用いた本人確認に加えて、eIDの電子認証機能を利用することができるようになります。また、マネーロンダリングやテロリストの資金調達のリスクアセスメントを実施する際に、少なくとも考慮しなくてはならないリスク要因として、eIDによる電子認証やトラストサービスのような保護策が用いられていない非対面のビジネス関係/電子取引が挙げられています。

1.2 決済サービス指令

EU域内の市民及びビジネスの公益保護を目的として、2011年に設立された欧州銀行監督機構(European Banking Authority;略称EBA)は、「決済サービス指令」(PSD2)(注3) の下に、今後整備される強力な利用者認証とセキュア通信に係わる規制技術基準に関して、2016年8月に「市中協議書」(注4) を公開しています。
EBAは、PSD2の96条にて、この規制技術基準の草案を作成することを要求されており、同市中協議書には、規制技術基準の草案も含まれています。この草案の中で、EBAは、決済サービスに係る支払人、支払いサービス提供者や中間業者など関係者間のセキュアな通信手段として、さまざまな選択肢を考慮した結果、eIDAS規則で定められているウェブサイト認証のための適格証明書を利用することが好ましいと、欧州委員会に提案しています。

■ ウェブサイト認証のための適格証明書
eIDAS規則では、トラストサービスの1つとしてウェブ認証のための電子証明書の発行を定めています。
この電子証明書はいわゆるSSLサーバ証明書のことであり、なかでもeIDAS規則が定める要件を満たした電子証明書のことをウェブサイト認証のための適格証明書といいます

2. サイバーセキュリティとeIDAS

デジタル単一市場の形成に向けた、ICT標準化の優先順位に係わる欧州委員会報告書(注5) の中で、サイバーセキュリティについて、デジタル単一市場の形成における土台となるものとして位置付けています。
加速度的にIoT化が進む社会において、EU市民や企業は新たなテクノロジーやサービスの中に、高品質なセキュリティ基準が組み込まれていることを期待していることから、欧州委員会は、インターネット上のオブジェクト、デバイス、自然人及び法人におけるグローバルに相互運用可能で、シームレスかつ信頼できる認証のための規格の開発を目的として、欧州の標準化団体及び他の標準化団体を招集することを報告しています。この規格の開発は、eIDAS規則を支えるフレームワーク、特にeIDの保証レベルに関する施行規則(注6)に基づくことが推奨されています。

まとめ

このように、EUでは、eIDAS規則で定められたトラストサービスである、eIDによる電子認証の様々な分野での利用が、産業界あるいは官主導で進められています。
トラストサービスやeIDは、鉄道、通信などのインフラと並び、市民の生活、経済活動に必要不可欠なセキュアインフラと欧州では考えられており、セキュアインフラを支える法的(eIDAS規則及び下位規則)/技術的(ETSI規格, EN規格)フレームワークを整備することで、金融業界における、本人確認の電子化や決済サービスにおける各プレイヤ間の認証及びセキュアな通信、サイバーセキュリティにおける規格開発等様々な分野で適用されることが期待されています。

(注1):DIRECTIVE (EU) 2015/849 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 20 May 2015 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC.

(注2):Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directive (EU) 2015/849 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing and amending Directive 2009/101/EC.

(注3):Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC.

(注4):Consultation Paper On the draft Regulatory Technical Standards specifying the requirements on strong customer authentication and common and secure communication under PSD2.

(注5):COM (2016) 176 COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS ICT Standardisation Priorities for the Digital Single Market.

(注6):COMMISION IMPLEMENTING REGULATION (EU) 2015/1502.

(2017年7月掲載)

本コラムの前後の記事はこちら