筆者：株式会社コスモス・コーポレイション
ITセキュリティ部　責任者　濱口 総志
（JIPDEC客員研究員）　
監修：慶應義塾大学大学院 政策･メディア研究科
特任教授　手塚 悟

eIDAS規則では、トラストサービスについて、適格トラストサービスとそれ以外のトラストサービス、つまり、非適格トラストサービスの2種類を定義しています。
それぞれのトラストサービスの定義や法的効力の違いについては、第3回目のコラムで述べた通りであり、非適格トラストサービスといってもまったく信頼できないトラストサービスというものではなく、適切な監査を受けている非適格トラストサービスであれば、一定水準の信頼性を確保したものといえます。
本コラムでは、トラストサービスの定義を整理し、主たるトラストサービスについて、非適格のトラストサービスとは一体どのようなサービスであるのかを再考していきます。
また、新たに、eIDAS規則と米国連邦PKIの連携の可能性についても紹介したいと思います。

第3回のコラムで、eIDAS規則におけるトラストサービスの定義を紹介しました。

• （3）欧州におけるトラストサービスと適格トラストサービス

EUでは、マネーロンダリング、またはテロリストの資金調達を目的とした金融システムの使用防止に関する法令である「第四次反マネーロンダリング指令」（4AMLD）（注1）をより効果的なものにするための改正案（注2）が、2016年、欧州委員会に提案されました。
4AMLDの目的の1つは、取引／決済当事者をより適切に識別／検証することですが、この実現のために、eIDAS規則に基づくeID及びトラストサービスの適用が有効であると考えられています。
この改正案では、例えば、銀行口座開設時における本人確認について、従来の本人確認資料を用いた本人確認に加えて、eIDの電子認証機能を利用することができるようになります。また、マネーロンダリングやテロリストの資金調達のリスクアセスメントを実施する際に、少なくとも考慮しなくてはならないリスク要因として、eIDによる電子認証やトラストサービスのような保護策が用いられていない非対面のビジネス関係／電子取引が挙げられています。

1.1 電子署名

eIDAS規則において、電子署名には、「先進電子署名」「適格電子署名」と「それ以外の電子署名」があります。
「先進電子署名」は、電子署名指令にも出てきた用語であり、電子署名の中でも署名データを検証することによって、署名者を特定することが可能であり、署名者自らの管理の下に行われる電子署名です。
先進電子署名でも適格証明書を用いており、さらに「適格電子署名生成装置」（セキュリティ評価を受けたHSMやスマートカード等）を用いて生成される署名を「適格電子署名」と呼びます。
電子署名は、eIDAS規則の発行以前から広く利用されてきた技術であり、電子メールに署名をする技術であるS/MIME(注1)や、電子契約等の企業間電子取引の信頼性向上に貢献しています。これら、eIDAS規則以前から利用されてきた企業内、あるいは企業間の信頼性を高める電子署名の多くが、非適格のトラストサービスです。

• (注1) メールなりすまし対策（S/MIMEとは）

eIDAS規則では、電子署名は個人が行うものと定義しているのに対し、法人が行う電子署名と同様の行為を「eシール」と定義しています。
eシールは、電子データ/文書の起源と完全性を保証するもので、技術的には電子署名と全く同じ仕組みです。eシールという言葉は、eIDAS規則で紹介された用語であり、法人は署名ができないということが背景となっています。
eシールも電子署名と同様に、eIDAS規則以前から広く利用されているサービスと言えます。例えば、企業が請求書を発行する際に、組織や法人に対して発行された電子証明書を用いて行う電子署名（今で言う「eシール」）や、プログラムに対して署名を行うコードサイニングがあります。

電子署名が、’誰（Who）が何（what）に署名したか’を保証する仕組みであるのに対して、「タイムスタンプ」は、時刻（when）を保証する仕組みです。
eIDAS規則では、タイムスタンプが付された電子データの完全性と、タイムスタンプの証する時刻が正確であることを法的に認めています。
適格タイムスタンプという概念が未だ存在しない、わが国においても、タイムスタンプは、電子契約の際に電子署名と共に付すことで、署名時の時刻保証をするために使用されるケースや、電子文書を保存する際にも、いつ、その電子文書が作成され、その日から改ざんされていないことを保証する目的での利用など、広く利用されています。

eデリバリーは、送受信者の識別と送受信データの完全性、送受信日時の正確性を保証するサービスです。
本人限定の受取りや、内容証明といったサービスを備える書留郵便の電子版とも言えるかと思います。
適格でないeデリバリーとして、すでに多くの方が利用している電子メールを用いたサービスがあります。
電子メールは、現代の企業や市民の経済活動のベースとも言える技術であり、すでに、なくてはならないサービスとなっています。
一方で、フィッシング詐欺や、なりすましメールといった問題点もあり、電子証明書を利用した、S/MIMEの一層の普及が期待されます。
わが国では、サイバー法人台帳「ROBINS」を活用したDKIMによる安心マークサービス(注2)等、様々なメールサービスが提供されています。
また、電子メール形式ではない「eデリバリー」サービスとして、オージス総研が運営する「宅ファイル便」等のファイル転送サービスも広く利用されているサービスであると言えます。

(注2)メールのなりすましサービス（JIPDEC-安心マーク）

• なりすまし対策の取り組み

1.5 ウェブサイト認証

ウェブサイト認証は、ウェブサイトやサーバの管理主体を確認し発行される、一般に「SSL証明書」と呼ばれる電子証明書を用いた認証サービスです。
eIDAS規則以前から、SSL証明書は広く活用されており、Internet Explorer、Google Chrome等のブラウザでは、当該サーバが安全なSSL証明書を適切に管理しているか等を検証し、アドレスバーで、その検証結果をユーザに分かり易く示しています。JIPDECのWEBページでもSSL証明書を利用しており、アドレスバーでは、このサイトの運営者がJIPDECであり、安全に運用されていることを証する錠前のマークが緑色で示されています。
これらの仕組みは、全て「適格トラストサービス」ではありませんが、世界的に広く信頼されています。

このように、eIDAS規則で定められているトラストサービスは、実は、同規則の草案以前から、すでに今日の経済活動を支えてきましたが、同規則の発行によって、今まででは法的根拠の不足から導入が躊躇されていた業界でも、トラストサービスを活用した電子化／効率化が進められていくでしょう。

2015年に、ドイツのITセキュリティ業界団体であるTeleTrustが運営するEBCA（European Bridge CA）と米国の医薬品産業界のブリッジ認証局であるSBCA（SAFE-BioPharma Bridge CA）が、大西洋横断同盟（Transatlantic Alliance）を締結しています。
SBCAは、米国医薬品業界の主たる企業（ファイザー社やアストラゼネカ社，アステラス社，メルク社等）が参加している非営利団体SAFE-BioPharmaによって運営されており、米国の連邦ブリッジ認証局（FBCA）とも相互認証しています。
SBCAは、産業界のニーズに基づいて設立されたブリッジ認証局であり、現在、国境を越えて電子署名やeデリバリー等のトラストサービスが相互運用される仕組みを構築しようとしているようです。

次回のコラムでは、この米国の動きについて詳しく追っていきたいと思います。

（2017年7月掲載）