登録事業者へのインタビュー(サイバートラスト株式会社)
サイバートラスト株式会社
認証・セキュリティ事業部 営業本部 プロフェッショナルサービス部部長
PKI技術本部プロダクトマネジメント部プロダクトマネージャー
渡邉 弘幸様
インタビューア:大泰司章客員研究員
1.会社紹介
こんにちは。サイバートラストの渡邉です。当社は、日本初の商用電子認証局として20年以上にわたって認証・セキュリティサービスを提供しています。Linux OSに代表されるオープンソースソフトウェアを活用したサービスも展開していまして、これらの技術や実績を組み合わせて、IoTなどの先端分野に向けて「ヒト・モノ・コト」の正しさを証明して、お客様のサービスの信頼性を支えるサービスを推進しています。
私は、もともとSI関係のソリューション開発を行う会社にいまして、大規模なシステム開発のPMを主に行っておりました。電子署名法が施行された2001年頃、日本で本当に電子契約という言葉がはじめて話題になった時代ですが、その時にサイバートラストが電子契約に関する案件を行っておりまして、そのプロジェクトに参画しておりました。その関係で、今のサイバートラストにお世話になることになったのですが、まさか20年近く経ってから、このように電子契約が再度盛り上がるとは当時は夢にも思っておりませんでした。
その後、現在に至るまでは認証・セキュリティ事業において、数々のキャリアや大手製造業のお客様を中心に、大規模な認証関連の案件に従事しておりました。2016年頃から大手金融機関を中心に、電子契約関連の案件にも従事し、現在では当社「iTrust」というブランド名で世の中のDXにおいて利用されるクラウドサービスのうち、PDFへの電子署名に特化した電子署名用証明書サービスやリモートで電子署名を付与するリモート署名サービスのプロダクトマネジメントも行っております。
2.iTrustのサービスが生まれた背景、経緯、お客様からの評価
— iTrustですが、電子署名サービスとしては早かったですよね。サービス開始にあたってはいろいろとご苦労があったと思うんですが、当時はどのような状況でしたか? —
2015年頃から電子契約のお話をお客様から問い合わせを受けることが何度かありました。
当時のお客様から相談が多かったのは、「電子証明書をサーバーサイドにて管理して電子署名を実現したいが、ハードウェアセキュリティモジュール(注1)などの専用機材でセキュアに管理するのが非常に難しい。契約文書の管理やワークフローのシステムとは、やはりセキュリティレベルを変えてシステムを構築する必要があるが、ノウハウもない」という内容でした。いっぽう当社は、1997年に国内初の商用電子認証センターを開局してから20年以上にわたり認証局の運営を行ってきた実績があり、認証局の秘密鍵を厳格に管理することに関しては、特化したノウハウを持っていました。勿論、ハードウェアセキュリティモジュールなどの技術的な部分に関しても、得意分野としておりました。
この当社の強みを生かして、電子契約における電子証明書の管理を当社で行い、ワークフローや文書管理はフロントのシステムで行うというお互いの強みを生かしたエコシステムを構築することが最善という考えに気づき、サービス化の検討を開始したのが、当社サービスが生まれた経緯となります。
また、当初のお客様の課題としてもう1つあったのが、電子署名法の解釈が難しい、お客様の法務部も理解できないというものでした。当初は、紙ではなく電子的に契約をしても問題ありませんという説明が非常に大変な状況でした。技術的な部分についてはお客様への説明では苦労はなかったのですが、法的に問題がないという説明が非常に大変な状況でした。特に、電子署名法上の認定認証業務と特定認証業務については理解してもらえなかったたですね。
— 認証局の話はユーザには難しいですよね。 —
はい、今でも大半の方は認証局についての理解は難しい状況だと思いますが、以前はもっと大変な状況でした。パブリック認証局とプライベート認証局など理解の難しい部分や、認定認証業務とは?といった質問は今でもよくお客様から聞かれます。
電子契約で利用する認証局の選定となると、当時はお客様としては判断できなくて足を止めているという状況でしたね。電子証明書の管理も難しい。電子証明書はUSBトークンやICカードなど、物理的に持つ必要があるという考え方もあって、ハードルが高かったです。
— 他社に先駆けて電子署名サービスを開発するというのは大変だったんじゃないですか? —
いや、開発という意味では苦労しなかったですね。既にお話したように我々はもともと認証局の運営に関しては20年以上の実績があり、ハードウェアセキュリティモジュールの取扱いや、電子署名に関連した個別のソリューション開発自体は得意分野となっておりますので、比較的開発はスムーズに進みました。
— 当時は、認定認証業務を使わなくていいのか、ということも言われましたし、同時に、クラウドサービスで電子署名(リモート署名)をしていいのかと、ずいぶん言われましたよね。 —
はい、仰る通りですね。今では、様々な法的な解釈が出ていますが、当時はやはり法的な部分の解釈については難しい点があり、電子署名法に詳しい弁護士の先生のご支援を頂きながら進められたことが大きいですね。
— 宮内先生ですね。 —
あたりです(笑)
— そんな環境の中で電子署名サービスを始めた。 —
欧米では電子署名や電子サインによる電子契約が既に普及しており、電子契約によるコスト削減や業務効率化、コンプライアンス強化というメリットが表面化しておりましたので、日本にも確実にその流れがやってくるだろうと信じていました。
— iTrustの一番の特徴は何でしょうか? —
やはり、認証局としての電子証明書の発行と、電子署名の基盤を一体で運用して提供できることです。電子署名サービスは標準化が進んでいる分野だけに、差別化要素を出しにくいんですよ。その点、iTrustリモート署名サービスはJIPDECさんの「JCANトラステッド・サービス登録(電子契約)」という第三者機関の審査登録を取得しているということが大きなメリットです。また、iTrustの他のサービスも第三者機関の認定を全て受けておりまして、信頼性という面では大きな特徴となっています。特にJIPDECさんの登録審査は、取得するのは本当に大変だったんですよ。毎日のように措置状況表という内容の確認のやりとりをJIPDECさんと続けまして、最後は心が折れそうになりました...
逆にいうと、それだけきっちり審査してもらっているということですかね(笑)
— ああ、ちょっと厳しすぎるんじゃないかしら(笑) 今、iTrustはどれくらい使われていますか? —
iTrustリモート署名サービスでは、月間で数百万トランザクションぐらいです。いわゆる当事者型と言われるものだけでなく、サービス提供事業者が利用者の指示を受けてサービス提供事業者自身の署名鍵による電子署名を行う方式にも使われています。
— ところで、この絵で3つのサービスがありますが、サイバートラスト社としては、どんな戦略を持っているんですか? —
はい、当社はイネーブルサービスプロパイダだって言ってるんです。この3つのサービス、リモート署名サービス、電子署名用証明書、本人確認サービスは、あくまで部品です。トラストやセキュリティの部分は当社が担います。電子契約などの業務システムの構築や提供は、電子文書管理などが得意な会社にお任せしたい。そんなエコシステムができればいいと思うんです。
— ちょっと、本人確認サービスというのが気になったんですが、これはJPKIのプラットフォーム事業者(注2)ということでしょうか。 —
はい、当社は総務大臣認定をうけておりますのでJPKIのプラットフォーム事業者という位置づけとなります。
まだ電子契約では使っていないんですが、金融機関のeKYCによるオンラインでの本人確認などで使っていただいています。マイナンバーカードが普及していくにつれて、マイナンバーカードで認証したいという事例が増えていくのではないかと思います。
3.近年のマーケット情勢
— 電子契約は、2000年頃の第1波、2013年頃からの第2波、そして今このコロナ禍で第3波が来ていると思うのですが、最近お忙しいんじゃないですか?
そうなんです。問い合わせが何倍にもなってます。電子契約を始めたいというベンダーさんからの相談が多いですね。
— ああ、それJIPDECでも多かったですよ。今は私自身は職場にいないので、知らんけど(笑) 電子署名の部分を含めて自社で開発したいという話がけっこうありますけどね、すでに電子署名サービスがあるから、それ使ったほうが早いですよとお勧めしてました(笑) —
ほかにも、eシール的なものを導入したいという問い合わせもあるんですよ。
— 気が早いですね。そういう話は、とりあえずJIPDECに回してしまえばいんじゃないですか(笑) 最近のユーザーからの問合せは、今すぐ何でもいいから電子化したい、という切羽詰まったものがありますね。これまでの、とにかく仕事の仕方を変えたくないという考え方と180度変わったみたいで。 —
コンプライアンスとか費用対効果やメリット/デメリットとかしっかりと検討してからやった方がいいと思いますけどね。
4.特に最近の出来事、政府の動き、Q&Aについて
— ところで、最近の話題と言えば、「電子署名法第3条Q&A」(注3)ですが・・・ —
当事者型か立会人型かに関わらず、「電子署名法第3条Q&A」が公開されたことによって、「固有性の要件」が示されたことに意義があると思います。ユーザ認証のプロセス、サービス提供事業者内部のプロセスについて、十分な水準の固有性を満たしているかどうか評価する必要があるということが明確になりました。この十分な水準の固有性というだけでは、基準が明確ではないので難しい対応ではありますが、少なくとも第三者機関などによってそのシステムが正しく運用されており、不正な操作が出来ない運用なりシステムが構築されている必要があるという事は必要だと考えております。電子契約のサービスでJIPDECさんのような中立的な機関による登録審査である「JCANトラステッド・サービス登録(電子契約)」を取得していることはますます重要になってくると思います。
— 本人確認には身元確認と当人認証という2つの要素があるわけですが、身元確認についてはどう考えたらいいんでしょうか? —
私どもは今まで認証局のサービスをメインにビジネスを展開してきておりますので、電子証明書の発行時に当事者の身元確認を行うという事に関しては、必要だと考えています。身元確認を行って発行した電子証明書を利用して、電子契約サービスで電子署名を行う際に当人しか知りえない認証情報を利用して当人認証を行って電子署名をするという事が一番確実な方式だと考えております。立合人型では、この身元確認と当人認証をどのように行うかについては、非常に重要な事だと考えています。
— ああ、それはそうですね。当事者型か立会人型かというのは分かりにくいので、本人確認のレベルで整理すれば分かりやすいかもしれません。 —
そうです。電子契約サービスとしては、複数の本人確認レベルに対応したプランが提供できればいいんでしょうね。
5.今後のマーケットの予測、サービスの展開
— 今後のマーケットはどうなるでしょうか? —
今加速している電子化の流れが定着すると同時に、私どもの電子署名基盤のようなトラストサービスの必要性も増してくると思います。
— その中でどんなサービスの方向性になりますか? —
まず、電子証明書と電子署名はプラットフォームとしてのアベイラビリティ向上を目指したいです。リモート署名による電子契約サービスの場合は特に、電子証明書の発行要求や電子署名のリクエストが短期間に大量に来るわけですが、これに確実に対応できるインフラでなければなりませんから。
次に、マイナンバーカードの普及が追い風となって、本人確認サービスが広がっていくはずだと思っているので、この分野でもパイオニアとして市場を引っ張っていきたいですね。
— 3つのサービスのこれからの展開、楽しみにしています。今日はどうもありがとうございました。 —
注釈について
- (注1)ハードウェアセキュリティモジュール
暗号化に必要な鍵の管理を厳重に行うことができる。
(注2)JPKIのプラットフォーム事業者
(注3)電子署名法第3条Q&A