★☆★JNSAメールマガジン 第87号 2016.5.27.☆★☆
(電子署名WG/セコム(株)IS研究所/佐藤雅史)
前回(5月13日)の島岡氏のリレーコラムに続き、本セミナーの後篇をご報告します。
前篇(午前の部)のご講演はSSL/TLSを中心としたインターネットにおけるPKIの最新技術動向がテーマでしたが、後篇(午後の部)は番号制度を背景とした電子認証・電子署名に関する議論が中心のテーマとなっております。前篇に関する議論の中心はインターネット文化的、市場中心的なアプローチで行われており、そこには米国の巨大企業の影響力も無視できません。対して、今回ご紹介する後篇は、EUのようなトップダウンの規制型モデルのアプローチとして対比できそうです。同じPKIというテーマを扱いながら、前篇と後篇で異なる観点があると言えます。今後のデジタル社会の方向性を議論するには、こうした多様な観点が重要ではないでしょうか。
具体的な内容は文末のURLから各講演資料をご覧いただくこととして、ここではそれぞれの概観について紹介していきます。
(5) 【講演】「エストニアIDカードのPKIマニアック解析」午後の部の初回は有限会社ラング・エッジ 宮地 直人 氏よりエストニアのIDカードについてご講演いただきました。宮地氏はエストニア共和国が発行するデジタルIDであるe-residency(電子居住)に登録され、IDカードを取得されました。e-residencyは日本からも申請・取得が可能で、エストニアでの企業設立やe-バンキング、政府が提供するポータル、データ送受サービス(電子私書箱)の利用が可能になります。IDカード取得までのフローや、IDカードを使用するアプリケーションやユーティリティ、ドライバなどの周辺についてもご紹介いただきました。これらのソフトウェアは主要なOS、ブラウザに対応しており全てオープンソースで提供されているとのことです。また、宮地氏はIDカードとそこに格納されている電子証明書を解析し、その過程で発見した日本の住基カード/個人番号カードのPKCS#11ドライバの課題も含めご紹介いただきました。これらの課題を修正するための補間計画については、引き続き電子署名WGでも共有していきます。
(6) 【講演】 「電子署名標準化動向から今後の方向性を探る」私(佐藤)より、電子署名に関するEUの標準化動向と日本の動向について講演させていただきました。EUでは国民ID/電子認証/電子署名に関する法律(eIDAS規則)が施行され、これに関連した技術・運用に関する標準化体系を構築し、それに基づいて策定された様々な欧州規格(EN)が公開され始めました。
日本においても、電子署名を活用した事例も増えつつあり、また、マイナンバーや公的個人認証を発端とした様々な議論が始まっています。例えば、サーバ上で署名者の鍵を管理するリモート署名や、法人向けの電子証明書、電子私書箱、等々です。これらの日本の議論もEUの標準化体系と対比すると様々な共通点が見られます。一つのキーワードはトラストサービスで、これは電子認証や電子署名を応用した信頼できるサービスの総称です。日本でも既に認証局やタイムスタンプ局などのトラストサービスが既にあり、今後も新たなトラストサービスが登場すると考えられます。しかし、日本の場合には各サービスの連携を視野に入れたものになっていない個別の議論になりがちで、EUに見られるような互いに連携することを前提とした整合性のある体系だった議論や検討が必要ではないか、という点について述べました。
(7) 【講演】 「デジタルwatashiアプリ」経済産業省 CIO補佐官 満塩 尚史氏より、デジタルwatashiアプリの目的や仕組み、今後の展望についてご講演いただきました。デジタルwatashiアプリは、公的個人認証とID連携トラストフレームワークを組み合わせることで、安全性と利便性を両立した電子認証とID連携を実現することを目指したものです。
デジタルwatashiアプリでは、電子証明書の検証なども含めた技術の複雑さなどこれまでのPKIが抱える課題を、ID連携の仕組みに転換することでハードルを下げようとしている、と述べられました。具体的には、スマートフォン等で利用されるソフトウェアで、最初のユーザの身元確認のために、個人番号カードに格納された電子証明書(公的個人認証)を使用します。一度、身元確認されたユーザに対しては別の認証手段(ID/パスワードなど)が提供され、様々なサービス事業者とのID連携においてはその認証手段を用いる仕組みとなっています。
このようなデジタルwatashiによるID連携を実現するためには、利用者や事業者間の信頼構築が不可欠で、経産省ではそのための基準や文書の策定などID連携トラストフレームワークの整備を推進しているとのことです。また、認証手段についても、FIDO等も含め生体認証もサポートすることも計画しているとのことです。
(8)【パネルディスカション】 「マイナンバー時代のPKI」パネルディスカッションでは、モデレータとしてセコムIS研究所/PKI相互運用技術WGリーダー 松本泰 氏、パネラーとして手塚悟先生、満塩尚史 氏のほか、五番町法律事務所 弁護士 宮内宏 氏、三菱電機/電子署名WGリーダー 宮崎一哉 氏が登壇しました。
パネルでは大きく3つの議題がありました。1つ目は個人番号カードの普及について、2つ目は法人番号制度を背景とした法人向け電子証明書について、3つ目はEU eIDAS規則を受けて日本が取り組むべき課題についてです。
個人番号カードの普及に関する議論では、普及の鍵はアプリケーションにあるものの、過去の住基カードにおいては用途がe-taxくらいしかなかったという点が指摘されました。このような反省点も踏まえ、個人番号カードではマイナポータルをはじめ様々なアプリケーションや機器で利用可能になるように検討や実証実験が行われており、普及促進のため方策が進められているとのことです。その他にも議論は電子証明書のシリアル番号の収集によるプライバシーの問題などにも及びました。電子証明書を流通することを前提とした法制度作りが必要であること、また、官が提供すべきものと民間で行う事業とのバランスが大切であることが指摘されました。
法人向け電子証明書に関する議論では、法人番号を格納した電子証明書の効果や用途について議論されました。契約行為など意思表示を行う電子署名は電子署名法の範疇である一方、サーバ認証やコード署名など出自を確認するだけのものは電子署名法の範疇外です。後者については、eIDAS規則では法人による電子署名(e-seal)という概念があります。これは例えばインボイス(請求書)のような意思表示でないものに使われると考えられ、日本でも検討すべきではないかという意見が述べられました。法人番号制度については、法人情報を確認できる法人ポータル(*1)が経産省から提供されています。このような法人ポータルが拡充することで法人番号の利用も促進することが期待されます。
欧州eIDAS規則に関する議論では、EUでeIDAS規則が施行され各種法制度が整備される中、日本が取り組むべき課題は何かについて議論されました。EUでは電子認証や電子署名を用いたトラストサービスに関する法制度の拡大と強化によってビジネスを加速するように支援していること、また、中国では認証局やタイムスタンプ局などの事業(例えば知的財産保護のためのタイムスタンプ利用など)が活発で2400億円(2014年)の市場であることが紹介されました。その一方で日本では立ち遅れてしまっている印象があり、海外と渡り合えるレベルにするためにも、イノベーションを阻害しない事に配慮しつつ、法制度も含めて整備すべきであるとの意見が述べられました。
前回のリレーコラムにつづき、「PKI Day 2016 〜マイナンバー時代のPKI〜」開催報告(後篇)をお届けしました。
PKI DayはPKIを中心としつつも、それぞれの応用分野から毎回幅広く講演者をお招きして熱い議論を交わす場を目指して開催しております。本リレーコラムを通じて雰囲気を少しでもお伝えできましたでしょうか?今回も各講演者の皆様に濃密なご講演をいただきましたが、本リレーコラムで再現できることは限界があり、書けなかった内容も沢山ございます。PKI Day 2016にお越しになれなかった皆様もぜひ次の機会にご参加いただければ幸いです。
また、PKI相互運用技術WG、電子署名WGへのご参加もお待ちしております。
セミナーの概要・講演資料など:https://www.jnsa.org/seminar/pki-day/2016/