ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第13回 eIDAS規則で定義され法的効果を得たトラストサービス
前回に続き、「eIDAS」のその2です。
今回は、トラストサービスの概念と「eIDAS」の構成、「eIDAS」によって何が明確化されたのかについて解説します。
前回は【1】電子署名の分かりにくさ、【2】ビジネス視点不足が、域内加盟国間での相互運用性を阻害していると結論づけられて、e-Signature Directiveを破棄して「eIDAS」が規則として成立した経緯を解説しました。
この経緯の中で、サービス提供事業者とトラストサービスについて以下のように整理されています。
サービス提供事業者(CSPとTSP)とトラストサービス
e-Signature Directive 1999/93/ECでは、サービス提供者の定義は
"certification-service-provider" means an entity or a legal or natural person who issues certificates or provides other services related to electronic signatures;
でした。
この定義が文字どおり、Certification(電子証明書)の提供事業に寄っていたため、ユーザー視点でのサービスにギャップが生じていたと考えられたのでしょう。トラストサービスと、それを提供するトラストサービスプロバイダー(TSP :Trust Service Provider)という概念で検討された結果が、ETSI EN 319 401の付録Aに記載されています。(図1)
この整理の中で、TSPs supporting eSignaturesとTrust Application Service Provider
という概念も定義されました。
TSPs supporting eSignaturesは、インフラサービスです。
認証局(CA)、タイムスタンプ局(TSA)、証明書検証局(VA)、リモート署名サービスなどで、ほぼDirective 1999/93/ECのCSP定義に準じたサービスです。
Trust Application Service Providerは、アプリケーションサービスです。
デジタル署名を利用することで、サービスの信頼・信用を向上します。
例えば、書留や電子配信サービス、電子保存・長期保管サービスなどです。
図のA箇所は、デジタル署名を使用しないトラストサービスです。
例えば、デジタル署名の代わりに安全なストレージを使って長期保存のためのサービスを提供する、デジタル署名を利用していないサービスなどです。
TSP、CSPが提供するサービスを、トラストサービスと定義しています。
ETSI EN 319 401 V2.1.1とeIDAS規則でのトラストサービスとTSPの定義を下記に記載します。文言は異なりますが内容はほぼ同じです。(表1)
トラストサービスの詳細
ETSI TS 119 612 V2.1.1(2015-07)にトラストリストの標準が規定されています。
トラストサービスのサービスタイプは、この規定の5.5.1にService type identifierとして記載されています。これは現時点でのサービスのようです、いろいろなサービスがあることが分かりますね。今後増えていくことになると思います。
トラストリストについては、次回に解説します。
eIDAS Regulationの内容
eIDAS規則の構成を図2に整理しました。
この規則の一丁目一番地であるChapter1、Article1のSubject Matterには、以下の記載があります。
本規則は、域内市場の適切な機能を確保するために、電子本人確認手段とトラストサービスのセキュリティレベルの適正化のために
- (a)加盟国が、他の加盟国の通知された電子本人確認スキームに含まれる、自然人もしくは法人の電子本人確認手段を承認する条件を規定する
- (b)電子取引のための電子トラストサービスに関するルールを規定する
- (c)電子署名、電子シール、電子タイムスタンプ、電子書留送付サービス、ウェブサイト認証および電子文書のための法的枠組を確立する
まとめると、「域内における電子取引のセキュリティレベルを適切にするために、トラストサービスの共通ルール化をしました。」ということです。
そして、この規則の画期的なことは、電子署名、電子シール、電子タイムスタンプ、電子書留送付サービス、ウェブサイト認証、そして電子文書に対して法的効果を認める規定があることです。
わが国でも、真の世界最先端IT国家創造を目指すのであれば、このような基本の法律ができることを期待したいところです。
さて、この規則のメインは、Chapter3のトラストサービスです。
Chapter3の冒頭に、トラストサービスには、適格と非適格があり、その違いについて明記されています。
適格サービスは、各国の適切な監督機関により監査を受けて一定基準を満たすサービスとして認められたもので、域内加盟国内共通の基準を満たしているものとして国を跨いでサービスを提供できるとあります。
一方の非適格サービスは、その品質等を自らが証明する必要があり、実質的に域内共通のサービスとして利用はできない。ということです。
そして、Chapter3では、トラストサービスを、電子署名、電子シール、電子タイムスタンプ、電子書留送付サービス、ウェブサイト認証でそれぞれ規定しています。
eIDAS規則制定の流れで明確に規定されたポイント
このように、トラストサービスが規則として直接法化されたeIDASですが、Mandate460を経て、新たに明確に規定されたポイントについて整理しておきます。
- 適格TSP(Qualified Trust Service Provider)および適格TSPの監督(supervision)を明確化すると共に、トラステッドリスト(Trusted Lists)について言及した
- 電子署名を自然人が行う署名に明確に位置づけ、適格電子署名に手書署名と同等の法的効果を与えた
- 適格電子署名生成デバイスは、ハードウェアとソフトウェアのいずれも可とした。また、適格電子署名の検証要件を明示した
- 適格電子書名適格検証サービス、適格長期保存サービスを可能とした
- 公共サービス用署名フォーマットは、CAdES、XAdES、PAdES、ASiCとした
- 法人用の電子署名として新たに電子シールを定義した。運用は電子署名を準用する
- 電子タイムスタンプとして、適格電子タイムスタンプを定義した
- 電子文書を紙/電子非差別とした
- 適格電子書留送付サービスを定義した
- ウェブサイトの認証と適格ウェブサイト認証証明書を定義した
それぞれの加盟国において、さまざまな事情・歴史と異なった価値観を持つ中で、ICTを活用した経済発展のため、「トラスト」という考え方で統一して推進しようとしているのです。画期的ですね。
陸続きで異なる国家間で物理的に往来ができるという事情から生じた必然なので、わが国のような島国には適用しないのではないかとの声も聞こえてきますが、インターネットを介して行われる電子取引の信用を確保する仕組みなので、大いに参考になるはずです。
単一国家内ではなくEUという大経済圏で実際に運用推進されていく、この素晴らしい流れは、Digital Agenda for Europeが目指すマイルストーンである2020年までには、世界的に展開されていくことになると著者は、確信しています。
そして、タイムスタンプ
著者の専門であるタイムスタンプの箇所は、和訳しておきます。
Section6 電子タイムスタンプ
Article41:電子タイムスタンプの法的効果
- 電子タイムスタンプは、それが電子的形式である、もしくは適格タイムスタンプの要件を満たさないという理由のみで、法的効果や法的手続きにおける証拠としての許容性を否定されない
- 適格電子タイムスタンプは、それが示す時とその時が結び付けられているデータの完全性を保証する法的推定を享受する
- 適格電子タイムスタンプは、全ての加盟国において承認され受容される
Article42:適格タイムスタンプ要件
- 適格電子タイムスタンプは以下の要件に合致する必要がある
(a)正確な方法で、協定世界時(UTC)に紐づいていること
(b)正確なタイムソースに基づいていること
(c) 適格トラストサービスプロバイダーの、先進電子署名または先進電子シールまたは、それらと同等の方法によって署名されていること - EU委員会は、実施法により、正確な時とデータとの結合と正確な時刻ソースについての標準の参照番号を設定できる。1項に規定された要件との合致は、正確な時とデータとの結合と正確な時刻ソースが上記の標準と合致している場合には推定される
まさに、既にわが国では構築され運用されている、タイムビジネス信頼・安心認定制度そのものですね。
時刻ソースの信頼性は、この認定制度を基に、日本発案の国際標準として2015年4月にISO18014-4として成立しています。
タイムスタンプという分野では、世界に先駆けて、その重要性を認識し推進してきた日本ですが、法律化は、欧州に先を越されてしまいました。
次回は、トラストリストについて解説します。
次回は11月1日(火)更新予定です。
前の記事を読む
次の記事を読む