第43回 UNCITRAL IdMとトラストサービスのモデル法
2022年7月、国連の国際商取引法委員会(UNCITRAL)で、ID管理とトラストサービスに関するモデル法が採択されました!
モデル法、国連が採択したから7月7日は「トラスト記念日」
相手先を特定するサービスの「ID管理サービス」とデータの質の信頼を付与するサービスである「トラストサービス」の利活用と国境を越えた承認について、国際的な指針が議論・整理され、モデル法として採択されました。
Report of the United Nations Commission on International Trade Law(24ページ)
各国には、それぞれの価値観や文化・歴史で培ってきた各国法があり、それを国際連合(以下、国連)といえども統一することはできるハズはありません。そんな中で、国境を越えて行われる商取引という行為においては、誰もがデジタルの利便性を利用しない手はないのですが、そこで課題になったのが、のちのちの「言った言わない」「俺知らない」というリスクへの回避策の国際的な通用性でした。
やりとりされる情報の確からしさの根拠や、流通過程のトレーサビリティを確かにたどれる技術や証跡が国境を越えて求められるのです。
まさに、ID管理やトラストサービスの出番ですね。技術だけでは解決できず、その効力について法的な根拠が国際的に共有されることがとても重要なのであることは自明ですね。
今般、それが国連において整理され、モデル法として具現化したのです!
国境を越えて商取引を行うにあたって、より便利なデジタルにおいては、発出元や相手先の認証、データの確からしさを担保する電子署名、eシール、タイムスタンプといったトラストサービスの結果が何をもって信頼のおけるものであるかが整理され、モデル法として国連にて策定されたのです。
将来、7月7日の採択日は、七夕と並んでDXのエポックとして記念日となることでしょう!
UNCITRAL WG-IVでの議論は公開されており、モデル法に至った議論の経緯を全て読むことができます。
それらから筆者の観点で、背景と経緯、そしてモデル法の意義を紹介したいと思います。
背景と経緯
G-IVでは電子取引における法的裏付けの議論がされており、これまで
- 1996 Model Law on Electronic Commerce(電子商取引モデル法)
- 2001 Model Law on Electronic Signatures(電子署名モデル法)
- 2005 United Nations Convention on the Use of Electronic Communications in International Contracts(国際契約における電子通信の使用に関する国連条約)
- 2017 Model Law on Electronic Transferable Records(MLETR:電子的移転可能記録モデル法)
を策定して国際的に利用されています。
今回のID管理とトラストサービスは、この2017年に採択されたMLETRが議論された中で発生しています。
UNCITRALとMLETRについては、以前の本コラムを参照ください。
第32回 デジタルによる国際商取引について(UNCITRAL MLETR)
WG-IVでの議論経緯を記載しましょう。
- 55回(2017年4月)議論開始
- 56回(2018年4月)以下の合意がされ、本格的な議論を開始
ID管理とトラストサービス については、以下4点が国際商取引の障害となっている。
- それらに法的効果を与える法制度の欠如
- システム間の相互運用性の問題
- 紙ベースのものを求める法制度の存在
- 国ごとに異なる法制度の存在とクロスボーダー相互の法的承認の仕組み欠如
これらの課題を解決するには、ID管理とトラストサービス利用への信頼を高めるための法的裏付けとしてサービス提供者など、当事者の義務や責任などを明確化する必要がある。
- 57回(2018年11月)[#155] Draft Instrument on Cross-Border Legal Recognition of Identity Management and Trust Services - Proposal by Germany
- 58回(2019年4月)[#157]Draft Provisions on the Cross-border Recognition of Identity Management and Trust Services
- 59回(2019年11月)[#160]Draft Provisions on the Cross-border Recognition of Identity Management and Trust Services
- 60回(2020年10月)[#162]Draft Provisions on the Use and Cross border Recognition of Identity Management and Trust Services
- 61回(2021年4月)[#167]Draft Provisions on the Use and Cross border Recognition of Identity Management and Trust Services
- 62回(2021年11月)[#170]Draft Provisions on the Use and Cross-border Recognition of Identity Management and Trust Services
- 63回(2022年4月)[#1112]Draft Model Law on the Use and Cross border Recognition of Identity Management and Trust Services
作業部会の構成メンバーは、日本はもちろん、EU加盟国、USA、ロシア、中国、シンガポール、インド、イラン、大韓民国などを含む46カ国で、オブザーバーとして、23カ国とバチカン市国およびEU、さらに国際機関から国連機関2、国際的政府機関3、国際的な非政府組織28が参加しており、国際的に電子取引に関する法的規定への関心度が高いことが感じられます。
国連モデル法の意義を三つ!
【その1】各国主権を尊重したうえで統一的な指針として整理されたこと
モデル法として採択されたということのインパクトは、なんといっても、各国において独自の法律があっても民間における電子取引において、国際的に共通のルールとして整理し、効力があるとしたことだと思います。第4章にその記載があります。
ChapterIV. Cross-border recognition(国境を越えた承認)として、
- Article 25. Cross-border recognition of electronic identification(eIDの国境を越えた承認)
- Article 26. Cross-border recognition of the result of the use of trust services(トラストサービスの利用結果の国境を越えた承認)
- Article 27. Cooperation(協力関係)
「少なくとも同等の信頼性(at least an equivalent level of reliability)」を提供するよう求めることで、国際的にeIDとトラストサービスの利用結果が国境を越えて同様の効力を持つ(shall have the same legal effect)とする規定として定められたのです。技術的に保証されることと、その仕組みが、法的に効力があるということは、明らかに異なります。依拠者にとっては、法的な効力があることは、過分な担保保証を不要とするのみならず、安心して利用ができるのです。
【その2】信頼を確保する基準の整理
そして、二つめの意義
当初、WG-IVでは、ID管理に関する作業はトラストサービスに関する作業の前に行うことができると考えられていましたが、ID管理とトラストサービスに関連する用語の特定と定義は、両者の密接な関係から、同時に行うこととなり、それらの信頼を確保する要件として、結果的に双方ほぼ同じ内容で策定されたことです。
モデル法では、信頼性を評価するアプローチとして、問題が発生した時点まで先送りし、その時点で評価が実施される事後(ex-past)における判断要件を列挙し、その方法が使用される前に、あらかじめ事前(ex-ant)に定められた要件で評価が実施されていることを要求する、「事後的判断基準(Determination of reliability:ex-past)」と「事前信頼性指定(Designation of reliability:ex-ant)」による推定が整理されたのです。
事後的(ex-past)判断基準とは、対象となる情報の信頼性を判断する基準で、ID管理では第10条、トラストサービスでは第22条に記載されており、内容はほとんど同じです。
- 信頼を確認する方法
- 信頼性を決定する際に考慮しなければならない状況
- 信頼性を決定する際に考慮しない内容
- 事前信頼性指定条項に従って指定されたサービスによって使用される方法は、信頼できるものと推定される
- 事前信頼性指定条項に適用していなくても、対応可能としている条項
- (a) 方法の信頼性を立証すること
- (b) 事前信頼性指定条項に従って指定されたサービスによって使用される方法の非信頼性の証拠を提示すること
- * 実際には、これらを事後に証明するのは相当困難なことでしょうね。
また、この事後的判断4項で指定している事前(ex-ant)信頼性指定条項は、ID管理では第11条、トラストサービスでは第23条であり、記載の内容は一致しています。
- 公民を問わず指定機関は、サービスプロバイダーを指定できる。
- 指定機関は、事後的判断基準要素を含む全ての関連状況を考慮に入れること。
- 指定機関は、指定サービスのリストを公表すること。
- 指定は、指定手続きの実施に関連する公認の国際基準および手続きと整合的でなければならない。
- サービスを指定する場合、地理的位置を考慮してはならない。
さらに、サービス提供事業者の責任(Liability of service providers)と免責事項もID管理では第12条、トラストサービスでは第24条に記載されていて、記載の内容は一致しています。これらを表1に整理しました。
表1 信頼確保のための条項
| ID管理 | トラストサービス | ||
|---|---|---|---|
| 事後的判断基準 | Reliability requirements for services | 第10条 | 第22条 |
| 事前信頼性指定 | Designation of reliable services | 第11条 | 第23条 |
| 事業者の責任 | Liability of service providers | 第12条 | 第24条 |
| 事業者最低義務 | Obligations of service providers | 第6条 | 第14条 |
【その3】コトバの定義
そして、国際的に通用すべく、コトバの定義がされたことでしょう。特に、Identityについては、ID管理(Id-Management)として”identity proofing”と”electronic identification”の二段階によって構成されるという考え方が示されています。
第2条の定義のうち、筆者が重要だと感じたコトバについて記載しておきます。
(c) “Electronic identification”, in the context of identity management services, means a process used to achieve sufficient assurance in the binding between a person and an identity;
―― 「eID」とは、ID 管理サービスとの関連では、個人と ID との間の結合において十分な保証を達成するために使用されるプロセスを意味する。
(d) “Identity” means a set of attributes that allows a person to be uniquely distinguished within a particular context;
―― 「ID」とは、特定のコンテキスト内で人を一意に識別できるようにする一連の属性をいう。
(f) “Identity management services” means services consisting of managing identity proofing or electronic identification;
―― 「ID管理サービス」とは、身元確認またはeIDの管理からなるサービスをいう。
(i) “Identity proofing” means the process of collecting, verifying, and validating sufficient attributes to define and confirm the identity of a person within a particular context;
―― 「身元確認」とは、特定の文脈において個人のIDを定義し確認するために十分な属性を収集、検証、および妥当性を確認するプロセスをいう。
そして、トラストサービス
(l) “Trust service” means an electronic service that provides assurance of certain qualities of a data message and includes the methods for creating and managing electronic signatures, electronic seals, electronic time stamps, website authentication, electronic archiving and electronic registered delivery services;
―― 「トラストサービス」とは、データメッセージの特定の品質を保証する電子サービスをいい、電子署名、eシール、タイムスタンプ、ウェブサイト認証、電子アーカイブ、電子書留配達サービスの作成・管理方法を含む。
モデル法の構成
モデル法の構成を表2に記載しました。
全体とID管理、トラストサービスに分かれて記載されていて、ID管理とトラストサービスについては、ほぼ記載されている項目は同じであることが分かりますね。
表2 モデル法の構成
国際商取引視点でのID管理とトラストサービス
eIDの管理とトラストサービスが別々に議論された結果、その信頼性を確保する要件が、ほぼ同じ内容で整理されたことは、大変重要なことだと思います。eIDの主な用途は、「認証」で、それも相手先認証であるAuthenticationが主体です。一方でトラストサービスの用途は「署名」で、記録などのデータにマーキングすることで、発出元やその事象が発生した時点を、第三者認証(Certificate)により将来にわたって完全性を担保する、よりパブリックに標準や通用性が求められるサービスです。
どちらも、信頼の根拠が必要なのですが、今般このモデル法が整理されたことで、その指針がほぼ同じであることが世界的に合意されたのだと思います。そして、ID管理とトラストサービス利用への信頼を高めるための法的裏付けとしてサービス提供者など、当事者の義務や責任などの明確化がされました。
わが国において、eIDは、行政での対面によって提供される基本4情報(氏名、性別、住所、生年月日)がひも付けされた世界的にも究極のeIDであるマイナンバーカードが実在します。一方で、ビジネスでの情報の発出元は組織であり、ダイナミックに異動のある組織に属する権限を有する人となります。今後、マイナンバーカードとひも付けされたなんらかのビジネスで利用できる署名サービスが、利用される目的・対象によって異なる属性を証明する形で提供されることとなるでしょう。
事前にこのようなモデル法で整理されたことがDFFTを実現するうえでも大変重要なエポックになったのだと思います。
前の記事を読む