2023年9月から総務省で実施されていました「eシールに係る検討会」が2024年3月で終了し、「eシールに係る検討会 最終取りまとめ」が発表されました。この「eシールに係る検討会 最終取りまとめ」をもとに、現在の日本におけるeシールの検討状況を記載していきます。
目次
政府によるeシール検討の経緯
EUでは2014年にEU直接法としてeIDAS規則が設けられ、この規則の中でeシールが定義として設定されており、文書の起源と完全性の確実性を保証し、電子文書が法人によって発出されたことの証明と定義づけがされています。
一方、日本国内では以下の図のような経緯でeシールに関する検討が進められてきました。
上記の流れに沿ってその詳細を記していきます。
総務省:プラットフォームサービスに関する研究会
eシールに係わる検討会の先駆けとして、まずは総務省において、「プラットフォームサービスに関する研究会 トラストサービス検討ワーキンググループ」が組成され、「タイムスタンプ」、「eシール」、「リモート署名」の3つについて検討がなされました。検討のポイントとしては、以下の4点でした。
・トラストサービス提供事業者への評価・認定体制の構築
・一定の要件と満たすトラストサービスの機械可読な形での公表
・トラストサービスに関する技術基準の整備・維持
・国際的な通用性
これらは、トラストサービスの信頼性を確保するうえで必要な条件であるため、今後に向けての検討となりました。
総務省:組織が発行するデータの信頼性を確保する制度に関する検討会
その後、2020年に「組織が発行するデータの信頼性を確保する制度に関する検討会」が総務省で開催されました。この検討会では、日本におけるeシールの在り方について検討が以下の項目でなされました。
・eシールに求められる要素
・eシール用電子証明書の発行対象となる組織等の範囲
・組織等の自在性・申請意思の確認の方法
・eシール用電子証明書の記載事項
・設備(認証局側の暗号装置、利用者側のeシール生成装置等)の基準
・一定の技術基準(リモート方式、失効リスト等)
上記の検討項目に対する方向性は以下の通りです。
検討事項 | 検討の方向性 |
---|---|
eシールの要素 | レベル分け:レベル1(裸のeシール、レベル2の要件を満たさなくて良い)、レベル2(一定の技術基準を満たすeシール、発行元証明の確認が可能)、レベル3(レベル2に加えて十分な水準を満たしたトラストアンカーによって信頼性が担保) |
発行対象の範囲 | 発行対象は、法人、個人(主に個人事業主を想定)、権利能力なき社団・財団、その他任意の団体等の組織 |
実在性や申請意思確認 | 組織の実在性確認:登記事項証明書や第三者機関DB 申請意思確認:電子署名や押印、署名等で実施 レベル3の場合、組織の実在性は公的な情報であることが必要 |
証明書内の記載事項 | フォーマットはX.509形式 記載情報:発行対象組織名、識別子、有効期間、公開鍵、署名アルゴリズム、証明書発行者、レベルの情報、属性情報(営業所、事業所、機器など) |
設備基準 | 認証局側:FIPS140 2 レベル3相当もしくは、 ISO/IEC 15408 の EAL4+ 相当のHSM利用 利用者側:eシール生成装置の認定は設けない。将来的には国際的なやり取りも踏まえると認証eシール生成装置の検討は必要 |
その他 | 大量処理:複数の対象データへの一括でeシールを付与可能 リモート方式:利用認証(権限者認証)と鍵認可をそれぞれ実施 |
デジタル庁:データ戦略推進ワーキンググループ
2021年からは新たに発足したデジタル庁において「データ戦略推進ワーキンググループ トラストを確保したDX推進サブワーキンググループ」が開催されました。
このサブワーキンググループでは、eシールにフォーカスをした議論ではなく、トラストやトラスト基盤、トラストサービス全般の構築や活用、整理についての議論がなされました。今後の取組としては、
以下の取組項目があげられました。
1.行政のデジタル完結の推進
2.多様な主体を巻き込んだ検討の場の創設
3.eシールに関する制度整備
4.国際的に調和の取れたルール形成の推進
ここで注視すべきは「3.eシールに関する制度整備」の項目で、デジタル庁の対応としては
今後、オンライン取引・手続において、発行元に関する証明のニーズが高まることが想定されるため、総務省が令和3年(2021 年)6月に公表した「e シールに係る指針」に基づき、e シールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向け、総務省の取組を支援すべきである
となりました。
総務省:eシールに係る検討会
2023年は総務省で「eシールに係る検討会」が開催されました。この検討会において、2021年6月に策定された「eシールに係る指針」の改正が検討項目となりました。以下、当該指針の骨子と改正内容となります。
2024年3月に「eシールに係る検討会」が終了し、その検討会における検討内容をまとめた「eシールに係る検討会最終取りまとめ」や「eシールに係る指針(第2版)」が発出されました。
当該文書から検討内容の一部を抜粋して以下に記載します。
第1章3項 「eシールの保証レベル」
以下の図の通り、明示されました。
レベルは1と2が設定され、総務大臣による認定を受けている認証局から発行された証明書を用いて付与されたeシールであるかどうかという点が保証レベルの差になります。
レベル1:総務大臣による認定を受けていない認証局を利用したeシール
レベル2:総務大臣による認定をクリアした認証局を利用したeシール
上記のレベルに加え、将来的には国際的に通用できるレベルが必要となるため、今後に向けた課題として検討が進められていく予定です
第1章4項 「eシールのユースケース」
次に、eシールがどのような文書やデータへの利用が考えられるのかという点について、一例が明示されました。
保証レベル2が必要と想定される文書としては、資格証明書や国への申請書類、監査に必要な資料などの重要情報や機微な情報をデジタルで取り扱う際に用いられることが想定しています。また、場合によっては請求書などもレベル2のeシールが付されていることが望ましいのではないかと考えられています。
2章1項「eシール用証明書の発行対象となる組織等の範囲」
eシール用証明書の発行が可能となる対象はどの範囲になるのかという点について、以前に発出された「eシールに係る指針」では、「法人、個人(主に個人事業主を想定)、権利能力なき社団・財団、その他任意の団体等とする」と定義されていました。この中で個人事業主に対しての扱いについて議論がなされ、認定制度のeシール用証明書は個人事業主を発行対象に含まないとの結論でした。
これは、認定制度のeシール用証明書へ公的な番号体系を識別子として利用する必要があり、個人事業主を識別するための番号体系が引き続きの検討課題となりました。一方で、認定対象外のeシール用証明書であれば、個人事業主を発行対象とすることが可能であると結論づけられました。
もう1点、発行対象として議論のポイントとなったものが「事業所や営業所等」でした。「eシールに係る指針」では
組織内における事業所・営業所・支店・部門単位や、担当者(意思表示を伴わない個人)、機器については、 e シール用電子証明書の発行対象としてのニーズが一定程度あるものの、その実在性を認証局において正確に確認することは困難であること等に鑑みて、eシール用電子証明書の任意のフィールドである拡張領域に記載できる
出典 : eシールに係る検討会最終取りまとめ
となっており、この点の整理が「eシールに係る検討会」での検討項目になっていましたが、方向性としては、
「eシールに係る指針」での整理を維持し、事業所や営業所等については、eシール用電子証明書の任意のフィールドである拡張領域に記載することとする
出典 : eシールに係る検討会最終取りまとめ
という結論になりました。
2章5項「eシール生成者の秘密鍵の管理に係る基準」
eシール生成者における秘密鍵の管理についての方向性としては、
eシール生成者側の秘密鍵の管理については、「eシールに係る指針」の記載を維持し、認証局からeシール生成者に対して秘密鍵の管理の重要性等を説明することとした上で、eシール生成者の秘密鍵の管理の責任はeシール生成者自身にあるとすることが適当である。
出典 : eシールに係る検討会最終取りまとめ
というようにまとめられ、特に秘密鍵の管理は規定されることはありませんでした。
2章6項「eシールを大量に生成する際の処理」
eシールは大量のデータや文書を機械的に処理する場合もあるため、自動に一括でeシールを付与することは認定制度のeシールにおいても認められています。また、eシールをリモートで付すことも、複数人で1つの証明書を利用するという特性から位置づけの検討がされました。電子署名をリモートで活用する「リモート署名」と「リモートeシール」は技術的に共通項目が多く、既にリモート署名についてはデジタル庁において議論を進められており、この議論を注視し引き続き検討することになりました。
今後に向けて
総務省告示によるeシールに係る認定制度を創設するため、2024年度以降に実施要項等の検討を行うことになり以下の項目が主な検討ポイントとされています。
(1)技術・設備・運用の基準策定
(2)電子署名法の認定制度等 を用いた適合性評価等の効率化
(3)CP/CPS に 最低限記載すべき事項の整理
(4)共通証明書ポリシー OID 体系の整備
eシールの普及については、eシールを活用することでの各種コストの削減や、安心・安全なデータ流通となることを認識してもらうためのこれから周知啓発が必要です。