現実のビジネスの世界で製品を購入・利用する場合、販売会社の営業の方に直接会い事業やサービスについて確認をするとともに、企業の実在確認を行うことが通例です。一方、インターネットビジネスの世界では、ウェブサイト上で製品やサービス購入が完結できます。電話やメールでやりとりを行うこともありますが、申し込み完了のメールのみで完結するケースも少なくありません。
本来のあるべき姿は、インターネット上でもサービス提供者と利用者は信頼性が担保される必要がありますが、そうでない場合も多々あります。今回は、インターネットビジネスにおける信頼性を担保する仕組みやそのサービスについてご紹介します。
パブリック認証局から発行される証明書は信頼できるのか
SSLサーバ証明書やドキュメント署名などインターネットで通信相手となるサーバや人に対して、身元を保証し、安全性を担保しているインフラの一つに「電子証明書」というものがあります。電子証明書は「認証局」という、インターネット上のサービスにおける提供者でも利用者でもない、公平中立な第三者によって発行されます。
その電子証明書を発行している「認証局」が信頼できるかは、「CA/Browser Forum」という組織により策定されたガイドラインに基づいて監査されます。「CA/Browser Forum」とは、ブラウザーベンダーと認証局で構成された組織です。監査は、監査法人や監査基準を策定した機関が認証局の審査を行い、監査基準をクリアしている認証局だけがウェブブラウザやOSに組み込まれます。
図:認証局が信頼されるまでの流れ(インターネットトラストの実現に向けて講演資料より)
この監査基準をクリアした認証局は「パブリック認証局」とも呼ばれ、パブリック認証局が発行した電子証明書=インターネットにおける信頼された組織やウェブサイトと位置付けています。
「CA/Browser Forum」のような取り組みやフローによって、サービスの信頼性が担保されることが望ましいのですが、日本ではまだ他にこのような手段がとっているようなものが余りないのが現状です。では、海外におけるサービスへの信頼性は、どのように担保されているのでしょうか。
EUにおける信頼性を担保する「eIDAS規則」
EUでは加盟国に対して、インターネットサービスに対する信頼性(トラスト)評価の仕組みとして「eIDAS規則」があります。元々は1999年にEU加盟国それぞれで電子署名の法的効力を承認した「電子署名指令」に従い、独自の電子署名法を定めていましたが、2014年7月に「eIDAS規則」が採択され、EU加盟国内の規定が統一されました。
そのため「eIDAS規則」は「電子署名指令」を継承していますが、その適用範囲は電子署名を含むトラストサービス(TS)だけではなく、マイナンバーカードのような電子的な本人確認(eID)にまで拡大されています。eIDAS規則では、以下の要素をトラストサービスとしています。
- 電子署名、電子シール、又は電子タイムスタンプの生成、検証、照合又は、電子登録配布サービス及びこれらのサービスに関連する証明書
- ウェブサイト認証のための証明書の生成、検証、照合
- これらのサービスに関連する電子署名、シール、証明書の保存
『欧州におけるトラストサービスと適格トラストサービス』(「JIPDEC」より引用)
URL : https://itc.jipdec.or.jp/itccolumn/hamaguchi/3.html
トラストサービスでは、電子認証局やタイムスタンプ局などのサービス提供側とそのサービスが規定に基づいてレベルに分けられ、リスト化されており「トラストリスト」として利用者に一般公開されています。トラストサービスに関する「トラストリスト」の作成を義務付けることで、信頼性を担保しているのです。
eIDAS規則により、電子申請やオンライン決済、電子契約などにおける信頼性を紙面における取引と同等であることをEUが保証し、電子化及び効率化を促進しています。これらは、電子契約が急速に普及している日本国内においても、考慮すべき事案となっています。
電子契約サービスの市場動向
電子契約市場は日本においても年々成長をしています。下記の図は、JIPDEC (一般財団法人日本情報経済社会推進協会)が発行をしている「JIPDEC IT-Report 2017 Spring」内に掲載している、電子契約の利用状況に関する調査結果です。
図:『電子契約の利用状況の経年比較(2015~2017年調査)』(「JIPDEC」より引用)
2017年の調査結果では、「採用している」または「採用を検討している」を合算すると65.6% となり、企業が電子契約について何らかの取り組みをしていることがわかります。2016年の調査結果を同様に合算した数値は 56.5% となり、2015年の調査結果からの増加が 2.6ポイント だったのに対し、2016年から2017年の増加は 9.1ポイント と成長が期待できる市場といえます。
この電子契約を行う方法の一つとして用いられるものが、電子証明書やタイムスタンプになります。これらはPKIという技術を利用し、署名を行っています。この署名を施すことで、署名後の改ざんを検知することができるようになるのです。さらに、電子証明書による署名では「誰が」そのファイルを作成したのかということと、タイムスタンプを付与することにより「いつ」そのファイルが作成されたのかということが証明できます。
インターネットビジネスがもっと信頼できる未来へ
電子署名やタイムスタンプでの電子契約が当たり前になるにつれ、EUで取り組まれているeIDAS規則の仕組み同様、実は日本国内でもインターネットビジネスにおける信頼性を担保する仕組みは進んでいます。JIPDECでも「インターネットサービスの信頼性が担保される方法とは」という記事が書かれていますのでこちらもご覧ください。