欧 州 の 動 向 - 電 子 署 名 指 令 から eidas 規 則 へ 2015/4/10 株 式 会 社 コスモス コーポレイション ITセキュリティ 部 濱 口 総 志
自 己 紹 介 株 式 会 社 コスモス コーポレイション 製 品 安 全 /EMC/ 医 療 機 器 評 価 認 証 TUViT GmbHの 日 本 代 理 店 ETSI 認 証 /データセンタ 監 査 /コモンクライテリア 評 価 / 調 査 一 般 財 団 法 人 日 本 情 報 経 済 社 会 推 進 協 会 客 員 研 究 員 東 京 工 科 大 学 手 塚 悟 研 究 室 2
eidas 規 則 と 電 子 署 名 指 令 eidas 規 則 : Regulation (EU) No910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC 2012 年 6 月 草 案 公 開 2014 年 8 月 発 効 電 子 署 名 指 令 : Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures
eidas 規 則 背 景 ( 序 文 より 抜 粋 ) (1)オンライン 環 境 において 信 頼 を 構 築 することは 経 済 発 展 の 鍵 となる 信 頼 の 欠 如 特 に 法 的 確 実 性 の 欠 如 は 消 費 者 や 企 業 または 行 政 が 取 引 を 電 子 取 引 上 で 行 うことや 新 たなサービスを 導 入 することを 躊 躇 させることにな る (2) 本 規 制 は 市 民 企 業 行 政 間 の 安 全 な 電 子 取 引 の 共 通 基 盤 を 提 供 するこ とにより 欧 州 域 内 市 場 の 電 子 取 引 における 信 頼 を 強 化 し それにより 連 合 国 におけるオンラインサービス 電 子 ビジネス 電 子 取 引 の 効 率 を 高 めよう とするものである (3) 欧 州 議 会 及 び 理 事 会 指 令 1999/93/ECは 安 全 で 信 頼 でき かつ 使 い 易 い 電 子 取 引 の 包 括 的 な 国 境 やセクターを 超 えた 枠 組 みの 提 供 以 外 の 電 子 署 名 についてを 対 象 としている 本 規 制 はこの 指 令 の 利 点 を 強 化 し 拡 大 す るものである
eidas 規 則 背 景 ( 序 文 より 抜 粋 ) (4) A Digital Agenda for Europe ( 欧 州 デジタルアジェンダ) と 題 した2010 年 8 月 26 日 の 欧 州 委 員 会 コミュニケーションでは デジタル 市 場 の 分 裂 相 互 運 用 性 の 欠 如 そしてサイバー 犯 罪 の 増 加 を デジタル 経 済 の 良 好 な 循 環 にとっ て 大 きな 障 害 となるものとして 認 定 した 委 員 会 はさらに 2010 年 の Dismantling the obstacles to EU citizens rights (EU 市 民 に 対 する 障 害 の 排 除 ) と 題 したEU 市 民 活 動 レポートにおいて 連 合 市 民 がデジタル 単 一 市 場 や 国 境 を 越 えたデジタルサービスの 恩 恵 を 受 けることの 妨 げとなっている 問 題 を 解 決 することの 必 要 性 について 強 調 し た
eidas 規 則 背 景 ( 序 文 より 抜 粋 ) (5)2011 年 2 月 4 日 及 び2011 年 10 月 23 日 の 結 論 文 書 では 欧 州 理 事 会 は 委 員 会 に 対 し 安 全 な 電 子 識 別 及 び 認 証 の 促 進 に 特 別 な 注 意 を 払 いながら 国 境 を 越 えたオンラインサービスの 利 用 を 促 進 することにより 2015 年 までにデ ジタル 単 一 市 場 を 創 設 し デジタル 経 済 の 鍵 となる 分 野 を 飛 躍 的 に 進 歩 させ 完 全 一 体 型 のデジタル 単 一 市 場 を 促 進 するよう 要 請 した (6)2011 年 5 月 27 日 の 結 論 文 書 では 理 事 会 は 委 員 会 に 対 し 電 子 識 別 電 子 文 書 電 子 署 名 電 子 配 達 サービスなどの 国 境 を 越 えた 成 功 の 鍵 となるも のの 相 互 認 証 と 欧 州 連 合 における 相 互 運 用 性 のある 電 子 政 府 サービスに 対 する 適 切 な 条 件 を 策 定 することにより デジタル 単 一 市 場 に 寄 与 するよう 要 請 した
電 子 署 名 指 令 目 的 : 電 子 署 名 の 利 用 の 促 進 及 び 法 的 効 力 の 承 認 電 子 署 名 及 び 認 証 事 業 者 の 法 的 枠 組 みの 整 備 による 域 内 市 場 の 活 性 化 < 指 令 > 指 令 でかかれている 内 容 の 実 現 の 為 に 加 盟 国 に 指 令 に 沿 った 国 内 法 の 整 備 を 求 めるもの つまり 上 記 目 的 を 実 現 する 為 に 加 盟 国 が 独 自 に 国 内 法 を 制 定 する
解 決 すべき 問 題 監 督 システム Supervision vs Notification 監 査 規 格? ETSI TS 101 456? トラストリスト フォーマット xml? 適 格 電 子 署 名 自 国 の 電 子 署 名 のみ 受 け 入 れ 法 人 への 適 格 証 明 書 の 発 行
電 子 署 名 指 令 とeIDAS 規 則 電 子 署 名 指 令 目 的 電 子 署 名 の 利 用 促 進 と, 法 的 承 認 への 寄 与 特 定 認 証 サービスに 関 する 法 的 枠 組 みを 構 築 することで,EU 域 内 市 場 の 適 切 な 機 能 を 確 保 eidas 規 則 eidとトラストサービスの 適 切 なセキュリティレベ ルの 実 現 による 域 内 市 場 の 適 切 な 機 能 を 保 証 eidの 相 互 認 証 の 為 の 条 件 を 定 め また トラストサービスの 法 的 枠 組 みを 確 立 する 範 囲 電 子 署 名 eid 及 びTS 効 力 指 令 に 基 づいて 加 盟 国 が 法 整 備 加 盟 国 に 直 接 適 応
eidas タイムフレーム Legislative process Commission Proposal 4.6.2012 Parliament + Council Adoption 23.7. 2014 Standardisation mandate m460 Published 28.8. 2014 Standards S econdary legislation Commission Decisions 2011 2012 2013 2014 2015 2016 2017
電 子 署 名 とeID( 電 子 認 証 ) 電 子 署 名 eid( 認 証 ) 用 途 法 的 拘 束 力 を 伴 う 取 引 ( 契 約 書 へ 署 名 等 ID 認 証,オンラインでの 本 人 確 認 比 較 対 象 手 書 き 署 名 と 同 等 旅 券 や 免 許 証 等 による 本 人 確 認 と 同 等 検 証 者 誰 でも 検 証 可 能 限 定 された 第 三 者 が 検 証 可 能 検 証 可 能 期 間 暗 号 強 度 によるが, 後 からでも, 何 度 でも 検 証 可 能 認 証 時 一 度 のみ 電 子 署 名 と 認 証 は 技 術 的 に 大 きな 差 異 はないが 制 度 として 大 きく 異 なり 紙 の 世 界 で 署 名 が 必 要 と されている 部 分 で 認 証 が 署 名 に 代 ることはない
eidasの 構 成 Section 1 General provisions Section 2 Supervisions Section 3 Trust List I. General Provisions Qualified trust services Requirement for qualified trust service provider II. eid Section 4 Qualified validation service eidas 規 則 III. Trust Services Electronic signatures Qualified preservation service IV Electronic Docm,ents V Delegation of power and implementing provisions Section 5 Electronic seals Section 6 Electronic time stamps Qualified validation/preservatio n service VI Final Provisions Section 7 Electronic registered delivery services Section 8 Web authentication services
eid eid=オンラインで 本 人 確 認 を 実 現 できるID(e.g ドイツ 新 国 民 IDカード(Der Neue Personalausweis)のeID 機 能 ) 電 子 認 証 の 保 証 レベル Low Substantial High
eidの 相 互 承 認 の 条 件 1. 加 盟 国 からEU 委 員 会 へ 事 前 の 通 知 によってEU 委 員 会 が 公 開 するeIDスキームのリストへの 掲 載 2. 電 子 認 証 を 提 供 するeIDの 保 証 レベルがSubstantial( 十 分 )あるいはHigh( 高 い)である 3. 公 共 サービスの 要 求 する 保 証 レベルがSubstantialある いはHighである 4. eidの 保 証 レベルが 公 共 サービスの 要 求 する 保 証 レベ ルと 同 等 あるいは より 高 いレベルである
II. eidの 相 互 承 認 の 条 件 ( 例 ) スキーム eid 公 共 サービ スが 求 める 認 証 の 保 証 レベル LoA High High スキーム eid 公 共 サービ スが 求 める 認 証 の 保 証 レベル LoA Substantial Substantial
電 子 署 名 < 法 的 有 効 性 > 適 格 証 明 書 を 使 わない 電 子 署 名 の 法 的 有 効 性 は 否 定 されない. 適 格 証 明 書 を 使 った 電 子 署 名 は 手 書 き 署 名 と 同 等 とみなす.これはEU 域 内 であれば, 他 国 の 署 名 であっても 同 等 である < 公 的 セクターにおける 扱 い> 公 的 セクターで 電 子 署 名 を 要 求 する 場 合 適 格 電 子 署 名 を 受 け 入 れなければ ならず また 適 格 電 子 署 名 より 高 いセキュリティレベルを 要 求 してはならない
電 子 シール 定 義 : 電 子 シール とは 電 子 データに 添 付 又 は 論 理 的 に 関 係 している 電 子 形 式 の データであり 元 の 電 子 データの 起 源 と 完 全 性 を 保 証 するものをいう 法 的 有 効 性 : 適 格 電 子 シールは 電 子 シールがリンクするデータの 完 全 性 及 びデータの 起 源 の 正 確 性 を 推 定 することが 出 来 るものとする 電 子 シール 電 子 署 名 定 義 電 子 シール とは, 電 子 データに 添 付 又 は 論 理 的 に 関 係 している 電 子 形 式 の データであり, 元 の 電 子 データの 起 源 と 完 全 性 を 保 証 するものをいう 電 子 署 名 と, 電 子 データに 添 付 されて いる 又 は 論 理 的 に 関 係 している 電 子 形 式 のデータであり, 署 名 者 が 署 名 として 使 う ものをいう * 署 名 者 = 自 然 人 ( 定 義 9 参 照 ) 証 明 書 の 定 義 電 子 シール 証 明 書 とは, 電 子 シール 検 証 データと 法 人 を 関 連 付 け,その 法 人 名 称 を 確 認 する 電 子 証 明 書 をいう 電 子 署 名 証 明 書 とは, 電 子 署 名 検 証 データと 自 然 人 を 関 連 付 け, 少 なくともそ の 人 物 氏 名, 又 は 仮 名 を 確 認 する
法 的 有 効 性 について eidas 規 則 では 電 子 署 名 の 法 的 有 効 性 について 手 書 き 署 名 と 同 等 と 規 定 し ている 手 書 き 署 名 の 法 的 有 効 性 や 実 際 ( 電 子 でない)のシールの 法 的 有 効 性 は 加 盟 国 の 国 内 法 に 依 存 する 序 文 (49): 本 規 則 は 電 子 署 名 が 電 子 形 式 であること あるいは 適 格 電 子 署 名 の 要 求 を 満 たしていないことが 理 由 で 法 的 効 果 を 拒 否 されるべきではないという 原 則 を 確 立 する ただし 適 格 電 子 署 名 が 自 筆 署 名 と 同 等 の 法 的 効 力 をもたせるべきであるという 本 規 則 で 規 定 される 要 求 事 項 を 除 き 電 子 署 名 の 法 的 効 果 を 定 義 するのは 国 内 法 である 序 文 (59): 電 子 シールは 電 子 文 書 が 法 人 により 発 行 されたことの 証 拠 となり 文 書 の 発 行 元 と 完 全 性 を 保 証 するものである
電 子 シールの 使 用 例 1. 請 求 書 2. 電 子 契 約 3. 認 証 局 (CRL,subCA) 4. ソフトウェアコード
タイムスタンプ < 定 義 > 電 子 タイムスタンプ とは 電 子 形 式 のデータで 他 の 電 子 データを 特 定 の 時 間 と 結 びつける 事 により 元 のデータがその 時 間 に 存 在 していた 証 拠 を 確 立 す るものをいう; < 法 的 有 効 性 > タイムスタンプはその 法 的 有 効 性 を 否 定 されない. 適 格 タイムスタンプは その 時 刻 の 正 確 性 と,データの 完 全 性 に 関 する 推 定 を 享 有 する. ある 加 盟 国 で 発 行 された 適 格 電 子 タイムスタンプは, 他 の 全 て 加 盟 国 で 適 格 電 子 タイムスタンプとして 認 められるものとする.
電 子 登 録 配 送 サービス(e Registered Delivery) < 定 義 > 電 子 登 録 配 布 サービス とは 電 子 手 段 により 第 三 者 間 でデータを 送 信 す ることを 可 能 にし データの 送 受 信 の 証 拠 を 含 む 送 信 されたデータの 取 扱 に 関 する 証 拠 を 提 供 し 送 信 されたデータの 損 失 破 損 や 窃 盗 損 害 又 は 不 正 な 変 更 のリスクから 守 るものをいう; < 法 的 有 効 性 > 適 格 電 子 登 録 配 布 サービスを 利 用 して 送 受 信 されたデータは 識 別 された 送 信 者 により 送 信 識 別 されたデータの 宛 先 で 受 信 されるデータの 完 全 性 と 適 格 電 子 登 録 配 布 サービスで 示 されたデータの 送 受 信 の 日 時 の 正 確 性 を 法 的 に 推 定 することが 出 来 るものとする
e.g. De-Mail 送 信 者 / 受 信 者 の 識 別 esealの 利 用? ドイツでは2011 年 5 月 にDe-Mail 法 ( De-Mail Act)が 発 効 され 政 府 機 関 と 市 民 や 民 間 企 業 間 のセキュアな 電 子 通 信 の 要 求 事 項 が 定 められた 送 信 者 / 受 信 者 の 識 別 eidorqcの 利 用? 適 格 タイムスタン プで 時 刻 の 正 確 性 を 保 証 電 子 署 名 /シールによっ てデータの 完 全 性 を 保 証 現 在 ドイツ 連 邦 情 セキュリティ 庁 ( BSI)よりDe-Mailサービス 事 業 者 と しての 認 定 を 受 けサービスを 提 供 し ている 事 業 者 は 1&1 De-Mail GmbH, Mentana Claimsoft GmbH, T-systems International GmbH 及 び Telecom Deutschland GmbHの4 社 である このようにオンラインで 実 際 の 世 界 ( 紙 での 世 界 )と 同 等 な 仕 組 み を 構 築 し 市 民 が 安 心 して 利 用 できるようにするためには タイムスタンプや 電 子 シールの 法 的 枠 組 みを 整 備 する 必 要 があ る
検 証 サービス < 定 義 > 検 証 と, 電 子 署 名 又 シールが 有 効 であるかを 照 合 及 び 確 認 するプロセス をいう. 検 証 データ と, 電 子 署 名 又 電 子 シール 検 証 に 使 用 されるデータを いう 適 格 検 証 サービスプロバイダの 先 進 電 子 署 名 又 は 先 進 電 子 シー ルを 利 用 した 自 動 的 な 検 証 プロセスの 結 果 の 受 領 を 可 能 にするサ ービス
適 格 保 存 サービス < 定 義 > 適 格 電 子 署 名 の 適 格 保 存 サービス は 技 術 的 有 効 期 間 を 超 える 適 格 電 子 署 名 の 信 頼 性 延 長 を 可 能 にする 手 順 及 び 技 術 を 利 用 するQTSP みが 提 供 することができる.
ウェブ 認 証 サービス < 定 義 > ウェブ 認 証 証 明 書 とは,ウェブサイトを 認 証 し,ウェブサイトと 証 明 書 が 発 行 された 自 然 人 又 は 法 人 を 結 びつける 証 明 書 をいう ウェブサイトをサポートする 偽 りでない 合 法 的 な 実 体 があることを,ウェブサ イト 訪 問 者 が 確 信 できる 手 段 を 提 供 する.このようなサービスは, 認 証 を 受 けたウェブサイトに 対 してユーザが 信 頼 するようになることで,オンラインで 取 引 を 行 ううえで 信 頼 や 信 用 構 築 に 寄 与 する. 所 謂 SSLサーバ 証 明 書 を 発 行 するサービス
監 督 機 関 と 監 査 スキーム 監 督 加 盟 国 は その 国 内 の 監 督 機 関 を 指 定 しなければならない 他 の 加 盟 国 の 監 督 機 関 を 指 定 することも 可 能 ( 要 Agreement) 監 督 機 関 には 必 要 な 権 力 と 適 切 なリソースが 与 えられる 監 督 機 関 の 役 割 は; TSP 及 びQTSPの 監 督 詳 細 はImplementing Actで 規 定 する QTSPの 監 督 適 合 性 調 査 機 関 から 少 なくとも2 年 毎 に 自 費 で 監 査 をうけなければならない 監 督 機 関 はいつでも 自 ら 或 いは 適 合 性 調 査 機 関 を 利 用 して QTSPを 監 査 できる 監 督 機 関 がQTSPに 不 適 合 を 改 善 するよう 要 求 し そのQTSPが 改 善 を 実 行 しない 場 合 は 監 督 機 関 が 指 定 する 期 間 内 で 不 適 合 の 具 体 的 な 程 度 期 間 及 び 影 響 を 考 慮 し 適 格 トラスト サービスプロバイダ 及 び 適 格 トラストサービスプロバイダが 提 供 するサービスから 適 格 の 地 位 を 取 り 消 すことができる
QTSPへの 要 求 事 項 適 格 証 明 書 を 発 行 する 際 適 格 トラストサービスプロバイダは 適 切 な 手 段 と 国 家 法 に 基 づき 適 格 証 明 書 発 行 の 対 象 となる 自 然 人 または 法 人 の 身 元 及 び 該 当 する 場 合 はその 属 性 を 証 明 するものとする 登 録 プロセス 物 理 的 確 認 eidを 使 用 する 場 合 保 証 レベルsubstantial or high 適 格 電 子 署 名 適 格 電 子 シール 国 家 レベルで 認 められたその 他 認 証 方 法 ( 適 合 性 調 査 機 関 による 確 認 が 必 要 失 効 適 時 但 しいかなる 場 合 も24 時 間 以 内 セキュリティ 対 策 と 専 門 性 必 要 な 専 門 知 識 信 頼 性 経 験 資 格 を 有 し セキュリティ 及 び 個 人 情 報 保 護 法 に 関 する 適 切 なトレーニングを 受 けたスタッフ 又 は 委 託 先 を 雇 用 し 欧 州 または 国 際 的 な 基 準 に 沿 った 運 用 及 び 管 理 手 順 を 適 用 すること 詳 細 はImplementing Actで 規 定
監 督 機 関 と 監 査 スキーム 出 典 :EN 319 403 TSP Conformity Assessment
トラストリスト 加 盟 各 国 は, 電 子 署 名 あるいは 電 子 シールされたトラストリスト(QTSP リス ト)を 自 動 処 理 可 能 な 形 で 公 開 し, 維 持 しなければならない 議 会 は, 電 子 署 名 あるいは 電 子 シールされた 加 盟 国 トラストリストリストを 自 動 処 理 可 能 な 形 で 公 開 し, 維 持 しなければならない
EU トラストマーク Ranking B EUSAFE 432 votes A ELSE 227 votes C - Noblesse Oblige 154 votes
国 際 的 観 点 と 罰 則 International aspects EU 域 外 の 国 のトラストサービスについては その 国 あるいは 国 際 機 関 との 合 意 の 下 でのみ EU 域 内 のトラストサービスと 同 等 とみなす 罰 則 加 盟 国 は 本 規 則 の 違 反 者 に 適 用 される 罰 則 についての 規 則 (rule)を 制 定 する こと 課 せられる 罰 則 は 効 果 的 で 相 応 なものであり 抑 止 効 果 のあるも のであること
発 効 日 と 猶 予 期 間 本 規 則 は 以 下 を 除 き 2016 年 7 月 1 日 から 適 用 される: 第 8(3) 9(5) 12(2)から(9) 17(8) 19(4) 20(4) 21(4) 22(5) 23(3) 24(5) 27(4)(5) 28(6) 29(2) 30(3)(4) 31(3) 32(3) 33(2) 34(2) 37(4)(5), 38(6) 42(2) 44(2) 45(2) 47 及 び48 条 は 2014 年 9 月 17 日 より 適 用 される 第 7 条 8 条 (1) (2) 9 条 10 条 11 条 12 条 (1)は 第 8 条 (3)と12 条 (8)の 実 施 法 令 の 適 用 の 日 より 適 用 される 第 6 条 は 第 8 条 (3)と12 条 (8)の 実 施 法 令 の 適 用 の 日 より3 年 後 に 適 用 される トラストサービス 関 連 2016 年 7 月 1 日 から eidの 相 互 承 認 実 施 法 の3 年 後 その 他 すでに 適 用 されている
Implementing ActとDelegated Act 規 則 ではその 規 則 の 下 位 法 である 実 施 法 と 委 任 法 により 規 則 の 詳 細 を 定 め ることができる 実 施 法 とは 規 則 で 規 定 されている 内 容 に 対 して 加 盟 国 全 体 で 統 一 された 実 施 を 実 現 するための 下 位 法 であり 例 えば 規 則 で 定 められている 要 求 事 項 の 技 術 的 適 合 性 に 関 して 現 存 する 技 術 規 格 への 参 照 が 行 われる 委 任 法 とは 規 則 に 対 して 重 要 でない 部 分 について 修 正 する 為 の 下 位 法 で ある
Standardization mandate m460
Standardization mandate m460
ETSI TS ETSI EN Technical Specification (TS) European Norm (EN) General Policy Requirements 319 401 ETSI TSから TS 119 403 Requirements for Conformity Assessments 319 403 (ISO/IEC 17065) ETSI ENへの 移 行 TS 101 456 General CA Requirements 319 411-1 Qualified Certs 319 411-2 TS 102 042 Pub. Key Certs 319 411-3 TS 102 023 Time Stamps 319 421
eidasで 実 現 されること 出 典 :http://ec.europa.eu/digi tal-agenda/en/news/eidas-infographic
大 規 模 実 証 実 験 LSPs (Large Scale Pilot) PEPPOL ( 30.8M) 電 子 調 達 の 相 互 運 用 性 STORK ( 26M) eidの 相 互 運 用 性 STORK 2.0 ( 18.7M) eidの 相 互 運 用 性 epsos ( 23M) 電 子 処 方 箋 eidas token
欧 州 の 取 り 組 み eidas 法 的 枠 組 み ない 方 針 ですがよろしいですか? ETSI EN 技 術 的 枠 組 み LSPs 実 証 実 験
eidasの 影 響 考 察 市 民 はeIDの 国 境 を 越 えたセキュアな 認 証 によって 外 国 の 大 学 への 出 願 から 電 子 健 康 情 報 へアクセスといっ た 市 民 の 権 利 を 最 大 限 利 用 することができる 外 国 へ 移 住 する 際 の 手 続 きをオンラインで 企 業 外 国 へ 案 件 に 対 して オンラインで 入 札 可 能 に スピードとコスト 面 で 多 大 なメリット ユーザ 名 +パスワードからeID 認 証 へ セキュリティ 向 上 政 府 系 サービスもより 市 民 にとって 使 いやすいものに
eidasの 影 響 考 察 2 欧 州 のサービス 事 業 者 は 法 適 合 のトラストサービスを 提 供 できるようになり 国 際 競 争 力 が 上 がる 欧 州 では 法 適 合 のトラストサービスが 要 求 され 欧 州 以 外 のトラストサービスが 選 択 されにくくなる 欧 州 技 術 仕 様 のデファクト 化?
ご 清 聴 ありがとうございました ご 質 問 等 御 座 いましたら コスモス コーポレイション ITセキュリティ 課 濱 口 総 志 s.hamaguchi@cosmos-corp.com までご 連 絡 ください *eidasの 全 訳 を3 月 中 に 公 開 予 定 です