令和4年(2022年)7月29日
https://www.digital.go.jp/policies/data_strategy/
目 次
要約 ………………………………………. 1
1.背景 …………………………………….. 5
2.議論の範囲 ……………………………….. 7
2.1 トラストサービスが担保する範囲 7
2.2 トラストサービスの定義 8
2.3 トラストに関する関係者の整理 9
2.4 トラストの集中検討分野 10
3.トラスト確保のニーズ及び課題の洗い出し ……… 11
3.1 トラスト確保の実態調査 11
3.2 行政手続等のデジタル化の実態分析 13
3.3 海外の先行事例研究 14
3.4 有識者ヒアリング 16
4.トラストの確保のための検討 ………………… 24
4.1 Identification のアシュアランスレベルの整理 24
4.2「トラストサービス層」の信頼性を評価する基準及び適合性評価のあり方の検討 27
4.3 行政でのトラストサービス活用推進 30
4.4 民間でのトラストサービス活用推進 33
4.5 トラストポリシーの基本方針 36
5.今後の取組 ………………………………. 38
5.1 行政のデジタル完結の推進 38
5.2 多様な主体を巻き込んだ検討の場の創設 38
5.3 e シール等に関する制度整備 39
5.4 国際的に調和の取れたルール形成の推進 39
5.5 推進体制 40
6.まとめ ………………………………….. 41
付録
A. 有識者からの発表資料(資料1―資料18)
B. トラストサービスに関するアンケート実態調査の報告
C. アシュアランスレベルにおける諸外国の先行事例
要約
「トラストを確保したDX 推進サブワーキンググループ」(以下「本サブワーキンググループ」という。)は、「データ戦略推進ワーキンググループの開催について」(令和3年(2021 年)9月6日デジタル社会推進会議議長決定)第4項の規定に基づき、トラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するため、令和3年(2021 年)10 月25 日、データ戦略推進ワーキンググループの下に設置された。本サブワーキンググループでは、実態調査や有識者へのヒアリングを通じたトラストニーズ及び導入課題の洗い出し、実態調査を踏まえたトラスト確保のための検討、今後のトラスト実装ユースケース及び推進体制の3つの柱に分け、計11 回にかけて行った。「トラストを確保したDX推進サブワーキンググループ報告書」(以下「本報告書」という。)は、本サブワーキンググループの検討結果、構成員及びオブザーバーからの主要な意見、今後の方向性をまとめたものである。
I.トラストニーズ及び導入課題の洗い出し
議論の範囲
DFFT(Data Free Flow with Trust)で必要とされる「トラスト」概念については、今後さらなる明確化が必要である。「トラストサービス」が担保する範囲については、紙の持つ真正性・非改ざん性を対象としたトラストをデジタルでも担保することから取組を始める。
トラスト確保の集中検討分野として、まずは、「行政機関」が関わる手続・取引において、「行政機関」から主体的にトラストサービスの活用を推進していく。行政からのトラストサービス活用推進にあたっては、特に、日本企業の大部分の割合を占める中小企業のトラストサービス活用が進むよう工夫することが重要である。また、民間における取引・手続もDX(DigitalTransformation)における重要な領域であることから、民間における電子的な取引・手続についても同時に検討する必要がある。
トラスト確保の実態調査
トラストサービスのニーズがある分野について調査をした結果、主に「行政」、「金融・保険」、「情報通信」、「不動産」、「医療・福祉」、「運輸・郵便」の業種/分野のユースケースでのトラストサービスに対するニーズが確認された。
トラストサービスの導入課題としては、トラストサービスの認知度不足や企業間でのトラストサービス導入の足並みを揃えることの難しさの他に、事業者/サービス選定の難しさ「どのトラストサービス事業者を使えば適切かわからない」等)も挙げられた。
海外の先行事例として、エストニアの電子処方箋における、情報のやり取りや本人認証でのeID やトラストサービスの活用について考察し、日本での適用における課題について検討を行った。「行政手続等の棚卸調査」(内閣官房(IT 総合戦略室))をベースに、行政が関わる手続について、デジタル化の実態分析を行った。各府省庁の手続において、民間から行政への申請等ではデジタル化が進展しているが、それ以外の、主に行政から民間への処分通知/交付等では、その進展が限定的であること等が示された。
有識者ヒアリング
トラストサービスに関わる現場でのニーズ、活用事例、社内外への導入・浸透課題等について、「会計監査」、「税務関連」、「金融」、「トラストサービス提供事業者」の有識者からインプットを受けた。トラストサービスにおける政策及び法的課題として、「e シールの検討状況」、「電子契約の証拠力」について有識者よりインプットを受けるとともに、今後の改善や検討の方向性について議論を行った。
II.実態調査を踏まえたトラストサービスの検討
アシュアランスレベルの整理:実態調査の結果から、トラストサービスの普及のためには、リスクと利便性を考慮した適切なサービスの選択やデジタルでの手続においてアナログとは異なる問題に対処する必要があることから、Identification のアシュアランスレベルの整理、トラストサービスの信頼性を評価する基準及び適合性評価のあり方の検討を行った。
行政手続へのトラストサービス活用推進:デジタル臨時行政調査会にて「デジタル原則」が整理され、「デジタル原則」の「デジタル完結」の推進において、「公的な証明書・講習・閲覧に対面書面を求める規制」等の見直しが検討されている。規制見直しにあたっては、トラストサービスの活用が「デジタル完結」の実現に有効なことから、行政サービスにおいてトラストサービスを積極的に活用していくべく検討を進める。
民間でのトラストサービス活用推進:民間でのオンライン契約・手続等について、多様な意見を取り入れるため、マルチステークホルダーモデルで議論すべきである。マルチステークホルダーモデルの運営においては、特定の利害関係者に議論が引きずられることのない公平な議論の仕組み、ステークホルダーへの議論の参加を促す仕組み、効率的な運営の確保が必要である。また、e シールについては、民間サービスへの普及を促進するため、制度化についても検討を深めるべきである。
トラストポリシーの基本方針の整理:本サブワーキンググループでは、行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、考え方の指針とするため、構造改革のための「デジタル原則」に沿う形でのトラストポリシーの基本方針(国際通用性、技術中立性等)を整理した。
III.トラスト実装に向けた今後の取組
行政のデジタル完結の推進:公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和7年(2025 年)6月までを目途にインプットを行う。併せて、茨城県からの民間認証局の発行する職責電子証明書による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境の整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が関与するトラストサービスのあり方についても検討が必要である。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進める。
多様な主体を巻き込んだ検討の場の創設:まずは、民間同士の取引・手続に関係するトピックスとして、多様な関係者が参加しつつ、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」等を検討すべきである。トラスト基盤のインフラ部分を構成する「トラストサービス層」について、今後、国際的に確立している技術標準については、国内においても参照すべき技術基準を明確にし、国際的な調和を図ることが重要である。長期的には、「デジタル完結」における要件が明確になる中で、新たなトラストサービスにおけるニーズを探求しつつ、トラストサービスの利用環境整備に向けた検討を行う必要がある。
e シール等に関する制度整備:今後、オンライン取引・手続において、発行元に関する証明のニーズが高まることが想定されるため、総務省が令和3年(2021年)6月に公表した「e シールに係る指針」に基づき、e シールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向け、総務省の取組を支援すべきである。
国際的に調和の取れたルール形成の推進:Identification のアシュアランスレベルについては、デジタル庁技術検討会にインプットし、行政手続の本人確認の議論に活用すべきである。民間での本人確認レベルに関する整備は、マルチステークホルダーモデルの中で、DADC(Digital Architecture Design Center)の検討結果も踏まえて検討を継続すべきである。さらに、国際通用性を持ったDigital Identity Wallet についても継続的に検討を行うべきである。加えて、国際的に相互運用性が求められるトラストサービスの市場のニーズの深掘りを行うとともに、諸外国における「トラストサービスの信頼性を評価する基準及び適合性」について、引き続き今後の検討課題とする。
これらの検討課題を進めるにあたり、マルチステークホルダーモデルでの議論は、国際規格を参照し、作成した基準を海外へも発信できるよう、専門家や専門機関とも連携しつつ進めるべきである。また、令和5年(2023 年)のG7 での打ち出しを目指して、DFFT の推進に向けたトラストの概念の明確化を行うとともに、トラストポリシーの検討を続ける。
.背景
我が国は、狩猟社会(Society 1.0)、農耕社会(Society 2.0)、工業社会(Society3.0)、情報社会(Society 4.0)に続く新たな社会として、「サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)」としてSociety 5.0 を目指している1。また、デジタル化によるプライバシーやセキュリティの課題が顕在化する中、我が国は、令和元年(2019 年)に、国境を越えた自由なデータ流通を促進するため、「信頼性のある自由なデータ流通(DFFT)」の概念を提唱した。
上記のようなビジョンを掲げていたものの、我が国では、新型コロナウイルス感染症対応において、行政におけるデータの生成・流通・活用におけるデジタル基盤の整備が不十分であることが明らかになった。そこで、令和3年(2021 年)9月、「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会」を目指してデジタル庁が設立された2。デジタル庁の目指す社会の実現にあたり、デジタルを前提としていない規制・制度の見直しなどの構造改革を行うことを目的として、令和3年(2021 年)11 月、内閣総理大臣を会長とする「デジタル臨時行政調査会」が創設され、「デジタル原則」に基づいて、政府の規制・行政の一体的なデジタル化が進められることになった3。
トラスト枠組みの整備については、令和3年(2021 年)4月、デジタル・ガバメント閣僚会議におけるデータ戦略タスクフォースの下に「トラストに関するワーキングチーム」が設置され、議論が行われてきた。令和3年(2021 年)6月閣議決定された「包括的データ戦略」4においては、Society 5.0 の実現やDFFT の推進を目的として、データ利活用の基盤となるトラスト基盤の構築に向けた主要な論点の整理が行われ、トラストサービスに対するニーズを分析した上で、検討の順を明確にするべきとされた。このような状況を背景に、デジタル庁においては、「包括的データ戦略」の実装に向けて、トラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するため、データ戦略推進ワーキンググループの下に、「トラストを確保したDX推進サブワーキンググループ」が設置された。
トラスト基盤構築における個別の取組に目を向けると、令和3年(2021 年)4月には、「時刻認証業務の認定に関する規程」(令和3年総務省告示第146 号)が制定され、タイムスタンプの認定制度が創設された。諸外国との関係では、令和4年(2022年)5月12 日には、日EU 定期首脳協議において、日EU でのデジタルパートナーシ1 内閣府,Society 5.0
2 デジタル庁,「デジタル社会の実現に向けた重点計画(本文)」
第1 はじめに ~重点計画の目的~(P1)
(令和3年(2021 年)12 月24 日)
3 デジタル庁,「デジタル社会の実現に向けた重点計画(本文)」第5の1.デジタル社会の実現に向けた構造改革(P21-23)
4 内閣官房IT 総合戦略室,「包括的データ戦略」(令和3年(2021 年)6月18 日)6
ップが立ち上げられ、トラストサービスの相互運用性に向けたパイロットプロジェクトの取組の継続、デジタル・新型コロナ・証明(Digital COVID Certificates)の同等性決定に向けた取組、Digital Identity Wallet に関する継続的な情報交換がとりまとめられるなど、トラストに関わる日本と各国との相互連携は重要性を増している5。
本サブワーキンググループでは、「包括的データ戦略」の実装に向けて、実態調査や有識者ヒアリングを通じたトラストサービスのニーズ及び導入課題の洗い出し、実態調査を踏まえたトラストの確保のための検討、今後のトラスト実装のユースケース及び推進体制の整理を行った。本報告書は、本サブワーキンググループでの議論の結果及び今後の検討の方向性をまとめたものである。
5 デジタル庁, 「日EU デジタルパートナーシップ」(令和4年(2022 年)5月12 日)
2.議論の範囲
2.1 トラストサービスが担保する範囲
「トラスト」は、Data Free Flow with Trust(DFFT)の“Trust”部分を構成しており、データがもたらす価値を最大限引き出すために不可欠な要素となっている。「トラスト」は今日様々な場面で使われており、文脈ごとに意味するものが異なるため一義的に定義することは難しいが、本サブワーキンググループでトラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するにあたり、どのような「トラスト」を確保するべきか明確化を図るため、構成員より、トラストの全体像の整理(資料1)、データトラストに関わる主題とスコープ、課題の整理が試みられた(資料2)。特に、トラストの全体像の整理(資料1)においては、トラスト確保の仕組みとして、利用者のニーズにあったトラストサービスを提供する「アプリケーション層」と、真正性及び非改ざん性を担保するインフラを提供する「トラストサービス層」に分けて考えることができるとの指摘がなされたことも踏まえ、ニーズや課題の洗い出し、トラストサービスの制度的課題、Identification のアシュアランスレベル、トラストサービスの信頼性を評価する基準及び適合性評価のあり方について丁寧な議論を試みた。
議論を通じて、Society5.0 を目指す中で、「トラスト」は様々な分野、対象、目的に応じて異なる意味合いを持つ概念であることが示された。構成員からは、「トラスト」の確保には、従来紙が実現している真正性(作成者、発信元又は存在時刻が記載どおりであること)や非改ざん性のオンラインでの確保のみならず、データの真実性(データの内容が正しいこと、虚偽ではないこと等を含む。)の確保、情報の発信者(ソシキ、ヒト、モノ)の確からしさ、長期にわたる経時的トラスト(longitudinaltrust)の確保も含まれるべきであるという意見が上がった(図1)。一方、現在利用されている又は想定されているトラストサービスは手続面を保証するものであり、データの真実性はベース・レジストリが担うべきあることも指摘された。そこで、DFFT の「トラスト」の明確化にはさらなる議論を要するため、本報告書では一義的な定義を行わないことにした。そして、将来的には「トラスト」の範囲を拡大する余地を残しつつ、まずは、フィジカル空間で紙が持つ真正性・非改ざん性をサイバー空間でも担保するトラストサービスのあり方の議論から始めることにした。また、包括的なトラスト確保の枠組み構築にあたっては、ユースケースに基づき、トラスト確保に必要な要素を分解した上で、「トラストサービス層」の技術標準の基準策定を検討していくべきとの指摘があった。
2.2 トラストサービスの定義
「トラストサービス」の定義については、これまで国内外において、報告書や規則において定義付けがされている。例えば、「プラットフォームサービスに関する研究会トラストサービス検討ワーキンググループ最終とりまとめ」においては、トラストサービスを「インターネット上における人・組織・データ等の正当性を確認し、改ざんや送信元のなりすまし等を防止する仕組み」と説明している6。欧州eIDAS 規則においては、以下のとおり、具体的なサービスを想定した上でトラストサービスを定義している7。
eIDAS Article3 Definition
(16) ‘trust service’
“an electronic service normally provided for remuneration which
consists of:
(a) the creation, verification, and validation of electronic signatures, electronic seals or electronic time stamps, electronic registered delivery services and certificates related to those services, or
(b) the creation, verification, and validation of certificates for website authentication; or
6 総務省,「プラットフォームサービスに関する研究会 トラストサービス検討ワーキンググループ 最終取りまとめ」P2 (令和2年(2020 年)2月7日)
7 eIDAS2.0 においては、proposal 段階ではあるが、’ electronic attestation of attributes,’(属性の電子証明)’ the electronic archiving of electronic documents,’(電子署名の電子アーカイブ)‘the management of remote electronic signature and seal creation devices,’(リモート署名及びシール作成デバイスの管理)‘the recording of electronic data into an electronic ledger.’(電子元帳への電子データの記録)も追加されている。
(c) the preservation of electronic signatures, seals, or certificates related to those services;”
8((a)電子署名、e シール、タイムスタンプの作成、検証及び有効性確認サービスとe デリバリーサービス並びにこれらのサービスと関連する証明書
(b)Web サイト認証証明書の作成、検証及び有効性確認、又は(c)電子署名、e シール及びこれらのサービスに関連する証明書の保存、から構成される、通常は対価を伴う電子サービス)
9多国間の商取引ルールの調和について議論する国際連合の組織である国際連合国際商取引法委員会(UNCITRAL)においては、「トラストサービス」について、「データメッセージの一定の品質の保証を提供する電子サービス」として幅広いサービスが含まれる余地を残しつつ、以下のように定義している。
“Trust service” means an electronic service that provides assurance of certain qualities of a data message and includes the methods for creating and managing electronic signatures, electronic seals, electronic time stamps, website authentication, electronic archiving, and electronic registered delivery services;10
「トラストサービス」とは、データメッセージの一定の品質の保証を提供する電子サービスを意味し、電子署名、e シール、タイムスタンプ、Web サイト認証、電子アーカイブ及びe デリバリーサービスを作成並びに管理する方法を含むものである11。
また、ISO/IEC 27099 Information Technology — Public critical infrastructure —Practices and policy framework12では、「トラストサービス」について、“electronic service which enhances trust and confidence in electronic transactions”(電子取引に対する信頼と確信を高める電子サービス13)と定義している。
2.3 トラストに関する関係者の整理
トラストに関わる関係者を把握し、政策立案にあたって、どの部分のトラストを確保する議論をしているのか、議論の可視化に資するために、トラストに関わる主要な利用者同士の関係を整理した(図2)。
図2では、全体像として、主要なステークホルダーを「行政機関」、「法人」及び「個人」とし、それぞれのステークホルダー間で取り得る手続・取引例について記載した。
また、昨今、法人がプラットフォームを提供し、個人同士がサービスを提供するシェアリングサービスが発生していることから、シェアリングサービスでの手続・取引についても記載した。
(図2)トラストに関する利用者の全体像
8 EUR-Lex, eIDAS Regulation
9 本サブワーキンググループ事務局仮訳
10 United Nations Commission on International Trade Law(Fifty fifth session) Draft Model Law on the Use and Cross-border Recognition of Identity Management and Trust Services
11 本サブワーキンググループ事務局仮訳
12 令和4 年6 月現在発行段階
13 本サブワーキンググループ事務局仮訳
2.4 トラストの集中検討分野
トラストに関わるユーザの全体像を整理する中で、構成員より、中小企業14の電子化においては、大企業が中小企業にElectronic data interchange(EDI)などの自社システムを使うよう求める結果、複数のEDI への対応を求められた中小企業は、どのシステムにも対応可能なように業務を紙で行わざるを得なくなることから、トラストの確保においては、中小企業がメインプレイヤーとして捉えられることが重要であるとの意見があった。また、まずは「行政機関」が積極的にトラストサービスの活用を推進していくべきという意見があった。
そこで、本サブワーキンググループでは、まずは、「行政機関」が関わる手続・取引において、真正性を確保した公文書の電子施行の推進など、「行政機関」からの主体的なトラストサービスの活用の推進を集中的な分野として検討した。また、検討にあたっては、トラストサービスの活用を行政が推進するにあたり、特に、日本企業の大部分の割合を占める中小企業に対してトラストサービスが普及されるような工夫を重視した。さらに、民間における取引・手続もDX における重要な領域であることから、民間における電子的な取引・手続についても同時に検討することとした。
14 中小企業庁, 「中小企業・小規模事業者の定義」
3.トラスト確保のニーズ及び課題の洗い出し
3.1 トラスト確保の実態調査
行政サービス、民間サービス等において、サービス利用者におけるトラスト確保のニーズ及び現状について、企業/個人アンケートによる調査、海外の先行事例の研究等を行った。
トラスト確保のニーズがある分野
実態調査の企業アンケートにおいて、相手先の本人確認や情報の改ざん防止が必要な手続等を調査した結果、主に「行政」、「金融・保険」、「情報通信」、「不動産」、「医療・福祉」、「運輸・郵便」の業種/分野でのユースケースでのトラストサービスへのニーズが確認された (図3) 。
(図3)トラスト確保のニーズが確認された主なユースケース
海外連携が必要なトラストサービスのユースケースとして、業種共通の社外取引(受発注書、契約書、請求書等)や「金融・保険」他の業種固有の手続等が挙げられた(図4)
個人手続においては、トラストサービスが有効と考えられる手続等での、デジタル/オンラインでの実施経験率は半分に満たないものがほとんどだった。特に、アンケート対象者の1割以上の人が過去1年間に実施した手続き等(国内送金、携帯/スマホの新規契約、健康診断結果の発行及び銀行/証券口座開設)においても、デジタル/オンラインでの実施経験率は半分未満であった(図5)。
(図5)個人手続におけるトラストサービスが有効と考えられるユースケース
トラストサービスの導入課題
企業からのトラストサービスへの課題意識として、トラストサービスの認知度不足や企業間でのトラストサービス導入の足並みを揃えることの難しさの他に、事業者/サービス選定の難しさ(「どのトラストサービス事業者を使えば適切かわからない」等)も挙げられた(図6)。
(図6)トラストサービスへの課題意識(企業全体)
本企業アンケート結果での「普及に向けて考えられる施策例への関心」として、「電子署名以外のトラストサービスの法的効力(証拠能力)の規定」、「認知・理解促進のための啓発活動」が挙げられた。「2.4.トラストの集中検討分野」で指摘されたように、中小企業がトラストサービスを使用できることが必要であるところ、構成員より、中小企業が利便性やコスト面を考慮できるような、導入ガイドライン、トラストサービスの低コストでの設計、監査及び運用体制が必要だとの意見が挙げられた。
3.2 行政手続等のデジタル化の実態分析
「行政手続等の棚卸調査」(内閣官房(IT 総合戦略室))をベースに、「行政が直接関わる手続」及び「行政が所掌する民間の手続」等のデジタル化の実態分析を行った。
各府省庁の手続において、民間から行政への申請等ではデジタル化が進展しているが(約7割)、それ以外の、主に行政から民間への処分通知/交付等では、その進展が限定的(約2割未満)であること等が示された(図7)。
(図7)行政から民間への処分通知/オンライン化の遅滞
主な意見
• 交付文書のデジタル化が極めて低いことは問題である。まずは行政の民間への交付文書のオンライン化比率を大幅に引き上げ、オンラインや電子的なトラストを親しみやすくしていくのが重要。行政組織内でのプロセス改革も含めて急速に進めるべき。
• 民間から行政への申請等ではデジタル化が進展しているとあるが、デジタルでの申請等の使い勝手の面については依然として改善の余地が大きいものが多々見受けられる。
3.3 海外の先行事例研究
本サブワーキンググループでは、エストニアの電子処方箋におけるデジタルID やトラストサービスの活用について考察し、日本での適用における課題について検討を行った。
エストニアの電子処方箋では、患者はEmail 等で医師に連絡し、医師が電子処方箋を発行し、電子処方箋情報をデータベースに登録する。患者は、薬局にてID カードを用いて本人確認を行う。薬剤師は、データベースにアクセスして電子処方箋のデータを参照し、薬を処方する。デジタルID は、患者の薬局での本人確認、Web 処方履歴閲覧、医師/看護師の識別・資格確認に用いられる。電子処方箋データのやり取りはX-Road を介して行われ、e シール、タイムスタンプ、e デリバリー等のトラストサービスが活用されている(図8)。
(図8)エストニアの電子処方箋サービス
構成員からの主な意見として、「電子処方箋は、法律で認められているトラストサービスや公的個人認証相当のeID による認証を用いたサービスの実装例である。医療情報という重大な個人情報を扱う点において高いアシュアランスレベルが求められる領域であり、我が国でも目指すべき方向」と提起されたように、日本での電子処方箋における本人確認やトラストサービスの活用可能性を前向きに捉える意見があった。また、「薬の受取時に本人認証を行うなど、電子処方箋の横流しによる多重の薬の処方がされないような仕組みとするべき」、「処方箋の発行依頼に際して、原則として患者本人の確認を行わないと、誰も受け取れない処方箋を発行することがあり得るのではないか」など、電子処方箋についてトラストを確保して運営する上で考慮すべき点が指摘された。
3.4 有識者ヒアリング
トラスト確保のニーズ及び課題についての有識者発表
トラストサービスに関わる現場でのニーズ、活用事例、社内外への導入・浸透課題等について、「会計監査」、「税務関連」、「金融」、「トラストサービス提供事業者」の有識者からインプットを受けた。以下は、有識者の発表及び主な意見を、有識者の発表資料等を参考に記載したものである(詳細は、付録A 有識者の発表資料(資料3~13)参照)。
会計監査業務
• トラスト基盤の整備により、デジタル証憑へのアクセスの容易化による業務効率化、不正防止効果、統制の見える化が進む。さらに、異常仕訳検知、データ分析等を活用した継続的監査が促進されるというニーズがある。
• データ標準が進んでいないこと及びトラストサービス導入コストに見合った便益を感じる支援策が無いことへの対応、暗号鍵管理の徹底、電子証明書の信頼性の確保、トラストサービス制度の理解向上等の課題がある。
(資料3「企業の業務プロセス変革及び監査業務のDX 化におけるトラストサービスのニーズ、課題について」)
税務関連業務
• 消費税のインボイス制度では、適格請求書のデータ発行が認められているが、電子インボイスが流通するにあたり、デジタルにおいて、紙の請求書に押印した法人の角印のような発出元証明制度(e シール)が必要になってくる。
• 企業の税務関連業務のDX 化において、慣習を変えたくないという企業風土、ワークフローシステム電子化への投資の負担が大きいこと、取引先の協力が得られないこと等が、電子取引普及の阻害要因となっている。
• 特に、中小企業では、システム投資の負担が大きいこと、電子帳簿保存法への対応の煩雑さ等が書面から脱却できない要因となっている。中小企業を含めた全ての事業者の電子化が進められ、デジタルトラストが確保されたデジタル社会を構築するには、法令等のさらなる規制緩和、システム導入コストや電子署名等の利用コスト等の低減を十分考慮することが必要である。
(資料4「税務関連業務のDX 化の課題について」)
金融業務
• 銀行において、個人向け口座開設やローン契約等相応の分野で電子化が進展。一方、法人の融資契約や口座開設は、提出書類の原本要求やアンチマネーロンダリング関連手続があるため、電子化の進展が遅い。また、手形取引においては小切手や紙ベースが主体。法人業務のエリアではe シールの活用余地が大きい。
• 銀行業務の対顧客手続へのトラストサービス導入においては、契約書成立の真正の立証負担(法的安定性の確保)、法人取引における正当な権限者による契約手続確保が不十分であること、サービス導入コスト(システム投資負担、ROI)、トラストサービスへの知識不足、セキュリティへの懸念、現状からのスムーズな移行負担等が課題である。
(資料5「電子証明書のニーズと課題について」)
融資電子契約サービス
• 電子署名は自然人が対象である一方、証書貸付などの融資取引の契約者は法人であることが導入課題であった。
• そこで、個人が行う電子署名について、法人の意思決定に基づいての行為と紐づけるため、サービス申込書にて、法人が個人を融資契約に係る権限者及び電子契約者として指名する建付とした。また、ID を有効化するための初期暗証番号通知について、営業担当者が通知書を電子契約者に直接手渡すことにより、電子署名の本人性を担保することとした。
• 今後の課題として、ID 有効化のための非対面での初期暗証番号の確実な通知方法の確立及び個別行にとどまらない金融業界全体での電子契約の導入・デジタル化推進による顧客銀行双方の利便性・生産性の向上がある。
(資料6「三井住友銀行で展開中の融資電子契約サービスについて」)
融資電子契約サービスについての主な意見
• トランザクションの信頼性において電子証明を使っていく際、正当性の担保にあたって、エンドツーエンドでのプロセスフローを分析し、要件を明確にしていくことは重要。
• 国際間取引をする際に、企業内、法人内のトラストチェーン表現の国際的取決めが揃っていることが重要ではないか。
「電子文書への印影表示」の役割
• 多くの人は、捺印文書を見るとオフィシャルな文書であると感じる程、生活習慣の中に印鑑は染みついている。また、視覚的に本人の意思や書類の完全性が確認できると信じる効果があると考えられ、デジタルでも電子印鑑の活用余地があるのではないか。
• 電子印鑑は、印鑑の代わりとして使い慣れたツールになり得るが信頼性(脅威耐性)は希薄。一方、電子署名の信頼性は高いが、未だ一般に認知度が高いとは言えない。使い慣れたツールで信頼性が高いという両方のニーズを満たすことで、トラストサービスの普及が促進していくと考える。
• 日本企業の多くが文書決裁の手順として印鑑管理規定を社内規定に盛り込んでおり、運用自体を変えづらいという側面がある。新たな技術について、社内の制度設計、社内浸透へのコストや労力を省略する手段として、電子印鑑という使い慣れたインターフェースは有効なツールとなる可能性を持つ。
(資料7「電子印鑑の歴史と電子契約におけるその役割について」)
「電子文書への印影表示」についての主な意見
• 印鑑や署名の画像という視覚性だけで信頼させるのは、ミスリーディングになる可能性がある。トラストサービスにおいて、技術的な検証結果を分かりやすくユーザに表示する方法は、アシュアランスレベルとセットで議論する必要がある。日本では、トラストサービスの検証方法がサービス毎で異なっている。EU では、eIDAS 規則においてトラステッドリストという信頼性の基盤、トラストアンカーを整備し、法的に有効なトラストサービスを検証できるサービスを欧州委員会が運用しており、検証のためのライブラリーもオープンソースで開発し、公開15しているように、公的に検証基盤を提供している。
• 認証業務には認定認証業務等、利用者と署名を紐づける信頼性保証の枠組みがある一方で、立会人型電子署名とNFT 印鑑における利用者の信頼性の紐づけはどうなっているのか。トラストサービスの保証レベルにおいて、立会人型電子署名をきちんと位置付ける必要がある。
• 企業内業務プロセスにおいては、電子印鑑の方式も有効なのではないか。
• 実印が「役所に対する信頼」で本人性を証明してくれるという記述については、実際に押印するプロセス、書類を渡すプロセスへの信頼が含まれていると思料するため、この辺りの整理をした方がよい。
• どのようにデジタルの世界での真正性のある書類への認知を受け入れてもらうかを議論することが重要。
トラストサービス提供事業者
グローバルDX ソリューション提供事業者
• 電子署名サービスをグローバルに提供する立場から、EU のeIDAS 規則の改善点として、各国間の個人情報保護、技術基準、相互運用性やセキュリティレベルにおけるハーモナイゼーション、デジタルID ソリューションの普及に向けた課題等を考察した。
(資料8「SAP が認識するトラストサービスの現状と課題」)
電子証明書サービス提供事業者
• 電子証明書の利用事例(卒業証明書、帳票関係、車両登録書類、PCR 検査結果
報告書)について紹介。
(資料9「GlobalSign における電子証明書の利用事例」)
クラウド型電子署名サービス事業者
• 押印が支えた大量・迅速な商取引が、電子署名法の制定によってもデジタル化されなかったのは、同法の上振れしたトラストレベル設定がユーザーニーズに即していなかったことが原因。
15 Digital Signature Service version : 5.10.1 – 2022-04-08
• そうした過去の反省を踏まえ「デジタル原則」を実現するためには、「ちょうどよいトラスト」の選択肢を増やし、その普及をデジタル庁がリードすることが必要。
• すでに国内外のユーザの支持を集めるクラウド型電子署名サービスを、新しいトラスト法制において「スタンダード」と位置付けていただきたい。
(資料10「「デジタル原則」を支えるクラウド型電子署名サービス普及促進の必要性)
クラウド型電子署名サービス事業者についての主な意見
• 政府の電子署名法第3条Q&A16の中で示されたプロセスの固有性について、クラウド型電子署名では、どういう水準の固有性を確保しようとしているのか。今後IAL、AAL の水準を公表していくことは考えているのか。
• 当事者署名型のユーザの支持が広がっていないという説明の中で、認定認証業務の証明書の発行枚数を根拠として示しているが、当事者署名型には認定認証業務以外の当事者署名型があるので、認定認証業務が普及していないから当事者署名型が普及していないという解釈はミスリードになるのではないか。
• 「グローバル企業ユーザが選択する電子署名方式のシェア(概算)」の円グラフについては、クラウド型電子署名サービス協議会の加入企業が顧客に対して行ったアンケート結果だということを差し引いて考える必要がある。
トラストサービスの制度的課題についての有識者発表
トラストサービスにおける政策及び法的課題として、「e シールの検討状況」、「電子契約の証拠力」について有識者よりインプットを受けるとともに、今後の改善や検討の方向性について議論を行った。以下は、各有識者の発表の概要及び質疑応答における主な意見である。
e シールの検討状況
• 総務省が検討したe シールは、組織が発行するものに限定。発行主体と当該文書が改ざんされていないことを確認する仕組み。
• 発行元証明の信頼性担保のための措置の水準について、程度が軽いもので改ざんがされていないことを証明すればよいレベル、誰が出したものか確定的に言えるレベル、より高度の信頼性が担保されるレベルで、e シールをレベル
16 総務省、法務省、経済産業省、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」(令和2年(2020 年)9月4日)
分けしている。信頼性のレベルを分けて、レベルが低いものも阻害しないようにする意図がある。
• e シール用電子証明書の発行対象を特定するための識別子については、後に融通性が狭まることが無いよう、組織、個人、データ等の既存のID・番号も含めて包括的に表現可能な方式(OID:Object Identifier)を軸として今後検討すべき。
• e シールにおける認証局側の設備であるHSM(Hardware Security Module)については、現行のFIPS140-2 レベル3又はISO/IEC15408 のEAL4+を採用するべきだが、電子署名法の基準ではFIPS 140-1 を参照したままになっており、標準の現行化に対応したアップデートする仕組みを設けるべき。(資料11「e シール政策の検討状況と今後の課題・ニーズ」)
e シールの検討状況についての主な意見
• (e シールに係る電子証明書発行手続について)代表者にオペレーションをさせるのは、大企業になるほどやりづらいという課題意識がある。オペレーションが簡素化できるよう検討するべき。
• e シールをサーバーサイドのスケーリングで使いたいときに、同じ証明書をコピーすることになるため、Derived Credential(派生資格)が重要になる。証明機関からの証明書により、企業内部で生成された鍵に対して署名していく形で、受け取った側が証明書のチェーンをたどっていき、正当性が検証できることが制度的に許される形が必要。
• Derived Credential については、オンラインで本人確認する際に、あらかじめ発行した鍵を使った本人確認が認められるか等の検討が重要。
• 利用者がサービスごとにe シール用の電子証明書/秘密鍵を持たされることのないような工夫をするべき。
• eシールの欧州PoC では、国際相互認証に向けた枠組みの検証で行っている。SDGs、環境、人権の枠組みでも、国際的に認証されたトレーサビリティーの確保が求められているので、枠組みの整備が必要とされているのではないか。
• 国民が安心してオンラインベースでのトランザクションを行うことができるようにするためには、e シールが法的な裏付けをもって整備されることが必要不可欠。技術進歩が急速な今日において法的な規律は最小限にしていくべきだが、フィッシング詐欺等が横行している現状では、オンラインベースでトランザクションを行っている相手方が認証を受けた正当な組織であるかを法的に確認できることは、「トラスト」の基盤として極めて重要ではないか。
電子契約の証拠力
• 電子契約は、なりすまし・改ざんが容易であることから、本人性と完全性の確認が重要。電子契約が有効に成立するにあたり、必ずしも電子署名を使う必要はないが、実際上、どれだけのレベルの信頼性が必要なものか、電子署名のレベル分けが求められる。
• 電子契約については、リスクと利便性を考慮して、本人性と完全性の確認において適切なレベルの電子署名等を利用することが必要。
• 電子契約の普及に必要な法的環境整備はほぼ完了していると思料。政府の公表した電子署名法2条1項・3条のQ&A における要件を満たしているかは、当てはめの問題として、法律専門家を活用しながら契約当事者や電子契約プラットフォーム事業者がセルフチェックすることで、用途に応じた適切なサービスを取捨選択していくことが必要。(資料12 「電子契約の有効性について」)
電子契約の証拠力についての主な意見
• レベルに合わせた基準作りが必要。リモート署名や立会人型署名については、サービスの安全性について明確な基準が無く、認定や適合性監査もできていないため、利用者や裁判官も判断に迷うのではないか。
• 信頼レベルの基準作りについて、認印相当等のアナログの世界とは異なる基準が必要ではないか。
• レベルは、「手段」で分類するだけでなく、SP800-63-3B に倣って、「脅威耐性」ベースで検討するべき。
• プロセスだけでなく、ID やクレデンシャルを発行するオーソリティに相当するレベルについて議論することが必要。
• 現行の電子署名法施行規則2条に定める基準として、暗号アルゴリズムやbit 長まで書くことは技術進歩が速い中で適切であるか懸念。
• 民訴法228 条4項「二段の推定」について、立会人型電子署名の場合における考え方について、プロセスごとに整理する必要がある。特に「一段目の推定」(本人の印鑑による印影があれば、本人の意思による押印を推定する17)が電子化される場合の「一段目の推定」については、これまで議論されていない内容であるため、今後議論する必要がある。
• 電子署名法3条Q&A の「十分な水準の固有性」について、2要素認証以外にも、いくつか例示があると利用者にとって分かりやすい。
• トラストについての判断は、技術的内容が含まれるので、法的判断の他に技術的専門家からの判断も必要ではないか。
• 「特定認証業務」の相互運用性とその実現手段を今後検討すべき。
17 「3訂版 電子契約の教科書 ~基礎から導入事例まで」(宮内宏(著))P69 より引用
電子化におけるe シールの活用可能性と制度上の課題
• トラストサービスの活用にあたって、紙や書面交付を求める制度の廃止と同時に電子化の標準形も示していくことが必要。
• 申請手順の中で、契約書等の原本性が要件となる手続規制が存在している。
「原本性」や「真正性」担保の観点から証明書類発行の際等に原本提出を求めているケース、大元の書類が紙である故に紙で原本提出が必要なケース、組織として正式に発行し契約等内容の真正性担保が必要なケースにおいて、e シールを活用することにより、電子化が促進されるエリアが多数存在する。
• 特に、輸出入取引において、輸出サイドのみならず、輸入で必要な契約書、輸入者の誓約書、輸入時のインボイス、授権証明書等e シールで真正性を担保することで全体の電子化が促進されるものが多数存在する。さらに、貿易取引の中で残存していた「紙」による非効率部分が解消し、広く産業全体に対して効率化される。貿易取引の電子化が進展することで、マニュアルでの検証作業がシステム化され、「貿易ベースマネーロンダリング」(TBML :Trade BasedMoney Laundering)をシステム的に検知する基盤が整備され、日本としてのAML 対策上も有意義である。(資料13 「トラストサービスのユースケース及び制約となる制度について」)
4.トラストの確保のための検討
実態調査及び有識者ヒアリングにより判明した、トラスト確保のニーズやトラストサービスの導入における課題を踏まえて、以下の検討を行った。
4.1 Identification のアシュアランスレベルの整理
実態調査で、「用途に沿ったトラストサービスの事業者/サービス選定」や「トラストサービス利用について企業間での足並みを揃えることが難しい」という課題が示されたことを受け、リスクと利便性を考慮した適切なサービスの選択が必要であること、「デジタル完結」におけるオンラインの手続においてアナログとは異なる問題に対処する必要があることから、今回は、Identification のアシュアランスレベルの整理を行った。
海外の先行事例の把握
• eIDAS 規則、NIST SP800 63-3、NZ 政府Identification 管理基準におけるアシュアランスレベルの規定及び適切なアシュアランスレベルを選択する基準の考え方について考察した。
(資料14「欧州eIDAS におけるアシュアランスレベル」、付録C「Identificationのアシュアランスレベルにおける海外の先行事例」)
• eIDAS 規則については、トラストサービスの普及によるデジタル化と欧州デジタル統一市場の促進を目的としてeID 及びトラストサービスを制度化し、その効果について一定の評価が得られているものの、eID やトラストサービスの効果、効率性及び普及における課題が見直されている。EU では、eIDAS2.0 に向けて、これらの課題を踏まえて、EU Digital Identity Wallet の開発やトラストサービスの下位規則の整備等で対応する方向で検討している。
(資料15「eIDAS2.0 とEUDIW」)
Identification のアシュアランスレベルの整理
検討の進め方
• 基本的な考え方は既存の国際標準を参照した上で、ベース・レジストリが整備されマイナンバーカードの公的個人認証証明書や商業登記電子証明書がある日本の実情に応じて、これらを活用した身元確認の実現を検討すべき。
• 認証情報連携や割当もIdentification アシュアランスレベルの検討に入れるべき。
アシュアランスレベルの考え方やユースケース
以下の考え方が示されるとともに、図9のとおり整理が試みられた。
• マイナンバーカードの発行は、自治体職員という有資格者が対面で本人確認した上で発行しているため、IAL3 相当を超えるレベル。その結果、マイナンバーカードと顔写真の本人が一致することを対面で確認したもの及びマイナンバーカードの電子証明書を使った署名がなされているものはIAL3 相当と言えるのではないか。
• マイナンバーカードの発行以外の場面では、マイナンバーカードを用いた電子署名を使って本人確認に代えるという前橋市の「まえばしID」のように全て電子にしてしまうことは可能ではないか。18そうすると、本人の写真とリアルタイムの本人の画像マッチングが本当に要るのかということが論点になる。
• 本人写真とリアルタイムの本人画像のマッチングは、Authenticator と肉体の紐付け、本人以外によるAuthenticator の行使の検出、という2つの異なる目的があるため、それらを分離して論じるべき。
• 新型コロナワクチン接種証明書アプリは、マイナンバーカードを利用して簡単に登録できるという点で、ID Proofing のユーザビリティやコストが改善された。
• Identification と行政データの連携が可能な仕組みの整備が必要。
• 民間サービスにおいては、身元確認を必要以上に求めるとサービス加入者が減るといった弊害もあるため、マイナンバーカード以外にもeKYC(electronicKnow Your Customer)のような多様な本人確認の選択肢が必要。民間サービスにおけるオンラインでの本人確認のユースケースについては、本人確認手法のレベル分け、リスクに応じた本人確認手法選択の考え方及びガイドライン策定に向けた進め方について、DADC から取組状況の報告を得た。
(資料16 「インキュベーションラボ・プロジェクト「サービスに応じたデジタル本人確認ガイドラインの検討」」)
18 実際にEU では依拠による本人確認が行われている。これはeIDAS のQS によるもののみならず、ドイツの銀行が窓口などで行った本人確認済み情報のデジタル転送に基づくトラストサービスによる適格証明書の発行とそれによる適格署名の実施などにも現れている。
(図9)IAL におけるユースケースのマッピング
AAL とユースケースのマッピング案
今後の方向性
• 本サブワーキンググループで整理したIdentification のアシュアランスレベルの考え方やユースケースについて、デジタル庁技術検討会の「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」19見直しにインプットを行うことが必要である。
• 行政手続におけるアシュアランスレベルだけではなく民間サービスにおいてもこれを整理することが重要。本人確認レベルに関するアーキテクチャ整備については、マルチステークホルダーモデル(4.4「民間でのトラストサービス活用推進」参照)の中で、DADC の検討成果も踏まえて検討を進めていくべきである。
• 分散型アイデンティティや自己主権型アイデンティティがプラットフォーム
事業者に依存しない形で、本人確認や資格証明手続をデジタル化する手法として世界的に注目されている動向を踏まえ、国際通用性を持ったDigitalIdentity Wallet についても継続的に検討を行うべきである。
4.2「トラストサービス層」の信頼性を評価する基準及び適合性評価のあり方の検討
検討の方向性
• 「トラストサービス層」の信頼性を評価する基準及び適合性評価のあり方を考えることは、ID プロバイダのトラストを確保する上でも重要であり、国際通用性を見据えたトラストサービスの基準作りをするべき等の意見があったため、検討を行った。
• トラストサービス事業者の運用ポリシーとして、構成員より、組織要件、設備要件、技術要件、鍵管理要件、運用要件、監査要件、その他をトラストサービスに共通する基準、個別基準として整理し、「トラストサービスアシュアランスレベル」として整理することが提案された。(資料17「トラストサービスのアシュアランスレベルの考え方」)
• 一方、「トラストサービス層」の信頼性を評価する基準及び適合性評価においては、構成員より、担保すべき内容や論点が多岐にわたることが指摘された。
19 デジタル庁,「行政手続におけるオンラインによる本人確認の手法に関するガイドライ」(平成31 年(2019 年)2月25 日)
検討における課題
「トラストサービス層」の信頼性を評価する基準及び適合性評価のあり方の検討にあたり、課題及び満たすべき条件などについて、以下の議論が行われた。
• 国の役割:「トラストサービス層」の信頼性を評価する基準及び適合性評価の最も高いレベルを国が担保する場合、現状の体制では、国として最新の仕様をメンテナンスし続け、監査する体制を確保することが困難。例えば、電子署名法の認定基準は、施行規則や指針などで規定されているため、最新の国際的な技術基準に追従してメンテナンスするのが困難になっている。したがって、一つの方向性として、技術基準を法定に書くのではなく、国際規格を参照することにより、国の負担も軽減され、より効果的な政策実現が可能になるのではないか。
トラストサービスで確保されるトラストは、法律的には「推定」の話であり、推定された事実を否認するための反証が許されるため、推定された事実について国として100%の保証を求めるものではない。
• 策定作業:
技術基準について、欧州電気通信標準化機構(ETSI)、欧州標準化委員会(CEN)で標準化されている技術基準と同レベルのものを想定するのであれば、膨大な作業を防ぐ上でも、既にある基準をベースに作業を省略していく工夫が必要である。
• 対象:
何をもっての正当かがユースケースによって異なる中で、アシュアランスレベルではなく、何の正当性について議論しているのか整理が必要ではないか。
• 軸の関係性:
Identificationアシュアランスレベルとトラストサービスアシュアランスレベルは、相互依存性の無いパラメーターにするべき。
• 監査要件:
認定事業者の監査体制において、一時点の監査ではなく、運用に対する透明性をAI による自動検査などでメタデータ連携を行い、担保していくことが重要である。
監査要件は、認定手続の中に入るのであれば理解できるが、アシュアランスレベルの中に入るのは違和感がある。
• 国際通用性:今後議論を深めていくためには、前提として確認すべき事実や
共通認識を持っておくべき用語があることが挙げられた。
eIDAS でEU 域外との相互承認国が存在しない理由・障害となっている点を明らかにし、実現可能性の有無を確認した上での議論が必要である。
国際的通用性が必要な取引として「国境を越えた契約書」が挙がっているが、契約書は準拠法を書くので国際通用性は不要ではないか。
国際通用性の確保は、相手国の法律が準拠法であっても自国のトラストサービスが利用できることをいうのではないか。準拠法だけであれば、例えば、日本法が準拠法となる場合に、外国企業でも日本の法律に基づいて判断されるため、外国企業も日本のトラストサービスを利用する必要が出てくる。逆に、欧州の法律が準拠法なら、日本企業は、日本のトラストサービスではなく、欧州のトラストサービスを使うことが必要になる。「契約書は準拠法を書くため、国際通用性は必要ない」という意見があったが、準拠法を定めたとしても、実際に証拠性などを考えるときに国際通用性は要るのではないか。
相互承認という用語への共通認識を持った上で、何を目的とした、何に関する、どの国(地域)との相互承認を検討するのか明確にすべき。
国際通用性の確保に向けて、国際的基準との整合性及び関連基準(ISO/IEC 27000 Series、CAB/F baseline requirement、ETSI・CEN規格、Webtrust 監査基準等)を参照した上で、各トラストサービスに対し、これらの基準への適合性評価を行う機関の要件を国際標準(ISO/IEC17065、ETSI EN 319 403 等)を参考に規定するべき。
国内のトラストサービスが海外において、どのような保証レベルに位置づけられるトラストサービスであるかについて、検証可能でなければならない。そのためには、国際標準に従った検証基盤の構築も必要になる。
• 機動性の確保:
各基準は法令から参照される独立した技術規格として策定されるべき。
技術進化、国際標準、社会環境に準じて、規格策定及び更新を継続的に行うための専門的な組織の設置の検討が必要となる。
• 既存の制度との整合性:
トラストサービスの議論を深めるにあたり、電子署名及び認証業務に関する法律の見直し(国際技術標準の活用を含む。)の検討は避けて通れない。
電子署名やe シール等の有効活用を促進するためには、認定認証業務に代表される信頼性の高いトラストサービスについて推定効などの法的効果を検討する必要がある。
• ユーザビリティ:
電子文書の通用性は、電子的な形式であるという理由だけでは否定されないとし、これについて法令による例外を認めないようにすべき。
どのレベルを満たしたトラストサービスであるか利用者にわかりやすい形での基準策定や仕組み(認定トラストサービスの機械可読な形での公開、当該トラストサービスに基づく情報の検証)の検討が必要
• 相互運用性:
デジタルな相互接続性・運用性を確保するためには、その技術準拠性を確認するための検証基盤の提供と当該テスト通過を適時確認する必要がある。
今後の方向性
担保すべき内容が多岐にわたること及び策定にあたり考慮すべき課題が多いことから、国際的な議論や外部環境の変化を踏まえて、「トラストサービス層」の信頼性を評価する基準及び適合性評価のあり方について議論を進める。
4.3 行政でのトラストサービス活用推進
トラストサービスの提供する内容については、まずは、紙の持つ真正性・非改ざん性に対するトラストをサイバー空間でも担保するトラストサービスのあり方から議論を始めるべき、という意見が出た。加えて、トラスト確保の実態調査において、行政分野におけるトラストのニーズが高かったことが判明した。
一方、政府では、デジタル臨時行政調査会が立ち上がり、構造改革のための「デジタル原則」が整理された。「デジタル原則」における「デジタル完結」の実現では、書面、目視、常駐、実地参加を義務付ける手続・業務について、デジタル処理での完結が原則となるところ、「公的な証明書・講習・閲覧に対面書面を求める規制」等の見直しが検討されている。
「デジタル完結」にあたっては、手続・取引に応じた、本人・組織・(組織内権限者の識別を含む)存在時刻の真正性及びデータの非改ざん性を保証するトラストサービスが必要である(図10)。また、上記の規制見直しにあたっては、トラストサービスの活用が「デジタル完結」の実現に有効なことから、行政サービスにおいてトラストサービスを積極的に活用するべく検討を進めていく(図11、12)。具体的には、公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和7年(2025 年)6月までを目途にインプットを行う。
併せて、茨城県からの民間認証局による職責による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が関与するトラストサービスのあり方についても検討が必要である。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進める。
(図10)デジタル完結を可能とするためのトラストサービスの活用イメージ
(図11)構造改革のための「デジタル原則」を踏まえた制度・規制を見直す考え方
(図12) 書面掲示、対面講習、往訪閲覧・縦覧規制の類型化とフェーズ
行政手続におけるトラストサービス活用推進を行政がスピード感を持って進めることにより、マルチステークホルダーモデルにて扱う民間でのトラストサービスの活用においても参照されるものとなることを目指す。
4.4 民間でのトラストサービス活用推進
マルチステークホルダーモデルでの議論
実態調査で示された課題に対処するため、民間でのオンライン契約・手続等については、技術進歩が進む中で使いやすいトラストサービスの実現やその活用を図る観点から、多様な関係者の視点を取り入れるためにマルチステークホルダーでの議論を行う (図13) 。
(図13)トラストサービスの実現及び活用向けたマルチステークホルダーモデル
マルチステークホルダーモデルで扱う議題
マルチステークホルダーでの議論内容については、民間企業が参加意義を感じるテーマを扱うべきであるという観点のもと、例えば、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」などが考えられる。その他、実態調査で判明したトラスト確保のニーズも踏まえ、今後、マルチステークホルダーモデルで取り扱う分野を検討していく必要がある。
また、構成員より、マルチステークホルダーでの議論は、あくまで法律事項に馴染まない実務的な取扱いやベストプラクティスを巡る議論に範囲を限定した方が議論は収束しやすいのではないかとの意見もあった。
マルチステークホルダーモデルの活用例①リモート署名・e シールの技術基準の検討諮問議題
• 電子署名法において、電子文書が利用者の作成に関するものであることを示すための措置としての「十分な水準の固有性」に必要な電子署名の技術基準は何か (電子署名法3条Q&A の具体化)
• 電子署名法の技術基準の海外基準への適合に向けた整理
• e シールの民事訴訟法・電子署名法上の位置づけの整理
関係者
• 事業者:トラストサービス提供事業者、JDTF、クラウド型電子署名サービス協議会、(一社)Fintech 協会、(一社)日本ブロックチェーン協会 等
• 産業界:インターネット関連事業者、トラストサービス利用事業者
• 専門家: JT2A、JIPDEC、法学者、その他標準化団体、トラスト関連学会等
• 消費者:消費者団体、弁護士団体、NPO 法人
• 労働者:労働組合
• 政府 :デジタル庁、法務省、総務省、経済産業省
マルチステークホルダーモデルの活用例②:公的機関が関与するトラストサービスのあり方について意見聴取
諮問議題
• 公的機関が関与するトラストサービスの改善課題(署名の有効性を利用者が簡便に確認できる環境整備、国際標準規格への対応)
• 民間サービス活用やトラストモデル変更等の論点整理及び官民の役割分担と責任分界の整理
関係者
• 事業者:デジタル庁、総務省、J-LIS、トラストサービス提供事業者、JDTF、クラウド型電子署名サービス協議会、(一社)Fintech 協会、(一社)日本ブロックチェーン協会 等
• 産業界:インターネット関連事業者、トラストサービス利用事業者
• 専門家: JT2A、JIPDEC、法学者、その他標準化団体、トラスト関連学会等
• 消費者:消費者団体、弁護士団体、NPO 法人
• 労働者:労働組合
• 政府 :デジタル庁、法務省、総務省、経済産業省、地方自治体
マルチステークホルダーモデルの運営で考慮すべき事項
公平な議論の仕組み
マルチステークホルダーモデルに参加するメンバーは、透明性確保のためにオープンエントリーの形で参加者を募集するなど柔軟性を確保した議論形態とする。一方で、トラストサービスは、取引・手続の信頼に関わることから、特定の利害関係者に引きずられないよう配慮が必要であるところ、自ら希望して議論に参加する者のみに議論が引きずられることがないように配慮する必要がある。この点、ステークホルダーとして議論に参加するべき者については、諮問を行う政府など中立的な者が議論へ参加するステークホルダーへの声掛けや議論の仕切りを行うべきであることも指摘された。
また、特定のステークホルダーの意見のみが大きくならないように、各コミュニティで意見を固めて、それぞれのコミュニティの代表者がコミュニティを代表した意見を発言する仕組みにするなどの工夫が必要であると指摘された。
議論への参加を促す仕組みマルチステークホルダーモデルへの関係者の参加を促すため、議論への貢献について、デジタル庁のサイトに参加者の貢献の記録を残すことなど可視化できる仕組みを取り入れることが必要という意見があった。一方、「トラスト」は、様々な者が行う手続・取引の信頼性に関わる内容であるため、議論へ自発的に貢献する者のリードに任せるのではなく、全体的に特定の利害関係者の発言に引きずられないようにするための配慮が不可欠という意見があった。なお、マルチステークホルダーで議論する技術基準については、国際規格を参照し、作成した基準を海外にも発信できるよう、専門家や専門機関とも連携しつつ進めるべきである。
効率的な運営マルチステークホルダーモデルは、意思決定に時間がかかることから、政府が中心となってトップダウンで検討するべき課題と、ステークホルダーの意見を聞いてボトムアップで進める課題を区別して考えた上で、政府が進める政策をマルチステークホルダーモデルでも参照できるようにしておくべきという意見があった。また、マルチステークホルダーはあくまで諮問機関として、マルチステークホルダーモデルから提言された内容についての最終決定権は政府が持つべきとの意見があった。
なお、政府が中心となって検討する議題についても、多くの人にとって使いやすいトラストサービスを推進する観点から、マルチステークホルダーモデルにおいて、多様なステークホルダーモデルの意見を聞く機会を設けるべきである。
マルチステークホルダーモデルの運営においては、以上の点を考慮しつつ、マルチステークホルダーモデルの活用例で示された議題を中心に議論を進める中で、議論における意思決定等のルール設計についても検討を深める。
4.5 トラストポリシーの基本方針
トラストサービスにおける政策を検討する上では、専門家や一部の事業者に偏ることなく、マルチステークホルダーを交えて議論を行うこと、国際的な基準や制度との整合性を考慮しつつ民間事業者に普及しやすいトラストサービスを目指すこと、グローバルに影響力を持つプラットフォーマーを含めたトラストサービスに関わる民間事業者との関係性を考慮することが重要である。また、令和4年(2022 年)5月12 日には、日EU でのデジタルパートナーシップが立ち上げられ、トラストサービスの相互運用性に向けたパイロットプロジェクトの取組の継続等が記載されるなど、各国との相互連携は重要性を増している。
デジタル社会の実現に向けた重点計画(令和3年(2021 年)12 月24 日閣議決定)では、「包括的データ戦略」に関する具体的な施策の中で、「令和4年度(2022 年度)中を目処にトラストを確保する枠組みの基本的な考え方(トラストポリシー)を取りまとめる。」とされた。20
本サブワーキンググループでは、構成員より、トラストポリシー策定において考慮すべき要素として、①方向性(利用者と提供者それぞれへのインセンティブ(ディスインセンティブ)の設計)、②安定性(長期間の有効性と社会的有効性の確保)、③最小性(トップダウンで定義するポリシーは最小限にする)、④
柔軟性(技術的・経済的アジリティの確保)が提案された。(資料18「サービス提供におけるトラスト確保を実現するポリシー策定の論点」)
行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、トラストを確保する枠組みが、図14 の諸性質を満たすようにトラストポリシーを策定することが考えられる。これを「デジタル原則」を支える「トラストポリシーの基本方針」として整理した(図14)。
20デジタル庁,「デジタル社会の実現に向けた重点計画(本文)」①トラストを確保する枠組みの実現(P35)(令和3年(2021 年)12 月24 日)
(図14)トラストポリシーの基本方針
構成員より、トラストサービスの社会への普及があってこそ裁判における安定性につながること、トラストサービスの普及においては現場での使いやすさを考えるべきであること、国際的通用性を検討するにあたっては国際連合国際商取引法委員会(UNCITRAL)における議論を注視すべきであること等が指摘された。
トラストポリシーの基本方針は、構造改革のための「デジタル原則」及びSociety5.0、DX、DFFT を支えるものとし、今後、デジタル庁やマルチステークホルダーモデルでのトラスト基盤構築に向けた政策検討の際の指針として活用すべきである。そして、今後、国際的に確立している技術標準については、国内においても参照すべき技術基準を明確にし、国際的な調和を図ることが重要である。長期的には、「デジタル完結」における要件が今後明確になる中で、新たなトラストサービスにおけるニーズを探求しつつ、トラストサービスの利用環境整備に向けた検討を行う必要がある。
5.今後の取組
トラスト確保の実装に向けては、利用者のニーズにあったトラストサービスを提供する「アプリケーション層」と、真正性及び非改ざん性を担保するインフラを提供する「トラストサービス層」に分けて検討するとともに、「トラストサービス層」については、ユースケースに基づき技術標準を検討していくことが考えられる。そこで、今後は、デジタル臨時行政調査会との連携や多様な主体を巻き込んだ検討の場を創設しつつ、多様な意見を反映し、官民でのトラスト確保の実装に向けて、以下のとおり進める。
5.1 行政のデジタル完結の推進
公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和7年(2025 年)6月までを目途にインプットを行う。併せて、茨城県からの民間認証局の発行する職責電子証明書による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境の整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が関与するトラストサービスのあり方についても検討を行う。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進めるべきである。行政がトラストサービスのユーザとして、トラストサービスのユースケースを深掘りするとともに、トラスト確保の枠組みを検討し、トラストサービス活用の取組を民間にも広げていく。
5.2 多様な主体を巻き込んだ検討の場の創設
民間でのオンライン契約・手続等について、多様な意見を取り入れるため、マルチステークホルダーモデルでの検討の場を創設する。マルチステークホルダーモデルの運営は、特定の利害関係者に議論が引きずられることのない公平な議論の仕組み、ステークホルダーへの議論の参加を促す仕組みの創設、効率的な運営を行う仕組みを構築する必要がある。
マルチステークホルダーモデルでの議論は、民間同士の取引・手続について、例えば、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」等を検討すべきである。なお、「トラストサービス層」については、トラスト確保の基盤であることから、ユースケースに基づき必要な技術基準等をマルチステークホルダーで検討することが求められる。
その際、現在、立会人型電子署名がオンライン市場に普及している現状等も踏まえ、ユーザの求めるトラストのニーズに沿い、民間の創意工夫や新サービスの普及、技術革新等を阻害することのない基準の策定となるよう留意すべきである。まずは、国際的に確立している技術標準から国内においても参照すべき技術基準等を明確にし、国際的な調和を図ることが重要である。長期的には、「デジタル完結」における要件が今後明確になる中で、新たなトラストサービスにおけるニーズを探求しつつ、トラストサービスの利用環境整備に向けた検討を行う必要がある。
5.3 e シール等に関する制度整備
タイムスタンプについては、国による認定制度に基づく運用が開始されているが、e シールに関しては、現状、在るべき姿の方向性や信頼性を確保するために証明機関が求めるべき基準の検討に係る指針が示されている段階である。今後、オンライン取引・手続において、発行元に関する証明のニーズが高まることが想定されるため、総務省が令和3年(2021 年)6月に公表した「e シールに係る指針」に基づき、e シールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向け、総務省の取組を支援すべきである。
5.4 国際的に調和の取れたルール形成の推進
Identification のアシュアランスレベルについては、デジタル庁技術検討会にインプットし、行政手続の本人確認の議論に活用すべきである。民間での本人確認レベルに関する整備は、マルチステークホルダーモデルの中で、DADC の検討結果も踏まえて検討を継続すべきである。さらに、分散型アイデンティティや自己主権型アイデンティティ(Self-Sovereign Identity: SSI)がプラットフォームに依拠しない形で自身のコントロールの下で属性を開示する手法として世界的に注目されている動向を踏まえ、国際通用性を持ったDigital Identity Wallet についても継続的に検討を行うべきである。さらに、国際的に相互運用性が求められるトラストサービスの市場ニーズの深掘りを行うとともに、諸外国における「トラストサービスの信頼性を評価する基準及び適合性」の検討動向等も踏まえつつ、「トラストサービスの信頼性を評価する基準及び適合性」について、引き続き今後の検討課題とする。
これらの検討課題を進めるにあたり、マルチステークホルダーモデルでの議論は、国際規格を参照し、作成した基準を海外へも発信できるよう、海外の専門家や専門機関とも連携しつつ進めるべきである。また、令和5年(2023 年)のG7 での打ち出しを目指して、DFFT の推進に向けたトラストの概念の明確化を行うとともに、トラストポリシーの検討を続ける。
5.5 推進体制
トラスト基盤の構築に向けた検討の枠組みについては、以下に基づき、政府が中心となって検討する性質のものと、政府が議論の場を提供するトピックに分けた上で、
①短期的なトラストサービス実装の検討(「デジタル完結」に向けたトラストサービスの活用推進(行政手続きにおける本人確認ガイドラインの改定、行政手続きにおける真正性ガイドライン(仮称)の作成、公的機関が関与するトラストサービスの活用のあり方等))及び②中長期的トラスト基盤構築に向けた検討(国際通用性を持ったDigital Identity Wallet の検討、既存の法体系を踏まえたトラスト法体系整理等)に分け、推進していく必要がある (図15) 。
(図15)推進体制まとめ(主要項目)
6.まとめ
「包括的データ戦略」では、トラスト基盤の構築に向けた論点について、「デジタル庁を中心として関係府省庁が協力して検討し、2020 年代早期の実装を目指す。これらの論点は多岐にわたることから、トラストサービスに対するニーズを分析し検討の順を明確にすることが重要である。」21とされた。本サブワーキンググループでは、実態調査及び有識者からニーズの把握を行ったところ、オンラインでの手続・取引において、行政を含む幅広い業種/業界においてトラスト確保のニーズがあることが判明した。
本サブワーキンググループでの議論を通じて、「包括的データ戦略」でまとめられた論点について一定の進捗が見られた。例えば、「認定スキームの創設」については、実態調査や有識者ヒアリングから、オンライン取引・手続において、発行元に関する証明のニーズが高まると想定されることが示されたため、e シールの制度化が検討されることになった。「トラスト基盤の構築」については、行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、考え方の指針とするための「トラストポリシーの基本方針」が作成されたことは、トラスト基盤構築の前提として重要なものだった。
さらに、「国際的な相互承認」については、今後、議論を深めていくためには、前提として確認すべき事実や国内外で共通認識を持っておくべき用語があると指摘された。また、本サブワーキンググループ中に「日EU デジタルパートナーシップ」が立ち上げられ、日EU でトラストサービスの相互運用性に向けた取り組みが規定されたことは、相互承認に向けた日EU の相互理解に資するものとして有益である。「認定基準」についても、今後、マルチステークホルダーモデルにおいて、「リモート署名・e シールの技術基準の検討」等が議論される中で、議論が深まることが期待される。諸外国に目を向けても、オンラインでの手続・取引の増加に伴い、政府によるオンラインでの本人確認の基準作りやID・トラストサービスの活用が進んでいる。令和5年(2023 年)G7 議長国として、我が国がDFFT の具体化をリードすること、デジタル臨時行政調査会における「デジタル完結」の実現に向けてトラストサービスの活用を促進することは大変重要であることから、今後もトラスト基盤の確立に向けた議論を進める。
最後に、会合中に有識者から示された基本的な考え方を踏まえ、本サブワーキンググループにおいて「デジタル原則」に沿う形での「トラストを確保する枠組みの基本的な考え方(トラストポリシー)」の基本方針を作成した。トラストポリシーはトラストサービスの普及と並行して具体化が進むものである。今後もサービス提供におけるトラスト確保について、行政及びマルチステークホルダーモデルにおいてユースケースに基づいた議論を続けつつ、トラストを確保する枠組みの検討を続ける。
21内閣官房IT 総合戦略室,「包括的データ戦略」(令和3年(2021 年)6月18 日)
構成員・オブザーバー
(構 成 員)
太田 洋 西村あさひ法律事務所 パートナー弁護士
崎村 夏彦 東京デジタルアイディアーズ株式会社 主席研究員
佐古 和恵 早稲田大学 基幹理工学部情報理工学科 教授
◎ 手塚 悟 慶應義塾大学環境情報学部 教授
濱口 総志 慶應義塾大学SFC 研究所 上席所員
林 達也 LocationMind 株式会社 取締役
宮内 宏 宮内・水町IT 法律事務所 弁護士
宮村 和谷 PwC あらた有限責任監査法人 パートナー
高村 信 総務省サイバーセキュリティ統括官付参事官
土手 敏行 法務省民事局商事課長
奥田 修司 経済産業省商務情報政策局サイバーセキュリティ課長
(オブザーバー)
伊地知 理 一般財団法人日本データ通信協会 情報通信セキュリティ本部 タイムビジネス認
定センター長
井高 貴之 厚生労働省 医政局 研究開発振興課 医療情報技術参与
太田 大州 デジタルトラスト協議会 渉外部会長
小川 博久 日本トラストテクノロジー協議会 運営委員長 兼 株式会社三菱総合研究所
デジタル・イノベーション本部 サイバー・セキュリティ戦略グループ 主任研究員
小川 幹夫 全国銀行協会 事務・決済システム部長
奥野 哲朗 厚生労働省 医薬・生活衛生局 総務課 課長補佐
金子 聖治 厚生労働省 医薬・生活衛生局 総務課 指導官
小松 博明 有限責任あずさ監査法人 東京IT監査部 パートナー
佐藤 創一 一般社団法人新経済連盟 政策部長
佐藤 帯刀 クラウド型電子署名サービス協議会 協議会事務局
柴田 孝一 セイコーソリューションズ株式会社 DX サービス企画統括部 担当部長
兼トラストサービス推進フォーラム 企画運営部会 部会長
島井 健一郎 厚生労働省 医政局 研究開発振興課 医療情報技術推進室 室長補佐
島岡 政基 セコム株式会社IS 研究所 主任研究員
袖山 喜久造 SKJ 総合税理士事務所 所長
豊島 一清 DigitalBCG Japan Managing Director
中須 祐二 SAP ジャパン株式会社 政府渉外 バイスプレジデント
中武 浩史 Global Legal Entity Identifier Foundation ( GLEIF ) 日本オフィス 代表
小倉 隆幸 シヤチハタ株式会社 システム法人営業部 部長
西山 晃 電子認証局会議 特別会員(フューチャー・トラスト・ラボ 代表)
池田 賢志 金融庁 監督局 総務課長
肥後 彰秀 独立行政法人情報処理推進機構(IPA) デジタルアーキテクチャ・デザインセンター(DADC)インキュベーションラボ デジタル本人確認プロジェクトチーム プロジェクトオーナー
三澤 伴暁 PwC あらた有限責任監査法人 パートナー
山内 徹 一般財団法人日本情報経済社会推進協会 常務理事・デジタルトラスト評価センター長
若目田 光生 一般社団法人日本経済団体連合会 デジタルエコノミー推進委員会企画部会
データ戦略 WG 主査
(デジタル庁(事務局))
デジタル社会共通機能グループ 楠 正憲グループ長、犬童 周作グループ次長 他
(50 音順・敬称略、◎主査)
・・・・・・・・・・・・・・・・・・・・・・・
法務省民二第6 3 9号令和4年6月17日
住機保発第5206号令和4年6月13日
委任状は登記原因が発生する前にあらかじめ当機構で作成し金融機関に送付する必要があることから、その委任状に記載する作成日については、登記の原因日付よりも前となる電子署名を行う日としたいと考えております。
このように登記の原因日付よりも前の日付で作成された委任状であっても、その委任内容が具体性・特定性に欠けるものでないと解される場合には、委任状として有効なものであると考えますが、別紙の委任状について、登記事務手続上、差し支えないか、照会いたします。
法務省民事局長
貴見のとおり取り扱われて差し支えありません。
・登記の原因日付よりも前の日付で作成された委任状であっても、その委任内容が具体性・特定性に欠けるものでないと解される場合には、委任状として有効なものである理由・・・不動産取引について、有り得る事案であり、委任内容が具体性・特定性を持っているときは、虚偽の委任契約が締結される危険性が少ないから(月報司法書士 2013年11月501号 P53。)。
・電子署名を行う日(=委任情報の委任日)を後から変更出来るのか。・・・独立行政法人住宅金融支援機構が本人確認と同じように公的個人認証サービスか、プラットフォーム事業者の制度により日付を含めた委任変更の検証が可能な電子署名を行うのであれば、変更は簡単ではない。
民間事業者への主務大臣認定について
民間事業者についても、システムのセキュリティ等について一定の基準を満たす者として、主務大臣の認定を受けた者であれば利用が可能です。これまでに17社が主務大臣による認定を受けています。
参考
公的個人認証サービスについて
https://www.digital.go.jp/news/VuHwzlAG/
公的個人認証サービスの民間利用
https://www.digital.go.jp/news/VuHwzlAG/
月報司法書士
https://www.shiho-shoshi.or.jp/gallery/monthly_report/
・委任状に記載する作成日についての考え方・・・(1)電子署名を行った日とする、(2)電子署名を行った日から3か月以内とする。という考え方が浮かびます。個人的に、(1)が分かりやすく、実務上も不都合はないのではないかと思います。(1)を採る場合、(差出型の)委任状に電子署名を行う場合は作成日を不要とするか、空白にする、という取扱いになることを希望します。