（公社）成年後見センター・リーガルサポート「任意後見ハンドブック２０２２年版」が発行されました。「任意後見ハンドブック２０１４年版」と比較してみたいと思います。

基準は「任意後見ハンドブック２０２２年版」とします。見落としなどあるかもしれませんが、ご容赦ください。

・構成

追加

任意後見契約の相談から契約まで

任意後見等契約等の重要事項説明書

任意代理契約における当法人の監督に関する説明書

事前指示書

法人後見事務取扱標準報酬規程

削除

遺言公正証書

遺言書の保管等に関する約定書

・文言など

任意後見制度の仕組みについて、図の活用。

高松高判平成5年6月8日を題材としたＱ＆Ａの削除。

意思決定支援と任意後見制度について、障害者の権利に関する条約[1]に触れる。

　任意代理との違い、の章において、持続的代理権[2]という用語を使用。任意代理契約と任意後見契約の併用の問題点について、法務省のアンケート実施を記載[3]。

　任意後見契約における代理権目録に、契約の取消しなどについての代理権を予め付与することができることの記載。

　制度説明、動機の確認、制度選択の欄に、受任者のチェックポイントの記載。適切な後見事務が出来るか。受任者の心身の状態などについては削除。

死後事務委任契約についての記載の追加。

　令和４年法務省民事局「成年後見制度の利用促進に関する取り組みについて」アンケートによる、将来一定の公的機関等による監督、がなされる可能性について記載。

財産管理の監督の注意点として、原本確認を要することの記載を追加。

　未成年後見、障害のある子に任意後見任などがいるメリットについて、詳細な記述。注意点、メリットなど。老後の親の任意後見についての記載について、この章では削除。

　任意後見契約の登記について、数回の住所変更をしている場合の登記申請の回数について記載。

　任意後見契約書等作成のための業務委託契約書作成のために、委任者が遺言を作成していない場合、推定相続人の調査が必須、から、必ずしも必要ではない、に変更。

任意後見プランについて、即効型プランの場合は法定後見の利用を検討することを記載。

　任意後見等契約等の重要事項説明書において、報酬を決定する場合は根拠を示し、適正で、依頼者が納得するものであれば個別具体的な報酬で良いことの記載。

家庭裁判所が決定する任意後見監督人の報酬について、委任者に説明することを要することを記載。

　Ｐ８５、私のライフプラン（案）について、孫の学費として―中略―ただし、私の将来の資産に不安があるときは、援助をやめても構いません。

→私の将来の資産に不安があるとき、が抽象的ではないかなと感じます。

　継続的見守り契約及び財産管理等委任契約書の欄で、（公社）成年後見センター・リーガルサポートでは、任意後見契約を伴わない任意代理契約は原則として締結しないことの記載。任意代理契約の代理権の範囲は、日常業務と一部の身上保護事務に限定することの記載。

任意後見契約書について、報酬規程の追加。

死後事務委任契約書について、費用の問題の記載追加。

参考

登記研究 667号 164頁　平成15年2月27日 法務省民二第601号 民事局民事第二課長通知　不動産登記申請における任意後見人の代理権限を証する書面について

登記研究 890号 145頁　令和4年1月31日 法務省民一第167号 法務省民事局長通達　後見登記等に関する省令の一部を改正する省令の施行に伴う「後見登記等に関する事務の取扱いについて」の一部改正について

入っているかなと思っていたけれど、入っていなかった項目

意思決定支援を踏まえた後見事務のガイドライン

「人生の最終段階における医療・ケアの決定プロセスに関するガイドライン」について

---

[1] https://www.mofa.go.jp/mofaj/gaiko/jinken/index_shogaisha.html

[2] ニッセイ基礎研究所総合政策研究部研究員坂田紘野「海外の「成年後見制度」を概観する」2023 https://www.nli-research.co.jp/report/detail/id=74251?pno=2&site=nli

[3] 法務省「任意後見監督人選任に関する御案内及び意識調査への御協力依頼について」令和4年12月5日https://www.moj.go.jp/MINJI/minji04_00014.html

https://www.digital.go.jp/councils/0567fe93-b7d8-4c25-8a6c-46312c687f88/

令和４年（２０２２年）○月○○日

目 次

要約 ………………………………………. 1

1.背景 …………………………………….. 5

2.議論の範囲 ……………………………….. 7

2.1 トラストサービスが担保する範囲 7

2.2 トラストサービスの定義 8

2.3 トラストに関する関係者の整理 9

2.4 トラストの集中検討分野 10

3.トラスト確保のニーズ及び課題の洗い出し ……… 11

3.1 トラスト確保の実態調査 11

3.2 行政手続等のデジタル化の実態分析 13

3.3 海外の先行事例研究 14

3.4 有識者ヒアリング 16

4.トラストの確保のための検討 ………………… 24

4.1Identification のアシュアランスレベルの整理 24

4.2 トラストサービスの信頼性を評価する基準及び適合性評価のあり方の検討 27

4.3 行政でのトラストサービス活用推進 30

4.4 民間でのトラストサービス活用推進 33

4.5 トラストポリシーの基本方針 36

5.今後の取組 ………………………………. 38

5.1 行政のデジタル完結の推進 38

5.2 多様な主体を巻き込んだ検討の場の創設 38

5.3 e シールに関する制度整備 38

5.4 国際的に調和の取れたルール形成の推進 39

5.5 推進体制 39

6.まとめ ………………………………….. 41

構成員・オブザーバー ……………………….. 42

付録

A. 有識者からの発表資料（資料１―資料18）

B. トラストサービスに関するアンケート実態調査の報告

C. アシュアランスレベルにおける諸外国の先行事例

要約

「トラストを確保したDX 推進サブワーキンググループ」は、「データ戦略推進ワーキンググループの開催について」（令和３年９月６日デジタル社会推進会議議長決定）第４項の規定に基づき、トラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するため、令和3 年10 月25 日、データ戦略推進ワーキンググループの下に設置された。本サブワーキンググループでは、検討を実態調査や有識者へのヒアリングを通じたトラストニーズ及び導入課題の洗い出し、実態調査を踏まえたトラスト確保のための検討、今後のトラスト実装ユースケース及び推進体制の３つの柱に分け、計11 回にかけて行った。本報告書は、本サブワーキンググループの検討結果、構成員及びオブザーバーからの主要な意見、今後の方向性をまとめたものである。

I.トラストニーズ及び導入課題の洗い出し

議論の範囲

DFFT で必要とされる「トラスト」概念については、今後さらなる明確化が必要である。「トラストサービス」が担保する範囲については、紙の持つ真正性・非改ざん性を対象としたトラストをデジタルでも担保することから取組を始める。

トラストに関わる主要なステークホルダーやステークホルダー相互の関係性を全体像として整理した。

トラスト確保の集中検討分野として、まずは、「行政機関」が関わる手続・取引において、「行政機関」から主体的にトラストサービスの活用を推進していく。行政からのトラストサービス活用推進にあたっては、特に、日本企業の大部分の割合を占める中小企業のトラストサービス活用が進むよう工夫することが重要である。また、民間における取引・手続もDX における重要な領域であることから、民間における電子的な取引・手続についても同時に検討する必要がある。

トラスト確保の実態調査

トラストサービスのニーズがある分野について調査をした結果、主に「行政」、「金融・保険」、「情報通信」、「不動産」、「医療・福祉」、「運輸・郵便」の業種/分野のユースケースでのトラストサービスに対するニーズが確認された。

トラストサービスの導入課題としては、トラストサービスの認知度不足や企業間でのトラストサービス導入の足並みを揃えることの難しさの他に、事業者/サービス選定の難しさ「どのトラストサービス事業者を使えば適切かわからない」等）も挙げられた。

海外の先行事例として、エストニアの電子処方箋における、情報のやり取りや本人認証でのeID やトラストサービスの活用について考察し、日本での適用における課題について検討を行った。

「行政手続等の棚卸調査」（内閣官房（IT 室))をベースに、行政が関わる手続について、デジタル化の実態分析を行った。各府省の手続において、民間から行政への申請等ではデジタル化が進展しているが、それ以外の、主に行政から民間への処分通知/交付等では、その進展が限定的であること等がわかった。

有識者ヒアリング

トラストサービスに関わる現場でのニーズ、活用事例、社内外への導入・浸透課題等について、「監査」、「税務関連」、「金融」、「トラストサービス提供事業者」の有識者からインプットを受けた。

トラストサービスにおける政策及び法的課題として、「e シールの検討状況」、「電子契約の証拠力」について有識者よりインプットを受けるとともに、今後の改善や検討の方向性について議論を行った。

II 実態調査を踏まえたトラストサービスの検討

アシュアランスレベルの整理.

実態調査の結果から、トラストサービスの普及のためには、リスクと利便性を考慮した適切なサービスの選択やデジタルでの手続においてアナログとは異なる問題に対処する必要があることから、Identification のアシュアランスレベルの整理、トラストサービスの信頼性を評価する基準及び適合性評価のあり方の検討を行った。

行政手続へのトラストサービス活用推進. デジタル臨時行政調査会にてデジタル原則が整理され、デジタル原則の「デジタル完結」の推進において、「公的な証明書・講習・閲覧に対面書面を求める規制」等の見直しが検討されている。

規制見直しにあたっては、トラストサービスの活用が有効なことから、積極的にトラストサービスを活用していくべきである。

民間でのトラストサービス活用推進. 民間でのオンライン契約・手続等について、多様な意見を取り入れるため、マルチステークホルダーモデルで議論すべきである。マルチステークホルダーモデルの運営においては、特定の利害関係者に議論が引きずられることのない公平な議論の仕組み、ステークホルダーへの議論の参加を促す仕組み、効率的な運営の確保が必要である。また、eシールについては、民間サービスへの普及を促進するため、制度化についても検討を深めるべきである。

トラストポリシーの基本方針の整理：本サブワーキンググループでは、行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、考え方の指針とするため、構造改革のための「デジタル原則」に沿う形でのトラストポリシーの基本方針（国際通用性、技術中立性等）を整理した。

III.トラスト実装に向けた今後の取組

行政のデジタル完結の推進：公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和７年（2025 年度）６月までを目途にインプットを行う。あわせて、茨城県からの民間認証局の発行する職責電子証明書による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境の整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が運営するトラストサービスのあり方についても検討が必要である。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進める。

多様な主体を巻き込んだ検討の場の創設：まずは、民間同士の取引・手続に関係するトピックスとして、多様な関係者が参加しつつ、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」等を検討すべきである。e シールについては、民間サービスへの普及を促進するため、制度化についても検討を進める。

国際的なルール形成への関与：Identification のアシュアランスレベルについては、デジタル庁技術検討会にインプットし、行政手続の本人確認の議論に活用すべきである。民間での本人確認レベルに関する整備は、マルチステークホルダーモデルの中で、DADC の検討結果も踏まえて検討を継続すべきである。分散型アイデンティティや自己主権型アイデンティティ（Self-SovereignIdentity: SSI）がプラットフォームに依拠しない形で自身のコントロールの下で属性を開示する手法として世界的に注目されている動向を踏まえ、国際通用性を持ったDigital Identity Wallet についても継続的に検討を行うべきである。 さらに、国際的に相互運用性が求められるトラストサービスの市場ニーズの深掘りを行うとともに、諸外国における「トラストサービスの信頼性を評価する基準及び適合性」の検討動向等も踏まえつつ、「トラストサービスの信頼性を評価する基準及び適合性」について、引き続き今後の検討課題とする。

これらの検討課題を進めるにあたり、令和５年（2023 年）のG7 での打ち出しを目指して、DFFT の推進に向けたトラストの概念の明確化を行うとともに、トラストポリシーの検討を続ける。

1.背景

我が国は、狩猟社会（Society 1.0）、農耕社会（Society 2.0）、工業社会（Society3.0）、情報社会（Society 4.0）に続く新たな社会として、「サイバー空間（仮想空間）とフィジカル空間（現実空間）を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会（Society）」としてSociety 5.0 を目指している1。また、デジタル化によるプライバシーやセキュリティの課題が顕在化する中、我が国は、令和元年（2019 年）に、国境を越えた自由なデータ流通を促進するため、「信頼性のある自由なデータ流通（DFFT）」の概念を提唱した。

上記のようなビジョンを掲げていたものの、我が国では、新型コロナウイルス感染症対応において、行政におけるデータの生成・流通・活用におけるデジタル基盤の整備が不十分であることが明らかになった。そこで、令和３年（2021 年）９月、「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会」を目指してデジタル庁が設立された2。デジタル庁の目指す社会の実現にあたり、デジタルを前提としていない規制・制度の見直しなどの構造改革を行うことを目的として、令和３年（2021 年）11 月、内閣総理大臣を会長とする「デジタル臨時行政調査会」が創設され、デジタル原則に基づいて、政府の規制・行政の一体的なデジタル化が進められることになった3。

トラスト枠組みの整備については、令和３年（2021 年）４月、デジタル・ガバメント閣僚会議におけるデータ戦略タスクフォースの下に「トラストに関するワーキングチーム」が設置され、議論が行われてきた。令和３年（2021 年）６月閣議決定された「包括的データ戦略」4においては、Society 5.0 の実現やDFFT の推進を目的として、データ利活用の基盤となるトラスト基盤の構築に向けた主要な論点の整理が行われ、トラストサービスに対するニーズを分析した上で検討の順を明確にするべきとされた。このような状況を背景に、デジタル庁においては、「包括的データ戦略」の実装に向けて、トラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するため、データ戦略推進ワーキンググループの下に、「トラストを確保したＤＸ推進サブワーキンググループ」が設置された。

トラスト基盤構築における個別の取組に目を向けると、令和３年（2021 年）４月には、「時刻認証業務の認定に関する規程」（令和３年総務省告示第146 号）が制定され、タイムスタンプの国による認定制度が新たに創設された。諸外国との関係では、令和４年（2022 年）５月12 日には、日EU 定期首脳協議において、日EU でのデジタルパートナーシップが立ち上げられ、トラストサービスの相互運用性に向けたパイロットプロジェクトの取組の継続、デジタル・新型コロナ・証明（Digital COVIDCertificates）の同等性決定5に向けた取組、Digital Identity Wallet に関する継続的な情報交換がとりまとめられるなど、トラストに関わる日本と各国との相互連携は重要性を増している。

本サブワーキンググループでは、「包括的データ戦略」の実装に向けて、実態調査や有識者ヒアリングを通じたトラストサービスのニーズ及び導入課題の洗い出し、実態調査を踏まえたトラストの確保のための検討、今後のトラスト実装のユースケース及び推進体制の整理を行った。本報告書は、本サブワーキンググループでの議論の結果及び今後の検討の方向性をまとめたものである。

2.議論の範囲

2.1 トラストサービスが担保する範囲

「トラスト」は、Data Free Flow with Trust(DFFT)の“Trust”部分を構成しており、データがもたらす価値を最大限引き出すために不可欠な要素となっている。「トラスト」は今日様々な場面で使われており、文脈ごとに意味するものが異なるため一義的に定義することは難しいが、本サブワーキンググループでトラストを確保したデジタルトランスフォーメーションの具体的な推進方策を検討するにあたり、どのような「トラスト」を確保するべきか明確化を図るため、構成員より、トラストの全体像の整理（資料１）、データトラストにかかわる主題とスコープ、課題の整理が試みられた（資料２）。

議論を通じて、Society5.0 を目指す中で、「トラスト」は様々な分野、対象、目的に応じて異なる意味合いを持つ概念であることがわかった。構成員からは、「トラスト」の確保には、従来紙が実現している真正性（作成者，発信元又は存在時刻が記載どおりであること）や非改ざん性のオンラインでの確保のみならず、データの真実性（データの内容が正しいこと、虚偽ではないこと等を含む。）の確保、情報の発信者（ソシキ、ヒト、モノ）の確からしさ、長期にわたる経時的トラスト（longitudinaltrust）の確保も含まれるべきであるという意見が上がった（図１）。一方、現在利用されている又は想定されているトラストサービスは手続面を保証するものであり、データの真実性はベースレジストリが担うべきあることも指摘された。そこで、DFFTの「トラスト」の明確化にはさらなる議論を要するため、本報告書では一義的な定義を行わないことにした。そして、将来的には「トラスト」の範囲を拡大する余地を残しつつ、まずは、フィジカル空間で紙が持つ真正性・非改ざん性をサイバー空間でも担保するトラストサービスのあり方の議論から始めることにした。

（図１）「トラスト」で確保すべきもの

2.2 トラストサービスの定義

「トラストサービス」の定義については、これまで国内外において、報告書や規則において定義付けがされている。例えば、「プラットフォームサービスに関する研究会トラストサービス検討ワーキンググループ最終とりまとめ」においては、トラストサービスを「インターネット上における人・組織・データ等の正当性を確認し、改ざんや送信元のなりすまし等を防止する仕組み」と説明している7。欧州eIDAS 規則においては、以下の通り、具体的なサービスを想定した上でトラストサービスを定義している。

8　eIDAS Article3 Definition(16) ‘trust service’

“an electronic service normally provided for remuneration which consists of:

(a) the creation, verification, and validation of electronic signatures,electronic seals or electronic time stamps, electronic registered delivery services and certificates related to those services, or

(b) the creation, verification and validation of certificates for website authentication; or

(c) the preservation of electronic signatures, seals or certificatesrelatedrelated to those services;”9

（(a）電子署名、e シール、タイムスタンプの作成、検証及び有効性確認サービスとe デリバリーサービス、並びにこれらのサービスと関連する証明書(b)Web サイト認証証明書の作成、検証及び有効性確認、又は（c）電子署名、e シール及びこれらのサービスに関連する証明書の保存、から構成される、通常は対価を伴う電子サービス）10

多国間の商取引ルールの調和について議論する国際連合の組織である国際連合国際商取引法委員会（UNCITRAL）においては、「トラストサービス」について、「データメッセージの一定の品質の保証を提供する電子サービス」として幅広いサービスが含まれる余地を残しつつ、以下のように定義している。

“Trust service” means an electronic service that provides assurance of certain qualities of a data message and includes the methods for creating and managing electronic signatures, electronic seals, electronic time stamps, website authentication, electronic archiving, and electronic registered delivery services;11

「トラストサービス」とは、データメッセージの一定の品質の保証を提供する電子サービスを意味し、電子署名、e シール、タイムスタンプ、Web サイト認証、電子アーカイブ、およびe デリバリーサービスを作成および管理する方法を含むものである。12

また、ISO/IEC 27099 Information Technology — Public key infrastructure —Practices and policy framework13では、「トラストサービス」について、“electronic service which enhances trust and confidence in electronic transactions”（電子取引に対する信頼と確信を高める電子サービス14）と定義している。

2.3 トラストに関する関係者の整理

トラストに関わる関係者を把握し、政策立案にあたって、どの部分のトラストを確保する議論をしているのか、議論の可視化に資するために、トラストに関わる主要なステークホルダーやステークホルダー同士の関係を全体像として整理した。（図２）

図２では、全体像として、主要なステークホルダーを「行政機関」、「法人」及び「個人」とし、それぞれのステークホルダー間で取り得る手続・取引例について記載した。

また、昨今、法人がプラットフォームを提供し、個人同士がサービスを提供するシェアリングサービスが発生していることから、シェアリングサービスでの手続・取引についても記載した。

2.4 トラストの集中検討分野

トラストに関わる関係者の全体像を整理する中で、構成員より、中小企業15の電子化においては、大企業が中小企業にEDIなどの自社システムを使うよう求める結果、複数のEDI への対応を求められた中小企業は、どのシステムにも対応可能なように業務を紙で行わざるを得なくなることから、トラストの確保においては、中小企業がメインプレイヤーとして捉えられることが重要であるとの意見が挙がった。また、まずは「行政機関」が積極的にトラストサービスの活用を推進していくべきという意見が挙がった。

そこで、本サブワーキンググループでは、まずは、「行政機関」が関わる手続・取引において、真正性を確保した公文書の電子施行の推進など、「行政機関」からの主体的なトラストサービスの活用の推進を集中的な分野として検討する。また、検討にあたっては、トラストサービスの活用を行政が推進するにあたり、特に、日本企業の大部分の割合を占める中小企業に対してトラストサービスが普及されるような工夫を重視する。また、民間における取引・手続もDX における重要な領域であることから、民間における電子的な取引・手続についても同時に検討することとする。

3.トラスト確保のニーズ及び課題の洗い出し

3.1 トラスト確保の実態調査

行政サービス、民間サービス等において、サービス利用者におけるトラスト確保のニーズ及び現状について、企業/個人アンケートによる調査、海外の先行事例の研究等を行った。

トラスト確保のニーズがある分野

実態調査の企業アンケートにおいて、相手先の本人確認や情報の改ざん防止が必要な手続等を調査したところ、主に「行政」、「金融・保険」、「情報通信」、「不動産」、「医療・福祉」、「運輸・郵便」の業種/分野でのユースケースでのトラストサービスへのニーズが確認された (図３) 。

（図３）トラスト確保のニーズが確認された主なユースケース

海外連携が必要なトラストサービスのユースケースとして、業種共通の社外取引（受発注書、契約書、請求書等）や「金融・保険」他の業種固有の手続等が挙げられた（図４）。

（図４）海外連携が必要な手続等

個人手続においては、トラストサービスが有効と考えられる手続等での、デジタル/オンラインでの実施経験率は半分に満たないものが殆どだった。特に、アンケート対象者の１割以上の人が過去１年間に実施した手続き等（国内送金、携帯/スマホの新規契約、健康診断結果の発行及び銀行/証券口座開設）においても、デジタル/オンラインでの実施経験率は半分未満であった（図５）。

(図５)個人手続におけるトラストサービスが有効と考えられるユースケース

トラストサービスの導入課題

企業からのトラストサービスへの課題意識として、トラストサービスの認知度不足や企業間でのトラストサービス導入の足並みを揃えることの難しさの他に、事業者/サービス選定の難しさ（「どのトラストサービス事業者を使えば適切かわからない」等）も挙げられた（図６）。

（図６）トラストサービスへの課題意識（企業全体）

本企業アンケート結果での「普及に向けて考えられる施策例への関心」として、

「電子署名以外のトラストサービスの法的効力（証拠能力）の規定」、「認知・理解促進のための啓発活動」が挙げられた。「１．トラストスコープの議論の範囲」で指摘されたように、中小企業がトラストサービスを使用できることが必要であるところ、構成員より、中小企業が利便性やコスト面を考慮できるような、導入ガイドライン、トラストサービスの低コストでの設計、監査、運用体制が必要だとの意見が挙げられた。

3.2 行政手続等のデジタル化の実態分析

「行政手続等の棚卸調査」（内閣官房（IT 室))をベースに、「行政が直接関わる手続」及び「行政が所掌する民間の手続」等のデジタル化の実態分析を行った。各府省の手続において、民間から行政への申請等ではデジタル化が進展しているが（約７割）、それ以外の、主に行政から民間への処分通知/交付等では、その進展が限定的（約２割未満）であること等がわかった（図７）。

（図７）行政から民間への処分通知／オンライン化の遅滞

主な意見

• 交付文書のデジタル化が極めて低いことは問題である。まずは行政の民間へ

の交付文書のオンライン化比率を大幅に引き上げ、オンラインや電子的なト

ラストを親しみやすくしていくのが重要。行政組織内でのプロセス改革も含

めて急速に進めるべき。

• 民間から行政への申請等ではデジタル化が進展しているとあるが、デジタル

での申請等の使い勝手の面については依然として改善の余地が大きいものが

多々見受けられる。

3.3 海外の先行事例研究

本サブワーキンググループでは、エストニアの電子処方箋におけるデジタルID やトラストサービスの活用について考察し、日本での適用における課題について検討を行った。

エストニアの電子処方箋では、患者はEmail 等で医師に連絡し、医師が電子処方箋を発行し、電子処方箋情報をデータベースに登録する。患者は、薬局にてID カードを用いて本人確認を行う。薬剤師は、データベースにアクセスして電子処方箋のデータを参照し、薬を処方する。デジタルID は、患者の薬局での本人確認、Web 処方履歴閲覧、医師/看護師の識別・資格確認に用いられる。電子処方箋データのやり取りはX-Road を介して行われ、e シール、タイムスタンプ、e デリバリー等のトラストサービスが活用されている。（図８）。

（図８）エストニアの電子処方箋サービス

構成員からの主な意見として、「電子処方箋は、法律で認められているトラストサービスや公的個人認証相当のeID による認証を用いたサービスの実装例である。医療情報という重大な個人情報を扱う点において高いアシュアランスレベルが求められる領域であり、我が国でも目指すべき方向。」と提起されたように、日本での電子処方箋における本人確認やトラストサービスの活用可能性を前向きに捉える意見があった。また、「薬の受取時に本人認証を行うなど、電子処方箋の横流しによる多重の薬の処方がされないような仕組みとするべき。」「処方箋の発行依頼に際して、原則として患者本人の確認を行わないと、誰も受け取れない処方箋を発行することがあり得るのではないか」など、電子処方箋についてトラストを確保して運営する上で考慮すべき点が指摘された。

3.4 有識者ヒアリング

トラスト確保のニーズ及び課題についての有識者発表

トラストサービスに関わる現場でのニーズ、活用事例、社内外への導入・浸透課題等について、「会計監査」、「税務関連」、「金融」、「トラストサービス提供事業者」の有識者からインプットを受けた。以下は、有識者の発表の及び主な意見を、有識者の発表資料等を参考に記載したものである。（詳細は、付録A 有識者の発表資料（資料３～13））

会計監査業務

• トラスト基盤の整備により、デジタル証憑へのアクセスの容易化による業務効率化、不正防止効果、統制の見える化が進む。さらに、異常仕訳検知、データ分析等を活用した継続的監査が可能になるというニーズがある。

• データ標準が進んでいないこと及びトラストサービス導入コストに見合った便益を感じる支援策が無いことへの対応、暗号鍵管理の徹底、電子証明書の信頼性の確保、トラストサービス制度の理解向上等の課題がある。

（資料３「企業の業務プロセス変革及び監査業務のDX 化におけるトラストサービスのニーズ、課題について」）

税務関連業務

• 消費税のインボイス制度では、適格請求書のデータ発行が認められているが、電子インボイスが流通するにあたり、デジタルにおいて、紙の請求書に押印した法人の角印のような発出元証明制度（e シール）が必要になってくる。

• 企業の税務関連業務のDX 化において、慣習を変えたくないという企業風土、ワークフローシステム電子化への投資の負担が大きいこと、取引先の協力が得られないこと等が、電子取引普及の阻害要因となっている。

• 特に、中小企業では、システム投資の負担が大きいこと、電子帳簿保存法への対応の煩雑さ等が書面から脱却できない要因となっている。中小企業を含めた全ての事業者の電子化がすすめられ、デジタルトラストが確保されたデジタル社会を構築するには、法令等のさらなる規制緩和、システム導入コストや電子署名等の利用コスト等の低減を十分考慮することが必要である。

（資料４「税務関連業務のDX 化の課題について」）

金融業務

• 銀行において、個人向け口座開設やローン契約等相応の分野で電子化が進展。一方、法人の融資契約や口座開設は、提出書類の原本要求や、アンチマネーロンダリング関連手続があるため電子化の進展が遅い。また、手形取引においては小切手や紙ベースが主体。法人業務のエリアではe シールの活用余地が大きい。

• 銀行業務の対顧客手続へのトラストサービス導入においては、契約書成立の真正の立証負担（法的安定性の確保）、法人取引における正当な権限者による契約手続確保が不十分であること、サービス導入コスト（システム投資負担、ROI）、トラストサービスへの知識不足、セキュリティへの懸念、現状からのスムーズな移行負担等が課題である。（資料５「電子証明書のニーズと課題について」）

融資電子契約サービス

• 電子署名は自然人が対象である一方、証書貸付などの融資取引の契約者は法人であることが導入課題であった。

• そこで、個人が行う電子署名について、法人の意思決定に基づいての行為と紐づけるため、サービス申込書にて、法人が個人を融資契約に係る権限者及び電子契約者として指名する建付とした。また、ID を有効化するための初期暗証番号通知について、営業担当者が通知書を電子契約者に直接手渡すことにより、電子署名の本人性を担保することとした。

• 今後の課題として、ID 有効化のための非対面での初期暗証番号の確実な通知方法の確立及び個別行にとどまらない金融業界全体での電子契約の導入・デジタル化推進による顧客銀行双方の利便性・生産性の向上がある。（資料６「三井住友銀行で展開中の融資電子契約サービスについて」）

融資電子契約サービスについての主な意見

• 契約プロセスで認定認証業務の電子証明書を利用することについての、UX 上の課題はないのか。

• トランザクションの信頼性において電子証明を使っていく際、正当性の担保にあたって、エンドツーエンドでのプロセスフローを分析し、要件を明確にしていくことは重要。

• 国際間取引をする際に、企業内、法人内のトラストチェーン表現の国際的取決めが揃っていることが重要ではないか。

「電子文書への印影表示」の役割

• 多くの人は、捺印文書を見るとオフィシャルな文書であると感じることが生活習慣の中に染みついている。印鑑は、視覚的に本人の意思や書類の完全性が確認されていると信じる効果があると考えており、デジタルでも電子印鑑の活用余地があるのではないか。

• 電子印鑑は、使い慣れたツールであり一定の法的根拠はあるが信頼性（脅威耐性）は希薄。一方、電子署名は信頼性は高いが未だ一般に認知度が高いとは言えない。使い慣れたツールで信頼性が高いという両方のニーズを満たすことで、トラストサービスの普及が促進していく。

• インターフェースについては、取引の中で、印章が社内規定に入り込んでおり、運用自体を変えづらいという側面がある。新たな技術について、社内の制度設計や社内浸透へのコストや労力を省略する手段として、使い慣れたインターフェースは有効。（資料７「電子印鑑の歴史と電子契約におけるその役割について」）

「電子文書への印影表示」についての主な意見

• 印鑑や署名の画像という視覚性だけで信頼させるのは、ミスリーディングになる可能性がある。トラストサービスにおいて、技術的な検証結果を分かりやすくユーザに表示する方法は、アシュアランスレベルとセットで議論する必要がある。日本では、トラストサービスの検証方法がサービス毎で異なっている。EU では、eIDAS 規則においてトラステッドリストという信頼性の基盤、トラストアンカーを整備し、法的に有効なトラストサービスを検証できるサービスを欧州委員会が運用しており、検証のためのライブラリーもオープンソースで開発し、公開16しているように、公的に検証基盤を提供している。

• 認証業務には認定認証業務等、利用者と署名を紐づける信頼性保証の枠組みがある一方で、立会人型電子署名とNFT 印鑑における利用者の信頼性の紐づけはどうなっているのか。トラストサービスの保証レベルにおいて、立会人型電子署名をきちんと位置付ける必要がある。

• 企業内業務プロセスにおいては、電子印鑑の方式も有効なのではないか。

• 実印が「役所に対する信頼」で本人性を証明してくれるという記述については、実際に押印するプロセス、書類を渡すプロセスへの信頼が含まれていると思料するため、この辺りの整理をした方がよい。

• どのようにデジタルの世界での真正性のある書類への認知を受け入れてもらうかを議論することが重要。

トラストサービス提供事業者

グローバルDX ソリューション提供事業者

• 電子署名サービスをグローバルに提供する立場から、EU のeIDAS 規則の改善点として、各国間の個人情報保護、技術基準、相互運用性やセキュリティレベルにおけるハーモナイゼーション、デジタルID ソリューションの普及に向けた課題等を考察した。（資料８「SAP が認識するトラストサービスの現状と課題」）

電子証明書サービス提供事業者

• 電子証明書の利用事例（卒業証明書、帳票関係、車両登録書類、PCR 検査結果報告書）について紹介

（資料９「GlobalSign における電子証明書の利用事例」）

クラウド型電子署名サービス事業者

• 押印が支えた大量・迅速な商取引が、電子署名法の制定によってもデジタル化されなかったのは、同法の上振れしたトラストレベル設定がユーザーニーズに即していなかったことが原因。

• そうした過去の反省を踏まえデジタル原則を実現するためには、 「ちょうどよいトラスト」の選択肢を増やし、その普及をデジタル庁がリードすることが必要。

• すでに国内外のユーザの支持を集めるクラウド型電子署名サービスを、新しいトラスト法制において「スタンダード」と位置付けていただきたい。（資料10「「デジタル原則」を支えるクラウド型電子署名サービス普及促進の必要性）

クラウド型電子署名サービス事業者についての主な意見

• 政府の電子署名法第３条Q&A の中で示されたプロセスの固有性について、クラウド型電子署名では、どういう水準の固有性を確保しようとしているのか。今後IAL、AAL の水準を公表していくことは考えているのか。

• 当事者署名型のユーザの支持が広がっていないという説明の中で、認定認証業務の証明書の発行枚数を根拠として示しているが、当事者署名型には認定認証業務以外の当事者署名型があるので、認定認証業務が普及していないから当事者署名型が普及していないという解釈はミスリードになるのではないか。

• 「グローバル企業ユーザが選択する電子署名方式のシェア（概算）」の円グラフについては、クラウド型電子署名サービス協議会の加入企業が顧客に対して行ったアンケート結果だということを差し引いて考える必要がある。

トラストサービスの制度的課題についての有識者発表

トラストサービスにおける政策及び法的課題として、「e シールの検討状況」、「電子契約の証拠力」について有識者よりインプットを受けるとともに、今後の改善や検討の方向性について議論を行った。

e シールの検討状況

• 総務省が検討したe シールは、組織が発行するものに限定。発行主体と当該文書が改ざんされていないことを確認する仕組み。

• 発行元証明の信頼性担保のための措置の水準について、程度が軽いもので改ざんがされていないことを証明すればよいレベル、誰が出したものか確定的に言えるレベル、より高度の信頼性が担保されるレベルで、e シールをレベル分けしている。信頼性のレベルを分けて、レベルが低いものも阻害しないようにする意図がある。

• e シール用電子証明書の発行対象を特定するための識別子については、後に融通性が狭まることが無いよう、組織、個人、データ等の既存のID・番号も含めて包括的に表現可能な方式（OID：Object Identifier)を軸として今後検討すべき。

• e シールにおける認証局側の設備であるHSM については、現行のFIPS140-2 レベル３又はISO/IEC15408 のEAL4+を採用するべきだが、電子署名法の基準ではFIPS 140-1 を参照したままになっており、標準の現行化に対応したアップデートする仕組みを設けるべき。

（資料11「e シール政策の検討状況と今後の課題・ニーズ」）

e シールの検討状況についての主な意見

• （e シールに係る電子証明書発行手続について）代表者にオペレーションをさせるのは、大企業になるほどやりづらいという課題意識がある。オペレーションが簡素化できるよう検討するべき。

• e シールをサーバーサイドのスケーリングで使いたいときに、同じ証明書をコピーすることになるため、Derived Credential(派生資格)が重要になる。証明機関からの証明書により、企業内部で生成された鍵に対して署名していく形で、受け取った側が証明書のチェーンをたどっていき、正当性が検証できることが制度的に許される形が必要。

• Derived Credential については、オンラインで本人確認する際に、あらかじめ発行した鍵を使った本人確認が認められるか等の検討が重要。

• 利用者がサービスごとにe シール用の電子証明書/秘密鍵を持たされることのないような工夫をするべき。

• ｅシールの欧州PoC では、国際相互認証に向けた枠組みの検証で行っている。SDGs、環境、人権の枠組みでも、国際的に認証されたトレーサビリティーの確保が求められているので、枠組みの整備が必要とされているのではないか。

• 国民が安心してオンラインベースでのトランザクションを行うことができるようにするためには、e シールが法的な裏付けをもって整備されることが必要不可欠。技術進歩が急速な今日において法的な規律は最小限にしていくべきだが、フィッシング詐欺等が横行している現状では、オンラインベースでトランザクションを行っている相手方が認証を受けた正当な組織であるかを法的に確認できることは、「トラスト」の基盤として極めて重要ではないか。

電子契約の証拠力

• 電子契約は、なりすまし・改ざんが容易であることから、本人性と完全性の確認が重要。電子契約が有効に成立するにあたり、必ずしも電子署名を使う必要はないが、実際上、どれだけのレベルの信頼性が必要なものか、電子署名のレベル分けが求められる。

• 電子契約については、リスクと利便性を考慮して、本人性と完全性の確認において適切なレベルの電子署名等を利用することが必要。

• 電子契約の普及に必要な法的環境整備はほぼ完了していると思料。政府の公表した電子署名法２条１項・３条のQ&A における要件を満たしているかは、当てはめの問題として、法律専門家を活用しながら契約当事者や電子契約プラットフォーム事業者がセルフチェックすることで、用途に応じた適切なサービスを取捨選択していくことが必要。

（資料12 「電子契約の有効性について」）

電子契約の証拠力についての主な意見

• レベルに合わせた基準作りが必要。リモート署名や立会人型署名については、サービスの安全性について明確な基準が無く、認定や適合性監査もできていないため、利用者や裁判官も判断に迷うのではないか。

• 信頼レベルの基準作りについて、認印相当等のアナログの世界とは異なる基準が必要ではないか。

• レベルは、「手段」で分類するだけでなく、SP800-63-3B に倣って、「脅威耐性」ベースで検討するべき。

• プロセスだけでなく、ID やクレデンシャルを発行するオーソリティに相当するレベルについて議論することが必要。

• 現行の電子署名法施行規則２条に定める基準として、暗号アルゴリズムやbit 長まで書くことは技術進歩が速い中で適切であるか懸念。

• 民訴法228 条４項「二段の推定」について、立会人型電子署名の場合における考え方について、プロセスごとに整理する必要がある。特に「一段目の推定」（本人の印鑑による印影があれば、本人の意思による押印を推定する17）が電子化される場合の「一段目の推定」については、これまで議論されていない内容であるため、今後議論する必要がある。

• 電子署名法３条Q&A18の「十分な水準の固有性」について、２要素認証以外にも、いくつか例示があると利用者にとって分かりやすい。

• トラストについての判断は、技術的内容が含まれるので、法的判断の他に技術的専門家からの判断も必要ではないか。

• 「特定認証業務」の相互運用性とその実現手段を今後検討すべき。

電子化におけるe シールの活用可能性と制度上の課題

• トラストサービスの活用にあたって、紙や書面交付を求める制度の廃止と同時に電子化の標準形も示していくことが必要。

• 申請手順の中で、契約書等の原本性が要件となる手続規制が存在している。「原本性」や「真正性」担保の観点から証明書類発行の際等に原本提出を求めているケース、大元の書類が紙である故に紙で原本提出が必要なケース、組織として正式に発行し契約等内容の真正性担保が必要なケースにおいて、e シールを活用することにより、電子化が促進されるエリアが多数存在する。

• 特に、輸出入取引において、輸出サイドのみならず、輸入で必要な契約書、輸入者の誓約書、輸入時のインボイス、授権証明書等e シールで真正性を担保することで全体の電子化が促進されるものが多数存在する。さらに、貿易取引の中で残存していた「紙」による非効率部分が解消し、広く産業全体に対して効率化される。貿易取引の電子化が進展することで、マニュアルでの検証作業がシステム化され、「貿易ベースマネーロンダリング」（Trade Based MoneyLaundering, TBML）をシステム的に検知する基盤が整備され、日本としてのAML 対策上も有意義である。（資料13 「トラストサービスのユースケース及び制約となる制度について」）

4.トラストの確保のための検討

実態調査及び有識者ヒアリングにより判明した、トラスト確保のニーズやトラストサービスの導入における課題を踏まえて、以下の検討を行った。

4.1Identification のアシュアランスレベルの整理

実態調査で、「用途に沿ったトラストサービスの事業者/サービス選定」や「トラトサービス利用について企業間での足並みを揃えることが難しい」という課題が挙がったことを受け、リスクと利便性を考慮した適切なサービスの選択が必要であること、デジタル完結におけるオンラインの手続においてアナログとは異なる問題に対処する必要があることから、今回は、Identification のアシュアランスレベルの整理を行った。

海外の先行事例の把握

• eIDAS 規則、NIST SP800 63-3、NZ 政府Identification 管理基準におけるアシュアランスレベルの規定及び適切なアシュアランスレベルを選択する基準の考え方について考察した。（資料14「欧州eIDAS におけるアシュアランスレベル」、付録C アシュアランスレベルにおける諸外国の先行事例）

• •eIDAS 規則については、トラストサービスの普及によるデジタル化と欧州デジタル統一市場の促進を目的としてeID 及びトラストサービスを制度化し、その効果について一定の評価が得られているものの、eID やトラストサービスの効果、効率性及び普及における課題が見直されている。EU では、eIDAS2.0 に向けて、これらの課題を踏まえて、EU Digital Identity Wallet の開発やトラストサービスの下位規則の整備等で対応する方向で検討している。（資料15「eIDAS2.0 とEUDIW」）

Identification のアシュアランスレベルの整理検討の進め方

• 基本的な考え方は既存の国際標準を参照した上で、ベースレジストリが整備されマイナンバーカードの公的個人認証証明書や商業登記電子証明書がある日本の実情に応じて、これらを活用した身元確認の実現を検討すべき。

• 認証情報連携や割当もIdentification アシュアランスレベルの検討に入れるべき。

アシュアランスレベルの考え方やユースケース

以下の考え方が示されるとともに、図９の通り整理が行われた。

• マイナンバーカードの発行は、自治体職員という有資格者が対面で本人確認した上で発行しているため、IAL3 相当を超えるレベル。その結果、マイナンバーカードと顔写真の本人が一致することを対面で確認したもの及びマイナンバーカードの電子証明書を使った署名がなされているものはIAL3 相当と言えるのではないか。

• マイナンバーカードの発行以外の場面では、マイナンバーカードを用いた電子署名を使って本人確認に代えるという前橋市の「まえばしID」のように全て電子にしてしまうことは可能ではないか。19そうすると、本人の写真とリアルタイムの本人の画像マッチングが本当に要るのかということが論点になる。

• 本人写真とリアルタイムの本人画像のマッチングは、Authenticator と肉体の紐付け、本人以外によるAuthenticator の行使の検出、という２つの異なる目的があるため、それらを分離して論じるべき。

• 新型コロナワクチン接種証明書アプリは、マイナンバーカードを利用して簡単に登録できるという点で、ID Proofing のユーザビリティやコストが改善された。

• Identification と行政データの連携が可能な仕組みの整備が必要。

• 民間サービスにおいては、身元確認を必要以上に求めるとサービス加入者が減るといった弊害もあるため、マイナンバーカード以外にもeKYC のような多様な本人確認の選択肢が必要。民間サービスにおけるオンラインでの本人確認のユースケースについては、本人確認手法のレベル分け、リスクに応じた本人確認手法選択の考え方及びガイドライン策定に向けた進め方について、Digital Architecture Design Center(DADC)から取組状況の報告を得た。

（資料16 「インキュベーションラボ・プロジェクト「サービスに応じたデジタル本人確認ガイドラインの検討」）

今後の方向性

• 本SWG で整理したIdentification アシュアランスレベルの考え方やユースケースについて、デジタル庁技術検討会の「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」20見直しにインプットを行うことが必要である。

• 行政手続におけるアシュアランスレベルだけではなく民間サービスにおいてもこれを整理することが重要。本人確認レベルに関するアーキテクチャ整備については、マルチステークホルダーモデルの中で、DADC の検討成果も踏まえて検討を進めていくべきである。

• 分散型アイデンティティや自己主権型アイデンティティがプラットフォーム

事業者に依存しない形で本人確認や資格証明手続をデジタル化する手法として世界的に注目されている動向を踏まえ、国際通用性を持ったDigitalIdentity Wallet についても継続的に検討を行うべきである。

4.2 トラストサービスの信頼性を評価する基準及び適合性評価のあり方の検討

検討の方向性

• トラストサービスの信頼性を評価する基準及び適合性評価のあり方を考えることは、ID プロバイダのトラストを確保する上でも重要であり、国際通用性を見据えたトラストサービスの基準作りをするべき等の意見があったため、検討を行った。

• トラストサービス事業者の運用ポリシーとして、構成員より、組織要件、設備要件、技術要件、鍵管理要件、運用要件、監査要件、その他をトラストサービスに共通する基準、個別基準として整理し、「トラストサービスアシュアランスレベル」として整理することが提案された。（資料17「トラストサービスのアシュアランスレベルの考え方」）

• 一方、トラストサービスの信頼性を評価する基準及び適合性評価においては、構成員より、担保すべき内容や論点が多岐にわたることが指摘された。

検討における課題

トラストサービスの信頼性を評価する基準及び適合性評価のあり方の検討にあたり、課題及び満たすべき条件などについて、以下の議論が行われた。

• 国の役割：

トラストサービスの信頼性を評価する基準及び適合性評価の最も高い20 デジタル庁「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」（2019 年２月25 日）レベルを国が担保する場合、現状の体制では、国として最新の仕様をメンテナンスし続け、監査する体制を確保することが困難。例えば、電子署名法の認定基準は、施行規則や指針などで規定されているため、

最新の国際的な技術基準に追従してメンテナンスするのが困難になっている。したがって、一つの方向性として、技術基準を法定に書くのではなく、国際規格を参照することにより、国の負担も軽減され、より効果的な政策実現が可能になるのではないか。

トラストサービスで確保されるトラストは、法律的には「推定」の話であり、推定された事実を否認するための反証が許されるため、推定された事実について国として100％の保証を求めるものではない。

• 策定作業：

技術基準について、欧州電気通信標準化機構（ETSI）、欧州標準化委員会（CEN）で標準化されている技術基準と同レベルのものを想定するのであれば、膨大な作業を防ぐ上でも、既にある基準をベースに作業を省略していく工夫が必要である。

• 対象：

何をもっての正当かがユースケースによって異なる中で、アシュアランスレベルではなく、何の正当性について議論しているのか整理が必要ではないか。

• 軸の関係性：

Identificationアシュアランスレベルとトラストサービスアシュアランスレベルは、相互依存性の無いパラメーターにするべき。

• 監査要件：

認定事業者の監査体制において、一時点の監査ではなく、運用に対する透明性をAI による自動検査などでメタデータ連携を行い、担保していくことが重要

監査要件は、認定手続の中に入るのであれば理解できるが、アシュアランスレベルの中に入るのは違和感がある。

• 国際通用性：今後議論を深めていくためには、前提として確認すべき事実や共通認識を持っておくべき用語があることが挙げられた。

eIDAS でEU 域外との相互承認国が存在しない理由・障害となっている点を明らかにし、実現可能性の有無を確認した上での議論が必要である。

国際的通用性が必要な取引として「国境を越えた契約書」が挙がっているが、契約書は準拠法を書くので国際通用性は不要ではないか。

国際通用性の確保は、相手国の法律が準拠法であっても自国のトラストサービスが利用できることをいうのではないか。準拠法だけだと、例えば、日本法が準拠法となる場合に、外国企業でも日本の法律に基づいて判断されるため、外国企業も日本のトラストサービスを利用する必要が出てくる。逆に、欧州の法律が準拠法なら、日本企業は、日本のトラストサービスではなく欧州のトラストサービスを使うことが必要になる。契約書は準拠法を書くので国際通用性は必ずしも必要ではないという意見があったが、準拠法を定めたとしても、実際に証拠性などを考えるときに国際通用性は要るのではないか。

相互承認という用語への共通認識を持った上で、何を目的とした何に関するどの国（地域）との相互承認を検討するのか明確にすべき。

国際通用性の確保に向けて、国際的基準との整合性及び関連基準（ISO/IEC 27000 Series、CAB/F baseline requirement、ETSI･CEN規格、Webtrust 監査基準等）を参照した上で、各トラストサービスに対し、これらの基準への適合性評価を行う機関の要件を国際標準（ISO/IEC17065、ETSI EN 319 403 等）を参考に規定するべき。

国内のトラストサービスが海外においてもどういう保証レベルに位置づけられるトラストサービスか検証可能でなければならない。そのためには、国際標準に従った検証基盤の構築も必要になる。

• 機動性の確保：

各基準は法令から参照される独立した技術規格として策定されるべき。

技術進化、国際標準、社会環境に準じて、規格策定及び更新を継続的に行うための専門的な組織の設置の検討が必要となる。

• 既存の制度との整合性：

トラストサービスの議論を深めるにあたり、電子署名及び認証業務に関する法律の見直し（国際技術標準の活用を含む。）の検討は避けて通れない。

電子署名やe シール等の有効活用を促進するためには、認定認証業務に代表される信頼性の高いトラストサービスについて推定効などの法的効果を検討する必要がある。

• ユーザビリティ：

電子文書の通用性は、電子的な形式であるという理由だけでは否定されないとし、これについて法令による例外を認めないようにすべき。

どのレベルを満たしたトラストサービスであるか利用者にわかりやすい形での基準策定や仕組み（認定トラストサービスの機械可読な形での公開、当該トラストサービスに基づく情報の検証）の検討が必要

• 相互運用性：

デジタルな相互接続性・運用性を確保するためには、その技術準拠性を確認するための検証基盤の提供と当該テスト通過を適時確認する必要がある。

今後の方向性

担保すべき内容が多岐にわたること及び策定にあたり考慮すべき課題が多いこから、国際的な議論や外部環境の変化を踏まえて、トラストサービスの信頼性を評価する基準及び適合性評価のあり方について議論を進める。

4.3 行政でのトラストサービス活用推進

トラストサービスの提供する内容については、まずは、紙の持つ真正性・非改ざん性に対するトラストをサイバー空間でも担保するトラストサービスのあり方から議論を始めるべき、という意見が出た。加えて、トラスト確保の実態調査において、行政分野におけるトラストのニーズが高かったことが判明した。

一方、政府では、デジタル臨時行政調査会が立ち上がり、構造改革のためのデジタル原則が整理された。デジタル原則における「デジタル完結」の実現においては、書面、目視、常駐、実地参加を義務付ける手続・業務についてデジタル処理での完結が原則となるところ、「公的な証明書・講習・閲覧に対面書面を求める規制」等の見直しが検討されている。

「デジタル完結」にあたっては、手続・取引に応じた、本人・組織・（組織内権限者の識別を含む）存在時刻の真正性及びデータの非改ざん性を保証するトラストサービスが必要である（図10）。上記の規制見直しにあたっては、トラストサービスの活用が有効なことから、積極的にトラストサービスを活用していく（図11,12）。

具体的には、公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和７年（2025 年度）6 月までを目途にインプットを行う。

あわせて、茨城県からの民間認証局による職責による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境の整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が運営するトラストサービスのあり方についても検討が必要である。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進める。

(図12) 書面掲示、対面講習、往訪閲覧・縦覧規制の類型化とフェーズ

行政手続におけるトラストサービス活用推進を行政がスピード感を持って進め

ることにより、マルチステークホルダーモデルにて扱う民間でのトラストサービスの活用においても参照されるものとなることを目指す。

4.4 民間でのトラストサービス活用推進

マルチステークホルダーモデルでの議論

実態調査で挙がった課題に対処するため、民間でのオンライン契約・手続等については、技術進歩が進む中で使いやすいトラストサービスの実現を図る観点から、多様な関係者の視点を取り入れるためにマルチステークホルダーでの議論を行う (図13) 。

(図13)トラスト基盤構築に向けたマルチステークホルダーモデル

マルチステークホルダーモデルで扱う議題

マルチステークホルダーでの議論内容については、民間企業が参加意義を感じるテーマを扱うべきであるという観点のもと、例えば、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」などが考えられる。その他、実態調査で判明したトラスト確保のニーズも踏まえ、今後マルチステークホルダーモデルで取り扱う分野を検討していく必要がある。

また、構成員より、マルチステークホルダーでの議論は、あくまで法律事項に馴染まない実務的な取扱いやベストプラクティスを巡る議論に土俵を限定しておいた方が議論が収束しやすいのではないかとの意見もあった。

マルチステークホルダーモデルの活用例①リモート署名・e シールの技術基準の検討

諮問議題

• 電子署名法において、電子文書が利用者の作成に係るものであることを示す

ための措置としての「十分な水準の固有性」に必要な電子署名の技術基準は何

か （電子署名法３条Q&A の具体化）

• 電子署名法の技術基準の海外基準への適合に向けた整理

• e シールの民事訴訟法・電子署名法上の位置づけの整理

関係者

• 事業者：トラストサービス提供事業者、クラウド型電子署名サービス協議会、

（一社）Fintech 協会、(一社)日本ブロックチェーン協会 等

• 産業界：インターネット関連事業者、トラストサービス利用事業者

• 専門家：JDTF、JT2A、JIPDEC、法学者、その他標準化団体、トラスト関連学会

等

• 消費者：消費者団体、弁護士団体、NPO 法人

• 労働者：労働組合

• 政府 ：デジタル庁、法務省、総務省、経済産業省

マルチステークホルダーモデルの活用例②：公的機関が運営するトラストサービスのあり方について意見聴取

諮問議題

• 公的機関が運営するトラストサービスの改善課題（署名の有効性を利用者が簡便に確認できる環境の整備、国際標準規格への対応）

• 民間サービス活用やトラストモデル変更等の論点整理及び官と民の役割分担と責任分界の整理

関係者

• 事業者：デジタル庁、総務省、J-LIS、トラストサービス提供事業者、クラウ

ド型電子署名サービス協議会、（一社）Fintech 協会、(一社)日本ブロックチ

ェーン協会 等

• 産業界：インターネット関連事業者、トラストサービス利用事業者

• 専門家：JDTF、JT2A、JIPDEC、法学者、その他標準化団体、トラスト関連学会

等

• 消費者：消費者団体、弁護士団体、NPO 法人

• 労働者：労働組合

• 政府 ：デジタル庁、法務省、総務省、経済産業省、地方自治体

マルチステークホルダーモデルの運営で考慮すべき事項

公平な議論の仕組み

マルチステークホルダーモデルに参加するメンバーは、透明性確保のためにオープンエントリーの形で参加者を募集するなど柔軟性を確保した議論形態とする。一方で、トラストサービスは、取引・手続の信頼に係わることから、特定の利害関係者に引きずられないよう配慮が必要であるところ、自ら希望して議論に参加する者のみに議論が引きずられることがないように配慮する必要がある。この点、ステークホルダーとして議論に参加するべき者については、諮問を行う政府など中立的な者が議論へ参加するステークホルダーへの声掛けや議論の仕切りを行うべきであることも指摘された。

また、特定のステークホルダーの意見のみが大きくならないように、各コミュニティで意見を固めて、それぞれのコミュニティの代表者がコミュニティを代表した意見を発言する仕組みにするなどの工夫が必要であると指摘された。

議論への参加を促す仕組みマルチステークホルダーモデルへの関係者の参加を促すため、議論への貢献について、デジタル庁のサイトに参加者の貢献の記録を残すことなど可視化できる仕組みを取り入れることが必要という意見があった。一方、「トラスト」は、様々な者が行う手続・取引の信頼性に関わる内容であるため、議論に自発的に貢献する者のリードに任せるのではなく、全体的に特定の利害関係者の発言に引きずられないようにするための配慮が不可欠という意見があった。

効率的な運営

マルチステークホルダーでは、意思決定に時間がかかることから、政府が中心となってトップダウンで検討するべき課題と、ステークホルダーの意見を聞いてボトムアップで進める課題を区別して考えた上で、政府が進める政策をマルチステークホルダーモデルでも参照できるようにしておくべきという意見があった。また、マルチステークホルダーはあくまで諮問機関として、マルチステークホルダーモデルから提言された内容についての最終決定権は政府が持つべきとの意見があった。

なお、政府が中心となって検討する議題についても、多くの人にとって使いやすいトラストサービスを推進する観点から、マルチステークホルダーモデルにおいて、多様なステークホルダーモデルの意見を聞く機会を設けるべきである。

マルチステークホルダーモデルの運営においては、以上の点を考慮しつつ、マルチステークホルダーモデルの活用例に挙がった議題を中心に議論を進める中で、議論における意思決定等のルール設計についても検討を深める。

4.5 トラストポリシーの基本方針

トラストサービスにおける政策を検討する上では、専門家や一部の事業者に偏ることなく、多様なステークホルダーを交えて議論を行うこと、国際的な基準や制度との整合性を考慮しつつ国内の民間事業者に普及しやすいトラストサービスを目指すこと、グローバルに影響力を持つプラットフォーマーを含めたトラストサービスに関わる民間事業者との関係性を考慮することが重要である。また、令和４年５月12日には、日EU でのデジタルパートナーシップが立ち上げられ、トラストサービスの相互運用性に向けたパイロットプロジェクトの取組の継続等が記載されるなど、各国との相互連携は重要性を増している。

デジタル社会の実現に向けた重点計画（令和３年12 月24 日閣議決定）では、包括的データ戦略に関する具体的な施策の中で、「令和４年度（2022 年度）中を目処にトラストを確保する枠組みの基本的な考え方（トラストポリシー）を取りまとめる。」とされた。21本サブワーキンググループでは、行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、考え方の指針とするため、トラストを確保する枠組みの基本的考え方が満たすべき性質について、「デジタル原則」を支える「トラストポリシーの基本方針」として以下に整理した。（図14）

(図14)トラストポリシーの基本方針

トラストポリシーの整理にあたっては、構成員より、トラストポリシー策定において考慮すべき要素として、①方向性（利用者と提供者それぞれへのインセンティブ（ディスインセンティブ）の設計）、②安定性（長期間の有効性と社会的有効性の確保）、③最小性（トップダウンで定義するポリシーは最小限にする）、④柔軟性（技術的・経済的アジリティの確保）が提案された。（資料18「サービス提供におけるトラスト確保を実現するポリシー策定の論点」）さらに、構成員より、トラストサービスの社会への普及があってこそ裁判における安定性につながること、トラストサービスの普及においては現場での使いやすさを考えるべきであること、国際的通用性を検討するにあたっては、国際連合国際商取引法委員会(UNCITRAL)における議論を注視すべきであること等が指摘された。

トラストポリシーの基本方針は、構造改革のための「デジタル原則」を支えるものとし、今後、デジタル庁やマルチステークホルダーモデルでのトラスト基盤構築に向けた政策検討の際の指針として活用すべきである。また、トラストポリシーの検討にあたっては、トラストサービスの普及に伴いユースケースが具体化され、トラストポリシーにおいて考慮すべき要素も具体化が進むとの考えのもと、行政及びマルチステークホルダーモデルにおいてユースケースに基づいた議論を行いつつトラストポリシーの検討を続ける。さらに、令和５年（2023 年）のG7 での打ち出しを目指して、DFFT の推進に向けたトラストの概念の明確化を行う。

5.今後の取組

トラスト確保の実装に向けては、多様なステークホルダーの意見を聴取することが重要である。今後は、デジタル臨時行政調査会との連携や多様な主体を巻き込んだ検討の場を創設しつつ、官民でのトラスト確保の実装に向けて、以下の通り進める。

5.1 行政のデジタル完結の推進

公的な証明書に用いるトラストサービスの技術基準や活用方策について、行政が中心となって検討し、デジタル臨時行政調査会の規制見直しの集中改革期間である令和７年（2025 年度）６月までを目途にインプットを行う。あわせて、茨城県からの民間認証局の発行する職責電子証明書による電子署名活用の要望も踏まえ、署名の有効性を利用者が簡便に確認できる環境の整備や国際標準規格への対応など技術基準の継続的な最新化等、公的機関が運営するトラストサービスのあり方についても検討を行う。さらに、行政機関がトラストサービスを活用し、より円滑に処分通知等の文書発出をオンラインで行うことが可能となるよう検討を進めるべきである。

5.2 多様な主体を巻き込んだ検討の場の創設

民間でのオンライン契約・手続等について、多様な意見を取り入れるため、マルチステークホルダーモデルでの検討の場を創設する。マルチステークホルダーモデルの運営は、特定の利害関係者に議論が引きずられることのない公平な議論の仕組み、ステークホルダーへの議論の参加を促す仕組みの創設、効率的な運営を行う仕組みを構築する必要がある。マルチステークホルダーモデルでの議論は、民間同士の取引・手続について、例えば、「民間オンライン取引・手続に係る課題の検討」、「電子署名法のリモート署名・e シールへの対応と技術基準の最新化検討」、「経済界からのニーズにおけるユースケースごとのガイドライン」等を検討すべきである。

5.3 e シールに関する制度整備

タイムスタンプについては、国による認定制度に基づく運用が開始されているが、eシールに関しては、現状、在るべき姿の方向性や信頼性を確保するために証明機関が求めるべき基準の検討に係る指針が示されている段階である。今後、オンライン取引・手続において、発行元に関する証明のニーズが高まることが想定されるため、総務省が令和３年（2021 年）６月に公表した「e シールに係る指針」に基づき、e シールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向け、総務省の取組を支援すべきである。

5.4 国際的に調和の取れたルール形成の推進

Identification のアシュアランスレベルについては、デジタル庁技術検討会にインプットし、行政手続の本人確認の議論に活用すべきである。民間での本人確認レベルに関する整備は、マルチステークホルダーモデルの中で、DADC の検討結果も踏まえて検討を継続すべきである。さらに、分散型アイデンティティや自己主権型アイデンティティ（Self-Sovereign Identity: SSI）がプラットフォームに依拠しない形で自身のコントロールの下で属性を開示する手法として世界的に注目されている動向を踏まえ、国際通用性を持ったDigital Identity Wallet についても継続的に検討を行うべきである。さらに、国際的に相互運用性が求められるトラストサービスの市場ニーズの深掘りを行うとともに、諸外国における「トラストサービスの信頼性を評価する基準及び適合性」の検討動向等も踏まえつつ、「トラストサービスの信頼性を評価する基準及び適合性」について、引き続き今後の検討課題とする。

これらの検討課題を進めるにあたり、令和５年（2023 年）のG7 での打ち出しを目指して、DFFT の推進に向けたトラストの概念の明確化を行うとともに、トラストポリシーの検討を続ける。

5.5 推進体制

トラスト基盤の構築に向けた検討の枠組みについては、以下に基づき、政府が中心となって検討する性質のものと、政府が議論の場を提供するトピックに分けた上で、

①短期的なトラストサービス実装の検討（デジタル完結に向けたトラストサービスの活用推進（行政手続きにおける本人確認ガイドラインの改定、行政手続きにおける真正性ガイドライン（仮称）の作成、公的機関が運営するトラストサービスの活用のあり方等）及び②中長期的トラスト基盤構築に向けた検討（国際通用性を持ったDigital Identity Wallet の検討、既存の法体系を踏まえたトラスト法体系整理等）に分け、推進していく必要がある。(図15)

(図15)推進体制まとめ

6.まとめ

「包括的データ戦略」では、トラスト基盤の構築に向けた論点について、「デジタル庁を中心として関係府省庁が協力して検討し、2020 年代早期の実装を目指す。これらの論点は多岐にわたることから、トラストサービスに対するニーズを分析し検討の順を明確にすることが重要である。」22とされた。本サブワーキンググループでは、実態調査及び有識者からニーズの把握を行ったところ、オンラインでの手続・取引において、行政を含む幅広い業種/業界においてトラスト確保のニーズがあることが判明した。

本サブワーキンググループでの議論を通じて、包括的データ戦略でまとめられた論点について一定の進捗が見られた。例えば、「認定スキームの創設」については、実態調査や有識者ヒアリングから、オンライン取引・手続において、発行元に関する証明のニーズが高まることが想定されることがわかったことから、e シールの制度化が検討されることになった。「トラスト基盤の構築」については、行政を含めたマルチステークホルダーの関係者がトラストに係る政策を検討するにあたり、考え方の指針とするための「トラストポリシーの基本方針」が作成されたことは、トラスト基盤構築の前提として重要なものだった。さらに、「国際的な相互承認」については、今後、議論を深めていくためには、前提として確認すべき事実や国内外で共通認識を持っておくべき用語があることが指摘された。また、本サブワーキンググループ中に「日EU デジタルパートナーシップ」が立ち上げられ、日EU でトラストサービスの相互運用性に向けた取り組みが規定されたことは、相互承認に向けた日EU の相互理解に資するものとして有益である。「認定基準」についても、今後、マルチステークホルダーモデルにおいて、「リモート署名・e シールの技術基準の検討」等が議論される中で、議論が深まることが期待される。諸外国に目を向けても、オンラインでの手続・取引の増加に伴い、政府によるオンラインでの本人確認の基準作りやID・トラストサービスの活用が進んでいる。令和５年（2023 年）G7 議長国として、我が国がDFFT の具体化をリードすること、デジタル臨時行政調査会における「デジタル完結」

の実現に向けてトラストサービスの活用を促進することは大変重要であることから、今後もトラスト基盤の確立に向けた議論を進める。

最後に、会合中に挙がった有識者からの基本的な考え方を踏まえ、本サブワーキンググループにおいて「デジタル原則」に沿う形での「トラストを確保する枠組みの基本的な考え方（トラストポリシー）」の基本方針を作成した。トラストポリシーはトラストサービスの普及と並行して具体化が進むものである。今後もサービス提供におけるトラスト確保について、行政及びマルチステークホルダーモデルにおいてユースケースに基づいた議論を続けつつ、トラストポリシーの検討を続ける。

構成員・オブザーバー

（構 成 員）

太田 洋 西村あさひ法律事務所 パートナー弁護士

崎村 夏彦 東京デジタルアイディアーズ株式会社 主席研究員

佐古 和恵 早稲田大学 基幹理工学部情報理工学科 教授

◎ 手塚 悟 慶應義塾大学環境情報学部 教授

濱口 総志 慶應義塾大学SFC 研究所 上席所員

林 達也 LocationMind 株式会社 取締役

宮内 宏 宮内・水町IT 法律事務所 弁護士

宮村 和谷 PwC あらた有限責任監査法人 パートナー

高村 信 総務省サイバーセキュリティ統括官付参事官

土手 敏行 法務省民事局商事課長

奥田 修司 経済産業省商務情報政策局サイバーセキュリティ課長

（オブザーバー）

伊地知 理 一般財団法人日本データ通信協会 情報通信セキュリティ本部 タイムビジネス認

定センター長

井高 貴之 厚生労働省 医政局 研究開発振興課 医療情報技術参与

太田 大州 デジタルトラスト協議会 渉外部会長

小川 博久 日本トラストテクノロジー協議会 運営委員長 兼 株式会社三菱総合研究所

デジタル・イノベーション本部 サイバー・セキュリティ戦略グループ 主任研究員

小川 幹夫 全国銀行協会 事務・決済システム部長

奥野 哲朗 厚生労働省 医薬・生活衛生局 総務課 課長補佐

金子 聖治 厚生労働省 医薬・生活衛生局 総務課 指導官

小松 博明 有限責任あずさ監査法人 東京ＩＴ監査部 パートナー

佐藤 創一 一般社団法人新経済連盟 政策部長

佐藤 帯刀 クラウド型電子署名サービス協議会 協議会事務局

柴田 孝一 セイコーソリューションズ株式会社 DX サービス企画統括部 担当部長

兼トラストサービス推進フォーラム 企画運営部会 部会長

島井 健一郎 厚生労働省 医政局 研究開発振興課 医療情報技術推進室 室長補佐

島岡 政基 セコム株式会社IS 研究所 主任研究員

袖山 喜久造 SKJ 総合税理士事務所 所長

豊島 一清 DigitalBCG Japan Managing Director

中須 祐二 SAP ジャパン株式会社 政府渉外 バイスプレジデント

中武 浩史 Global Legal Entity Identifier Foundation ( GLEIF ) 日本オフィス 代表

小倉 隆幸 シヤチハタ株式会社 システム法人営業部 部長

西山 晃 電子認証局会議 特別会員（フューチャー・トラスト・ラボ 代表）

野崎 英司 金融庁 監督局 総務課長

肥後 彰秀 独立行政法人情報処理推進機構（IPA） デジタルアーキテクチャ・デザインセンタ

ー（DADC）インキュベーションラボ デジタル本人確認プロジェクトチーム プ

ロジェクトオーナー

三澤 伴暁 PwC あらた有限責任監査法人 パートナー

山内 徹 一般財団法人日本情報経済社会推進協会 常務理事・デジタルトラスト評価センター長

若目田 光生 一般社団法人日本経済団体連合会 デジタルエコノミー推進委員会企画部会

データ戦略 WG 主査

（デジタル庁（事務局））

デジタル社会共通機能グループ 楠 正憲グループ長、犬童 周作グループ次長 他

（50 音順・敬称略、◎主査）

有識者からの発表資料

付録Ａ

トラストを確保したDX推進SWGにおけるトラストの全体像

2021年11月18日

慶應義塾大学

手塚悟

トラストのレベルは、身元確認(IAL)、クレデンシャルの強度(AAL)、トラストサービス事業者の信頼度(TAL)で決定され、手続き記録の真正性（証拠力）が求められる程度で電子署名もしくは電子認証が選択されうる。

従来は業務アプリケーション毎の判断で本人を確認しクレデンシャル（パスワード等）を発行し利用者を特定していたが、社会的混乱を防ぐためベースレジストリと紐づけたデジタルIDをトラストサービス事業者から発行するスキームの創設が重要となる。

そのためにはデジタルIDの保証レベルや、デジタルIDを発行するトラストサービス事業者に求められる保証レベルを検討する必要がある。

トラストの認定の枠組み

トラストの認定の枠組みの検討

認定基準の策定が重要

企業の業務プロセス変革及び監査業務のDX化におけるトラストサービスのニーズ、課題について

2021年11月18日有限責任あずさ監査法人小松博明

ＳＫＪ総合税理士事務所所長・税理士袖山喜久造

デジタル庁：トラストを確保したDX推進サブWG

「税務関連業務のDX化の課題について」～改正電子帳簿保存法による対応～

民間企業等の税務関連業務のDX推進上の課題について

1．業務においての取引書類

会社が行う業務で取引先とやり取りする取引書類は、ほぼ税法(特に法人税法や消費税法)で保存が必要な書類となります。取引書類は税法等で保存義務が規定され、税法等の規定による保存が必要となります。

2．取引書類の社内処理

取引において取引先に発行又は受領する書類は、社内において必ず処理が必要です。会社内の業務処理を書面で行うか、データで行うかにより業務効率、適正性が異なってきます。書面処理は各担当者の属人的能力に依存します。データ処理の場合にはシステムにおいて一定程度の適正性や確実性が担保可能であり、業務効率も向上することになります。

3．社内処理の電子化の課題

①取引書類をデジタルデータに変換する必要（発行元が作成したデータを活用）

②社内処理をデータ処理が可能となるワークフローシステムの導入が必要（ＤＸの活用）

➂社内システムに取引情報を入力する必要（ＤＸの活用）

➃取引書類データは、電子帳簿保存法の入力や保存要件を満たす必要（電帳法要件を満たしたシステム導入)

➄税務関連帳簿書類を法定期間保存する必要（安全性のあるストレージ）

⑥重要な取引書類については、データの真正性を確保する必要（改ざん等の防止）

⑦取引書類の授受をデータで行う場合には、発行元の証明が必要(角印に代わる措置)

４．電子化の阻害要因

①電子化するためのコスト（特に中小企業も利用できるパッケージやソリューションが必要)

②取引先の協力が得られない（取引書類のデータ発行や受領の理解をどのように得るか)

➂誤送信リスクや発行元の信用ができない（専用システムの利用や信頼できる認証局による電子証明書が必要)

➃電子化の利便性が感じられない(社内処理は一気通貫でデジタル化を進める必要)

➄現在のやり方を変えたくないという社内風土(トップダウンで業務改革を行う風潮を醸成する)

民間企業等の税務関連業務のDX推進上の課題について

５．税務関連業務の電子化

法人税、消費税法の税務申告においては、電子申告が義務化(資本金1億円超の法人等)され、申告時には申告書類はデジタル化されている。また、ほとんどの企業において会計帳簿はデータで作成されているが、社内処理は依然として書面で行う方法が定着している。

書面処理をデータ処理に変更することは、社内運用のリスクがあり消極的な企業が多いことは事実である。

税法関連帳簿書類等の電子化関係法令

電子証明書ニーズと課題について

中武浩史

GLEIF Japan

18 th November 2021

1. 銀行における電子化の現状

2. 海外におけるe-シールの活用事例

3. 普及に向けての課題

4. 今直面する課題：具体的事例

1. 銀行における電子化の現状

インターネットバンキング（個人・法人）、税公金収納、個人向け新規口座開設、個人向けローン契約等、相応の分野で電子化は進展

業務別では、法人融資契約（まだ窓口が主体、提出書類が電子でない）、法人口座開設（実質的支配者の確認等AML/CFT等に課題）といった法人契約に関わる分野の電子化は必ずしも進んでいない

手形は電子債券に移行が進む一方、小切手・その他証券（株式配当金領収書等）はまだまだ

電子化で残された法人業務（小切手・領収書等含）エリアはeシール活用の余地大

出典；金融庁金融業界における書面・押印・対面手続の見直しに向けた検討会令和２年８月19日第5回全国銀行協会発表資料より

2. 海外におけるe-シールの活用事例

1) 欧州eIDAS指令の元での（スペイン・イタリア）等の事例

 法人税申告でのeシール利用義務

 UBLフォーマットを用いた公的セクターへのインボイスへのeシール付与義務

 その他電子書類手続き

— 雇用契約、サービス契約、SLA、発注書等契約の発行と受諾

2) 香港の事例

 USBないしソフトウエア形式で組織に対しての電子証明書発行（eシール+電子署名的位置？）

 主に貿易取引の通関申告等での利用を目的に20年以上前から運用

— 香港では手数料の観点で主に利用が多い電子小切手発行の裏付けとして活用（携帯で電子小切手発行が可能）

— 日本の手形小切手電子化検討の中で、小切手は８割を占める。オンラインバンキングへの移行が主軸であるが、より簡便で安価な香港の手法は普及に向けた良い参考になる

3. 普及に向けての課題

4. 今直面する課題；具体的事例

日本ーEU間での契約締結

1. 日本の不動産契約に欧州企業が調印

2. 欧州ではeIDAS配下、電子署名、eSeal付与が標準であり電子的に署名

3. 日本企業側では直筆でのサイン、署名の登記証明を要求

4. 更に欧州企業が何者か、登記事項含めた情報も要求

5. 欧州ではデジタル上で確認されるものが全てであり、法的にも有効

• eシールでの電子的有効性が担保され、LEIで企業情報にもアクセスし、信用の補完が必要な典型的事例

三井住友銀行で展開中の融資電子契約サービスについて

2021年12月13日一般社団法人全国銀行協会（株式会社三井住友銀行事務統括部上席推進役）楠俊樹

融資電子契約サービスについて

電子署名スキーム【図表】取引実績

融資業務フロー効果

電子署名法準拠の当事者署名型電子署名を活用し、融資の契約プロセスを電子化

お客さまは銀行への往訪や書類への記入・押捺なく契約締結が可能

２０２１年１２月１３日シヤチハタ株式会社システム法人営業部部長小倉隆幸

電子印鑑の歴史と電子契約におけるその役割について

第２回トラストを確保したDX推進サブワーキンググループ（2021年12月13日Mon.）

2021/12/13 © Shachihata Inc. 2

電子印鑑、開発の理由

社内に息づく、“自己否定”の精神～スタンプ台から浸透印へ、そしてデジタルスタンプへ～

• １９９５年、創業以来初のソフトウェアをリリース

• 「PCで作成するのに、承認印を捺すためだけに印刷する」こんな無駄を省くため、開発を手がけた

→ いち早く対応、ノウハウを蓄積

時代背景と法整備の推進

共に進化し続けて25年

進む法整備と電子印鑑の歴史

∎1998年7月施行：電子帳簿保存法

∎2001年4月施行：電子署名法

∎2001年4月施行：IT書面一括法

∎2005年4月施行：e文書法

共に進化し続けて25年

→ 法整備だけでは進まず、せざるを得ない状況下で動く

在宅勤務推進がリモートワークに大きく影響

∎電子印鑑の普及は法整備の影響が少なかった

∎働き方改革がクラウド化を加速

∎環境変化により、ドラスティックな展開をした

→ 人は変化を嫌う

印鑑の役割について

2021/12/13

© Shachihata Inc. 12

• 最高裁S39.5.12判決

本人等の印章により事実が確定された場合、反証がない限り、本人の意思に基づいて成立したものと推定

• 民事訴訟法第228条

本人等の署名・押印がある場合、真正に成立したものと推定

＝認印と同様の効力がある電子印鑑の効力は？

「たぶんその人が捺したのだろうの判断」に基づく

裁判になったときの証拠能力は低い

一方、公開鍵暗号方式だけによる電子契約では、公開鍵暗号方式の効力は？

一般利用者による知識/ 理解は低い＝電子署名として十分な効力がある

信頼された「認証局」により、本人であることを証明

2021/12/13

© Shachihata Inc.

※ 本資料に記載された会社名・商品名は、一般に各社の登録商標または商標です。

SAPジャパン株式会社

バイスプレジデント政府渉外中須祐二

SAPが認識するトラストサービスの現状と課題

© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ PUBLIC

SAPは幅広い業務領域において電子署名ソリューションを提供（DocuSign, OpenTextとの連携）

EUの現行ルールーeIDAS規則（2014年）

加盟国が、公共サービスへの安全なアクセスを可能にするデジタルIDシステムを市民や企業に提供する義務や、EUの国境を越えた利用を確保する義務は含まれていない。このため、国によって適用にばらつきがある。

欧州委員会が相互運用性のためのオープンソースフレームワークを提供。

デジタルID:

9つの指針：ユーザーの選択、プライバシー、相互運用性とセキュリティ、信頼性、利便性、ユーザーの同意と管理の均整、相手の認識、グローバルな拡張性

3種類の電子署名を定義: 標準電子署名(Standard)、高度電子署名(Advanced)、適格電子署名(Qualified)

* 取引の種類毎に必要な署名の種類は、各EU加盟国の国内法で定めらる第一次調査結果

トラストサービス：利用可能性と利用率、各国のセキュリティレベルの同等性、監督活動の調和

eID：実装の弱さ、市民への普及率の低さ、相互運用性の難しさ、ユーザーの利便性の低さ、通知プロセスの複雑さ、公共サービスに限定

SAPが認識するEUでの改善点（eIDAS)

各国間のハーモナイゼーション:

「個人情報」が各法域で事実上同じ意味で理解されることを保証

各国の技術基準の不一致を避ける

相互運用性とセキュリティレベル

すべての国民や企業が利用可能なデジタルIDソリューションの使用を希望または選択するとは限らず、また国民にオプトアウトする法的権利が与えられているため、普及に懸念（不信の文化）

データ保護ー重要課題

データ保護とプロファイリングの経済的・社会的影響

法律の執行度と罰則による十分な抑止力の有無

産業界にとって負担となりうる要件:

• 技術的実現と標準化

• 情報が収集された後、その使用を管理するための効果的な技術的メカニズム

• 中心となるIDシステムのユーザー・エクスペリエンス

GMOグローバルサイン株式会社

伊藤健太郎

February 8, 2022

GlobalSignにおける電子証明書の利用事例

①卒業証明書への署名

②帳票関係への署名

③車両登録書類への署名

④PCR検査結果報告書への署名

(C) GMO GlobalSign K.K. All Rights Reserved.

• 今回ご紹介をさせていただきました事例で利用がされている証明書は、EUの

Qualifaied Certificates（QC）ではありません。

あくまでも弊社のQC以外のプロダクトから発行した「組織用証明書」を利用し

た署名（eシール）の事例となります。

• その他に証明書を利用した署名事例では、「納税申告」や「FDA申請」などの活用もあります。

「デジタル原則」を⽀えるクラウド型電⼦署名サービス普及促進の必要性

2021年12⽉27⽇クラウド型電⼦署名サービス協議会代表理事橘⼤地

トラストを確保したDX推進サブワーキンググループ

第3回提出資料

デジタル庁および本SWGの皆様にお伝えしたいこと（サマリー）

• 押印が⽀えた⼤量・迅速な商取引が、電⼦署名法の制定によってもデジタル化されなかったのは、同法の上振れしたトラストレベル設定がユーザーニーズに即していなかったことが原因

• そうした過去の反省を踏まえデジタル原則を実現するためには、「ちょうどよいトラスト」の選択肢を増やし、その普及をデジタル庁がリードすることが必要

• すでに国内外のユーザーの⽀持を集めるクラウド型電⼦署名サービスを、新しいトラスト法制において「スタンダード」と位置付けていただきたい

c 2021 CeSSA 2

平成12年には当事者署名型を⾼度なトラストと位置付けた電⼦署名法が制定されたが、この10年ユーザーの⽀持は広がっていない

⼀⽅、事業者署名型は「ちょうどよいトラスト」として企業に受け⼊れられ、近年の⽇本では数少ない成⻑産業の⼀つとなっている

グローバルでも、電⼦署名サービスのスタンダードとして、事業者署名型の利⽤が急速に拡⼤している

Appendix

c 2021 CeSSA 10

• 2021年12月当協議会実施

紙の契約書に押印する実印／非実印の使い分けに関するアンケート

• クラウド型電子署名普及を支持するユーザーからの定性コメント

令和３年12月13日総務省サイバーセキュリティ統括官付参事官高村信

eシール政策の検討状況と今後の課題・ニーズ

デジタル庁

トラストを確保したDX推進サブワーキンググループ（第２回）

eシールに係る指針の策定

• 組織等が発行する証明書

検討に当たっての主な観点

• eシールの利用者視点で、わかりやすいeシールの目的・用途

• eシール用電子証明書発行事業者視点で、参考となるeシールの仕組み

や技術基準等

３．eシールの普及・利用促進

• 同じトラストサービスの１つである電子署名法上の電子署名との関係性

• 商業登記に基づく電子認証制度上の電子署名との関係性等

１．国内の類似制度との整合性

• EU等の諸外国の仕組み・制度との整合性

• ISO等国際標準との整合性等

２．国際的な整合性

組織が発行するデータの信頼性を確保する制度に関する検討会

新井聡NTTネオメイトITビジネス本部プラットフォームサービス推進本部電子認証サービス担当主査

伊地知理一般財団法人日本データ通信協会情報通信セキュリティ本部タイムビジネス認定センター長

岡田勲日本電気株式会社サイバーセキュリティ戦略本部主席事業主幹

小川博久日本トラストテクノロジー協議会運営委員長

小木曽稔一般社団法人新経済連盟政策部部長

小田嶋昭浩電子認証局会議事務局

堅田英次東京海上日動火災保険株式会社IT企画部次長兼企画グループ課長

小松文子長崎県立大学副学長

小松博明有限責任あずさ監査法人東京IT監査部パートナー

柴田孝一トラストサービス推進フォーラム企画運営部会長

渋谷秀人富士通株式会社政策渉外室シニアエキスパート

袖山喜久造SKJ総合税理士事務所所長

手塚悟慶應義塾大学環境情報学部教授

中田秀明公益社団法人日本文書情報マネジメント協会法務委員会委員長

中村信次株式会社日立製作所公共イノベーションビジネス推進本部公共戦略企画部部長

濱口総志慶應義塾大学SFC研究所上席研究員

宮内宏宮内・水町IT法律事務所弁護士

山内徹一般財団法人日本情報経済社会推進協会常務理事

若目田光生一般社団法人日本経済団体連合会デジタルエコノミー推進委員会主査

株式会社日本総合研究所リサーチ・コンサルティング部門上席主任研究員

• eシールについて、ユースケースの具体化や有効性の検証を行うとともに、サービス提供者の認定の基準やそれに基づく民間の

認定の仕組みを検討するために有識者検討会を開催。

• 学識経験者、会計関係、トラストサービス提供事業者、評価機関、経済団体（利用企業）等で構成。

（座長）

（座長代理）

（オブザーバー） 内閣府、内閣官房、法務省、財務省、金融庁、経済産業省

eシールの定義

方向性

• 我が国におけるeシールの定義は以下のとおり。

発行元証明： 電子文書等の発行元の組織等を示す目的で行われる暗号化等の措置であり、当該措置が行われて以降当該文書等が改ざんされていないことを確認する仕組み。

• 我が国におけるeシールの定義はどうあるべきか。

確認事項

• eシールの定義を発行元証明とすることに賛同。

• eシールと電子署名の違いを明確にし、使う側がどちらを使えばいいのかを明確にわかるようにした方がよい。

【参考】議論であがった主な意見（抜粋）

b)「事実・情報」：発行元証明

自然人、法人や事業所などの「組織」、さらにはIoT 時代において爆発的に増大する「機器」が存在するという事実と、当該機器が発行する情報等の信頼性を担保するためには、発行した自然人・組織・機器が信頼できるか、その発行方法が信頼できるのか、当該事実・情報が作成しようとした通りのものかなどの証明（発行元証明）が必要である。

① eシールに求められる要素

方向性

• 我が国におけるeシールは以下のようにレベル分けを行う。

レベル３： レベル２に加えて、十分な水準※１を満たしたトラストアンカー※２によって信頼性が担保されたeシール（発行元証明として機能することに関し、第三者によるお墨付き（将来的には国による認定制度等の要否を検討）があるものを想定）

主な用途例：国際取引等における証憑類、法的に保存義務が課されているデータ、排他的独占業務とされている士業の証明書等

レベル２： 一定の技術基準を満たすeシール（技術的には発行元証明として十分機能することが確認できるもの）

主な用途例：行政手続における提出書類※３、民民の契約に関連する書類、IR関連資料等の公開情報等

レベル１： 裸のeシール（eシールの定義（P８参照）には合致するが、レベル２の要件を満たす保証がないもの）

主な用途例：民民における企業間で日常的にやり取りされる電子データ全般、発行元を担保したい情報等

注） eシールのレベルを判別するための呼称については将来決定することが必要。

• eシールの用途等にあわせて、レベル感を分けて検討することが必要か。

検討事項

今後、eシールは発行元証明として様々なユースケースでの使用が期待される。

例えば、国際取引等における証憑類に使用する場面においては、当該eシールについて国際的な整合性を求められることが想定され、行政手続における提出書類等に使用する場面においては、当該eシールが一定の水準を満たしていることを求められることが想定される。

一方、eシールの普及・利用拡大の観点では、例えば、日常的に企業間でやりとりする資料等にeシールを行ったり、個人事業主や中堅・中小企業等においてeシールを活用する場面においては、低コストで簡便に利用できるeシールのニーズも想定される。

また、EUにおいては、eシール、先進eシール、適格eシールと３つのeシールが定められており、用途やeシールの効力に応じてそれぞれのeシールが使い分けられている。

これらに鑑みて、我が国におけるeシールは、用途や活用場面に応じてレベル分けを行い、利用者自身である程度選択的にeシールを

利用できるようなフレームワークにすることが適切だと考えられる。

• eシールは必ずしも完璧なものである必要はなく、例えば印鑑では印鑑登録しているものに限定していることもあれば、緩いものが使われることもあり、レベル分けされたeシールがあるのはいいこと。

• 用途等にあわせてeシールをレベル分けすることに賛同。

• eシールの法的効果として、「組織から発出されたことが推定できる」といったことを規定できるといいのではないか。

【参考】議論であがった主な意見（抜粋）

※１ 組織等の実在性確認の方法、電子証明書のフォーマット、認証局におけるセキュリティ要件等の一定の水準

※３ 用途によっては、レベル３が必要となるケースも考えられる

※２ インターネットなどで行われる、電子的な認証の手続きのために置かれる基点。信頼性の起点となる認証局を想定。

① eシールに求められる要素

【】内は、本来、意思表示を目的とする“電子署名”が馴染むと考えられるユースケース主に機械的に大量に発行するものにeシールの活用が期待

【参考】各ユースケースとeシールのレベルとの関係性の一例

② eシール用電子証明書の発行対象となる組織等の範囲

方向性

• eシール用電子証明書の発行対象は、法人、個人（主に個人事業主を想定）、権利能力なき社団・財団、その他任意の団体等の組織とする。

• それよりも粒度の細かい、事業所・営業所・支店・部門単位や、担当者（意思表示を伴わない個人）、機器については、電子証明書の任意のフィールドである拡張領域に記載することができることとする。

• eシール用電子証明書の発行対象となる組織等の範囲は以下のどこまでを含めることが適切か。

法人、個人事業主、権利能力なき社団・財団、その他の団体等の組織

事業所・営業所・支店・部門等の組織内の細かい単位

その他（組織に所属する個人、機器等）

検討事項

eシール用電子証明書の発行対象については、対象とする組織自体の範囲や組織内のより細かい区分を含むかどうか等について検討が必要となる。

対象とする組織自体の範囲については、eシールの普及・利用拡大の観点から、発行対象の実在性を認証局が確認できることを前提に、法人に限定せず幅広い対象を含めることが適当だと考えられる。

他方、発行対象として組織内の事業所等を含むかどうかについては、含めることに対するニーズもあるが、認証局においてその実在性等を確認することが極めて困難である（確認できる内容に限界があり、信頼性にも課題がある）ことや、当該発行対象自体に変更（例えば、事業所統合・廃止や部署名の変更等）が生じた場合、その都度電子証明書の再発行が必要となることが想定され、利便性が著しく低下してしまう可能性があるといった課題があげられる。

なお、EUにおいては、発行対象は法人であり、事業所や営業所といった細かい単位や機器等については、電子証明書の任意のフィールドである拡張領域に記載可能になっている。

これらを踏まえて、eシール用電子証明書の発行対象は、法人、個人（主に個人事業主を想定）、権利能力なき社団・財団、その他任意の団体等の組織とし、事業所や営業所といった細かい単位や組織に所属する個人や機器等については、電子証明書の任意のフィールドである拡張領域に記載することができることとすることが適切だと考えられる。

• eシールは発出元の証明であるということを考慮すると、発行対象は法人（組織）とするのがいいのではないか。

• 発行対象として、事業所等まで含めることが望ましいが、組織の体制とeシールの紐付きが強固になってしまうと、組織の体制の変更等に伴って電

子証明書の更新が頻繁に発生し、eシールの利便性の低下に繋がる可能性がある。

【参考】議論であがった主な意見（抜粋）

② eシール用電子証明書の発行対象となる組織等の範囲

方向性

• eシール用電子証明書の発行対象を特定するための識別子については、既存のID・番号も含めて包括的に表現可能な方式（OID：Object Identifier（オブジェクト識別子）等）を軸として今後検討することが必要。

• eシール用電子証明書の発行対象を特定するための識別子はどうあるべきか。

検討事項

eシール用電子証明書には、発行対象の組織等を一意に特定可能な識別子が必要となる。

その識別子については、eシール用電子証明書の発行対象である組織等を一意に特定可能なID・番号体系が我が国で既に存在してい

れば、そのID・番号体系を活用することが望ましいと考えられるが、我が国では官民どちらにおいても複数のID・番号体系が共存している状態（参考：P13）であり、発行対象を網羅的に管理可能な識別子として使用可能なID・番号体系が現状存在していない。

また、そのような識別子（番号体系）をベースレジストリとして整理していくことも考えられるが、その整理には別途多大な時間を要することが想定され、データ戦略タスクフォース等他の検討の場で議論されていることも考慮すると、我が国におけるeシールの在り方を検討する本検討会での議論の対象外だと考えられる。

これらに鑑みて、eシール用電子証明書の発行対象を一意に特定可能な識別子については、既存のID・番号も含めて包括的に表現可能な方式（OID：Object Identifier（オブジェクト識別子）等）を軸として今後検討することが必要であると考えられる。

• 今後、インボイスでeシールが活用されることを考慮すると、公的なデータベース（識別子）として適格請求書発行事業者登録番号も検討の余地があるのではないか。

③ 組織等の実在性・申請意思の確認の方法

方向性

• 組織等よりも細かい粒度である、事業所・営業所・支店・部門等や担当者、機器の実在性の確認については、組織の代表者の宣言の結果を尊重することとし、認証局はその結果に基づいて記載することが適当。

• 登記よりも小さい単位（事業所・営業所・支店・部門等）については、当該組織の代表者による宣言の結果を尊重することが適切か、または認証局が事業所等の実在性を直接確認することが適切か。

• 機器は事業所・営業所・支店・部門等と同様に扱うか。

検討事項

eシール用電子証明書の任意のフィールドである拡張領域に記載可能な事業所・営業所・支店・部門等や担当者、機器等の実在性の確認について、認証局がそれらの実在性について何らか適切に確認した上で記載することが望ましいものの、確認の方法・程度によっては

認証局による確認コストが大きくなり、ひいてはeシールのサービス利用料にも影響が及ぶことが想定され、eシールの普及・利用拡大の観点からも課題があると考えられる。

あくまでもeシール用電子証明書の発行対象は組織等であり、事業所・営業所・支店・部門等や担当者、機器等は、任意の拡張領域に記載されるということを踏まえると、認証局に対して、事業所・営業所・支店・部門等や担当者、機器等の実在性を確認することまで求める

必要はないと考えられる。

したがって、事業所・営業所・支店・部門等や担当者、機器等の実在性の確認については、組織の代表者の宣言の結果を尊重することとし、拡張領域への記載事項については発行対象である組織等が一義的な責任を負うことが適当だと考えられる。

• 組織の確認として、事業等の細かい単位まで網羅的に認証局が確認することは、多大な負担となり、困難ではないか。

• 認証局が組織のどこまで確認するかという問題よりも、その記載した情報に誰が責任を持つかが重要。代表者が宣言していることを認証局が確認するという方法と、認証局においても何らか一定の事業所等の確認をするという方法がある。前者であれば、その事業所等の情報をeシールの証明書に記載することに果たしてどれだけの意味があるのかということについて検討が必要。後者であれば、一定の責任が認証局に出てくるが、

それにどれだけ意味が出てくるのかは検討が必要。

• 組織の確認については、認証局側ですべき確認と第三者機関（TDBやTSR等）で行っている確認との切り分けを明確に整理すべきではないか。

【参考】議論であがった主な意見（抜粋）

• eシールに係る電子証明書の発行の手続きの整理の一例は以下の表のとおり。

第三者機関データベースにて組織等の実在性確認を行う場合、レベル３にあっては商業登記情報等の公的な機関が管理する情報と照合されたものであることが求められる。

方向性

③ 組織等の実在性・申請意思の確認の方法

組織等の実在性の確認組織（代表者）の意思の確認組織の代表者の在籍の確認

レベル３

• 商業登記電子証明書による電子署名が行われた利用申込(★)

• 登記事項証明書• 申込書への押印（代表印に係る印鑑証明書が添付されている場合に限る）

④ eシール用電子証明書の記載事項等

【参考】eシール用電子証明書（ITU-T X.509）の記載の一例

フィールド名値（サンプル）

バージョンV3

シリアルナンバーWWWWWWWWW

署名アルゴリズムsha256RSA/sha512RSA

署名ハッシュアルゴリズムsha256/sha512

発行者発行者を識別する情報

有効期限の開始時刻Monday, January 5, 2020 5:00:00 PM

有効期限の終了時刻Thursday, January 5, 2022 5:00:00 PM

サブジェクト発行対象となる組織等の公式名称、当該組織等を一意に特定可能な識別子等

公開鍵RSA (2048bit)

公開鍵パラメータ05 00 …

認証機関アクセス情報[1]CA証明書のURL [2]OCSPのURL

サブジェクト鍵識別子YYYYYYYYYYY

QCステートメントeシールのレベルを判別可能な情報等

証明書ポリシー[1]0.4.0.194112.1.1/0.4.0.194112.1.3 [2] http://xxxxxxxxxxxxxxx

サブジェクト別名「事業所・営業所・支店・部門名、担当者、機器」や「組織等の和文商号」等

CRL配布ポイントhttp://xxxxxxxxxxxxxxxxCA.crl

基本制約Subject Type = End Entity

鍵使用目的Non-Repudiation (40)

⑤ 設備の基準（認証局側の暗号装置）

検討事項

認証局の秘密鍵は、例えば悪意のある第三者に盗まれて悪用された場合、当該認証局の発行するeシール用電子証明書の信頼性が著しく損なわれてしまい、当該認証局からeシール用電子証明書の発行を受けた全ての組織等に影響が及んでしまうため、認証局の秘密鍵はHSM等で厳格に管理されることが必要となる。

eシールにおける認証局の秘密鍵の管理の重要性については、同じトラストサービスの１つである電子署名の認定認証業務における認証局の秘密鍵の管理と同等だと考えられるため、認証局の秘密鍵の管理に係る具体的な基準については、電子署名法の認定認証業務で規定している基準を準用することが適切だと考えられる。

ただし、国際的な整合性も踏まえて、電子署名法の基準は現行化すること※２を前提とし、念頭に置くレベルはFIPS140-2 レベル３相当もしくは、ISO/IEC 15408のEAL4+相当（プロテクションプロファイルは要検討）を求めることが適切だと考えられる。

• 国内の類似制度や国際的な通用性に鑑みて、ISO/IEC 15408（コモンクライテリア）のEAL４+又はFIPS140-2 レベル３を求めることが適当ではないか。

• 現状の日本の認証局の数を考えると、HSMの基準として日本独自のプロテクションプロファイルを作成するのはコストがかかり過ぎるので、望ましくない。ISO/IEC 15408は国際相互認証されており、プロテクションプロファイルはそのためにあるので、それを適用するのがよいのではないか。

• 電子署名法と同等の基準を設けるということでよいと思う。現状の電子署名法の規定では、特定の認証取得製品に限定しておらず、FIPSでもISO/IEC 15408でも使用できるような記載になっているため、同じような記載でいいのではないか。その上で、実際にどのような製品（FIPS認証製品なのか、ISO/IEC 15408認証製品なのか、その他の認証製品なのか等）を使っていくかは別の議論。

• 電子署名法の基準を準用するということでよいと思うが、電子署名法の現行の基準はFIPS140-1 レベル３相当であるため、まずはFIPS140-2 レベル３相当にアップデートすることが必要ではないか。

【参考】議論であがった主な意見（抜粋）

※１ 耐タンパー機構による物理的な安全性が確保された鍵管理機能を備えた暗号処理装置

※２ 電子署名法の現行の基準はFIPS140-1 レベル３相当であるが、理想的には現状の脅威に対抗できる要件が必要であり、例えば、現時点においてはFIPS140-2 レベル３相当にアップデートすることが望ましいとのご意見があった。

⑤ 設備の基準（認証局側の暗号装置） 20

• HSMとは、耐タンパー機構による物理的な安全性が確保された鍵管理機能を備えた暗号処理装置。

～電子署名及び認証業務に関する法律に基づく指定調査機関の調査に関する方針～（抜粋）

２．暗号装置関係

(1) 規則第４条第４号に規定する「専用の電子計算機」（以下「暗号装置」という。）とは、発行者署名符号の漏洩、破損、消失等の事象の発生を可能な限り

低い確率に抑えるための以下の機能を備えたものをいう。

ア暗号化されていない状態の暗号符号や認証データ等、保護されていない形式の重要なデータに係る暗号装置への入出力が行われるインタフェース

が存在する場合は、そのインタフェースは他のデータの入出力を行うインタフェースとは物理的に独立したものであること。

イ暗号装置は、以下の機能を有するものであるとともに、暗号装置の操作者ごとに機能ごとの権限の有無が特定されているものであること。

(ｱ) 操作者機能: 暗号化、署名等、通常の暗号化機能を実施するための機能

(ｲ) 管理者機能: 暗号装置自体の初期化、署名符号などの重要パラメータの投入等、暗号装置を管理するための機能

ウ発行者署名符号等のデータの盗難を回避するため、暗号装置は、以下のいずれかの物理的なセキュリティ対策が講じられていること。

(ｱ) 暗号装置がIC チップ単体からなる場合、IC チップが強固で除去困難な材質の不透明なコーティングで覆われていること。

(ｲ) 暗号装置にカバーが施されている場合、物理的な侵入行為に対し、暗号装置の機能の停止、内部データの無効化等の耐タンパ対策が講じられて

いること。

(ｳ) 暗号装置の筐体に排気用スリットもしくは空孔が存在する場合、それらは十分小さく、かつ、検出されずに筐体の中をプローブされることを防止する

対策が講じられていること。

エ暗号装置に係る発行者署名符号の管理に関し、以下の措置が講じられていること。

(ｱ) 暗号装置内で発行者署名符号の生成を行う場合、安全な擬似乱数生成アルゴリズムを用いるものであること。

(ｲ) 暗号装置への発行者署名符号の入出力を行う場合には、以下のいずれかの方式であること。

① 発行者署名符号は暗号化された上で入出力されること。

② 発行者署名符号を２つ以上の構成要素に分割して入出力を行う場合は、暗号装置に対して直接行うこととし、発行者署名符号の各構成要素に対

する操作者の認証が行われること。また、発行者署名符号の各構成要素は、暗号装置内で分割、結合されること。

(ｳ) 発行者署名符号を暗号化されていない状態で暗号装置内に保管する場合は、外部からアクセスできない仕組みとすること。

(ｴ) 発行者署名符号を廃棄する際には、発行者署名符号その他のセキュリティパラメータを無効化する機能を有すること。

(2) 省略

設備の基準（利用者側のeシール生成装置）

• 日本でも少なくともQSCD相当のものを使用して耐タンパ性能が確保されたところで秘密鍵が管理されるよう規程の整備が必要ではないか。Society5.0やDFFTを実現していく上で、データを自動で検証して処理し、更にそのデータが自動処理されていくということを想定していくと、検証時に秘密鍵が適切な環境で保護されているかどうかを確認できる必要がある。レベル３のeシールでQSCDを求めるかどうかは別の議論になるが、EUのQCステートメントのように、少なくとも検証時において、QSCDを使用していることがわかるような制度にした方がいい。

• 電子署名法とのバランスが重要である一方、EUとの相互運用の関係もあるので非常に難しい問題。商業登記や法的効力のある電子署名法でも署名生成装置は規定されておらず、また、実世界でも実印の管理については規定がないため、QSCDの規定は設けないという考え方が１つある。電子署名には推定効というものがあるが、eシールがそれ以上の効力を持つことは考えられないのでeシールにのみQSCDを求めるというのは全体のバランスを欠くのではないか。

• QSCDの規定を設ける場合、QSCDの使用/未使用によってeシールの効力にどれだけ違いが出るのかについては、レベル２、３問わずeシールには現段階では法的効力がないことを考えると、EUの適格として通用するかどうかではないか。

• 選択肢としては、電子署名法でもeシールでも両方QSCDを求めるか、あるいは両方求めないか、という２択になるのではないか。両方求める場合は、現状規定のない電子署名法は規制強化になってしまうことが懸念される。他方、両方求めない場合はEUと相互運用を目指す際に課題となる。従来の我が国の法制度の中での秘密鍵等の管理は本人に任されていて本人の責任であるという考え方を維持するのであれば、QSCDは必須にしないが、秘密鍵等の管理の方法として、QSCDを使用する方法もあるということやEUとやりとりする際のオプションとして使用することをガイドライン等に記載するのはどうか。

• eシールの普及という観点では、国内での申告や申請等に利用するということでレベル２の世界で考え、レベル３については欧州等の諸外国との相互運用に値する他国に恥じない基準にすることが適切ではないか。

• EU等の諸外国との相互運用の観点も重要であるが、QSCDの規定を設ける場合は実際の企業側の運用と基準がどうフィットするのかについても検討が必要ではないか。

方向性

• レベル３のeシールにおける認証局側のHSMの管理に係る基準は、基本的には電子署名法を準用することと

する。

• レベル３のeシールにおける、認証局側のHSMの管理に係る基準はどうあるべきか。

検討事項

認証局のHSMの管理については、秘密鍵を管理しているというその重要性に鑑みて、HSMが配置される部屋への入出場に係る基準、HSMに対する不正アクセス防止に係る基準、災害対策に係る基準等が一般的に求められると考えられる。

eシールにおける認証局のHSMの管理の考え方については、同じトラストサービスの１つである電子署名の認定認証業務における認証局のHSMの管理の考え方と同等だと考えられるため、認証局のHSMの管理に係る具体的な基準については、電子署名法の認定認証業務で規定している基準を準用することが適切だと考えられる。

• 電子署名法の認定認証業務で要求している基準と同等の基準を求めることが適切ではないか。

⑤ 設備の基準（認証局側の暗号装置の管理）

～電子署名及び認証業務に関する法律施行規則第４条第１項（抜粋）～

（認証設備室への入出場の管理に関する規定）

１ 申請に係る業務の用に供する設備のうち電子証明書（利用者が電子署名を行ったものであることを確認するために用いられる事項（以下「利用者署名検証符号」という。）が当該利用者に係るものであることを証明するために作成する電磁的記録をいう。以下同じ。）の作成又は管理に用いる電子計算機その他の設備（以下「認証業務用設備」という。）は、入出場を管理するために業務の重要度に応じて必要な措置が講じられている場所に設置されていること。

（認証業務用設備へのアクセス等の管理に関する規定）

２ 認証業務用設備は、電気通信回線を通じた不正なアクセス等を防止するために必要な措置が講じられていること。

（認証業務用設備の作動権限等の管理に関する規定）

３ 認証業務用設備は、正当な権限を有しない者によって作動させられることを防止するための措置が講じられ、かつ、当該認証業務用設備の動作を記録する機能を有していること。

４ HSM自体の基準のため省略

（災害対策に関する規定）

５ 認証業務用設備及び第一号の措置を講じるために必要な装置は、停電、地震、火災及び水害その他の災害の被害を容易に受けないように業務の重要度に応じて必要な措置が講じられていること。

【参考】電子署名法の認定認証業務におけるHSMの管理に係る規定

注） これらの規定は、HSMに限らず、認証業務用設備全般についての規定であることに留意

⑤ 設備の基準（利用者側の秘密鍵の管理）

方向性

• 利用者の秘密鍵の管理は発行対象である組織等の管理に委ねることとする。

• ただし、認証局から利用者に対する説明事項として、秘密鍵の管理に係る事項（秘密鍵の管理は厳格に行うこと（複製は望ましくない等））を規定することが適切。

• レベル３のeシールにおける、利用者側の秘密鍵の管理に係る基準はどうあるべきか。

① １つの秘密鍵を複数人で共同で使用することを禁じるか。

② 又は、利用者側で秘密鍵を複製し、複数人がそれぞれ管理して使用することを禁じるか。

③ 又は、同一の組織等に対して複数のｅシール用電子証明書（及び秘密鍵）を発行することを禁じるか。

検討事項

利用者の秘密鍵の管理次第では、当該秘密鍵が漏えいして悪用される懸念があることから、秘密鍵の管理は厳格に行われる必要がある。他方、仮にｅシールに係る認定制度ができた場合でも、利用者側が所持している秘密鍵（生成装置に格納している場合は生成装置）の具体的な管理の在り方に関して、フレームワーク上で何らか利用者側に義務を課すことは困難であることが想定される。

電子署名法の認定認証業務においては、利用者の秘密鍵の管理に係る直接的な規定はないが、認証局に対する要求事項として、秘密鍵は十分注意を持って管理する必要がある旨を利用者に説明することが規定されており、秘密鍵の管理は利用者に委ねられている。

EUの適格eシールにおいても、秘密鍵（適格eシール生成装置）の管理は法人の管理下にあることが規定されているのみ（ただし、適格eシール生成装置を用いるため、秘密鍵の複製は不可）となっている。

これらに鑑みて、利用者の秘密鍵の管理は発行対象である組織等に委ねることが適切だと考えられる。ただし、認証局から利用者に対する説明事項として、秘密鍵の管理は厳格に行うこと（複製は望ましくない等）を規定することが適当だと考えられる。なお、秘密鍵の管理が利用者に委ねられ、利用者側での複製が望ましくないことを考慮すると、当然、認証局側での利用者の秘密鍵の複製も望ましくない。

• EUでは法人の管理下にあることが求められており、電子署名法でも実質的には同じルールになっているため、特段の要件は不要ではないか。

• QSCDを求めない以上、ファイル形式で利用者に秘密鍵を渡すことも可能であるため、ユーザー側でも複製ができてしまうことになると思うが、特に

レベル３のeシールにあっては、利用者の秘密鍵を利用者側で複製できるのは望ましくないのではないか。

• 利用者の秘密鍵の管理については、少なくとも認証局から利用者への重要事項説明として規定するべきではないか。

• 有事の際のバックアップを考えると、利用者側での秘密鍵自体の複製ができないと困るのではないか。

• 利用者の秘密鍵の複製については、同一の組織に複数のｅシール用電子証明書（及び秘密鍵）を発行することで対応可能。

～電子署名及び認証業務に関する法律施行規則～（抜粋）

第六条法第六条第一項第三号の主務省令で定める基準は、次のとおりとする。

一利用申込者に対し、書類の交付その他の適切な方法により、電子署名の実施の方法及び認証業務の利用に関する重要な事項について説明を行うこと。

～電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針～（抜粋）

第八条規則第六条第一号に規定する利用申込者に対して説明を行うべき事項とは、次の各号に掲げる事項を内容として含むものとする。

一認定認証業務においては、虚偽の利用の申込みをして、利用者について不実の証明をさせた者は、法第四十一条の規定により罰せられること。

二電子署名は自署や押印に相当する法的効果が認められ得るものであるため、利用者署名符号については、十分な注意をもって管理する必要があること。

三利用者署名符号が危殆化（盗難、漏えい等により他人によって使用され得る状態になることをいう。以下同じ。）し、又は危殆化したおそれがある場合、電子証明書に記録されている事項に変更が生じた場合又は電子証明書の利用を中止する場合においては、遅滞なく電子証明書の失効の請求を行わなければならないこと。

四認定認証業務に係る電子証明書を使用する場合における電子署名のためのアルゴリズムは、認証事業者が指定したものを使用する必要があること。

⑥ その他（eシールを大量に行う際の処理）

方向性

• レベル３のeシールにおいて、複数の対象データに一括でeシールを行うことを認めることが適当。

• レベル３のeシールにおいて、複数の対象データに一括でeシールを行うことを認めるか。

検討事項

eシールにおいては、業務効率化の観点から、ローカル/リモート方式に限らず機械的に複数の対象データ（例えば領収書等）に対して一括でeシールを行うことに対するニーズがある。

一括処理について、我が国における実空間での手続では、複数の対象文書（例えば委嘱状等）に対して、まとめて処理（決裁・押印）することは一般的に実施されている。

また、EUの適格eシールにおいては、ローカルeシールについては特段の規定がないが、リモートeシールについてはCENの技術基準において、複数の対象データに一括で署名（eシール）指示することが認められている。

eシールの普及・利用促進の観点や国内における実運用、EUの制度を踏まえ、そもそもeシールは意思表示を伴わず、発行元証明にとどまるということに鑑みて、レベル３のeシールであっても、複数の対象データに一括でeシール行うことを認めることが適当だと考えられる。

ただし、一括でeシールを行う際には、当然利用者が指定したデータのみにeシールが行われることが求められることから、利用者が対象データに対してeシールを行う指示を行って以降、他のデータが紛れ込むことがないことはeシールサービス側で担保する必要がある。

リモートeシール方式の一例（リモートeシール利用申込及び認証局による組織の確認後）

⑥ その他（リモート方式） 

• レベル３のリモートeシールにおいては、少なくとも利用認証（eシールを行うことができる権限者（リモートeシールサービスへの登録者）であることを認証するための認証）と鍵認可（実際にeシールを行うために利用者の秘密鍵を利用できる状態にすること）を別に求めることが適切。

• ただし、上記の鍵認可の場面で複数要素認証（例えば、所持認証＋知識認証）までは要求しない。

• リモートeシールサービス提供事業者が利用者の秘密鍵を管理し、利用者がそのリモート環境にある秘密鍵にアクセスしてeシールを行う方式であるリモートeシールについて、レベル３のリモートeシールを行う際にはどのような認証が必要か。

注１） なお、ローカルeシールでは、利用者自ら秘密鍵を管理していることに留意。

検討事項

ローカルeシールにおいては、一般的に利用者自身が管理している秘密鍵をPINコード等によって鍵認可を行い、eシールを行う形式が想定される。

ローカルeシールにおける認証を踏まえると、利用者の秘密鍵を利用者自身で管理するのではなく、リモートeシールサービス提供事業者が管理するリモートeシールにおいては、まずは利用者の秘密鍵が保管されているリモートeシールサービス提供事業者のクラウド環境等にアクセス（以下、「利用認証」という。）し、その後、鍵認可を行ってeシールを行う必要があると考えられる。

なお、リモート署名ガイドライン※のレベル２（電子署名法における認定認証業務と同等の信頼性を想定）においては、サービス提供を受けるための利用認証と秘密鍵（署名鍵）を利用するための鍵認可を分けて行い、かつ鍵認可は複数要素認証を行うことを要求している。

また、EUの適格eシール（リモート方式）においては、リモート署名ガイドラインのレベル２の要件に加えて、鍵認可はISO/IEC 15408（コモンクライテリア）の認証（プロテクションプロファイル： EN 419 221-5）を取得した署名活性化モジュールにて行うことを要求している。

他方、電子署名は意思表示であり、我が国でもEUでも推定規定があるのに対し、eシールは発行元証明にとどまり、我が国では現状は推定規定もないことに鑑みて、レベル３のリモートeシールを行う際には、利用認証と鍵認可（単要素認証でも可）を別に求めることで十分だと考えられる。

• レベル３のリモートeシールにおいて、組織によっては鍵認可の際は複数要素認証であったとしても単純な認証だけでは認められないことも考えられ、よりレベルの高いもの（例えばVPNを使ったシステム間連携等）を要求する可能性もある。

※ 日本トラストテクノロジー協議会（JT2A）が作成したリモート署名に関する技術的な基準を示したガイドライン

注２） レベル２のリモートeシールは、利用認証と鍵認可を別々に行わなくてもよい。

⑥ その他（リモート方式）

方向性

• 認証要素の管理は基本的には利用者が行うこととし、eシールとしての用をなさないレベル３のeシールの生成、流通を防止するため、レベル３のｅシールをリモートで行う事業者（リモートeシールサービス提供事業者）

のサービスについては、一定の基準（認証要素は利用者本人が管理すること等）を設けることが適切。

• レベル３のリモートeシールにおいて、eシールを行う際の鍵認可で使用する知識要素（PINコード等）等の認証要素の管理はどうあるべきか。

利用者のみが管理することを求めるか。

リモートeシールサービス提供事業者やアプリケーション提供事業者が管理することも認めるか。

検討事項

リモートeシールにおいて、仮に利用者の秘密鍵を管理しているリモートeシールサービス提供事業者が認証要素も管理して、利用者に断りなくeシールを行うことができる可能性がある場合は、そもそも認証要素としての意義が失われ、eシールを行った利用者、すなわち発行元が誰であるかの判断ができなくなる可能性が想定され、基本的には認証要素は利用者のみが管理することが望ましいと考えられる。

加えて、ｅシールの場合には、ｅシールが行われたデータを受け取る者（例えば領収書の受領者）には、リモートｅシールサービスの利用について協議を受けられない蓋然性が高い（電子署名の場合には、文書の名義人間で、どのような方式を取るかの合意があるため、リモート署名サービスの利用について、双方の合意があるとみなす余地がある）。

このため、仮にレベル３のリモートｅシールにおいて、eシールを行う際の鍵認可で使用する認証要素の管理が適切に行われない可能性がある場合には、信頼性が損なわれたレベル３のｅシールが存在・流通してしまうことが想定され、制度の安定性そのものに影響を与えかねないと考えられる。

なお、EUにおいては、認証要素の管理は法人に委ねられ、アプリケーション提供事業者が管理することも否定はされていない一方、リモート署名ガイドラインにおいては、利用者本人のみが秘密鍵（署名鍵）を活性化（鍵認可）できることを要求している。

これらを勘案し、認証要素の管理は基本的には利用者が行うこととし、eシールとしての用をなさないレベル３のeシールの生成、流通を防止するため、レベル３のｅシールをリモートで行うする事業者（リモートeシールサービス提供事業者）のサービスについては、一定の基準（例えば認証要素の管理は不可とする等）が必要になると考えられる。なお、当然認証要素をアプリケーション提供事業者が管理することは望ましくない。

• リモートeシールサービス提供事業者に関しては、一定の基準が必要ではないか。

⑥ その他（失効に係る事項）

方向性

• 失効要求できる者は電子証明書の発行を要求できる者（法人であれば代表者又は代表者から委任を受けた者）に限定することが適切。

• 利用者において、eシール用電子証明書の失効要求ができる者の範囲はどこまでとすることが適切か。

eシール用電子証明書の発行を求めることができる者に限定する。

上記に加えて、当該eシールを行う権限を有する者でも可とする。

当該eシール用電子証明書の発行を受けた組織等に属する者であれば誰でも可とする。

検討事項

電子証明書と自然人の紐付けが１対１である電子署名とは異なり、eシールは１つのeシール用電子証明書を組織等の中の複数人が使用することが想定されるため、当該eシール用電子証明書の失効を要求できる者の範囲をどこまでとするかについて検討が必要となる。

その範囲については、①eシール用電子証明書の発行を求めることができる者に限定するか、②それに加えて当該eシールを行う権限を有する者でも可とするか、③当該eシール用電子証明書の発行を受けた組織等に属する者であれば誰でも可とするか、が主な選択肢としてあげられるが、失効要求は、eシール用電子証明書の発行申請と同様に意思表示が必要であると考えられることから、失効要求できる者は電子証明書の発行を要求できる者（法人であれば代表者又は代表者から委任を受けた者）に限定することが適切だと考えられる。

• 失効要求ができる者は、基本的には代表者もしくは委任を受けた者といった制限をかけるのがよいのではないか。

デジタル庁第2回トラストを確保したDX推進SWGプレゼン資料

電子契約の有効性について

2021年12月13日（月）

西村あさひ法律事務所弁護士・ニューヨーク州弁護士太田洋

Ⓒ2021 YO OTA. All rights reserved.

（書面契約と異なった）電子契約の特殊性

データ時代には、認証と改ざん防止が重要

・なりすましが容易

・改ざんが容易

⇒ 電子契約の有効性・内容の正確性に脆弱性

DXには、データへの信頼（トラスト）が確保されていることが大前提

電子契約への信頼

① 本人性確認

・電子契約の現実の作成者と表示されている作成者の同一性が

確認されていること

② 完全性確認

・電子契約のデータが改ざんされていないことが確認されていること

電子契約の有効性を考える上での前提

 電子契約についての一般的な法的定義はない

⇒ ここでは仮に「書面ではなく、電磁的記録のみによって締結される契約」としておく

⇒ 電子署名を用いなくとも、電子契約は成立し得る（ex. eメールのやりとりやLINEでのチャットのやりとりでも「電子契約」は成立し得る）

 電子契約にはレベルがある

◆ 口頭合意による契約に相当するもの≑ eメールのやりとり/LINEのトークでのやりとり

⇒ 裁判所に「最終的」かつ「確定的」な合意ではない（それ故、法的拘束力がない）と判断されるリスク

⇒ サイン頁をPDF化してメールで交換する実務があるが、当該実務は自署された書面契約が存在することを前提

◆ 三文判の印影が顕出されているだけの書面契約に相当するもの≑ 3条署名が付された電子契約≑ ①当事者署名型で、（特定認証等のない）2条署名が付され、秘密鍵が適正に管理された電子契約/②事業者署名型のうち当事者指示型で、2要素認証等が確保され、2条署名が付された電子契約

⇒ 三文判が顕出されているだけの書面契約でも、「二段の推定」は効く（最高裁判決が存在）

◆ 認印・銀行（手彫り）の印影が顕出された書面契約に相当するもの≑ ①当事者署名型で、特定認証された2条署名が付され、秘密鍵が適正に管理された電子契約/②事業者署名型のうち当事者指示型で、2要素認証等が確保され、2条署名が付された電子契約

◆ 実印（印鑑証明付き）の印影が顕出された書面契約に相当するもの≑ 当事者署名型で認定認証（準ずるものを含む）された2条署名が付され、秘密鍵が適正に管理された電子契約

電子契約が裁判上「証拠」となるために何が必要か

◼ （書面の）文書を証拠とするためには、「文書の成立が真正」であることを証明しなければならない（民訴法228条1項）

＝ 文書を証拠として提出する者が、当該文書の作成者であると主張している者（作成名義人）の意思に基づいて作成されたこと

= 作成名義人の印影がその者の印章と一致⇒当該印影は作成名義人の意思に基づくものと事実上推定（判例）【第1段の推定】⇒文書の成立の真正が法律上推定（民訴228Ⅳ）【第2段の推定】

◼ 電子文書を証拠とするためにもその「電子文書の成立が真正」であることを証明する必要

※ 3条推定効：その電子文書が真正に成立したものと推定する効果

＝ 電子文書を証拠として提出する者が、当該文書・契約の作成者であると主張している者（作成名義人）の意思に基づいて作成されたこと

= 作成名義人の電子署名がその者の秘密鍵によって生成されたことが検証⇒当該電子署名は作成名義人の意思に基づくものと事実上推定（実務法曹の多数説）【第1段の推定】⇒電子文書の成立

の真正が法律上推定（電子署名法3条）【第2段の推定】

※ 3条Q&Aは、事業者署名型のうち当事者指示型（⇒これで2条署名には該当）のものでなされた電子署名が、作成名義人の秘密鍵によって生成されたものと検証されるために必要な条件は、「他人がなりすますことができないという『固有性』を有すると評価できること」であることを明らかにしたもの

⇒ もっとも、3条Q&Aがカバーしているのは「当人認証」までであり、電子契約プラットフォームを利用した者

＝作成名義人であること（身元確認）は別途確認・確保される必要あるが、これは内部統制の問題

◼ 「文書の成立の真正」の証明方法

⇒ もっとも、上記の民訴228条4項・電子署名法3条の推定規定のルートを経由しなくとも、「（電子）文書の成立の真正」を（他の証拠により）直接立証することは常に可能

わが国における電子契約を巡る法的環境整備

 クラウド型電子署名プラットフォームの利用を含め、電子契約の普及につ

いての法的環境整備はほぼ完了

⇒ ①2020年7月17日付け総務省＝法務省＝経済産業省「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A」（「2条1項Q&A」）及び②2020年9月4日付け総務省＝法務省＝経済産業省「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ＆A（電子署名法第3条関係）」（「3条Q&A」）により制度整備は完了

⇒ 後は、個々の事業者が自己の責任において、利用するクラウド型電子署名プラットフォームが、上記の2条1項Q&A及び3条Q&Aの要件を満たしているかを（適宜弁護士等も活用しながら）セルフ・チェックして、用途に応じた適切なサービスを取捨選択して利用していくべきステージ

 用途に応じて適切なフォーマットの電子契約を選択することが重要

◆ 本人性確認と完全性確認は、リスクと利便性を考慮して、適切なレベルに設定することが重要

◆ いずれの電子署名を利用して電子契約を締結するかは、安全性、コスト、利便性を勘案して判断すべき

⇒ 見積書、注文書、請書のような取引基本契約を前提とした個別契約や、NDAのような定型的契約は、通常は、事業者署名型のうち当事者指示型の3条署名を利用すれば十分であろう。見積書、注文書、請書等の一方当事者の意思表示を示すものについては（3条推定効によらず文書の成立の真正は直接立証する前提で）「電子印鑑」（2条署名には該当する前提のもの）サービスを利用することもあり得る

⇒ 取引基本契約等の重要な契約や、M&Aに関する契約については、件数も限られていると考えられ、事業者にとっての重要性も高いので、自署された書面契約（の存在を前提にサイン頁をPDF化してメールで交換して成立を確認する実務）を用いたり、当事者署名型で認定認証（準ずるものを含む）された2条署名（秘密鍵は適正に管理する前提⇒3条署名に該当）を付した電子契約を用いることが、今後も多いものと思われる

電子契約・電子文書に関する近時の政府見解

◼ 第10回成長戦略ワーキング・グループ資料1-2「論点に対する回答」(法務省、総務省、経済産業省提出資料)（2020年5月12日）（「3省論点回答」という）

◼ 第10回成長戦略ワーキング・グループ資料2-1「論点に対する回答」（2020年5月12日）(法務省提出資料)

◼ 内閣府＝法務省＝経済産業省「押印についてのQ&A」（2020年6月19日）（「押印Q&A」という）

◼ 規制改革推進会議「規制改革推進に関する答申」（2020年7月2日）16頁以降

◼ 総務省＝法務省＝経済産業省「利用者の指示に基づきサービス提供事業者

自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A」（2020年7月17日）（「2条1項Q&A」）

◼ 総務省＝法務省＝経済産業省「利用者の指示に基づきサービス提供事業者

自身の署名鍵により暗号化等を行う電子契約サービスに関するQ＆A（電子署名法第3条関係）」（2020年9月4日）（「3条Q&A」）

本人確認とは

出典：経済産業省他「オンラインサービスにおける身元確認手法の整理に関する検討報告書」

電子署名の種類

②認証がされた電子署名

③特定認証がされた電子署名

④認定認証がされた電子署名

①電子署名法上の電子署名

電子署名（最広義）

出典：高林淳＝商事法務編『電子契約導入ハンドブック〔国内契約編〕』（商事法務、2020）102頁

電子署名法上の電子署名(2条署名)

電子署名

電磁的記録に記録することができる情報について、以下の要件を満たした「措置」

① 電磁記録に記録された情報が、当該措置を行った者の作成に係るものであることを示すためのものであること（本人性）

② 電磁記録に記録された情報について改変が行われていないかどうかを確認することができるものであること（非改ざん性）

・身元確認は必要とされていない

・当人認証は必要とされていない

・印鑑でいうと三文判を含む

認証された電子署名

◼ 認証業務

認証業務を行う者が、利用者が電子署名を行ったものであることを確認するために用いられる事項（公開鍵暗号方式では検証に用いる公開鍵）が当該利用者に係るものであることを証明する業務（電子署名法2条2項）

⇒ 電子証明書の発行（通常）

・当人認証は必要とされている

・身元確認は必要とされていない

・認証業務は第三者である必要は無い

・認証業務に資格は不要

特定認証された電子署名

◼ 特定認証業務

電子署名のうち、その方式に応じて本人だけが行なうことができるものとして、電子署名法施行規則2条に定める基準に適合する電子署名について行なわれる

認証業務（電子署名法2条3項）

◼ 電子署名法施行規則2条に定める基準

電子署名の安全性が以下のいずれかの有する困難性に基づくもの

①ほぼ同じ大きさの二つの素数の積である2048ビット以上の整数の素因数分解

②大きさ2048ビット以上の有限体の乗法群における離散対数の計算

③楕円曲線上の点がなす大きさ224ビット以上の群における離散対数の計算

④前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの← 認証業務と同じ＋暗号が解読困難

手彫りの印鑑と類似

認定認証された電子署名

◼ 認定認証事業者

主務大臣が、設備・本人確認の方法・業務体制等が一定の認定基準を満たしている特定認証業務を行なう事業者について、認定をする制度によって認定された事業者（電子署名法4条）

◼ 認定認証事業者は、公的身分証等による身元確認を行なうことが求められる（電子署名法6条1項2号、電子署名規則5条）

◼ 認定をうけた認証事業者は、電子証明書等に認定を受けていることを表示することができる（電子署名法13条）

・印鑑だと、実印＋印鑑証明書と類似

事業者署名型(立会人型)の電子署名とは

◼ サービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス

仕組みの面からの電子署名の分類

 基本形としての当事者型と事業者型（立会人型）

◆ 当事者が自分が保有・管理する電子署名(署名鍵＝秘密鍵)を自ら付すのが当事者型

◆ 当事者が利用するクラウド型サービス提供事業者が、当該事業者の電子署名

(署名鍵＝秘密鍵)を付すのが事業者型（立会人型）

 当事者型と事業者型（立会人型）それぞれの変形版

◆ 事業者型（立会人型）のうち、事業者が、当事者の指示を受けて当該事業者

の電子署名(署名鍵＝秘密鍵)を付すのが当事者指示型

◆ 当事者が、認証局を運営するクラウド型サービス提供事業者から認証を受けた自らの電子署名(署名鍵＝秘密鍵)を、当該事業者にクラウド上で管理して貰い、必要な場合に当該事業者のプラットフォームを利用して、リモートで当該電子署名を自ら付すタイプ（クラウド利用当事者型）も存在

リモート署名の電子署名(2条署名)該当性

◼ サービス事業者による電子署名（リモート署名による電子署名）が、当事者による電子署名といえるか？⇒ 2条1項Ｑ＆Ａ

利用者が作成した電子文書について、サービス提供事業者自身の署名鍵により暗号化を行う…サービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、『当該措置を行った者』はサービス提供事業者ではなく、その利用者であると評価し得る

2条1項Ｑ＆Ａ

◼ 「電子署名法第2条第1項第1号の『当該措置を行った者』に該当するためには、必ずしも物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理的にはＡが当該措置を行った場合であっても、Ｂの意思のみに基づき、Ａの意思が介在することなく当該措置が行われたものと認められる場合であれば、『当該措置を行った者』はＢであると評価することができるものと考えられる。

◼ このため、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、『当該措置を行った者』はサービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。

◼ そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を１つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には、これらを全体として１つの措置と捉え直すことにより、『当該措置を行った者（＝当該利用者）の作成に係るものであることを示すためのものであること』という要件（電子署名法第２条第１項第１号）を満たすことになるものと考えられる。

電子署名法3条

電磁的記録であって情報を表すために作成されたもの（公務員が職務上作成したものを除く。）は、当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。

①電子署名

②本人による

③これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。

本人＝電磁的記録に記載された思想を表現した者

事業者署名型のうち当事者指示型を利用した署名の3条署名該当性

 利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに3条推定効の適用はあるか？

◆ 3条Ｑ＆Ａ

⇒ 当該サービスが十分な水準の固有性を満たしていること（固有性の要件）が必要

※ 〔利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービス〕が電子署名法第３条に規定する電子署名に該当するには、更に、当該サービスが本人でなければ行うことができないものでなければならないこととされている。そして、この要件を満たすためには、問１のとおり、同条に規定する電子署名の要件が加重されている趣旨に照らし、当該サービスが十分な水準の固有性を満たしていること（固有性の要件）が必要であると考えられる

固有性の要件とは？(1)

◼ 固有性の要件

⇒ 暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること

⇒ そのためには、当該電子署名について相応の技術的水準が要求されることに

※ 電子署名法第３条に規定する電子署名について同法第２条に規定する電子署名よりもさらにその要件を加重しているのは、同法第３条が電子文書の成立の真正を推定するという効果を生じさせるものだからである。すなわち、このような効果を生じさせるためには、その前提として、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要であり（以下では、この要件のことを「固有性の要件」などという。）、そのためには、当該電子署名について相応の技術的水準が要求されることになるものと考えられる。したがって、電子署名のうち、例えば、十分な暗号強度を有し他人が容易に同一の鍵を作成できないものである場合には、同条の推定規定が適用されることとなる

固有性の要件とは？(2)

◼ 固有性の具体例

①利用者とサービス提供事業者の間で行われるプロセス

②サービス提供事業者内部で行われるプロセス

⇒いずれにおいても十分な水準の固有性

◆プロセス①：利用者が２要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合

◆プロセス②：暗号の強度や利用者毎の個別性を担保する仕組み例：システム処理が当該利用者に紐付いて適切に行われること

電子署名法3条の推定効の意義(1)

 推定効の意味

◆ 通説：証拠評価にかかる法則を法律上規定した法定証拠法則

・証明責任は相手方に転換されない

・相手方からの反証が可能

◆ 文書の記載内容が、立証主題である事実の証明に寄与する程度（実質的証拠力）は別問題

 推定効の意味

①立証責任の転換を定めた法律上の推定の規定ではなく、相手方からの反証が許される法定証拠法則に過ぎない

②文書の成立の真正を直接立証することも可能

③推定効が認められれても、文書の記載事項・内容が真実であることまでが保証されるものではない⇒ 3条推定効は一定の意義を有するが、その機能・意味を過大評価しないことが必要

出典：総務省令和２年７月３日サイバーセキュリティ統括官室トラストサービスのユースケースに関する提案募集の結果

• 総務省において、トラストサービスのユースケースと制約事項につき提案募集を実施（令和2年）

• 広範なユースケースが提案された他、慣習・制度含めた制約事項について整理された• トラストサービスは、将来的なものも含め、他の政策との関係上も必要となる備え

他の政策との関係上想定されるニーズ

— 行政サービスデジタル化

エストニアの例でもわかるとおり、各種行政・病院・民間サービス業者等複数の組織との連携が必要になり、サービスの信頼性担保の為にも、申請組織とのデータ授受の仕組みがないと安心して利用できない（個人に紐つく電子署名ではない）

— 決済サービス事業者等、各種認定事業者の市場への参入

欧州の例でもある通り、市場の開放を行い、マーケットの活性化を促進する一方で、安心した事業者とのデータ流通の仕組みを備えることは前提として必須

— 国際的取引での活用

貿易取引等国を跨ぐ民間取引における信頼性の担保（欧州、米国、中国等）

2. ユースケース実現に対する商慣習等の制約、課題

出典：総務省令和２年７月３日サイバーセキュリティ統括官室トラストサービスのユースケースに関する提案募集の結果

• 慣習・制度含めた制約事項あり。特には制度上紙や書面交付を求めるものは依然存在

• 紙の制度廃止と同時に電子化の標準形もある程度示すことは必須商慣習等を電子化していく上での課題

— 現状でも電子証明書は公共・民間問わず文書や手続きによって利用されてはいるが、対象文書や手続によって利用できる電子証明書が統一されておらず明らかに非効率

— 過去文書含めた継続性の観点は民間を超えた標準化は必須。また、電子署名業者も様々であり、電子署名法に基づく認定制度がさらに有効に働く工夫も必要。

— 効率的かつ安全・安心にデータ流通が行える基盤作りが当WGの趣旨。利用されていないから制度が不要なのではなく、制度が整備されていないから利用されていない面あり

トラストサービスのユースケース及び制約となる制度について

Global Legal Entity Identifier Foundation ( GLEIF )

Managing Director, 日本代表中武浩史

2022年2月8日（火）

第５回トラストを確保したDX推進サブワーキンググループ

1. トラストサービスのユースケース、他の政策との関係上想定されるニーズ

2. ユースケース実現に対する商慣習等の制約、課題

3. ユースケース実現の制約となる法令・制度関係

4. 制度・手続改革のポイント：「原本性」「真正性」

5. 「原本性」「真正性」の担保で電子化が促進されるエリア

6. 制度化による効果のまとめ

© 2020 GLEIF and/or its affiliates. All rights reserved.

欧州eIDAS規則におけるアシュアランスレベル

第4回トラストを確保したDX推進サブワーキンググループ

2022年1月25日慶應義塾大学SFC研究所上席所員濱口総志

eIDAS(Electronic Identification and Authentication Service)規則*

• eIDAS規則の2つの目的

• 欧州DSM(Digital Single Market)戦略

• トラストサービスの普及による

経済発展の促進

*Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the 2

internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32014R0910

eIDAS(Electronic Identification and Authentication Service)規則*

• eIDの加盟国間相互承認フレームワーク

➡eIDのアシュアランスレベルについて3段階（low, substantial, High）を規定

• トラストサービスの法的効力を規定

➡2段階の法的効力

①トラストサービスは電子形式、適格トラストサービスでない理由で法的効力が否定されない

②適格トラストサービスは法的効力が推定される

➡トラストサービスの第三者評価フレームワーク

適合性評価機関による評価と監督機関による適格ステータスの付与

法的効力

電子文書

(Art.46) 電子文書は、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式であるという理由だけで否定されない。

電子署名

(Art.25）

1.電子署名は、それが電子形式である、又は適格電子署名の要件を満たさないという理由だけで、法的効力及び法的手続きにおける証拠としての能力を否定されない。

2.適格電子署名は、手書き署名と同等の法的効力をもつこと。

3.ある加盟国で発行された適格証明書に基づく適格電子署名は、他のすべての加盟国においても適格電子署名として認められる。

eシール

(Art.35)

1.eシールは、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式である、又は適格eシールの要件を満たさない

という理由だけで否定されない。

2.適格eシールは、適格eシールがリンクするデータの完全性及びデータの起源の正確性を推定することができる。

3.ある加盟国で発行された適格証明書に基づく適格eシールは、他の全ての加盟国で適格eシールとして認められる。

タイムスタンプ(Art.41)

1.タイムスタンプは、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式である、又は、適格タイムスタンプの要件を満たさないという理由だけで否定されない。

2.適格タイムスタンプは、それが示す日時の正確性とその日時を結びつけたデータの完全性に関する推定を享有する。

3.ある加盟国で発行された適格タイムスタンプは、他の全ての加盟国で適格タイムスタンプとして認められる。

eデリバリー(Art.43)

1.eデリバリーサービスを利用して送受信されたデータは、その法的効力及び法的手続きにおける証拠としての能力を、それが電子形式である、又は、適格eデリバリーサービスの要件を満たさないという理由だけで否定されない。

2.適格eデリバリーサービスを利用して送受信されたデータは、データの完全性、識別された送信者によるデータの送信、識別された宛先者による受信、適格eデリバリーサービスで示されたデータの送受信の日時の正確性に関する推定を享有する。

トラストサービス(電子署名)のレベル毎の技術基準、第三者評価フレームワーク

まとめ

• EUはeIDAS規則及びNIS2によって、デジタルインフラとしてトラストサービス及びeIDを整備し（ようとし）ている。

• 制度化と技術基準、事前/事後監督

• 行政機関及び規制産業における適格トラストサービスの利用を促進

• 一方で、B2B等において広く用いることができるレベルのトラストサービスについても、技術基準と民間第三者評価のフレームワークを整備されており、利用者が必要なトラストサービスを正しく選択できる環境を構築されている。

eIDAS2.0とEUDIW

第７回トラストを確保したDX推進サブワーキンググループ

2022年3月22日慶應義塾大学SFC研究所上席所員濱口総志

eIDAS規則の評価

参考資料

• Evaluation Report (2021年6月3日)

• Staff Working Document (2021年6月3日)

• Briefing from European Parliament (2022年3月7日)

*1 COM(2021) 290 final “REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of Regulation (EU) No 910/2014 on electronic

identification and trust services for electronic transactions in the internal market (eIDAS)”

*2 SWD(2021) 130 final “COMMISSION STAFF WORKING DOCUMENT Accompanying the document REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL

on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS)”

*3 Revision of the eIDAS Regulation Findings on its implementation and application

Evaluation Report(評価報告書) 概要

eIDAS2.0*

EU Digital Identity Wallet(EUDIW)

全欧州市民が利用可能なeIDの枠組み整備

トラストサービスの拡充

電子アーカイブ（e-Archiv）、電子台帳（e-Ledger）、属性の電子証明（e-Attestation of Attribute）、リモート署名（シール）生成装置の管理（the management of remote gig/seal creation devices）

下位規則の整備

技術基準を指定する下位規則の整備をEU委員会に義務付け

*Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European DigitalIdentity (SEC(2021) 228 final) – (SWD(2021) 124 final) – (SWD(2021) 125 final)

eIDAS規則の課題とeIDAS2.0

• 希望する全EU市民、在留者、企業が利用可能

各加盟国は、本規則の発効から12か月以内にEU Digital Identity Walletを発行すること（Art.6） >3つのオプション：加盟国による発行（by member states）/加盟国の委任による発行

(under mandate from a member states)/加盟国による承認

(independently but recognized)

• EUの公的及び民間デジタルサービス利用における本人確認or属性の証明に

利用

• 自己主権型（Self Sovereign Identity）

個人識別データ（PID）及び属性の電子証明（EAA）を透明性のある、ユーザが

追跡可能な方法で、安全に、要求及び取得、保管、選択、組み合わせ、共有す

る

• 適格電子署名（QES）をサポート

• 保証レベル：High

EUDIWの利用

1．公的オンラインサービス

2．強固なユーザ認証を要求する民間サービス

金融、社会保障、通信等の強固なユーザ認証が法或いは契約によって求められているサービス

3．大規模オンラインプラットフォーム（Digital Service Act）DSAで定義される大規模オンラインプラットフォームではユーザからの要請に従ってEUDIWによる認証を受け入れなければならない（Art. 12b）

4．その他のオンラインサービス

行動規範(Code of Conduct)を策定し、推奨することで、他のオンラインサービスにおいてもEUDIWが受け入れられるように委員会が奨励、推進する

インキュベーションラボ・プロジェクト

2022年1月25日独立行政法人情報処理推進機構（IPA）

デジタルアーキテクチャ・デザインセンター（DADC）

インキュベーションラボデジタル本人確認プロジェクトチーム

「サービスに応じたデジタル本人確認ガイドラインの検討」

本日のアジェンダ

1. 本インキュベーションラボの背景と目的

2. オンラインの身元確認手法のレベル分けについて

3. リスクに応じた本人確認手法選択の考え方について

4. ガイドラインの策定に向けた進め方について

1. 本インキュベーションラボの背景と目的

2. オンラインの身元確認手法のレベル分けについて

3. リスクに応じた本人確認手法選択の考え方について

4. ガイドラインの策定に向けた進め方について

採択時の目的

● 目的

日本の産業や生活を、グローバルに通用するデジタル本人確認のガイドラインが普及した、サービス提供者と利用者双方の安全性、利便性が両立した環境にする。このことにより、Society5.0に根差した市場拡大及び国際競争力に資する。

● 目標

サービスに応じたデジタル本人確認のガイドライン及び技術を、世界の動向を踏まえて整備し、広く普及させる。

・個人の民間サービス利用をスコープとする。

・既にガイドラインが定められている「行政手続き」は取り扱わない

● デジタル本人確認におけるガイドライン整備の意義

‐ 身元確認手法の、より精緻な整理

‐ どのようなサービスであればどのレベルの身元確認手法を選択する必要があるかの整理このふたつを行うことが重要である。

ガイドラインを策定する趣旨

レベルは違えど、「本人確認手法が分からない」が共通の課題

金融機関、携帯キャリア等

（法令に定められている事業者）

シェアリングエコノミー、マッチングアプリ等

（自主的に導入している事業者）

デジタル本人確認の導入を検討している事業者

法令に多くの手法が定められているが、安全性や利便性の違いが分からない。

導入済みの手法が自社のサービスに最適な手法か分からない。

対面手続に代わる手続として、どの手法をどのように導入するのか分からない。

課題

①身元確認手法の保証レベルの整理求められる対応

②サービスに応じた本人確認手法の提案6

本日のアジェンダ

1. 本インキュベーションラボの背景と目的

2. オンラインの身元確認手法のレベル分けについて

3. リスクに応じた本人確認手法選択の考え方について

4. ガイドラインの策定に向けた進め方について

参考

オンラインの本人確認は身元確認と当人認証からなる

本人確認の現状レベル分表作成についての参考：デジタル本人確認の保証レベルと手法例の根拠

IAL・AALのいずれかのレベルが低ければ、本人確認手法のレベルも下がることから、サービスリスクに応じてIAL・AALを選択する必要がある

身元確認と当人認証の保証レベル

出所：各府省CIO連絡会議(2019) 「行政手続きにおけるオンラインによる本人確認の手法に関するガイドライン」より作成

本日のアジェンダ

1. 本インキュベーションラボの背景と目的

2. オンラインの身元確認手法のレベル分けについて

3. リスクに応じた本人確認手法選択の考え方について

4. ガイドラインの策定に向けた進め方について

事業者は、どのように本人確認手法を選択しているか

本インキュベーションラボにおける検討事項

本インキュベーションラボでは、「リスクに応じた本人確認手法を選択できる」という目的を踏まえ、まずはリスクに関して、事業者が捉えているリスクレベル等について調査・整理した

検討事項の整理

リスク対応

その他

ユーザビリティ

本人確認手法の選択軸

● 事業者がどのようなリスクを抱えて、本人確認で対応しているか

● 本人確認で対応できている点、できていない点等

● コストについては、各eKYC事業者の競争領域で、ガイドライン等では対象外

● eKYC事業者の信頼度については、認証制度等も考えられるが、本ラボのスコープ外と思料

● ユーザーにとっての負荷をどう整理するか

● 既存の手法をユーザビリティの視点でどう整理するか

前回研究会におけるリスクの整理

経済産業省「オンラインサービスにおける身元確認に関する研究会」では、リスク評価の際には、事業で扱う財とその内容や関与者、保険/補償の有無、二次被害の可能性、等を踏まえた被害程度を見積る必要性が指摘された

出所：経済産業省(2020) 「オンラインサービスにおける身元確認手法の整理に関する検討報告書」より

事業リスク(身元確認の必要性)の評価尺度

ヒアリングにおける示唆・事業リスクに関する整理

一般的にリスクマネジメントでは、各リスクを影響度と発生頻度のリスクマップ上にプロットし、各社が優先順位をつけて適切なリスク戦略を選択している。「リスクに応じた本人確認手法の選択」をガイドライン化するためには、リスク評価・リスク戦略等の手法を参考に「リスクの標準化」が課題となる

ヒアリングにおける示唆・ユーザビリティについて

本人確認を実施することによるUXの悪化を懸念する意見も得られた。

リスク対策と、ユーザビリティ確保の両立を実現する必要がある。

出所：経済産業省(2020) 「オンラインサービスにおける身元確認手法の整理に関する検討報告書」より

ガイドライン策定後の社会

海外動向調査

・海外動向についてネットを中心に調査

・スウェーデン、シンガポール、イギリス、ドイツ、エストニア、インドの６ヵ国

・各国「サービス概要」、「利用状況」、「普及または失敗した背景」、「留意すべき日本との違い」についてまとめました。

・本人確認も含まれますが、主にデジタルIDを中心とした各国の全体的な取り組み状況についてとなります。

海外動向調査まとめ

● スウェーデンやシンガポール、エストニアの例から、デジタルIDがスマートフォンに搭載され物理的なカードを使わずに本人確認が行えることでユーザーの利便性が高まり、一気に普及していくケースがみられた。

● デジタルIDや本人確認サービスの一極集中について、スウェーデンでは、①単一IDプロバイダーへの過度の依存はリスク、②イノベーションや品質、価格面での競争が不在、③移民や銀行口座のない個人などが排除、などの問題点が指摘されている。また、シンガポールでも中央集権型のシステムであるためトラブルが発生すると機能不全となる事態や、民間企業の採用が想定通りに進むか、といった課題がある。

● イギリスでは、2000年代に入ってテロ対策や犯罪予防等の観点から、厳格に本人確認できる手段として国民IDカードの導入が議論され、IDカード法が成立したものの、費用対効果やプライバシー侵害等が問題視され、政権交代とともに同法は廃止された。この代替策として、2016年に公共サービスの共通認証プラットフォーム「GOV.UK Verify（Verify）」が導入された。政府の認定を受けた複数のIDプロバイダーのなかから、利用者自身が使用する認証サービスを選択する仕組みであるが、Verifyは当初の計画通りには普及が進んでいない。その理由として、ユーザーエクスペリエンスが不十分であることや、関係する省庁が必ずしも協力的ではないこと、民間サービスプロバイダーの求める要件を満たすものではないことなどが指摘されている。政府は、2019年に省庁横断的にデジタルIDを推進する組織を設置し、Verifyに代わる新たなデジタルIDの在り方を検討している。もっとも、識別子となる統一的な国民番号がないことが課題として指摘されている。

● シンガポールのCODEX等、階層化されたアーキテクチャーを前提にデータ層・サービス層を分離した立体的な階層構造で構築、民間にも広く開放している。

海外動向調査主な参考ソース

・「行政をハックしよう」吉田泰己(著) ぎょうせい

・日本総研「デジタル時代の社会基盤「デジタルID」」

https://www.jri.co.jp/MediaLibrary/file/report/jrireview/pdf/11717.pdf

・エストニアの電子証明書等について（総務省）

https://www.soumu.go.jp/main_content/000731090.pdf

・ドイツのパブリッシャー、共通ログインで「異業種」連携：FacebookとGoogleの2強に対抗

ドイツのパブリッシャー、共通ログインで「異業種」連携：FacebookとGoogleの2強に対抗

・インド13億人の「生体認証」国民IDに、知られざる日本企業の貢献

https://wisdom.nec.com/ja/collaboration/2019051701/index.html

・GAIN DIGITAL TRUST

https://gainforum.org/GAINWhitePaper.pdf

トラストを確保したDX推進SWG

トラストサービスのアシュアランスレベルの考え方

2022年2月8日慶應義塾大学手塚悟

トラストを確保したDX推進SWGスケジュール（案）

出典：総務省プラットフォームサービスに関する研究会最終報告書（2020年2月）別紙

https://www.soumu.go.jp/main_content/000668595.pdf

論点1：アシュアランスレベルの基準

• トラストサービスのアシュアランスレベルに関して、どのような基準が考えられるか

トラストサービス事業者（IDプロバイダー、クラウド署名サービス※、認証局、タイムスタンプ局等）の運営ポリシーをトラストサービスアシュアランスレベル（TAL：Trust service Assurance Level）として整理すべきである。

• 組織要件（組織の責任）

• 設備要件（ファシリテイ要件）

• 技術要件（暗号技術等）

• 鍵管理要件（適格署名生成装置等）

• 運用要件（複数人による相互牽制）

• 監査要件（内部監査、外部監査、適合性監査、認定）

• その他

これらをトラストサービスに共通する基準、個別の基準として整理し、TAL1、TAL2、TAL3のアシュアランスレベルを定義する。それぞれの認定主体としては以下を想定する。

TAL3：国が認定

TAL2：民間の第三者機関が認定

TAL1：自己が監査

※ 当事者の署名鍵によるリモート署名サービスおよび利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス（令和2年7月17日主務三省Q&Aより）

論点２：機動性の確保

• 技術進化に対応した柔軟な見直しが求められる中、機動性の確保するための考え方

• トラストアシュアランスレベルの策定/運営の在り方

各基準は法令から参照される独立した技術規格として策定されるべきであり、変化する技術進化や国際標準に対応したメンテナンス性が確保される必要がある。

各基準は諸外国の標準などを参考に国の関与の下に、トラストサービスフレームワークに対応してクオリファイドレベル(TAL3)とアドバンスドレベル(TAL2)等に応じて作成することが必要である。

変化する技術進化や国際標準をウオッチし適時、適切に基準のバージョンアップを行う体制、運営の在り方の検討が必要である。

海外のトラストフレームワーク

サービス提供におけるトラスト確保を実現するポリシー策定の論点

LocationMind株式会社取締役

株式会社パロンゴ取締役林達也

202２/2/8 「トラストを確保したDX推進SWG #5」

 ご提案(Recap)

「先ず、隗より始めよ」

行政手続き(Government Sector)におけるサービスで実際に試す

スモールスタート可能なユースケースを選ぶ(G2B or B2G)のはどうか

「トラストサービス」の定義を行う

3 背景

eIDAS 1.0は、日本で暮らすうえでは影響を受けるものではなかった

• 議論として参考になった側面は大きく、偉大な先行者

• 一方、EUという国と国をまとめる必要がある特殊な状況下で求められる取り組み

• 実際には、背後にISO等の国際的な標準を引くことで技術的な裏打ちとしていたNIST標準は、アメリカの政府調達を主眼としており、軍事も含めた包括的なもの

• 我々は深い洞察をせず、NIST標準を文脈を意識しないで多くの参考にしてしまった

• 彼らもまた先行者であり、我々はeIDASと同じようにNISTも参考にした

• (もちろん、他の多くの国際標準も)

今まで、我々は後手であった点が多分にある

• もちろん、先行しているケースもあるが…

では、我々が、本来汗をかくべき部分はどこなのか

• 日本に固有の状況において必要な補足・補遺・補正を行うべきではないか

• なぜ、『海外のものはすごい』となってしまうのか

• 『日本版XYZ』のようなアプローチはそもそも適切なのか

民間では自分はよく「(先行)事例病」と呼んでいます

4 現状

2022年2月において我々は、デジタル庁が発足し、EUはeIDASは2.0と言い出し、NISTSP800-63-4の登場が近づき、大多数の人々がスマートフォンを常時携帯し、マイナンバーカードの改定も議論される、という『潮目』の時期にいる

コロナ禍において人類の活動のオンライン化は促進され、物理的な制約を如何にしてデジタル化し、オンラインで実現するかが焦点となった

政府だけでなく民間でも、国内・国際ともに、Identity Proofing (KYC)や

Authentication/Authorization、Notice and Consent、パーソナルデータ、データの流通や真正性、等々が重要視されるようになった

今まさに社会的環境条件が大きく変わりつつある

小さくても手を動かすべき時期

5 補足：ID Proofing / KYC関係の国内活動

デジタル庁

• トラストSWG(本WG)

• 「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」(2019年2月25日)

‣ 改定の要望・必要性が高く、取り組むべき(本項にはバイアスがかかっています)

IPA DADC インキュベーションラボデジタル本人確認プロジェクト

• 経済産業省「オンラインサービスにおける身元確認に関する研究会」の実質的な後継プロジェクト

OpenID Foundation Japan KYC WG

JNSA 「オンライン身元確認(eKYC)金融事例調査報告書」

etc…

6 前提整理

本SWGでいう「トラストサービス」の定義をきちんと行うべき

• 「eIDAS 日本語版」、ではおそらくないだろう

• では一体なんなのか、どこまでが範囲なのか

• その目的は何か？ -> ユースケース？

民間との接合をどこまで視野に入れるのか

• その是非はさておき、立会人型で十分、という社会実態をどう捉えるべきか

• アメリカに近しいIT業界や、欧州に近しい自動車等製造業の差異

• 領域は違うが、「個人情報保護」や「プライバシー」の分野も、同じく各国を睨むことになっているのが民間の実態

純粋な政府主導のサービスは、そう簡単には社会受容されない

• 民間の方がはるかに進んでおり、護送船団のような発想はもう終わっている

• 代替手段があって、価値があれば(要件を満たせば)そちらが使われる

• ただし、罰則などがあれば別

サービスそのもので担保されなくても、商習慣や契約等で実態としてカバーされているものは多い

• 日々の生活がかかっている以上、これは当然

• そこに大きなペインポイントがあるか？

7 トラストサービスの位置づけ

DXを推進するとはなにか

• 目的は何をどう変えることなのか

何のためのトラストサービスか

• トラストサービスは、サービスであり手段

‣ 正確には、今まで本SWG等で議論されているインフラやコンポーネントに近いサービス

は、その一定の汎用性から手段である

• 「なんにでも使える魔法のトラストサービス」はおそらく存在しない

UXがひどくても、コストが高価でも、どうしてもそれでないと実現できないサービス

• -> 多くのひどい(行政)サービスの山

• 問題から、競争原理の一定の価値が見いだされるところ

• 是非はさておき、現在の「なんとかTech」の興隆はこの点にある

実態実務で使われているが、細部の詰めが甘いサービスを、適正に変えていく要素

• 慣習や長期的視点、消費者保護など、民間ではおろそかにされやすい、せざるを得ない側面を指摘し、強化を促す

• e.g.) 「既知であったことの証明」「発案者であることの証明」「犯罪収益移転防止」

8 「トラスト」の特性と本質

トラストの特性

• 本来は技術の話ではない

• 社会制度の大きな一部

• 一朝一夕には変えられないもの

• 時間をかけて得られるもの

• 認知の問題

• 社会受容性を伴う

トラストの本質

• 「醸成」できるようなものなのか

‣ 本来、個々人や主体が自然発生的に生じるものではないか

• それを踏まえた上で、それを社会制度として補強する

• 仮に「裏打ち」をするのであれば、「保証」も担保しなくてはならない

• 制度と技術の構成要素の話をすると混乱する

9トラストサービス

• デジタルテクノロジーを如何にして社会的にトラストしてもらえるようにするか

• 「技術的な」側面から、それを満たす条件や運用形態、あり方を論じている

• 専門性が高く、変化の速い、まだまだ試行錯誤が必要な未知の領域

• (他国は、一周目を終えて二周目に入ろうとしている…？)

トラストに関する制度

• 古くから存在し、事象をどう捉えるかを常に入念に検証せずとも、「複雑性を縮減」(ルーマン)するために、いわば「決め打ち」をするための外縁を定める行為

• 人間同士、村同士、村と人、等々、「関係性」の連鎖を「容易には改ざんし難い」要素で定めていく

‣ それでも、トラストは100%ではなく、一定の確度でしかないと多くの人は認識している

‣ そして、そのトラストは裏切られることもある(技術としてのトラストとの意識差がある)

• 社会生活を営む中で法律や制度として定める必要があるものの中に、トラストの要素は数多く存在する

‣ 人類がこれをうまくできているかは別の問題

‣ ただし、これは経験値によるラフコンセンサスの中から、いわばデファクトとして社会制

度化されているように思える

トラストSWGにおける、制度と技術の区別

10 参考： トラスト・信頼の難しさ

「信頼を考える: リヴァイアサンから人工知能まで」

(小山虎著)

本書で取り扱われる主な対象領域

• 経済学

• 心理学

• 社会心理学

• 社会学

• エスノメソドロジー

‣ (「人々の- 方法論(ethnomethodology)」)

• 動物行動学

• 哲学

• etc…

11 トラストの「正しい」連鎖

マイナンバーカードやベース・レジストリを活かす

• これらは大きな努力によって実現してきた「トラスト」

• おそらく、社会的には登記関係なども同様

• これらのデジタル化がこの瞬間の重要な転換要素

信頼できる点から点への連鎖

• Root of Trustであり、これは例えばベース・レジストリだが…

• ひとつの重要要素は「不変性」

正しい連鎖を作るには「要件」が必要

ただし、ポリシーで求めるべきは「正しい連鎖」の実現、評価方法までであって、要件はきちんと時代(四半期レベルの変動)と技術に合わせて変更可能な社会制度であるべき

12 トラストサービスが目指すべき目的

トラストサービス(未定義)は、暗黙の裡に以下の仮定をおいている

• Xをトラストサービスだと認めるYによって、Xはトラスト可能だとされる

• それを聞いたAは、自分にとってのY、またはそれに類する(と推測する)なにかへの信頼と近しいものとして、Xをトラストする

• 信頼を複雑性の縮減と捉えるならば、トラストサービスを定義し制度化することは、対象に対

する入念な検証を行わずとも利用していいことを明確化することに他ならない

トラストサービスの定義の必要性

• どういう目的の手段として信頼し利用できるサービスなのかを明確化することに他ならない

• それを使えば無条件で安心できるサービス…？

トラストサービスが目指すべき目的は何なのか

• 手段や部品だけを用意しても、使われなくては意味がない

• 毎日使うものなのか？ 土地売買のような時にのみ使うものなのか？

• ユースケースの明確化が必要

‣ e.g.) 国家間の調印行為のデジタル化等

トラストするという行為は、長期的に保証されることと同義

• インターネット社会はまだまだこれは難しい事象

13 個の観点で実現されて欲しいこと(ID/認証及びID Proofingの観点で)

オンライン上の本人手段の確立

• 攻撃に耐性があること

• 文脈ごとのデファクトスタンダード

• まだまだ成熟していない途上の状態

オンライン上で選択可能なペルソナによる、選択的属性開示可能なID/認証の仕組み

• デジタル社会の共通機能として、まだまだ端緒にも至れていない

マイナンバーカードの位置づけは非常に難しいと感じる

• 日々、人生を揺るがすレベルのクレデンシャルを持ち歩くのか

• 失くした時の恐怖心もあるが、一方、持ち歩いたら実はとても便利になる可能性もある

• さらにスマートフォンに搭載されたらどうなってしまうのか

‣ もしかしたらUXによりスマホ版マイナンバーカードは豊かになるかもしれない

14 目的に合わせた適切なレベルの利用

なんにでも最高レベルのものを使えばいいわけではない

• 「実印相当」等の物理世界の既存制度の比喩表現をデジタルテクノロジーに適用するのは個人的にはとても不適切だと思うが、それであっても「なんにでも実印は捺さない」だろう

• 何をどうやって担保するのか、Single Point of Failureにならないか、リスクはどうあるのかを考えるのはとても重要

レベルは高ければいいわけではなく、使い分けられることこそが重要

• 大は小を兼ねない

高いレベルのものを定義することで、そこから下位のレベルのものを作り上げることが可能

エコシステム全体のコストとベネフィットを計算しなくてはならない

• これを数値として明確化できる材料を提示するのはポリシーの役目

• 仮定として、トラストサービスを民間が運営するのであれば、費用対効果が一定程度

明確ではなくては成立しない

‣ Web PKIやタイムスタンプ認証局での学びを活かす必要がある

‣ 我々はいまだ、放棄ドメインの再利用にすら対応が出来ていない

15 トップダウンとボトムアップ

トップダウンの必要性

• 発展途上の場合、サービスの定義をゼロから国が主導して実施する必要があった

• EUの各国をまとめあげるのは事実上困難であり、EUデジタル単一市場など、強制的にトップダウンで実施する「必要性」があった

• 問題のある認証技術や本人確認手法では社会全体に問題が波及するため、問題のある部分を、必要に応じて変更するよう定義してきたボトムアップの必然性

• デジタルの世界において、政府よりも民間が先を走っていることは避けがたい事実• トップダウンでなにが言えるほど、我々はリソースを正しく投じていない

‣ これは今から少しずつ手を付けるべき、だが…

• 現状は、民間のデファクトスタンダードが社会を動かしており、政府が行う役割は「コストであってもやらなくてはいけない最低限の対策」

マイナンバーカードの普及が一般的となり、スマートフォンの保有が当然のことになっている状況下で、Small Startした実績からフィードバックしつつ、大きなフレームの議論は、数歩先の未来を想定してゼロベースで検討すべき

極限の安全性を考えるならば、厳しい条件下でのみ要求される実務はなにで、どう運用するのかを明確にする必要がある

そしてなにより、それをどう普及させ、スケーラビリティを得るのか

• これは、上位のレベルのものが、より日常的に使いやすい下位のレベルのものを生み出すことにもつながる

最終的には、広く社会に受け入れられるかが評価のポイント

Small Start (実務主導)

先ず、きちんと我々で実績を積み重ねることが重要

日本としてSmallな検証を進めていくべき

• 絵にかいた餅ではなく、実利のあるDFFTへの道

• この瞬間、正に始めるべき議論

• 良い面も悪い面も含めて、日本の特殊性をもとに話をするべき

正しくTransformationすべきものは山ほどある

これを進めることで、トラストサービスに求められる最低限のポリシーとその体制についての知見が一定程度明確になると思われる

Big Picture (技術主導)

Small StartとBig Picture

17 DXサービスに寄与するトラスト確保を実現するポリシー策定の検討課題

最小限、サービス提供者に求めなくてはいけないことはなにか

• 資本金？上場？事業継続性？

• 100年持つサービスがどれだけあるのか

• 100年持たないトラストサービスに意味があるのか

• (少なくとも行政サービスは形態を変えても正しく継続し、正しく終わることが期待できる可能性は高い＝信頼？)

• 持たないのであれば、どうすればいいのか

‣ サービスが提供するものが短期間に収まればよい？

インセンティブとディスインセンティブ

• 使う理由が必要

• 信頼を損なう行為には厳しい罰則を

‣ 例えば売り上げのx%など

‣ 1億円程度では防止にならない領域は多々ある

トラストサービスにおいて政府や制度でなければ出来ないことはなにか

• 我々はeIDASがなくても経済活動を行っているし、Web PKIもInternetも国家には依存していない

• 一方、個人情報保護法のように、法や制度で守られることが重要なものがある

18 ポリシー作成における要素・要点(私見)

方向性

• ブレない方向性の提示、趣旨、あるべき姿の提示

• 利用者と提供者それぞれへのインセンティブとディスインセンティブ

安定性

• 長期間の有効性

‣ 持続性と経済性

• 社会的有効性(裁判？)

最小性

• トップダウンで定義するポリシーの内容は、最小限のものが望ましい

‣ 本SWG構成員からも同論の意見があったと認識

‣ エンジニア的観点として、個人的には、法律等にbit長やアルゴリズムを書くことはナンセンスだと考える

柔軟性

• 技術的・経済的アジリティを確保するために必要な要素として、変化を受け入れ可能にしておくことは重要

トラストサービスに関するアンケート実態調査の報告

アウトライン

1. トラストサービスのニーズ及び現状についての業種/分野別エキスパートインタビュー

2. 企業/個人へのアンケート調査実施概要

3. 企業向けアンケート結果の分析

4. 個人向けアンケート結果の分析

5. トラスト基盤の整備・普及による期待効果

中小企業では、トラストサービスの課題意識として「認知/理解不足」が特に多く、今後考えられる施策例への関心は、「低コストで導入可能な方法」「法的効力(証拠能力)の規定」「業界ごとの標準化団体設置/ガイドライン策定」がトップ3 (全体同様)

• 導入済

デジタル化の検討・実施のための工数がかかる

又は人的リソースが不足

効力が切れる前に更新するための工数がかかる

国際的な有効性(法的効力) が担保されていない

(電子署名以外) 法的効力(証拠能力) が担保されていない

サービス導入時のコストがかかる

(例: 電子署名用の社員分のICカード&カードリーダ等)

サービス利用時のコストがかかる

どのトラストサービス事業者を使えば適切かわからない

どのような方式のトラストサービスを使えば適切かわからない(どのようなものなら安全性が担保されるかわからない)

サービスの継続性/永続性に不安がある

トラスト確保によるデジタル化の期待効果の見積り/イメージ具体化(まとめ)

トラスト基盤の整備・普及により、トラスト確保によるデジタル化の促進や、デジタル/オンラインでのトラストの強化が果たされ、「業務量削減」「人為的ミスの回避」「詐欺被害等の犯罪防止」「コンプライアンス遵守強化」等の効果が期待されている

• トラスト確保により、自社のデジタル化が進展することを期待する企業は85%あり、中でも「不動産売買/賃貸の契約」、「銀行口座開設の申し込み」、「取引書類の作成」等のデジタル化への期待が大きい

– 中でも、海外と取引があり、トラストサービスでも海外連携が必要と考えられるものとしては、「各種取引書類等の作成/授受」

「銀行口座開設の申し込み」「海外送金/振り込み」等が挙げられる

– 上記で、海外取引がある企業では、各手続き等の10%~40%程度を占める

• 上記により期待される効果として、企業からは、「業務量削減」の他、「人為的ミスの回避」「コストの削減」「詐欺等の犯罪被害防止」「コンプライアンス遵守の強化」等も挙げられている

– 例えば、銀行口座の新規開設では、従前は紙による本人確認/利用開始案内を前提としていたが、トラストを確保しながらデジタル化されることによって、企業の「業務量/郵送コスト削減」、「書面偽造による不正口座作成等の犯罪被害防止」や、職員による不正防止での「コンプライアンス遵守の強化」、また個人の「手間の削減」「手続きの迅速化」の効果が見込まれる

• なお、上記効果の概算想定規模としては、「業務量削減」では~100億時間(600万人相当) の削減が見込まれる他、「詐欺等の犯罪被害防止」100億円規模が見込まれる

1. トラストが導入された場合にデジタル化された手続きを使用したいと回答した割合を期待すると記載

Source: 企業向けアンケート調査(n=347、2021/11/24～12/7実施)

トラスト確保により、自社のデジタル化が何らかの手続きにおいて進展することを期待する企業は85%あり、ニーズのあるものに関しては概ね10~25%がデジタル化を期待

2022年（令和４年）4月20日

デジタル庁

https://cio.go.jp/guides

〔標準ガイドライン群ＩＤ〕 1009   〔キーワード〕 ＲＦＩ、ヒアリング、要件定義書、機能要件、非機能要件   〔概要〕 標準ガイドラインの下位文書として、標準ガイドラインの記載の趣旨、目的等を理解しやすくするため、逐条的な解説等を記載した参考文書。

改定履歴

改定年月日	改定箇所	改定内容
2022年4月20日	第５章１． 第５章２．	・標準ガイドラインからの引用箇所について、標準ガイドラインの改定に合わせて修正
第５章２．	・府省ＣＩＯ補佐官の記載を削除し、関連箇所を修正 ・「齟齬」を「そご」に修正 ・府省共通システムの記載を削除 ・府省重点プロジェクトの記載を削除し、関連箇所を修正 ・デジタル・ガバメント実行計画の廃止に伴い、関連箇所を修正 ・文字情報基盤整備事業に関するＷｅｂサイトの所管団体及びＵＲＬを修正 ・中央省庁における情報システム運用継続計画ガイドライン～策定手引書を最新版の名称に変更 ・政府機関等の情報セキュリティ対策のための統一基準群を政府機関等のサイバーセキュリティ対策のための統一基準群に変更し、関連箇所を修正
2021年3月30日	第５章２．	・体裁を修正
第５章２.	・データ利活用促進を含めたデータ要件を「データに関する事項」として集約して追加、及びデータマネジメント強化関連の修正・追加
2020年11月27日	第５章３．	・ODBに関する記載を削除
2020年3月31日	第５章２．	・機能要件、非機能要件及び情報システムの実現案についてＰＪＭＯ全体で決定することの重要性について追加
第５章２．	・要件定義書の記載における機能要件の定義で踏まえるべき内容を追加
第５章２．	・機能要件定義対象要件と定義内容について一部追加
2019年2月27日	－	・初版決定

目次

第５章　要件定義. 1

１. 要件定義の準備. 3

1） ＲＦＩの実施. 4

2） 事業者へのヒアリング等の実施. 7

3） 必要な資料の作成. 8

２. 要件定義. 9

1） 要件定義書の記載内容. 11

2） 要件定義書の調整・作成. 23

３. プロジェクト計画書の段階的な改定. 25

第５章　要件定義

ＰＪＭＯは、「第４章 サービス・業務企画」で策定した業務要件を踏まえ、これを実現するための情報システムに求める要件（以下「情報システム要件」という。）として、情報システムの機能を定めた要件（以下「機能要件」という。）及び情報システムが備えるべき機能要件以外の情報システム要件（以下「非機能要件」という。）を明らかにするため、調達に先立ち、次のとおり、要件定義を行うものとする。

要件定義は、プロジェクトの目標を達成する上で、極めて重要な工程であり、要件定義が不十分なときには、計画の遅延又は情報システムの機能・性能が要求水準に満たないものとなる事態等が発生する可能性が高まるため、適切に実施する必要がある(1)。

利用者の価値を最大化するサービス・業務企画を具現化し、政策目的及びプロジェクトの目標を達成するためには、情報システムに求める要件を漏れなく具体化し、意図を正しく事業者に伝えることにより情報システムの設計・開発、運用を滞りなく進められるよう準備する必要がある。

このため、要件定義では、サービス・業務企画内容を踏まえて、費用対効果等を勘案しながら、情報システムが備えるべき機能・性能等を明らかにするものとする。

また、要件定義のアウトプットである要件定義書は、後続の工程においてＰＪＭＯと事業者が業務や情報システムの目指すべき姿を共有するだけではなく、契約上の合意文書となる重要なものである。誤りや曖昧な定義が行われると、後続の工程に重大な影響を与えることから、適切な手順で確実に検討を進める必要がある。

要件定義は、情報システムの整備対象となるサービス・業務企画内容の規模と難易度から、ＰＪＭＯが実施する場合と、事業者に外部委託する場合が想定され、その進め方が異なる。本解説書では、ガイドラインで示される事項について網羅的に解説するため、ＰＪＭＯが要件定義を行う場合を主として解説するとともに、事業者に外部委託する場合の注意事項等を、場合分けとして記載する。

（1）「要件定義が不十分なときには、計画の遅延又は情報システムの機能・性能が要求水準に満たないものとなる事態等が発生する可能性が高まるため、適切に実施する必要がある」

「計画の遅延又は情報システムの機能・性能が要求水準に満たないものとなる事態等」とは、ＰＪＭＯが行った要件定義が不十分で、内容に抜け漏れ・曖昧さが存在することにより発生する事態を指す。その例を次に示す。

１. 要件定義の準備

ＰＪＭＯは、要件定義に先立ち、次のとおり行うものとする。

情報システムの要件定義は、世の中の技術動向やサービスの動向、各種事例、要件を実現する方式に関する情報等を踏まえて実施する必要がある。必要な情報を入手しないまま要件定義を行ったときには、費用対効果に優れた手法の採用漏れや、優れた先進事例を取り込むことができない等のリスクが発生することとなる。

したがって、要件定義に先立ち、これらの情報を収集する必要があるが、多岐にわたる情報をＰＪＭＯの知識や経験のみで網羅的かつ詳細に把握することは困難である。

このため、ＰＪＭＯは、ＲＦＩ及び事業者へのヒアリング等により、要件定義の前提となる情報を広く収集し、要件定義で十分な検討が行えるように準備する。

1） ＲＦＩの実施

ＰＪＭＯは、要件定義の検討に際し、専門的な知見を広く取得するため、必要に応じてＲＦＩを実施し(1)、次の[1]から[4]までに掲げる事項を記載した説明書を作成するものとする(2)。

• (3)
• (4)
• (5)
• (6)

なお、このうち[3]については、要件定義案の実現性、実現方法、それらの要件を実現するために必要な経費の見込み、要件定義案への修正事項（開発方式（クラウドサービスの活用、ソフトウェア製品の活用、スクラッチ開発等）、開発手法（ウォータフォール型開発、アジャイル開発等））等、事業者に具体的に求める内容について記載するものとする。

なお、原則としてクラウドサービスの利用を前提とした実現方式の情報も取得すること。

要件定義に必要となる専門的な知見は、その内容に応じて偏りなく幅広く収集する必要がある。

このため、ＰＪＭＯは、市場調査や資料提供の要請を行うときには、その内容に応じて公平性を確保し、ＲＦＩ等を通じて情報の収集を行う。

なお、ＲＦＩは、プロジェクトの規模を考慮して、準備着手の時期を判断する。

（1）「専門的な知見を広く取得するため、必要に応じてＲＦＩを実施し」

「専門的な知見」とは、ＰＪＭＯが要件定義を行うに当り、ＰＪＭＯのみでは補完できない情報である。その例を次に示す。

「ＲＦＩを実施し」とは、ＰＪＭＯがサービス・業務企画の実現可能性や整備する情報システムに係る有用な情報を得るために、ＲＦＩに係る説明書を作成し、ＲＦＩの実施について通知を行い、情報を収集することである。

ＲＦＩの実施を通知するに当たり、広く不特定多数からの情報を求めるときには、府省Ｗｅｂサイト上で公開する等の手法があるが、必要な情報を確実に得るためには、事業者団体への通知やプレス発表等によって積極的にアナウンスすることも効果的である。

なお、ＲＦＩにおける事業者の回答内容が期待した水準に満たない場合や、回答内容の確認のために追加の情報提供を求める必要が生じた場合等には、ＰＪＭＯは、事業者に対して個別ヒアリング等を行い、不明点や情報が不足する点等を解消・補強する必要があることに留意する。

なお、機密性の高い情報を、事業者に対し提供する必要がある場合は、ＰＪＭＯはあらかじめ守秘義務の誓約書を事業者に求め、当該誓約書の提出があった事業者にのみ機密性の高い情報を提供する。

（2）「次の[1]から[4]までに掲げる事項を記載した説明書を作成する」

「説明書を作成する」とは、ＰＪＭＯが、事業者から必要な情報を適切に収集するために、ＲＦＩに先立ち、プロジェクト内容を正確に伝達するための説明書を作成することを指す。ＰＪＭＯは、事業者に政策目的、プロジェクトの目的・目標及びサービス・業務企画内容等を正確に伝えられるよう、十分な準備を行う必要がある。

（3）「[1] 調達の概要」

「調達の概要」とは、ＰＪＭＯが調達計画を明らかにするために、当該プロジェクトの調達計画の全体像と本調達が対象とする範囲を提示することである。

（4）「[2] その時点における検討内容、要件定義案の概要等」

「検討内容、要件定義案の概要等」とは、ＰＪＭＯがＲＦＩを実施する時点で、前提として既に定まっている事項や、検討の過程で整理した案の概要等を指す。要件定義の開始前時点では、プロジェクトの計画及び進行によっては、確定していない内容が存在する可能性もあるが、要件として求める方向性等があれば、それを記載することが望ましい。

（5）「[3] 資料提供を求める内容等」

「資料提供を求める内容等」とは、ＲＦＩにて提供を要請する情報の内容、その内容に含むべき事項等を整理し明確に定義したものである。プロジェクトで提供するサービス・業務を実現する具体的な方式、適合可能な技術、調達単位のあり方等に関する情報、実現に向けての大まかなスケジュール等の意見を求め、プロジェクトの実現可能性を高めることが重要である。

また、要件定義を有効に進めるために、未検討や未確定の事項についても、幅広く事例や動向等に関する資料の提供を求めることが有効である。

なお、パッケージ製品やクラウドサービスの適用を前提とするときは、ベンダに対して提供可能な範囲の業務要件定義資料を提供し、ベンダによる適合性調査（Fit&Gap）を依頼するだけでなく、パッケージ製品等のデモに職員が参加して機能の確認を行う、ベンダへのヒアリングを実施する、パッケージ製品やクラウドサービスの最新情報（非機能要件や標準・オプションの価格等も含む）を入手する等、実際に適合することを職員がチェックすることが重要である。

（6）「[4] 提出期限、提出場所、提出方法、提出資料における知的財産の取扱い等」

「提出期限、提出場所、提出方法、提出資料における知的財産の取扱い等」とは、提出に係る取り決めを定めた内容であり、その例を次に示す。

得られた情報に知的財産の制約がある場合、要件定義書等にそのまま用いることができないときがあるため、事業者に対して、公開済みで活用できる情報と、機密等を伴う情報とを区別できるような情報の明記を求める等の工夫も有用である。

2） 事業者へのヒアリング等の実施

ＰＪＭＯは、有用な情報を得られるよう、公平性・競争性を確保した上で、事業者に対し説明会・個別ヒアリング等を逐次行い(1)、取得した情報を精査し、活用するものとする。

ＲＦＩにより、必要な情報を広く収集することができるが、ＰＪＭＯの意図が伝わらない場合、必要な情報が得られない、情報の粒度が異なる、誤った情報が提供されるといった事態が発生するおそれがある。

そのため、ＰＪＭＯが、事業者に対して、情報システムに求める要件を直接説明し、実現可能性等について意見交換をする機会として説明会やヒアリング等を実施することは、要件定義の内容をより精緻化し、設計開発工程以降での手戻りを防ぐ上で有効である。

なお、説明会・個別ヒアリング等では、公平性と無差別性を確保するため、ＲＦＩと同様の方法で、実施について通知を行い、得られた情報については、議事録に記載する等の方法により、ＲＦＩの事業者回答と同様に取り扱うことが望ましい。

（1）「事業者に対し説明会・個別ヒアリング等を逐次行い」

「説明会・個別ヒアリング等」とは、ＰＪＭＯが、事業者に対して、情報システムに求める要件を直接説明し、実現可能性等について意見交換をする機会を指す。これらは要件定義を開始する前のみならず、要件定義の実施中に情報が必要となった場合においても、適宜活用することが可能である。

なお、ヒアリングには、既存業務システムの仕組みを理解し、業務要件を正しく伝えられる職員の参加が望ましい。

なお、機密性の高い情報を、事業者に対し提供する必要がある場合は、ＰＪＭＯはあらかじめ守秘義務の誓約書を事業者に求め、当該誓約書の提出があった事業者にのみ機密性が高い情報を提供する。

3） 必要な資料の作成

ＰＪＭＯは、「第４章５．業務要件の定義」において作成した資料のほか、要件定義に際し、必要な資料を作成するものとする。なお、既存資料を活用する場合には、現状の検討状況が適切に反映されていることを確認し、変更がある場合には更新するものとする(1)。

ＲＦＩ又は事業者に対する個別ヒアリング等で得られた情報は、要件定義や後の工程で適切に活用する必要がある。

このため、ＰＪＭＯは、サービス・業務企画で収集した情報、業務要件定義の内容とともに、ＲＦＩ又は事業者に対する個別ヒアリング等の実施結果、及び、その結果を分析した内容について整理した資料を作成する。

（1）「既存資料を活用する場合には、現状の検討状況が適切に反映されていることを確認し、変更がある場合には更新するものとする」

「既存資料を活用する」とは、既存の業務及び情報システムの資料を活用することである。「第４章２．現状の把握と分析」にて収集した資料が活用可能であれば、それらを用いてもよいが、これら既存システムに係る各種ドキュメントが最新の状態になっているかを確認することが重要である。また、この確認作業を通じて、職員の既存システムに関する知識の向上も期待できる。

なお、業務や情報システムの内容は運用期間中に変更や追加が行われることが多いため、要件定義に当たって正確な情報を収集するには、現行情報システム運用事業者や現行情報システム保守事業者より、最新化された資料を入手する。

ＲＦＩの実施結果については、情報の網羅性や粒度について確認を行うとともに、複数の情報間での整合性についても評価を行う。プロジェクトの実行可能性の考え方に影響を与える情報が得られた場合は、所要の見直しを行う。

２. 要件定義

ＰＪＭＯは、次のとおり、業務要件、機能要件、非機能要件及び情報システムの実現案を具体的に定義し、これらを記載した要件定義書を作成するものとする。なお、作成に当たっては、「第４章 サービス・業務企画」において収集・作成した情報を基に定義することとし、要求する情報システムの特徴を踏まえ、記載内容の軽重を検討するものとする。また、定義した具体的な内容について、その必要性、網羅性、具体性、定量性、整合性、中立性及び役割分担の明確性の観点、さらに情報セキュリティ等の観点から、その実現可能性があることを確認するものとする。

なお、機能要件、非機能要件及び情報システムの実現案についても、情報システム部門のみで決定するものではなく、制度所管部門、業務実施部門を含めたＰＪＭＯ全体で決定することが不可欠であることに留意すること。

また、検討に当たっては、ＰＭＯ等の支援や助言を受けることが望ましい(1)。

要件定義で定める業務要件、機能要件、非機能要件は、多くの関係者と共有し、内容を合意する必要があり、後工程の作業を実施する際の元情報としても活用される。

このため、ＰＪＭＯは、これら要件を、網羅的かつ詳細に検討した上で、関係者が共有可能な文書として整備する必要がある。さらに、様々な要件を統合し、情報システム全体構成の実現案を作成することで、要件の抜け漏れを無くし、実現性の高い情報システムの全体像を明らかにする必要がある。

要件定義を事業者へ外部委託する場合

要件定義を事業者に委託するかどうかにかかわらず、ＰＪＭＯは要件定義内容の決定について責任を持つ必要がある。ただし、その決定に至るまでの進め方については、次の点に留意する。

• サービス・業務企画」で決定した内容を基に業務に必要な要件を検討し、内容を確定するものである。その際、事業者が作成する各項目の定義内容について、ＰＪＭＯは全ての内容に目を通し、理解する必要がある。

なお、全ての要件について、サービス・業務企画を実現する上での重要性を事業者が判断することは困難であるため、ＰＪＭＯと業務実施部門が中心となって要件の重要度を決めるとともに、要件を実現する際の難易度について事業者に情報を求め、重要度と難易度を基に、要件の優先度を調整する必要がある。

（1）「検討に当たっては、ＰＭＯ等の支援や助言を受けることが望ましい」

「ＰＭＯ等」とは、ＰＭＯ以外に、政府デジタル人材、高度デジタル人材、外部組織の有識者や専門的な知見を持つ職員を含むことを指す。

1） 要件定義書の記載内容

要件定義書には、業務要件、機能要件、非機能要件及び情報システムの実現案を明らかにするため、原則として、次のアからエまでに掲げる事項について記載するものとする。なお、定義の時点において、未確定な要件については、それがプロジェクトを進める上でのリスク要因となり得ることに厳に留意し、その旨を要件定義書において明らかにするものとする(1)。

ア　業務要件の定義

業務要件は、情報システムを活用した業務の内容を定義する。なお、当該要件は、「第４章５．業務要件の定義」により検討した内容を基に、他の要件等との整合性を確認し、更新するものとする(2)。

イ　機能要件の定義

機能要件は、「デジタル社会の実現に向けた重点計画」に掲げる「デジタル３原則（①デジタルファースト：個々の手続・サービスが一貫してデジタルで完結する、②ワンスオンリー：一度提出した情報は、二度提出することを不要とする、③コネクテッド・ワンストップ：民間サービスを含め、複数の手続・サービスをワンストップで実現する）」を踏まえ、次のa）からe）までに掲げる事項をもって定義する(3)。なお、機能要件は、業務の質の向上、業務の効率化等に対する有効性等を踏まえ、優先度の高い機能から整備する必要があること、また、他の情報システムと連携する場合には相互運用性及びデータ互換性についても併せて記載する必要があることに留意するものとする。

なお、クラウドサービス（SaaS）等が提供する機能を利用する場合には、その利用する機能について記載するものとする(4)。

ウ　非機能要件の定義

非機能要件について、次のa）からq）までに掲げる事項をもって定義する(5)。定義の内容は、業務・情報システム両面で必要な要件を、網羅するものとする。なお、非機能要件は、技術的に検討を要する事項を多分に含むことから、日本産業規格等のほか、ＲＦＩ等を通じて、広く情報を取得し、実現性等の検証を行うものとする。

さらに、原則としてクラウドサービスの活用も検討するものとする(6)。クラウドサービスの選定に当たっては、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を参照すること。

エ　システム方式の決定

情報システムの実現案として、「ウb) システム方式に関する事項」で検討した内容を他の要件の内容と調整し、決定する。なお、この案は複数検討するものとする。

これにより「イ 機能要件の定義」及び「ウ 非機能要件の定義」に影響を及ぼす場合は、これらを更新すること(7)。

また、導入するクラウドサービスやパッケージ製品を「システム方式」として先に定め、「ア 業務要件の定義」、「イ 機能要件の定義」及び「ウ 非機能要件の定義」を検討することもできる₍₈₎。

要件定義書は、後工程である設計・開発、各種テストの入力情報のみならず、運用開始後における継続的なサービス・業務改善活動の基礎情報としても利用され、継続的に維持される。

要件定義書の内容に曖昧さや抜け漏れがあると、後工程で実施される作業や作成される成果物に影響を与え、提供するサービス・業務の内容・質を低下させ、プロジェクトの目的・目標の達成を阻害することになりかねない。

このため、本項で定める各項目に従って内容を定義することにより、後工程に必要となる情報を網羅しつつ、プロジェクト全体への影響を考慮しながら、各項目の定義を調整し、確定するものとする。

なお、パッケージ製品やクラウドサービスの適用を前提としているときは、パッケージ製品やクラウドサービスの適用を意識しながら、各項目を定義する。

また、既存システムを改修する場合、要件定義書は、当該改修に係る内容のみを記載した要件定義書を作成するのではなく、必ず、既存の要件定義書を追加・修正の上、該当ページを差替える等、要件定義書の全体の整合性を保った状態で最新化することが必要である。

（1）「なお、定義の時点において、未確定な要件については、それがプロジェクトを進める上でのリスク要因となり得ることに厳に留意し、その旨を要件定義書において明らかにするものとする」

「未確定な要件」とは、ＰＪＭＯが要件定義書を作成するときに、確定するために必要な判断材料が未確定なために、その時点では決定できない要件を指す。

例として挙げると、関連法案が審議中である場合や、要件に影響がある他のサービス･業務企画内容がやむを得ない理由により確定していない場合等、である。

「プロジェクトを進める上でのリスク要因となり得る」とは、「未確定な要件」の内容が確定しないまま、事業者が情報システムの設計・開発を行ったときに、その要件が確定した際、契約変更を伴う委託内容の変更が発生する可能性があることを指す。

「その旨を要件定義書において明らかにする」とは、やむを得ず内容の確定が困難な要件が発生したときは、その対象と理由を要件定義書において明示することを指す。

既存の情報システムを更改又は改修する場合

要件定義書の各項目は、既存業務・情報システムの要件定義書を基に情報の追加・変更をすることが効率的である。さらに、既存の要件の変更であるか、新規の要件の追加であるかを明確にすることは、後工程において事業者との認識そごを予防する上で重要である。

ア　業務要件の定義

ＰＪＭＯは、「第４章５．業務要件の定義」により検討した内容を引継ぎ、業務要件とし、他の要件等との不整合がある場合は更新した上で、定義を確定する。

（2）「なお、当該要件は、「第４章５．業務要件の定義」により検討した内容を基に、他の要件等との整合性を確認し、更新するものとする」

「他の要件等との整合性を確認し」とは、「イ 機能要件の定義」、「ウ 非機能要件の定義」、「エ システム方式の決定」の結果に伴う見直しや、「１．1) ＲＦＩの実施」や「１．2) 事業者へのヒアリング等の実施」で得た情報を基に、情報システム化への実現方式の難易度や費用から、業務要件の見直しを行うことを指す。

また、パッケージ製品やクラウドサービス（SaaS/PaaS/IaaS）の適用を前提としているときは、パッケージ製品やクラウドサービス（SaaS/PaaS/IaaS）の最新版における情報と、「第４章５．業務要件の定義」で検討した際にインプットとした情報を比較して、内容の差異を確認する。

なお、この段階において、プロジェクト計画に影響を与える内容が明らかになったときには、ＰＪＭＯはＰＭＯに相談し、サービス・業務企画の方向性の変更も含めて検討するものとする。

イ　機能要件の定義

機能要件は、「ア 業務要件の定義」で定義した業務要件を実現するために情報システムに求められる要件を定義するものである。

このため、ＰＪＭＯは業務実施部門と連携し、業務要件の内容と情報システム化対象範囲を正しく理解し、情報システムが実装する機能を整理し、機能要件として定義する。

機能要件では、業務要件で定義した利用者による情報システムの使い方を、画面、帳票、データ、処理内容等に具体化して、定義する。

なお、ＰＪＭＯは業務実施部門と連携し、利用者の利便性への寄与、提供するサービスの質や業務効率の向上等の観点を意識し、検討対象となる機能に優先度を付け、対象機能を選択し、定義することに留意する。

（3）「機能要件は、「デジタル社会の実現に向けた重点計画」に掲げる「デジタル３原則（①デジタルファースト：個々の手続・サービスが一貫してデジタルで完結する、②ワンスオンリー：一度提出した情報は、二度提出することを不要とする、③コネクテッド・ワンストップ：民間サービスを含め、複数の手続・サービスをワンストップで実現する）」を踏まえ、次のa）からe）までに掲げる事項をもって定義する」

デジタル３原則については、デジタル社会の実現に向けた重点計画（令和３年12月24日閣議決定）を参照すること。

機能要件の定義対象事項を示せば、表5-1のとおりである。

表5-1

機能要件定義対象要件と定義内容

定義する事項	記載事項	内容
a) 機能に関する事項	情報システムにおいて備える機能について、処理内容、入出力情報・方法、入力・出力の関係等を記載する。なお、他の情報システムが類似の機能を持つ場合は、その機能を活用することも検討する。	業務要件を実現するために必要な情報システムの処理に関する事項を明らかにする。 機能要件定義として整理した機能の一覧は、パッケージ製品やクラウドサービス（SaaS）との適合性確認を行う際に、比較検討の基となる情報として利用することもあるため、機能単位で優先度を明確にすることが重要である。あらかじめ想定していた要求の全てを担保することを必須とすると、利用できるサービスの選択肢が限られたものとなるほか、カスタマイズ等の費用が上乗せされることとなるおそれがある。他方、優先順位の低い一部の要望を任意の提案事項とすることで、サービスの選択肢の幅が広がる、カスタマイズ等が不要となる等、パッケージ製品やクラウドサービス（SaaS）本来のメリットを最大限活かした案件形成が可能となる可能性があることに留意し、実現する機能の決定に際しては、想定する要件を必須事項と任意事項に分け、任意事項についても優先順位を付けた上で、RFI等を通じて情報収集を行い、事業者から幅広い選択肢について提案を得られるように配慮すること。
b) 画面に関する事項	情報システムにおいて表示される画面について、画面の概要や表示イメージ、画面の遷移や入出力の基本的考え方等を記載する。	画面の説明やデザイン、画面の遷移等、標準的な画面に求められる構成要素（項目、ボタン等）の要件を明らかにする。 また、画面を構成する項目やボタンの配置ルール、画面の基本的な遷移パターン等、画面の設計に係る方針も明らかにする。 なお、機能要件定義では、当該システムの画面に関する全体方針及び現時点における個別画面の構成要素を定義するものとし、個別画面の詳細な項目定義や構成要素の配置は、「第７章　設計・開発」で確定する。 また、情報システムの画面は、業務を流れに沿って処理する上で重要な役割を担うものであり、業務効率や利用者満足度に関わるほか、適切なアクセス権限の設定単位に関わる事項のため、業務実施部門が中心となって検討することが必要である。
c) 帳票に関する事項	情報システムにおいて入出力される帳票について、帳票の概要や表示イメージ、帳票の入出力の基本的な考え方等を記載する。なお、業務のデジタル化を前提に、帳票は最小限にすることが望ましい。	帳票の説明やデザイン、種類、様式、標準的な帳票に求められる構成要素（項目、罫線等）の要件を明らかにする。 また、帳票を構成する項目の配置ルール、帳票の印刷方式等、帳票の設計に係る方針も明らかにする。この際、法令で定められた様式やOCR帳等、記載事項やサイズについて厳密な指定がある場合や、逆に要件として示すものは表示イメージに留め、設計において確定することが許容される場合を、それぞれ明記する。 情報システムが提供する帳票は、業務実施手順や業務効率と密接に関わる事項のため、業務実施部門が中心となって検討することが必要である。
d) データに関する事項	情報システムにおいて取り扱われるデータベースや入出力ファイルといった全てのデータについて、データモデル、データ定義、データの利活用方法、オープンデータの範囲と方法、データ項目の標準化等、データに関する要件を記載する。また、原則として、政府において標準化されたデータ名称、データ構造等を採用するとともに、各データが当該情報システム内における利用だけでなく、他の情報システムとの連携やオープンデータとしての活用が行われることを前提として、リスク管理を適切に行いつつ品質が維持されるようデータマネジメントに留意すること。	業務要件を実現するために必要な情報システムで取り扱うデータに関する事項を明らかにする。データはデータ項目及びデータ項目の集合であるファイル（入出力を行うファイル含む）、テーブル、データベース等、全てのデータについて、その要件を明らかにする。データ要件としては、データ定義、データモデル、データ利活用方法、オープンデータ範囲と方法（ＡＰＩ等の実装方法含む）、データ機密性定義と管理方法、マスターデータ標準化及びデータ項目標準化（コード含む）のレベル等を具体的に記述する。システム間のデータ連携でデータの流通が増大する中、その容易性と安全性の確保を目的に、連携に欠かせないデータ項目の標準化、連携方法の標準化等、連携の基本となる実装方針を明確にするとともに、その前提となるオープンデータ化などのデータ利活用の方針を明示することが重要である。 また、データに関する要件は全て「データに関する事項」として一元的に整理することで、俯瞰的・総合的にシステムで使用するデータを把握できることとなり、後続の設計・開発の品質を高めかつ将来の変化に柔軟に対応できるようになる。
e) 外部インタフェースに関する事項	整備する情報システムと他の情報システムとの連携（外部インタフェース）について、外部インタフェース一覧として、相手先の情報システム、送受信データ名、送受信タイミング、送受信の条件の基本的な考え方等を記載する。 外部インタフェースについては、オープンなＡＰＩとしての活用が行われることも想定して整備を実施するよう留意すること。	当該情報システム以外の情報システムと情報連携を行う際に必要となる事項を一覧表レベルで明らかにする。なお、外部とのインタフェースにおいては、一般に提供されている標準的なＡＰＩの利用をまずは検討するとともに、独自でＡＰＩを作成する場合には標準的なＡＰＩの実装を心がけること（標準ガイドライン群のＡＰＩ導入実践ガイドブックおよびＡＰＩテクニカルガイドブックを参照のこと）。

（4）「なお、クラウドサービス（SaaS）等が提供する機能を利用する場合には、その利用する機能について記載するものとする」

「クラウドサービス（SaaS）等が提供する機能を利用する場合」とは、ＰＪＭＯが当該情報システムの機能として、クラウドサービス、他の情報システム、ソフトウェア、ツールが提供する機能を利用することを指す。

この際、個別の業務要件に対する適応箇所、不適合箇所を明確にし、サービス・業務企画内容に対する適合度合いが、客観的に理解できるよう記載するものとする。

ウ　非機能要件の定義

情報システムが稼働するためには、ＰＪＭＯは、「イ 機能要件の定義」で定義した要件だけではなく、稼働環境やサービス・業務を円滑に開始するためのユーザ教育等、情報システムを稼働・運用する上で必要となる機能以外の要件も検討し、定義する必要がある。

これを非機能要件と呼び、この内容について、次のa）からq）までに掲げる事項をもって定義する。

（5）「非機能要件について、次のa）からq）までに掲げる事項をもって定義する」

ç 表5-2 非機能要件定義対象要件と定義内容

非機能要件の定義対象事項を示せば、表5-2のとおりである。

定義する事項	記載事項	内容
a) ユーザビリティ及びアクセシビリティに関する事項	情報システムの各機能におけるユーザビリティ及びアクセシビリティについて、日本産業規格等を踏まえつつ、情報システムの利用者の種類、特性及び利用において配慮すべき事項等を記載するとともに、国民向けの情報システムの整備に当たり、デジタルデバイドが是正され、全ての国民がその恩恵を受けられるよう、ユニバーサルデザインの考え方等に配慮するものとする。具体的には、障害者・高齢者を始めとして誰もがＩＣＴ機器・サービスにアクセスできるよう、整備する情報システムの内容に応じ、総務省が公開している情報アクセシビリティ自己評価様式（通称：日本版ＶＰＡＴ）の書式に基づき、アクセシビリティへの対応状況（あるいは対応予定）を記載するように応札者に求めることで、可能な限り、障害の種類・程度を踏まえた対応状況を確認することにより、環境整備の推進に努める。	利用者から見たサービス・業務を遂行する上での使いやすさを明らかにする。 ユーザビリティとは、利用者が情報システムで実現される機能を用いて、実施したいことを確実かつ効率的に行うための要素であり、利用者の満足度にもつながる非常に重要な事項である。 アクセシビリティとは、情報システムが提供する情報や機能へのアクセスのしやすさを指す。そのためには、利用者の年齢、身体的制約、利用環境等を配慮することが必要とされる。
b) システム方式に関する事項	クラウドサービス、ハードウェア、ソフトウェア、ネットワーク等の情報システムの構成に関する全体の方針の案について記載する。	情報システムを実現するために必要となるクラウドサービス、ハードウェア、ソフトウェア、ネットワーク、稼働環境等を明らかにする。 同一の機能を持つ情報システムであっても、実現の方式は多様であり、それによって調達コストは大きく異なる。システム方式は、情報システム設計の基本的な前提条件であるため、定義時点において明確にできる範囲内で複数の方式を検討し、メリット・デメリットを明らかにすることを推奨する。
c) 規模に関する事項	情報システムの規模について、機器数、設置場所、データ量、処理件数、利用者数等を記載する。なお、データ量、利用者数等については、ライフサイクル期間における将来の見込みも記載すること。	機器数、保有するデータ量、単位時間当たりの処理件数、利用者数等の情報システムを構成し、規模を特定する要素を定量的に明らかにする。規模は、性能や信頼性に関する要件を検討する際の前提条件となり、機器の仕様や配置等の設計、調達コストに関わる基本的な事項であるため、将来の見込みも含めた上で試算することが重要である。
d) 性能に関する事項	情報システムの性能について、応答時間、バッチ処理時間等を記載する。特に、「第４章５．業務要件の定義」において検討した内容に照らし、性能が過度にならないよう適切な要件とすること。	規模に係る要件を前提とした情報システムが備えるべき処理能力を明らかにする。 性能は、業務効率や利用者満足度に関わる重要な事項であるが、過度な要件を設定することで調達コストを押し上げることのないよう、業務要件を満たすことを基本として、サービス・業務の実施において必要十分となる要求レベルを検討する必要がある。
e) 信頼性に関する事項	情報システムの信頼性について、稼働率等を記載する。特に、「第４章５．業務要件の定義」において検討した内容に照らし、過度にならないよう適切な要件とすること。	情報システムの構成要素の不具合や故障に際しても、情報システムの機能が停止せずに、正常な動作を保ち続ける能力（可用性）と、データの不整合等を回避する能力（完全性）を明らかにする。 なお、障害や大規模災害等により情報システムの機能が停止した場合に、必要最低限の業務を継続及び回復するために必要な情報システムの機能の維持・復旧に係る要件は、「継続性に関する事項」にて定義する。
f) 拡張性に関する事項	情報システムの性能及び機能の拡張性要件について記載する。特に、将来の機能改修や、社会情勢の変化、技術の変化、利用状況の変化等に対して、柔軟で効率的な対応を行うことを念頭に、要件を定めること。	運用開始後のサービス・業務環境の変化に対応することを目的として、性能や機能をあとから向上させるための要件を明らかにする。 拡張性は将来の調達コストにも関わるため、サービス・業務企画における環境分析に基づいて、定義時点において想定されるサービス・業務の変化を明確にし、要件を定義することが重要である。
g) 上位互換性に関する事項	情報システムを構成するＯＳ及びミドルウェア等のバージョンアップ時における情報システムの改修の許容度等を記載する。	運用期間中のハードウェア及びミドルウェア等のバージョンアップに対して、運用を継続するために必要となる情報システムの改修の許容度や情報システム構築時の制約を明らかにする。 パッケージ製品のバージョンアップやクラウドサービスのサービス内容と価格体系の将来的な変更についても考慮すること。 なお、上位互換性は、将来の調達コスト、可用性及び情報セキュリティの維持にも関わるため、過去のバージョンアップの頻度や影響等の情報を収集しておくことが効果的である。
h) 中立性に関する事項	情報システムの中立性については、いわゆるベンダーロックインの解消等による調達コストの削減、透明性向上等を図るため、市場において容易に取得できるオープンな標準的技術又は製品を用いる等の要件について記載する。なお、技術又は製品について指定する場合には、指定を行う合理的な理由を明記した上で、クラウドサービス、ハードウェア、ソフトウェア製品等の構成を明らかにすること。また、情報システムを利用する端末についても、特定のハードウェア又はソフトウェアに依存しないよう留意すること。	情報システムを構成するハードウェア、ミドルウェア及びソフトウェア等がオープンな標準的技術又は製品であること等の制約を明らかにする。 オープンな標準的技術又は製品であるとは、原則として、 の全てを満たしている標準的技術又はその標準的技術を採用している製品をいう。 また、技術又は製品について指定する場合の合理的な理由を得るには、特定のプロジェクトに閉じた視点ではなく、影響を与える他のプロジェクトも含めた広い視点で、コスト・セキュリティ・保守性等を考慮する必要がある。 本事項は、いわゆるベンダーロックインの解消等により将来にわたる調達コストの削減、透明性向上等を図るため、特定事業者に不必要に依存した情報システムとならないよう要求する事項である。 なお、デファクトスタンダードとして広く利用されている製品群については、供給を行う事業者において競争性が確保されるものであれば、内部仕様が公開されていなくても中立性の趣旨において問題とならない場合もある。また、特定の事業者に依存する製品であっても、保守や改修、次期更改の際に他の技術又は製品への移行に過大な工数を要しない場合は、当該製品を選択することも可能である。
i) 継続性に関する事項	情報システムの運用の継続性について、障害、災害等による情報システムの問題発生時に求められる機能やシステム構成、その目標復旧時点及び目標復旧時間等を記載する。特に、「第４章５．7) 業務の継続の方針等」において検討した内容に照らし、過度にならないよう適切な要件とすること。	障害や大規模災害等により情報システムの機能が停止した場合に、必要最低限の業務を継続又は回復するために必要となる対策、指標値等の要件を明らかにする。 なお、継続性について過度な要件を設定することで調達コストを押し上げることのないよう、自府省の業務継続計画を参照し必要十分な要件を定義する。  参考 中央省庁における情報システム運用継続計画ガイドライン～策定手引書（第３版） （令和 ３ 年 ４ 月内閣官房情報セキュリティセンター）
j) 情報セキュリティに関する事項	情報システムの情報セキュリティ対策に関する事項について記載する。特に、「第４章５．8) 情報セキュリティ」において検討した内容に照らし、過度にならないよう適切な要件とすること。また、記載に当たっては、自府省の情報セキュリティポリシーを参照の上、要件を適切に定めるものとすること。	情報の機密性、完全性、可用性を確保するための要件を明らかにする。 これらは、自府省が扱う情報を適切に保護し、業務の継続性の確保、業務に対する信頼の維持のために重要な事項である。 また、情報セキュリティについては、自府省の情報セキュリティポリシーを参照し、要件を定義する。 なお、過度な情報セキュリティ要件を設定した場合、情報システムの利用者の利便性を損なうことがあるため、十分に検討した上で要件を定義する必要がある。  参考 政府機関のサイバーセキュリティ対策のための統一基準群」及び「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル （令和３年7月７日内閣官房情報セキュリティセンター）
k) 情報システム稼働環境に関する事項	クラウドサービスの構成、ハードウェアの構成、ソフトウェア製品の構成、ネットワークの構成、施設・設備要件等について記載する。なお、稼働環境については、既存の環境を最大限活用し、不要な調達を行わないこと。	機能要件及び非機能要件（規模、性能、信頼性、拡張性、上位互換性、中立性、継続性、情報セキュリティ等）を実現するためのハードウェア構成、ネットワーク構成、施設・設備要件等を明らかにする。 なお、公平性や無差別性を確保し、より良い提案を受けるために、事業者が代替案を提案する余地がどの程度あるか等の前提条件も明記することも留意する。
l) テストに関する事項	情報システムの設計から運用開始に至るまでの全てのテストについて、テストの種類、目的、内容、実施者、合否判断基準、テスト実施環境等を記載する。	情報システムが備えるべき機能要件及び非機能要件の実現状況を段階的に確認する行為であるテストに係る要件を明らかにする。テストには、ソフトウェアの設計に基づいて事業者が行うものと、ＰＪＭＯ及び情報システムの利用者の視点で行うものがある。
m）移行に関する事項	本番環境への業務移行、システム移行及びデータ移行について、移行時期、移行方式、移行対象、移行環境等を記載する。	移行には、既存のサービス・業務から新たなサービス・業務へ移行する業務移行、既存の情報システムが保有する資産を新たな情報システムへ移行するシステム移行、既存のサービス・業務で利用しているデータを新しいサービス・業務に移行するデータ移行が存在するため、３種類の移行に係る要件を明らかにする。 なお、新たなシステムへのデータ移行に備えるため、事業者に対してデータ構造が把握できる情報等の設計書を納品すること、運用保守事業者はデータ移行作業に必要なデータ構造がわかる情報を常に最新化した上で維持し、契約完了時にはそれらを納品することを要件として定めることが重要である。 なお、既存の情報システムが存在する場合、サービス継続の方針をどのように設定するかによって移行に係る作業内容や作業量が根本的に異なることに留意し、サービス継続の優先度に応じた移行要件となるように留意すること。
n) 引継ぎに関する事項	情報システムの開発、運用等について、他の関係事業者への引継ぎに関する要件を記載する。	情報システムの安定的な運用を実現するため、関係事業者や要員の交代に際して、円滑かつ効率的に引継ぎ作業が行われるための要件を明らかにする。 設計・開発事業者から運用事業者及び保守事業者への引継ぎ及び当年度の運用事業者から翌年度の運用事業者への引継ぎや、ＰＪＭＯの交代について、あらかじめ想定した上で要件定義書に記述する。 なお、開発事業者は、運用保守事業者が適切に設計書等をメンテナンスし情報システムを適切に運用保守できるよう設計書やソースコード、テストコードを引き継ぐこととし、引継ぎに必要な情報を明確にし、引継ぎ時に不要なコストが発生しないよう留意する。
o) 教育に関する事項	情報システム部門、業務実施部門等を中心とする情報システムの利用者に対する教育について、教育対象者の範囲、業務実施手順やシステム操作説明等のマニュアルの作成、教育の方法、研修環境等を記載する。	新たなサービス・業務を利用者が活用するために必要な教育に関する要件を明らかにする。 また、職員の人事異動やサービス利用意向により随時新たな利用者が加わることを前提として、機能の理解や操作への習熟を維持するために必要となる、情報システムの利用者の区分ごとに必要な教育について記述する。
p) 運用に関する事項	情報システムの運用時間、運用監視、障害復旧、その他の運用管理方針、運用環境等に関する要件を記載する。なお、この運用要件は、次のq）に掲げる保守要件と明確に区別して記載すること。	情報システムの運用は、情報システムの設計された仕様及び構成の変更を原則として行わずに、稼働状態を維持して、情報システムを用いたサービス・業務が成立させることを目的とした行為である。詳細な内容は「第９章 運用及び保守」で検討することになるが、運用要件によって、情報システムの機能要件及び非機能要件に求める内容が異なることが考えられるため、要件定義段階で概要を明らかにする。
q) 保守に関する事項	情報システムを構成するクラウドサービス、ハードウェア、ソフトウェア製品、アプリケーションプログラム等の保守、サポート体制、保守環境等に関する要件を記載する。なお、この保守要件は、情報システムの機能改修及び更改と明確に区別して記載すること。	情報システムの保守は、機能維持、品質維持等、情報システムを設計された仕様どおりに動作させることを目的とした行為である。詳細な内容は「第９章 運用及び保守」で検討することになるが、保守要件によって、情報システムの機能要件及び非機能要件に求める内容が異なること、ハードウェア又はソフトウェア製品の選定に影響することが考えられるため、要件定義段階で概要を明らかにする。 なお、開発事業者が作成した設計書等の納品物においては、運用保守やその引継ぎ、開発改修、次期開発に向け最新化の維持が必要なものを明確にし、保守対象として引き継ぐものとし、運用保守事業者は、当該設計書一式を最新状態に保ち、開発改修作業が行われる際には、ＰＪＭＯを通じて最新の情報を開発事業者に提示するよう留意する。

（6）「さらに、原則としてクラウドサービスの活用も検討するものとする」

「原則としてクラウドサービスの活用も検討する」とは、非機能要件として定義する複数の項目において、クラウドサービス（SaaS/PaaS/IaaS）が利用可能かを検討することを指す。また、標準でＡＰＩが提供されるクラウドサービスの活用を検討し、機能要件との整合を取り、必要な非機能要件を定義する。

エ　システム方式の決定

「イ 機能要件の定義」及び「ウ 非機能要件の定義」の定義結果から、整備対象の情報システムに対する要件が明らかになるが、様々な技術要素の組み合わせにより、最終的な情報システムの全体像は複数の実現案が考えられることがある。

このため、複数の実現案が考えられる場合は、メリット・デメリットを考慮し、とり得る実現案を数案に絞り記載する。

なお、予算要求時に作成した情報システムの構成に係る全体の方針及び構成図等も、併せて更新するものとする。

（7）「これにより「イ 機能要件の定義」及び「ウ 非機能要件の定義」に影響を及ぼす場合は、これらを更新すること」

「これにより「イ 機能要件の定義」及び「ウ 非機能要件の定義」に影響を及ぼす場合は、こちらも更新させること」とは、ＰＪＭＯが情報システムの実現案を確定する際に、「イ 機能要件の定義」及び「ウ 非機能要件の定義」の関連項目の内容を変更し、整合性を担保することを指す。なお、情報システムの実現案が複数存在するために、関連する機能要件及び非機能要件が確定できないときは、該当する要件とその理由を明確にすることが重要である。

（8）「導入するクラウドサービスやパッケージ製品を「システム方式」として先に定め、「ア 業務要件の定義」、「イ 機能要件の定義」及び「ウ 非機能要件の定義」を検討することもできる」

「導入するクラウドサービスやパッケージ製品を「システム方式」として先に定め」とは、要件定義を行う前にサービス・業務を実現する具体的な手段としてクラウドサービスやパッケージ製品が特定されていることを指す。

この場合、クラウドサービスやパッケージ製品が提供する機能や利用方法等に合わせて、業務要件、機能要件及び非機能要件を検討することになる。

2） 要件定義書の調整・作成

ＰＪＭＯは、要件定義書を、関係機関、情報システムの利用者等と調整し、作成するものとする。なお、他のＰＪＭＯが実施するプロジェクトと相互に密接に関係する場合には、それぞれのプロジェクトにおける要件定義書間の整合性が確保されるよう調整するものとする。

なお、ＰＭＯが指定したプロジェクトに係る要件定義に対して第一次工程レビュー及び第二次工程レビューが実施されることについては、「第６章３．3) 第一次工程レビューの実施」及び「第７章３．第二次工程レビューの実施」参照。

また、ＰＪＭＯは、要件定義の調整後に内容を変更する必要が生じたときは、関係機関等との再調整を行った上で変更内容を要件定義書に反映するものとする(1)。

ＰＪＭＯは、この要件定義書が、次工程以降及び後続のプロジェクトにおいても、引き続き使用されることに留意する。

提供するサービス・業務が他のサービス・業務・情報システムと連携する場合に、ＰＪＭＯが関係者への情報共有等を疎かにすると、サービス・業務が成立せず、プロジェクトの目的・目標が達成しないおそれがある。

このため、ＰＪＭＯは、連携するサービス・業務・情報システムを把握し、関係者に情報を提供し、調整をする必要がある。

特に、地方公共団体や独立行政法人等の府省以外を含む関係機関との調整が必要な場合は、十分な情報共有と調整をすることが必要である。

このため、ＰＪＭＯは、関係機関との検討会議や説明会等を実施し、その結果を踏まえて要件定義書を調整し、作成する。

また、当該プロジェクトが、ＰＭＯが指定したプロジェクトのときは、第一次工程レビュー及び第二次工程レビューを実施し、要件定義書の内容がプロジェクト目的・目標達成に向け妥当であるか確認するものとする。

要件定義を事業者へ外部委託する場合

ステークホルダーとの調整はＰＪＭＯが実施し、事業者には決定事項を伝達する。事業者は要件定義書への反映作業を担当するものとする。

（1）「また、ＰＪＭＯは、要件定義の調整後に内容を変更する必要が生じたときは、関係機関等との再調整を行った上で変更内容を要件定義書に反映するものとする」

「要件定義の調整後に内容を変更する必要が生じたとき」とは、ＰＪＭＯが要件定義の内容を関係機関等と調整した後で、調達後の事業者の決定に伴い当該事業者の提案内容を採用した結果、要件定義書の内容に変更が必要と判断した場合や、設計・開発工程において事業者が検討の過程で要件定義書の内容の変更を申し出、ＰＪＭＯが了承した場合等を指す。

ＰＪＭＯが要件定義書の内容の変更が必要と判断したときは、それまでに決定された情報と変更する該当箇所との整合性を保ち、更新する必要がある。

なお、変更に当たっては、プロジェクト管理要領の変更管理の管理手順に従って、確認、承認を得る必要がある。

３. プロジェクト計画書の段階的な改定

プロジェクト推進責任者は、適時、プロジェクト計画書を段階的詳細化し、当該計画書の内容を更新する(1)。

要件定義書の作成に伴い、プロジェクト計画書で定義した内容も具体化・詳細化されるため、その内容については、ＰＪＭＯがプロジェクト計画書に反映させ、関係者に周知する必要がある。

なお、プロジェクト計画書の各項目に大幅な変更が発生する可能性があったときは、ＰＪＭＯはプロジェクト計画の軌道修正も含めて検討する。

プロジェクト計画書への反映については、標準ガイドライン解説書「第３編第２章 プロジェクトの管理」を参照すること。

（1）「適時、プロジェクト計画書を段階的詳細化し、当該計画書の内容を更新する」

「適時、プロジェクト計画書を段階的詳細化し」とは、ＰＪＭＯがプロジェクト計画書を最新の状態に保つために、要件定義書の内容が変更されたときは、その変更内容に応じて、プロジェクト計画書への反映を行うことを指す。

多くのご要望に応えて「要件定義ナイト」が帰ってくる！！

相変わらずの再放送なのに生放送
初めての人も、前回参加した人も、ただただ冷やかしたいだけの人も大歓迎！！！
内容は全く変わらないぞ

前回より1時間遅いスタートだから気をつけて
ご来場心よりお待ちしております pic.twitter.com/0qutZ4O9nf

— ソリュエイ（ソリューション営業の呟き） (@WJQnQtt3oa376i2) June 7, 2022

・情報システムユーザースキル標準（UISS）https://t.co/xu1U0QefGy
・PCの買い替え
・データの共通理解推進ガイド　―用語辞書や語彙を用いたデータの共通理解―
2022年3月18日(金)　初版
独立行政法人 情報処理推進機構 社会基盤センターhttps://t.co/Ww7Eu0Nw99#要件定義ナイト

— 宮城直 (@shi_sunao) June 25, 2022

・フロー図・・・頻度と形式
　標準パターンから外れた業務に対する判断
　利益貢献度でやらない判断
・アウトプット項目一覧→インプットする項目が決まる
・機能要件一覧
・外部・内部帳票
・外部システム連携（手動/自動、頻度など）#要件定義ナイト

— 宮城直 (@shi_sunao) June 25, 2022

・フロー図・・・Excelで作る。目的があるアウトプット一覧のメニューとリンク。
・使われている帳票一覧
・機能要件一覧・・・現状維持、改善、業務フローでの位置
×～が管理できること、～の機能を持っている、～が簡単に#要件定義ナイト

— 宮城直 (@shi_sunao) June 25, 2022

昨日ご参加の方から多数の投げ銭いただきました。どなたかわからない方も多く、この場を借りてお礼申し上げます。ありがとうございます🙇
また、今回もご希望頂戴しましたので干し芋リストプロフィールに公開しております。
いずれも必須ではないので今後の勉強会もみなさんお気軽にご参加ください！！ https://t.co/8QCcLEXG1K

— ソリュエイ（ソリューション営業の呟き） (@WJQnQtt3oa376i2) June 26, 2022

・死後事務委任のお話し。10年くらい前には、ほとんど聞いたことがない業務・・・成年後見制度が出来た時からあった業務。

法務省「成年後見の事務の円滑化を図るための民法及び家事事件手続法の一部を改正する法律」が平成２８年１０月１３日に施行されました。

死後事務

https://www.moj.go.jp/MINJI/minji07_00196.html#10

・最近、地域包括のケアマネさんから「死後事務委任で、研修会してもらえませんか？」ってご依頼をいただきました。ところで、死後事務委任って、業務の受任経験はありますが、セミナーは今回初めて。どのように、進めたら満足度がアップするか？死後事務って、こんなことやって、法律的にはこうで、こんな問題点があるのでなんて話しをしたら、まぁ、寝ます！（笑）そんなことは興味がないです。・・・話し方によるかなと思います。質問しやすいような雰囲気と、途中質問OKです、と合間に言ったり、自分から訊いたりしてみれば、眠らないかもしれません。疲れていたり、義務的に来た人だったりすると眠くなるかもしれません。

・興味があることは「自分の抱えている問題が解決するかどうか」つまり自分に関係することですよね。となると、一番最初に聞かなければいけないのは

「どんな人が参加するか？」あ、ここまでの話し、受け売りですよ。参考にしているのは、こちら「スティーブ・ジョブズの脅威のプレゼン」僕がセミナーを組み立てるとき、どうやったら上手く組み立てられるか、参考にした本です。

・・・分かりませんでした。

・では、ケアマネさんはどんな問題を抱えているのか？どんな相談があるのか、それは聞くしかないですよね。地域包括では、高齢者に関する相談を日々たくさん受けています。介護認定を受ければ、事業所につなぐことになり、ある意味自分たちの手を離れます。財産管理的には後見が必要になったりしますよね。一方で、介護認定を受けなければ、地域包括のケアマネさんがその方をサポート（？）していきます。・・・地域包括支援センターのケアマネジャー（介護支援専門員）は、市区町村民が介護認定を受けると、直ぐに事業者に繋ぐわけではありません。

・つまり、自分で暮らしていけるし、介護も必要ない、元気な高齢者ですよね。

一方で、その方が一人暮らしで、身寄りがないとその方は漠然とした不安を抱えるんですよね。・自分が亡き後、葬儀やお墓はどうしよう、とか・自宅もいつかは空家になるから売却した方がいいのではないか、とか・家の中の処分や荷物はどうしよう、とかなどなど。

・・・介護認定を受けていないと元気か、というと分かりません。漠然とした不安を抱えることはあると思います。

そのような、相談を受けたときに明確な答えがない。でもでも、我々には答えがあるじゃないですか。・亡き後の財産については、遺言があるとスムーズですよ、とか・認知症なって、施設に入ったら自宅を売却したいなら、法定後見や、任意後見がありますよ、とか（信託は受託者になる人がいないから難しい、専門家は受託NG）・家の中の荷物の処分や、葬儀やお墓なら、「死後事務」ですよ。ほら、ここで、死後事務が出てきた。・・・出てきましたね。

そしてケアマネさんが「よければ、死後事務に詳しい専門家に相談してみますか？」おお〜！我々専門家としては、ラッキーな展開（笑）こんな風に、地域包括のケアマネさんが、対応できるようになると、相談した人も安心ですし、ケアマネさんも、相談者のお役に立てて、嬉しいですよね。

・・・仕事事務に詳しい、ラッキーな展開、というのがよく分かりませんでした。

となると研修会の組み立てとしては、ケアマネさんが相談を受けそうな事例が良さそうですね。高齢者からこんな相談を受けた。どんな問題があるか？　⇒　ここで問題を深掘りして聞く体制を作るどんな解決策があるか？という流れにするのが良さそうです。■■　セミナーの目標は？もちろん参加されてもらう人に、死後事務など制度のことをわかってもらうこと。いっぽうでこちらのしたごころ下心は紹介をもらうことですよね。

・・・いっぽうでこちらのしたごころ下心は紹介をもらうことですよね。ですよね、といわれると分かりませんでした。

そのためには二つハードルがあります。1つ目は、参加した人が、死後事務について、相談者に言えるようになること。案外これ難しいですよ。逆の立場で考えれば例えば、親の認知症について相談を受けた。夜に、財布がないとか、カバンがないとか、といわれて、家族はつらい思いをしている。そこで、地域包括を紹介しようとしても、地域包括でどんなサービスが紹介できるか説明できます？#僕は、ギリギリかも　（笑）・・・・

那覇市地域包括支援センター

在宅福祉サービス、通所サービス事業、在宅サービス事業、助成制度等、

その他の事業、在宅福祉サービス、

地域包括支援センターは、高齢者の介護予防や介護保険・福祉に関する様々な相談に応じ、各種の公的な保健・福祉サービスの紹介・相談などを行う総合窓口です。

平成30年度より、那覇市地域包括支援センターを18ヶ所（旧：12ヶ所）へ増設しました。より身近な地域の総合相談機関として、高齢者のみなさんが住み慣れた地域で、いきいきと安心して暮らしていくための、さまざまな支援を行います。

※一部担当圏域が変更となった地域がございますので、下表によりお住まいの地域を担当する地域包括支援センターをご確認下さい。

https://www.city.naha.okinawa.jp/fukusi/koureisyafukusi/soudan/chikihoukatu.html

　ただ、私達士業と同じように、ケアマネジャー（介護支援専門員）の中にもすごく勉強家で業務範囲を超える知識を持っている方もいます。逆の方もいます。

　別な問題。生命保険を相続でどう活用するか研修会を受けた。お金や不動産をたくさん持っていらっしゃる男性からの相談。自分が亡くなったら妻（再婚）の生活を支えたい。前妻との間の子どももいる。では、お金は生命保険信託を使えばどうなるとか。子どもの遺留分対策として、生命保険をどう使うとか、説明できます？そもそも、これが保険で解決できるってピンと来るのって、案外難しいですよね。自分の専門の中でどうするか考えちゃうので。ですから、死後事務も簡単に説明できると思わない。もう、ちょー大雑把で、「こんな感じ」って言うのを理解してもらって、「後は、こっちに任せて」って言うのが伝わればいいのかなって思います。・・・生命保険信託を利用すると、保険会社から妻に定期的な送金が可能になる。子どもの遺留分対策としては、相続財産に入らない保険金から支払うことが出来るように、生命保険に加入しておく。ちょー大雑把、というのがどういう範囲なのか分かりませんでした。「死後事務に詳しい専門家に相談してみますか？」と整合性があるのか、分かりませんでした。

　それから、2つ目のハードルは、自分を選んでもらうこと。簡単に言えば、・よく知らない人・性格的に合わない人って紹介したくないじゃないですか。そうすると、仲良くなることが大事。そうすると、グループワークみたいなことをして、一緒に悩んで考えるという形も良いのかなって思います。

・・・人それぞれで良いのではないかと思います。