EUのデジタルIDウォレット(上):欧州デジタルID規則(eIDAS II)の制定
EUでは2024年3月に、「欧州デジタルID規則」(eIDAS II)という法律が正式に制定された[1]。この欧州デジタルID規則はこれまでのeIDAS規則を改正するものである。EU加盟国27ヶ国に対して「欧州デジタルIDウォレット」の発行を義務付けることで、EU市民(希望者のみ)がスマートフォン等を通じてEU域内の公的サービスや民間サービスにシームレスにアクセスできるようになる。
本稿「EUのデジタルIDウォレット」では、「上」と「下」の二回に分けて欧州デジタルID規則やEU各国のデジタルIDウォレットについて解説する。「上」ではeIDAS規則、欧州デジタルID規則、欧州デジタルIDウォレットについて解説する。
1.eIDAS規則
1.1 eIDAS規則とは
eIDAS規則(EU域内市場における電子取引のための電子識別およびトラストサービスに関する規則)[2]は、2014年7月に制定されたEUの法律であり、2016年7月1日から適用(施行)されている。
このeIDAS規則は、EU市民がEUのデジタル単一市場や越境デジタルサービスのベネフィットを享受できるように、その障害を取り除くことを目的としている。大きくは(1) eID(Electronic Identification Means:電子的な国民ID:デジタルID)と、(2)トラストサービス(電子署名、電子シール、タイムスタンプ、電子送達サービス、サイト認証)に関する規定から成る。
(1)については、EU各国間でのeIDの相互承認を通じて、EUの他国でも公共サービスにおいて自国のeIDを用いた個人認証が利用可能となった。この枠組みに参加するか否かはEU加盟国の任意だが、欧州委員会は多くの加盟国の参加を希望していた[3]。ただし、加盟国に対してeIDの導入を強制するものではなかった。
(2)については、従来の電子署名指令(1999年)を置き換えた。電子署名指令に基づく各国の国内法が異なったため、EU域内で国境を越えた電子取引を行うことが困難となっていた。指令を規則に格上げすることにより、電子署名を含むトラストサービスの共通ルールを設定した。
1.2 eIDAS規則におけるeIDの相互承認
(1)のeIDにおける、EU加盟国間でのeIDの相互承認の大まかな流れは以下である。
①加盟国Aは、自国のeIDスキームを欧州委員会にプレ通知する。
②加盟国Aは、他加盟国CからeIDスキームのピアレビューを受ける[4]。
③加盟国Aは、欧州委員会にeIDスキームの通知を行う。
④欧州委員会に通知されたA国のeIDスキームは、eIDAS規則第7条(eIDスキームの通知の適格性)の要件を満たしている場合、通知の受領日から2か月以内にEU官報に掲載される。
⑤加盟国Bは、EU官報に掲載されてから12か月以内にA国のeIDスキームを承認し、
⑥A国のeIDを用いてB国のオンライン公共サービスを利用できるようにしなければならない。
1.3 eIDAS規則下でのeID利用の課題
このeIDの相互承認に基づき、加盟国Aの市民は、自国の eID を使用して、他の 加盟国Bで展開されているオンライン公共サービスにアクセスできることになっていた。
しかし、上記のようにeIDAS規則はEU加盟国に対してeID発行を義務化するものではなく、発行するか否か、またどのような形態のeIDを発行するかは加盟国の裁量に委ねられていたため、加盟国間で対応に大きな相違が生じてしまっていた。
すなわち、eIDAS規則下でeIDを発行する国が一部に限られ、欧州委員会へのeIDスキーム通知済み(eIDAS保証レベル取得済み)の国は2021年時点で14ヶ国に留まっていた(その後、2023年7月時点で22ヶ国に増加した)[5]。また、モバイル対応しているeIDは7つのみであり(2021年時点)、他の加盟国のeIDによる越境認証を承認しているEU域内の公共サービスが少なく(全体の14%)、越境認証の年間件数も非常に少なかった(2020年は6万件強)。このようにeIDAS規則の下では、eIDの普及率が低く、ユースケースも限定的で、「EU市民がeIDによって域内のどこからでも必要なオンラインサービスを利用できる」という目標に向けて、十分な成果を上げることができなかったのである。
[1] https://www.consilium.europa.eu/en/press/press-releases/2024/03/26/european-digital-identity-eid-council-adopts-legal-framework-on-a-secure-and-trustworthy-digital-wallet-for-all-europeans/
[2] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG
[3] http://europa.eu/rapid/press-release_IP-12-558_en.htm
[4] 実際はeIDAS Cooperation Networkでピアレビューを受ける。ピアレビューは欧州委員会への通知後に受けることも可能な模様。ピアレビューの手続きはこちら
[5]https://www.i-ise.com/jp/information/report/2023/231117.pdf
2.欧州デジタルID規則(eIDAS II)
2.1 欧州デジタルID規則の検討経緯
欧州デジタルID規則(eIDAS II)の正式名称は、「欧州デジタルアイデンティティのためのフレームワーク設立に関して規則(EU)No 910/2014を修正する規則(EU)2024/1183」[6]である。同規則の法案は欧州委員会により2021年6月3日に提案され、欧州議会とEU理事会によってそれぞれ審議されてきた。EU理事会は2022年12月に理事会内での合意案を採択し、欧州議会は2023年3月に議会修正案を採択した。その後、欧州委員会、欧州議会、EU理事会による三者協議(trilogue)が行われ、欧州議会とEU理事会は2023年11月8日に暫定合意に達した。2024年2月29日には欧州議会が暫定合意案を採択[7]し、同年3月26日のEU理事会での採択[8]により、欧州デジタルID規則の正式な制定となった。同年4月30日にEU官報に掲載[9]され、その20日後から発効となった。
欧州デジタルID規則によってeIDAS規則を改正する大きな理由は、前述のようにeIDAS規則ではEU域内で相互運用可能なeID(デジタルID)の発行・提供が加盟国の義務ではなく、任意とされていたため、eIDの普及が十分に進まなかったことである。
また、欧州委員会のデジタル政策である2030デジタルコンパスでは、eID(デジタルID)によって達成可能な多くの目標が設定されており、2030 年までに、例えばすべての主要な公的サービスがオンラインで利用可能になり、すべての市民が電子医療記録にアクセスできること、また80%の市民がeIDを使用することが目指されている[10]。今回制定された欧州デジタルID規則は、従来のフレームワークを改善し、そのベネフィットを民間部門のサービスやスマートフォン使用に拡大することにより、従来のeIDAS規則の「欠陥」に対処するものである。
2.2 新たな欧州デジタルIDフレームワークの特徴
同規則は、以下のような欧州デジタルIDフレームワークを実現しようとしている。
・ EU各国は、希望する市民に、国発行のデジタルIDや他の個人属性証明書・公的ドキュメント(運転免許証、卒業証書、銀行口座、医療処方箋等)を電子的に保管、使用することが可能な欧州デジタルIDウォレット(European Digital Identity Wallet, EDIW)[11]を提供することが義務付けられた[12]。
・このEDIWにより、すべてのEU市民は、民間IDを使用したり個人データを不必要にサービサーに共有することなく、スマートフォンを用いて、オンラインで公的サービスや民間サービスにアクセスできる。
・EDIWは、EU各国の既存の国内制度に基づいて構築されるため、従来のeIDAS規則下での既存eID(デジタルID)は引き続き有効となる。EDIWによって、既存eIDの機能やユーザビリティを拡充する。各国のeIDを置き換えるような単一の欧州デジタルIDは発行しない。また、EU各国に義務付けるのはEDIWの発行のみで、IDカード発行を義務付けるものではない[13]。
・EU各国は、同規則の発効日から30ヶ月後(2026年11月)までに、EDIWを発行する義務がある。
EDIWについては、欧州デジタルID規則の正式な制定前からパイロットプロジェクトが実施されている。欧州委員会は2022年2月にEDIWの試験運用を行うためにパイロットプロジェクトの募集を実施し、「モバイル運転免許証」「決済」「eHealth」「教育・職業資格」等のテーマに焦点を当てたものが募集され、下表の5つが採択された。
[6] https://eur-lex.europa.eu/eli/reg/2024/1183/oj
[7] https://www.europarl.europa.eu/news/en/press-room/20240223IPR18095/meps-back-plans-for-an-eu-wide-digital-wallet
[8] https://www.consilium.europa.eu/en/press/press-releases/2024/03/26/european-digital-identity-eid-council-adopts-legal-framework-on-a-secure-and-trustworthy-digital-wallet-for-all-europeans/
[9] https://eur-lex.europa.eu/eli/reg/2024/1183/oj
[10] https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663
[11] デジタルウォレットは一般的に、搭乗券やチケット、銀行カード・クレジットカード等を電子的に保管・使用するためのスマートフォンアプリを指す。必ずしもキャッシュレス決済用のアプリのみを指す訳ではない。ウォレット(wallet)は「財布」という意味ではなく、「(持ち運び用の)小物入れ」という意味で用いられていると思われる。
[12] EDIWには、(a)加盟国が発行(b)加盟国の委任の下で民間企業等が発行(c)民間企業等が独立的に発行するが加盟国が承認、という3つの発行パターンが認められている。
[13] ちなみに、デンマークやアイルランドでは国がIDカードを発行していない。
[14] 出典:NTTデータ経営研究所「Trusted Web に係る海外動向調査報告書」
3.欧州デジタルIDウォレット(EDIW)
3.1 欧州デジタルIDウォレットの特徴
欧州デジタルID規則で規定され、EU各国で提供が進みつつあるEDIWは、以下のような特徴を持っている。
・希望者は誰でも利用可能:
EDIWの利用を希望するEU市民、EU居住者、EU企業は、誰でも(自然人は無料で)利用できる。
・広範に利用可能:
EDIWは、EU域内の公的および民間オンラインサービスへのアクセスで利用可能であり、ユーザーが自らのアイデンティティを証明(個人認証)したり、特定の個人属性のみ(年齢等)を証明することできる。EU域内の公的サービスや一定の民間サービス(公共性の高い民間サービスや、大規模プラットフォーマー[15]等)はEDIWでのアクセスを受け入れる義務がある。また、EDIWを用いて適格電子署名をしたり、対面のオフラインモードでID情報や各種証明書等をサービサーに提示できる。
・ユーザーによる自己情報コントロール(自己主権型ID(SSI)):
ユーザーは自分のID情報や各種証明書のどの項目を個々のサービサーに提供するかを選択でき、プライバシーダッシュボード機能を通じてデータ提供のログを確認したり、サービサーに提供したデータの消去を要求したり、違法の疑いのあるデータ要求をデータ保護監督機関に通報することができる。
・高い保証レベル:
EDIWはeIDAS保証レベル「高」のeIDスキームの下で提供されなければならない。この保証レベル「高」を含め、EU各国のEDIWが欧州デジタルID規則の要件への適合性については、各国が指定した適合性評価機関が認証(certification)を行う。
3.2 欧州デジタルIDウォレットの用途
詳しくみると、欧州デジタルID規則で想定されているEDIWの用途(ユースケース)は、以下の3つに分類することが可能である[16]。
① 公的に保証されたID情報のサービサーへのオンライン提出(本人確認)
・住民登録、銀行口座開設、携帯電話・SIMカード購入
・公共交通定期券の購入、ホテルチェックイン 等
② 各種証明書(電子的属性証明)のダウンロード、サービサーへのオンライン提出
・運転免許証をダウンロードし、レンタカー会社に提出する
・高校の卒業証書をダウンロードし、大学の入学手続き時に提出する
・所得証明書をダウンロードし、銀行でのローン申請時に提出する
・電子処方箋をダウンロードし、薬局に提出する 等
③ ID情報や各種証明書(電子的属性証明)のサービサーへのオフライン提示(対面提示)
・ナイトクラブ入店時や酒タバコ購入時の年齢証明
・警察官へのモバイル運転免許証提示 等
3.3 欧州デジタルIDウォレットが実現する新たな形の生活ツール
これらの用途だけを見ると、ID情報や各種証明書情報をスマホ画面等で対面提示できるようになったことを除き、日本の「電子私書箱」構想等でも企画されてきたものであり、あまり目新しさは感じられないかもしれない。
ただ、EDIWは欧州デジタルID規則で上記のような用途が規定されているのみならず、他のEU法令において、その他の様々な機能がEDIW上で実現されたり、EDIWに新たに搭載されることが予定されている。若干上記との重複はあるが、これらの追加的機能は以下である。
・自分の電子ヘルスデータへのアクセス:EHDS規則案(2022年5月提案)[17]で規定
・モバイル運転免許証:運転免許証指令改正案(2023年3月提案)[18]で規定
・デジタル渡航文書(デジタル旅券):欧州デジタルID規則で言及(デジタル渡航文書の法案は作成中)
・中央銀行デジタル通貨(CBDC):デジタルユーロ規則案(2023年6月提案)[19]で規定
・オープンファイナンス(ユーザーが自分の取引データとともに他の金融サービスに乗り換え可能):金融データアクセス規則案(2023年6月提案)[20]で規定
上記の中では、電子ヘルスデータ(EHR等)へのアクセス機能やモバイル運転免許証の表示機能は非常に重要であり、ユーザーの利便性向上に大きく貢献するものではあるが、ユーザーによっては利用頻度が低い場合もあるだろう。多くのユーザーにとって、店舗やユーザー間での日常的な利用が見込まれ、最も利用頻度が高くなるのは中央銀行デジタル通貨(CBDC)の機能であろう[21]。今後、EUにおいてCBDC(デジタルユーロ)の発行が決定され、EDIWに搭載された暁には、店舗での簡便な少額決済や個人ウォレット間での送金が可能となる。このようなCBDC機能は、官製ビジネスである欧州デジタルIDウォレット(EDIW)の普及の起爆剤になるものと考えられる。
[15] EUのデジタルサービス法(DSA)第33条で規定されている超大規模なオンラインプラットフォームの提供者。
[16] ①と②についてはメタバース等の仮想世界での利用も想定されている。
[17] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0197
[18] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52023PC0127
[19] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52023PC0369
[20] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52023PC0367
[21] 中央銀行デジタル通貨(CBDC)、デジタルユーロについてはhttps://wisdom.nec.com/ja/feature/digitalfinance/2024012401/index.htmlも参照のこと。
国際社会経済研究所 調査研究部 主幹研究員
小泉 雄介
【著者プロフィール】
小泉 雄介(こいずみ ゆうすけ)
国際社会経済研究所(IISE)調査研究部 主幹研究員
新しい技術の導入が人間社会にもたらす影響という観点から、プライバシー/個人情報保護、国民ID/マイナンバー制度、海外デジタル政策等についての調査研究に長年従事している。
(主な所属団体)
・電子情報技術産業協会(JEITA)個人データ保護専門委員会 客員
・日本セキュリティ・マネジメント学会 編集部会員
(主な著書・論文)
・『国民 ID 導入に向けた取り組み』(共著)
・『現代人のプライバシー』(共著)
・「『国民IDの原則』の素描:選択の自由を手放さないために」
・「中央銀行デジタル通貨における個人情報保護と日本での発行モデル」
・「感情認識の倫理的側面:データ化される個人の終着点」
・「『快適で安全』な監視社会 ―個人の自由が保障されなくていいのか