トラストサービスの本質とは?(前編)
2025年の幕が開けた。
本年こそ、トラストサービスの普及を通じたデジタル社会の実現を果たしたい。しかしながら、一般人にとって、トラストサービスという用語の知名度は、ないにも等しい。
年末の一般社団法人デジタルトラスト協議会の活動報告会及び懇親会において、少し発言させていただく機会があった。それを基にして、トラストサービスの本質について私見をお示ししたい(私が所属する団体の公式見解ではない)。
総務省公表資料によると、「Society5.0の実現に向けて、サイバー空間と実空間の一体化が進展し、社会全体のデジタル化を進める中、その有効性を担保する基盤として、ネット利用者の本人確認やデータの改ざん防止等の仕組みであるトラストサービスが必要。」との記述がある。
https://www.soumu.go.jp/main_content/000684847.pdf
ただ、残念ながら、この記載を読んだだけで、トラストサービスのイメージが浮かぶ人は、少ないだろう。
私が所属する団体(一般財団法人日本情報経済社会推進協会)は、約22年前から「電子署名及び認証業務に関する法律」に基づく指定調査機関として、「特定認証業務」に認定に係る実地調査を実施してきている。この「特定認証業務」は、現実には、IT業界において「認証局」と呼ばれる、公開鍵基盤(PKI)に基づき電子証明書を発行するサービスの一類型である。上記の総務省の説明は、人に対して電子証明書を発行する「認証局」を例示していると言ってよいだろう。つまり、トラストサービスは、主にIT業界で知られている「認証局」を含んだ概念である。
インターネットに詳しい人は、World Wide Web(ワールド・ワイド・ウェブ: WWW)という仕組みにおいて、個々のウェブサイトに対応したサーバ(ウェブサーバ:コンピュータの一種)が暗号化を行い、コンテンツの傍受や改ざんを防止しながら通信できることは、「認証局」が発行するサーバ証明書(電子証明書の一類型であり「SSL証明書」ともいう)に依拠していることをご存じであろう。
実は、このサーバ証明書(SSL/TLS証明書)を発行している認証局の多くは、民間企業によって運営されている。正式な民間企業名ではなく、ブランドとして記載すると、”digicert”,"SECTIGO", "GlobalSign","GoDaddy"などが知られている。(順不同)
近年、「認証局」等を運営する民間企業を「トラストサービスプロバイダ」(Trust Service Provider)と呼ぶようになっている。これは、2014年にEU(欧州連合)が制定したeIDAS規則において定義されたことが契機になったと考えられる。
Regulation - 910/2014 - EN - e-IDAS - EUR-Lex
日本の法令又は日本産業規格(JIS)では、「トラストサービス」という用語は、まだ定義されていない。2018年度に総務省が設置した「プラットフォームサービスに関する研究会」傘下の「トラストサービス検討ワーキンググループ」(私自身もオブザーバとして参加させて頂いた)において、初めて公式に使われ始めたと考えてよいだろう。
ちなみに、上記の(一社)デジタルトラスト協議会のイベントには、このワーキンググループの設置を仕掛けた方も参加されていた。
このワーキンググループでは、主に、時刻認証業務(タイムスタンプ)に係る(一財)日本データ通信協会による認定制度の国による制度への移行と、組織が発行するデータの信頼性を確保するeシール(いわゆる法人版電子署名)の普及策が検討され、次年度に、それぞれの後継となる検討会が設置された。日本版のトラストサービスの発展を目指すことになったのだ。
ただ、この時期、インターネット業界において有名なものは、あくまでサーバ証明書(SSL証明書ともいう)の発行でしかない事情は、あまり変わらなかった。また、当事者である国内のトラストサービスプロバイダにとっても、従前からの稼ぎ頭であるサーバ証明書(SSL証明書)の販売がビジネスの柱であった。
しかしながら、2020年春以降の新型コロナウイルスの流行は、オンライン会議やテレワークなどの実践を人々に強いることになり、社員等が行う紙文書への押印を電子署名に置き換える電子契約サービスが劇的に普及した。
これにより、サーバ証明書(SSL証明書)の発行ビジネスのみならず、電子契約サービスのための電子署名に係る電子証明書を発行するトラストサービスに脚光があたり、パンデミックの終焉後も関心が寄せられている。
ここで、トラストサービスの特性について私見を述べる。
認証局など基本的なトラストサービスの役割は、以下の2つの機能に大別されると思う。
(1)人や組織等の実在性や属性を確認する機能
①電子署名を行う自然人の実在性を確認するためには、通常は本人確認書類を添えた申込をトラストサービスプロバイダに提出してもらう必要がある。特に、「電子署名及び認証業務に関する法律」に基づく特定認証業務(25年前に制定された同法にはトラストサービスという用語はない)の認定を受けるためは、(多くの場合)電子署名を行う本人の実印を押した申込書や住民票の写しを求めることを確実に行っていることを指定調査機関に実地で確認してもらっている(後編で述べる)。
②サーバ証明書(SSL証明書)の発行を受けるウェブサーバを運営する組織の確認は、国内法には規定されておらず、グローバルな任意の制度として、CA Brouser Forumというインターネットのブラウザベンダー(Micrsoft, Google, Apple, Mozilla, etc)と世界の主要な認証局事業者(トラストサービスプロバイダ)が運営する業界団体が詳細に決めている。サーバ証明書(SSL証明書)の信頼性(トラスト)の確保は、ブラウザービジネスの命綱に関わるからだ。
③EUのeIDAS規則において定められているeシールを生成するために必要な電子証明書に発行のための技術基準は、欧州標準化機関の一つである欧州電気通信標準化機構(ETSI)等において定められている。日本国内では、現在、総務省が検討中である。
④EUのeIDAS規則の改正によって、人や組織の実在性を証明する電子証明書の発行のみならず、人や組織の属性を証明するトラストサービス(Electronic Attribute Attestation: EAA)が法定化された。日本も、属性証明に係るトラストサービスのあり方を検討する必要があるだろう。
⑤最初の登録した人や組織の実在性や属性について、変更があった場合(本人が死去、法人が解散など)に、その情報を受け取り適切な処理を行う機能もここに属する。
(2)人や組織等に電子証明書等を安全に発行するとともに、当該電子証明書等の有効性に関する検証の要求に応える機能
①国際規格(ITU-T X.509)に準拠した公開鍵基盤(PKI)に基づき、電子証明書をデジタルデータとして作成し、当該人や組織に安全に渡す。これはUSBメモリーやICカードのような物理的な媒体でもよいし、インターネットを通じて送信しても構わないが、当然ながら、セキュリティのレベルを高めるほどコストは上がる。
②当該電子証明書を基に行われた電子署名等が、確かに本物の人や組織によって実施されたかどうかを検証したい者からの電子的な要求に基づき、当該電子証明書が有効であることを示す(あるいは既に有効ではなくなっているなど)ことが求められる。
③(1)の⑤に示した人や組織等の実在性や属性に関するステイタスの変更に即座に対応する必要がある。
この2つの機能は、実はトラストサービスプロバイダによる経営努力だけでは、容易には向上しない。日本のデジタル事情の根本的な改善を必要とするが、ほとんど理解されていない。
実は、トラストサービスに係る施策は、2021年9月に設置されたデジタル庁の仕事に大きく関連する。個人番号カード(愛称:マイナンバーカード)や各省庁が管理・運営するベース・レジストリ等が関係するからだ。
それらの詳細については、後編で述べたい。