トラストサービスの本質とは?(中編)
元旦に投稿したお題について、続きを書いた(全部書き切れなかったので、中編とした)。あくまで、個人的な思いによるものであって、私が所属する団体の公式見解ではない。
さて、前編において、認証局など基本的なトラストサービスの役割は、以下の2つの機能に大別されるという個人的な考えをお示しした。
(1)人や組織等の実在性や属性を確認する機能
(2)人や組織等に電子証明書等を安全に発行するとともに、当該電子証明書等の有効性に関する検証の要求に応える機能
このうち、(1)については、トラストサービスの利用者から、住民票の写しや登記簿のコピーを入手したり、信頼できる団体が作成している会員名簿等を参照したりして、確認している。例えば、税理士や行政書士などいわゆる士業(しぎょう、さむらいぎょうと読まれる)の全国団体からの依頼に基づき、個人の実在性の資格の有無を同時に確認し、国際規格(ITU-T X.509)の様式で作成される電子証明書に、それらのデータを記録して、当該士業の人に安全に渡すことがある。
この場合、認証局を運営するトラストサービスプロバイダは、士業(しぎょう、さむらいぎょうと読まれる)の全国団体が作成している名簿が真正であることを前提としている。すなわち、法律に基づいて設立されている士業の全国団体を信頼しているのである。
もっと言えば、何らかの理由で、当該全国団体が作成している名簿の正確性が失われた場合には、当該士業に関する法律を所管している省庁が当該全国団体を指導して、当該名簿を正しいものに是正させる措置を行うことを期待しているのである。(あくまで、たとえ話ですので、ご容赦ください。よろしくお願いします。)
個別の法律に基づかない団体等(資格ビジネスを行う●●協会など)が作成している名簿であれば、どうだろうか。電子証明書に記録された個人の実在性及び属性の確からしさは、士業の名簿よりも低くなると考えられる。その真正性を確保するためには、トラストサービスプロバイダは、名簿に加えて別の証跡を必要とするかもしれないが、当然ながら、そのための手間と時間がかかり、電子証明書のコストも上がる。
極端に言えば、トラストサービスプロバイダが、当該個人と面談して、その実在性と資格等をリアルで確認する方が手っ取り早いこともあり得るだろうが、そんなことまでして、電子証明書を発行してもらいたいというケースは稀だろう。
要は、電子証明書等を発行するトラストサービスの普及のためには、(公的に)信頼できる名簿のようなものの存在が前提となる。そして、その名簿のようなものは、紙文書ではなく、機械的に参照できるデータベースであった方が便利なことは、デジタルを苦手にする人であってもわかるだろう。
私は、デジタル庁の指揮の下で各省庁が整備に取り組んでいる「ベース・レジストリ」が、これに該当すると考えている。
デジタル庁は、以下の説明をしている。
「国全体のデジタル化を進めるためには、社会基盤としてのデジタルインフラを整備することが不可欠です。デジタル庁では、行政機関間の情報連携や民間事業者を含めたデータの利活用を推進するために、ベース・レジストリとして、社会の基盤となるデータ群の整備や利活用を進めています。これにより、行政手続におけるワンスオンリー(一度提出されたものを二度提出することを不要とする)や民間事業者のDXの促進などに繋げてまいります。」
https://www.digital.go.jp/policies/base_registry
上記の説明では、トラストサービスとの関係が全く触れられていないが、法人や事業所に対して発行される電子証明書等のコスト低減のためには、法人に係る商業・法人登記簿等のベース・レジストリの整備及び活用が鍵となる。
特に、自然人が行う電子署名ではない、法人など組織が発出する文書の発出元の正当性を担保するeシール(EUでは、eIDAS規則に基づく普及が進んでいる)の普及において、極めて重要な要素であると、個人的に考える。
その点で、国税庁が2015年度より公開している「法人番号公表サイト」は有効である。一般人がWebサイトを通じて、法人の実在性に加えて所在地を確認できるとともに、英語表記の登録(任意)も可能である。
https://www.houjin-bangou.nta.go.jp/
また、国税庁が、データベースのAPIを公開していることから、法人情報の提供に係る新たなビジネスも出てきている。
今後は、(国税庁の所掌ではないかもしれないが)法人単位に止まらず、事業所単位での属性情報として、事業所の名称、住所、電話番号等、そしてそれらの英語表記に関するベース・レジストリが整備されることを望みたい。
なぜかと言うと、経済活動のグローバル化の進展の中で、サプライチェーンの強靭性(レジリエンス)が求められているからだ。
車載用蓄電池や先端半導体など、世界経済で最も重要となる戦略的な物資については、地球環境を保全するための措置が求められており、世界のどこで、誰がどのように製造、配送、使用、廃棄等をしているかを「見える化」することが求められている。
EUは、製品のライフサイクルのあらゆる段階で製品に関する情報を記録したデータ群を、デジタルプロダクトパスポート(DPP)として法制化した。現在は、車体用蓄電池が注目されているが、いずれ繊維、鉄鋼などの製品についても2027年頃までに対応が必要となる見込みである。
近い将来、経済安全保障の観点からも、戦略的な物資の国際貿易に際しては、完成品のみならず、部品単位で、どの国のどの事業所でどのように作られたのかを特定することが求められていくのではないだろうか。それらはデジタルデータで示すことになり、それらの真正性をリアルタイムで証明するニーズが高まるだろう。
トラストサービスは、2020年からのコロナ禍による印鑑の廃止等を契機にして、脚光を浴びてきているが、今後はサプライチェーンの強靭化の観点でも、その役割が増していくと考えられる。
さて、本稿では、主に、公開鍵基盤(PKI)に基づき電子証明書を発行するサービスを紹介してきたが、今後は、Verifiable Credentials(VCs)と呼ばれる自己主権型IDを活用したトラストの仕組みが使われていきそうだ。
VCsは、World Wide Web Consortium (W3C)で標準化されてきているデジタルIDの仕組みであり、属性情報を第三者に証明してもらう(検証)ことが可能である。ポイントは、VCsを持つ主体(Holder)の実在性と属性の検証を分離していることらしいが、詳しい話は省く。
VCsに記録された属性情報を第三者が検証する際には、Verifiable Data Registry(VDR)と呼ばれる記録台帳を参照することになる。ちなみに、VDRの実装には、分散型台帳技術(Distributed Ledger Technology)(←ブロックチェーンとも言われる)が用いられることが想定されているようだ。
個人的には、上記で示した、国が取り組んでいるベース・レジストリが当てはまるかもしれないと考える(要検討)。
ここまでの議論だと、専門的な資格を有する個人やハイテク製品の輸出企業だけが恩恵を享受するように思われるかもしれない。
しかし、少子高齢化の逆風の中での社会保障制度の改革、地方創生等に取り組む日本にとって、トラストサービスはすべからく重要である。
これらに関して、特にマイナンバーカードとの関係については、後編で述べたい。