ECを加速する電子署名法:PKI基礎講座(4)
〜その目的と意味を考察する〜
「電子署名及び認証業務に関する法律」(以下、電子署名法)が、いよいよ2001年4月から施行される。電子署名法はいわゆる「法律」の部分と、関係政省令から成り立っている。暗号化技術が日進月歩であることから、将来的に改正が必要となりそうな部分は政省令として外出しにしたということだろう。この「法律」は2000年5月の通常国会で成立している。一方、政省令はその原案が公開され、これに対するパブリックコメントの募集が2000年12月まで行われた。現在、パブリックコメントを整理し、最終的な見直しが行われているものと思われる。
今回はこの電子署名法および政省令案から、電子署名法とはいったいどういうものなのかを考察していく。
電子署名法の目的と内容
まず、電子署名法の目的は何なのだろうか?
法律によると「電子署名に関し、電磁的記録の真正な成立の推定、特定認証業務に関する認定の制度その他必要な事項を定めることにより、電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進を図り、もって国民生活の向上及び国民経済の健全な発展活力ある経済社会の構築に寄与すること」であるという。かいつまんでいえば、「電子署名に押印と同等の効力を持たせることにより、電子商取引を活性化し、結果として経済も活性化させること」というところだろうか。
電子署名法の内容は、その目的にもうたわれているように
(1) 電磁的記録の真正な成立の推定
(2) 特定認証業務に関する認定の制度
の2点から成り立っている(厳密には「その他」という項目もあるが、今回は無視して構わないだろう)。
まず、「真正な成立の推定」とは何だろうか? これを説明するためには日本の裁判制度について若干説明が必要になる。
日本の裁判制度は、「自由心証主義」という考え方に基づいている。これは、口頭弁論に表れたすべての資料と証拠調べの結果に基づき、裁判官の自由な心証によって判断を行うという考え方である。この制度に対峙するものが「証拠法定主義」といい、証拠として提出できる範囲を限定して、その範囲の中で提出された証拠に基づいて裁判官が判断を行うという考え方である。つまり、上記(1)は「電子署名が施された文書については、その文書が確かに成立していると裁判官が推定するに足るものとする」ということを述べているのである。
ここで、「印鑑」については法的にどのように扱いを定めているか見てみよう。民法第228条第4項に、「私文書は、本人又はその他の代理人の署名又は押印があるときは、真正に成立したものと推定する」とある。これが、法的には電子署名と押印が同等の効力を持つことになる、といわれる根拠である。ただし、民法第228条第4項には前提がある。すなわち、押印は印鑑登録証明書の印影と比較することで検証が可能であり、さらに印鑑登録した印鑑は厳密に保管されるはずである、というものだ。これを電子署名の場合に置き換えてみると、印鑑は署名鍵(=秘密鍵)、印鑑登録証明書は電子証明書ということになる。つまり、秘密鍵はその持ち主によって厳重に保管されている必要があり、さらにキーペアの持ち主を証明する証明書が何らかの公的に認められた機関から発行されている必要がある、ということになる。
この「公的に認められた機関」を作るための制度が(2)の「特定認証業務に関する認定の制度」だ。
電子署名法では、認定のための基準は別途政省令で定めるものとし、認定のための調査を行う機関を主務大臣が定めるものとしている。では、政省令で定められる特定認証業務とはどんなものであるのかを見ていくことにしよう。
「特定認証業務」とは?
政省令案では、特定認証業務として、以下のような項目について定めている。
(1) 認定の対象
(2) 認定の基準
(3) 帳簿類の保存義務
(4) 認定の更新期間等
認定の対象
政省令では、前提として電子署名を行う「個人」に対する認証業務が対象であるとしている。すなわち法人に対する認証や、電子署名をソフトウェアなどが(自動的に)行うことは当該法の対象外であるとしているのである。
特に法人を対象外としていることは、申請時の手続きや本人確認の方法にも貫かれている。詳細は後で述べるが、基本的にBtoBの電子商取引で使用する証明書を発行する認証業務は、この基準を満たすのが非常に難しい内容になっている。ただし、このことは証明書に個人の所属や肩書きなどを記載することを制限するものではないとしているが、その際にはこれら個人の属性を証明するものではないということを注記しなければならないとしている。
また、認証の対象となるアルゴリズムおよび鍵長についても規定されている。現段階では、表1に掲げるものが基準を満たすとされている。
| アルゴリズム | 鍵長等 | 備考 |
|---|---|---|
| RSA | 1024bit以上 | |
| ESIGN | 1024bit以上検証用べき乗指数8以上 | ハッシュ関数がSHA-1(当面はMD5でも可) |
| ECDSA | 160bit以上 | |
| DSA | 1024bit以上 | |
| 表1 署名法で定められる署名方式 | ||
認定の基準
特定認証業務の認定基準としては、大きくは以下の3点について述べている。
(1) 申請から証明書のライフサイクルに関する手順等
(2) 公開すべき情報
(3) ファシリティ等の物理的なセキュリティ
それぞれどのような基準になっているかを見てみることにしよう。
申請から証明書のライフサイクルに関する手順等
ここでは申請から本人確認の方法、証明書の有効期限、証明書の記載事項、証明書の取り消し(廃棄)方法についてひととおり定めている。その中でポイントとなりそうな部分についてみていこう。
(1) 申請と本人確認の方法
まず、申請時には住民票の写しか戸籍謄本あるいは抄本(別途現住所の記載された証明書を提出する場合)の提出を受け、さらに申し込み書類に署名か押印をし、押印の場合には印鑑登録証明書の提出を受けなければならないとしている。さらに、申し込みの方法を
(1) 対面による申し込み
(2) 郵送または電子的な方法による申し込み
(3) 代理人による申し込み
に分け、それぞれ表2にあるような書類の提出を受けることとしている。
| 対面の場合 | 郵送または 電子的な方式の場合 |
代理人による 申し込みの場合 |
|---|---|---|
| パスポート・運転免許証等官公庁が発行した証明書で、写真付きのもの、あるいは官公庁が職員に発行した写真付き身分証明書 | 下記(1)のうち1つ+(2)のうち1つ、または、(1)のうち2つ | 左記に加え、利用者の自署及び押印のある委任状及び押印した印鑑の印鑑登録証明書 |
| 申込書に押印した印鑑の印鑑登録証明書 | 同左 | |
| (1) | 健康保険・国民健康保険・船員保険等の被保険者証、共済組合員証、国民年金手帳、国民年金・厚生年金・船員保険の年金証書、共済年金・恩給等の証書、納税証明書等 |
|---|---|
| (2) | 写真付きの学生証・会社の身分証明書その他公の機関が発行した資格証明書 |
| 表2 本人確認に必要となる書類 | |
先ほどBtoBの電子商取引のための認証業務にはそぐわないと書いたのは、主にこの部分である。企業間取引を行うために、その企業の社員に対して証明書を発行する場合を考えてほしい。ビジネス的な観点から、その証明書の発行対象である社員1人1人に住民票の写しや印鑑証明書、パスポート、運転免許証免許証を提出してもらうことは非現実的である。実際にはBtoBの取引に使用するような証明書を発行する認証局は、特定認証業務の認定を受けることはかなり難しいといわざるを得ないのではないだろうか。
(2) 証明書の有効期限
証明書の有効期間は5年を超えないこととされている。
(3) 証明書の記載項目
ここで特に記述すべきは、認証業務規定(CPS)と証明取り消し情報(CRLまたはOCSPレスポンダ)へのリンク先を表示しなければならないということだ。また、認証局が複数の認証業務を行っている場合、発行社名に業務の種類を含むことと記述されている。
(4) 証明書の配布
証明書の配布については「手交または利用者に確実に渡すことができる方法」と定められている。
(5) 認証局証明書の有効期間
認証局の証明書の有効期間は10年を超えないこととされている。
(6) 利用者鍵の生成場所
利用者鍵は、利用者が生成する場合と認証局が生成する場合の2種類が定められている。認証局側で生成する場合、後に述べる認証設備内で複数人によって生成され、安全な媒体(ICカードなどを指すものと思われる)に格納することとされている。
公開すべき情報
認証局が公開すべき情報として以下が定められている。
(1) 認証局の証明書
(2) 認証業務規定(CPS)
(3) 取り消し(廃棄)情報(その方法については明確に規定されていない)
さらに利用者に対しては
(1) 認証業務を廃止する場合には60日以内にその旨を通知する
(2) 取り消し(利用者死亡以外の場合)の通知を行う
(3) 認証局の秘密鍵が危殆化された場合には遅滞なくこれを通知する
ことが定められている。
ファシリティなどの物理的なセキュリティ
政省令では、認証局の設備を「認証設備」と「登録用端末設備」に分け、それぞれの基準について定めている。
認証設備のファシリティとしては、2人以上のバイオメトリクスによる認証や、遠隔監視装置の設置が義務づけられている。
また、登録用端末設備については、「公衆が容易に登録用端末に触れることができないよう施錠その他必要な措置が講じられていること」とのみ定められている。つまり、登録用端末設備は認証設備ほど高いレベルのセキュリティは要求されないということである。このことから図1のように、認証局を災害などの少ない地域に構築し、各拠点に登録局を設置するなどの構成が可能になる。
図1 認証局と登録局による構成このほか、認証設備には停電・地震・火災・水害に対する対策が講じられていることと定められている。
帳簿類の保存義務
作成、保存すべき帳票書類が事細かに定められている。主には申請から廃棄など、鍵のライフサイクルに関連する書類と、施設や資料へのアクセス記録などの2種類に分けることができる。このうち、ライフサイクルに関連するものについては証明の有効期間終了後10年間という保存期間が定められている。
認定の更新期間等
認定の更新期間は1年間と定められ、更新には指定期間の調査が必要となる。
この法律の持つ意味
以上、電子署名法の概要について非常にざっくりと見てきたが、印象としてはまだ細かいところは詰まりきっていないというのが正直なところだ。今後、さらに詳細を詰めた形で4月に実際に施行される内容が発表されるだろう。
わが国において、いままで電子署名あるいは電子証明書というものに法的な根拠がまったくなく、諸外国に対して後れを取っていたといわざるを得ない状態だったことを考えると、やっとという感じは否めないが、この法律が実際に施行されることは非常に意味があり、また喜ばしいことであろう。ただし、現状の日本の電子商取引の実情を考えてみると、そのほとんどはBtoBとして成立しているものであり、その観点からはこの法律が即座に市場に大きな影響を与えるとは考えにくい。
ただ、最近の動向を見ていると、金融機関などがコンシューマとの取引の場をインターネットに推移させていこうという動きがあり、この法律がそのような動きを加速させる可能性は十分考えられるだろう。
最近、認証局を構築したいという顧客のところに話を聞きに行くと、必ずといっていいほど「電子署名法への対応」という意向を持っている。ただ、上記で見てきたように、電子署名法に対応させた認証局を構築し、さらに運用・管理していくということは非常にコストがかかることだといわざるを得ない。署名法に対応させることはそれだけで市場に与えるインパクトはあるだろう。だが、それなりの覚悟で望む必要がある。署名法の冒頭でも述べられているように、この法律は対応していない認証局の業務を妨げるものではない。個人的には、構築しようとしている認証局に対する要件を詳細に検討し、その要件に合致するように構築すべきだと考えている。その際のガイドラインとしてこの政省令を活用し、適用できるところは適用し、無理がある部分については適用を見送って、将来的に状況を見ながら適用を検討するということも必要だろう。
いずれにせよ、3月ごろまでには最終的な政省令が公布されるはずなので、その時点で新たに考察をしていきたいと思う。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。