筆者:濱口 総志
本年6月25日に総務省より「eシールに係る指針(以下、指針)」が公表されました[1]。これは、2020年4月から2021年6月までに14回に渡って開催された「組織が発行するデータの信頼性を確保する制度に関する検討会[2]」で検討された「eシールに係る指針(案)」に対して、パブリックコメントを反映した最終版として公表されています。本稿ではこの指針の内容をベースに、この分野で先行する欧州の制度(eIDAS規則[3])や我が国のデータ戦略タスクフォース、包括的データ戦略(案)におけるトラストに関する検討内容を踏まえつつ、eシールについて解説します。
eシールは、EUで2014年に批准されたeIDAS規則でトラストサービスの一つとして定義と法的効力が定められたことで、日本でも注目を集めることとなりました。欧州ではデジタル経済の発展には電子データの真正性や完全性、時刻の正確性等を保証する仕組みに対して法的確実性を保証する仕組みが必要不可欠であると判断し、eIDAS規則において、電子署名やタイムスタンプ等の電子取引における信頼性を保証する仕組みをトラストサービスとして定義し、法的確実性が担保される要件を定めました。eシールはこのトラストサービスの中でも、データの発行元と完全性を保証する仕組みとして定義づけられています。
なお、我が国の指針においては“電子文書等の発行元の組織等を示す目的で行われる暗号化等の措置であり、当該措置が行われて 以降当該文書等が改ざんされていないことを確認する仕組み”と定義されており、eIDAS規則における定義と比較し大きな違いはありません。
eシールは電子署名と対比されて紹介されることが多いですが、それはeシールと電子署名は技術的には同じ仕組みで実装されているからです。eシールや電子署名の実装には多様な方式がありますが、本稿では最も一般的な方式として、公開鍵暗号基盤に基づくデジタル署名方式を前提に紹介させていただきます。以下の表で電子署名とeシールを比較しています。
電子署名 | eシール | |
法的効力 | 電子文書の真正な成立(意志の推定) | 電子データの発行元及び完全性 |
利用者 | 自然人 | 法人 |
技術 | デジタル署名 | デジタル署名 |
どちらも同じデジタル署名方式であり、技術的にはデータの完全性と真正性を保証することが可能ですが、電子署名には意志の推定がある一方でeシールには意志の推定がありません。一般に電子署名においてはこの“意志の推定”のために、署名処理を行う際には署名意志の確認として、例えば人(署名者)による秘密鍵のPINを入力する等の行為が求められます。一方でeシールにおいては意志の推定が無く、データの発行元と完全性のみが保証され、人による意思確認を必ずしも求められないため、企業の管理する機器やアプリケーションが送信するデータに対して自動的にeシールによる保証を行うことが可能であると想定されています。
この性質から、オープンバンキングやSSI(Self-Sovereign Identity:自己主権型アイデンティティ)、データドリブン等の、複数の企業や人が管理するアプリケーションや機器・システム間をデータが転々と流通する際に、eシールでそのデータの発行元と完全性に関する法的な確実性を保証することが可能になることが期待されています。
データドリブン型の社会において自らの生命や財産、プライバシーにかかわる重要なアクションが発行元と完全性が不確実なデータに依存して行われることを想像すれば、eシールがDFFT(Data Free Flow with Trust)やSociety5.0といった政府が掲げるデータドリブン型の未来社会の実現に如何に重要な要素であるかご理解いただけるのではと思います。
今回の指針は、国が基準を示すことにより一定の信頼性が保証されたeシールの普及を期待して策定されたものです。
eシールについては、現在デジタルガバメント閣僚会議におけるデータ戦略タスクフォースで取りまとめられている包括的データ戦略(案)において、
・データそのものの信頼性は、どのようなデータのやりとりを行う上でも確認が必要な基礎的な要素である。まずはこれらトラスト基盤を構築することが必要である
・フィジカル空間をサイバーの世界のデータに置き換えるためには、誰が(主体・意思)、何を(事実・情報)、いつ(時刻)というフィジカル空間の構成要素を正しくサイバー空間でも「トラストの要素」として再現することが必要であり、これらのトラストを担保する包括的な枠組みを我が国において確立する必要がある。
と、トラストに関する包括的な枠組みの必要性が盛り込まれている通り、タイムスタンプや電子署名を含めeシールについて包括的なトラストの枠組み整備が引き続き検討されることになり、今後も注視が必要であると考えます。
[1] https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00114.html
[2] https://www.soumu.go.jp/main_sosiki/kenkyu/data_organization/index.html
[3] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC