データ主導社会を支えるトラスト

総務省情報流通行政局 参事官
行政情報セキュリティ担当
栁島 智 氏
(肩書きは当時、現放送技術課長)

「超スマート社会」の実現による国家の発展を目指す「Society 5.0」。その構築を掲げる政府にとって、安全なデータの流通は政策の基盤を形成する基本的な課題である。その中で「トラストサービス」の担う役割を総務省情報流通行政業政局の栁島智参事官に語っていただいた。

■我が国が目指す未来―「Society 5.0」

 本日は「データ主導社会を支えるトラスト」という演題でお話をさせていただきたい。
 我が国には、少子化、高齢化、都市部への人口集中、エネルギー問題など、他の諸国に先駆けて様々な課題が襲いかかってくる。その意味で我が国は残念ながら「課題先進国」である。これらの課題を解決していくときに「それは、いつもの毎日にやってくる、半歩先の未来」という標語を掲げ、「Society 5.0」というコンセプトの実現を目指し、政府全体で国の将来を支えていきたいと考えている。
 「Society 5.0」は何を意味しているのか。狩猟社会を最初の社会(Society 1.0)だとすると、農耕社会が第2の社会(Society 2.0)、工業社会が3番目(Society 3.0)、現在我々がその真っ只中にいるのがコンピュータや衛星通信、インターネット等に象徴される第4の情報社会(Society 4.0)である。これらの社会に続く新しい社会ということで、これから実現していく社会を「Society 5.0」と呼んでいる。これはIoTやビッグデータ、AIやロボットなどに象徴される社会であり、「超スマート社会」と言い換えることができる。
 こうした最新の技術を活用し、「生産性の向上」、「一億総活躍社会の実現」、「地域間格差の是正」、「持続可能な経済発展」などの課題に取り組んでいくのが「Society 5.0」である。この時、経済発展と社会的課題の解決の両立を目指すため、必要な「もの・サービス」を、必要な人に、必要な時に、必要なだけ提供して、社会のニーズにきめ細やかに対応していくことが必要となる。
 「Society 5.0」の実現にはデータ主導社会の実現が必要である。現実の世界とサイバー空間とが、今まさにIoT技術を介して融合しつつある。センシング、デジタル化、データの変換・抽出等を経てサイバー空間にデータが蓄積され、それがビッグデータとなり、AIを用いた解析が行われていく。その結果が現実の世界にフィードバックされ、様々な社会的問題の解決に資するというループが回っていくことによって「Society 5.0」は実現されていくと考えている。


図表1:データ主導社会
出所:総務省情報流通行政局資料(2018年6月5日)

データ主導社会を支えるトラスト

 「Society 5.0」の実現にとってサイバー空間の活用は不可欠だが、サイバー空間を活用する社会では相手が見えない場合が存在祖内するため、利用者に不安があるのも間違いない。そこで安全・安心なサイバー空間を作るためにトラストサービスが不可欠であり、そのさらなる普及に大きな期待がかかっている。
 安全は比較的分かりやすいが、安心は心の要素も加味されるためその実現は容易ではない。例えば飛行機事故が確率的に非常に低くても、事故の確率がゼロではないことを心理的に受け入れられない方々がいるというのも事実であり、そうしたことをよく理解する必要がある。サイバーセキュリティの分野でも、とくにインシデントが発生するとICTやセキュリティの担当者が組織の中で批判されるなどということがまま起こり得る。100%の安全は存在しないことに対して社会の理解を浸透させるとともに、その上でさらなる安全・安心の確保に取り組んでいかなければならない。
 今年は国内でも「ビジネスメール詐欺(BEC)」の被害が大きく報道された。加害者が絶妙のタイミングを見計らって詐欺メールを送りつけてくれば、それを偽のメールだと断定することは、一般の人にはほとんど不可能である。おそらく、詐欺に合わない組織は存在しないと考えるべきである。犯人はサイバー攻撃を、時間をかけてじっくり仕掛けてくる。ただ、メールのやりとりを覗き見られている場合でも、最後の段階で振込みを阻止できれば良いわけで、そうした対応を如何に行っていくかが問われる。これもトラストの範疇に含まれる課題であろうかと思う。
 サイバー空間の安全・安心を確保する真正性の仕組みについては、「誰が」、「何を」、「いつ」の観点で情報の正しさを証明していく。「誰が」と「何を」に注目すれば、それが電子署名であるし、「何を」と「いつ」を明らかにしようとすれば、それがタイムスタンプになる。将来的には、例えばGPSなどを活用し、「どこで」、「何を」行ったのかを証明する仕組みが出てくるなどという展開もありえるかもしれない。

電子署名

 印鑑や署名の代わりに電子的な文書の真正性を証明し、電子化の流れを進めようという電子署名は、平成13年の「電子署名及び認証業務に関する法律(電子署名法)」から始まり、すでに17年の実績を重ねている。同法は、「本人による一定の条件を満たす電子署名が付されている伝書文書等の真正な成立の推定」(法第3条)を認めるもので、その推定の有効性に基づき、認証業務、特定認証業務を行う認定認証事業者の主務大臣による認定を定め、現在8事業者、11業務が認定を受けている。

図表2:電子署名及び認証業務に関する法律(電子署名法)
出所:総務省情報流通行政局資料(2018年6月5日)

タイムスタンプ

 タイムビジネスについては、トラストサービス推進フォーラムの前身に当たるタイムビジネス協議会が取組みを行ってきたところである。総務省が「タイムビジネスに係る指針」を平成16年11月に公表し、その指針を受けた日本データ通信協会が「タイムビジネス信頼・安心認定制度」を運用している。
 時刻配信業者を時刻認証事業者が活用し、利用者に対して認証をするという流れである。平成29年において1億7千7百万件のタイムスタンプが発行されている。
 電子署名とは異なり、タイムスタンプについては、総務省の指針に基づき日本データ通信協会が認定制度を運用している。それを利用する形で国税庁の「電子帳簿保存法」の施行規則において、「日本データ通信協会が認定する業務に係るタイムスタンプを付すこと」と記されており、法令上もしっかりと活用されていることがご理解いただけると思う。
 この他に国土交通省やその他の省庁においても様々なガイドライン等の中でタイムスタンプについての規定がなされている。一般の方がほとんど目にされないものを含めて、その活用の幅は広がってきている。

図表3:タイムビジネスに係る指針
出所:総務省情報流通行政局資料(2018年6月5日)

電子委任状

 平成30年1月に施行されたばかりの法律に「電子委任状の普及の促進に関する法律」がある。従来の電子署名は個人が行うものであった。このため法人が文書に署名する際に、代表者等が常に署名を行わなければならならず、電子署名普及に際する障害の一つとなっていた。そこで、一般の契約において社員に対する代理権授受が行われているのと同じように、電子文書の取扱いにおいても代理権を与え、法人の代表者等が使用人等に代理権を与えた旨を表示する「電子委任状」の普及を促進することとした。
 そのための基本的な指針を定め、法人等の委託を受けて電子委任状を保管し、関係者に提示等を行う「電子委任状取扱業務」の認定制度を設けるなどして、電子商取引その他の高度情報通信ネットワークを利用した経済活動の促進を図るという目的で成立し施行されたのが同法である。契約書類や証明書類を作成する際に、電子署名を行った者が本人であることを証明するための「電子証明書」を添付することで、利便性がさらに高まっていくと想定される。
 電子署名やタイムスタンプなどのトラストサービス普及にも影響を及ぼすものと期待している。

図表4:電子委任状の機能
出所:総務省情報流通行政局資料(2018年6月5日)

さまざまな認証技術の可能性

 認証のあり方の一つとしてマイナンバーカードの活用が期待されている。例えば、コンビニでの各種証明書の取得や納税手続のオンライン化(e-Tax)、職員証としての活用、戸籍制度との連携等が考えられている。その際の信頼性を担保する技術として公開鍵基盤(PKI)とともにブロックチェーンが期待されている。 エストニアではすでに健康保険などの分野で実用化がなされており、運用の仕方等を含めてサービス毎に適切に利用され普及してくることが想定される。例えば、米国のNISTが発行している「Blockchain Technology Overview」の2018年1月号では、パーミッションレス型ブロックチェーンの事例として「Trusted Timestamping」が紹介されているし、我が国の国立情報学研究所(NII)のレポートにおいてもタイムスタンプにブロックチェーンを活用する事例が紹介されたりしている。


図表5:トラストを担保する技術
出所:総務省情報流通行政局資料(2018年6月5日)

データの越境流通を支える仕組み

 インターネットの世界、サイバーの世界に国境はない。そこで円滑かつ安心な情報流通を推進するためにはデータの越境流通に関する国際合意が重要な要素となってくる。総務省で2017年10月に「IoTセキュリティ総合対策」をまとめており、その中でも「国際連携の推進」の必要性が謳われている。IoT(Internet onf Things)については「Internet Everything」とさえ呼ばれる状況が進んでおり、あらゆるモノがつながる世界が生まれつつある。セキュリティに対する取り組みはより重要になっており、トラストサービスもそこに含まれてくる。
 EUでは「一般データ保護規則(GDPR)」が定められ、個人データのEU域外への移転が原則認められないことになった。移転のためには十分性の認定や拘束的企業準則(BCR)、標準契約条項(SCC)などの方法を用いて特例的に対応を行う必要がある。現状では十分性の認定を受けた国・地域は限られており、日本についてはまだこれからである。EUと米国の間では「プライバシーシールド」という枠組みが2016年7月に承認され、データ移転が可能となっている。
 日本では個人情報保護委員会が窓口となりEUとの間で交渉を行っており、2017年5月に施行された改正個人情報保護法を基本とし、そこにガイドラインを加えて十分性認定を得るよう調整中である。遠くない将来に、EUと日本の間で円滑な個人データの移転ができるようになってくるものと期待されている。また、APECでもCBPRという独自ルールが作られ、将来的にはEUのGDPRとの相互運用も模索されている。

図表6:個人データの越境流通に関する動向(まとめ)
出所:総務省情報流通行政局資料(2018年6月5日)

おわりに

 サービスの提供において、信頼性を確保するために利便性を犠牲にするという側面がないとは言えない。そこで如何に上手に技術を活用し安心・安全な情報の流通を確保していくかが今後重要になってくる。その際にはセキュリティ、プライバシー、利便性のバランスを適正に確保していかなければならない。サイバーセキュリティ基本法の下で定められた政府戦略においても、この点は指摘されている。
 サイバーセキュリティを極端まで突き詰めると、PCをネットワークに繋ぐこと、PCを使うことすら難しくなる。それでは我々の社会の発展はない。信頼性と利便性とのバランスをとりながら社会の発展に貢献するサービス提供が求められている。