トラストサービスがもたらすビジネス改革

2019年8月19日 日本データ通信協会 セキュリティ, イベント 0

総務省
サイバーセキュリティ統括官室参事官
赤阪晋介氏

 本稿は2019年6月17日、KFC Hall Annex(東京都墨田区)で開催された「トラストサービス推進フォーラム設立1周年記念シンポジウム」における総務省サイバーセキュリティ統括官室参事官の赤阪晋介氏の講演内容を『日本データ通信』編集部で取りまとめたものである。
 デジタル化によるデータ流通の進展、Society5.0の実現に向けて舵を切る政府にとって、トラストサービスの普及は重要な政策課題の一つとなっている。その全体像を把握する上で赤阪参事官の講演は意義深いものである。

1.トラストサービスとその必要性

 本日お集まりいただいた方は、トラストサービスについてすでに詳しい方ばかりだと思うので、私からは総務省がトラストサービスをどのように捉えているか、現在設けているトラストサービスの検討の場でどのような議論がなされているのかを中心に紹介させて頂きたい。

 トラストサービスについては、これからのSociety5.0の基盤をなすものとして大きい期待を抱いている。Society5.0の社会では、サイバー空間とリアルの空間の融合が進み、今、リアルな空間で行われている様々な営みが今後サイバー空間に置き換えられていく。あるいはサイバー空間ならではの営みがリアルな現実として現れる可能性がある。その際、ネットにつながるデータの有効性を担保する基盤が、このトラストサービスだと考えている。

図表1(出典:総務省)

 図表1では、トラストサービスのイメージを例示している。①はデータが誰によって作られたのか、②はどの組織によって作られたのか、③はIoT時代になってセンサーからデータが発信されるようになるが、どのモノからそのデータが発信されているのか、④はデータが改ざんされていないことをいかに証明するか、そして⑤はそれらの仕組を組み合わせて、誰がいつ情報を発信し、その情報が改ざんされていないことをトータルで保証するのか、等の仕組みを示しているが、これらを実現していくことが大事になっている。

 商取引においては、これまで紙のやり取りや、その紙の保存が世の中の慣習として残っている。2004年にe文書法が制定され、法律上保存が求められている文書については電子的に保存をしてもよいと定められた。当時の経団連の試算によれば、税務書類に限っても、紙による保存コストは年間3,000億円程度削減されるのではないかとされた。それから15年ほど経ったが、当時描いていたような姿には至っていない。

 しかし、デジタル化の進展によって、今日では保存コストの削減ばかりでなく、業務の生産性、効率性の大幅な向上も期待されている。
電子署名法でも明らかなように、今の制度ではデータを作った人が誰かをいかに証明するかが求められているが、これからのネット社会では、誰がその情報を作り発したのかだけではなく、その情報に関わる組織やセンサー、サーバなどモノを含めて確認できるような仕組みが求められている。

2.欧州で進むトラストサービス導入

 もう一つの視点が諸外国での取組みである。EUではすでにeIDASという規則が発効し、電子署名、タイムスタンプ、ウェブサイト認証、eシール、そしてeデリバリーなどのトラストサービスについて包括的に規定する制度ができている。GDPRでは、プライバシーに関する議論をEUが世界的にリードする状況があったが、それに続きデータの信頼性を如何に確保するかについても、EUが国際的な議論をリードしてしまうことになりかねない。国際的な調和、国際的な相互運用の観点からも、日本におけるトラストサービスの在り方についてしっかりと考えていく必要がある。

3.トラストサービス検討ワーキンググループと検討事項

 このような状況を背景に、総務省は「プラットフォームサービスに関する研究会」の下にトラストサービスについて検討する「トラストサービス検討ワーキンググループ」を設置し、今年の1月から検討を重ねている。トラストサービス推進フォーラムの会長でもある手塚悟先生に主査を務めて頂いている他、フォーラムのメンバにも参加を頂いており、この場を借りて日頃の協力に対し感謝を申し上げたい。

 現在、トラストサービスの課題を抽出するためのヒアリングを重ねているところで、本年中に最終取りまとめを出したいと考えている。
このワーキンググループにおける検討事項は大きく分けて5つあり、これらについてヒアリング等を重ねている。

図表2(出典:総務省)

(1)検討事項1 リモート署名について

 検討事項1は「人の正当性を確認する仕組み」をどう作り上げるかである。すでに電子署名法が存在しているが、例えばクラウドといった最新の技術に十分に対応できていないところがある。そこで、特にリモート署名について議論を重ねている。

 電子署名法のスキームはICカードの中に証明書を保存することを前提にできているが、現在は技術的には証明書をクラウドに置いて、そこから署名を行うということも可能になってきている。日本でも海外でもそうした技術は使われ、普及し始めており、そうしたものと電子署名法との関係をどう考えるべきかが明確になっていない。

 そこで課題として第1に、クラウドを介して電子署名を行った時に電子署名法第3条に基づく「本人による電子署名」であると言えるか、制度的な位置づけが明確ではないということ、第2に、最初の課題の裏返しにもなるが、どういった要件を満たせば本人がアクセスしているとみなすことができるのか、その技術的な基準が整理されていない。これらの点について議論を行っている。

(2)検討事項2-1 組織を対象とする認証(eシール)について

 検討事項2は「組織の正当性を確認できる仕組み」である。eIDAS規則で規定されている「eシール」に対応するものが日本の制度に存在しない。EUの一部ではタイムスタンプよりもeシールの利用の方が多いという報告も頂くなど、かなり普及しているものと承知している。

 法人の代表者あるいは法人の代表者から委任された担当者が契約を結んだり、意思表示をしたりする場合には、現状でも電子署名法や電子委任状法で整理ができているが、リアルの社会で、請求書や領収書を組織内の角印で処理するような場合を電子的に実現できる仕組みがない。

 こうした仕組みが我が国にないことで、どのような課題が生じるか。1つ目が、実空間でのやりとりがサイバー空間で簡単に実現できないということである。Society5.0のポイントがリアルとサイバーの融合だと申し上げたが、角印に相当するものが実現できておらず、実際には会社の担当者に電子署名を登録してもらい処理している。この対応だと担当者が異動するたびに電子署名を発行しなおす必要が出てくるし、受け取る側の企業でも発行側の担当者の確認に手間がかかる。様々な手間をかけながら処理をしているのが実情だ。

 2つ目として、eシールは電子署名とは異なり機械によって大量処理ができ、それによって業務の効率化が進んでいるのに対して、日本では、紙での処理が残っており、電子化が進まない点が課題になっている。

 サイバー攻撃でのIoT機器悪用が問題になっている。そこでソフトウェアのプログラムのアップデートが求められるが、その際、それが本来のプログラムなのか、どこから来たものなのかを確認しながら実施していく必要がある。これが3点目の課題である。
 現在のリアルの社会にはない、Society5.0ならではの仕組みとして、組織・法人を対象とする証明書の必要性が大きくなっている。

 ワーキングの中で、今後eシールが使われる可能性がある例として紹介頂いたものの一つがインボイス制度への利用である。2023年から消費税に係るインボイス制度が導入される。この際、仕入れ税額の控除に当って請求書等を保存することが求められることになり、税務署に登録された適格な事業者が発行した請求書等を用いることが要件となる。こうした時に適格な事業者によってその請求書が発行されたのを確認するためにどうすればよいのかが課題の一つになっている。

 ここでeシールを使えるのではないかというご意見を頂いた。つまり、事業者を属性として記載することによって簡単に機械で計算をすることができるようになる。中小も含めて、おそらくほとんどの会社がこうした処理をしなければならなくなるとすれば、eシールのような仕組みを作ることで大幅な業務の削減につながるのではないかと考えられる。こうした使い方が期待されているところである。

(3)検討事項2-2 ウェブサイト認証について

 検討事項2の「組織の正当性を確認できる仕組み」では「ウェブサイト認証」についても検討に上がっているところである。ウェブサイト認証は、米国のウェブブラウザベンダ等からなる団体であるCA/ブラウザフォーラムが定める要件がデファクトスタンダードとなっており、例えば、その要件を満たしていると認められないと、必ずしもセキュリティ上問題があると言えない場合でもブラウザ上ではそのサイトは安全ではないと表示されてしまうおそれがある。

 こうしたことがあるため、EUではeIDAS規則でEU自らが適格な認証局をリスト化するなどの取組みを行っており、日本としてどのような取組みを行うべきかが課題として上げられている。

 ワーキングの中では、例えば日本語の表記の問題など日本固有の問題をどのようにCA/ブラウザフォーラムに戦略的に反映していくか、などについて議論されているところである。

(4)検討事項3 モノの認証について

 検討事項の3が「IoT機器等のモノの正当性を確認できる仕組み」をどう考えていくかである。eIDAS規則などにもモノの認証を行うような仕組みは定められていないが、これからのSociety5.0をにらんでの検討事項となっている。

 「モノの認証」についての課題は、1点目として、特にセンサーなどの小さな機器には機能的な制約がある。また、当然コストにも跳ね返ってくるため、それらの制約を考えながら、どういったモノにトラストサービスの機能を入れていくのかを考えていく必要がある。

 2点目は、人の認証と異なり、例えば製品に証明書を入れる場合、どこまで確認をする必要があるのか、部品ひとつひとつに確認が必要なのか、あるいは製造ロットのような単位で行うことがよいのかなど、運用も含めて考えなければならない。

(5)検討事項4 タイムスタンプについて

 検討事項4が「データの存在証明・非改ざんの保証の仕組み(タイムスタンプ)」である。
 タイムスタンプは(一財)日本データ通信協会が民間の認定スキームを運用している。しかし公的な位置づけがないために、民間の事業者の一部には利用を躊躇する場面があるとワーキングの中で伺っている。国税関係書類等で領収書等の保存などに関してはタイムスタンプの利用も進んでいるとは思うが、それ以外の面でなかなか十分に利用が広がっていない部分がある。こうした面をどう考えていくかが課題として挙げられている。

 電子署名法に基づく署名の有効期限は長くても5年間であり、法令上15年、30年と長期の保存を義務付けられている書類についてタイムスタンプを併用しないと長期的な申請を確保できないのではないか、というご意見も頂いている。

 また、国際間のデータ流通もますます盛んになってくる中で、日本で付したタイムスタンプの有効性が海外で検証の対象となる場面がこれからますます増えてくるのではないかと考えられる。その時、例えば第三国で訴訟が起きた場合、日本で付したタイムスタンプが有効であると主張するためには、やはり何らかの法的な裏づけが必要ではないかとのご指摘も頂いている。

 タイムスタンプの具体的なユースケースの一つとしてワーキングで挙げられているものに、建築分野での利用がある。建築士法に基づいて保存が義務付けられているものに建築設計業務の設計図書があり、15年の保存が義務付けられている。そこで業界団体のガイドラインでは日本データ通信協会が認定するタイムスタンプの利用が推奨されているのだが、ガイドラインレベルでは躊躇するところもあり、中小の設計事務所にはなかなか広がっていかないと伺っている。設計の業務は電子的に行っているにも関わらず、保存のためだけに紙に打ち出す事務所が少なくないとのことである。

 こうした紙での保存が世の中の慣習として残っている分野が設計図書以外にも多くあるのではないかとも推察されるため、タイムスタンプが制度化されて皆さんが納得するものとなれば、デジタル化はより進んでいくのではないかと考える。

(6)検討事項5 eデリバリーについて

 検討事項5が「データの送達等を保証する仕組み」である。EUでは「eデリバリー」と呼んでいるが、上記の1から5のような仕組みを組み合わせて新しいサービスをどのように考えることができるかである。

 例えばドイツでは「De-Mail」という形でサービスが提供されており、マルウェア配布やフィッシング詐欺の防止などの面でも期待をされるところではあるが、この点については、日本ではまだ具体的なニーズは十分に顕在化していないのではないかと考えている。

4.中間取りまとめ骨子(案)における各検討事項に関する考え方

 こうした課題や現状を整理して、前回のワーキングで「中間とりまとめ骨子(案)」を事務局からお示ししたところである。その中でそれぞれの検討事項について、現時点でどのように取り扱っているかをまとめている。

図表3(出典:総務省)

 検討事項1の「人の正当性を確認できる仕組み(電子署名)」については、リモート署名について、電子署名法上の位置づけを明確にするよう、例えば特定認証業務と認定認証業務、こういったところに関わる基準を具体化していく必要があるということを考え方として整理している。

 検討事項2の「組織の正当性を確認できる仕組み」については、まずeシールについては、まだ日本ではほとんど認知をされていない中で、利用者が安心して利用するための枠組について、制度化も視野に入れながら検討を深めていくとしている。
 ウェブサイト認証については、先ほど申し上げたとおり、日本の固有の事情をCA/ブラウザフォーラムに戦略的に反映させていくことが必要ではないかとしている。

 検討事項3の「IoT機器等のモノの正当性を確認できる仕組み」については、どのような分野にどのように適用していくのかについて整理を行った上で引き続き議論をしていきたいと考えている。

 検討事項4の「データの存在証明・非改ざんの保証の仕組み(タイムスタンプ)」については、民間の認定スキームが普及しているところ、していないところがまだら模様になっているかと思うので、普及をしていないところについて、国の制度がないから普及していないのか、例えば電子帳簿保存法では省令でしっかりと規定をしているが、そうした利用の部分について定めを置くことによって普及が進んでいくのかなど、現在普及が進んでいない部分の理由を整理した上で利用を広げていくための制度の在り方について議論を深めていきたい。

 検討事項5の「データの送達等を保証する仕組み」では、例えばeデリバリーについて言えば、トラストサービスの組合せで実現されるところだと考えられるので、ベースとなるトラストサービスの進展状況を十分に踏まえながら議論を行っていくことが必要ではないかと考えているところである。

5.トラストサービスの政府方針における位置づけ

 トラストサービスについては、現在様々な政府の戦略文書に盛り込まれている。例えば「未来投資戦略2019」では、トラストサービスの在り方について本年中を目途に結論を得て、速やかに制度化を目指すとしている。また「デジタル時代の新たなIT政策大綱」は、IT分野での当面の重要なトピックについて取りまとめたものだが、その中においてもトラストサービスの活用のための制度の在り方を含め、令和元年度内に結論を得るということが盛り込まれている。また6月14日に閣議決定された「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」でもトラストサービスについて、制度の在り方について検討を進めるとしている。このように様々な政府の文書の中でトラストサービスの検討の必要性について盛り込まれている。

図表4(出典:総務省)

 現在、「Data Free Flow with Trust」という言葉が話題になっているが、信頼できるデータの確保が今後の成長には欠かせない。また今国会では5月24日に「デジタル手続法」が成立しており、行政分野のデジタル化が今後徹底されていくとすると、残るのは民間の部分になる。行政、民間を含め社会全体のデジタル化をどう進めていくかを考えることが必要になってくる中、このトラストサービスによって社会全体のデジタル化を加速していき、それによって社会・経済に大きなインパクトを与えることが期待されている。皆様のご協力を得ながら、引き続き議論を進めて行きたいと考えている。

(文責:「日本データ通信」編集部)