トラストサービスに関する総務省の取組

2019年11月13日 日本データ通信協会 セキュリティ, イベント 0

総務省サイバーセキュリティ統括官室
参事官 赤阪 晋介 氏

 本稿は、本年10月25日(金)、大阪市内で開催された「トラストサービスシンポジウム2019秋@大阪」で行われた総務省サイバーセキュリティ統括官室の赤阪晋介参事官による講演の模様を編集部において取りまとめたものである。『日本データ通信』では、これまでもトラストサービスの検討状況を都度お伝えしてきたが、赤阪氏による講演は、現時点における政府のトラストサービス検討について、その最新動向を紹介するものである。
 Society5.0時代の安心・安全な情報基盤の確立に向けた真摯な取組が続けられている。

■Society5.0時代におけるトラストサービス

 総務省においても、Society5.0を支える基盤としてトラストサービスがこれから大きな役割を果たす重要なテーマであると思っており、今年の1月から「トラストサービス検討ワーキンググループ」を立ち上げて議論をしているところである。今日はその内容についてご紹介をさせていただきたい。

 総務省としてトラストサービスをどのように捉えているかをまずご説明したい。
「21世紀はデータの世紀」とよく言われるが、データの重要性は、今後ますます高まってくる。5Gが始まることでIoTも本格的に拡大すると想定され、データの利用はさらに広がるため、安全・安心なデータ流通を支える仕組みを如何に確保していくかが大事になる。例えばデータの送信元がなりすまされる、あるセンサーから来ていると思っていたものが、実は別のところから送られている、あるいはデータそのものが改ざんされているなどといったことがないようにするための基盤、すなわちトラストサービスを実現するための環境整備が必要ではないかと考えている。

 EUでは、このトラストサービスが2016年に発効した「eIDAS規則」によって包括的に規定されている。データの国際的な流通がますます増えることを想定すると、国際的な調和の在り方も踏まえながら、日本としてこのトラストサービスをどのように捉えていくかを考えていく必要がある。

 Society5.0の時代になると、実空間とサイバー空間が高度に融合し、実空間で紙や対面で行われているやりとりがどんどんサイバー空間に置き換えられていく。しかし、紙や対面では当たり前のことが、まだサイバー空間では実現できていないことがいろいろあるので、そういったことをいかにクリアしていくかが一つ目の課題だろうと思う。

 二つ目の課題は「データの発行主体の多様化」である。従来だと「ヒト」が文書を作り、それにサインをしたり、判子を押して流通させたりするのが基本的なやり取りの仕組みだったが、これからは「ヒト」だけではなく、例えば「組織」がプログラムのアップデートの主体になるとか、「モノ」としてのIoT機器がデータ発行を行うとかいった仕組みも必要になり、「ヒト」が情報を発信する場合と違った考え方でデータを取り扱っていく必要があるのではないか。Society5.0の中でデータをどのように取り扱っていくかが大きな課題になる。

(当日の講演資料より)

■トラストサービスとはどのようなものか

 我々が「トラストサービス検討ワーキンググループ」の中で検討の対象としているトラストサービスの例が次の5つである。

(当日の講演資料より)

 「電子署名」は、「ヒト」が情報の発信元である場合に本人の正当性を確認できる仕組みである。従来紙で行っている押印などの仕組みを電子的に実現し、「その文書はAさんが作った」ということを証明するものである。トラストサービスの中では、日本である程度定着したサービスだと言ってよい。

 2つ目が「組織を対象とする認証」であり、EUで「eシール」と呼ばれているものがこれに相当する。会社で請求書や領収書などを発行する場合に、会社の代表印を使うのではなく、いわゆる角印を押していることが多いのではないかと思う。これがサイバーの世界では実現できていないという実態がある。ほとんどの場合は、おそらく「ヒト」に落として、会社の代表者の電子署名であるとか、代表者から委任を受けた担当者の電子署名を付与する、つまり個人の電子署名を発行するデータに付与することになっている。これは手間がかかるという指摘があり、リアルの世界と同じように、「会社の印」で済めば、より簡便な手続きができるのではないかという期待がある。

 3つ目が「モノの認証」である。様々なセンサー等から送信されるデータについて、そのセンサーから正しく送信されたものかを確認するといった仕組みは、これからますます大事になってくる。

 この3つは情報の送信元に着目した切り口で、「ヒト」「組織」「モノ」と整理したものだが、4番目の「タイムスタンプ」は、主に「情報が改ざんされていないか」という点に着目した仕組みである。「タイムスタンプ」はすでにある程度利用されているサービスだが、データだけで保存するのは不安があるなどの理由で、紙を用いて保存するとか、紙での保存をデータ保存と併用することが行われている。「タイムスタンプ」を用いれば、紙を残さずに長期的に保存するということができるはずなので、保存コストなどを含めて効率化できるのではないかということが期待されるところである。

 5番目の「eデリバリー」もEUでの名称だが、紙の世界での書留郵便に当たるようなサービスで、送信元が誰で、いつ送り、いつ相手に届いたのかが確認されるような仕組みである。ただし、日本ではまだ具体的な姿は見えていない。

 今後のトラストサービスとして発展が期待されるのが、こうしたサービスということで議論をしているところである。

 トラストサービスをめぐる状況を日本とEUとで比較したのが次の表である。これはわかりやすさを優先したため厳密性は欠いているので、その点は了承願いたい。

(当日の講演資料より)

 横軸に「ヒト」「組織」「モノ」という主体をとり、縦軸に「送信元の確認」「非改ざんの確認」という目的をとると、EUでは、これらのマス目をカバーする様々なサービスが包括的に制度の中で位置づけられている。それに対し、日本では、法律的にあるのは電子署名だけで、あとはタイムスタンプについて民間の認定スキームがあるに過ぎない。
 先程も申し上げたように、これからデータの流通が盛んになる中で、日本としてどのように考えていくべきかを検討しているところである。

■現在提供されているサービスの概況

 トラストサービスをめぐる我が国の現状について若干補足をしたい。

 最初は電子署名法についてである。
 電子署名法で何が定められているかといえば、1つ目に「本人による電子署名が付されている電子文書等の真性な成立の推定」(電子署名法第3条)がある。リアルの世界では書面に判子が押されていたり、署名がされたりしていれば、その文書については真性な成立の推定が働くことになっている。デジタル文書の場合には、電子署名が付されていれば、その文書は真性に成立していると推定されると電子署名法で認められている。

  2つ目が認証業務に関する認定制度についてで、「主務大臣は、主務省令で定める基準等に適合する認証業務を認定」(法第6条)と定めている。電子文書の場合には、改ざん等が容易であることも考えられることから、一定の要件を定め、それを満たす認定認証事業者を定めている。認定認証事業者という第三者を間に入れることによって、その電子署名の確からしさを高めているわけである。現在、認定認証事業者として活動している事業者は8社あり、その事業者から認定された電子証明書は、近年は年間35万枚程度で推移をしている。

 電子証明書は一定の普及はしているが、ここ数年は少し伸び悩み、あるいは頭打ちの傾向があるのではないかと考えられる。その理由には様々なものが考えられるが、ICTサービスがクラウドに移行する傾向があるにもかかわらず、電子署名法はクラウドを介して行う電子署名に制度上対応していないことなど、最新の技術への対応という点で課題がある。
 また、電子署名を行う本人の認定が厳格なので、使いづらいという声も聞こえてきたりしている。
 こうした点で、制度が世の中の実態に追いついていないところがあり、それが利用の伸び悩みにつながっている部分もあるのではないかと思っている。

(当日の講演資料より)

 タイムスタンプは国による認定制度はなく、民間の事業者である日本データ通信協会が事業者を認定するという仕組みが存在している。現時点で6事業者が時刻認証業務認定事業者として認定されている。認定タイムスタンプの発行件数を見ると需要は右肩上がりの傾向があり、電子帳簿保存法(国税庁)に基づく取引関係書類の電子データ化の用途が増えていると理解している。これは国税庁の規制緩和が進み、従前は領収書等を保存する際に電子署名とタイムスタンプの両方をつけなければならなかったのが、タイムスタンプだけでよしとする、あるいはスマートフォン等のカメラによる画像保存を認めるなどの制度改正が行われ、こうした場面でのタイムスタンプ利用が増えている。

 ただ、これも議論の方で紹介したいと思っているが、民間の認定制度でよいのか、知財保護のためにタイムスタンプを付与した時、それが海外でも有効であるかなどという懸念はあり、国税関係以外の場面での普及は進んでいない現状がある。国の関与を進めるべきという問題意識の下で検討を進めているところである。

 eIDASは電子署名、タイムスタンプ、ウェブサイト認証、eシール、eデリバリーなど様々なサービスを視野に、電子取引における確実性を確保し、経済活動の効率化を促進することを目指した包括的な制度である。EUのGDPR(General Data Protection Regulation: EU一般データ保護規則)が国際的なプライバシー保護の潮流をリードした部分があるが、トラストサービスにおいても、このeIDASによってEUがかなり先行的にルール化を進め、世界を引っ張っている部分があると認識しており、今後もその動向を注視しながら、我が国のスタンスを形成していきたい。

(当日の講演資料より)

 もう一つ参考に申し上げておくと、トラストサービスのあり方については、政府でもその重要性に鑑み、いくつかの閣議決定の中に織り込まれている。
 本年6月21日の「成長戦略フォローアップ」でも、トラストサービスに在り方について「国際的な相互適用性の観点も踏まえ、本年中を目途に結論を得て、速やかに制度化を目指す。」とされた。
 「デジタル時代の新たなIT政策大綱」(令和元年6月7日)でも「トラストサービス(データの存在証明・非改ざん性の確認を可能とするタイムスタンプや、企業や組織を対象とする認証の仕組みなど)の活用のための制度の在り方を含め、……令和元年度内に結論を得る。」と書かれている。
 また、「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(令和元年6月14日)でも「トラストサービスについても、EU等の動向も踏まえつつ制度の在り方について、検討を進める。」とあり、このように今年ないし今年度中に制度の検討を進めるよう政府レベルでも決定されているところである。

■トラストサービス検討ワーキンググループの検討状況

 総務省では「トラストサービス検討ワーキンググループ」を設置し、精力的に議論を行っている。慶應義塾大学の手塚悟先生に主査を務めていただき、またトラストサービス推進フォーラムの方々にも参加いただいて活発に活動していただいている。年内に最終取りまとめを行うことを目標に、制度化の議論を進めているところである。

(当日の講演資料より)

 同ワーキンググループでは8月の時点で中間とりまとめを出した。この中間とりまとめでは、5つの項目、中でも特に3つの項目について具体的に議論を進めていくことを明らかにしている。

 1つ目はクラウドを活用したリモート署名についてである。従来、電子署名法では、電子署名に用いる鍵をICカードに格納して、それを手元に持って利用することを前提にした制度の立て付けになっている。現実には、鍵をクラウドに格納して認証を行うリモート署名が増えてきており、こうした利用に対する電子署名法の適用や国としての認定基準について検討を行う。

 2つ目は、組織の正当性を確認できる仕組み、EUの「eシール」に相当する仕組みについてである。こうした仕組みは、請求書や領収書の処理に大きく役立つものではないかと考えられるため、何らかの制度化を視野に入れて検討を進める。

 3つ目がタイムスタンプについてである。タイムスタンプについては日本データ通信協会が民間の認定スキームを始めてすでに14年を経過している。こうした中、より国の関与を強めた制度の在り方について検討を進めていくことになっている。

(当日の講演資料より)

 この3点について8月9日以降の会合で、どのような仕組みが望ましいのかということを検討しているところである。

■トラストサービスによって期待される効果

 トラストサービスによって、どのような効果が期待されるのか、ワーキンググループの中でも紹介されていたので、その中からいくつかをお話したい。

 最初がタイムスタンプの例である。書面には長期的な保存を義務付けられているものがいくつかある。その一つが、建築士が作る設計図書である。これについては、かつて耐震偽装の問題等もあり、建築士法において15年間の保存が定められている。法律では紙とともに電子的な保存も認められている。ただ、ワーキンググループの議論では、特に中小の事業者を中心に紙の保存の併用、あるいは紙のみの保存が行われている傾向が依然として強いという話があった。業務は電子化されているのに、保存のためにわざわざ紙に打ち出すということが行われている。

 何故なのかと訊くと、タイムスタンプについて公的な制度がなく、民間のスキームにとどまっているために利用を躊躇する、法務部門で話が進まないといったことがあるようである。タイムスタンプが、より信頼性のある制度となり、安心して活用できるようになれば、設計から保存まで一気通貫でデジタル化が実現し、一層の業務効率化が進むものと期待される。

 ちなみに、2004年にe文書法ができた時に経団連が行った試算によれば、仮に税務の紙による保存コストが電子化で削減できれば、年間3,000億円のコスト削減につながるとされたが、そうした効率化がまだ実現できていないのが現実である。それがより広い用途に広がれば、より大きいコスト削減が期待される。

 もう一つの例がeシールである。法人が発行している請求書や領収書には社印(角印)が押されているが、サイバーの世界ではそれを実現する手段がない。他方、2023年には仕入税額控除における適格請求書等保存方式(インボイス)が導入されることになる。従来は見なしであった仕入税額の計算をより厳格に行うことが求められるようになり、適格な請求書等を発行している事業者か否かを区分し税務処理をしなければならなくなる。その際に処理を人手でやっていてはとても処理できないことになると考えられるため、電子的な対応が求められる。そこでeシールという組織を証明する仕組みがあれば、適格請求書発行事業者の区分が容易にできるようになるのではないかと考えられる。eシールの証明書の中に適格請求書発行事業者のフラグを立てれば、区分は簡単にできる。こうした文脈の中でeシールの具体化が期待されている。

■アンケートで企業の本音を尋ねた

 このワーキンググループの取組からトラストサービスに関するアンケート結果を紹介させていただきたい。経団連のデジタルエコノミー推進委員会には、約160の会員企業がいるが、その会員各社にアンケートをお願いし、39社から回答を得た。回答してくれた会社は限られているが、個別で企業に伺うと、質問が難しくて回答できないという会社もあった。トラストサービスという言葉も、まだまだ一般には馴染みのない言葉であるため、各社様とも苦労して回答してくれたようである。

 調査結果のポイントをかいつまんでお話したい。
 調査事項は大別すると二つあり、一つ目が電子的ファイルの外部との送受信時にトラストサービスを利用しているか、二つ目が電子的ファイルの保存の場面で利用しているかである。回答者数が限られるため、数字自体に大きな意味はないかもしれないが、おおまなか傾向は見て取ることができる。

(1)アンケート総論

 文書・データ等の送受信や保存の場面で、何らかの電子化を行っている会社は回答のあった39社中36社であった。このうち、何らかのトラストサービスを使っている企業が17社で、文書やデータの電子化を行っている企業の半分弱が利用しているという回答を得た。
 経団連に加盟する大企業の中ですら、回答してくれる企業が限られ、回答企業の中でもトラストサービスを使っている企業はまだまだ多くはないのが実態である。

 送受信の場面で利用が比較的目立ったトラストサービスは、個人名による電子署名で、「契約書など文書作成者の真正性・非改ざん性を厳格に担保する必要のある書類」を扱う場合に利用している会社が多く、紙の文書では実印相当のものを電子的に送受信する際には電子署名を使っている場合が多い傾向がうかがわれる。他方、保存の場面では、タイムスタンプを利用している企業が比較的多い傾向がある。

(当日の講演資料より)

(2)「個人名の電子証明書」に対する声

 トラストサービスを活用している企業の声を紹介したい。

 まず「個人名の電子証明書」の利用についてだが、送受信ともに「社会との取引を電子的に行う際の条件を定める法令・業界ガイドライン等の基準を満たすため(建設業法、印紙税法、電子帳簿保存法等)」に使っている企業が多い。

 使用している企業にどのような課題を感じているかを訊くと、「利用にあたり、手間やコストがかかる」が最も多い。導入を検討したが断念した企業に尋ねると、やはり「利用にあたり、手間やコストがかかる」が同様に最も大きい課題として挙げられている。

 つまり、法令やガイドラインで定められているため使ってはいるが、使おうとすると手間やコストがかかり、それを負担に感じているという状況が見て取れる。

(3)「組織名の電子証明書」に対する声

 二つ目が「組織名の電子証明書」、いわゆるeシールについての声である。調査前には、こうしたサービスはまだあまり使われていないのではないかと考えていたが、一部で提供されているサービスを使っている企業があった。
 メリットとしては、「利用者本人の確認が不要」、「異動に伴う手続きが不要」、「大量に付せるので便利」など、組織での利用において利便性があることを認めていることが分かった。ただ「事業者の認定制度がない」など、公的な制度がない点に不安を感じている傾向も見て取れた。

(4)「タイムスタンプ」に対する声

 「タイムスタンプ」については、課題として「サービスが将来にわたっても提供されるか不安」という回答がある点が特徴となっている。現在存在するタイムスタンプの認定スキームが民間のものであるため、それ自体がいつまで続くのかに不安を感じながら使われているケースが多いのではないかと考えられる。
 また、電子署名同様、手間やコストがかかる点も課題として認識されているほか、知的財産権にも関わるサービスなので「真正性が国際的にも認められるか不安」という回答が上がっているのも特徴である。

 アンケート結果をまとめると、「電子署名(個人名の電子証明書)」においては、いくつかの業界の制度に電子署名の利用が位置付けられていることで、利用者が一定の信頼感をもって電子署名を使用することができ、利活用が進んでいることが見て取れた。
 「電子署名(組織名の電子証明書)」については、利便性(本人確認不要、異動手続き不要、大量に付せる)を感じている一方で、公的な枠組みがない点が課題視されており、そうした枠組みができてくれば今後の拡大につながるのではないかと考えられる。

 タイムスタンプについては、民間の認定スキームしかないことが影響していると考えるが、サービスの永続性に不安を抱える企業が多いように見て取れる。また、国際的に通用するかを課題に挙げる企業が多い。これらの不安を払拭できるような公的な制度が求められているのではないかと考えられる。
 また、手間やコストを課題に挙げている企業が多く、今後の普及拡大のために解決すべき課題であると考えられる。

(当日の講演資料より)

■トラストサービスの制度化に向けた論点

 トラストサービス検討ワーキンググループでは、年末の最終取りまとめに向け、特に具体的な制度の在り方について検討を行っている。論点としては、大きく分けて二つあると考えている。

 1点目がトラストサービスのプロバイダーの信頼性をどう担保するかである。国が認定を行うことも考えられるし、国が何らかの基準を明確にし、それに則って民間が認定を行う方向もある。何れにせよ、国がしっかりとそこに関与することによって、プロバイダーの信頼性を高めていくことが重要ではないか。

 2点目として、利用の場面における制度をどうするかである。タイムスタンプの利用増加のきっかけが、電子帳簿保存法の省令でタイムスタンプの利用を定めたことにあることから、eシールやタイムスタンプの利用が、電子文書の送受信・保存について規定している法令との関係で有効な手段として明示されるよう、各省庁に働きかけていくことが重要ではないか。
この2つの観点から、どういう制度が望ましいかを年末に向けて考えていきたい。

 デジタル手続法が今年の通常国会で成立し、行政手続の電子化が進んでいく。今後、民間も含めて社会全体の「紙からデジタルへ」を実現するためには、データの信頼性を確保し、安心・安全なデータ流通を支える基盤となるトラストサービスが非常に重要な役割を果たすようになると考えている。
これからのSociety5.0において、ヒトだけでなく、組織やモノからの情報が発信されるようになると、その正当性を確認するためのトラストサービスを、公的な関与を行いながら構築していくことが求められてくる。引き続き、皆様のご協力をいただきながら議論を深めていきたい。

(文責:「日本データ通信」編集部)