コロナ禍で紙や押印を基本にした制度や慣習を見直す議論が活発化しているが、ビジネス文書などの真正性を確保、確認できることが重要になっている。企業などの法人が作成した電子文書などに、その法人の印として、欧州連合(EU)の「eIDAS(electronic Identification and Authentication Services)」規制に基づいて評価された適格電子証明書で担保され、EU市場で法的効力を認められる「eシール」の活用が期待されている。
こうした背景から一般社団法人の日本情報経済社会推進協会(JIPDEC)は10月16日、セミナー「eシールとは? 内外での活用状況からJIPDECの取組みまで」をオンラインで開催。コスモス・コーポレイション、GMOグローバルサイン、帝国データバンクが登壇した。
コスモス・コーポレイション 取締役 ITセキュリティ部 責任者 濱口総志氏(JIPDEC 客員研究員)
eシールの背景と効果
民間の第三者機関として電気製品などの認証や試験などを提供するコスモス・コーポレイション(三重県松阪市)取締役 ITセキュリティ部 責任者 濱口総志氏(JIPDEC 客員研究員)は「EUにおけるeシールとeIDAS規則を巡る動向」と題したセッションに登壇、eIDAS規則とeシールの概要を説明した。
同氏によればeIDAS規則とは、2016年7月に施行した電子商取引向け電子識別やトラストサービスに関する規則である。EU域内の電子取り引きに法的確実性を伴わせることを目的としているが、その背景にはeIDAS規則の前身となった「電子署名指令」があった。
EU加盟各国が電子署名指令を独自解釈した結果、相互運用性を欠き、オンライン環境における信頼の構築は経済や社会発展の鍵であるとの判断からeIDAS規則に至っている。
eIDAS規則を語る上で欠かせないのが電子本人認証(eID)とトラストサービス(eTS)だ。eIDは電子的に本人確認を行う技術や電子認証を指し、日本ではマイナンバーカードなどに相当する。
eTSは電子署名、eシール、タイムスタンプ、eデリバリーサービス(関連する証明書)、ウェブサイト認証用証明書の生成や検証、照合など信頼性を保証するサービスを指す。eIDAS以前は自然人が署名する個人や法人を問わずに電子署名を用いていたのに対して、eシールは法人や組織が生成したデータの完全性や起源の完全性を担保することで、プロセスの合理化によるコスト削減を実現する。
そのeシールも、データ起源と完全性を保証するために電子データへ添付または論理的に関係させる「eシール(erectronic seal)」、eIDAS規則第36条で規定する要件を満たした「先進eシール(advanced erectronic seal)」、適格eシール生成装置(eIDAS規則に沿ったデバイス)を利用して生成し、eシールの適格証明書に準した先進eシールを「適格eシール(qualified erectronic seal)」がある。
eシールと先進eシールは効力を裁判で争うこともあるが、後者の適格eシールはトラストサービスによって法的効力が課されているため、後述する事例などは適格eシールを前提としたものと理解して構わないだろう(本稿でも以降は「eシール」と省略する)。
濱口氏はeシールの利用例として、エストニアやフィンランド、キルギスタンで利用されている官民情報連携基盤「X-Road」を紹介した。同システムは人口台帳や健康保険情報など各種情報をインターネット経由でデータ交換する目的で2001年にエストニアが構築したものだが、当然ながら改竄データが紛れ込むと社会的損失が発生してしまう。
そこでデータ交換時にeシールやタイムスタンプを付与し、データの真正性と完全性を確保している。eシールは電子署名と異なり、生成者の同意を必要としないことも大きな特徴の1つだ。
