デジタル庁ホーム

トラストを確保したDX推進サブワーキンググループ(第11回)

概要

  • 日時:令和4年6月29日(水)15時00分から16時45分まで

  • 場所:オンライン開催

  • 議事次第:

  1. 開会

  2. 議事
    (1)事務局説明資料及び報告書案の説明(事務局)
    (2)自由討議

  3. 閉会

資料

参考資料

関連政策

議事概要

日時

令和4年6月29日(水)15時00分から16時40分まで

場所

オンライン開催

出席者

構成員

  • 太田洋(西村あさひ法律事務所パートナー弁護士)

  • 崎村夏彦(東京デジタルアイディアーズ株式会社主席研究員)

  • 佐古 和恵(早稲田大学 基幹理工学部情報理工学科教授)

  • 手塚悟(慶應義塾大学環境情報学部教授)【主査】

  • 濱口総志(慶應義塾大学SFC研究所上席所員)

  • 林達也(LocationMind株式会社 取締役)

  • 宮内宏(宮内・水町IT法律事務所 弁護士)

  • 宮村和谷 (PwCあらた有限責任監査法人パートナー )

  • 高村信(総務省サイバーセキュリティ統括官付参事官)

  • 希代浩正(法務省民事局商事課補佐官)※代理出席

  • 奥田修司(経済産業省商務情報政策局サイバーセキュリティ課長)

オブザーバー

  • 伊地知理 (一般財団法人日本データ通信協会情報通信セキュリティ本部タイムビジネス認定センター長)

  • 井高貴之(厚生労働省医政局研究開発振興課医療情報技術参与)※代理出席

  • 太田大州(デジタルトラスト協議会渉外部会長)

  • 小川博久(日本トラストテクノロジー協議会運営委員長 兼 株式会社三菱総合研究所デジタル・イノベーション本部サイバー・セキュリティ戦略グループ主任研究員)

  • 小川幹夫(全国銀行協会事務・決済システム部長)

  • 奥野哲朗(厚生労働省医薬・生活衛生局総務課課長補佐)※代理出席

  • 小倉隆幸(シヤチハタ株式会社システム法人営業部部長)

  • 金子聖治(厚生労働省医薬・生活衛生局総務課指導官)※代理出席

  • 小松博明(有限責任あずさ監査法人東京IT監査部パートナー)

  • 佐藤創一(一般社団法人新経済連盟政策部長)

  • 佐藤帯刀(クラウド型電子署名サービス協議会協議会事務局)

  • 柴田孝一(セイコーソリューションズ株式会社DXサービス企画統括部担当部長兼トラストサービス推進フォーラム企画運営部会部会長)

  • 島井健一郎(厚生労働省医政局研究開発振興課医療情報技術推進室室長補佐)※代理出席

  • 島岡政基(セコム株式会社IS研究所主任研究員)

  • 袖山喜久造(SKJ総合税理士事務所所長)

  • 豊島一清(DigitalBCG Japan Managing Director)

  • 中須祐二(SAPジャパン株式会社政府渉外バイスプレジデント)

  • 中武浩史(Global Legal Entity Identifier Foundation(GLEIF)日本オフィス代表)

  • 西山晃(電子認証局会議特別会員(フューチャー・トラスト・ラボ代表))

  • 高岡文訓(金融庁監督局総務課監督管理官)※代理出席

  • 肥後彰秀(独立行政法人情報処理推進機構(IPA)デジタルアーキテクチャ・デザインセンター(DADC)インキュベーションラボ デジタル本人確認プロジェクトチーム プロジェクトオーナー)

  • 三澤伴暁(PwCあらた有限責任監査法人パートナー)

  • 山内徹(一般財団法人日本情報経済社会推進協会 常務理事・デジタルトラスト評価センター長)

  • 若目田光生(一般社団法人日本経済団体連合会 デジタルエコノミー推進委員会企画部会データ戦略 WG主査)

デジタル庁(事務局)

  • デジタル社会共通機能グループ 楠 正憲グループ長、犬童 周作グループ次長 他

議事要旨

  • 事務局より、資料1「事務局説明資料」について説明。

  • 自由討議において、主に以下の発言。

  • 今後の方向性の確認として、トラストポリシーに基づいてトラストを確保する枠組みが構築されていく、それに基づいてトラスト基盤の実現あるいはDFFT、このように進むはずだと思う。この方向性を考えると、トラストポリシーというのは短期で策定して、トラストを確保する枠組みやトラスト基盤というのを中長期で策定していく、こういうのが大体の方向性ではないかと思う。
    資料2の報告書5章のタイトルは、例えばトラストを確保する枠組みの構築に向けた今後の取組にするといい。
    重要なのは、資料2の報告書(以下「報告書」という。)39ページの「5.5 推進体制」というところであり、短期ではトラストポリシーを確立から策定して、それに基づいて中長期でトラストを確保する枠組みの策定あるいは構築という方向性があるので、これをしっかりと「推進体制」の短期、中長期のところに入れていくべき。
    報告書5.4にも「トラストポリシーを検討する」と書いており、この活動をこの「推進体制」の短期のところに必ず入れるべき。「トラストポリシーの策定」も短期に入れるべき。それから、中長期のところには、トラストを確保する枠組みの策定、またはそれの構築、こういうのを入れていくべきだと思う。今の書き方だと国際的な相互運用性を持ったDIW等の検討と書いてあるが、国際的な相互運用性というのはDigital Identity Wallet(DIW)に限らずいろいろなものに必要なものであるから、これは全体に関わるものとして書くべきだと思う。枠組みの検討というのは、国際的な相互運用性を含めて枠組みの検討が1番に来て、2番に法体系の整理が来て、3番にいろいろな重要な個別のサービス、こういうものに関する事項を書くべき。
    なお、本文にも図にもDIWのところに「国際的な相互運用性」と書いているが、これは報告書5.4の中ほどでもこの文章は出てくるので、何もここで書かなくてもいい。国際通用性は先ほど言いましたようにDIWだけのものではないので、全体に係るものとして書いていくべき。この文章と数字を直していただきたい。
    それから、報告書37ページの最後のパラグラフについて、ここはトラストポリシーにおいて考慮すべき要素ではなくて、トラストを確保する枠組みの実現において考慮すべき要素なのだというように思っている。この部分は最初のほうの「トラストポリシーにおいて考慮すべき」というところを「トラストを確保する枠組みの実現において考慮すべき要素」このように書き直すべき。
    トラストポリシーについては報告書36ページから37ページに記載があり、こちらでトラストポリシーの定義として、トラストを確保する枠組みの基本的な考え方だということが示されるということは、非常に重要なポイントだと思っている。これに基づいて議論を進めることができるのではないかと思っている。
    報告書図14について、トラストポリシーの基本方針は何かというと、ここに書かれている諸条件、何々を確保するということ。こういうものを「トラストを確保する枠組みを満たす」ようにトラストポリシーを策定すること、これが基本方針なのではないかというように思う。ここに書かれているものは、トラストの枠組みが満たすべきものであるから、枠組みがこれを満たすようにトラストポリシーを決める、これがトラストポリシーの基本方針なのだろうというように理解している。ここにそのように分かるように書いて欲しい。
    そうすると、この前のページの9ページの説明のところ、2.3のところについて、どちらかというと主要な利用者と主要なステークホルダーについて、少なくとも関係を整理されているのは利用者間の関係が整理されているということで、ここは記載すべき。
    確認したいのは、1点目は、トラストポリシーの基本方針から次にトラストポリシーを決めて、それに基づいてトラストを確保する枠組みというのを構築していってトラスト基盤の実現につなげる。これでDFFTに寄与する、こういう流れだという理解でよいでしょうか。
    2点目は、トラストポリシーというのは比較的短期で策定して、それに基づいてトラストを確保する枠組みとかトラスト基盤を中長期的にやっていく、こういうような理解でよいでしょうか。このような理解が正しければ、そのことをしっかりと書いて欲しい。
    3点目は、トラストポリシーの基本方針というのは報告書図14に描かれている諸条件、何々を確保することを「トラストを確保する枠組みを満たすように、トラストポリシーを策定する」ことという理解でいるが、この理解で正しいか。

  • 今回、トラストポリシーの基本方針を定めたというところは行っているが、そのトラストポリシーの基本方針からまたトラストポリシーというのを進化させていく中で、このサブワーキンググループでも議論した「トラストとは何か」という対象物のトラストの部分について、より明確化が必要という話になった。また、そのトラストに関してもユースケースベースで議論を続けていくべきではないかというような全体の方向性になった。
    そうすると、マルチステークホルダー等でユースケースから議論することによって、トラストの概念の明確化が進み、そして、トラストポリシーの考えも深まるという方向と事務局では理解している。
    報告書に記載している推進体制、短期、中長期、特に短期には様々なユースケースを記載している。ある意味同時並行のようなものというように事務局としては考えている。

  • この報告書の図15の中ではトラストポリシーはどこに入るべきか。短期とか中長期というのはどれほどの期間を想定しているのか。

  • どちらかというと中長期のところに入ってくるのではないかと思うが、他の構成員の皆様のご意見やご認識も聞きたい。年数は、まだ具体的に何年というように決まっているわけではないが、例えば、短期のところの「デジタル完結へのトラストサービス活用推進」というところでは、デジタル臨時行政規制の集中見直し、集中改革期間3年程度というように書いてあり、そこの改革期間ということで、はっきりとした期限があると考えている。

  • 12月24日の重点計画には「トラストを確保する枠組みの基本的な考え方」や「トラストポリシーについて、令和4年度中を目処に取りまとめると書いてあったが、それについてはどのように考えているか。

  • 本サブワーキンググループでトラストという概念についての定義なども議論した回もあり、そこの中でトラストという概念が一致してはいない中で、トラストポリシーを完全に決めるのは難しい。もちろん、重点計画に書いてあることは、そこの方向性を目指してやっていきたい。このことも本サブワーキンググループで、トラストとは何かというところで対象物がどんどん進化していることから、そこに合わせたポリシーというものがどこまで令和4年度中に書き込めるか不透明なところがある。
    今回、途中経過であるが、トラストポリシーの基本方針については、ここまでは構成員の方々と一致できたのかなと思う。この基本方針というところで少し概略的であるが、事務局としては記載したいと考えている。

  • トラストポリシーの基本方針というのは、報告書図14に描かれている諸条件を「トラストを確保する枠組みを満たすようにトラストポリシーを策定することである」という理解でよいか。そうであれば、それが分かるように報告書図14や図の上の文章にしっかりと書いて欲しい。

  • トラストポリシーの基本方針の定義のとおりかと思う。報告書にもそのように書いてある。発言のあった枠組みというのは、どのようなことを想定されているか。

  • 枠組みは、トラストをどのように認定したり、どこがどのような基準を策定したり、どのようなトラストサービスがあって、そういう種類のようなものを枠組みだと思っている。トラストを確保する枠組みであるから、そのことも全部含んだ、法制度も含めて枠組みなのだと思っている。前回時点のトラストワーキングチームの報告書には、このようなことが書かれていて、このようなことを実現していくと思う。報告書の「今後の方針」や「推進体制」に、「トラストポリシーの策定」をしっかりと組み込んで、本来の目的がどういうように達成されるかが分かるようにして欲しい、このことを事務局と座長とで相談して欲しい。

  • デジタル社会の実現に向けた重点計画、この文書の中のトラストポリシーについて、トラストを確保する枠組みの基本的な考え方(トラストポリシー)とされている。
    1点目は、本サブワーキンググループでもこのトラストポリシーについて、トラストを確保する枠組みの基本的な考え方として扱うのであれば、報告書37ページにある「トラストポリシーの検討」に当たっては、トラストサービスの普及に伴い、ユースケースが具体化され、トラストポリシーにおいて考慮すべき要素も具体化が進むとの考えであり、報告書41ページ目のトラストポリシーは、トラストサービスの普及と並行して具体化が進むものであるという位置づけについては、個人的に疑問が残る。むしろ、トラストサービスの適切な普及を実現するために早急にトラストポリシーについて、トラストを確保する枠組みの基本的な考え方については検討を進める必要がある。
    2点目は、マルチステークホルダーモデルでの今後の議論について、報告書案の中にステークホルダーの案として示されているJDTF、JNSAやJIPDECをはじめとした団体においては、トラストに関わる議論、民間制度、技術基準やガイドラインの検討等が進んでいる状況にあるかと聞いている。これらの成果にはマルチステークホルダーモデルでの議論の際に重要なインプットとなるものもあるかと思う。他方、私が把握していない団体活動や成果物も多々あるかと思う。これらの検討結果や成果物が無駄にならないようにマルチステークホルダーモデルでの議論をスタートする必要がある。そのためには何らかの方法で今後の議論に関するスケジュール感や方向性、メンバー募集や意見、インプットを募集することについて、デジタル庁として提示して欲しい。
    3点目が技術基準と、あと国際標準についてとなる。技術基準について、マルチステークホルダーモデルで議論を行うこと、また、我が国、業界のトラストに関する技術基準を他国の制度、技術基準をそのまま持ってくるのではなく、しっかりと検討するということは非常に重要かと思う。一方で、国際通用性や相互運用性の確保の観点から、国際規格と我が国の技術基準の関係性についても考慮が必要だというのは、サブワーキンググループの中でも何度も話し合われてきた。例えば既に参照可能な国際規格、国際標準については、議論があったとおり活用していくことが基本方針かと思う。一方で、マルチステークホルダーモデルで技術基準を検討していく中で、同分野に関する国際規格がISOで提案される等、そういった場合に、TCやワーキンググループに参加している専門家と連携を取っていくことが必要になってくる。
    そこで、マルチステークホルダーモデルでの技術基準の検討について、これについては国際標準化との関係性について、より明確に報告書に示すべき。これからの国際標準化との整合性を取っていくということが必要になる。また、これによっていわゆる守りの標準化だけでなく、トラストに関する技術基準を日本から国際標準の場で積極的に提案する等、攻めの標準化戦略に転ずることもできるのではないかと思う。

  • 1点目のコメントについて、トラストポリシーの策定というものを早く行った方がいいという意見と、他の構成員から具体的なユースケースがないと具体的なトラストポリシーは策定できないという意見もあり、ユースケースと並行しながら進めていくべきではないかという二通りのご意見がある。このことについて、事務局として記載方法を検討するためにも、構成員の皆様から意見を聞きたい。
    2点目のマルチステークホルダーモデルについて、ここまでの構造に関しましては報告書に書き込める内容となっているが、これからどのようなスケジュールで進めていけるかについて、早めに情報提供できるように善処したい。
    3点目の国際標準機関との関係について、大変重要な分野であり、国際標準機関との整合性の関係や攻めの国際標準機関での議論について書き方を検討したい。

  • トラストポリシーについて、どのようなポリシーでいくのかは、早く決めた方がいいというのはそのとおりだ。ただ、やはりユースケースがある程度具体的に想定して進めることがなければ、しっかりとしたトラストポリシーが策定できない。短期的なところを実現していくためのトラストポリシーのドラフトというものを早期に策定する必要性がある。
    中長期でトラストの概念を検討していくことは、今、策定しても大分ずれてしまうことになるので、そこはしっかりと議論をした上で検討するというような形にならざるを得ないと思っている。
    このことから、トラストポリシーは何をターゲットにするか、いつ策定するか、そこを切り分けて検討していくことにある程度コンセンサスを得た方がいい。
    もう一点、トラストポリシーにかかわらずポリシー自体は、ある種の戦略でもあり、対象、環境が変われば見直ししなければいけないというのは当然である。この仕方というのは賢く考えたほうがいいので、大枠のハイレベルなポリシーとして「今はこのように考えます」というところを徐々にブレークダウンし、政府の方でもアジャイルガバナンスと言っているが、その辺りを考慮したような形で考えたほうがいい。

  • 先にしっかり決めて行うという固め方をして、ある方向性を示して行っていく、これも正しい。それをやはりどんどん突き詰めていくと、ユースケースでしっかりとそれを見て、また新たな部分とか修正が出る、これも当然あってしかるべきだと思う。現在の報告書案では、ただ、並行にやりましょうと一言書いている感じあり、その辺をもう少し丁寧な表記にするといい。このような点を事務局で考えて欲しい。

  • 今までの皆様の発言を踏まえると、デジタル庁でトラストの検討を進める以前も含めたポリシーを策定するという話と、一方で、本サブワーキンググループで新たにトラストの議論をした結果、これは結構難しいテーマだという話にもなった。まさに単に並列にすればいいわけではないという話が一番大きいのかと思っている。

  • 皆様のご意見を伺っていると、短期と中長期でトラストポリシーの明確化というか、深掘りというか、詳細化というのが両方とも必要になってくると思う。ただ、短期、中長期、このトラストポリシーというものを詳細に検討していくに当たり、座組というのはマルチステークホルダーなのか、どのようなことか意見を伺えたらと思う。
    また、先程の意見のとおり、トラストの概念というところがまだ不明確な中で、詳細化が難しいというのは先程コメントがあったが、そのような中で、短期で決められるところはどのようなことか伺いたい。

  • 今の議論、トラストポリシーに関する議論は、やはりこの分野、非常に変化も速く、ある意味でこういうやや走りながらつくる形の方法というのはやむを得ないと思う。

  • トラストポリシーというのは一個ではないと思っている。基本的にはトラストポリシーというのは枠組みの基本的な考え方なので、その枠組みで提供されるトラストを依拠するものが個々に決めていくようなものだと思う。
    このことから、ユースケースが定まらない限りトラストポリシーが決まっていかないというような書き方になってしまうと、全部のユースケース、トラストに関わる全てのユースケースがきちんと整理されないとポリシーができないというように聞こえてしまうが、実際問題、トラストというのはどんどん概念が変わっていくものかもしれない。新しいサービスも沢山生まれてくるかもしれない。新しいユースケースが沢山出てくる中で、そういった中で一つのトラストポリシーを決めるというのはなかなか難しいと思う。
    このような状況から、例えば行政が主体となって行政システムにおける必要となるトラストというのは、「このようなものだ」というものをトラストポリシーとして、まず一案として検討していくということが重要なのではないかと思う。

  • 一つのトラストポリシーというものがあり、全体に適用され、上から落とされるというようなものではないと思う。これは使う側の人が結局信頼できるかであるので、その業界の慣習、あるいは業態、受け取る人たちの集まり、そういった塊ごとに結局できていくものだと思う。このことから、ザ・トラストポリシーがあるのではなく、トラストポリシーズだと思う。
    あと、DIW、今後、世界的に重要な動きがたくさん出てくる形になると思う。EUでも今、Digital Identity Walletに対するテンダーが7月に向けて出ているけれども、それはオープンソースになるが、この辺は何らかの形で我々として政府としても民間としても両方の観点から注目しておく必要があり、ある程度特出し的にこのレポートの中で取り上げるというのも意味があることだと思う。

  • 報告書36ページについて、「トラストサービスにおける」と始まっている段落と「デジタル社会の実現に向けた」と始まっている2つの段落で、全く異なるスコープのことが書かれている。前段は、トラスト性を確認するための仕組み、要するにトラストサービスについて、それをどこまで信じていい、何も考えずに信用していいものとするかというサービスとしての信頼度をどう切るかという議論であり、後段は、どう使っていくか、行政機関がどう使うべきかという、ユースケースの議論になっている。結果として、「トラストサービスの信頼性について、何種類にどのように切り分けるか」「トラストサービスの利用者がどのように使い分けるか」「トラストを確認する側に対して如何にわかりやすくするか」の3つが混ざってしまっている。
    「トラストサービスの信頼性」については、欧州eIDASではクオリファイとアドバンスとシンプルと3つに分けるというように決めているが、それをどのように切るかという単純な話。
    「トラストサービスの利用者がどのように使い分けるか」については、行政手続であれば政府の側がどのように活用するのか、どのような記述をするのか、という話。今の政府における文書管理の在り方でいくと、トラストなので完全性という話になるが、完全性1、2、3と書きましょうというルールが一応ある。この部分をどこまで行っていくべきなのか、どこまで国民全体に対してお知らせしていく形を取るのかという部分。
    最後の、「トラストを確認する側に対して如何にわかりやすくするか」については、人が読むのであればヒューマンリーダビリティーというのを考えていったときに、受け取る側のリテラシーをどこまで期待するのか。もしくは、機械可読性ということを考えるのだとすると、どこまで細かく書いていくのか。どこまでいろいろな種類のパラメーターを持つのか。細かく書けば書くほど色々なことができるが、書くのも読むのも面倒くさくなるという善し悪しがある。
    いずれにせよ、トラストサービスがどこまで信頼できるものであるかという話は、欧州のように、もしくはIALの議論したように、3段階又は4段階程しかないので、決めの問題としてこのサービスの仕組みの部分について、まずは決めてしまう。その上で、個別のユースケースごとに、どのトラストサービスをどう使って、どこまで何を確保しなければいけないのか、どうあるべきかを考える、という手順を踏まないと前に進めないと思っている。
    かなり混在した形で、トラストポリシーという一言に押し込んでしまったのではないかと非常に懸念している。この部分は、国際通用性ということでも同じであり、確認するための仕組みについては、国際通用性は絶対必要だが、名乗る側、もしくは確認する側については、国際通用性というのは要らないということを考える必要がある。この部分をしっかりと切り分けて考えていかないと議論が混乱していくことを非常に懸念している。

  • あまり大それたことを実行しようとすると時間がかかるので、ある程度現実的にスコープを区切って、それを積み重ねていくというようなアプローチのほうがいいと思う。だから、電子署名サービスにおけるポリシー、あるいは電子認証、ここでの言葉で言うとIdentificationサービスに関するポリシー、このような概念はいいが、それを全部統一して策定するというのはちょっと難しい。

  • トラストサービスについてはある程度甘く決めても、トラストアプリケーションサービスについてはユースケースごとにしっかり考えていく、このような考え方がよいと思う。だから、政府と民間とかではなくて、トラストサービスとトラストアプリケーションサービスという割り方が一つ合理的なのかなというように思った。

  • 階層化してプラットフォームのほうをトラストサービスと呼ぶならば、それを使ったアプリケーション、それをトラストアプリケーションという定義にしていく。トラストアプリケーションはもうもちろんアプリケーション側ですから自由度があっていい。そのアプリケーションに応じてリスクを考えて選択できる、そういうインフラを提供するという、そういうのが一つ考えられる。

  • 先程のトラストサービスとトラストアプリケーションサービスということの明確化をお願いしたい。これはトラストサービスと言っているのは提供者側で、トラストアプリケーションと言っているのは利用者側、利用はいろいろなユースケースがあると、このような意味合いで間違いないか。

  • 例えば電子契約システムみたいなのは恐らくトラストアプリケーションサービスになる。それに対して、認証局とか、もしかしたらリモート証明とかそういうのを扱うそういうサーバーあるいはサービス、そういうものはトラストサービスと考えるのがいいと思っている。インフラとなっているところやユーザーが直接使うサービスというのは、一般には違ってくることは多いが、そこをある程度切り分けないといけない。全部一緒にするとそれこそ大統一理論で出来ないとなる。

  • トラストサービスではなくてアプリケーションサービスの方は、いわゆる我々が言っているリライングパーティーの機能がそれに当たるのか、一つ今までのものに当てはめた場合、考えられるのかなと思う。このようなエコシステムを使っていく、利用していく側のユーザーだけではなく、事業者も入ると思うが、人たちがエコシステム上、支える利用者としてあって、それはアプリケーションなのだという形で理解していくと、次につなげられると思った。そういう中でトラストサービスという定義がしっかり今、定まってないというのがやはり影響している。
    本ワーキンググループでは最初、トラストの基盤のところを検討していたが、ユースケースの議論もあり、かなり広がりを持って、ある意味、全体を補完、鳥瞰するところからも、今回議論した。非常に幅広な議論になったという点では、必要なことだったと思う。それらを具体化していくというフェーズに、マルチステークホルダーの方々と議論が出来るのではないかと思う。
    報告書37ページの最後の段落の方について、トラストポリシーの基本方針は、構造改革のための「デジタル原則」これはこのとおりだと思うが、単に構造改革だけではなくてイノベーティブな方向性のこともちょっと入れたほうがいい。例えば、トラストポリシーの基本方針は、構造改革のための「デジタル原則」を支えるもの、さらに、DFFT、Society5.0、DXのようなイノベーションを支えるものという、そういう併記というか、そちらのことの文言も入れておいたほうが前向きかなと思った。イノベーションで非常に重要だと。

  • トラストサービスを確認するというところの意図というのを理解しておきたい。要は政府セクターで使っていく決め事として、国際協調も考えつつ、いわゆるアシュアランスレベルで、まずはこのようなレベルやセットでいくと、決め打ちで決めた方がいいということであったかと理解したが、合っているか。

  • 構成員の皆様のご議論をまとめると、先ほど皆様でご議論いただいた中でトラストポリシーというのは現在、短期、中長期で、両方で考えて行く必要があり、例えば短期でもサービスの話などは決めていくべきところがある。ただ、大統一理論みたいに全てを短期で決め切ろうとすると決められないので、細かいところ、出来るところから行っていくべき。中長期のトラストポリシーについては、どれか一つに限られるものではなくて、様々な業界で別々のものがあってもいいという方向になった。このように今回議論が出たところを報告書にも書き込めるのではないかと考えている。
    この点について、何か認識で齟齬があるところがあればご意見を伺いたい。

  • 参考資料として記載されている、当方がプレゼンテーションをさせて頂いた際の資料(報告書の143枚目)の記載でeシールに係る「発行元証明の信頼性を担保するための措置の水準」というのがトラストサービス側の水準分けに該当する記載。
    議論によってはレベル3がもっと細かく分かれると思っているが、レベル1というのは取りあえず定義を満たすもの。レベル2というのはしっかりとしたリーダーだったら読めることが保証されているもの。レベル3が、そこに書いてある発行者に係る情報は正しいという信頼性が担保されたもの。要するに組織の実在性、人の実在性、本人確認など、この場における議論でいくとIALがきちんとなされているものということになる。
    eシールは、この3つに分けて始めませんかということで決めているが、もっと厳しいものが欲しいとなったときに、例えばマイナンバーカードというのは地方公務員という有資格者が対面で本人確認をしたという非常に重たい本人確認がされているので、それを使った確認でないと嫌なのか、それとも裏づけがあれば何でもいいのかで分ける、ということも有り得る。
    まずそういう仕組みの部分の区切り方を決めて、その上でそれぞれの届出書類や、発行書類の種類に応じて、この書類については少なくともこのレベルが欲しいと考えたときに、レベル2で不十分だと思うのであればレベル3を選べば良いし、レベル1で十分だというのだったらレベル1を使えば良いということなのだろうなと思っている。
    あとは、検証する側に対して言葉を尽くして説明していくということなのではないかと思う。

  • ファンクショナリティーとして、どこまでの要素が必要なのかというところの区分を明らかにすれば、その後の動きというのがやりやすくなるというところなのかなというように理解した。

  • トラストサービスという中で、Identify Provide(IdP)というのもそういう概念で整理できるのかというところが一つのポイントとしても大事になってくる。
    認証局を見たときには、IAL、AALの議論だけではなく認証局そのもののレベル、それが具体的に言うと認定認証事業か、特定認証事業か、要するにしっかりと制度で検証しているか。調査機関が入ってしっかりと確認しているか、又は自主基準で行っているのかという、そういうレベル感があって、それと同じようにIdPもそういう世界が今後は必要になるのではないかなと思っている。
    トラストサービスアシュアランスレベルというもう一つの概念を出さないと、それに基づいて皆さんは議論を選択していく、そういう思いがあって言った。まさに今、サービス側をどういうように区分するかの考え方というところであると思う。このことは今後しっかりと議論し、議論だけでなく、決め事は決めて、その先へ進んでいかないといけない。ここは非常に大事な部分だと思う。
    データの完全性の1、2、3というのをどのように選択していくか、あと必ずベリファイ、ベリフィケーションするため、受け取り側、リライングパーティー側がどうやってそれらを検証できるか。その検証が当然自動化できるようにしなければ意味がない。このようなトラストサービスの枠組みというものを考えるということかと思っている。
    今回出た意見の報告書への反映は「主査一任」という形で事務局側と整理したい。

  • 大変状況も移り変わりのある中で闊達に議論いただいて、当初の見通しどおりになかなかいかなかった部分に関しても概念整理をいただいた部分、そして、一方で、やはり喫緊に整理する必要がある中で、どのような体制でこれを進めていくかをまとめていただいたと認識している。
    トラストの概念のかなり基本的なところで、しっかりと国際標準も踏まえて調査等をしている中でも、なかなかトラストの定義自体が定まりづらかったところもある。
    これは日本だけではなくて世界中で今、まさに議論が活発にされている部分であり、なおかつ要素技術の面でも、あるいはユースケースの面でも、非常に活発な新しい動きが起こっているという、そういうことの裏返しではないかと思っている。
    だからといって指をくわえて見ていればいいということではなく、eシールを始めとした実用段階にあるテクノロジーについて、速やかに整理を行って、これをしっかりと社会で安心して使える、あるいはにらみ合いになるのではなくて、政府としてあるべき技術の適用が速やかにしっかりと出来るようにしていくということ、これをまず今後体制として整えていく必要がある。
    併せて、国際的にも非常に多くの議論が活発に行われている中で、国としてもここに対して、しっかりとアンテナを張っていって、周回遅れの議論ではなくてしっかりとオンゴーイングの議論に参加し、そして、国際的なそのような議論に関与していくことの重要性も益々高まっているのではないかと考えている。
    昨今、骨太の影響もあり、重点計画の中でもWeb3について記載した中で、様々な新しいアプリケーションにおいて、鍵管理一つ取ってもなかなか未熟なものが社会実装としてどんどん出てきているというような環境の変化もあるが、土台の考え方、原理原則の部分を分けないで行っていくということは非常に重要だと思う。
    かなり遠回りになってしまったかもしれないが、このサブワーキンググループにおいてしっかりとあるべき論ということが議論され、それを今後、具体のアイテムに落としていくための座組について、非常にしっかりとした議論を行っていただいたことをしっかりと、我々が受け止めて、デジタル庁として次のステップに行く必要があるというように考えている。
    本当に流動的な環境の中で、非常に歯がゆい思いをされたこともあったかもしれないが、闊達に議論をいただいて、すばらしい報告書を取りまとめていただきまして、本当にありがとうございました。
    最後までしっかりとした報告書を出せるように引き続きの協力をお願いしたい。今回は報告書の英語版も含めてしっかりと公表することを考えており、これ自体がデジタル庁として、日本で閉じた議論をするということではなくて、しっかりと世界の議論に関与し、貢献していく一つのステップになればというように考えている。

  • 会議資料は、デジタル庁ウェブサイトにてこの後公表させていただくこと、追加の意見及び質問は事務局まで連絡の上、事務局で今後の運営の参考とすること、議事要旨は、構成員の皆様に内容を確認いただいた後に公表させていただくこと等を事務局より説明。

以上