デジタル庁

トラストを確保したDX推進サブワーキンググループ(第2回)

概要

  • 日時:令和3年12月13日(月)11時から12時30分まで

  • 場所:オンライン開催

  • 議事次第:
    1.開会
    2.議事
    (1)前回会合の主なポイント及び実態調査の状況報告(事務局)
    (2)構成員及び外部有識者からのプレゼンテーション
    ・高村 信(総務省サイバーセキュリティ統括官室)
    ・楠 俊樹(一般社団法人全国銀行協会(株式会社三井住友銀行))
    ・小倉 隆幸(シヤチハタ株式会社)
    ・太田 洋(西村あさひ法律事務所)
    (3)自由討議
    3.閉会

資料

参考資料

関連政策

議事概要

日時

令和3年12月13日(月)11時から12時45分まで

場所

オンライン開催

出席者

構成員

  • 太田洋(西村あさひ法律事務所パートナー弁護士)

  • 崎村夏彦(東京デジタルアイディアーズ株式会社主席研究員)

  • 佐古和恵(早稲田大学基幹理工学部情報理工学科教授)

  • 手塚悟(慶應義塾大学環境情報学部教授)【主査】

  • 濱口総志(慶應義塾大学SFC研究所上席所員)

  • 林達也(LocationMind株式会社取締役)

  • 宮内宏(宮内・水町IT法律事務所弁護士)

  • 宮村和谷(PwCあらた有限責任監査法人パートナー)

  • 高村信(総務省サイバーセキュリティ統括官付参事官)

  • 篠原辰夫(法務省民事局商事課長)

  • 奥田修司(経済産業省商務情報政策局サイバーセキュリティ課長)

オブザーバー

-伊地知理(一般財団法人日本データ通信協会情報通信セキュリティ本部タイムビジネス認定センター長)

  • 井高貴之(厚生労働省医政局研究開発振興課医療情報技術参与)※代理出席

  • 太田大州(デジタルトラスト協議会渉外部会長)

  • 小川博久(日本トラストテクノロジー協議会運営委員長 兼 株式会社三菱総合研究所デジタル・イノベーション本部サイバー・セキュリティ戦略グループ主任研究員)

  • 小川幹夫(全国銀行協会事務・決済システム部長)

  • 小倉隆幸(シヤチハタ株式会社システム法人営業部部長)

  • 小松博明(有限責任あずさ監査法人東京IT監査部パートナー)

  • 佐藤創一(一般社団法人新経済連盟政策部長)

  • 佐藤帯刀(クラウド型電子署名サービス協議会協議会事務局)

  • 柴田孝一(セイコーソリューションズ株式会社DXサービス企画統括部担当部長 兼 トラストサービス推進フォーラム企画運営部会部会長)

  • 島岡政基(セコム株式会社IS研究所主任研究員)

  • 袖山喜久造(SKJ総合税理士事務所所長)

  • 豊島一清(DigitalBCG Japan Managing Director)

  • 中須祐二(SAPジャパン株式会社政府渉外バイスプレジデント)

  • 中武浩史(Global Legal Entity Identifier Foundation (GLEIF) 日本オフィス代表)

  • 西山晃(電子認証局会議特別会員(フューチャー・トラスト・ラボ 代表))

  • 野崎英司(金融庁監督局総務課長)

  • 三澤伴暁(PwCあらた有限責任監査法人パートナー)

  • 山内徹(一般財団法人日本情報経済社会推進協会常務理事・デジタルトラスト評価センター長)

  • 若目田光生(一般社団法人日本経済団体連合会デジタルエコノミー推進委員会企画部会データ戦略WG主査)

デジタル庁(事務局)

  • デジタル社会共通機能グループ 楠正憲グループ長、犬童周作グループ次長 他

議事要旨

  • 事務局より資料1-1「前回会合の主なポイント」資料1-2「トラストサービスに関するヒアリング・アンケート実態調査の状況報告」について説明。

  • 外部有識者よりDXにおけるトラストサービスのニーズや課題を資料2「eシール政策の検討状況と今後の課題・ニーズ」、資料3「三井住友銀行で展開中の融資電子契約サービスについて」、資料4「電子印鑑の歴史と電子契約におけるその役割について」、資料5 「電子契約の有効性について」にて、プレゼンテーション。

  • 自由討議において、主に以下の発言。

  • 資料1-2について、アンケートでは、中小企業の声がきちんと拾えるよう、何らか補完していただきたい。

  • 資料1-2について、どのようなレベルのトラストサービスを想定されているのかクリアになるとよい。

  • 資料1-2の22ページ目について、3割のデジタル化を行いたい(トラストサービスの潜在ユーザ)と考えている以外の割合の回答ついて、「どちらとも言えない」もしくは 「デジタル化したくない」と回答した割合が分かるとよい。

  • 資料1-2の8ページ目について、トランザクションの正当性については、実際にユースケースを考える際のポイントになる観点と言える。

  • 資料2について、eシールの普及においては使いやすさが重要であるところ、レベル1、2の検討の経緯についてご教示いただきたい、また、eシールを大量に発行するとなると、委任・代理が重要になるところ、議論の深掘があればご教示いただきたい。

  • レベルについて、三文判レベルがレベル1、認印レベルのものがレベル2、実印総統がレベル3というイメージ。レベル1は、改ざんされていないことが証明できるレベルで、技術的なところは決めていない。レベル1は、普及を阻害しないことが制度設計上担保できればいいのではないのかと議論になっている。委任関係については、基本的にeシールの発行申請は代表者で、秘密鍵の管理については発行を受けた人の管理に委ねること十分ではないかというのが総務省の検討会での結論。

  • 代表者にオペレーションをさせるというのは、特に大企業になればなるほどやりにくいという課題意識がある。

  • 資料2について、eシールをサーバーサイドのスケーリングで使いたいときに、同じ証明書をコピーするのでデライブド・クレデンシャルが非常に重要になるが、この辺りの検討はされたか。

  • サーバーに入れるのであれば、支店ごとに認証局側が別の秘密鍵を用いた電子証明書を発行すべきというのが基本的考え。サーバーにインストールした秘密鍵について、サーバーで共通の電子証明書を使いたいとすると、受け取った側からは訳が分からなくなる。認証局側からはセキュリティ上望ましくないと顧客に伝えるようにするが、秘密鍵をルーズに管理した結果第三者に勝手に使われたら、それは管理者の責任という仕立てにするしかないというのがこの検討会での結論。

  • 英国のオープンバンキングでは、認証局から発行されたローキーをハードウエアが生成し、それに対して署名をし、ローテーションしながら使うことが想定された。このような設計が制度的に許容される形とし、技術的な阻害要因にならないようにということは非常に重要。

  • デライブド・クレデンシャルの話は、各トラストサービスの基準の話だけではなく、オンラインで本人確認をする際の方法、例えば、あらかじめ発行者鍵を使った本人確認が認められるかどうか等の検討が重要なところになってくるのではないか。

  • 資料3について、契約プロセスでは、認定認証業務の電子証明書が使われて、それに基づく電子証明書を利用している場合、UX上の課題はないのか。

  • 我々のサービスでは認定認証業務相当の特定認証を使っている。UX側の課題として、使い勝手に特段影響はないと認識している。

  • 三井住友銀行のサービスでは、個人を対象とした電子署名サービスは提供しているのか。電子契約者について、本人確認を、管理者から手渡されたICカードと初期暗証番号を交付することで担保しているようだが、管理者について、どのように本人確認を担保しているのか。

  • 個人に対しては、個人事業主向けにサービスを提供している。管理者へのICカード送付フローは、バリュードアというサービスに登録した管理者が、電子契約サービスの管理者も兼用になっており、その方にお送りする形になる。

  • トランザクションの信頼性に電子証明を使う場合に、エンド・ツー・エンドでプロセスの分析をしていってという観点は非常に重要。

  • 国際間取引をする際に、企業内、法人内のトラストチェーン表現の国際的取決めが揃っていることが重要ではないか。

  • 我々のサービスは、バリュードアが日本国内で使用する形になっていて、現況は電子契約サービスも日本国内のみという形。海外支店から、何か併せて使いたいといったニーズは今のところはないが、海外のところに私どもの電子契約サービスが知られているかという問題ある。

  • 資料4の22ページ目について、表示画面だけでどちらが受け入れやすいかというのはミスリーディングになる可能性がある。一方、トラストサービスにおいて、技術的な検証 結果をいかに分かりやすくユーザーに表示するかは議論する必要がある。24ページ目について、当事者型の署名においては、特定認証業務や認定認証業務があり、利用者と署名 を紐づける信頼性を保証できる枠組みがある一方、立会人型署名及びNFT印鑑においては、誰が利用者と印鑑を紐づけ、どのように紐づけ作業の信頼性を保証することができるのか。当事者型と立会人型署名では、達成できる保証レベルに違いがある。トラストサービスの保証レベルという観点から、立会人型署名をきちんと位置づける必要がある。多くの企業内業務プロセスで今回の方式が適当であるという点については同意する。

  • 表面的なインターフェースの分かりやすさと、バックエンドでの技術的なセキュリティを併せ持った形で初めてトラストサービスが普及していくのではないか。立会人型署名とNFTを合わせた形の本人認証については、仕組みを開発中であるため深く申し上げられないが、本人認証についてはブロックチェーンで信頼性を担保することを考えている。

  • 資料4の12ページ目で、実印が役所に対する信頼を証明してくれるという記述については、実際に書類を渡すプロセス・提出プロセスへの信頼が含まれていると思料するため、この辺りの整理をした方がよい。どうやって新しい概念の認知を社会に受け入れてもらえるか。

  • 実印の本人性の部分は、若干スキップして説明した。インターフェースについては、長く電子印鑑のサービスを提供し続けている中で、取引の中では印章が会社の中の規定に入り込んでおり、運用自体を変えづらいという側面がある。新たな技術が出てきても、社内の制度設計をするまでの時間や、会社の一人一人への浸透にコストと労力がかかる。これらを飛び越える手段として、使い慣れたインターフェースを使うのは有効。

  • 資料5の4ページについて、レベル分けに合わせた基準が必要。電子証明書の発行については認定認証業務、タイムスタンプについては総務省告示で事業者の認定基準を定めている一方、リモート署名や立会人型署名については、サービス側の安全性について明確な 基準がなく、事業者署名型について認定や適合性監査ができていない。また、特定認証業務の定義として、本人の身元確認、施設管理、暗号装置等の機器の基準は規定されていない。判例も基準もない状態では、利用者や裁判官は判断に迷う。本当に安全性を担保しているかわからない事業者が横行すると、普及を妨げるおそれもある。

  • 2段の推定での、推定の1段目について、事業者署名型の場合はどう考えるのか検討を要する。現在の事業者署名型の場合、電子文書に付されているデータから、本人を確認してアップしたものに事業者が署名する、この一連の手続を直ちに推認することは難しい。サービス事業者がそのプロセスをきっちりやっているという基準を考えていく必要がある。現在、外国では、欧州のeIDAS、国連のUNCITRAL、商取引のパネルで、電子署名等に関するモデル法が検討されているところ、我が国が諸外国と相互利用していく場合について、現在の法制でうまく相互に対応が取れるのか。特に事業者署名型を、国際間通用性の枠組みでどうお考えになるか。

  • 特に事業者署名型のうち当事者指示型のサービスが2条1項Q&Aとか3条Q&Aの要件に合致したものであるのかの検証は、2条1項Q&Aと3条Q&Aでどういう場合に要件を満たされるかのガイドラインはできているので、あとは当てはめの問題である。当てはめについて、必ずしも認証制度までなくても、それぞれの電子契約プラットフォームを提供している事業者が法律事務所に検証してもらい、法律意見書のような形で要件に合致しているというものを取っていれば、裁判との関係では十分使えるものになるのではないか。

  • 2段推定については、基本的な考え方としては、作成名義人の電子署名がその者の秘密鍵によって生成されたことが検証されれば、名義人の意思に基づくものと事実上推定される。これは判例はないが、実務家の方は大体コンセンサスを得られる。ここまで行けば、電子署名法3条の推定ということになる。問題は、電子契約プラットフォームのような事業者署名型で当事者指示型のものについて、これに当たるためにはどうすればいいかとい うことについて、3条Q&Aで、固有性を有すると評価できることが必要だというガイドラ インを出したという点であると理解をしている。あとは、この要件を満たしているかどうかについて、それぞれ検証が必要になってくるかと思うが、ここは認定制度のようなものにしなければならないわけでは必ずしもなく、具体的な状況の下での当てはめの話であるので、法律事務所などでオピニオンを取得していれば、それが一定の支えになると考えている。

  • 国際的な通用力は、基本的にはUNCITRALなどとの関係でも、書面におけるのと同等程6度の成立の真正が担保される状況であれば、書面による契約と同等の効果が担保されることになるのだろうと思っているが、そこのところまでまだ検討し切れていないため、今後の課題と考えている。

  • 3条Q&Aでは、十分な水準の固有性が満たされると、極めて抽象的な言い方をしているため、もう少し詳細に書かないと、見解がばらばらになってしまうのではないかと懸念。

  • 固有性の部分は少なくとも二要素認証みたいな形で当人認証がされているというレベルがあればいいというのが、今示されているものかとは思うが、十分なレベルの固有性があることをもう少し例示をしておいたほうがいいというのは私も同感。

  • 最終的に私はオーソリティーに相当するところのレベルを持つ、例えば、IDだけ流れているとき、そのIDがどのレベルなのか、クレデンシャルが一体どういうオーソリティーから発行されたレベルなのかが、ポイントだと考える。電子契約のサービサーが一体 どういうサービスレベルで提供しているのか。個人情報の扱い、ファシリティーの管理など色々な要素が入ってくるので、単にプロセスだけの議論ではないと思っている。

  • この辺は今後、それをどういう形で我が国の中で定着させていくのかということを議論させていただきたい。

  • 会議資料は、デジタル庁ウェブサイトにてこの後公表させて頂くこと、追加の意見及び質問は事務局まで連絡の上、事務局で今後の運営の参考とすること、議事要旨は、構成員の皆様に内容を確認いただいた後に公表させて頂くこと等を事務局より説明。

  • 次回のサブワーキンググループの会合は、12月27日14時よりオンライン開催予定であることを事務局より説明。

以上