デジタル庁

トラストを確保したDX推進サブワーキンググループ(第3回)

概要

  • 日時:令和3年12月27日(月)14時から15時30分まで

  • 場所:オンライン開催

  • 議事次第:

  1. 開会
  2. 議事
    (1)前回会合の主なポイント及び実態調査の状況報告(事務局)
    (2)構成員及び外部有識者からのプレゼンテーション
    ・橘 大地(クラウド型電子署名サービス協議会)
    ・中須 祐二(SAPジャパン株式会社)
    (3)自由討議
  3. 閉会

資料

参考資料

関連政策

議事概要

日時

令和3年12月27日(月)14時から15時45分まで

場所

オンライン開催

出席者

構成員

  • 太田洋(西村あさひ法律事務所パートナー弁護士)

  • 崎村夏彦(東京デジタルアイディアーズ株式会社主席研究員)

  • 佐古和恵(早稲田大学基幹理工学部情報理工学科教授)

  • 手塚悟(慶應義塾大学環境情報学部教授)【主査】

  • 濱口総志(慶應義塾大学SFC研究所上席所員)

  • 林達也(LocationMind株式会社取締役)

  • 宮内宏(宮内・水町IT法律事務所弁護士)

  • 宮村和谷(PwCあらた有限責任監査法人パートナー)

  • 高村信(総務省サイバーセキュリティ統括官付参事官)

  • 希代浩正(法務省民事局商事課補佐官)※代理出席

  • 佐藤秀紀(経済産業省商務情報政策局サイバーセキュリティ課企画官)※代理出席

オブザーバー

  • 伊地知理(一般財団法人日本データ通信協会情報通信セキュリティ本部タイムビジネス認定センター長)

  • 井高貴之(厚生労働省医政局研究開発振興課医療情報技術参与)※代理出席

  • 太田大州(デジタルトラスト協議会渉外部会長)

  • 小川博久(日本トラストテクノロジー協議会運営委員長 兼 株式会社三菱総合研究所デジタル・イノベーション本部サイバー・セキュリティ戦略グループ主任研究員)

  • 小川幹夫(全国銀行協会事務・決済システム部長)

  • 小倉隆幸(シヤチハタ株式会社システム法人営業部部長)

  • 小松博明(有限責任あずさ監査法人東京IT監査部パートナー)

  • 佐藤創一(一般社団法人新経済連盟政策部長)

  • 佐藤帯刀(クラウド型電子署名サービス協議会協議会事務局)

  • 柴田孝一(セイコーソリューションズ株式会社DXサービス企画統括部担当部長 兼 トラストサービス推進フォーラム企画運営部会部会長)

  • 島井健一郎(厚生労働省医政局研究開発振興課医療情報技術推進室室長補佐)※代理出席

  • 島岡政基(セコム株式会社IS研究所主任研究員)

  • 袖山喜久造(SKJ総合税理士事務所所長)

  • 豊島一清(DigitalBCG Japan Managing Director)

  • 中須祐二(SAPジャパン株式会社政府渉外バイスプレジデント)

  • 中武浩史(Global Legal Entity Identifier Foundation (GLEIF) 日本オフィス代表)

  • 西山晃(電子認証局会議特別会員(フューチャー・トラスト・ラボ 代表))

  • 野崎英司(金融庁監督局総務課長)

  • 三澤伴暁(PwCあらた有限責任監査法人パートナー)

  • 山内徹(一般財団法人日本情報経済社会推進協会常務理事・デジタルトラスト評価センター長)

  • 若目田光生(一般社団法人日本経済団体連合会デジタルエコノミー推進委員会企画部会データ戦略WG主査)

デジタル庁(事務局)

  • デジタル社会共通機能グループ 楠正憲グループ長、犬童周作グループ次長 他

議事要旨

  • 事務局より、資料1-1「事務局説明資料」、資料1-2「海外におけるトラストサービス活用事例(エストニアの電子処方箋サービスについて)」、資料1-3「トラストサービスに関するアンケート実態調査の報告」について説明。

  • 外部有識者よりDXにおけるトラストサービスのニーズや課題を資料2「「デジタル原則」を支えるクラウド型電子署名サービス普及促進の必要性」、資料3「SAPが認識するトラストサービスの現状と課題」についてプレゼンテーション。

  • 自由討議において、主に以下の発言。

  • 国際送金、貿易取引、為替取引において、アンチマネーロンダリングでは、送金の際、実質的受取の受益者や支配者に至るまで、厳密な確認が求められていることから、スクリーニングに相当の人手やシステムを投資している。輸出入取引では、船積み港、経由の船積み地、荷揚港、納品場所、企業業種、輸入目的等、相当な厳しさの申告が求められている。法人登記を後ろ楯としたデジタル証明書がプロセスの効率化や国際的な信用確保に果たす役割は大きい。
    eシールの欧州PoCでは、国際相互認証に向けた枠組みの検証で行っている。貿易や金融取引以外の分野でも、デジタル証明書を用いた枠組みでリモート契約サイン法等の法律の裏づけもある中で、安心してeシールの利用が進められている中、日本はまだeシールの法的な裏づけが明確になっていない。SDG、環境、人権の枠組みでも、国際的に認証されたトレーサビリティーの確保が求められているので、しっかした枠組みの整備が今必要とされているのではないかと強く感じている。

  • 資料3について、「3種類の電子署名を定義」の部分に「標準電子署名(Standard)」とあるが、単なる電子証明書(Simple)という表現が正しいのではないか。今後の議論に影響するため、eIDAS上正しい表現に修正をお願いしたい。(※後日、発表者より資料を修正)

  • 電子契約と電子署名の関係においては、SAPの電子契約システムというトラストアプリケーションサービスの中で電子署名というトラストサービスを使っているという整理になる。電子契約のシステムの中で複数の電子署名を選択することも可能であるため、トラストサービスとトラストアプリケーションサービスを分けて考えていくことが重要。

  • 資料3について、電子署名の安全性がまだ浸透していないという話があったが、ハンコでも偽造可能なので、電子署名は安全なのかと聞かれると、ハンコに比べたら非常に安全だと考えている。こういう意識も浸透させていく必要があるのではないか。

  • 政府の電子署名法第3条Q&Aの中で示されたプロセスの固有性について、クラウド型電子署名の内部プロセスの固有性について、クラウド型電子署名サービス協議会ではどのように考えられているのかご教示いただきたい。電子署名法の認定認証事業者には、かなり厳格な固有性の水準が示されているが、クラウド型電子署名では、それぞれでどういう水準の固有性を確保しようとしているのか。クラウド型電子署名は、いわゆるアシュアランスレベルで、今のところ、IAL1、AAL2ぐらいのレベルとなっているようだが、今後IAL、AALの水準を公表していくことは考えられているのか。

  • クラウド型電子署名サービス協議会において、電子署名法第3条のQ&Aの固有性レベルについて議論中。統一的な見解を今後話し合っていかなければいけないと認識しており、議論ができた段階で正式に回答させていただく。

  • KYCやAMLなどの犯収法対応での本人確認においてデジタル完結において、たくさん電子化の余地があるものの、トラストサービスのみではカバーできない課題もある。欧州との対話の中で気づいた課題や取組についてご教示願いたい。

  • いわゆる実質支配者の確認は容易ではない、金融機関では、相当な体力をかけて電話をしたり、ものを送ったりして、確認をしている。グローバルで標準化した確認する仕組みができていない。まずは信用できるところに登録されているかが第一段で、そこから先の資本関係等は、別途レベルを分けて確認を取っていくしかない。海外では、GLEIFのLEIについて、海外版の法人のマイナンバーだが、eKYCとの連携できないかという話を始めた。別途、SWIFTという金融機関同士の通信を取り仕切る団体では、eKYCをやろうという話が進んでいる。日本でも、この人は間違いなく法人登記されているということが分かる仕組みや大事、それが海外からも見えるという仕組みが大事。

  • 資料の1-2について、電子処方箋は、医療情報であり、重大な個人情報を扱うサービスであるため、トラストポリシーが整備され、法律で認められているトラストサービスや、マイナンバーカード相当、公的個人認証相当のeIDによる認証を使ったサービスの実装例、運用例ということで、高いアシュアランスレベルが求められる領域において、我が国でも目指すべき方向と考える。

  • 資料2について、当事者署名型のユーザーの支持が広がっていないという説明の中で、認定認証業務の証明書の発行枚数を根拠として示しているが、当事者署名型には認定認証業務以外の当事者署名型があるので、認定認証業務が普及していない、イコール、当事者署名型が普及していないという解釈はミスリードになる。
    5ページ目の円グラフの調査のエビデンスを教えていただきたい。クラウド型電子署名サービス協議会の企業が顧客に対して行ったアンケート結果が根拠だと考えるが、貴団体のアンケートに基づいたグラフは、クラウド型電子署名サービス事業者がその顧客に対して行ったアンケート結果だということを差し引いて考える必要がある。
    7ページ目について、ドキュサインの売上合計を示しているが、ドキュサインのサービスの中にも、立会人型電子署名、立会人型デジタル署名、当事者型デジタル署名と複数サービスがあるということが分かっているところ、当事者型のサービスを抜いた事業者型のサービスのみが増えているという形で整理されているのか。立会人型の電子署名の中にも、立会人型の電子署名サービスと立会人型のデジタル署名サービスがあるが、クラウド型電子署名サービス協議会で検討されている立会人型の署名サービスというのは、立会人型の電子署名なのか、立会人型のデジタル署名なのかをお示しいただき、「ちょうどよいトラスト」の普及という説明について、どういったアプリケーションに対してちょうどよいとお考えなのかというところをお聞かせいただきたい。

  • 「ちょうどよい」というのは、ユーザーの選択肢が重要だと考えている。資料2の8ページ目の4~8をUI/UXと安全性がバランスした「ちょうどよいトラスト」と考えている。立会人型のデジタル署名、立会人型の電子署名の両方を選択肢とし、どれかに一律にではなく、4~8以外にも今後サービスが出てくるものかと考える。

  • トラストでは、実は安全よりも安心の部分が大きい。慣習的な形で完全に危殆化しているとしか思えないようなハンコをトラストしている理由は、お上の文書にもともとハンコがあったものというのが流れで慣習化しているというのも大きい。資料1-2の12ページを見て衝撃を受けたが、交付文書のデジタル化が極めて低い。オンライン化予定まで入れて5%というのは良くない。まずは、行政の民間への交付文書のオンライン化比率を大幅に引き上げ、オンラインや電子的なトラストを親しみ深くしていくのが重要。行政組織の中でプロセスも含めて自分で決めればできることなので、急速にやっていただきたい。

  • 行政から民間への処分通知/交付等の進展が限定的という点について、官職証明書を用いたPDF文書へのGPKIの官職証明を付与しての行政文書の電子交付の取組を進めている。例えば、デジタル庁が創設されてから、電子署名法の認定認証事業者の認定にあたっては、PDFにGPKIの官職証明書を付して電子交付する取組を進めるために、認定書を電子交付に基本的に移行している。このような形でGPKIを付して電子交付するということを今後取組として広げていければと考えている。

  • ぜひ強力かつ急速にお進めいただきたい。このような行政からのトラストサービスの利用が、トラストの形成に非常に大きな意味を持つ。

  • 資料1-2の2ページ目、エストニアでの電子処方箋サービスについて、IDカードよる本人確認という限定でよいのか。処方箋を電子化したときの処方箋の使い回しがされる危険について、エストニアの場合はどうしているのか。
    5ページ目で、この仕組みだと、病院がアクセスしているデータベースから薬局がアクセスしているデータベースへは到達するようだが、受領されたかどうかは確認できるのか。

  • 詳しい点は追加リサーチが必要になるが、現状考えられることとして、1つ目は、来ている方が処方する方であるというところを認証するという行為となるため、基本的には本人認証はIDカードで行っているという理解。処方箋使い回しへの対応については、基本的には薬局にて本人認証をもって薬を処方したという証跡をデータベースに残しているので、それによって1つの処方で多重の薬の処方を防止している形だと推察。
    データベースについては、健康保険基金のデータベースに対して、信頼に足る医療機関が処方箋の発行情報を自分が投げたということをeシールを添付して送り、健康保険基金のデータベースに対して記録される際に、正しくタイムスタンプとして時間が管理されて送られる、そこの送達者の保証と送達時間の保証はしっかりトラストサービスを使って記録がなされていると推察。

  • 欧米でのトラストサービス普及の取組を紹介する際に、その理由が制度的裏づけがあるからなのか、契約や請求という概念を個々のプレーヤーが理解しているから自然と回っているのかを分けて議論する必要がある。何でも制度を作ってしまうと、一度作った制度は問題がない限りはそう簡単に直せないので制度が硬直化するリスクがある。制度でやるのか、商慣習としてやるべきかという部分を見据えて議論いただきたい。

  • 双方を併せ持って議論を進めるべき。欧州の場合は、ある程度先を見据えて、市場を取るために強制力を持ってやるところもあるので、やはり政府調達から先行してトラストサービスの利用をやるようにして、普及も一緒に考える政策を取ることも併せ持って考える必要がある。

  • 資料1-2のエストニアの電子処方箋に関して、処方箋の発行依頼のところで、患者が病院で問診又はメールやラインで医師に連絡とあるが、患者本人の確認を取っていないとすると、医者が薬を渡すときにeIDで本人確認されるため、違う人に薬が行ってしまうことはないと思うが、最初の発行依頼のところで患者本人の本人確認がないと、誰も受け取れない処方箋を発行することがあり得るのではないか。

  • 細かい話になるので、そこまで調査できていないが、電子化を推進していく中では、そこで本人確認を厳密に行うことでサービスの利便性が下がること考え、合理的な形を取っているのと推察。

  • 会議資料は、デジタル庁ウェブサイトにてこの後公表させて頂くこと、追加の意見及び質問は事務局まで連絡の上、事務局で今後の運営の参考とすること、議事要旨は、構成員の皆様に内容を確認いただいた後に公表させて頂くこと等を事務局より説明。

  • 次回のサブワーキンググループの会合は、令和4年1月25日16時30よりオンライン開催予定であることを事務局より説明。

以上