2 EC に関わる法的問題についてのヒアリング結果
2.3 ヒアリング内容詳細
2.3.10 財団法人日本品質保証機構
2.3.10 財団法人日本品質保証機構
③ 確認方法
現在では、本人の真偽確認方法として以下の方法を取っている。
l 住民票の写し、戸籍謄抄本など本人の実在性を示す公的証明書の提出 l 旅券、運転免許証等の写真付き公的証明書の提示
l 電子証明書の発行申込書に押印された印鑑の印影と印鑑登録証明書で証明さ れている印影との照合
l 本人限定受取郵便の受領書(郵便局での受取で本人確認する証明書は郵便局が 指定)
l (電子署名発行後、)本人によってなされた電子署名と電子証明書との検証
上記以外で、バイオメトリクスによる本人の真偽確認等も考えられるが、あらか じめデータをどこかに登録しておく必要があり、本人の真偽確認方法としては有効 と思われるが、国が実施することに対しては反発が大きいと思われる。また、バイ オメトリクスによる認証の場合、1つの方式だけでは技術的な問題だけでなくハンデ ィキャップ等により派生する問題も生じるため、考慮が必要となる。
今後公的個人認証が広まれば、それを電子署名法による本人の真偽確認方法に加 えることは可能となるであろう。
④ 本人の真偽確認情報の保存
電子署名法では、本人の真偽確認情報の保存として、パスポート、運転免許証等 写真付のものは提示されたもののコピー(保険証は対象外)、写真のない公的証明書
(住民票の写し、印鑑登録証明書)等は提出された原本を10年保管することになっ ている。
⑤ 電子証明書の内容について
電子証明書の用途としては、プライベートシーンでは電子メールの証明(名前の 確認)も考えられるが、ビジネスシーンでの利用が主となると思われる。実際のビ ジネスで利用する場合には上記 3 点(氏名、住所、生年月日)の情報だけでは実用 が難しい。例えば、電子入札システムでは、3 点+企業名+代表者名(責任者)の情 報を記載して入札に利用されている。この他にも取引のバリエーションにより、記 載される属性情報は多様に考えられるが、電子署名法では、企業名等については認 定の対象外であり、認定対象外の証明書記載内容については取引当事者が責任をも つことになる。なお、電子署名法では、その他記載情報のフォーマットに対する規 定はないが、実際には電子証明書の標準仕様である X.509 に準拠した形で発行され ている。
氏名等の標記については、外国人の場合等は日本での通称を利用することができ
る。現在は、日本人も基本部分への氏名記載はローマ字である。平成 15年12月31 日より電子証明書の基本部分に漢字を使用できるようになる。これについて、住民 票の写し当に記載されている文字と 1 字1句同じ文字を使用しなければならないと いう規定はない。
⑥ 個人情報保護等に関して
認定事業者の個人情報管理に関する規定としては、利用申込者に対し「電子証明 書に記載される」旨を明示し承認を得る義務がある。また、利用者署名符号(秘密 鍵)等の秘密情報について、電子証明書発行のために一時的にコンピュータに蓄積 された情報を確実に削除する旨も規定されている。
⑦ 認定の申請状況
申請は、e-Japan計画に呼応してBtoG市場を念頭においた電子入札システム、電
子申請システムや事業者の受発注システムがらみの申請が多くなっている。ただ、
認証関係者としては、本来利用が望まれる BtoB、BtoC 市場において今後拡大する ことを期待している。
⑧ 法的課題
前述のように BtoB、BtoC 場面においての利用促進を図るためには、電子署名法 による推定項だけではなく、電子証明書の有効期限が過ぎた後どのようになるのか といった、長期保存に関する問題を明確にしていく必要があると思われる。
また、署名利用者(電子証明書所有者)と電子署名を送られた側(検証者)との 間で電子署名の真偽に関わる問題等が発生した場合、電子証明書を発行した認証局 が負う責任や損害賠償等の対応についても、不明確な部分は残っている。電子署名 法では、認証局の認証業務運用規定(CPS:Certification Practice Statement)等 を検証者にわかりやすく見せる義務は規定されているが、実際にはCPSを確実に検 証者が見たと確認できるような仕組みにならない限り、検証者に対するCPS等の有 効性そのものに疑問が残ってしまう。また、利用者への損害賠償についても、電子 署名法では制限がある場合のみ記述しなくてはならないという記述に留まっており、
認証局と利用者の責任分担のあり方についても今後さらに議論する必要がある。
さらに、電子署名法では利用者側の環境については何も規定していないので、利 用者署名符号(秘密鍵)の流出、漏洩、盗難等に対する利用者側の対応についても 検討が必要であろう。
2.3.11 情報処理振興事業協会セキュリティセンター