eIDAS規則(Electronic Identification and Trust Services Regulation)とは、EU全域への電子署名法の拡大を目的として、2016年7月1日に施行された標準規則です。ここで規定される内容は、あらゆる国内法に優先し全EU加盟国に対して強制的に適用されます。
eIDAS規則は、先に発出されていた電子署名に関する指令(eSignature Directive)を置き換えるもので、新たにトラストサービスの提供要件と範囲も定められました。
<電子署名指令(eSignature Directive)からeIDAS規則(eIDAS Regulation)への移行>
<eIDAS規則の主な特徴>
- 1. トラストサービスの法制化
- 2. 監督機関、非適格事業者の権限の策定
- 3. 適格トラストサービス事業者(Q-TSP)の要求事項と定義
- 4. リモート署名(署名者に代わって事業者が署名を行う)を認める規定
- 5. 適格電子署名生成装置の認証とリスト化の規定
新たに定義されたトラストサービス
eIDAS規則で初めてトラストサービスが詳細に定義されたことによって、各サービスの法的な意味も明確化されました。
<トラストサービスの定義>
(a) 電子署名、電子シール、又は電子タイムスタンプ、電子登録配布サービス及びこれらのサービスに関連する証明書の生成、検証、照合
(原文:the creation, verification, and validation of electronic signatures, electronic seals or electronic time stamps, electronic registered delivery services and certificates related to those services)
(b) ウェブサイト認証の為の証明書の生成、検証、照合
(原文:the creation, verification and validation of certificates for website authentication)
(c) (a)(b)のサービスに関連する電子署名、電子シール、又は電子証明書の保存
(原文:the preservation of electronic signatures, seals or certificates related to those services)
<現在主に利用されているトラストサービスの詳細>
- ・デジタル署名(e-signature)
- デジタル文書や意思表示を自然人が作成した事を証明するもので、タイムスタンプと組み合わせて使用されます。デジタル署名の証明書は検証データと自然人を関連付け、人物の氏名または仮名を確認できる物でなければなりません。そのため法的効力は強く、手書きの署名と同等とみなされます。
- ・eシール(e-seal)
- 主に法人が作成したデジタル文書やデータ等の起源と完全性を証明する電子署名で、ソフトウェア等も適用範囲に入ります。デジタル署名が主に自然人を対象とするのに比べて、eシールの証明書は、検証データと法人を関連付け、法人名称を確認できなければなりません。法的には紐づくデータ作成者とデータ内容の正確性を保証する効力を持ちます。
- ・タイムスタンプ
- 電子データが特定の時刻に存在し、改ざんされていない事を証明するものです。日付と時刻の正確性とそれに基づく存在証明ができ、有効期限の確認などに利用されます。法的に文書作成時刻についての信頼性を客観的に保証する役割を果たします。
その他、公的サービスやトラストサービスを利用するために本人同一性を保証する―電子本人認証(eID)、既存のウェブ認証に加え本人により認証が管理されている事を保証する―ウェブサイト認証(Website Authentication)、データの送受信証明やデータ送信の取扱いに関する証拠を提供する―eデリバリー(eDelivery)などがトラストサービスとして定義されています。
EUにおける電子署名の定義
eIDAS規則では3種類の電子署名を定義しています。
- ・電子署名:Electronic Signature
- eIDASの定義では、電子署名は「電子形式のデータに添付または論理的に紐付けられており、署名者が署名する時に使用される電子形式のデータ(原文:data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign)」と定義されており、あらゆる形での電子署名をカバーします。これには、実際の署名の画像や同意を求められるボタンをクリックする行為なども含まれます。
- ・高度電子署名:Advanced Electronic Signature
- 高度電子署名は、標準的な電子署名より高度に署名者の同一性とセキュリティ上の安全性を保障したもので、以下の要件を満たすことが義務付けられています。
(a) 署名者に一意に関連付けられること
(原文:it is uniquely linked to the signatory)(b) 署名者の特定に利用できること
(原文:it is capable of identifying the signatory)(c) 高い信頼の元、署名者本人のみの制御下でしか利用できない署名生成データを用いて生成されていること
(原文:it is created using electronic signature creation data that the signatory can, with a high level of confidence, use under his sole control)(d) 署名以降のいかなるデータの変更も検出が可能な方法で、署名当初のデータに関連付けられていること
(原文:it is linked to the data signed therewith in such a way that any subsequent change in the data is detectable) - ・適格電子署名:Qualified Electronic Signature
- 適格電子署名はeIDAS規則で定義される3種類の電子署名の中で最も法的効力の及ぶ範囲が広い電子署名であり、EU加盟国においては手書きの署名と法的に同等とみなされます。eIDAS規則では「適格電子署名生成装置によって生成され、電子証明書の為の適格証明書に基づいた高度電子署名(原文:an advanced electronic signature that is created by a qualified electronic signature creation device, and which is based on a qualified certificate for electronic signatures)」と定義されています。前述した高度電子署名の要件を満たし、さらに適格トラストサービスプロバイダーが発行した証明書によって署名者の同一性と署名の信頼性が保証されていなければなりません。法的効力が高い反面、署名者の認証が厳格に行われるため、扱いやすさが重視される一般的な利用シーンには向かない場合もあります。
海外の動向
近年のEU内でのトラストサービスの傾向としては、特に金融や不動産、会計(税務)の業務で利用されることが多く、B2Bを中心に利用が促進されています。トラストサービスプロバイダー(TSP)は主にフランス・ドイツ・イタリア・スペインが多い中、提供コストや利用メリットの周知、技術的・文化的な壁が依然として課題として各国間で残っています。
フランスやドイツでは、特に金融業界や不動産業界での電子署名利用が急速に浸透してきている他、弁護士や会計事務所などの書類の多い業務で広く利用されています。トレーサビリティの確保やコンプライアンス対応へのニーズが増えていることが背景に伺えます。
一方、イギリスでは公的サービスへのアクセスで主に利用されており、PSD2により金融等の特定領域での利用も拡大しつつあります。
※PSD2(EU Payment Services Directive II):欧州決済サービス指令(EU内での決済標準化)
日本の動向
日本政府が提唱する「Society5.0」の基盤となる、“データの完全性を確保する仕組み”として、近年タイムスタンプや電子シールなどのトラストサービスの公的枠組みの具体的な検討が始まっています。しかし、国内ではトラストサービスの提供やプロバイダ認定へのスキーム、法整備がまだ十分には進んでおらず、当面の課題としては以下の点が挙げられます。
- ・電子署名については法整備されているが最新技術への対応が遅れている
- ・タイムスタンプの運用には国のスキームや法整備が必要である
<トラストサービスに関する法制度の対象領域>
