2016年7月に施行されたeIDAS規則(eIDAS1.0)は4年を経て、欧州委員会がeIDAS1.0の問題と課題を整理し、2021年6月にeIDAS2.0を提案しました。
eIDAS1.0に関する解説はこちら「eIDAS規則(Electronic Identification and Trust Services Regulation)とは」
eIDAS1.0は新しい市場ニーズに対応することができておらず、その主な原因は、公共サービスでの受け入れ範囲が限定的であること、民間企業のシステム接続が複雑であること、すべてのEU加盟国で通知されたeIDソリューションを十分に利用できないこと、結果としてさまざまなユースケースをサポートするための柔軟性が不足している、という分析結果が出ています。さらに、eIDAS範囲外のIDソリューションではプライバシーとデータ保護の懸念を引き起こす、という問題提起もしています。これらに対処すべくeIDAS2.0が存在します。
改定内容は、EU Digital Identity Wallet(EUDIW)、トラストサービスの拡充、ブラウザ対応、下位規則の整備、となります。欧州委員会は2024年6月までに各国で施行されることを目指すとしています。
ここではEUDIWとトラストサービスの拡充について取り上げます。
EU Digital Identity Wallet(EUDIW)
インパクトの大きなところとしては、EUDIWではないでしょうか。希望するすべての欧州市民がEU域内どこでも利用可能なeIDを持つことが可能となります。これはデジタルウォレットで実現されるもので、政府機関や民間企業で提供されるモバイルアプリやクラウドなどを使ったサービスにおいて、個人が自分の情報を安全に要求・取得・保存し、オンラインサービスにアクセスして自分に関するデータを共有し、文書に電子署名を行うことができるようになります。
昨今問題視されている中央集権的なWeb2.0の世界から分散型のWeb3.0の世界へと歩みを進めているとおり、個人がデータを所有し、安全にそして安心してサービスを利用できる自己主権型(Self-sovereign identity)であること、サービス提供側は安全安心に加えて利便性も追求したグローバルで相互運用可能なサービスを提供していくことが求められます。
EUDIWでは、eIDAS規則で定義している3種類の電子署名のうち、最も法的効力のおよぶ範囲が広い適格電子署名(QES:Qualified Electronic Signature)をサポートします。
eIDのアシュアランスレベルについては、Low、Substantial、Highの3段階のうちHighとされています。顔写真などの生体情報を含む本人確認書類の所持を確認し、その書類の有効性を確認すること、二要素認証に加えて耐タンパ性の機能を持たせること、認証メカニズムにおいて情報セキュリティ国際評価基準Common Criteria(CC)の保証レベル4+(EVL4+)を取得していること、となっています。
eIDAS2.0に基づいた欧州eIDフレームワークを提供することで、80%の欧州市民がeIDソリューションを使用し、2030年までに主要な公共サービスを利用できることを目指す野心的な目標は、多くの関心と注目が集まっています。基本的な機能を持つウォレットの提供だけでなく、便利な機能を追加してさまざまなユースケースに対応していくことや、民間企業にとってEUDIWやクレデンシャルの仕組みに対応していくコストをいかに収益へと転換させていくか、個人対政府機関/民間企業の本人確認に加えて個人対個人へと発展させていくことができるか、などさらなるイノベーションの推進が期待されます。
当社サイバーウェアでは、適格電子署名(QES:Qualified Electronic Signature)相当の機能を持つウォレットアプリの実装検証を行う予定です。
トラストサービスの拡充
eIDAS1.0で定義されたトラストサービスに加え、eIDAS2.0では電子アーカイブ・電子台帳・属性の電子証明・リモート署名生成装置の管理が加わりました。
– eIDAS1.0 –
・デジタル署名(e-Signature)
・eシール(e-Seal)
・タイムスタンプ(time stamp)
・電子本人認証(eID)
・ウェブサイト認証(Website Authentication)
・eデリバリー(eDelivery)
– eIDAS2.0 –
・電子アーカイブ(e-Archive)
・電子台帳(e-Ledger)
・属性の電子証明(e-Attestation of Attribute)
・リモート署名/シール生成装置の管理(the management of remote eSignature/eSeal creation devices)
- ・電子アーカイブ(e-Archive)
- 保存期間を通して電子データや文書の完全性、出所の正確性を担保するために、それらの受信、保管、削除、送信を保証する仕組みです。特にオンライン署名された電子文書を継続的に保証していくためには重要な要素であるため、eIDAS2.0で追加されました。適格トラストサービスプロバイダ(QTSP)のみが適格サービスの提供が可能とされています。
- ・電子台帳(e-Ledger)
- トランザクションとデータレコードの順序付けのための証拠と監査追跡をユーザに提供し、データの整合性を保護するものです。EU域内で単一のフレームワークを定義することで、国を跨いだ適格な電子台帳の運用が可能となります。データの整合性を追求することは、自己主権型(Self-sovereign identity)ソリューションや分散化されたデータ利用、デジタル資産に所有権を帰属させる場合などに非常に重要です。
- ・属性の電子証明(e-Attestation of Attribute)
- 属性の認証を許可する電子形式の証明を意味します。属性の電子証明書を紙の証明書と同等のものとして使用することができ、紙の形式で合法的に発行された証明書と同等の法的効力を持つことが保証されます。
– 適格電子属性証明に含む必要がある情報 –
1. 住所(Address)
2. 年齢(Age)
3. 性別(Gender)
4. 民法上の身分(Civil status)
5. 家族構成(Family composition)
6. 国籍(Nationality)
7. 学歴、肩書とライセンス(Educational qualifications, titles and licenses)
8. 専門的な資格、肩書とライセンス(Professional qualifications, titles and licenses)
9. 公的な資格とライセンス(Public permits and licenses)
10. 財務および企業情報(Financial and company data)
- ・リモート署名/シール生成装置の管理(the management of remote eSignature /eSeal creation devices)
- 遠隔適格電子署名・eシールデバイスは、署名者のための電子署名データや署名者に代わって電子署名作成データを生成、管理、複製する機能です。これらのデバイスを管理するための仕組みは、セキュリティの統一性や法的な確実性など、トラストサービスの提供に関して全体的な規制や管理を強化する枠組みとなります。
当社サイバーウェアは、リモーと署名の実装を包括した「eIDAS関連技術支援」を提供しております。
日本の動向
現在、日本ではデジタル庁の「トラストを確保したDX推進サブワーキンググループ」で、トラストニーズや導入課題の洗い出し、トラストサービスのあり方について議論が進められています。EUがEUDIWのグローバルで相互運用可能なサービスとしていくことを視野に入れているように、日本でもDigital Identity Wallet(DIW)について継続的に検討していくべきとしています。また、タイムスタンプは国による認定制度に基づいた運用がスタートしていますが、eシールについては民間サービスの適合性評価を行うための制度整備に向けた準備段階と言えます。
2022年5月に日EUデジタルパートナーシップが立ち上げられ、双方でトラストサービスの相互運用性に向けた取り組みが定められました。国境を越えたDFFTや相互運用可能なトラストサービスは、市場拡大に寄与するとともに、新たなイノベーションにつながるため、今後の具体的な活動が期待されます。
※参考情報
JIPDEC eIDAS2.0 – eIDAS規則の改正案の解説-
デジタル庁 トラストを確保したDX推進サブワーキンググループ報告書
日EUデジタルパートナーシップ
European Digital Identity Architecture and Reference Framework
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL