経済産業省
文字サイズ変更

電子署名法研究会(平成26年度第1回)‐議事要旨

日時:平成26年10月3日(金曜日)10時10分~12時45分
場所:経済産業省商務情報政策局第1会議室(本館4F)

出席者(敬称略)

構成員
手塚委員、小田嶋委員、竹内委員、中村委員、長尾委員、西山委員、早貸委員、松本委員、南委員、宮内委員

配布資料

  • 資料1 平成26年度電子署名法研究会開催要綱(案)
  • 資料2 議事の公開について(案)
  • 資料3 調査項目に対するアンケート結果及び事務局案
  • 資料4 構成員名簿

議事概要

委員の互選により手塚委員が座長に選出された後、資料3に基づき、事務局から「調査項目に対するアンケート結果及び事務局案」を説明。その後、自由討議が行われた。主な意見は、以下のとおり。

全体について

  • 本研究会での検討結果は、どのように活かしていくのか。
  • 本研究会の意義として、必要に応じて規程類を見直すという趣旨がある一方、全体のバランスを考慮する必要があり、今年度の全5回の研究会の中で扱える範囲なのか、あるいは、もっと検討に時間を要するため来年度の研究会でさらに深化させるべきかといったことを総合的に考える必要がある。本日は、ご意見を賜り、事務局の方で持ち帰り、必要に応じて指定調査機関であるJIPDEC及び認定認証事業者と議論を重ね、再度本研究会の第3回目以降の研究会で説明することとしたい。
  • 現在、JIPDECにおいて、調査方法の見直しを検討している。資料3のJIPDEC案において、○としているものは、その見直しの中で実現できそうなもの。△としているものは、○とまでは言えず、今後詳細を詰める必要があるもの。Pについては、JIPDECから別途意見があるもので、本研究会の場でご議論いただきたいものである。

資料3 1500番台について

  • 概ね事務局案のとおりで良いと考えるが、項番1541の火災報知器のような定期点検を要する項目については、調査報告書の提出を省略すべきではないと考える。
  • 調査の省略が可能といっても、現地で細かい物の調査の省略が可能というだけであり、全く調査しないわけではない。
  • 調査項目の省略について、「事業者からの変更の申告が無い限り、省略する」としてしまうのは、行き過ぎかと思う。「適正な変更の記録があることを条件として省略を認める」とするのが良い。
  • アンケートに列挙されている水害防止措置、隔壁、電源設備等の設備は、一度措置されて以降は撤去することはないのではないか。

資料3 2100番台について

  • 企業の属性情報や真偽確認資料の提出に当たっては、現在の電子署名法では規定がなく認定対象外であるが、実際には、氏名、住所、生年月日等と同じくらい重きを置いて事業者が真偽確認を行ってきている。そのことを踏まえると、電子証明書の信頼性確保の観点から、電子署名法の中で規定した方が良いのではないか。
    住民票の写しや戸籍の謄本・抄本等を用いた利用者の真偽確認の具体的なやり方について電子署名法上の規定がないので、詳細について規定した方が良いのではないか。
  • 2100番台のアンケート結果は2つあるが、「属性証明」と「属性情報」で明確に書き分けられている。「属性情報」は電子証明書に格納されない属性情報を指しており、「属性情報」について申込書の記載内容と真偽確認書類の情報の不一致を指摘して審査不備とするのはいかがなものか。「属性情報」の例として、電子入札コアシステム対応認証局において個人事業主に電子証明書を発行する場合の「会社名」が挙げられる。
    「属性証明」は、電子証明書に格納する情報であれば、根拠となる相当な証明書類があってしかるべき。真偽確認の上で電子証明書に情報を格納するのであれば、認定対象に含めた方が良い。
  • 2つ目の意見は、指定調査機関の調査に関わる問題か。電子入札コアシステムのポリシーの問題ではないか。
  • 属性情報を電子証明書に格納する場合、属性情報の真偽確認を行う場合は、電子証明書の信頼性確保を目的として、事業者の規定通りに真偽確認が実施されているかを、調査において確認している。そのような調査を長年実施しており、実務者説明会でも詳細に説明してきた。
  • 指定調査機関は、「認定に関する調査」と「認定外のCP/CPSの準拠性調査」の2つを実施していると思う。後者を理由に更新認定の手続を一旦差し止めるといった場合に、どのような法令上の根拠があるのか。電子証明書に記載がある属性情報について調査するといっても、現行法においては、属性情報は認定外なので、指定調査機関が強制力をもって事業者に指示できる根拠が分からない。属性情報も認定対象にすべきとの意見もあるが、現状認定の範囲ではないので、認定の範囲内での指摘と範囲外での指摘は同列に扱えないのではないか。
  • 3600番台の適合例で、電子証明書に利用者の役職名等の属性情報を記録する場合には、事務取扱要領で規定して実施するとあるが、これを根拠に3600番台でカバーされていると考えられないか。
  • 適合例は調査の実施内容だと思うが、施行規則では、認定の対象となっていると誤認することを防止する措置を講じるということしか書いていない。認定可否の判断に含まれるか、少し疑問がある。認定されていても電子入札コアシステムに受け入れられなければそれまでの話である。これは認定の話ではなく、電子入札コアシステムのポリシーの話であるので、指定調査機関がそこまで確認しなくても良いのではないか。
  • 法制定当時の考えとして、電子署名法は、紙の世界で推定効が与えられる署名や押印に匹敵する、ネットワーク上の電子署名の基準を定めようとしたものであることにも留意する必要がある。個人の存在証明とその個人の意思で作成された電磁的記録であることの推定については電子署名法で、法的に存在する会社の代表権を有する者の意思により作成された電磁的記録であることの推定に関しては法務省が発行する証明書で確認できるようにする想定だった。よって、属性情報は分かりやすくするための参考情報であって、法的効果が帰属する者の意思の推定とは直接関係しないため、審査もそこまで厳密にやる必要はなく、認定対象でないことが明示されればよいとした。属性情報が法的効果に紐付くためには、会社等の場合には、会社としての意思表示を行うことが許される会社代表者に繋がる必要があるため、紙の世界の会社代表者の委任状等の証明書類に相当する、代表者の委任の意思を表明するデータ並びに委任者(代表者)の電子署名及び電子証明書を別途用意する取扱い等を想定した。現行法上は、認定外であることを確認すればよい。
  • 基本的に電子証明書の記載項目のどの部分を認定するかということが重要である。技術的には電子証明書をどのように書くことも可能。電子署名法は基盤であり、属性情報の取扱方(電子証明書に記載する、データベースを参照する等)は技術論であって制度論でない。認定においては現行法上の部分を確認すればよく、それ以外の記載内容の確認はアプリケーション側で行うべきもの。今回、電子入札コアシステムの例が挙げられたが、今後それぞれのアプリケーション毎の要求事項が増えた場合に指定調査機関が全て調査しなければならないというのは不適切ではないか。
  • 施行規則第6条第1項第10号において「電子証明書に記録された事項に事実と異なるものが発見されたとき」に電子証明書を失効させることになっているが、積極的に間違いを探す必要はなく、発見されたら失効するということでよいのか。
  • 失効の手続きが定められていることを指定調査機関が確認すれば良いのではないか。外部からの指摘等によって電子証明書の記載内容の誤りが発見された場合に、その証明書を失効できる仕組みがあれば、この基準は満たされているのではないか。
  • 指定調査機関はまさにその手続の部分を調査している。施行規則では、認定外である属性情報の変更であっても失効させることになっており、指定調査機関としてどこまで確認するべきか悩ましいところ。
  • 失効させるに当たって、どこまで確実性のある情報を要求するかということについて、認証事業者として規定があってしかるべき。規定のとおり実施しているのかというところは、調査の対象になるのではないか。
  • 現行法の範囲というものが論点になっているが、現実の問題として、電子証明書において属性情報の記載は重要。電子入札の電子証明書がこれだけ売れている理由は、この属性情報があるから。だから認証事業者は属性情報の確認をしっかり行う。これを確実なものにするため、認定認証事業者としては指定調査機関の調査をある程度受け入れる覚悟があるし、認定の対象にしたらどうかということはある。
  • ご意見はよく分かる。現行法との関係でどうなのかということは、事務局に持ち帰ってもらい、整理してもらう。当然、電子署名制度がネット社会の中できちんと回るということが大事であり、今後どうしていくのか検討していくべき項目だ。
  • 法策定当時も非常に多くの論点があり、属性情報として勤務先企業名や役職を入れた場合、それらの事項の記載も認定の対象とするのであれば、情報の正確性が担保される必要があり、社員の退社や役職の変更、企業の破綻等の変更情報をリアルタイムで電子証明書にどう反映させるべきか等、様々な課題を解決しないと難しいという話だった。
  • 非認定の認証業務だと、登記前の新しい会社名で電子証明書を発行してほしいという依頼はよくある。原則は登記事項証明書で確認するとしていても、それに当てはまらない例は出てくる。
  • 属性情報を認定の対象にすると、厳密な確認が求められる。確認に時間やコストがかかることで電子証明書の発行手続が重たくなり、結果的にビジネスに利用できなくなる懸念があるため、属性情報は認定外として自由に活用できるようにした方が、使い勝手が良いのではないかという納得感が、法策定当時はあった。
  • 現在では、電子証明書の記載事項全てが正しいというお墨付きがほしいという意見が多いが、電子署名法に含めることは容易でない。自然人を確認するというのが、署名法の基本的なベースであるため、属性情報が入ってくると、論点が変わってきて、制度自体の見直しが必要になるのかもしれない。ただ、「企業人としての証明書」について、役員以上の人に対しては法務省の法人登記できちんとした制度があるが、一般の社員に対しては制度がないのが現状であり、今後どうすればよいかということは、様々な論点があるため、課題として整理した方が良い。
  • 一般論なのだが、利用者は、CPSの記載内容は必ず守られていると思っているところ、認定外とはいえCPSの記載どおりに実施しているかという点が指定調査機関として気になることも理解できる。

資料3 2200番台について

  • 施行規則第5条第1項第1号の身分証等による対面審査について、当該方法を採用した事業者が存在するため、現在この意見は該当しない。
  • 住民票の写し、印鑑登録証明書等における本人確認方法について、事業者は非常に負荷をかけて真偽確認をしているところであるが、完全一致の判断が非常に難しい。例えば完全一致とした場合も、今の住民票の写しでは、マンション表記を省略できるなど、いろいろな表記がある。利用申込書の記載と提出された資料に差異があると郵送で逐一確認しなければならず、電子証明書が発行されるまでの期間が余計にかかるという実態がある。電子署名法に詳細な規定がないため、事業者も苦労しているし、指定調査機関も事業者が下した完全一致という判断に対して、どこまで不一致と指摘するか判断に迷うことが多い。
  • 住所は基本3情報の一つであり認定対象の記載事項であるが、住民票の写しの記載と完全一致していなければいけないのか、あるいは、利用者の申請に沿ったマンション名の省略等のみであれば、完全一致と見なせるのか等、不明確な部分が多い。
  • マンション名の記載の有無は自治体毎に異なる。部屋番号がない自治体もあり、電子証明書の送付の際に郵便局から差し戻されることもある。マンション名や部屋番号については、きちんと本人に届けるため、利用申込書に書かれていても良いのではないか。ハイフン繋がりについても、可とする自治体も多く、表記として認めても良いのではないか。
  • 運転免許証はハイフンでの記載になっている。施行規則第5条第1項第1号イで運転免許証を確認する場合は、ハイフンを番地等に読み替えて確認しているということになる。そう考えると、住民票の写しと同一の表記であることは求められていないのではないか。
  • 申込書にどのように記載するのかということと、電子証明書にどのように記載するのかということの2通りを考えなければならない。一律のルールを作るのは不可能と思われるため、ハイフン繋ぎは認めるなど、個別に認める事例集を作って、メンテナンスしていくしか方法がないのではないか。
  • どういった表記を同一と認めるのかは認証事業者の規程で規定し、実施している積み重ねがあるため、それらをデータベース化し、一度研究会の場で確認するのが良い。

資料3 3100番台について

  • 利用者への重要事項説明は、それほど多いものではないので問題ない。

資料3 3210番台について

  • 2100番台と同様の論点であるため、整理した上で後日議論する。

資料3 3301~3305番について

  • サンプリング調査については確かに工数がかかっているため、調査方式の見直しの中で改善できるのではないか。ただし、システムに変更がないことの確認方法は別途検討が必要。事業者の申告を鵜呑みにすることはできない。

資料3 3401~3402番について

公的証明書の有効期間について

  • アンケート結果の事務局補記に公的証明書の有効期間とする3ヶ月の起算点は「当該公的証明書が事業者に届く日とする」と書いてあるが、これは利用者からの要望によるもの。利用申込書等の郵便物は大量に届くため、届いた日に審査できない場合がある。よって、審査日を起算点とするのではなく、郵便物が届いた日を起算点として3ヶ月以内の公的証明書であれば認めることにすべき。
  • 金融機関や不動産登記令等、有効期間を3ヶ月とする例もある。

電子証明書の有効期間の起算点について

  • 電子証明書の有効期間の起算点について、当時の指定調査機関(JQA)に確認したところ、真偽確認の日、発行の諾否を決定した日から5年間だと言われたことを踏まえている。さらに実際にICカードを発行するのは、発行の諾否を決定した日からさらに数日後であるため、起算点を統一すべきと考えている。
  • 電子証明書の有効期間の起算点というのは、あくまで電子証明書に記載された日。未来日の電子証明書の発行をどこまで許すかというのは別の議論。
  • 実際には、発行日としているところばかりではなく、発行の可否判断をした日と規定している事業者、利用申請日より6ヶ月以内の利用申込書で指定された任意の日と規定している事業者等、事業者によって様々であり、一律に縛り込めない。ただ、いつからの電子証明書の発行が許されるのかという議論は別途ある。
  • 5年を超えないことが一番重要であり、その起算点はあくまで発行日。5年より短い期間を設定することは、事業者の判断であり構わないが、発行の可否判断をした日を起算点にすると、発行日を有効期間の起算点にしている場合は5年を超えるため、可否判断日を起算点とする標準を作ることは問題がある。
  • すぐには決められる問題でないため、事務局で引き取って考えていただきたい。

資料3 3410、3420番台について

  • 調査項番の内容でなく、調査のやり方に関する意見であるため、調査方法の見直しの議論の中で検討していきたい。

資料3 3420番台について

  • 他の項番の内容と合わせ、電子証明書の記載内容を確認している。それほど手間もかからないので、毎年確認してもよいのではないか。
  • この問題は、調査方法の見直しの中で検討したい。

資料3 3500番台

  • 現行法においてはというのは、全く事務局案のとおりだと思う。しかし、フィンガープリントやCPSを公開しているリポジトリは重要なものであるが、施行規則第6条第1項第9号では「容易に入手することができるようにすること」という記載しかなく、具体的な記載はない。高いセキュリティレベルを維持するため、ファイアーウォールを介してアクセスを制限といったことをしなくて良いのか検討すべき。
  • PKIの仕組みの大きな部分を占める、リポジトリのセキュリティに関する規定も必要ではないか。
  • 改ざん検知システムに関する指定調査機関の調査は、リポジトリの改ざん検知ソフトの動作、バージョン等を確認するだけなので、それほどの負荷ではないのではないか。
    事業者によっては、システムを別の場所に置いているというところもある。その場所に行く、別の担当を呼ぶ等の負荷がかかっている。
  • 全体的に、「変更がない」ことをどのように確認するのがポイントになるのではないか。

以上

関連リンク

お問合せ先

商務情報政策局 情報セキュリティ政策室
電話:03-3501-1253
FAX:03-3580-6073

最終更新日:2014年12月25日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.