電子署名法研究会（平成25年度第3回）‐議事要旨

日時：平成26年3月27日（木曜日）10時00分～12時05分
場所：経済産業省商務情報政策局第1会議室（本館4F）

構成員

手塚委員、小田嶋委員、竹内委員、中村委員、長尾委員、西山委員、早貸委員、南委員、宮内委員

• 資料1　第2回電子署名法研究会議事要旨
• 資料2　電子署名法関係法令の構造
• 資料3　電子署名法施行規則第9条軽微な変更について
• 資料4　調査項目及びアンケート結果

事務局から、資料3に沿って、電子署名法施行規則第9条軽微な変更について説明。その後、自由討議が行われた。主な意見は以下のとおり。

軽微な変更の実態と変更認定の必要性の判断基準について

• 指定調査機関としての考え方は、軽微な変更とは、同一室内である事を前提とし、パソコンやサーバーの後継機種への置き換えはなどを軽微な変更として取り扱っている。
  また、変更認定に該当するか否かの一つの目安として、調査項番が一つの項番で収まる場合で措置状況が変わらない、あるいは、ある設定を変更するだけで済むというような場合には変更調査には該当しないとし、調査項番が複数の項番にまたがるような変更は変更調査に該当するとして取り扱ってきた。
  暗号装置の変更については、何をもって「既存の設備と同等以上の性能を有する」と判断するのが難しく、調査項番も1400番台で多岐に渡るため、過去は変更認定に該当すると取り扱ってきた。また、暗号装置については「電子署名及び認証業務に関する法律に基づく指定調査機関の調査に関する方針」に、詳細な認定基準が記載されているため、これらの基準について新しい暗号装置も基準をクリアしている必要があるだろうと考え、軽微な変更には該当しないと判断してきた。
  変更認定に該当するとして変更調査を実施した結果、変更前の措置状況と同じ状態だったという確認で終わることはあるが、だからといって変更認定の対象外だったという判断にはならず、新しい設備が適合となる条件をクリアしているかということを確認しなければならないという観点で、変更調査を実施してきた。
• 主務省としては、変更前の措置と変わらないことを確認するのは、資料3のフローチャートにおける最も上の、「設備の概要及び業務の実施の方法の変更に該当するかどうか」という部分の確認であり、指定調査機関は「変更認定に当たる」と判断されて初めて調査に入るという法律の立て付けから考えると、「以前の措置と変わらないかどうか（＝変更認定に該当するかどうか）」を判断する部分の確認は、変更認定の調査の中で実施するものではないと考えている。
• 設備の変更については、1、変更に当たらない、2、軽微な変更である、3、変更に当たる、4、そもそも変更ではなく別の業務のため新たに認定を取り直す必要がある、といった4段階があると考えている。そのどれに該当するかの判断として、法令策定当時は、申請書に記載がある項目を変更する場合は、変更認定に該当すると考えていた。しかし、適合例を見ていくと、製品番号や製品名まで申請書に記載することも考えられるため、申請書に記載があることを変更する場合は全て変更認定が必要とみなすという当初の考え方は、現在では広すぎる考え方のようにも思う。
• 法第4条第2項第2号と第3号の書きぶりの違いについて、「概要」と書かれている第2号と、書かれていない第3号がある。敢えて書き分けているのであれば、「概要」と記載している設備の部分は、もともと細かいところまで申請書に記載する必要はなく、認定対象にも含まれていないと考えることができるのではないか。ただ、申請書に細かい部分まで記載している場合はどうなるのか。記載していても、認定の対象外だと考えることは可能か。
• 法律に「概要」という記載があるからといって、「概要」以上のことを記載してはいけないということではないと思う。記載されている内容から概要を読み取るのも重要なノウハウであり、指定調査機関の本来業務になっていることだと思う。よって、申請書に記載されていることが変更になれば、全て変更認定が必要だということにはならないと考えている。
• ソフトウェアのパッチを当てたり、OSのソフトウェアをバージョンアップしたりすることについては、変更認定が必要としているのか。
• パッチの適用やOSのバージョンアップについては、設備の概要の変更に該当するが、軽微な変更に該当するため、変更認定は必要ないと整理している。
• 指定調査機関としては、認定認証事業者に対し、軽微な変更に該当するのは、ハードウェアとソフトウェアのバージョンアップのみであると説明してきた。よって、それら以外の案件については、そもそも「変更認定に該当するかどうか」の解釈は成り立つが、「軽微な変更に該当するか」という解釈は成り立たないと考えてきた。それも「同一機種」の後継機へのバージョンアップのみが該当すると考えてきた。また、軽微な変更の事例として挙げられている、ファイアウォールと侵入検知システムを、両方の機能を合わせ持つUTM機器に変更するという例は、UTM機器が備える要件は、調査項番の1213と1214の2つの適合例に分かれており、確かにUTM機器がそれらの項番の機能を有しているということについては確認する必要があるだろうと考え、過去には変更認定が必要と判断した例もある。
• 主務省としては、法律の文言上は「同一機種」という縛りはないため、「同等以上の性能」を有していれば、別の機種でも認められると考えている。また、UTM機器への変更に関しては、新しい機器が1213と1214の要件を満たすかどうかを確認することは、「今までそれらの要件を満たしていたことが引き続き変わらないかどうか」を確認することだと思っており、それは、そもそも変更認定に該当するかどうかを確認することだと考えている。よって、現在の変更認定の調査のやり方は、変更認定に該当するかどうかを確認するような内容になってしまっていると考えている。
• 軽微な変更というのは、形式的に小さい変更という意味で捉えられているように思うが、影響の大小で判定する必要があるのではないか。前の設備と同等あるいは同等以上ということをきちんと確認して認めることが重要だと考えている。また、形式的にさえ確認する必要がないような変更については、変更認定不要として良いと思うが、そういった事例は少なく、限定的ではないかと思う。フロー図でいう、設備の概要及び業務の実施の方法の変更に該当するかどうかを判断するStep1の所で、「いいえ（＝該当しない）」となる例は意外と少なく、ほとんどの案件がStep2に落ちており、ここで判定されているのではないかと考えられる。よって、Step1でどれだけ「いいえ」で除外できるものがあるのかということを議論すべきではないかと思う。
• ファイアウォールやIDSのようなネットワーク側の設備のバージョンアップについては、周期的に実施されることもあり、実施したとしても問題になることはないと判断して、指定調査機関に相談せずに、実施している。しかし、認証局システムのバージョンアップについては、例え、同一社製の次期バージョンアップ製品に変更する場合でも、軽微な変更と判断する勇気はない。データの投入の仕方等の操作方法の変更があり、業務の実施の方法が変更になる可能性がある。その場合は、設備という観点では変更認定は不要となるが、業務の実施の方法の変更に該当して、変更認定が必要ということになると思う。その場合は、資料3のフローでは上手く辿れないのではないか。
• 暗号装置は、ファームウェアのバージョンアップが出た時に、軽微な変更に該当するか否かが問題になると考える。FIPS140-2の認定については、ハードウェアとファームウェアをペアで認証を取っている。バージョンが上がった場合、当然、バージョンアップは問題を直すためのもので従来よりも良いものになるに決まっているが、新しいバージョンが認定されていないということも十分起こりうる。その場合は、調査の際に齟齬が生じる可能性がある。
• 帳簿書類の保管場所について、同一建物で3階から5階に変更する例は、変更認定が不要となっているが、別の建物に移す場合にどこまで適用されるのか疑問である。調査項目に関するアンケートでも意見を書かせていただいたが、帳簿書類の一つである、委託先の業務委託契約書の帳簿保管状況については、委託先が移転した場合は、現状では変更認定が必要ということになっている。
• 法令策定当時は、暗号装置のバージョンアップについては、施行規則第9条の軽微な変更で読むつもりでいた。そのバージョンアップの中身にもよるが、脆弱性があるため緊急パッチが配布される場合は、至急パッチを適用してもらう必要がある。変更認定してからの適用では、間に合わないということを想定していた。暗号装置のバージョンアップは、認証業務の根幹に関わる重要なことだが、当時、軽微な変更に該当すると判断した理由は、中身が変わるわけではなく、脆弱性に関する事項は時間をかけずに迅速に対処してもらうべきと考えたため。更新期間を1年としたのは、業務の変更は多々あるかもしれないが、全てが変更認定の対象とは思っておらず、1年毎という短いスパンで確認していくため、変更認定の対象外の部分を変更したとしても、それほど深刻な事態にはならないのではないかと考えていた。よって、変更認定の件数はそれほど多くならないという認識だった。その中でも、製品のアップデートや設備の増設については、レベルが下がることはあってはならないが、通常安全に倒す、問題を解決するということが多いため、それについては変更認定のための時間をかけずに、事業者に対応していただくことが良いだろうと考えていたが、本日の話を聞いていると、当時の考え方よりも厳しめでやっていただいていると思う。当時は、Windowsのパッチ適用は、変更認定の対象ですらない、もちろん軽微な変更でもないという認識だった。ファイアウォールの変更についても、物理的な変更かもしれないが、この法律でいう「変更」には該当しないと思っていたが、その辺りの感覚がずれてきたという印象を持った。
• 年間で、どのくらいの変更認定の件数があるのか知りたい。あまりにもたくさんの件数があるようだったら考えなければならないと思う。整理したものを出してほしい。
• 年間、10件程度だと思う。変更調査には基本料金がかかるため、1項目だけで変更認定を申請するという事業者はおらず、誰が見ても変更認定が必要だという項目と併せて、色々と細かい変更が抱き合わせで申請される。件数としては10件程度だが、変更項目数としては、結構な数があるのではないか。
• 昨年度からは、暗号移行の変更認定が多く、直近は特異なデータになっていると思う。よって、もう少し過去の件数を調べるのが良いと思う。5年に1回の鍵更新の際に変更認定が必要となるため、その機会に色々と併せて変更するところが多い。

指定調査機関の業務の範囲について

• 変更認定に該当するか否かを判断するのは、指定調査機関の業務の範囲内なのか。
• 現在の法律では、変更認定が必要かどうかの判断は、指定調査機関たるJIPDECが判断するのではなく、事業者側の判断で行うことになっている。
• 事業者の判断により、軽微な変更であると判断して変更認定申請をしなかった結果、法第14条に該当し、認定の取り消しになるというシナリオも考えられる。事業者としてはそれではリスクがあるので、現実的にはJIPDECに相談し、そこで判断がされているということなのではないか。そういった相談をJIPDECにせずに事業者自らが判断するということも可能かもしれないが、結果的に認定の取り消しとなった場合は目も当てられないのではないか。
• 例えば、裁判所は法律上の争訟を判断する機関だが、提出された訴状が争訟に当たるかどうかも裁判所は判断して、却下する。変更認定に該当するか否かの判断についても同様に考えることができ、変更認定に該当するか否かを判断するのは指定調査機関の業務ではないとするのは、納得ができない部分がある。
• 指定調査機関の調査については、法第17条に明示的に定められており、変更認定や新規認定等の調査を、国に代わって指定調査機関に調査させることができるとされている。よって、指定調査機関の調査は、認定するか否かを判断する際の実地の調査であるため、軽微な変更に該当するかどうか心配であれば、主務省にご確認いただきたい。
• 大前提として、現在の法律では、指定調査機関が変更認定に該当するか否かの判断をするようにはできていないということだと認識した。しかし、過去の例においては、事業者は皆、指定調査機関に変更認定に該当するか否かを相談していたため、実質的には指定調査機関側で判断するように運用していたということではないか。
• JIPDECは、法第17条に基づく指定調査機関としての調査以外に、一般及び事業者からの相談業務を経済産業省の委託事業で実施している。軽微な変更に該当するか否かの相談は、委託事業の相談業務として受け付けていた。
• 経済産業省の委託事業である相談業務は、事業者が変更認定に該当するか否か迷った際の便に供することを目的としており、変更認定の調査の前段階にあるものである。同じ「JIPDEC」というプレーヤーが実施していることで分かりにくい部分もあるかと思うが、あくまでこの相談業務は法第17条に基づくものではない。
• 変更認定に該当するか否かの最終的な判断権限は、法律上、主務省にあると考えているため、変更認定が必要な変更か、軽微な変更に該当するか、の判断に迷った場合に、主務省に相談することは問題ないと思うが、相談窓口としての負荷は相当高いと考えられる。そのため、質問してから回答が得られるまでに時間がかかり、ビジネスに影響を及ぼさないか懸念される。
• 実際に現地に行って確認してみないと、軽微な変更に該当するか否かが分からないという話があったが、相談業務の中に実査はあるのか。
• 相談業務に、実査は含まれていない。実際に調べてみなければ分からないことであれば、指定調査機関としては、変更調査を実施して確認せざるを得ない。
• 法律の建前として考えてみると、調査してみないと軽微な変更かどうかわからないケースにおいて、その調査を行うのは、指定調査機関の業務の一環ではない。一方、相談業務には調査は含まれていない。そうするといずれの立場でもJIPDECは調査を実施することができないので、(1)主務省が自ら調査する、(2)まったく新たにJIPDECに業務委託する、(3)事業者が自ら判断するしかない、という三択になってしまうが、その理解でよいか。
• 主務省としては、現状では(3)事業者が自ら判断する、ということが基本であると考えている。万一、事業者の判断に誤りがあったとしても、年に1度の更新調査があり、そこで確認できるため、大きな問題にはならないのではないか。
• 指定調査機関としては、変更事項が生じた際に、現状と同等に基準に適合していて、円滑に業務遂行できることを可能な範囲で担保するため、事業者のリスクとならない立場で調査してきた。
• 法第17条の調査に該当するかどうか分からない調査をした結果、該当しなかった場合はどうなるのか。
• 変更調査は有料であるため、この機会にと1回の変更調査で複数の変更をまとめて実施することが多い。過去、JQA（一般財団法人日本品質保証機構）が指定調査機関だった時代に、1回の変更認定で11項目の変更を出したことがあるが、調査後に3項目については変更認定が不要な項目だったという判断が出たことがある。
• 現在のフローでは、軽微な変更に該当するか否か、調査してみないと分からないという案件に対して、調査した結果、軽微な変更に該当するとなった場合のフローが欠けていると思う。指定調査機関としての調査ではないという段階になり、有料・無料というのはあるかもしれないが、JIPDECの相談業務の中で、実地調査も含めた形にして、調査の結果、軽微な変更に該当するとなった場合は変更認定が不要なはずであるため、そこの部分のフローを作った方がよいと思う。
• 実態としては、一度の変更調査の申請で、まとめて複数の変更項目を申請するため、全ての調査項目で変更認定の必要な変更に当たらなかったという事例はこれまでにはない。申請書のうち、変更認定の必要な変更に該当しないものが含まれていた場合、その調査項番は調査対象外として調査料金も請求していない。
• 例えば、軽微な変更として事例に挙がっている2例については、指定調査機関の説明では、実際は軽微な変更には該当せず、変更調査をしているということだったが、法律の「既存の設備と同等以上の性能を有する設備への変更に該当するケース」として挙げられているのだと認識している。それを確認するために実地調査が必要なため、変更認定に該当するとして調査をしているということだと思うが、軽微な変更に該当する場合は、そもそも変更認定は不要となっているわけだから、まさに軽微な変更に該当するか否かを実地調査するためのフローが必要ではないかと考える。
• 全体をここまではこの業務だと切り分ける議論と、実際にどうしているかという議論を明確に分けないと混乱する。まずは、実際にJIPDECが実施しているフローはどのようになっているのか、現状のフローを一度網羅的に書いて整理していただきたい。その上で、指定調査機関としての業務はどこまでで、委託事業としての業務はどこまでなのか、本来あるべき姿はどのような形なのか、という議論を進めていきたい。

同一室内の限定について

• 施行規則第9条の軽微な変更について、「同一室内における」という限定があるが、必ずしも同一室内でない場合でも、同等の機能を有する装置への変更となることがあり得る。特に同一室内に限る理由というのは薄いと考えている。

設備数の減少について

• 施行規則第9条の記載について、「同等以上の性能を有する設備の変更及びその増設」とあるが、例えば、今まで2台のサーバで業務を実施していたが、サーバの性能が向上したため、1台で実施できるようになった場合、同等以上の設備への変更だが、台数としては減少してしまっている場合、現状の施行規則第9条からすると、軽微な変更には該当しないということになる。よって、「増設」という文言を外すべきかという議論も必要ではないか。
• この条文は、台数が減ることも「変更」の部分で読んでいる。今までと同じ設備を増やすことを「増設」とし、中身を変更する場合は、その台数は関係なく、「変更」で読む。
• 日本語の解釈の問題かもしれないが、過去に、2台構成の設備を1台構成にした時に、この「増設」という文言に引っかかったのか、変更認定に該当すると解釈されたことがある。
• 2台構成を1台構成にする場合について、サーバ間の通信設定がそのままである場合は、同等以上と見なせると考えるが、通常であればその場合はネットワーク設定を変更するため、調査項番の1200番台、1300番台の不正アクセス防止やアクセス権限設定がどうなっているのかということを調査しなければならないと考えている。また、ネットワーク機器の変更の場合は、通常の発行業務、失効業務の、「業務の実施の方法」は変更にならないが、ネットワークやアクセス権限の設定をやり直さなければならない。その場合は、法律から考えると資料3のフロー図の通りとなり、軽微な変更に該当するとみなされ変更認定は不要となるが、それを実際に更新調査で調査した時に、ネットワークの設定が甘くて脆弱性があり、その調査項番が不適合であるという事態が発生した場合、主務省は、それは事業者側が負担するリスクであり、更新調査で確認すべきだとしている。しかし、指定調査機関としてはそのような考えには立っておらず、不適合となる要素は変更調査で潰しておこうという考えで今まで調査してきた。
• 法律の条文の話と、リスクをどこまで受容できるかという議論があるように思う。法律は全ての事態を想定しきれないため、法律上のルールとしては、資料3のフローの流れになるが、いざ実際に調査を受ける側に立つと、リスクを全て背負いきれるのか、かつ、リスクとコストを考えた時に、仮に変更認定の対象でないということを承知の上で変更申請をするということなら、申請しても良いとは思うが、その中でそれが本当に適正なのかということを、本日の議論を踏まえながら判断できるようにしていくべきではないか。
• 定められた認定基準から逸脱している行為があった場合、限られた時間内に是正すれば適合と判断してもらえるという、リスクに対するリカバリーが法令に規定されていれば、事業者も安心して変更認定に該当するか否かを自ら判断できるようになるのではないか。

以上

• 電子署名法研究会の開催状況

商務情報政策局 情報セキュリティ政策室
電話：03-3501-1253
FAX：03-3580-6073