電子署名及び認証業務に関する法律 (概要)
電子署名・認証業務とは 電子署名 電磁的記録に記録された情報について作成者を示す目的で行う暗号化等の措置で 改変があれば検証可能な方法によるもの 認証業務 電子署名に使われた暗号鍵が利用者のものであることを証明する業務 A コンピュータを 100台注文 A商会 コンピュータを 100台注文 A商会 コンピュータを 100台注文 A商会 B 送信 受信 電子署名 暗号化 電子署名 ○電子署名の定義(法第2条) ・第1号 「当該情報が当該措置を行った者の作成に係るものであることを示すための ものであること。」 ・第2号 「当該情報について改変が行われていないかどうかを確認することができる ものであること」 電子署名は、Aが所有する電子署名を行うための符号(秘密鍵)を用いる暗号化による措置によって行われる。電子署名が付された電子データを受信するBは、電子署名を行った者を確認するため、暗号化されている電子署名を電子証明書に記録されている公開鍵で復号する。 秘密鍵に対応した公開鍵で復号できるということは秘密鍵の所有者によって電子署名が行われていることになる。 秘密鍵は実印に相当し、公開鍵を記録している電子証明書は印鑑登録証明書のような役割を果たす。 電子証明書 Aの公開鍵 Aの秘密鍵 (Aのみが所有) 復号 電子署名 Aの公開鍵 改変の検証 秘密鍵と公開鍵はペアの鍵であり 一方の暗号鍵で暗号化したものは ペアの鍵でしか復号できない Aは 認証事業者に電子証明書を発行してもらい公開鍵の 所有者であることを証明してもらう Bは受信した電子証明書の有効性を確認し、有効であれば Aの公開鍵を用いて電子署名を復号し改変の検証を行う Aの公開鍵 (誰でも知ることができる)
電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進 電子署名及び認証業務に関する法律の概要 (平成12年5月31日成立、平成13年4月1日より施行) 電磁的記録の真正な成立の推定 電子署名の法律上の取扱いを明確化する 本人による電子署名が付されている電子文書等の真正な成立の推定(第3条) A 特定認証業務に関する認定の制度 信頼できる認証業務に対する認定制度を導入する ① 認証業務の認定(第4条~16条) ② 指定調査機関等(第17条~32条) ③ 罰則(第41条~47条) B その他必要な事項 ① 主務大臣による特定認証業務に対する援助等(第33条) ② 国の措置 国民への教育活動、広報活動(第34条) C ○法律の概要(法律を構成する大きな3本柱を説明) ・電子的記録の真正な成立の推定 ・特定認証業務に関する認定の制度 ・その他の事項(調査研究、広報活動等) 電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進 電子商取引等ネットワークを通じた社会経済活動の円滑化 国民生活の向上及び国民経済の健全な発展
A 電磁的記録の真正な成立の推定 [手書き署名・押印] [電子署名] ○ 民事訴訟法第228条第4項 A 電磁的記録の真正な成立の推定 [手書き署名・押印] ○ 民事訴訟法第228条第4項 「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。」 (文書) 文書の真正な成立(本人の意思に基づき作成されたこと)の推定 A 「本人の署名又は押印」 があるときは、 (署名)又は(押印) 類似の仕組みを導入 ○ 電子署名及び認証業務に関する法律第3条 「電磁的記録であって情報を表すために作成されたものは、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。」 ※電子署名 電磁的記録に記録された情報について作成者を示す目的で行う暗号化等の措置で、 改変があれば検証可能な方法によるもの [電子署名] ○電磁的記録の真正な成立 民事訴訟法第228条第4項と同じ趣旨の規定として、電磁的記録に記録された情報について、一定の要件を満たす電子署名がされている時に、当該電磁的記録の成立の真正を推定するもの。 真正の成立とは? 当該電磁的記録がその者の意思に基づいて作成されたものであること 電磁的記録の真正な成立の推定 情報 電子署名 「本人による電子署名」がされているときは、
国:『電子署名及び認証業務に関する法律』 B-1 特定認証業務に関する認定制度 国:『電子署名及び認証業務に関する法律』 認定の基準 ・電子署名の方式 ・業務の用に供する設備 ・利用者の真偽確認の方法 ・その他業務の方法 認定基準の見直し ・電子署名の安全性の確保 ・新たな電子署名の方式への対応 ・新たなビジネスモデルへの対応 等 ○ 任意的認定制度の導入(第4条) 認証業務に関する信頼性の判断目安を 提供 ○ 特定認証業務(第2条第3項) 一定基準に適合する電子署名について 行われる認証業務 認定(業務の実地調査については国の指定する 指定調査機関に行わせることが可能) 申請(任意) 電子署名・認証業務のイメージ 注:外国の認証事業者も認定を受けることが可能 認証事業者 電子証明書を 発行 ○認定制度 特定認証業務は、国民がネットワークを利用し情報のやり取りを行うにあたり、安心して電子署名を利用できるためには、一定の技術的信頼性を有する業務であるか等が重要な要因となることから、特定認証業務の信頼性の目安となるよう、主務大臣が認定を行うことができることとしたもの。 ・認定は任意的なものであるため、認定を受けずに認証業務を行うことは可能 ・認定の対象は業務(サービス)であり、認証事業者が複数のサービスを 提供している場合、認定を受けたサービスと認定を受けないサービスを 同時に提供することも可能。 送信者 電子証明書の発行申請 電子証明書の 有効性確認 受信者 電子署名をした電子 文書に電子証明書を 添付して送信 認定を受けている業務である旨の表示により、申請者等の真偽の確認が可能になる
B-2 認定の要件、効果、義務 1.認定を受けるための要件(第6条第1項) ① 業務の用に供する設備(第1号) B-2 認定の要件、効果、義務 1.認定を受けるための要件(第6条第1項) ① 業務の用に供する設備(第1号) ・ 認証業務に利用する秘密鍵の厳重な保管 ・ 安全・信頼性を有する設備の使用 等 ② 利用者の真偽の確認の方法(第2号) ・ 公的機関の発行する証明書の提示を求める 等 ③ その他の業務方法(第3号) ・ 業務管理規定を定め適当な権限分散を図っていること ・ 失効リストの適切な開示 等 禁錮以上の刑や本法違反による刑に処せられた者又は認定を取り消された者等は、一定の期間認定を受けられない。 2.認定の効果 ○ 当該業務が認定を受けている旨の表示が可能(第13条第1項) ・ 受信者の信頼の目安 ○ 裁判上、第3条の推定効が働きやすくなる 3.認定認証事業者の義務 ○認定を受けるための要件 第6条第1項で定める要件の詳細は、電子署名法の規則、指針で規定。 指定調査機関では、規則、指針に基づく適合例との対応を逐一確認し、その措置状況につき、要件適合の可否を調査(書類調査及び実地調査)。 現在、指定調査機関として財団法人日本品質保証機構を指定。 国は、指定調査機関の調査結果を基に審査を行い、認定の可否を判断。 ○ 利用者の真偽の確認資料等の保存義務(帳簿保存義務、第11条) ○ 利用者確認に係る情報の目的外使用の禁止(第12条) 等 4.罰則 ○ 利用者が認定認証事業者等に対し不実の証明をさせる行為についての罰則 (3年以下の懲役又は200万円以下の罰金、第41条) 等
C その他必要な事項 1.特定認証業務に関する援助等(第33条) 2.国の行うべき措置(第34条) 主務大臣による調査・研究 C その他必要な事項 1.特定認証業務に関する援助等(第33条) 主務大臣による調査・研究 ①電子署名技術(暗号技術等)の評価方法 ②認証業務に関するセキュリティ確保手段等の評価方法 ア) 特定認証業務を行う者及びその利用者に 対する情報の提供・助言その他の援助 イ) 認定制度の基準に反映 ◆認定認証業務の国際相互承認に必要な手続の制定 ◆発行者署名検証符号(CA公開鍵)情報の告示 ◆電子署名の方式の見直し ◆利用者識別機能等による証明書の発行 2.国の行うべき措置(第34条) 国による教育活動・広報活動 ○調査研究 電子署名は暗号技術を用いるため、その技術動向等については、常に調査しておく必要があり、暗号の強度が弱くなれば、電子署名の方式から外すことも必要。 また、認証業務に係る設備や業務の実施方法についても、セキュリティ確保の観点から、調査分析を行い、一定の信頼性が確保されるよう見直しを実施。 ○普及啓発活動 ・政府広報を通じての周知 ・セミナー等による活動など ○省令等改正 ・国際相互承認に必要な手続きの制定:平成14年8月13日官報掲載 ・ハッシュ値の告示:平成14年11月21日官報掲載 ・電子署名の暗号方式の見直し:平成14年11月21日官報掲載 ・新たなビジネスモデルを対象とした認定基準の検討(今年度中を目途に反映) ①電子署名の取扱い・鍵の適正な管理に関する注意喚起 ・手書き署名及び押印と同様に取扱うこと ・秘密鍵の漏洩防止 等 ②特定認証業務の認定制度の周知 ア) 国民の理解の醸成 イ) 国民の電子署名、認証業務の円滑な 利用の促進
電子署名及び認証業務に関する法律に基づく認定認証業務一覧 (平成18年1月1日現在) 電子署名及び認証業務に関する法律に基づく認定認証業務一覧 (平成18年1月1日現在) 特定認証業務の名称 業務を行う者の名称 認 定 日 認定の有効期限 Accredited Sign パブリックサービス2 日本認証サービス株式会社 平成13年10月19日 平成18年10月18日 株式会社日本電子公証機構認証サービスiPROVE 株式会社日本電子公証機構 平成13年12月14日 平成18年12月13日 CECSIGN認証サービス 株式会社コンストラクション・イーシー・ドットコム 平成14年 3月26日 平成18年 3月25日 セコムパスポート for G-ID セコムトラストネット株式会社 平成14年 7月 4日 平成18年 7月 3日 AOSignサービス 日本電子認証株式会社 平成14年 8月29日 平成18年 8月28日 e-Probatio PS サービス 株式会社NTTアプリエ 平成14年11月20日 平成18年11月19日 TOiNX電子入札対応認証サービス 東北インフォメーション・システムズ株式会社 平成14年12月10日 平成18年12月 9日 TDB電子認証サービスTypeA 株式会社帝国データバンク 平成15年 2月 5日 平成18年 2月 4日 ビジネス認証サービスタイプ1 日本商工会議所 平成15年 3月12日 平成18年 3月11日 電子入札コアシステム用電子認証サービス ジャパンネット株式会社 平成15年 4月21日 平成18年 4月20日 全国社会保険労務士会連合会認証サービス 全国社会保険労務士会連合会 平成15年 6月10日 平成18年 6月 9日 CTI電子入札・申請届出対応 電子認証サービス 株式会社中電シーティーアイ 平成15年 9月29日 平成18年 9月28日 よんでん電子入札対応認証サービス 四国電力株式会社 平成15年10月 2日 平成18年10月 1日 MJS電子証明書発行サービス 株式会社ミロク情報サービス 平成15年12月 1日 平成18年11月30日 税理士証明書発行サービス 日本税理士会連合会 平成16年 1月16日 平成18年 1月15日 Secure Contract Support Service リコーリース株式会社 平成16年 3月 1日 平成18年 2月28日 日本司法書士会連合会認証サービス 日本司法書士会連合会 平成16年 9月13日 平成18年 9月12日 e-Probatio PS2 サービス 平成17年11月 9日 平成18年11月 8日 日本土地家屋調査士会連合会認証サービス 日本土地家屋調査士会連合会 平成17年12月 9日 平成18年12月 8日
電子署名を行う上での注意事項 電子署名の利用範囲の確認 電子署名の利用範囲は、認証業務により異なるため、認証事業者に利用範囲を確認 して申込みすること。 電子署名を行う前に内容確認 電子署名は自筆署名や押印に相当する法的効果が認められ得るものであるため、 電子署名を行う前に内容を良く確認をして電子署名を行うこと。 電子署名を行うための署名符号(秘密鍵)の厳重管理 実印と同様に署名符号(秘密鍵)については、十分な注意をもって管理すること。 署名符号(秘密鍵)の管理方法は、認証事業者に確認すること。 電子証明書の失効 次の場合には、電子証明書の失効を認証事業者に請求すること。 - 署名符号の危殆化(盗難、漏えい等により他人に使用され得る状態になること) 又は危殆化した恐れがある場合 - 電子証明書に記載されている事項に変更が生じた場合 最後に、電子署名は実印と同じ(くらい重要)ということを述べ、話を総括 ⇒ 実印と同じように、使用及び管理にあたっては厳重を期すこと また、認証業務によって対象となるサービスが異なるので、利用範囲を確認する必要がある