第288号コラム:手塚 悟 理事(東京工科大学 コンピュータサイエンス学部 教授)
題:「電子署名と電子認証の関係」
我が国において一般的に使われている電子署名の制度は、民間分野では電子署名法、公的分野では公的個人認証サービスがある。
電子署名法は、正式には「電子署名及び認証業務に関する法律」と呼ばれ、2001年4月1日に施工された。電子署名法の概要は、電磁的記録の真正な成立の推定と特定認証業務の認定である。
電磁的記録の真正な成立の推定とは、電子署名法第三条で、「電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電子的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。」と規定されている。
特定認証業務の認定とは、電子署名法第二条三項で、「「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。」と規定された特定認証業務に対して、第四条で、「特定認証業務を行おうとする者は、主務大臣の認定を受けることができる。」と規定されている。
一方、公的個人認証サービスは2004年1月29日に開始され、「電子署名に係る地方公共団体の認証業務に関する法律」(以下、公的個人認証法と呼ぶ)に基づくものである。
第一章第一条に、「この法律は、電子署名に係る地方公共団体の認証業務に関する制度その他必要な事項を定めることにより、電磁的方式による申請、届出その他の手続における電子署名の円滑な利用の促進を図り、もって住民の利便性の向上並びに国及び地方公共団体の行政運営の簡素化及び効率化に資することを目的とする。」と目的が書かれており、いわゆる電子政府、電子自治体等において、電子申請、電子申告等を行うときに使用するものである。
上記の電子署名法と公的個人認証法は、いずれも電子署名に関する法律で、技術的には、PKI(Public Key Infrastructure)システムを構築し実現している。公的個人認証法では「署名」ではなく「認証」という言葉が使われているが、では「認証」とは何のことなのか。それを明確に理解することが必要である。
日本語の「認証」に当たる言葉は、英語では「Certification」と「Authentication」がある。公的個人認証法の「認証」はどちらであるかというと、「Certification」である。つまり、PKI(Public Key Infrastructure)システムにおいて、本人の公開鍵に対して、公的個人認証法が「お墨付きを与える(Certify)」ことを、「認証」と呼んでいるのである。電子署名法においても、PKI(Public Key Infrastructure)システムで、本人の公開鍵に「お墨付きを与える(Certify)」機関を「認証局」と呼び、英語では「Certificate Authority(CA)」と記述する。
では「Authentication」とは何であるかというと、End Entityである人が正当な本人であるかどうかの確認をする方法のことで、この場合も日本語では「認証」と呼ぶ。英語でいう「Electronic Authentication」は、電子的に本人確認を行う方法で、日本語でいう「電子認証」に対応するものである。
つまり、「Certification」は、認証局のようなTrusted Third Party(TTP)が本人であることの「お墨付きを与える(Certify)」ことである。「Authentication」は、そのお墨付きを与えられた本人が、その後ある電子商取引のシステムにアクセスする場合、本当にお墨付きを与えられた本人であるかを確認し、確かにお墨付きを与えられた本人であるならば、アクセスを許可することになる。このように、「Certification」と「Authentication」の概念とその違いをしっかりと理解することは大変重要で、それにより日本語の「認証」という言葉の曖昧さを払拭することができるのである。
今年成立した「番号法」においては、国民一人一人が自分の「マイポータル」へアクセスするために、「電子認証」を採用した。従来の公的個人認証法は「電子署名」のみを制度化していたが、今回は公的個人認証法の一部を改正し、「電子認証」も新たに制度化されたために、可能となったのである。
一方、電子署名法においては、「電子認証」の概念をどうすればよいのかを考えてみると、まず「署名」の概念は「自然人」が行う行為であると考えられているので、「認証」の概念をどのように入れるかについては、議論の余地がある。一つの方法としては、公的個人認証法の一部改正と同様に電子署名法の一部改正を行うやり方がある。また別の方法としては、銀行口座開設や携帯電話購入時における本人確認方法を基にして、その拡張としての電子的本人確認方法を制度化することで、「電子認証」を実現するやり方が考えられる。いずれにしても、今後の検討が望まれるところである。
【著作権は手塚氏に属します】