あなたの知らないPKI(3)--PKIに関係する諸制度(企業・市民編)その1

佐藤直之(日本ベリサイン)
2008-12-05 18:00:00
  • このエントリーをはてなブックマークに追加
最新特集【一覧】

 PKIは汎用的なインフラであって、これを利用するアプリケーションは幅広い。ウェブサーバの証明と暗号通信のためのSSLサーバ認証、ウェブサーバにアクセスしたユーザの認証を目的としたSSLクライアント認証、電子メールに暗号化と電子署名の機能を付加するS/MIME、PDFや各種電子データのための電子署名プロトコル、暗号通信路IPSec、IEEE802.1xでも利用される認証プロトコルEAP-TLSなどなど、数多くの標準がある。

 このような状況の中、本連載では、我が国の法令および社会制度の視点からPKIの利用の実態を少しだけ整理する。順番として、今回および次回は民間企業や一般市民が利用するPKIについてを中心に、その後の回で行政側のPKIをとりあげる。

3.1 企業や市民が利用するPKI

 我が国では、PKI関連技術の利用に関係する法令またはガイドラインが複数存在する。代表的なものは電子署名法であり、また、その周辺としてIT書面一括法や電子文書法、少し離れたところに犯罪収益移転防止法などもある。また、法令以外にも、公的なガイドライン等によって、PKI関連技術の採用について実質的な制約を課している場合もある。

3.2 電子署名法

 「電子署名法」(電子署名及び認証業務に関する法律、平成13年4月施行)は、電子署名の法的な位置づけを明確にする法律であって、その内容は大きく2つの柱で構成されている。(1)電子署名についての定義とその有効性についての規定と、(2)認証局についての国による基準と認定制度の規定――である(図3-1)。

図3-1 電子署名法の概要 図3-1 電子署名法の概要

(1)電子署名についての定義とその有効性

 電子署名法の第3条では「電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する」と規定されている(図3-2)。

図3-2 真正に成立したことの推定(画像をクリックすると拡大します) 図3-2 真正に成立したことの推定(画像をクリックすると拡大します)

 また、この法律でいうところの「電磁的記録」と「電子署名」の定義は第2条において行われている。「電磁的記録」とは一般的な電子データと考えてよい。「電子署名」とは、電子署名の対象となる電子データに関して、

  • 作成者を示すためのものであること

 かつ

  • 改変が行われていないかどうかを確認できるものであること

 とされている。

 筆者は、これらの条文が本法律において最も重要な部分であって、また日本において情報の電子化を強力に推進する画期的な内容であると考えている。電子署名法が定められるまで、PKIを代表とする電子署名(デジタル署名)の技術は、技術者の世界でその有効性が確信されていたとしても、社会的に、特に裁判制度の中で認められるかどうか極めて曖昧であった。

 このような状況下では、ビジネスの場において電子署名を利用するのにためらいが生じていたことは想像に難くない。この状況が、本法律の施行によって、大きく解決に向かった。

 もちろん、日本の裁判は自由心証主義なので、法廷闘争まで発展した場合には裁判官の心証によって電子署名の効力が判断されることになる。だが、法律によってその拠り所の1つが示されたのは大きな前進であろう。これらの条文によって、電子署名が、契約書や申込書、受諾書、業務上のワークフロー、その他の用途に利用される道が大きく拓かれた。

 さて、本法律における電子署名の定義について、いくつか注意点を挙げておきたい。

 まず1つ目。実は、電子署名法は技術的には中立な法律であって、PKIによる電子署名(デジタル署名)のみをターゲットにしているものではない。PKI以外であっても、上記の要件通りの電子署名の機能を持つと認められ得る技術であれば、法律の条文がそのまま適用できるように構成されている(この場合、関係する政省令のいくつかは改定の必要があるかもしれない)。だが実際には、現時点において、PKI以外に上記の要件を満たすとして国に認知されているものは無いようだ。

 2つ目。定義上の電子署名は「本人」すなわち人間が主語となっている。現在PKIが利用されているアプリケーションでは、サーバやパソコンなどの機器が上記の「電子署名」によく似た処理を自立的に行うことも多いようだが、法律による保護の対象はあくまでも「人」(=自然人、法人は含まれない)である。

 3つ目。電子署名法は「電子署名」についての法律であり、PKIを用いた暗号やオンライン認証等については一切関係を持たない。もちろん、PKIを暗号や認証目的で利用してはならないと言っているわけではない。だが、例えば、国による認定を受けた認証局(後述)から発行された電子証明書を、暗号やオンライン認証の目的に利用した場合(注1)であっても、その暗号や認証の効果は法的に一切保護されない。

注1:通常、認定認証局は、電子署名以外の用途での電子証明書の利用を明確に禁止している。
  • 新着記事
  • 特集
  • ブログ