あなたの知らないPKI（3）--PKIに関係する諸制度（企業・市民編）その1

（2）認証局についての国による基準と認定制度

　電子署名法における2つ目の大きな柱は、国による認証局の認定制度である。国は、一定の安全性を満たした認証局について、適切な審査を行ったうえで、認定を与えることができる。

　この制度は任意制度であって、認定の基準を満たしたからといって、すべての認証局が認定を受けなければならないわけではない。法令によると、認定された認証局と一般的な認証局との関係は図3-3のように整理される。

図3-3 電子署名法における認証業務の区別（概略）

　よく誤解されることだが、認定を受けた認証局を利用することは、電子署名の有効性が認められる（正確には「推定される」）ことの必須条件ではない。認定を受けていなくても、適切に運用されている認証局を利用するのであれば、上記の第3条が適用される可能性がある。

　認定の要件として国が求める基準は、法第6条および関連する省令に定められており、大枠として次の事項をカバーする。

• 認証局が利用する設備に関する事項
• 電子証明書を申し込む利用者の審査の方法
• 業務の実施の方法（利用者への説明事項、電子証明書の記載事項、CPSの策定等）

　電子署名法の認定を受けた認証局（これを「認定認証局」と呼ぶ）が発行した電子証明書を利用するのは、いくつかの点でメリットがある。

　1つは、これまで述べてきた通り、法的に高い証明力を持つ電子署名を作成可能な点だ。このことに起因し、複数の法令やガイドラインで、特定の用途に利用する電子署名については、認定認証局が発行した電子証明書の利用を必須あるいは推奨している。

　また、認定認証局は、追加でいくつかの要件を満たすことにより、国が運営する政府認証基盤（GPKI）へ相互接続することができる。この結果、発行された電子証明書は行政機関への電子申請や電子入札において利用できるようになる。政府認証基盤やその関連制度については、次回以降で説明したい。

　2008年9月4日時点で、国による認定を受けた認証局は19ある。この大部分は、政府認証基盤に相互接続しており、行政機関への電子申請や電子入札での利用を主な目的とした電子証明書を販売している。

　さて、本連載初回「あなたの知らないPKI（1）--PKIのコア要素/公開鍵暗号」の冒頭で、去る5月末に「電子署名及び認証業務に関する法律の施行状況に係る検討会報告書」が発表されたことに触れた。

　同報告書は、電子署名法の施行から5年以上が経過したことを受け、同法の附則に従い、総務省、法務省および経済産業省主導のもと昨年12月から今年3月末まで実施されてきた「電子署名及び認証業務に関する法律の施行状況に係る検討会」（座長：辻井重男 情報セキュリティ大学院大学学長）の報告書である。この検討会の報告結果を受け、今後国は必要な措置を行うことになる。

　肝心の報告内容について、大きくは2つ、認定の対象となる鍵ペアおよびアルゴリズムについてと、法令に定めがある特定の団体（士業団体など）の加入者に電子証明書を発行する場合の発行審査の方法について、今後必要な手当てが行われるものと思われる。その他にも、報告されたいくつかの事項について措置が行われていくことだろう。

　ただし、以前よりちらほら要望が囁かれていた認証レベルの多段化や認定基準の全般的な緩和、法人名義の電子証明書の発行業務の認定については採用を見送られた。このあたりに興味をお持ちの方は、報告書本文を読まれることをお勧めする。

　次回は、企業や市民が利用するPKIの話の続きとして、文書の電子化に関係する話題、および法令で定められた本人確認要件とPKIとの関係などをとりあげる。

著者紹介

佐藤直之（日本ベリサイン 主席研究員）
2001年5月、日本ベリサイン入社。前職において暗号技術についての研究活動に従事し、現職では情報セキュリティ関連、特にPKIを中心としたコンサルティング業務等に従事。セキュリティの技術面だけでなく、電子署名法やe文書法など情報の電子化に関連する法令・制度の面において多くの知見を有する。