セッション2
「電子商取引が切り開くネットワーク経済」
認証制度1
小職として、認証・公証に興味があり、下記についてご意見賜ればありがたく存じます。電子データの改竄やなりすまし、否認等を防ぐ手段(技術)として、認証・公証技術がありますが、用途に応じてそれぞれ用いられる技術レベルが異なるかと存じます。
例えば、公証人役場における公正証書や病院の電子カルテ等には最高の強度が要求され、企業間の取引データには、企業間の合意で十分である。また残高確認等の金融関連についての本人確認は高度の認証が必要である等これら認証・公証技術が必要とされる利用パターンとそのパターン別に必要とされる要求レベルについてご意見頂ければ幸いです。
これらの感触は官公・民間・個人それぞれの立場で異なり、将来的にはそれぞれ収斂していくとは思われますが、その収斂の時を早める事がECの普及定着に必要であり、そのための検討の場の一つがGISであると思われます。
| From: | 関口 和一 |
| Subj: | 【2】論点の提起 |
NECの木村さん【1】から、認証・公証制度についてどう考えるかとの御質問がありました。恐らく電子商取引を進めるうえで、この部分は極めて重要な点ではないかと思います。
これまでの政府の取り組みもどういう方法で決済をするのか、安全性を保つかという議論はなされてきましたが、その決済制度のインテグリティーをだれが保つのか、安全性はだれが保障するのかといった点はあいまいだったかと思います。現行の電子マネー・決済手段の実験やサービスをみても、発行主体や認証サービスについては、それぞれバラバラのままです。政府の所管についても、法務省なのか通産なのか、郵政なのか、はっきりしておりません。
電子メールの普及によってファーストクラスレターが激減した米国では、郵政公社(USPS)が認証会社として生き残りをかけようとしているという話も聞いたことがあります。日本でも郵便局は電子マネーそのもののサービスを展開するより、電子公証役場になるという考え方もあるかもしれません。木村さんからのご指摘でもありますので、このあたりについて皆さんのご意見をうかがいたいと思いますが、いかがでしょうか?
| From: | 児玉 皓次 |
| Subj: | 【3】誰がどこまで認証するか |
現に認証ビジネスを行なっているという立場で、木村さん【1】のご意見に対して私の方から意見を述べさせて頂きます。
【1】木村邦彦
小職として、認証・公証に興味があり、下記についてご意見賜ればありがたく存じます。電子データの改竄やなりすまし、否認等を防ぐ手段(技術)として、認証・公証技術がありますが、用途に応じてそれぞれ用いられる技術レベルが異なるかと存じます。
純粋に技術的な面のみを考慮した場合、用途に応じてレベル (= 強度) を変えるという必要性はあまりないのではないかと考えます。十分な安全性を持つ鍵長のものを常に使い続けたとしても、現在の計算機性能を考えた場合、大きな性能低下には繋がらないだろうと考えられるからです。むしろ、それ以上に制度面での問題、つまり、ユーザに対して証明書を発行する際の本人確認手続きとしてどこまで実施するか、といったところにもっとも差異が現われるのではないでしょうか。
また、『誰がユーザ認証を行なうのか』、という問題に対する最適の解というのが、場面場面で異なってきますから、やはり当分の間はそれぞれ別々の認証主体によるユーザ認証が並立するということにはなるのだろうと思います。
【1】木村邦彦
例えば、公証人役場における公正証書や病院の電子カルテ等には最高の強度が要求され、企業間の取引データには、企業間の合意で十分である。また残高確認等の金融関連についての本人確認は高度の認証が必要である等これら認証・公証技術が必要とされる利用パターンとそのパターン別に必要とされる要求レベルについてご意見頂ければ幸いです。
という問いかけに関しましては、認証ビジネスプロバイダとして、私どもも非常に興味がございますので、是非みなさまのご意見をお伺いしたいところです。
| From: | 木村 邦彦 |
| Subj: | 【4】誰がどこまで認証するか |
【3】児玉皓次
十分な安全性を持つ鍵長のものを常に使い続けたとしても、現在の計算機性能を考えた場合、大きな性能低下には繋がらないだろうと考えられるからです。
児玉さんの言われるとおり技術評価としての差異よりも、本人確認手続きをどこまで行うかという意味での制度面の差異の方が大きく、また私の興味の中心もそこにあります。
| From: | 川島 昭彦 |
| Subj: | 【5】誰がどこまで認証するか |
【1】木村邦彦
電子データの改竄やなりすまし、否認等を防ぐ手段(技術)として、認証・公証技術がありますが、用途に応じてそれぞれ用いられる技術レベルが異なるかと存じます。
に対する児玉さん【3】のご意見に対して概ね賛成なのですが、技術レベルという点について別の見方をしておりますので、意見を述べさせて頂きます。
電子認証(公証というと役所が行う狭義の認証だけをさす恐れがありますので、あえて電子認証と呼ばせて頂きます)は、言うなれば印刷所のような存在であると考えることができます。刷り上がってくる印刷物は、X.509という標準のフォーマットが決められていますから、基本どの印刷所で、どういった印刷機で作っても同じ物が出来てきます。ここが紙の印刷物とは違うところで、高級な(技術レベルの高い)印刷機でしかできない微妙な透かしや超高精細な印刷といったものが、デジタルの世界では皆同じになってしまいます。
しかし、紙の印刷物の場合、紙幣や有価証券といった重要書類が造幣局や大蔵省の認可を受けた工場でしか印刷することができないように、電子認証書の場合も紙幣や有価証券に相当するような重要な認証書は、あるレベル以上のセキュリティを保った認証局で、あるレベル以上のセキュリティに配慮した認証書発行システムを用いて発行されるべきと考えられます。この時重要になるのは、認証書発行システム(印刷機)そのものの技術もさることながら、如何に入退出が管理されているかや、中でのオペレーションがどの程度セキュリティに配慮した運用になっているかといった点であると言えます。
紙の世界と電子の世界に共通する点は、簡単に偽造されては困るという事です。(将来、電子認証という技術が一般化して世の中で広く使われ出すと、一旦被害が起こった場合の伝承速度の速さ等の観点から電子の世界の方がより危険 → より高セキュリティでなければならないという見方が一般的のようです。)
ところで、世の中には造幣局や有価証券の印刷所といったところは印刷所全体の数からすると、極限られた数しかなく、証明書と言えども目にする多くの印刷物は近所の印刷所で印刷されています。名刺などは証明書の典型ですが、簡単に偽造できる点で、セキュリティには殆ど気を配られていない証明書ということが言えます。
しかし、これが世の中で通用するのは名刺が活躍するのは多くの場合対面がベースだからです。こうして、証明書とそれに付随する信用の構造は、その証明書が使用されるシーンでの運用面も含めて担保されているわけです。電子認証の場合も同じであり、発行する認証書が要求する重要性に応じて、発行主体や発行システムが使い分けられると考えられます。
【3】児玉皓次
むしろ、それ以上に制度面での問題、つまり、ユーザに対して証明書を発行する際の本人確認手続きとしてどこまで実施するか、といったところにもっとも差異が現われるのではないでしょうか。また、『誰がユーザ認証を行なうのか』、という問題に対する最適の解というのが、場面場面で異なってきますから、やはり当分の間はそれぞれ別々の認証主体によるユーザ認証が並立するということにはなるのだろうと思います。
この点については私も同意見です。
【3】児玉皓次
いずれにしろ、木村さん【1】の
例えば、公証人役場における公正証書や病院の電子カルテ等には最高の強度が要求され、企業間の取引データには、企業間の合意で十分である。また残高確認等の金融関連についての本人確認は高度の認証が必要である等これら認証・公証技術が必要とされる利用パターンとそのパターン別に必要とされる要求レベルについてご意見頂ければ幸いです。
という問いかけに関しましては、認証ビジネスプロバイダとして、私どもも非常に興味がございますので、是非みなさまのご意見をお伺いしたいところです。
これについては、多くの議論があると思います。最初に私が述べさせて頂いた点は証明書発行現場の安全性や技術レベルについてであり、また児玉さん【3】が述べられているのは、証明書がどういう審査基準で誰から発行され、その結果その証明書がどういう意味を持つかと言う点に触れられています。
ここで、木村さん【3】のご質問は、これらの上の層として(アプリケーションレベルで)証明書がどう発行され、どう運用されるべきかについてのご提議だと思います。以下に、私の私見を述べさせて頂きます(実際にはどれが正しいというコンセンサスは出来ていないと思いますので、あえて私見と書かせて頂きました)。
- まず初めに、世の中で広く使われるべきもの(公証や金融関連等)と、クローズドなグループ内で使われるもの(少数の企業間取り引き等)に分ける。
- クローズドなグループ内のものは、安全性やルールについて当事者間が合意すればそれで充分。
- 世の中に広く使われるようになる証明書については、法律整備を含めたきちんとした枠組みが必用。さらにアプリケーション毎に以下の点を考慮する必要あります。
- ベースとして認証主体は証明書に付随する権利・義務等を担保出来るところが行うべき。
- ヒエラルキー構造をベースとした、信用のTree構造を考える必要がある(ルートキーは誰が持つべきかなど)。
- 必用なものについては、通信プロトコルレベルまで突っ込んだルール作りが必用。(系全体の安全性を保つ為、また電子署名と覗き見防止の使い分け等を考慮する為)
【1】木村邦彦
これらの感触は官公・民間・個人それぞれの立場で異なり、将来的にはそれぞれ収斂していくとは思われますが、その収斂の時期を早める事がECの普及定着に必要であり、そのための検討の場の一つがGISであると思われます。
私もそう思います。GISというのは良く知らないのですが、アメリカなどでは産業界が中心となって政府も巻き込んでルール作りを進めていたり(SET,FSTC等)ヨーロッパやアジアの国々では政府主導でこれが進められているのに対し、日本でもようやく動きだしそうですが、関口さんのご指摘の通り、方向性が今一つ定まっていない感じを私も持っております。
| From: | 高木 寛 |
| Subj: | 【6】認証制度と法制度 |
【要約】電子認証制度では技術的な面・経済社会での利用の面のほかに法制度面からも考える必要があるのではないかと思います。
【内容】電子認証制度では、暗号などを含む認証技術と実際の経済社会でどのように利用されるかという点の考察が必要なことはもちろんですが、もうひとつ電子認証制度は、米国では、統一商法典(UUC:Uniform Commercial Code)の改正と密接に結びついています。わが国と異なり、従来、米国では500ドル以上契約には、要式主義が取られていて、契約の形式的成立要件として当事者のサインがある書面の交換が必要でした。
ところが、それでは電子商取引は成り立ちませんから、UCCの改正のドラフトではそれに代わる電子署名、電子認証制度が必要とされています。そこでは、事実上まちがいがなければ良いというのではなく、法廷での争いの決め手になりますから、法定の要件を定めた認証制度が要求されます。UCC自体は州法の前提になるものなので、それに基づいて州法が作られることになるのでしょうが、すでに電子署名について州のレベルで立法化が始まっているのは、そのような事情があります。
そうだとするとわが国で電子認証制度を考える場合もこの点をにらんでおく必要があると思います。法務省の電子認証の研究はおそらくこの辺を踏まえているのではないでしょうか。その場合でも必ずしも電子認証の機関はひとつである必要もなく、また、これからの社会では、現在の公証人のように国家が独占する必要もないのでしょうが、ある程度法制度とリンクした形でないと、法律的な契約という面では意味を持たなくなる可能性があります。
欧州と米国のあいだのプライバシーについては放置すると米国のECが欧州市場に参入できない可能性があるため深刻な問題になっています。心配しすぎと言われるかもしれませんが、認証制度では米国とわが国の間で同様の問題が生ずる可能性を秘めているのではないでしょうか。わが国で米国の制度に相当するに電子認証制度の成立が遅れたり。
米国の要件と異なる場合には、EC上の契約が米国流の方式を備えないため、契約の成立が認められないなどのトラブルになりそうな気がします。ただ、渉外法の分野では、各自が各々の国の方式を備えれば契約の形式的成立としては有効という見解もあり、EUと米国のプライバシーほど深刻ではないのかもしれません。しかし、反対に双方の方式を備えなければならないという考えもあります。
また、わが国の電子認証制度が成立していなくても米国のものを利用するという方法もありますから B to B の場合はそれによればよいのですが、一般の消費者となると簡単に海外の認証制度を利用できませんからわが国の制度が必要になると思います。また、米国の人が事実上この方式を強硬に要求するということもあるかもしれません。その場合は、法的にはともかく、ひとつのトラブルにはなってしまいます。どうなんでしょうか?
| From: | 藤原 宏高 |
| Subj: | 【7】認証制度と法制度 |
【6】高木寛
【要約】電子認証制度では技術的な面・経済社会での利用の面のほかに法制度面からも考える必要があるのではないかと思います。
との意見には賛成です。アメリカでは、日本の日弁連に相当するABAが1996年8月にデジタル署名ガイドラインを発表し、電子認証制度の法的枠組みが確立した。その後各州ごとにかかるガイドラインに準拠したデジタル署名の法的意味づけが行われている。そしてこの動きは世界的に広まっていった。どうして日本ではかかる動きがないのか?。私は、デジタル署名に関する法律的な検討が政府を中心にして行われているとはいえないからであると考えている。
推進する省庁がない?。議論する法律家がいない?。日本における法的検討は実に遅れていると言わざるを得ない。誠に残念である。その不利益は誰が被るのか?電子署名の法的な意味づけが行われない限り、電子商取引は不安がつきまとう。消費者は敏感である。本格的には電子商取引を利用しない?。その結果、電子商取引は盛り上がらない?。これは誰の不利益か?気が付いている人は少ない。
| From: | 中野 潔 |
| Subj: | 【8】認証制度と法制度 |
要約:藤原宏高さん【7】の意見に賛成です。電子商取引の育成に熱心で、通商分野を管轄する省庁に、率先して、たたき台を提出する義務があると考えます。
序:藤原宏高さん【7】の意見に賛成です。電子商取引の育成に熱心な省庁が、補正予算数百億円という規模で、この分野のプロジェクトに、テコ入れしています。補助金を交付する場合、面と向かって非難されることはありません。これに対して、電子署名を中心として、電子商取引の周りの法案、法案までいかなくても考え方の方向を示しただけでも、多くの瑕疵を指摘されるでしょう。
技術的に動きの激しい分野では、どのような解決策案を示しても、ボーダーラインとなるケース、例外を考えるときりがないケースが出ると考えられます。それを考えると、省庁が積極的な提案に躊躇している可能性はあると思います。
破:日本の著作権法を考えてみます。早い段階から、ソフトウェア時代、デジタル時代への対応に果敢に挑んできた−−と小生は捉えています。著作権法の条文は、緻密にすぎるほど、緻密に作ってあります。その綿密すぎる点が、よくも悪くも日本の法律の特徴ではあるのですが。80年代前半からの20年近くの、何回かの改正で、世界の動きに先んじるほどの条文になり、今後は、法律の条文そのものよりも、運用の姿の改善に力点を移すと、著作権課長が公言する段階になりました。
急:技術の動きに合わせた遺漏のない法律など、何年たってもできないと素人ながら考えています。デジュレ標準とデファクト標準との間の論議と同じで、95点を目指して動きが遅れるより、65点で速く動く方が大事だと考えます。65点では、グレーゾーンができ、省庁が、恣意的な裁定などを非難される場面が多くなるでしょう。しかし、藤原宏高さんが
【7】藤原宏高
本格的には電子商取引を利用しない?。その結果、電子商取引は盛り上がらない?。これは誰の不利益か?気が付いている人は少ない。
−−とおっしゃっているように、先に進まないことが、住民たちの便益を逸するという、プラスマイナスでいえば、大きな損害を与えています。電子商取引の育成に熱心で、通商分野を管轄する省庁に、率先して、たたき台を提出する義務があると考えます。
以上。追伸=97年6月16日に、郵政省の諮問機関がまとめた「中間取りまとめ」の中の「サイバー法」の提唱はどうなったのでしょうか。小生自身は、サイバースペースの中の行為といえども、それ全体を括る法律を作ろうという発想には無理があると考えます。サイバースペースの中の商取引については、物理社会もサイバー社会も含めた商取引を律する法律の中で、たとえば、フィジカルな署名と電子的署名とに具体的に言及して定めるべきと考えます。
| From: | 川島 昭彦 |
| Subj: | 【9】認証制度と法制度 |
【6】高木寛
【要約】電子認証制度では技術的な面・経済社会での利用の面のほかに法制度面からも考える必要があるのではないかと思います。
私も高木さんのご意見に前面的に賛成です。昨年暮れに、この方面にお詳しい大学の先生とお話をしていた際も、正に高木さんのおっしゃる論点を指摘されていました。日本では商法において米国のような形式の要式主義がとられていないので、法務省も省庁間の調整をしてまで電子署名法の成立に向けて積極的に動くといった行動になかなかならない、ともらしておられました。
このまま、きちんとした法整備の動きがなく、時間ばかりたちますと、国際間契約などの場合は、ちょうど欧米のプライバシー法案に関する問題のように、日本とは取り引きができないといった事態も想定されます。その場合、既に電子署名法が成立して、そのベースでのインフラが整っているる欧米から日本も同じような法律整備を早急に進めるようプレッシャーがかかり、その時点での準備が不十分であれば、欧米方式の法律案を突きつけられる恐れもあるというのは考え過ぎでしょうか。いずれにせよ、電子署名法の成立に向けての省庁間を超えての真剣な議論が必要であると思います。
【6】高木寛
必ずしも電子認証の機関はひとつである必要もなく、また、これからの社会では、現在の公証人のように国家が独占する必要もないのでしょうが、ある程度法制度とリンクした形でないと、法律的な契約という面では意味を持たなくなる可能性があります。
これもその通りだと思います。ここでいう法制度とリンクした形というのが、認可制度ではないかと思います。認証局の認可制度には賛否があることは承知しておりますが、全く自由というのでは電子署名の法的拘束力とリンクさせるのが困難かと思います。
【6】高木寛
また、わが国の電子認証制度が成立していなくても米国のものを利用するという方法もありますから B to Bの場合はそれによればよいのですが、
契約に法的要件が要求されている場合、日本の法人が海外の法律の下で成立している制度を用いて法的要件を満たすというのは、なんとなくピンとこないのですがこのようなことはあるのでしょうか。
| From: | 小野塚 仁 |
| Subj: | 【10】認証制度と法制度 |
私も藤原さん【7】他皆さんの意見に賛成です。法制化を進めるに当たって、各省庁の管轄をまたぐことが予想されますし、各省庁それぞれの立場(既得権益とは申しませんが)も重視されるだろうと思います。しかしこの様な理由で、電子商取引の普及が阻まれるのならば、それは国民の不利益、即ち国家の不利益となるでしょう。各省庁は、むしろ「良識ある行政機構」として、21世紀の日本のために協力して本件を推進して頂くことを希望します。
あなたのご意見をお寄せ下さい
| 
