文章表現Ⅱクラス  自由テーマによる小論文  

インターネットにおけるデジタル署名の認証機関に関する問題

マレーシア、シンガポール、日本の比較を通して―

                                             

法学  チャン ルーマン(マレーシア)

はじめに

 インターネットは企業にも政府にも、多大の利便性をもたらすと理解されているが、同時に既存のルールや法制度に関する多くの問題を提起している。たとえば、インターネット等を利用して商品を売買する場合は、認証の確保が極めて重要である。なぜなら、時には取引の当事者が互いに会うこともなく、取引行為を遂行することが可能であるからである。インターネット上の取引の安全性は、情報の機密性や当事者同一性の認証、取引情報の完全性によって保たれる。デジタル署名はこうした要望を満たすために発展した。
 デジタル署名は、「使用者が手書きの署名と同一効力を持たせる意図で、作成した電子記録に添付、または論理的に関連づけられた識別子、もしくは認証技術(原文英語、訳は筆者)」と定義される[1]。すなわち、デジタル署名とは、例えば送信者の本人性を保証するというように、メッセージを認証するメカニズムである。しかし、そこには署名と本人が意図した人物の相関性という問題が横たわっている。すなわち、送信した者が本人自身であると主張するような、メッセージの本人性を確認する必要性がある[2]。メッセージの本人性を確認するためには、署名者の本人性を証明する働きをする第三者が必要とされる。すなわち、電子証明書は品物のアイデンティティーと公開鍵の所有者を結びつける機能を持つが、その発行と管理の役割を担う信頼できる第三者が認証機関となる。
 本研究は、インターネットの公開鍵の構造基盤技術とデジタル署名の問題の基本的側面について説明し、その課題について考察する

 本論

1.公開鍵基盤(PKIPublic Key Infrastructure

  デジタル署名を行うに際しては、公開鍵暗号方式という暗号技術を利用して公開鍵基盤(PKI: Public Key infrastructure)構築する方法が現在最も広く採用されている。公開鍵基盤、そのものは技術ではなく、セキュリティーシステムの展開であることを指摘しておかなければならない[3]。それは、安全で信頼性のある商取引基盤を提供するため、デジタル署名や承認機関、そして非対称暗号システム(公開鍵暗号システム)のような安全性を確保するシステムを機能させる基本基盤である。全体のシステムは、隔地者間で行われる商取引に必須な要素である信用を確保するように機能する[4]。信用は、その証明を信頼する者(第三者)が他者の公開鍵(アイデンティティー)を確実に確認できた時に成立する。当事者達は鍵の証明書を提供する認証機関を信頼できなければならない[5]。したがって、認証機関に関する規制や法律の分析なくしては、認証は完全にはならない。
 次章では電子商取引の主要アクターである認証機関の法的、規制的枠組、特にマレーシアにおけるそれを検証する。

 2. 認証機関の管理

電子署名制度の中心的要素は認証機関である。電子商取引において、それは当事者間に信用を提供する独立した第三者である。そのため、認証機関の管理には政策が必要とされる。ここでの問題は、認証機関の運営において、責任の主体は誰か、誰を認証機関と呼ぶことができるのか、そして、認証機関の責任と義務は何か、である。政府介入を伴う程度に応じた種々の電子制度の観点から、規制は政府規制と自主規制の2種類に分類される。マレーシアは前者を採用しているが、日本やシンガポールは後者を採用している。

  i.  政府規制

政府規制は、法律により授権された適切な政府機関が認証機関運営のための許可書の発行や管理を行う[6]。認証機関は所定のルールや規則の下で運営しなければならない。その利点は、許可を受けた認証機関の義務を限定的にできること、そして最も重要なのは、認証機関による電子署名に法的有効性を持つことである[7]。認証機関がこのように機能するためには、使用者が認証機関(第三者)を信用しなければならない。また、その信用を得るため、何かしらの安全形態が持続して存在しなければならない。この場合、それは政府のバックアップである。基本的に、このモデルは政府介入と政府への信用を安全性として利用し、それにより利用者が電子商取引の世界に加わることを促進する。
  これは、デジタル署名法(1997年)[Digital Signature Act 1997]が認証機関の許可取得を強制と規定するマレーシアで適用されている強制的許可制と同じである[8]通信マルチメディア法(1998年)[Communications and Multimedia Act 1998]により創設されたMCMC (Malaysian Communications and Multimedia: マレーシア通信マルチメディア委員会)は、認証機関の活動を監視し監督する責任を負う機関である[9]。実際、無許可の認証機関を運営することは、デジタル署名法(1997年)の下で許可要件が免除されていない限り、マレーシアでは犯罪である[10]。ちなみに、シンガポールでは許可取得を任意と規定しているにもかかわらず、認証機関の許可はマレーシアの政府規制と類似した同国の規制の主題となっている。

  ii.  自主規制

これはマーケットと技術の中立性を中心要素とするアプローチである[11]。ここでの発想は、政府は電子署名が法的有効性を持つことのみを保障し、電子署名の安全性については標準的な方針のみを規定するだけでよい、とする[12]技術的に中立であり、デジタル署名を強制しないため、どの技術を適用するかは認証機関に任されている。安全性枠組みの定立や、電子署名の実施に関し、認証機関はまたその責任者でもある。ある意味では、だれでも認証マーケットに参加できるので、マーケット勢力は、認証機関が自己の評価を上げるため、相互に競い合う要因となる。経済に御されるマーケットは、認証機関の繁栄と、最良の技術とサービスを生産するため、相互に競争することを可能にするだろう。しかし、利用者は契約条項で決定した認証機関に従うことになるため、利用者の保護に欠ける。
 現実には、たとえ認可取得の任意性が規定されていたとしても、限定責任を望む認証機関はそれぞれの法規則下の認定取得を選ぶという動きがみられるようだ。日本およびシンガポール政府はこれによって表面的には認証機関に自由市場での競争を許す多くの自由を与えているが、法的保護という魅力が認証機関の認可や認定の取得や申請に引きつけている。

 3. 認証機関の義務と責任

認証機関の規制に関して鍵となる論点の一つは、認証機関の義務と責任についてである。責任が問題となる局面は三つある。まず、電子署名法規則の不遵守、また、認証機関と署名者間の契約関係、さらに署名者の個人情報の故意的漏洩である。ここでは電子署名法規則の不遵守に焦点をあてる。
  認証機関は、ペア鍵の所有者の本人性の保証を提供する役割を担うため、利用者とデジタル署名を信頼する者(第三者)に伴うリスクを最も負う者である。 もし保護が与えられていなければ、認証機関は、特にデジタル証明書を信頼した第三者との関係で非常に重い責任を負うだろう。認証機関のマーケットを保護し促進するため、電子法規則

は責任の限定と信用の限定の規定を要求する。先にも述べたとおり、許可を得た認証機関であることのメリットは、責任と信用の限定という保護を受けられることである。この点、日本の電子署名法は認定を受けた認証機関の限定責任を規定していない。
 マレーシアでは、許可を受けた認証機関は、利用者に証明書を発行する際に、証明書に推奨信用限度を含まなければならず、それにより、証明書の不実記載や署名者に対する証明書発行の先行条件のケースについて、信用の限度を超えて責任を負わなくなる[13]。責任の完全なる保護は、デジタル署名法(1997年)の要件を満たしたデジタル署名の誤記や偽造がなされ、信用損失がおきた場合に認証機関に与えられる[14]。それに加え、認証機関は利用者からの損害賠償という形式においても保護されている[15]。認証機関に与えられた階層的な保護は、利用者に証明書を発行するに際し、認証機関はその義務の遂行に注意を払わなければいけないことを意味している[16]。日本の電子署名法第41条が、認定をうけた認証サービスプロバイダーに虚偽の申し込みをした、もしくはその未遂行為をした者に刑事罰を課していることは興味深い。
 署名者と認証機関を信用する他者に対する認証機関の責任の限定は多くの困難に直面しているため、法律は可能な限りそのリスクを認証機関の顧客に転嫁するインセンティブを認証機関に与えている。責任に関する以上の問題は継続的に議論されている[17]。そこでは、認証機関を要素の一部とする公開鍵基盤は、リスクを除去したり減少させたりするのではなく、単にリスクを秘密鍵所有者(署名者)に移転させるだけだ、と論じられている。基本的にデジタル署名法(1997年)は責任の大部を利用者にシフトしている。
  以上の考察を基に結論を言えば、マーケットを成長させるため、電子署名法規則の下で、責任の分配は公平でなければならない。大企業にとってこれはそれほど問題ではないかもしれないが、一般の利用者や信用する者(第三者)にとっては大きな促進阻害事由である[18]。そもそも、彼らは認証機関の内部的働きについて知らないだろう。また、認証機関が責任を負うべき主体であることを利用者が立証するのは困難である。結局、利用者の責任は無制限となるのである。 

おわりに

  最近、日本では国民ID、すなわち、電子的本人認証がIT戦略本部の政策課題に上った。だが、大地震大津波の脅威にさらされている日本では、「着の身着のまま」で実行できる本人認証手段を考慮しておくことが望ましい。電子署名が署名者の同一性を担保にするものであるのに対して、本人認証基盤は本人の実在性を担保にするものではないかと思える。それには、本人認証基盤に関する利用、運用管理基準が必要である。電子署名と本人認証基盤の関係についてのさらに踏み込んだ検討が今後の研究課題である

 参考文献資料

[1] 石黒一憲『電子社会の法と経済』(2003)岩波書店  

[2] 西村総合法律事務所ネットメディアプラクティスチーム編『IT法大全―ビジネスローのIT対応と最先端実務』(2002)日経BP社

[3] NTT データ技術開発本部システム科学研究所 (編集)『サイバーセキュリティの法と政策』 NTT 出版

[4] 小向太朗 『情報法入門 デジタル•ネットワークの法律』(2008) NTT 出版

[5] 王荣华王爽名的立法比研究,农业大学学(社会科学版)』(2006 8 )

[6]‘Definition of Electronic Signature in Massachusetts Electronic Records and Signature Act’, draft dated 4 November 1997,

http://www.mag-net.state.ma.us/itd/legal/mersa.htm, accessed on 10 November 2009

[7]  Babette Aalberts and Simone van der Hof (2000), ‘Digital Signature Blindness’ 7 (1)  The Electronic Data Interchange Law Review

[8] Bradford Biddle (1997),‘Legislating Market Winners: Digital Signature Laws and the Electronic Commerce Market Place’San Diego Law Review, 341225

[9] Benjamin Wright (2000),‘Symposium: Cyber Rights, Protection, and Markets, Eggs in Basket: Distributing the risk of Electronic

Signatures’University of West Los Angeles Law Review 32, 215, 219-220.

[10] Dennis Campbell eds (2005), E-commerce and the Law of Digital Signatures, Oceana Publications Inc.

[11] Elias G. Carayannis and Eric Turner (2006), ‘Innovation Diffusion and Technology Acceptance: The Case of PKI Technology’26 Technovation, 847

[12] Guide to Enactment of the UNCITRAL Model Law on the Electronic Signatures of 2001.

[13] Jane K. Winn and Benjamin Wright (2005), Law of Electronic Commerce, 4th edition, Aspen Law and Business

[14] Lorna Brazell (2004), Electronic Signatures: Law and Regulation, Great Britain: Thomson Sweet &  Maxwell

[15] Richard Kuhn (2001), Vincent C. Hu, W. Timothy Polk, Shu-Jen Chang, Introduction to Public Key Technology and the Federal PKI

Infrastructure, National Institute of Standards and Technology, U.S. Government Publication

[16] Rokiah Kadir (2008),‘Validity Issues of Electronic Signatures under the Malaysian Law 2,The Malayan Law Journal Articles, 108

[17] Ronald de Bruin (2002), Consumer Trust in Electronic Commerce: Time for Best Practice, Netherlands: Kluwer Law International, Section 3.3.

[18] Stephen Mason (2003), Electronic Signatures in Law, UK: LexisNexis

[19] Stephen M. Mason (2006),‘Electronic Signatures in Practice 6 J



[1]‘Definition of Electronic Signature in Massachusetts Electronic Records and Signature Act’, draft dated 4 November 1997, http://www.mag- net.state.ma.us/itd/legal/mersa.htm, accessed on 10 November 2009.
[2] 具体的には、暗号化技術を利用して「秘密鍵」と「公開鍵」と呼ばれる二つの電子的な鍵を用いて署名を行い、認証する。最初に、Aがメッセージを暗号化し、送信するため秘密キーを使用する。Bは署名者の公開鍵を使って暗号化されたメッセージを照合し、それによりメッセージの送信者がAであることを確認する。これは、秘密鍵を持つAしかそのようなメッセージを送信できないからである。
[3] Elias G. Carayannis and Eric Turner (2006), ‘Innovation Diffusion and Technology Acceptance: The Case of PKI Technology’ Technovation 26, 847, 847-855.
[4] Richard Kuhn, Vincent C. Hu, W. Timothy Polk, Shu-Jen Chang (2001), Introduction to Public Key Technology and the Federal PKI Infrastructure, National Institute of Standards and Technology, U.S. Government Publication, p. 15.
[5] Ronald de Bruin (2002), Consumer Trust in Electronic Commerce: Time for Best Practice, Netherlands: Kluwer Law International, Section 3.3.
[6] Babette Aalberts and Simone van der Hof (2000),‘Digital Signature Blindness’7 (1),The Electronic Data Interchange Law Review  1, 9-10, 20-24.
[7] 王荣华王爽名的立法比研究,农业大学学(社会科学版)』(2006 8 ) 3,3
[8] Section 4 (1) Digital Signature Act.
[9] Section 3 (1) Digital Signature Act.
[10] Section 4 and Section 16 Digital Signature Act.
[11] 6に同じ。
[12]電子署名法 第四章 指定調査機関等
[13] Section 61 (b) Digital Signature Act. Singapore Electronic Transaction Act Section 44.
[14] Section 61 (a) Digital Signature Act. Singapore Electronic Transaction Act Section 45.
[15] Section 41 (1) Digital Signature Act.
[16] Section 29 and Section 30 Digital Signature Act.
[17] Bradford Biddle, ‘Legislating Market Winners: Digital Signature Laws and the Electronic Commerce Market Place’ (1997) 34 San Diego Law Review, 1225.
[18] Benjamin Wright, ‘Symposium: Cyber Rights, Protection, and Markets, Eggs in Basket: Distributing the risk of Electronic Signatures’ (2000) 32 University of West Los Angeles Law Review, 215, 219-220.