電子署名法認定基準のモダナイズ検討会（第4回）

概要

• 日時：令和7年（2025年）1月17日（金）10時00分から12時00分まで
• 場所：オンライン開催
  検討会の様子をライブ配信します（Microsoft Teamsを使用）
  ※ライブ配信は終了しました。
• 議事次第：
  1. 開会
  2. 議事
     1. モダナイズの方向性についてのとりまとめ
  3. 閉会

資料

• 議事次第（PDF／161KB）
• 資料1：令和6年度電子署名法認定基準のモダナイズ検討会報告書（案）（PDF／1,324KB）
• 議事録（PDF／270KB）

議事録

事務局（山之上）： 電子署名法認定基準のモダナイズ検討会第4回を開始させていただきます。皆様、本日はお忙しいところお時間いただきまして大変ありがとうございます。私は事務局を務めます。デジタル庁の山之上と申します。よろしくお願いいたします。

まず、事務局より資料確認をさせていただきます。資料は全部で2種類ございます。1点目が議事次第、2点目が令和6年度電子署名法認定基準のモダナイズ検討会報告書（案）になります。本日の資料につきましては、デジタル庁ウェブサイトにも掲載しておりますので、傍聴の方はそちらをご確認ください。それでは、以降の議事進行を松本座長にお願いしたいと思います。それでは、松本座長よろしくお願いいたします。

松本座長： 皆様、本日もよろしくお願いいたします。それでは議事1に入りたいと思いますけども、事務局の方から説明をよろしくお願いいたします。

事務局（山之上）： 事務局でございます。資料1に沿ってご説明いたします。（資料説明部分は省略）

事務局からの説明は以上となります。

松本座長： ありがとうございます。それでは質疑に入りますけれども、本日ご欠席の満塩委員から書面でコメントをいただいておりますので、まずはそちらの方を事務局から代読お願いいたします。

事務局（山之上）： 事務局でございます。満塩委員の書面コメントが3点届いておりますので、そちらを代読させていただきます。よろしくお願いします。

1点目は、論点①に関することでございます。ISO／IEC 27014セキュリティに関するガバナンスが標準されて標準化されていることも大きな方向性を示していると考える。また、リスク評価と対応を強化するにあたっては、ISO／IEC 27014に関しても触れるべきではないかと考える。

2点目につきましては、3-7に関して、今回は方向性が示せないものの、電子署名法の法令構造等の整理の検討を早急に推進していきたい。一例としては、ITソリューションは日本だけで開発されるものではなく、グローバルにITソリューションが推進されることを考慮し、2000年に作られた電子署名法における電子署名と、現状利活用されている一般的に電子署名と呼ばれているサービスの差異や日米デジタル貿易評定等に記載されている日米における電子署名の定義の差異を今後どのように対応するか検討する必要があると考える。

最後の3点目につきましては、3-1から3-6に関して報告書に記載された方向性に同意するものである。一方で認定認証業務の認定においては、最終的に調査表のレベルでの記述の修正が必要だと認識している。そのため、報告書の方向性に基づいた実体的な対応や具体的な調査表のレベルの修正に関しては、現状の認定認証事業者等の意見を十分聞きながら対応していただきたい。

以上、3点になります。よろしくお願いいたします。

松本座長： どうもありがとうございます。もっともなご指摘だと思いました。

改めて質疑に入りたいと思いますけれども、ご質問ご意見がございましたら、チャット欄の方に発言、希望の旨をお書きください。こちらから指定したいと思いますので、よろしくお願いします。

宮内委員： いくつか聞きたいところがございます。3-1の最後の文章は、少し日本語としてよく私分からなかったのですけれども、その前のところで新しい規定を設ける必要はないと考えていると書いてあります。その上でこれが明確に改めて図られるということと、少し具体的にどういうことを言っているのかが分からなかったため、ご説明いただけますか。

事務局（北井上）： 事務局でございます。宮内先生ご指摘いただきましてありがとうございます。こちらの点につきましては、規定としては設けないというところは、結論として今ご指摘いただいた通りだと思っております。そもそもこれまで求めているというところが、基準などを改めて確認したところ明らかになりましたので、ここで改めて求めても二重の要求になってしまうということで、規定自体は設けないと思っています。ただ、すでに求めていることでもあるので、そういった非常時を念頭に置いた責任や権限の明確化というのが別で要求されていることをもって、そのリスクへの対応方針・計画に書けないかというと、全然そんなことはない。むしろそういったリスクへの対応方針・計画の中に、実際そういった時にどういう責任とか権限の明確化が図られていて、どういうプロセスを持って社内で運用されるかというようなことが、その方針とか計画の中に書かれるということは全く排除されないですし、むしろ対応方針等というところの全体像が見えることはむしろ推奨される、好ましいのではないかといった趣旨でこちらの文言を書いたというところでございます。説明は以上です。

宮内委員： 「その上で」以下のところはこの枠組みではなくて、各社がそれぞれにやっている中で、という意味なのですね。少し私は一回で読み取れなかったので、少し書き方考えた方がいいかもしれないです。

事務局（北井上）： 承知いたしました。ご指摘ありがとうございます。

宮内委員： 3-2の最後のパラグラフで、現時点ではこうだと書いてありますが、例えば、本来FIPS140-3相当にしなければいけないけれども、いつまではこれでもいいなど、そのような経過措置を設けることは考えていらっしゃいますか。

事務局（北井上）： ありがとうございます。ここが、基準に具体的に落とし込むときにどうなるかというところによると思っておりますので、そこは中での法規の担当などとも相談してどう書くかというところは決めたいと思っております。

一方で、この前段で書いておりました、もうすでに事務連絡として、昨年の6月に発出しているものでも、だいたい基準としてはこんなものかなという目処はありつつも、ただ一方でそういった基準の改正まではやっていないというところもありますので、もしかしたら今回、140-3のセキュリティレベル3というところを設けることを、今回やるのかどうかというところは、色々な書き方があり得ると思いますので、そちらを引き取って、考えたいと思います。

宮内委員： 140-3がこれからできてくるのならば普通だけれども、もうできているのに前のものも、経緯があるからどうするという条文になるかと思いますので、少し検討してください。

事務局（北井上）： ありがとうございます。

宮内委員： それから、15ページの上から3分の1ぐらいのところからのこの表を一生懸命見たのですが、このサービス提供者というのはいわゆるCAのことであるかと思います。左側の絵の4.認可というのは、要するに電子証明書を発行して送ることを言っているのではないかと思うのが一点。

それから、有効性検証するのが6番ですけれども、ここで証明書を送らないかと思います。電子証明書の発行番号を送るだけなので、全体見直して正しく書いたほうがいいと思いますが、それで大丈夫でしょうか。

事務局（北井上）： ありがとうございます。こちら第3回で出した資料そのままではあるのですけれども、ここの図は色々ご議論があったところだと思っております。確かに法令的な文章の中で認可と書くと、また違うものを惹起するというところもあるかと思いますので、この図の正確性というのはもう一度見直して、なるべく丁寧かつ分かりやすく、齟齬がなるべくないようにというところで今一度見直させていただきます。

宮内委員： そうですね。3で受領して4で登録したら、そこで恐らく電子証明書を発行してそれを送っているのだと思うので、確認していただきたいです。

それからその下の方の文章で、（2）対応の方向性の5行目の最後のとこから「③確保することが」と書いてありますが、③というのは、上の方に書いてある秘密鍵が第三者の手に渡らないということだと思います。今言っている5行目からの③は、利用者以外の人から公開鍵を受け取らないようにしましょうということをここでは言っているはずです。利用者の方から公開鍵を送られてくるときに、他の人から有らぬ物を送られて証明書を作ってしまったら大変だということ言っているので、上と下の③は微妙に違うのではないかと思います。こちらは、本人以外のものに検証符号を受け取らない、あるいは受理しない等、そういう内容に書き直す必要があると僕は思っています。ご確認の上、検討していただけますか。

事務局（北井上）： ご指摘いただきましてありがとうございました。

宮内委員： もう1、2点細かいことがありまして、10ページの中央辺りの認証局の帳簿書類の中の2つ目の矢羽のところに、なお正本はと書いてありますが、電子情報で正本という概念はあるのですか。

事務局（當波）： ありがとうございます。この点の、「なお」以降のところを記載した趣旨といたしましては、今回、認証局のリポジトリにおいて、公開している情報はクラウドに持っていっても良いであろうという方向性にさせていただいたところでありますけれども、その際にリポジトリで公開している書類の一部が別の規定、帳簿書類の保管に関する規定で保管することを求めているものが一部混ざっておりまして、この帳簿書類を保管する基準に関する規定との関係性の整合性をとるために、クラウドで公開しているところは、あくまで同じものが置かれているものであり、それとは別にこの記録媒体の互換性等を確保した保存様式で、これはこの帳簿書類の保管で求めておるのですけれども、こういったものの確保は必ずしもクラウドの方で確保する必要はなく、きちんと手元でそういったものが確保できていれば良いというところを明確化するために記載したものです。

宮内委員： 正本というと、例えば判決正本、公正証書の正本等、そのような法律上の意味合いがあると思いますので、正本と言われると、何かなと少し思った次第で、可能であればもう少し上手な書き方にしていただけると、私のようなことを思う人がいなくなるかもしれないと思います。

事務局（當波）： ありがとうございます。今回のこのやりとりの議事録が残ることである程度明確化されるかなというところですが、正本という言い方の工夫がもう少々できるか検討の上、ご相談させてください。

宮内委員： また、丸ポチ、矢羽など、星のようなものがついていますけれども、何番目の何とかということで引用することは避けたいため、できれば全部、あいうえ、abcd等のような附番をしていただきたいと思います。割とこのような文章は多いですけど、何かをするときにとても苦労するため申し訳ないけれども、ぜひ励行していただきたいと思います。私から以上です。

松本座長： 宮内委員、色々なご指摘ありがとうございました。次は、漆嶌委員の方からコメントがあるということで、漆嶌委員よろしくお願いいたします。

漆嶌委員： ありがとうございます。宮内委員からも通しで説明されていたので、私も通しでコメントさせてください。

まず、3ページのリスクアセスメントの（2）の対応の方向性の表を表示いただけますでしょうか。情報セキュリティのリスク対応の話は、一般的な情報システムとしてリスクアセスがあれば望ましいといったような話ではなく、例えばWebTrust for CAや、CA／Browser Forumの要件や、こちらには記載されている欧州のETSI EN 319 401や、AATL（Adobe Approved Trust List）等、広く利用されている認証局の業界標準の要求事項として、定期的なリスクアセスメントを求めていたのだと思います。署名法ではそれを欠いているので、将来的な相互認証を見据えて、同等性の観点からそういったものを追加しましょうというのが議論のきっかけだったと記憶しているので、それを書いた方が良いというふうに思っています。

この表の中では、ISO27000、経産省の管理基準、SP 800-53、ISMAP等、署名法の認定認証がその必須要件になっているわけではないので、これらの認定を取らないと認定認証が取れないみたいな話になると、それも変な話だと思うため、その表の記載自体を少し見直していただきたいです。

また、WebTrust、CA／Browser Forumが認証局の他で利用されている基準でもあるため、（現状記載されておらず）それをまずは比較した方がいいと思っています。

また、定期的にリスクアセスメントすると言っていたが、他のところの要件でもなっているため、定期的という文言は忘れずに記載をいただきたいと思っています。

また、欧州のETSI EN 319 401について、これは認証局のポリシー要件ですけれども、番号だけではなぜこれが比較表に入っているのかということが、読者には簡単に理解ができないと思うため、タイトル等で補足いただくのが良いかなと思っています。

まずはリスクアセスメントについてのコメントは以上でございます。何か議論した方がよろしいでしょうか。それとも続けてもよろしいでしょうか。

事務局（北井上）： 事務局でございます。ありがとうございます。3-1について、何点かご指摘いただいたので、まずは事務局からお返しをしたいと思っております。

まず、1点目の議論の背景・前提のようなところについては、（1）の検討事項のところで、国内外の標準規格等を踏まえながらということで、比較的丸めて書いてしまっていた部分があったというふうに思いますので、もう少し書き下すことができないかというところは、引き取って考えさせていただければなと思っておりますが、全くそのようなことを気にせず書いているというわけではないというところだけはお伝えをさせていただきます。

2点目、このような図に書いているそれぞれの標準や規格が絶対に必要とは取られないようにというところについては、我々もそれを絶対に取るようにということは求めておらず、したがって4ページ目の2つ目のパラグラフ、「まず」から始まるところの一番後ろのところ、実際にどうするかというところで、きちんとリスク評価等、リスクへの対応方針・計画が定められていることを確認する、または、関連するこのような第三者認証などというようなものを取得していることを確認するということで、必ずしもここに書いてあるもの（標準・規格）の何かを取らなければいけないということではないということは、この文言で明確化されていると考えております。

3点目、リスク評価などが、定期的にやられていることは重要だというところのご指摘と思っております。こちらは先ほど申し上げた、「まず」から始まるパラグラフの中で、「適時に」というように書いておりまして、そのような趣旨を表現したつもりではありましたが、こちらも「適時に」を「定期的に」というように書き直すというようなことで対応できればと考えております。

最後のご指摘については、最初の部分と同様で、国内外の標準や規格等を踏まえながらということで割と丸めてしまっていた部分があったと思いますので、同様にもう少し書き下すことができないかというところは、冗長になりすぎない表現というところにも留意しつつ考えられればと思います。

漆嶌委員： ありがとうございます。3-2の5ページの一番上の辺りの表示をしていただけますでしょうか。2行目辺りから、データの改ざんが行われていないこと、および検証鍵との結びつきに関する検証を行うことによって、データの信頼性を担保できるというように書いてありますけれども、これだけでは署名の連鎖だけによって、その証明書の検証ができるというように、誤解をされると少し思っています。証明書に記載された付加情報の検証もきちんとしないと、証明書の検証はできないため、そのあたりのこともきちんと記載しておく必要があるのではないかと思いました。3-2の1個目は以上でございますが、いかがでしょうか。

事務局（北井上）： 事務局でございます。ありがとうございます。このあたりは、おっしゃるとおり変な誤解が生まれないようにということかと思いますので、もう少し何かできないかというところは、考えてみたいと思います。

事務局（當波）： ありがとうございます。私からもコメントさせていただければと思います。電子署名、デジタル署名、公開鍵暗号、PKIというところを、どこまで説明するのかというのは、これをきちんと説明をしてしまうと、それだけで数ページ要してしまうかなと思っております。どこまで踏み込むかというところではあるとは思いますけれども、ここに書かれている要素だけではないのですよ、というところは伝わるように表現を見直させていただければと思います。

漆嶌委員： ありがとうございます。

松本座長： 今のコメントですけれど、公開鍵暗号のプリミティブな検証の話と、X.509公開鍵証明書に含まれるポリシーなどの検証の理解にはかなりギャップがありますので、何かを入れた方がいいと思いました。

漆嶌委員： 同じページの下側の表の話ですけれども、FIPS140-2の問題点のカラムがありますが、そこのところで認定から記載の内容が少し間違えているのではないかと思っておりまして、その認定から5年経過したら更新されないものはヒストリカルになるというのが私の認識で、今の記述だとその令和8年9月にはFIPS140-2の認定が全てヒストリカルになるといったような表現で、それまではヒストリカルはないというような誤解を受けるのではと思ってしまいます。ヒストリカルの製品はすでにありまして、すでに5年経過しているのでヒストリカルになっているものもあるため、この記述自体が少し間違っているのではないかと思っています。ご確認をいただいて、少し見直しをしていただいた方がいいのではないかと思いました。

事務局（北井上）： ありがとうございます。こちらは第1回の資料そのままというところではありますけれども、ご指摘受けまして一度、念のために確認をさせていただければと思います。ご指摘ありがとうございます。

漆嶌委員： ありがとうございます。3-4のところですけれども、10ページの矢羽の2個目のところであります。なお、OCSPであっても、可用性のみを求められる部分に限って、クラウドを利用する場合は、と書かれていますけれども、書かれている文言だと少し意味がよくわからないのではと思っておりまして、脚注のところにきちんと内容にどういうことをするのかと書かれているので、脚注と置き換えてしまった方がいいのではと思いました。1つ目です。いかがでしょうか。

事務局（當波）： ありがとうございます。ここの部分はまさに漆嶌委員からのコメントを踏まえて書かせていただいたところでありますが、脚注もそこまで長くない内容でありますのでそこを例示した上で「OCSPであっても、例えば署名済みのOCSPレスポンスをCDN等に配置する手法など、可用性のみが求められる部分に限って」といった形で、脚注の方を本文の方に溶け込ますような形で対応させていただければと思います。

漆嶌委員： ありがとうございます。次が最後になります。同じページの脚注の一番下のところに調査表項番といったような記述がありますけれども、確か正式な文書名があると思いますので、まず記載をしていただいた方が良いのではないかと思います。

また、調査表自体が公開文書になっていなかったような記憶があり、何なのかといったようなことも含めて、項番の内容等を補足するなどをしないと、読者の方には理解ができないのではないかと思いますので、配慮いただきたいと思います。私から最後のコメントは以上でございます。

事務局（當波）： ありがとうございます。最後の調査表に関する点について、コメントさせていただければと思います。正式な名前は「特定認証業務の認定にかかる調査表」でして、一番目に調査表という言葉を使う際には、正式名称を書いた上で略称としてこの用語を使わせていただきます。

また、調査表については、指定調査機関のホームページにおいて、公開はなされているものでございます。

漆嶌委員： ありがとうございました。以上です。よろしくお願いします。

松本座長： 漆嶌委員どうもありがとうございました。他の委員の方オブザーバーの方、ご意見ありませんでしょうか。

小田嶋委員： 取りまとめありがとうございました。様々な意見を反映していただいて、感謝しております。その上で、認定認証事業者の立場からコメントさせていただければと思います。

まず、3-1の論点です。結論のところを拝見しまして、こちらに関しては特に意見はありません。次回の認定更新時の調査時でよいかということだけ確認させてください。それは何を言いたいかというと、変更認定に当たらない認識だと思っているというところです。それから、もしその前提で言うと、先ほど調査表という言葉もありましたけれども、調査表での明確化というところをお願いできればと思っております。

まず、確認ですけれども、これは認定更新時の現地調査で行われるということで、変更認定に当たらないという認識でよろしいでしょうか。

事務局（北井上）： ありがとうございます。事務局でございます。我々としても、皆さんに同一タイミングで変更認定を求めるというところは、少なくとも現時点では想定しておりませんので、そういった形で適切な経過措置を設けられればと考えております。

小田嶋委員： ありがとうございます。次に3-2の論点のところです。結論のところですけれども、認定認証事業者に対して、ご配慮をいただいた結果で記載していただいていると思っております。特に、GPKIの相互認証のところも引用していただいていて、暗号移行が、2028年に設定されていますのでそこまで含めて、それから今のFIPS140-2のヒストリカルの問題であるなど、それからFIPS140-3の選択の余地が現行それほどないようなところも含めて、配慮いただいていることを感謝したいと思っております。その上で各社において、適切に対応されるということになるのかと思っております。特に回答を求めるものではないです。

それから、3-3ですけれども、現状クラウドHSMに関して言うと、なかなか選択をするところに至らないという事業者も多く、実際に選択するとなると、現行の機密性を担保してというところは、クラウドHSMに関してハードルがあるということは再度確認しました。書いてあるとおりですけれども、今後適時に見直しが図られればいいと思っています。こちらもあの回答を求めるものではないです。

次に、3-4です。まず、リポジトリに関しては認められるべきということでこちらに関しては、改めて感謝を申し上げます。それから、BからDに関わるところですが、こちらに関しても拙速に結論を求めるわけではなく、今後、確認が必要だということに関しても、特に異論はないかなというところです。様々な方針等において、今後の状態や環境等に変わるということがあり得ると思っていますので、そういったところは適時検討や必要であれば改正というところに至っていただければと思っております。こちらも特に質問に回答を求めるものではないです。

それから、3-5です。こちらの結論のところですけれども、自動化自体に特に反対するものではないです。また、補足で書いていただいているとおりだと思っており、自動化の場合でも、必要な本人確認の強度を担保するである等、サイバー攻撃に対して脆弱なプロセスならないような必要な措置の対応を行うというところの必要性に関しても同意するものです。こちらも回答を求めません。

最後の3-6です。結論のところ自体に特段異論はないです。先ほど宮内委員からも指摘があった通りですけれども、こちらの図が確かに分かりづらいのかもしれませんけれども、少なくとも③というところが先ほど宮内先生がおっしゃっていただいたとおりで、いわゆる認定認証事業者が利用者署名符号を作成する場合の③と、この③で少し意味合いが違ってくると思っています。最終的にこの図で言うと、サービス提供した側、CAだと思いますけれども、CAは電子証明書を発行するということだと思っています。電子証明書自体はそれこそ公開していいもの、公開する前提のもの、相手側に渡るものだと思っておりますので、そうすると③でこのまま読むと、どういうことだろうということになると思っていますので、先ほど宮内先生がおっしゃったとおりだと思いますが、記載のところを見直していただければいいかなと思っています。結論自体に異論があるものではないです。3-6は以上ですが、いかがでしょうか。

事務局（北井上）： ご指摘いただきましてありがとうございます。先ほどの回答の繰り返しになるかもしれませんけれども、記載というところは可能な限り適切なものとなるように、引き取って考えさせていただければと思っております。

小田嶋委員： ありがとうございます。私の方からは以上です。

松本座長： 小田嶋委員どうもありがとうございました。委員の方は一通りご発言いただきましたが、オブザーバーのJIPDEC様、他のオブザーバーの方ご意見はないでしょうか。よろしいですか。

JIPDEC大澤様： 特段、この場で発言させていただくことはないと思っております。事務局の方には一度コメントをお出ししております。

松本座長： 一通りの委員のご発言をお伺いしましたけれども、全体を通じて他にご意見、他の人のご意見を聞いて、またそれに対するリプライ等、皆様いかがでしょうか。

小田嶋委員： 事務局にご質問ですけれども、この報告書の取りまとめのその後の日程感というのでしょうか、例えば法令、それから調査表の改定、最終的には認定認証事業者がいつ頃から対応することになるかというところです。現時点でわかるようでしたら教えていただけるとありがたいです。

事務局（北井上）： ありがとうございます。事務局でございます。この報告書という点で申し上げますと、今、様々委員からご指摘いただきました点というところ、基本的に結論にはご同意をいただいた。ただ、そこに至るまでの間の書きぶりというところでより適切な表現があるのではないか、一部事実誤認などもあるのではないかというご指摘もいただいたところでございますので、そのような表現というのは見直すということとさせていただければと思います。最終的には、座長にご相談の上にセットするということだと思っておりまして、逆に言えば、この報告書自体に今後パブリックコメントをかけるといったことは想定をしておりません。

その上でこの検討会による報告書を踏まえまして、我々の方で恐らく規則、ないしそれより下位の文章ということになるとは思いますけれども、そういったところも改正というところは、我々役所側で考えさせていただきまして、そちらの内容については、パブリックコメントということで、しっかりと皆様のご意見を、国民の皆さまも含めてご意見をお伺いした上で、最終的には関係法令等、関係文書の改正に行くというのが全体の流れでございます。概ねの時期といたしまして、恐縮ながら具体的な条文がすでにできていて、実は明日からすぐにパブリックコメントをかけられますという状況では全然なく、本日のご議論も踏まえまして、我々事務局で考えるということになっておりますので少々お時間をいただくと思っておりますが、いたずらに後ろ伸ばしにするつもりもありませんので、なるべく夏には至らない時期ぐらいにはしっかりとしたプロセスというのを進めたいと思っております。その上で、認定事業者の皆様等へのご対応という観点で申しますと、3-7のその他の部分に書いておりますけれども、3-3から3-6の部分は、何かを求めるというよりは、このようなやり方も良いということでお認めするというような内容だと思っておりますので、このようなものは特段の経過措置などがなく、速やかにということになるのではないかと現時点では想定をしております。

一方、3-1、3-2というところは、対応に一定の期間を要するのではないかと思っておりますので、適切な経過措置期間を設けた上で、ということで考えております。具体的な時期が現時点で予断を持って申せるわけではないのですけれども、そのようなところは逆に認定認証事業者の皆様の状況を見ながら、恐らくHSM等でその機器の交換などが発生することがあり得ることも考えますと、かなり個人的な勘どころかもしれませんけれども、1年ぐらいはもしかしたらいるのではないかと思っておりますので、そのようなことも踏まえて適切な期間というのは設けさせていただければと考えております。

小田嶋委員： よくわかりました。ありがとうございました。私からは以上です。

松本座長： まずは報告書ですけれど、その後の改正等に関してはまたパブリックコメントが出るということで理解しました。よろしくお願いいたします。他いかがでしょうか。

漆嶌委員： 漆嶌ですけれど、1点だけ追加でいいでしょうか。報告書の16ページの一番上のところですけども、3-6の1番最後をお願いします。

既存の認証事業者で、OCSPのレスポンスを保管しているから大丈夫ですというようなことを書かれているのですけれども、OCSPレスポンスの保管ではなくても、例えばAPIで確認をしてオッケーだったという結果でもってオッケーとすることも将来的にはあるのではと思っており、そのような認証のAPIが折角使える状況ですから、なにもOCSPを保存しなくてもいいのではないかと少し思いました。そのような意味でこのOCSPレスポンスを保管するという方法に限らないということがわかるような表現になっていた方がより良いのかなと思いました。追加のコメントです。以上でございます。

松本座長： ありがとうございます。なかなかそれは難しい問題ですね。他はいかがですか。よろしいでしょうか。ご意見がないようであれば議事1に関しての質疑に関しては、これで終了させていただきます。

報告書に関して様々なご意見どうもありがとうございました。話を聞いて、検討項目も、報告書もそれほどの量があるというわけではないですけれども、それぞれかなり深い専門的知識が必要であり、課題が多岐に渡るため全体を理解するのはかなり大変だと思いました。本日の報告書案に関しては、必要に応じて事務局におきまして、本日の動きを適宜反映して、私が座長として確認の上取りまとめさせていただきたいと思いますが、ご一任いただけますでしょうか。ご異議等があれば、その旨をご発言ください。いかがでしょうか。

一同： 異議なし

松本座長： これまでの議事録がまだできていないため、それを合わせて読まないと、整合性やご意見が十分反映されているかまだわかっていないところがありますので、これまでの議事録等をご参照の上、報告書に完成度の高いものを目指していきたいと思いますので、皆様よろしくお願いいたします。

次の議事2ですけれども、最後に今後の進め方について事務局の方からご説明をお願いいたします。

事務局（山之上）： 事務局でございます。今後の進め方についてご説明いたします。

まずは、委員の皆様におかれましては、これまで活発なご議論をいただきまして、ありがとうございました。本検討会は今回で終了となります。報告書につきましては、本日いただいたご指摘を踏まえ、反映し、松本座長確認の上、デジタル庁ウェブサイトの方に公表させていただきます。また、所要の措置が必要な点につきましては、適宜対応をさせていただきたいと予定しております。事務局からの説明は以上となります。よろしくお願いいたします。

松本座長： どうもありがとうございます。

今回の電子署名法のモダナイズ検討会ということで、4回開催させていただきまして、色々なご意見があったと思いますけれども、今の電子署名法だけではなく、トラストサービスが何か、総務省で検討が進んでいるeシールの話、欧州のeIDAS2.0で検討されている電子属性アテステーションの話等、色々な話が絡んでくる可能性もあり、電子署名法自身も含め、今後、関連する議論が活発になるのではないかと考えているところあります。きっかけとなるかどうかということは分かりませんけども、報告書が公開されて新たな観点の議論が始まれば良いのではないかと思っていますので、皆様、今後ともよろしくお願いいたします。

それでは、電子署名法認定基準のモダナイズ検討会第4回は、これにて閉会させていただきたいと思います。最終回ですけれども、どうも皆様ありがとうございました。今後ともよろしくお願いいたします。

以上