本文へ移動

デジタル改革に向けたマルチステークホルダーモデルの運用(処分通知等のデジタル化)

概要

  • 日時:令和4年9月30日から令和4年12月9日まで

  • 場所:オンライン開催

  • デジタル原則を踏まえた処分通知等のデジタル化の基本的考え方の検討スケジュール

  1. 実施説明会(9月30日(金)15時00分から16時00分まで)
  2. 試運用期間(9月30日(金)から10月7日(金))
  3. 第1回論点説明会(10月6日(木)15時00分から15時45分まで)
  4. 第1回論点意見聴取期間(10月11日(火)から10月20日(木))
  5. 第2回論点説明会(10月21日(金)17時00分から18時00分まで)
  6. 第2回論点意見聴取期間(10月21日(金)から11月2日(水))
  7. 第3回論点説明会(10月28日(金)17時00分から17時45分まで)
  8. 第3回論点意見聴取期間(10月28日(金)から11月10日(木))
  9. 第2回論点中間ミーティング(10月31日(月)17時15分から18時15分まで)
  10. 第3回論点中間ミーティング(11月4日(金)15時00分から16時00分まで)
  11. 第4回論点説明会及び中間ミーティング(11月11日(金)13時30分から14時30分まで)
  12. 第4回論点意見聴取期間(11月11日(金)から11月17日(木))
  13. 第5回論点説明会及び提言書案に係る意見交換会(1回目)(11月18日(金)18時00分から19時00分まで)
  14. 第5回論点意見聴取期間(11月18日(金)から11月30日(水))
  15. 提言書案に係る意見交換会(2回目)(12月1日(木)13時45分から14時45分まで)
  16. 提言書案の確認(12月2日(金)から12月7日(水))

資料

意見概要

第1回論点について(2022年10月11日から2022年10月20日まで)

【論点①】

申請等に基づかない処分通知等、申請等に基づく処分通知等において、デジタル化された際に通知元である行政側、受け取り側である法人・個人において、どのような対応関係(必要条件)であれば、効率化に寄与すると考えてよいか。

【意見】
  • 基本的にデジタル署名によるべき。
    公開を予定していない通知を、受領者が特定の第三者に開示・提供することはありえ、このような場合に、当該第三者が、公的機関が作成したものであることを確認できるようにすべき。
    公開されるものも公開されないものも、デジタル署名を用いるのが簡明である。
    文書番号等により通知内容を照会ができる場合、そのセキュリティ(文書番号等の冗長性等)についての検討が必要となるため、デジタル署名による方が既存の確立した技術を利用しやすい。
    (専門家)

  • 「発行者証明」とは、デジタル庁では具体的にどのような仕組を想定しているのか。
    行政側の自己証明であれば、成りすましも可能になり、第三者が証明するのであればデジタル署名との実質的な違いがなくなり、デジタル署名の方が安全性の観点からも良い。
    また、PDFファイルを開いてアドビのAATLで電子署名を確認できないものであれば、受領者にとっての利便性が低下するため、デジタル署名の方が良いということになる。
    利便性の観点からデジタル署名で民間企業が発行する電子署名(その2)とタイムスタンプの併用ぐらいまで許容できるとよい。
    (地方自治体)

  • 発行者証明の想定例としては以下の通り。

    1. 発信者証明された政府ドメイン(○○.go.jp)での電子申請・通知システム(e-GovやjGrants等)
    2. 電子メールの場合では署名付きのS/MIME
    3. 行政機関の組織的なメール及び添付ファイルに所定情報を記入すること(前提としては運用や監視がきちんと行われているメールシステム上のログがあること)
      (事務局回答)
  • 「オープンデータで活用」は、公表するという手段が本質のように思え、その公表するものにデジタル署名を付けると2番目の選択肢にもなる。
    質問が「効率化に寄与」とあるが、「児童虐待」の件を公表するのはプライバシーの観点から問題があるため、効率化に寄与する一方好ましくないという意見が出そう。
    「効率化」という表現以外にも、本人に適切なメッセージが届くかどうか、という観点もある。
    また、「電子メール」とあるが、それぞれの住民の電子メールがわかっている、という前提でよいか。
    (専門家)

  • 業務生産性の観点からは、対象のデータ(この場合処分通知等)に基づき業務を進めようとする場合、まずそのデータの信頼性を確認するという処理が必要となる。信頼性には、データの非改ざん性、発信元や生成者、存在時刻などが含まれるものと考える。また、事後においても当時の判断が正しく行われたことの確認あるいは証明が求められることも考えられ、デジタル署名やタイムスタンプが有効な手段となる。
    ただ、デジタル署名やタイムスタンプはデータ自体にパッケージングして扱うことができるため、交換、保存、参照、検証などにおける取り回しは容易となると考えられる。
    (事業者)

  • 原則、GPKI、LGPKIによる電子署名を付与すべき。また処分通知の性質によって、保存が必要となる場合はタイムスタンプを併用した長期署名形式(PDFの場合PAdES-LTV形式)により作成することが必要。また、GPKI、LGPKIの認証局証明書がアドビ社のAATLに登録されていることが必要となるが、WebTrust for CAやAATL Technical Requirementsを満たす必要がある。GPKI、 LGPKIのポリシーのマッピングを行い、Adobe社と調整を検討してはどうか。
    (事業者)

  • オープンデータ、デジタル署名、発行者証明の3区分がよく分からないため、以下の区分としてはどうか。

    • オープンデータによる確認
    • eシールによる確認
    • デジタル署名による確認
    • 発行者による確認(validation)機能を通じた確認
      また、デジタル署名に使った証明書の有効性と、処分通知の内容の現在の正しさは別なため、verification (その書面が本当にその発行者によって発行され改ざんされていないかの確認)とvalidation(その内容が依然として正しいか、執行していないかの確認)とも別けて考えるべき。
      (専門家)
  • 示されている処分通知には原則、電子署名を付すべきだが、現状、「処分通知」といっても通知のことなのか許可証の交付のことなのか個々の行政手続きによって異なるため、共通ルールを作るべき。
    (専門家)

  • どう言う社会問題に対して何をやりたいかが不明確であり、スコープを明確にすべき。
    (事業者)

  • ページ別に対してのコメント。
    P14:「例示」とあるが対象の全体は何か。例示に共通する要件だけ解決すれば良いのか。
    P16:必要とされる要件が見えないと実現手段の適切性は語れないのでないか。
    P18:レベル感の違う話が同列に並んでいる。デジタル化を実現するための手段としてどのような点を考慮すれば良いか意見を求めるものではないのか。
    P19:それまでのページと主体が変わった話になっている。通知手段について留意点、考慮点は何かと聞きたいだけなのでないか?他のページも言い換えると
    P20:受け取り側の利便性の観点で実現手段として適切なものは何か意見が欲しい
    P21:受け取り側のアクションの要件として掲示があるがどのような手段が考えられるか?
    P22:なりすまし防止策として適切なものは何が良いか意見を・・と言うことでないかと思います。
    (事業者)

  • 「オープンデータで活用」とあるが、データとして活用することを目的としたニーズがあるものをオープンデータとするのか、ニーズの有無にかかわらず公表して差し支えないものは広くオープンデータ化するのかなど、基準を明確にすべき。また、P14についての要素の要件、基準を明示したうえで議論が必要。
    (オブザーバー)

【論点②】

他者への提示が前提となる許認可の通知等をデジタル化した際に、被処分者が受信した通知が、送信者が意図した通りの内容であること(通信過程で第三者の攻撃等による改ざんを受けていないこと)を容易に検証可能とするためには、どのような方法が適切か。

【意見】
  • 電子署名法上の認定認証事業者が発行する電子証明書においては、所属・役職等の属性を記載することはできるものの、氏名・住所・生年月日以外は認定対象外であり(電子署名法施行規則6条8号)、原則として、GPKI・LGPKIで役職等を明示した証明書を用いるのが本筋。
    eシールの利用には若干疑問がある。処分権限を持つのは、政府・地方公共団体の役職者であると思われる一方、eシールは団体や組織が主体なため、ズレが生じる。
    なお、GPKIやLGPKIの電子証明書の主体は役職・職責であって自然人ではないため、eシールいう見方もあり、その意味では、eシールを利用することになるのかもしれない。
    (専門家)

  • 総務省資料の解釈が今も通用しているとすれば、企業の角印は、企業の丸印と違って認印とされているので、例えば行政側から発出する許可証で、従来は公印を押していたものに馴染むのかは要検討。
    総務省資料「組織が発行するデータの信頼性を確保する制度(eシール)の検討の方向性について」
    (地方自治体)

  • 特定の官公署(に属する一定範囲の公務員)において行ったことを示す機能を有するデジタル署名を、許認可の通知等をデジタル化する際に用いるべきである。
    理由として、GPKI・LGPKIでは当面の間AATLに依拠した検証ができないため、「他者への提示が前提となる許認可の通知等」を議論するのであれば、必然的にこれらに限定することはできず、電子署名法上の「電子署名」(第2条第1項の解釈に従う)は当然に含めるべきである。
    民間トラストサービスでは公務員の権限を証明することができないという疑義があるかもしれないが、処分権限の正当性の保証は現在想定しているトラストサービスだけで担える機能ではないと割り切るべき。
    加えて、電子署名法の「電子署名」に限られず、後述するような広義の"eシール"も同様に認めるべきで、両者を厳密に区別する実益も乏しい。
    さまざまなデジタル署名を認めたとしても、その文書が「その方式及び趣旨により公務員が職務上作成したもの」(民事訴訟法第228条第2項参照)であることの明確性に差し障らない。むしろ、民間で広く使われている電子署名サービスを借用でき、それゆえ通知受信者にとって優れたUI・UXが実現できる可能性が高いと考える。
    eシールについて、茨城県が導入された「民間認証局の発行する職責証明書を用いた電子署名」はこの意味での"eシール"と捉え直して、その有効性を解釈すべきではないかと考えるがどうか。
    (事業者)

  • 本来、GPKIやLGPKIに対応しているものが良いと考えるが、アドビのAATLに対応して文書の発行元や完全性を自動検証できない実態からすると、行政と民間が行う立会人型電子契約においても、電子署名法に基づく電子署名で問題なく運用されていることから、行政からのドメインによるメールから発出されていれば、認証局から認証されている電子署名法に基づく電子署名とタイムスタンプが付されていれば、問題はないものと考えている。
    (地方自治体)

  • UI/UXの観点で言うと、PDFで提示よりも、JSONやXMLにsignatureをつける形が多くなる。また、そのデータの有効期限も議論の余地がある。
    極端な話、当該政府ドメインの /.well-known においてあるJSON Web Keys を使って署名というのもあり得る。
    また、長期署名の観点で、有効期限が長いものに関しては、失効した鍵の過去時点での有効性を容易に検証できるようにということも考える必要がある。
    公務員がGPKIの証明書をつかってデジタル署名する場合、当該権限(Authority)に関するClaimの正当性を確認する手段も合わせて提供される必要がある。
    (専門家)

  • 上記意見は、完全性の確認だけであればその通りだが、今回のMSMの視点として、行政から処分通知を受領した個人や企業、あるいは処分通知を受け取ったことを確認したい第3者である機関や企業等が容易に電子文書の発行元や完全性を確認できる視点として、許可の受領者または許可を受けていることを確認したい者が、個別に許可官庁にハッシュタグを確認するのでなく、自ら電子書類の発行元や完全性を容易に確認できることが必要。
    (地方自治体)

【論点③】

前記の方式を選定する際に考慮しなくてはならない点はどのようなことか。

【意見】
  • 耐改ざん性は暗号化ではなく、デジタル署名で確保される。
    (専門家)

  • デジタル署名で十分と考える。
    (事業者)

  • 経路を担保するのは大変であり、対象物自体に対してで充分。
    電子署名の強度よりも発行者を確認できることが重要であり、方式が多数だと信用して良いかが分からないことが想定されるため、GPKI/LGPKI/(eシール)に絞った方が良いのではないか。
    通信経路、もろもろの強度については、トラストサービスのAL(assuarance level)と捉え、個別に定めるのではなく、eDeliveryなどを参考に通底したルールがあって然るべき。
    (事業者)

【論点④】

前記の方式を選定する際に安全性をどのような観点で評価すれば良いか。

【意見】
  • 任意の検証者による検証可能性を確保するためには、オープンな国際標準に則った技術標準を使う必要があり、そのサービス提供者が信頼できるかは適合性評価を当該機関が受けているかなどが考慮ポイントになる。
    ただし、liabilityの観点からは不十分で結局契約関係が必要になる(multilateral契約で良い)し、適合性評価がその契約関係で要求されなければ必要は無いということにもなるかもしれない。
    (専門家)

【論点⑤】

到達の効力(送達効果;正しく届いていること)はどのように担保すれば良いか。

【意見】
  • システム(デジタル内)で完結できるようにすべきであり、人為的ミスをシステム系から取り除き、通達業務への社会的信頼性を上げるべき。
    (事業者)

  • 到達を担保するのは一般的には難しい。
    民事裁判の電子化と同様な方法は、手続によっては可能だと考えるが、申請に基づかない不利益処分などでは難しい。
    なお、例示の開封確認や返信は、開封確認を無視する人は多く、返信を強制するのも現実的ではないため難しい。
    (専門家)

  • 現行の紙運用での実務では、官民問わず、到達時点を保証するような厳格な措置は(例外的な場合を除き)取られていない。
    民事訴訟における特別送達のような、訴訟上の行為であるがゆえに厳格さが要求されるケースを電子化の参考事例とするのではなく、まずは、紙運用での行政実務ではどのような取り扱いがされているかを確認をし、それと同程度の電子上の運用をもとめていくべき。
    (事業者)

  • 多様な経路が必要。
    郵便であれば、内容証明等宛てて送れば到達とみなす、というルールがあるが、これに対応するデジタルなグランドルールが必要。
    一方、デジタルであれば、アナログではできない(たとえば開封の履歴、宛先に到達した履歴)ことも可能であるが、ここに制約をかけすぎない方が良い。
    強いて実現イメージを挙げると、住民、企業それぞれが公式な通知手段を持っても良い(マイナポータルと連携したe私書箱のようなサービス)。
    通知手段は、宛先のボックスに到達したところまではログで把握、開封のログはプライバシー面を考慮し問わない、といったルールが考えられる。
    (事業者)

【論点⑥】

国や地方自治体が通知業務の効率性(費用・時間・手間等)と安全性を両立するための方法を採用する際に、どのような考え方で検討すれば良いか。

【意見】
  • 通知の内容や受取者によっては完全なデジタル化ができない場合があり、一部紙での通知が残ることは想定される。行政機関としてはデジタル、紙を意識せずに業務ができると効率的な業務となるのではないか。
    (地方自治体)

  • (一部の)県では、行政事務負担の観点から、文書を公印管理者が確認後は知事の職責による電子署名とタイムスタンプをRPAで付している。
    また、費用も年間定額料金で約20万円弱なために、コスト的な問題はほとんど無い。
    すでに対応しており、今回のような一般通知は、電子署名は無しでも実務上は問題ない。
    ただし、納税通知書など刷り込み印刷で押印対応してきたものを押印の代わりとして電子署名を付すとかなり大変である。
    国、都道府県、市町村で統一した取り扱いができるよう望む。
    (地方自治体)

  • デジタルを原則とすべきで、移行にかかるコストや、やむを得ず併存すること等によるコストは、デジタル化のコストではなく紙のコストと捉えるべき(コスト観点でデジタル化が阻害されるべきではない)。
    安全性については、紙と同等のところを出発点として検討されるべき(紙・郵送も窃盗、偽造等のリスクがゼロではない)。
    (事業者)

  • デンマークのように原則デジタル、紙が必要な人はデジタル代書屋による対応という方針が本来あるべき。併存のコストは紙のコストとしてデジタル代書屋への補助金として明示化される形であり、業務フローはデジタルに合わせるようにBPRする。
    (専門家)

  • 運用の効率性の観点から、ある程度統一的なプラットフォームが整備されることを重視すべき。各省庁や組織が個別に業務フローやデジタル署名のためのインフラを作りこむ必要があることで、処分通知のデジタル化への移行が遅れることを懸念。
    (オブザーバー)

【論点⑦】

法人側が申請する際の行政手続のワンスオンリー(一度提出した情報は変更が無い限り、再度提出させない)を実現するために、電子的送付に係る通知先の収集や本人同意の取得はどのようにあるべきか。

【意見】
  • 法人の名称、住所、電話やメールなどの連絡先については、法人番号と連動させるなどして、国、県、市町村に関わらず、行政側で共通に利用できる仕組の構築を望む。
    (地方自治体)

  • gBizIDに紐づいた私書箱など、郵便受けに相当する機能を用意することはどうか。当該私書箱の開設手続きをもって、電子的送付に係る同意とみなせばよいのではないか。
    (事業者)

【論点⑧】

デジタル上での既存の通知方法(メールで送信など)の適用範囲をどのように評価するか。
例:①法令に基づく行政指導通知を行う際には、組織の正式なドメインを持った電子メールを使用する。(例えば、@digital.go.jpなど)
  ②添付ファイルは暗号化し、パスワード付与をする、など。

【意見】
  • ①は賛成。
    ②は、パスワードの授受に相当の工夫が必要(別メールでパスワードを送る方法(いわゆるPPAP)などは論外)。
    (専門家)

  • ①は賛成だが、法人と個人で送信方法が異なるのも、事務が煩雑になり、避けた方が良い。
    ②は、医療や福祉などの給付など個人情報保護の観点から盗聴防止のために、暗号化が必要な場合がある。
    個人情報の保護が必要な申請に基づく場合、申請時に決めておくなどのメール以外の別な方法でパスワードをやり取りする工夫をしながらの対応が必要。
    (地方自治体)

  • ①は、受信メールのfromについているメールアドレスは、なりすましが容易なため不十分。一部金融機関で実施されているように、組織名の電子証明書によるS/MIME(eシールによるS/MIME)はどうか。
    (事業者)

  • S/MIMEと言いたいが、受取手の対応が不明なため、一本化というのは難しい。
    また、現在のeメール量の多さを踏まえると、メールに依存するのも難しい。
    (gBizIDに紐付いた)電子私書箱を設置し、そこに送達したら当該企業または個人が希望した通知アドレス(email、 SMSなど)に通知が行くような形にするとよいのではないか。
    (専門家)

  • 行政処分等に係る文書をPDFにして、メール送信を通じて通知する場合の送信者の発行者証明の手段についても検討すべき。
    例えば、S/MIMEによる電子署名は、メール本文及び添付PDFの送信者である行政官の身元を保証するため、メールの受信者に安心感を与える点においても有効である。
    (専門家)

【論点⑨】

行政職員が処分通知等の施行時に、電子メールや電子申請・通知システムを使用するにあたり、セキュリティの観点から留意点はあるか。

【意見】
  • 申請等に基づかない処分通知等を電子メールで行う場合、相手方の連絡先はどのように管理するのか。
    (地方自治体)

  • 申請に基づく処分通知の場合、多くの地方自治体に利用されている、ある電子申請・届出システムでは、申請時にマイナンバーによる本人確認を求める機能もあり、個人の場合、フリーのメールアドレスでも本人確認を十分に行える。
    法人の場合は、その法人のドメインを持ったメールアドレスに限定した方が良い。
    (地方自治体)

  • セキュリティの観点では、送信者、受信者、メッセージの認証が必要であり、普通の電子メールでは確保されないが、電子私書箱だとある程度解決する。
    また、「処分通知」本体の話と、利便性のための「通知」は分けて考えるべき。
    (専門家)

  • フリーメールについて、近年の実務では、発行・取得プロセスが厳格化されている(携帯電話番号との2要素認証等が必須化されている)ことを認識しておくべきでないか。
    なお、メールによる通信を過度に不安視する向きもあるが、メールアドレスの活用は、低コストで誰もが受け入れられるユニバーサルな方法であること、対面や電話よりも正確なログが残ること、メールアドレスが有する(おおむねの)悉皆性・唯一性(同じメールアドレスは世界中に存在せず、送信先は一意に決まる)・本人到達性の観点からも、他の手段と比較すれば優秀なツールであることも念頭に置くべき。
    (事業者)

【論点⑩】

個人又は法人等にとって、利便性が高い通知の受取方法はどのような方法か。

【意見】
  • 個人でLINEユーザーの場合、新たなアプリをインストールする必要もないため便利。
    (地方自治体)

  • ある特定の民間サービスに依存する手段は、基本サービスとしては不適切。基本サービスとしては電子メールやSMSなど標準規格に沿ったものがよい。
    「処分通知」と「処分通知が来たことの通知」は分けて考えるべき。
    (専門家)

  • 「処分通知が来たことの通知」は複数の手段が用意され受ける主体が複数の手段を選択可能であることが望ましい。
    「処分通知」は、社内外の関係者に送付されることも多いため、その通知たる電子データ単独で検証可能であることが望ましい。
    (事業者)

  • 申請に基づく処分通知は、許可証、資格証、証明書といった、第三者に提示するシチュエーションが多く想定される。
    この場合、受領者(申請者)の当人性、可搬性、第三者の検証可能性等を踏まえて考える。例えば、受取手段は様々だが当人性についてガイドライン。処分通知自体はverifiable credential等の汎用なフォーマット(プロトコル)で発行することをルール化する。
    申請等に基づかない処分通知は、一方通行で良いシチュエーションが多く想定される(プッシュ型行政など、申請に基づかず許可・資格といったものが行われるケースも想定)。
    この場合、通知元(当局等)の完全性と到達性を重視して考える。例えば、住民・企業が公式な通知手段を持ち(住民=マイナポータルと連携したe私書箱的なサービス、法人=gBizIDと連携)そこへの通知の効力を法令等ルール整備する。
    (事業者)

【論点⑪】

個人又は法人等が、生産性向上の観点から、デジタル化された許可や認可書等を公的証明書として、別途使用する場合、どのような基準があれば使用しやすいか。

【意見】
  • 許可書等を容易に検索できること。自治体間により通知方法が異なると、探すのが大変。
    (地方自治体)

  • 行政から発出した文書については、アドビのAATLのように誰もがPDFファイルを開くと、その発行元や完全性や非改ざん性を確認できるものが良い。
    ただし、要確認であるが、アドビのAATLは、現時点では、パソコンでは検証できるが、スマホでは検証できないのが課題。
    行政から発出した文書を開封する際に、パソコンでもスマホでも発行元や完全性、非改ざん性を自動検証できる共通アプリをデジタル庁で提供し、GPKIやLGPKIに対応して、アプリがインストールされていない端末では、ファイル開封時に自動でインストールして、文書の完全性などを確認できると良い。
    (地方自治体)

  • 「許認可書のデジタルデータ単独で検証可能であることをルール化するなど。」について賛成。
    (事業者)

  • 発行側(政府)で、許可・認可の状況・内容について容易に検索可能なデータベースを整備することが望ましい。
    (事業者)

  • 人間が消費する場合と機械が消費する場合を分けて考えるべき。
    前者に関しては、PDFでPDF ReaderでPDF署名検証というのがスタンダードなアプローチかと考えるが、マイナポータルアプリに読ませれば内容表示と署名検証ができるという方法でも良い。エストニアは電子署名・検証アプリを配布している。
    後者に関してはJWTが使いやすい。検証者匿名性が必要ないような場合にはAPIの整備というアプローチもある。いずれも内容に関しては、属性名(claim names)の整備が必要。
    (専門家)

  • 受領者の当人性、内容の可搬性、提示された第三者が検証可能であることが肝要。
    受取手段は様々(たとえば民間アプリ等)良いが当人性についてガイドライン(IAL/AALを踏まえたもの)。処分通知自体はverifiable credential等の汎用なフォーマット(プロトコル)で発行することをルール化。
    スコープとして、提示された許可・資格を確認した第三者がサービス提供を行った際の紐付けについても考慮が必要。
    例として、被保険者証は資格として可搬でき、提示された先で被保険者資格を前提として医療サービスが行われるが、医療サービス提供者は被保険者資格と紐付いた事務(請求行為)が必要。これを汎用的に考えた場合、可搬の許可証自体に、目的特定ではなく汎用的に使いうる識別子が備わっている必要があり、後続の事務が行われること自体もプロトコルが想定している方が良い。
    (事業者)

【論点⑫】

処分通知等のデジタル化によって、個人又は法人等が詐欺被害やなりすましなどの被害を受けないためには、どのような対策が必要か。

【意見】
  • 公的証明書として第三者に対して提示する場合には、関係者に対して通知方法を十分に周知する必要がある。また、オープンデータなどのように、第三者からも情報にアクセスできると確認が容易。スマートフォンの画面で許可書を提示するときに、電子署名をみるのか。
    (地方自治体)

  • 検証方法の周知は重要であり、主要なアプリケーション(Adobe Reader等)で普通に検証できるようしていくことは重要。
    なお、検証方法が周知されているという前提で、電子署名の検証方法があれば、電子署名を検証できない閲読方法(スマホ等)があってもよい。
    (専門家)

  • 検索可能なデータベースを設け、容易に確認可能とすることが望ましい。なお、紙の証明書であっても偽造・詐称等を個人・法人が容易に見抜けるとは限らないことに鑑みて、過度な制限・制約により利便性やデジタルのメリットが損なわれないように検討すべき。
    (事業者)

  • デンマークのように原則デジタル、紙が必要な人はデジタル代書屋による対応という方針が本来あるべき。
    (専門家)

【その他①】

今回のテーマで、議論の論点として特に必要な事柄(希望)について。

【意見】
  • 現状、規制の一括見直しプランでは、スコープに入っていないと認識しており、スコープ外かもしれないが、処分通知等のDXを考えるにおいては、その行政処分の行為者についてもフォーカスを当てる必要がある。
    現状、職員が職権をもって処分を判断、実施することが原則と考えるが、この点が内容によっては委託可能な判断ができ、自動化・自動処理により行われることが可能なような検討が行われても良いのではないか。
    本件で処分通知等が検討されていく中で、申請が必要なものが明確化、それらに適用されるルール化が進んでいく際に、いわゆる申請主義が過度に求められるようなものになってしまう、その弊害として例えばバックオフィス連携によるワンスオンリーが両立できないといったことが起こらないよう検討すべき。
    (事業者)

【その他②】

この他「処分通知等のデジタル化」やマルチステークホルダーモデルの運用について。

【意見】
  • 住民税非課税世帯等に対する臨時特別給付金では、対象者に対して確認書を送付することとなっているが、給付金の確認書などもデジタル化が想定されるのか。
    (地方自治体)

  • 申請に基づかない処分通知のうち、不利益処分など、「情報通信技術を活用した行政の推進等に関する法律」第7条第5項により、電子で交付することが困難又は不適当と認められる部分がある場合は、紙で交付する対応が従来より取られており、この規定の改正も念頭に議論の対象を分けて考えると良い。
    (地方自治体)

  • DX推進上の重要課題の1つに、民間からオンラインで公的な登録データ(べース・レジストリ)を参照、確認する際の完全性の担保が挙げられる。
    例えば、法人登記情報をオンラインで確認する際にeシールを付与した返信が得られれば民間でのDX推進に寄与する。特に銀行の口座開設や電子契約などの民間手続をオンライン完結するには、「法人の代表者」または、「代表者から委任を受けた者」であることの確認が重要となり、マイナンバーカートと法人登記情報の合わせ技でオンライン完結できることが望まれる。
    (事業者)

  • 現状(当初の進め方)はややオープンクエスチョンが多く、審議会形式をそのままSlackに持ち込んだような形と感じた。事務局より案を提示し、賛成/反対/代案といった反応を得る方が、Slackでの議論形成には役立つかもしれない。
    (事業者)

  • MSMについて、OECDのモデルを念頭とした場合、ステークホルダカテゴリ毎に取りまとめされ、どの立場からのInterventionかが明確になるため、ステークホルダーが足りているかも分かり、その発言の背後も読み取れるが、現状だとそこが分かりにくいことが課題。
    1週間ごとのコメント締切は、厳しい方も多く、特に取りまとめが必要なステークホルダーの方にとっては厳しいのではないか。
    (専門家)

  • 今回の議論の成果として、公文書管理や行政手続き関係の法令やガイドラインに影響を及ぼすとりまとめになるのか。
    もしくは今回はあくまで技術的な検討結果をとりまとめるものであり、法令体系の変更はまた別の作業として実施する形になるのか。
    (オブザーバー)

第2回論点について(2022年10月21日から2022年11月2日まで)

【論点①】

納税者の申請に基づく通知(減免決定通知書、納税証明書等)のほか、申請に基づかない通知(納税通知書等)についても電子的送付を検討することはどのように考えるか。

【意見】
  • 電子交付ならではの利便性が提供できるとより望ましい。例えば、納税通知に口座振替への誘導や、Pay-easyや決済アプリに飛べるリンクが付いていてそのまま支払える工夫など。
    また、今回のスコープ外だが、そもそも税目によって通知の時期や納付期限が異なることや、住民税の徴収が前年所得に基づく形になっていることなども課題意識。個人にとってはキャッシュフロー管理が難しくなる等の課題も本質的に有していることから、通知や手続きの電子化のみではなく、納税者・ユーザーの利便性を踏まえた検討が行われることを期待する。
    (事業者)

【論点②】

法人への通知については、既に法人がeLTAXを活用した申告等を広く行っていることから、eLTAXアカウントへ送付することについてどのように考えるか。
納税通知書など個人の納税者へ送付する通知については、マイナポータルの活用が考えられるか。その場合、eLTAXの位置付けをどのように考えるか。

【意見】
  • eLTAX内では、初めて使うメールアドレスを検証する機能も備わっており、税理士との連携もできるため、メッセージ機能で送付し、メッセージが到達したことをメールで法人に伝えれば足りるのではないか。
    (事業者)

  • 法人については、申告等を税理士に依頼している企業の場合、eLTAXを法人の担当者が必ずしも使い慣れていないケースが考えられるため、通知が確実に届くようにするため、実務実態に即した検討が必要ではないか。例えば、eLTAXに通知が登録された際にお知らせメールを飛ばす、その飛ばす先を複数設定できる(担当税理士と企業側の担当者のアドレスを登録できる)など。
    個人は、まずはマイナポータルで電子交付を希望ないし承認した場合に限るのが現実的(その際、例えばクレジットカード会社における明細電子化と同様に支払い期限を少し延期できる等のメリットがあるとさらに良い)。マイナポータル(マイナンバーカード)の普及・利用状況を踏まえて、デフォルトを電子交付にするといった対応もあわせて導入できると望ましい。
    (事業者)

【論点③】

デジタル手続法の「当該処分通知等を受ける者の使用に係る電子計算機に備えられたファイルへの記録がされた時に当該処分通知等を受ける者に到達したものとみなす」との規定について、地方税において特に留意すべき点はないか。

【意見】
  • 現状、「当該処分通知等を受ける者の使用に係る電子計算機に備えられたファイルへの記録がされた」ということを、どのように確認しているのか。また、訴訟における証明はどうか。
    (専門家)

  • 到達の確認については、eLTAXやマイナポータルを通じて行うこととするのであれば、通知の開封をもって到達とした方が親切。その際、開封を促すために、通知メールの送付やeLTAX/マイナポータルのログイン時にポップアップ表示をするなどの工夫もあわせて検討してはどうか。
    また、納税期限は一律に期限が定められているものと理解しており、その前提に立つと、通知の厳格な到達性よりも定期的なリマインドを行う方が納税者の利便に叶うと思われるため、こうした手続きの性質を考慮した仕組み、システムの検討をすべき。
    (事業者)

【論点④】

申請を伴わない通知(納税通知書等)について、いつ、どのように、電子的送付に係る希望を受け付けるか。
納税者からの希望を待つことなく、申請を伴わない通知(納税通知書等)のコピーをマイナポータル等へお知らせとして送付することについてはどのように考えるか。

【意見】
  • マイナポータルや紙の納税通知への案内記載により、次回以降の電子交付を促すことが考えられる。その際、電子交付のメリットを記載する(例:通知を早く受け取れる、そのまま納税手続きに進める、環境にやさしい)、又は紙送付に伴うコストに相当する金銭的メリット(減税やマイナポイント、納税期間の延長)を考慮してもよいのではないか。
    また、その過程で、どのようなメッセージが電子化を受け入れやすくするのか、A/Bテスト/ナッジの検証も行うべき。
    (事業者)

【論点⑤】

通知情報の電子納付での活用などにより、一連の手続を電子(デジタル上)で完結させることについてはどのように考えるか。

【意見】
  • 手続きのデジタル完結を前提としなければ、そもそも電子交付を納税者が選ぶメリットがない。
    (事業者)

【論点⑥】

申請に基づく処分通知等のユースケース(電子委任状法の認定に係る通知)についての各仮説への賛成、反対意見。
仮説1
① データの完全性の担保:行政ドメインからのメール送信
② 容易な検証性:行政ドメインで正しさを検証
③ 送達確認:開封確認メール

【意見】
  • 前提について、

    1. 「GPKI、LGPKIは現状、端末環境での署名検証が容易ではないため、候補からは外す。」とあるが、容易ではないと判断された理由等があるか。GPKIやLGPKIでも端末環境での署名検証は容易にできる認識。
    2. 認定または認定取り消しについての発出を前提としているが、例えば、許認可の申請について、不承認となった場合でも処分通知は行う必要があり、その対応も検討する必要がある。
    3. 処分通知等の内容の公表を前提としていますが、公表できない処分通知等の場合における検討も必要。各仮説について、いずれにおいてもメールでの送信を前提としていますが、送信先の本人確認性をどう担保するかについても検討が必要。
      (オブザーバー)
  • 賛成である。
    自らの申請に基づく許可であり、また、認定事業者の一覧はデジタル庁ホームページにも掲載されていることを踏まえると、電子署名までは不要。なお、③については開封確認機能が使えないケースがあるとの指摘を踏まえると、受領した旨の返信を求めることが妥当。電子委任状取扱業務の認定について
    (事業者)

  • 行政ドメインからのメール送信のみでは、第三者における検証性等を担保できていないのではないか。申請に基づかない場合も同様である。
    (オブザーバー)

【論点⑦】

仮説2
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに民間の電子署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

【意見】
  • 送達確認以外は、仮説2が良い。
    電子署名は原則として自然人に対して発行するという考えがあり、厳格な電子署名である特定認定認証事業者の電子署名は、登録する情報が自然人対応で、職責による電子署名の発行が難しい。
    できるところから始めるのであれば、アドビのAATLで誰もが確認できるものとして、民間の認定された事業者によるものしかないものとが考え、タイムスタンプもセットすると更に良い。
    送達確認は、申請を前提とするものであれば、サーバにファイルを格納してリンクからダウンロードしてもらう方法が良い。
    (地方自治体)

  • ①データの完全性②検証性については、AATL等に掲載された認証局発行の証明書であり、証明書に官職等が記載されていることが必要。可及的速やかにGPKI/LGPKIを検証可能にして、これらに移行すべき。
    ③については、メールにURL等を記載してダウンロードさせ、ダウンロードの時点をもって到達とするのがよい。なお、申請に基づく処分通知の場合には、一定期間ダウンロードしなかった場合、到達したものとみなすのがよい。
    (専門家)

  • 仮説3についても同様だが、GPKI、LGPKIではなく、事業者の電子署名を利用するとなると、省庁ごと(場合によってはシステムごと)に異なる事業者の電子署名を用いることになる可能性があり、横断的に俯瞰してみることが難しくなる。申請に基づかない場合も同様。
    (オブザーバー)

  • 「異なる事業者の電子署名を用い」ていたら不都合な理由が理解できない。例えば現在、GPKIブリッジCAと接続できる民間の認定認証局だけに限っても6社8サービスあるはずである。
    (事業者)

【論点⑧】

仮説3
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに電子署名法に基づき認定された事業者の署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

【意見】
  • 「電子署名法に基づき認定された事業者」の「認定」された業務には、「利用者の役職名その他の利用者の属性(利用者の氏名、住所及び生年月日を除く。)」を証明する業務は含まれていない。
    (事業者)

【論点⑨】

申請に基づかない処分通知等のユースケース(電子委任状法の認定取消しに係る通知)についての各仮説への賛成、反対意見。
仮説1
① データの完全性の担保:行政ドメインからのメール送信
② 容易な検証性:行政ドメインで正しさを検証
③ 送達確認:開封確認メール

【意見】
  • 賛成。
    認定事業者の一覧はデジタル庁ホームページにも掲載されていることを踏まえると、事実確認は容易であることから、電子署名までは不要。
    なお、③については開封確認機能が使えないケースがあるとの指摘を踏まえると、受領した旨の返信を求めることが妥当。
    電子委任状取扱業務の認定について
    (事業者)

【論点⑩】

仮説2
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに民間の電子署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

【意見】
  • 送達確認以外は、この仮説2が良い。
    電子署名には更にタイムスタンプを付与するとデータの完全性が増す。
    許可の取消などの不利益な行政通知の到達については、スパムメールなどのサイバー攻撃を含む情報セキュリティが懸念されるため、開封確認メールは止めた方が良い。
    例えば、申請に基づく許認可を行政が一方的に取り消す場合は、申請時に登録したメールへの送信をもって、到達と見なすという取り扱いにするなど、見たという到達効果を発生させるような決めが必要。
    将来的には、電子私書箱やマイナポータルへの通知に適用する方向とするのも一つの考え方。
    (地方自治体)

  • ③については、メールにURL等を記載してダウンロードさせ、ダウンロードの時点をもって到達とするのがよい。なお、申請に基づかない処分通知の場合には、一定期間ダウンロードしなかった場合、書面で送る(又は手渡しする)のがよい。
    (専門家)

【論点⑪】

仮説3
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに電子署名法に基づき認定された事業者の署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

【意見】

特になし

【論点⑫】

今後のマルチステークホルダーモデルでの論点として取り扱う内容として、デジタル化のニーズが高いユースケースについて、他に良い代案があるか。

【意見】
  • 実証実験の際に苦労した道路占用許可のデジタル化について提案する。また、参加者から提示されたドローンの飛行許可でもよい。デジタル手続法以降のものため、デジタル化との親和性も高い。実業上でニーズのあるところから始める事が大切ではないか。
    (ファシリテーター)

  • 道路使用許可、道路占有許可は件数も多く、電子化するメリット大きい。
    「通知」に電子署名するのか、「許可証」に電子署名するか、実務上、手続きごとに考え方が違う。
    ドローンについては、許可を取っていても、飛行させていると通報されることがあり、警察が来た際、許可証のPDFの画面を見せているのが現状。
    上記の電子許可証は電子署名が付されているが、許可証についており、許可通知はメールでいただいている状況。
    (専門家)

  • メールのドメインをDKIMで確認できるようにし、書面(電子署名は検証ができるものを付ける)はクラウドダウンロードで多くの許認可などの通知のデジタル化は出来るのではないか。
    (ファシリテーター)

  • 占用許可は、国、都道府県、市町村でそれぞれ行われており、道路以外にも河川や公園、港湾など様々な行政財産の使用を認める際にも行われ、件数が非常に多く、行政関係者に馴染みがある行政手続のため、ユースケースとしては非常に良い。
    加えて、別機会での検討でも、この手続に派生して毎年発生する占用料の納付通知、所轄警察署との許可情報の連携などを含めて同じユースケースで検討できるので良い。
    (地方自治体)

  • 自治体の手続きだが、保育園の入園許可や児童手当の受給・停止など子ども・子育てに関する通知等については、親世代のリテラシーも相対的に高く、メッセージ性もわかりやすいため、対応が進みやすいのではないか。
    (事業者)

  • 上記通知(保育所と児童手当)は、一期間に発出する数も多いためデジタル化できないかと、実際に自治体からも相談・問い合わせはいくつかある。
    (事業者)

【その他】

その他、今回の論点についての幅広な意見について。

【意見】
  • 電子署名について、CA証明書のインストールを行って GPKI、LGPKIによるのがよい。
    GPKIやLGPKIの証明書の検証は、それぞれCAの電子証明書をWindows、Adobe等にインスト―ルすれば可能。電子署名について、GPKIやLGPKIのCA証明書のインストールを周知するのが、最も簡明なのではないか。
    (専門家)

  • 推論を含めてだが、例えばGPKI官職CAやLGPKI組織CA R2の自己署名証明書をダウンロードしてきて、Adobe Acrobat Readerに取り込めば、PDFを開いた際に自動的に「署名済みであり、すべての署名が有効です。」と表示させることは可能であり、視認性は確実に高まる。
    しかし、失効情報の確認はおそらくできないため、能動的に署名パネルを確認すると、「選択した証明書には、失効状態の確認方法に関する情報がありません。この証明書が有効であるか、失効しているかを特定できません。」と表示されているかもしれない。
    AATLに載っているかどうかの議論は、AdobeがApproveしているところに事実上の信頼の根拠があるため、検証者が手動でリストに追加するのでは話が変わる。
    リテラシーが担保されていない不特定多数の国民側に多少複雑な作業を求めるのは、容易にvarifiableにするにはどうしたらよいかという目標からは離れてしまう。
    (事業者)

第2回論点中間ミーティング(2022年10月31日)

【論点①】

メールの正しさの担保の方法

【意見】
  • S/MIMEの利用について、担当者の数だけ電子証明書を購入するのではなく、法人に最低1個の電子証明書があればいいのではないか。法人名の電子証明書1つで運用ができる方法もあるのではないか。
    (事業者)

  • S/MIMEに対応していないクライアントも恐らくあると思うが、その場合はメール本文だけでもPDFにして送付することで、中身の正しさは保証することができるのではないか。また、その際は担当者の数だけでなく各法人に1つの電子証明書でも対応できると考える。ユースケースにもよるが、責任分担を考慮すると電子証明は部署ごとに1つがいいかと考える。
    (事業者)

  • 受ける側の立場になった場合、官公庁や自治体からのメールはすぐに開いてしまう可能性が高いので、S/MIMEのように発出元が明確に分かるような電子証明書がついていることは有効であり、安心して運用できると考える。
    (事業者)

  • 色々な手法があるのが望ましい。何もせずに送るのはなりすまし等の被害あるというご指摘はおっしゃるとおり。メールのホスティングサービスを使用する場合は基本的に送信元認証を組み合わせているが、それが十分か不十分かは後々議論されるのかと思っている。また、S/MIMEでメールのやりとりをしていても、偽のメールを送ってくる人がいなくなるわけではないので、それ以外の経路でのフィッシング等を防ぐことになるのか、というところも後々議論する必要があるかと思う。
    (事務局)

  • PDF等の添付ファイルに電子署名をつけて送付することも1つのアイデアかと思うが、受け手側からすると官公庁になりすました形でのサイバー攻撃もありうることを考慮すると難しい。また、そうなるとS/MIMEの利用がいいと考えるが、S/MIMEはあまり普及しているわけではないという理解である。その原因は使い勝手の面にあるのか、ご教示いただきたい。(事業者)

    • S/MIMEについて、当初は担当者全員が証明書を持つイメージがあり、大変だということで普及が進んでいなかったと思料する。一方、別途議論があるeシールのように法人の電子署名で一定程度の発出者証明ができるということが世間的に浸透すればS/MIMEの普及も今後期待できるのではないかと思う。
      (事業者)
    • 要は行政が利用することになると様々な人が受け手側になるわけで、デジタルリテラシーが高くない人でも行政が送信元のメールであることを確認できる、事後的に検証できるような形であればいいのかと思っている。ご説明いただいた運用であれば充分ありえると思った次第。
      (事業者)
  • 99%のメールはS/MIMEを利用していないので、S/MIMEかどうかを確認する習慣がない。官公庁からきたメールについては必ずS/MIMEかどうかチェックするという方法がどこまで浸透するかを考えなければならない。
    (専門家)

  • サイバー攻撃の実態を踏まえ、メールの不確実な領域を少しでもなくすことが社会全体に対して良い。政府機関並びに自治体等々がこのような仕組みを使うことが世の中に浸透すれば、メガバンクや多くのコンシューマーを抱える企業も自らのメールを攻撃者に利用されることがないような仕掛けとして、社会全体の安全に帰する部分もあり、デジタル庁が行う政策として有益ではないか。
    (事業者)

  • 電子メールの正しさについては「政府機関等の対策基準策定のためのガイドライン」内「7.2.1電子メール」の項にて示されており、その中にはDKIMも含まれている。これがベースライン。
    (オブザーバー)

  • メール自体にS/MIMEなどのセキュリティ対策を積み上げて安全性を高める方向に行くべきか、メール以外のコミュニケーション手段を取るか答えがでない。国民にとって分かりやすいメッセージングの手段はどんなものかについて改めて議論する。
    (事務局)

【論点②】

電子署名を使いたい

【意見】
  • AdobeのATLに乗っている認証局から出した証明書だけをもらい手元で署名するパターンとリモート署名するパターンに別れる。
    (事業者)

  • 官公庁が使用するのであれば属性情報を載せる必要があるが、電子証明書に組織属性を載せたとしても、認定される業務の対象外であるため、(サービスとして載せている認証局はあるかもしれないが、)法律上は認定認証事業者かそうでないのかに差はない。
    (事業者)

  • 問題は認定認証事業者かどうかではなくATLに載っているかどうか。官職についての情報が確認できる電子証明書である必要がある。本来はGPKIやLGPKIの使用を進めていくのが本来の在り方だが、過渡的な位置付けとしてはATLに載っていて、官職が何らかの形で確認されるようなもので運用していくしかない。
    (専門家)

  • 民事訴訟法228条の問題になるが、電子署名を利用したいということが文書の真正な成立と関連しているのか、その他の安全管理措置としてやっているのかは議論する必要がある。
    (事務局)

  • 処分通知を受ける側の観点に立つと民-民の中で自らの資格証明等のためにデータを流通させていく世界観があるのでは。今回は処分通知に論点を置いているが、官公庁や自治体から発出する元のデータが流通した場合の検証についても加味する必要がある
    (事業者)

  • 処分通知の転々流通先でもその正しさが証明できることが一つのポイント。民事訴訟法228条2項における真性な文書の成立において、その方式として電子署名の有無をどう考えるかという問題もある。しかし、あくまでメインはセキュリティ上の配慮だと考えている。
    (専門家)

  • 民事訴訟法228条2項における真正に成立した公文書は、公務の一環として作成されたものであるかどうかが広範に規定されたものであり、処分通知等という論点と比べると公文書の概念は広く考える必要がある。情報公開法等との関係も含めて考えていく必要がある。
    (事務局)

【論点③】

電子メール単独で送達確認を行いたい

【意見】
  • "要返信"などの単語を書く方法は、逆にフィシングや迷惑メールも"要返信"と書かせるようになることが予想され、一番よくない選択肢。また、一律に開封確認ツールを利用する方法も逆にそれを悪用される危険性がある。URLを記載する方法は、解決策としてはいいが、電子文書の格納場所やシステムを用意することを考慮すると多種多様な文書には使うことができない。
    (事業者)

  • 電子文書を格納したURLを記載する方法は法的に到達したと評価できるか疑問。法的に到達したと評価できる仕組みの中から選択する形にならざるを得ないが、開封確認ツールや"要返信"と記入してもらう方法が上手くいかない場合、URLを記載する方法においては、例えば許認可の際に電子文書の到達確認方法について同意を予めもらうなど別途の手当をしない限り法的に到達と評価しづらい。割り切りが難しい問題。
    (事業者)

  • URLから電子文書をダウンロードした時に到達した、とみなしたい。URLからのダウンロードを行わない人もいるだろうという不安があるため、書面送付もしくは対面受け渡しも配慮した上で、一定期間(1週間程度)ダウンロードしなかったら到達したものと見なすとしてURLを通知する方法がよいのでは。
    (専門家)

【論点④】

全体について

【意見】
  • 処分通知の性質によって、S/MIMEを付してメールするか、ファイル形式で送付するかといった、送付方法の使い分けの議論も必要ではないか。
    (事業者)

第3回論点について(2022年10月28日から2022年11月10日まで)

【論点①】

アルコールの取扱いに係る許可について下記の各仮説への賛成、反対意見。
仮説1
① データの完全性の担保:行政ドメインからのメール送信
② 容易な検証性:行政ドメインで正しさを検証
③ 送達確認:開封確認メール
※事業者又は個人に通知するときの送信方法の違いがあるかについて。

【意見】

特になし

【論点②】

仮説2
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに民間の電子署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール
※事業者又は個人に通知するときの送信方法の違いがあるかについて。

【意見】
  • 開封確認メール以外は、仮説2に賛成。
    行政ドメインから発出されていれば、電子署名については、特定認証業務として認証された電子署名までは必要ではなく、電子署名法の要件を満たすものであれば十分であり、タイムスタンプを付与してあれば、更に非改ざん性の証明能力も高まる。
    送達確認については、申請時に登録されているメールアドレスにURLを記載したメールを送信し、ダウンロードされたことを持って送達とすることを原則とするのが良い。
    法人と個人の違いは、申請時に登録するメールアドレスを法人のドメインに限定するかどうか。
    個人は、フリーアドレスであっても、マイナンバーカードでの本人認証が可能だが、法人の場合はそれが出来ないため、法人ドメインのメールアドレスを送付対象とすることが適当。
    (地方自治体)

【論点③】

仮説3
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに電子署名法に基づき認定された事業者の署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール
※事業者又は個人に通知するときの送信方法の違いがあるかについて。

【意見】

特になし

【論点④】

アルコール事業法の許可の取消しや一時停止措置等について下記の各仮説への賛成、反対意見。
仮説1
① データの完全性の担保:行政ドメインからのメール送信
② 容易な検証性:行政ドメインで正しさを検証
③ 送達確認:開封確認メール

※事業者又は個人に通知するときの送信方法の違いがあるかについて、可能な範囲でご記入願います。
※処分通知の内容で送信方法の違いがあるかについて。

【意見】

特になし

【論点⑤】

仮説2
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに民間の電子署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

※事業者又は個人に通知するときの送信方法の違いがあるかについて、可能な範囲でご記入願います。
※処分通知の内容で送信方法の違いがあるかについて。

【意見】
  • 開封確認メール以外は仮説2に賛成。
    不利益処分の通知においては、申請に基づくものと、申請に基づかないものとを分けて考える方が良い。
    出来るところから早期にデジタル化するということであれば、まずは申請に基づくものから始め、メール送信後に一定期間ダウンロードされない場合の取り扱いを申請の際に事前に合意しておく、あるいは別途に紙や電話などのアナログな手段で対応するのが現実的。
    ただし、メールの送信又は一定期間ダウンロードがされないことをもって、到達と見做す際には、法人と個人は分けて考えた方が良い。
    申請時に今後電子的にやり取りする連絡手段としてのメールアドレスを、申請者の同意の元に登録された場合、法人の場合は届いたメールは、一定期間に確認するのが業務として通常の行為だが、個人の場合にはメールを見ないことをもって、不利益の効果を発生させるのは、同意があっても時期尚早。
    このため、申請時に事前に到達の効果を同意した法人から始めるという整理はどうか。
    (地方自治体)

【論点⑥】

仮説3
① データの完全性の担保:行政ドメインからのメール送信に加え、許可データに電子署名法に基づき認定された事業者の署名を付す。
② 容易な検証性:行政ドメインと電子署名で正しさを検証
③ 送達確認:開封確認メール

※事業者又は個人に通知するときの送信方法の違いがあるかについて、可能な範囲でご記入願います。
※処分通知の内容で送信方法の違いがあるかについて。

【意見】

特になし

【論点⑦】

許認可情報の公表目的や利用の整理について。
処分通知に伴う公表では、許認可情報がオンライン上で公表されていることによって、許認可の処分通知を受けた者以外の者が容易に同情報を確認することができる。このことが同公表目的の一つである。
例えば、行為者の法人名を知っている場合、住民が許認可有無や公表情報を速やかにオンライン上で確認でき、必要な場合は行政機関への通報も行いやすくなる。
このような整理について、賛成、反対、代案。
さらに、許認可情報の利用という観点から、オンライン上で公表された許認可情報名簿に機械可読性がある場合は、許認可の処分通知を受けた者やそれ以外の者が許認可情報の分析や他情報との結合など二次的な利用が行いやすくなることで、情報の透明性や利便性の向上を図ることにつながる可能性がある。
このような整理について、賛成、反対、代案。

【意見】
  • 機械可読可能な形で許可事業者のリストを公開することは一定程度の効果がある反面、二次利用先におけるリストの正しさをどう確認するか、という問題がある。そうした公開方法についても行政側がリストの完全性を一定程度担保することが望ましい。
    (事業者)
  • 例えば営業停止処分など不利益処分の公表は影響が大きいので、事案によって違いがある。また、公表データの二次利用についてはニーズがあまりない。公表されたデータは、当面、許可証の完全性を補足的に確認するものにとどまるのでは。
    (地方自治体)

【論点⑧】

アルコール事業法における許認可事業者の公表について。
アルコール事業の許可者名簿は機械可読性があるデータとして公開されている。
データ(情報)の二次的な利活用を考えた際に、許認可者の名簿は同じような形式で公開する事が望ましいのではないか。
賛成、反対、代案。
望ましくないケースがあるか。

【意見】

特になし

第3回論点中間ミーティングについて(2022年11月4日)

【論点①】

不利益処分の送達確認について

【意見】
  • 相手に到達したということを必ずしも確認されない状況で到達しとみなすのか。相手が通常認識できるかどうかを考えなければいけない。DLしたときとすると、DLしない人もいるのでこの方法で到達したとできない場合のことを考えなければいけない。
    (専門家)

  • 到達したことをどう確認するか。不服申し立てや取消し訴訟では不利益処分があったことを知った日の翌日から〇〇日(カ月)…となっている。どのタイミングを知ったことにするか実務上非常に重要な問題である。
    (専門家)

  • 到達したことを確認することが重要になる。起算点の問題が出てくるのでデジタル技術だけでは出来ないのでは。上記でも述べられているように、送付して1週間経てば送達したとみなすというようなものを国で出してもらえればできる。自治体ではなかなか難しい。
    (地方自治体)

  • 特定商取引法上は相手のメールサーバーに記録された日を起算点とする。記録されたということを確認する方法がないので法律で定めなければいけない。定めたとしても記録された事実は事件として争う必要がある。そのため、新たに法律等で定めないといけない。
    自治体は大量に同時期に送るものをデジタル化したいと言っている。特にこども関係。
    (事業者)

  • 上記でも述べられたが、送達確認を全てデジタル化しようとすると、受け取り側がデジタル化されているかどうかという問題が混在してしまう。一定の手段を行うと手順が減るということを記載すればよい。郵便で送る方法も残し、デジタルでも送れるようにすれば、大分楽。全部いっぺんに解決することは難しい。法律を変えるのは大変だが、加えるのは簡単。そうしなければ議論がすすまない。
    (事業者)

  • 全てを電子化するということは自主的に拒否する人もいるので最終的にはメール併用となるだろう。有用なのはDLしてもらう形。S/MIMEでメールをしたとしても、処分通知そのものは添付ファイルで受け取りたいというケースが多い。
    最近はどの企業もリンクからDLさせることが多い。仮にデジタル庁でDLサイトを運営し、必要に応じてDLしてもらう、DLにより到達確認できる、DLしない人は紙で通知するしかない。各省共用で使えるようなサービスが使えたらよい。最低限一つ作ってそれを使うのが早い。GPKIの証明書が一番早いが、自己署名証明書のDL後、Adobeリーダーの設定が必要。早く始めるのであればAATL対応済みのシステムを一つ購入し、それをデジタル庁サイトに仕込んで、そのシステムで署名するだけでもずいぶん違う。そういったことから着手することも方法としてある。
    (事業者)

【論点②】

その他

【意見】
  • 申請に基づかないものはハードルが高いが、申請に基づくものはできるかもしれない。送ってきたアドレスの有効性は保たれている。DLされない時には電話や紙で送るなどもできる。完璧を目指さずに、とりあえずデジタルで送ってそこから考えるということもありなのでは。
    (地方自治体)

  • いきなりすべての課題の解決することは難しい。ある程度スコープを絞ることが必要。送達に関する要件を明確にして、どこまでを対応できてどこまで対応できていないということが進められれば同様の方法論で検討できる。各省庁で検討している方法を方法論化していくような進め方を考えていく方がいい。補完的なやり方や一部をカバーするような形だと進めやすくなる。推進する際に不安があると進めづらい。
    (専門家)

  • 上記でも述べられたように、既存の仕組みと融合していけるようなものがいい。また、デジタル化した部分のやり方が業務の内容によってどこまでのレベルが求められるか変わってくる、業務の部分は原課へ委ねられる仕組みはデジタル庁の方で送達確認を取れる仕組みをモデル化して作ることがいい。すべてをデジタル化するということではなく、不可を減らすことが目的。政府が国民、法人へのidentifyを確保できていない。デジタルの中でのコミュニケーションの手法を約束できていないので、長期的にはその点を作っていけるような政策戦略をできればよい。
    (事業者)

  • それぞれの処分通知の中では受取側を呼び出すものなどもあるので、それをデジタル化するということの不安感がある。直ちにということであれば強度や許可証などのレベル感も分けていくのでは。ツール論にもなる。デジタルデータの完全性のところで懸念がある。共管部分を聞いても各省でということになる。全省庁気にするところ。デジタル手続法の解釈なども整理して頂けるとありがたい。全省庁バラバラの運用ということでは難しい。
    (オブザーバー)

  • 処分通知を受け取る者を国民か法人かに分けた方がいい。法人については、gBizIDなどを用いた申請に基づくところは、処分通知のデジタル化も容易に出来るだろう。一般の国民については、マイナポータルを用いて処分通知をデジタルで送ることになるだろうが、本人の同意を得ながら進めていくことが大変。法人の申請に基づく処分通知をどのように送るのか、電子ファイルの完全性の確保などを検討すべき。送達確認については、いくつかオプションを作って実際に試行してみて、受け取った法人からフィードバックしてもらうようにしてはどうか。
    また、総務省の「組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ」及び「eシールに係る指針」にて示されたことを行うとよいのでは。
    (事業者)

第4回論点について(2022年11月18日から2022年11月30日まで)

【論点①】

  • 前提
    給付主体である地方自治体が特定公的給付の指定を受けており、非課税世帯データ等をもとに対象世帯を把握している。
  • 想定される送信方法以下のうち、①から④どの選択肢がよいか。
    ①メールでの送信で良いか。(方式は、これまで議論した選択肢)
    ②チャットのアカウントへの送信で良いか。
    ③マイナポータルからの送信で良いか。
    ④その他有効な方法はあるか。
  • 電子署名の有無
    電子署名を付した方が良いか。
【意見】
  • 確認書の回答方法とセットとし、口座情報等を提供していただくことを考慮すると、マイナポータルのように認証を必要とするサービスのほうが良い。
    (地方自治体)

  • 将来的には個人又は世帯宛の通知は、マイナポータルにしていくのが理想(あるいはマイナポータルと連携している電子私書箱のようなサービスも選択肢)。
    なりすましが起こらない、誤ってメッセージを消してしまう危険性が下がる、少なくとも名宛人が閲覧できるようになった時刻は確定できるが、一方で、お知らせのメール通知設定をすることで到達を認知することは容易なままというのが理由。
    (事業者)

  • マイナポータルからの送信が良い。マイナポータルに通知が届いた際には登録してあるメールアドレスにも連絡が来る仕組みであり、確認漏れも起きにくい。
    なお、マイナポータル経由の連絡であれば電子署名は不要。
    (事業者)

  • 想定される通知方法として複数選択肢があるが、それぞれに個別に同意を取るのは行政側にかえって不便になるのでは。マイナポータルで通知を受け取ることへの同意をもらうこととすれば一番簡便であり、議論も大幅に省略できるのでは。マイナポータルであれば電子署名を付ける必要もなく、メールのように受け取り側が発信者の確認を気にする必要もない。
    (専門家)

  • メールで処分通知を行う前提に立つのではなく、個人に関してはマイナポータルがあるのであるから、そこに通知がくるようにすべき。個人については、マイナポータルを利用して検証可能な通知を送付すればいいが、法人についてはマイナポータルのようなものがなくgBizIDを利用するほかない、また個人と個人事業主を区別する方法がない、などという問題が根底にある。前段として個別の手続によって必要な検証も異なるため、(通知、許可証、認定書などといった)手続きごとの検証方法の整理もあって然るべき。
    (専門家)

  • 通知の完全性はそれほど重要ではなく、許可証の完全性を担保することが重要。詳細な場合分けではなく、重要なのは許可証(の完全性の担保)である、とした方が整理しやすいのでは。
    (地方自治体)

  • 上記で許可証の完全性が重要と述べられているが、通知の完全性も重要。通知の到達日時が重要になる場合もあり、問題意識を持っている。事後的に訴訟等で争うとなった場合に通知のタイミングも重要になってくるまた、法的な整理も難しい。
    (専門家)

  • 通知の到達の効力を争う場合については議論があると考える。また、メールの到達効力については相手が認識したかどうかも関係するためなお難しい問題。許可のような利益処分と不利益処分とは分けて整理する必要があると認識。
    (地方自治体)

【論点②】

  • 前提
    給付主体である地方自治体が特定公的給付の指定を受けており、非課税世帯データ等をもとに対象世帯を把握している。
    確認書を通じて、対象者にデジタル上での通知でよいことの本人同意を得ている。
  • 想定される送信方法以下のうち、①から④どの選択肢がよいか。
    ①メールでの送信で良いか。(方式は、これまで議論した選択肢)
    ②チャットのアカウントへの送信で良いか。
    ③マイナポータルからの送信で良いか。
    ④その他有効な方法はあるか。
  • 電子署名の有無
    電子署名を付した方が良いか。
【意見】
  • 論点①同様、③マイナポータルからの送信が良い。
    一般論として、マイナポータルで受信するという前提の場合、名宛人本人が知れば足りる内容、あるいは通知内容を再伝達するとしても送信先が行政機関に限られる場合は、電子署名の必要性は低い。
    ただし、ここでいう「電子署名」(デジタル署名一般)についても、
    ①非改ざん性だけあればよいのか
    ②非改ざん性に加えて、作成した公務所がある程度特定できればよいのか
    ③非改ざん性に加えて、特定の公務員の作成にかかるものであることが必要なのか
    ④非改ざん性に加えて、特定の“行政庁“が作成する形式が必要なのか
    などという分岐があり得る。
    必要性・許容性の検討を踏まえて省令・例規の定めの精査も促してもらいたいが、
    ④の必要性は感じない。
    (事業者)

  • 通知の受け取り側が第三者に申請等するなど、後段のプロセスにおいても文書の正しさが担保されている必要があるもの(例えば建築確認申請)については、マイナポータルでの通知のみでなく、eシールや電子署名を付した電子文書の送付も必要ではないか。
    (事業者)

【論点③】

行政機関が個人に対して、給付金や税徴収など金銭面の処分通知等をデジタル上で行う際に、振り込み詐欺や個人情報の搾取の被害者が出ないよう(最小限となるよう)にするためには、国・地方自治体の共通ルールとしてどのような対応が必要か。

  • 例えば、次の対応方法について、賛成、反対、代案(追記含む)はどうか。
  • 行政機関の給付金や税徴収に係るホームページや(デジタル前提の)通知に「給付金の支給にあたりATMの操作依頼や、現金の振り込みをお願いすることは一切ありません」旨を記入する。
  • 処分通知等のデジタル化を初めて行うときは、消費者団体の消費者被害防止に係るホームページのURL記載やチラシデータの添付を行う。
【意見】
  • 系統的な誤り・偽装を防ぐことが必要。
    フィッシングやなりすましメールでは、リンクや問い合わせ先TELまで偽装して正当でないものにされている例があり、遷移先で情報を入力しなくても、場合によってはリンクを踏んだだけでメールアドレスが生きていることを知らせる結果になる。
    メールでのお知らせはプレーンテキストのみで直接遷移できるURLや電話番号を書かないことを原則にすべき。
    どうしても、URLや問い合わせTELを書かなければいけない場合でも、

    • (少なくとも送る側では)プレーンテキストにする
    • 簡潔なURLで偽装されにくくする
    • ポータルサイトの数をなるべく限定する(乱立していると偽物を作ることも容易になる)
    • 検索すれば簡単に出てきて公式のものだとわかるwebサイトやTEL番号を使う
      などの工夫はあるべき。
      (事業者)
  • 健康保険証の廃止により、マイナンバーカードの取得が実質的に義務化されたと理解しており、マイナポータル(マイナポータルに連携するe-tax等を含む)及び公金受取口座の活用を徹底することで、記載されたような懸念は相当程度軽減されるのではないか。振り込み(納付)についても、マイナポータルからPay-easyや金融機関のインターネットバンキング、更新系API等に連携して実行できるとより望ましい。
    (事業者)

  • 本件の論点のうち取組みや文書・チラシ関連について、下記の情報提供をいただいた。

  1. 振り込め詐欺等の政府の取組み

    1. 架空請求対策パッケージ
      概要版
    2. 令和4年版消費者白書
      第1部第1章 消費者事故等に関する情報の集約及び分析の取りまとめ結果等
  2. 分かりやすい普及啓発ツール
    個人情報保護委員会ホームページ
    広報資料(出版物・動画)
    (事業者)

  • 利益を付与する通知と不利益処分の通知は分けて考える必要があると思う。行政からの通知をマイナポータルで送ることと不利益処分の通知をマイナポータルで送ることを2段構えで同意を取ることを考えなくてはならないのでは。通知の到達が何らかの法的効果に紐付けられているものは同意が必須。法的効果に紐付いていないものとの同意のレベル感に差があるのでは。
    (専門家)

【論点③】

その他

【意見】
  • マイナポータルの議論については同意ではあるが、今回の論点を踏まえると結論の先取りであるような気がする。まずは通知の方法に係る議論することが想定されていた上で、マイナポータルがよいとなった場合に前提を書き直して議論するのがいいのでは。
    (事業者)

第5回論点(2022年11月18日から2022年11月30日まで)及び論点中間ミーティング(2022年11月18日)について

【提言書案についてのご意見①】

「表紙」について

【意見】
  • 文書の中で取り上げられている処分通知は、すべて人間が目で消費することが前提になっている。機械的な確認もAcrobat Reader などで署名の検証がされその結果が表示され、それを人間が目で消費することが前提。
    機械処理可能な、たとえばJSONなどの形で発行されたものを、受取り手のサーバ上のソフトウェアが直接消費、処理をすすめるような、人が介在しないものがあり、デジタル先進国では大変多くなっている。
    これはすぐにでも対応できることだが、このカテゴリがすっぽり落ちているのが問題。この類型であれば、LGPKIであれGPKIであれその鍵を当該機関のwebsiteにhttps://example.go.jp/well-known/jwks.json
    の形でおけば事足りる。
    ケースとしてまず人が消費するもの、機械が消費するものに大きく大別するべき。
    (専門家)

【提言書案についてのご意見②】

「はじめに」について

【意見】

意見箇所
郵送をデジタル化すれば、郵送に係るコストを行政側では圧縮でき、産業界側では出向くなどの時間的な制約がなくなり、自動車などを利用した際のCO2削減にも寄与する。
修正意見
郵送をデジタル化すれば、郵送に係るコストを行政側では圧縮でき、産業界側では出向くなどの時間的な制約がなくなり、自動車などを利用した際のCO2削減にも寄与するほか、紙の原本を保存し続ける事務負担等も軽減される。
理由
紙の原本を保管・保存し続ける事務作業、スペース等の負担にも触れていただくため。
(事業者)

意見箇所
一方、後者は不利益処分にあたるものや、デジタルデバイドが想定される個人へ送付されるものもあり、総じてデジタル化できるものではないだろう。
修正意見
一方、後者は不利益処分にあたるものや、デジタルデバイドが想定される個人へ送付されるものもあり、デジタル化にはより一層慎重な検討が必要であろう。
理由
部分否定だと思うが「総じて〜ない」が全否定文にも読める、「別の論点があるためより一層慎重な検討が必要だろう」という議論の経緯追加。
(事業者)

意見箇所
一方、後者は不利益処分にあたるものや、デジタルデバイドが想定される個人へ送付されるものもあり、総じてデジタル化できるものではないだろう。
修正意見
一方、後者は不利益処分にあたるものや、個人へ送付されるものもあり、総じてデジタル化できるものではないだろう。
理由
個人のみならず、法人に関してもデジタルデバイドの問題があるところ、現記載では、法人におけるデジタルデバイドの問題がないと誤解される可能性があるため。
(オブザーバー)

意見
slackは不特定多数の意見収集には適したツールであるが、多様な背景を持つステークホルダーから書き込まれる多様な視点からの意見を「見える化」して共通理解につなげる「グラフィックレコーディング/ファシリテーショングラフィック」等の同時活用が望まれる。
(事業者)

意見箇所
国民の利便性の向上や、少子高齢化の進展への対応など直面する課題の解決を図るため、デジタル社会の形成を強力に推進
意見
趣旨には賛同するが、コンテンツをデジタル化することで効率化とはいえず、関係者のデジタルリテラシー向上や、必要な設備機器への備えなども含めて、今後社会全体へ広がっていくデジタル化の便益とリスクについて全体像を整理しどこかで言及すべき。
(事業者)

意見
上記記述の視点とも重なるが、今回対象とされた「法人」において一律に対応可能であるとは言えず制度設計においては、規模や業種等においてヒアリング等の実態確認が必要ではないか。
(事業者)

意見箇所
マルチステークホルダー形式によって参集した産・学・消費者団体等の間で・・・議論を行なった。
意見
今回の参加団体はデジタル分野に知見がある組織団体等が主であり、これをマルチステークホルダーと称して制度設計を行なっていく事に対して大きな危惧がある。政府主導で行なう取りまとめは、少なくともパブリックコメントの実施は必須ではないか。
(事業者)

意見
デジタル社会形成を推進することの必要性について述べているため、日本全体の方針としてSociety5.0なども踏まえて進めるという打ち出し方があってもいいのでは。
(事業者)

意見
2つ目のパラグラフにおいて、具体的な事実に基づいた問題意識を明確にした方が取り組みへの説得力を持つのでは。
(事業者)

【提言書案についてのご意見③】

「提言の内容/本提言の観点」について

【意見】

意見
デジタルデバイドがあるからそこは先送りのように読めるが、むしろ「デジタルデバイドの問題が存在するが、デジタル原則のもとでこの問題を解決するために、デジタル代行業等の設置も視野に入れて検討すべきである」のように前向きな書き方にすべきではないか。プライオリティをつけて行くというのは直交する議論である。
(専門家)

意見
裁判の電子化においては、代理人がついている民事訴訟では電子手続が義務化される運びであり、このような点を考えると、迅速に進めるべき領域をデジタルデバイドを理由に限定するべきではない。
(専門家)

意見箇所
処分通知等をデジタル化する事は、生産人口の減少の中で生産性を維持・向上するためにも行政・産業界、個人などに寄与するものであり、積極的に推進するべきである。特に、その価値を最大化するための戦略を以て実施されるべきである。
修正意見
処分通知等をデジタル化する事は、生産人口の減少の中で生産性を維持・向上するためにも行政・産業界、個人などに寄与するものであり、積極的に推進するべきである。デジタル化の恩恵を国民や事業者が享受するため「デジタル原則」に合致することも求められる。特に、その価値を最大化するための戦略を以て実施されるべきである。
理由
戦略性の観点において(あるいは総論部分のどこかで)「デジタル原則」への合致にも言及していただきたい。
(事業者)

意見箇所
一般に使われるソフトウェア(Adobe Acrobat Readerなど)の

意見
用語の定義、厳密化として、「一般に使われるソフトウェア」という幅広い表現は誤解を与えるため、LGPKIはSkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応していることを記載いただきたい。その上でLGPKIが対応していないソフトとしてAdobeReader(Adobe社)と限定して記載いただきたい。
(事業者)

意見箇所
一般の電子署名
修正意見
「利用者の指示に基づき、利用者が作成した電子文書(デジタル情報)について、サービス提供事業者自身の署名鍵により暗号化等を行うサービス」などに変更すべき。
理由
「一般の電子署名」が何を指し示すのかが不明。いわゆる立会人型署名を指すのであれば、意見内容に示すような変更をすべき。
(事業者)

意見箇所
そのような電子署名でも許可証などの書面に添付し、利用できるようにするべきである。
修正意見
電子的な手段やデータをどのように書面に添付するのかを示すか、あるいはこの記述は削除すべき。
理由
電子署名という電子的な手段やその手段により生成された電子データを、紙である書面に添付することがどのようにできるのかが不明である。
(事業者)

意見
戦略性の部分で何の価値を最大化するのか、迅速性の部分で何を迅速に進めるのかを示すとよい。
(事業者)

【提言書案についてのご意見④】

「提言の背景/1.生産性向上の観点から」について

【意見】

意見箇所
働き方改革を掲げ、生産性の向上を事業者は求められているが
意見
そもそも、官庁が発行した証明書の交付を受けて別の官庁に提出する手続は、あらためるべきで、許認可を行う官庁が、証明書発行官庁から直接に受領するようにすべき。
官庁間で相互に照会すればよいものを民間に取得・提出させないことが重要。意見箇所のパラグラフに、「官庁が発行し、別の官庁に提出する証明書等については、これを電子化して官庁間で直接に送受信する仕組み(民間に取得・提出させない仕組み)を実現すべきである」旨を記載すべき。
(専門家)

意見箇所
民間企業が電子契約を進めていることからも、申請に基づく処分通知等のデジタル化は迅速に進めるべきものである。
修正意見
意見箇所の後に以下を挿入。
また、デジタル経済では、人によるデータの消費よりも機械・ソフトウェアによる自動処理にかかるデータの消費量のほうが遥かに高くなり、この部分の効率化を図ることが、経済の競争力の死命を制する。このことからも、機械による自動処理が可能になるようなデジタル化は必須である。
(専門家)

意見
情報通信技術の進歩に合わせた処分通知等のデジタル化に取り組むことで、社会全体の生産性を上げ、コストを下げることができるのでは、とあるが、例えば推定値でも見通しが可能な数値もあった方がいい。
(事業者)

【提言書案についてのご意見⑤】

「提言の背景/2.サービス利用の観点から」について

【意見】

意見箇所
2.サービス利用の観点
修正意見
意見箇所の後に以下の小見出しを挿入
2.1 人間が当該データを消費する場合
(専門家)

意見箇所
「これはPDFファイルを閲覧するためのアプリケーションが、電子署名の検証に必要なGPKI の認証局の自己署名証明書を参照できないためである。」
「GPKI やLGPKIの認証局の自己署名証明書を参照できる環境を政府が準備するに越したことはないが、」
意見
当該記載については、「自己署名証明書」の参照が出来ないという記載は誤り(失効情報の参照が出来ないと想定。)の可能性があり、技術面でAdobe社の製品仕様を確認する必要がある。
(事業者)

意見
文書の電子化の大きな利点として、自動処理が可能になることが挙げられるため、「背景」として記載しておくべき。
(専門家)

【提言書案についてのご意見⑥】

「提言の背景/3.近年の情報通信技術改革の観点から」について

【意見】

意見箇所
そこで利用されている電子署名は電子契約サービス事業者のものが、契約当事者のものを上回っている。
修正意見
電子契約におけるデータよりむしろ、その他の電子署名の応用についても示すべきである。
理由
今回の処分通知と電子契約とは性質が異なるため、電子契約を引き合いに出して説明することは適切ではない。
(事業者)

【提言書案についてのご意見⑦】

「具体化に向けたアクションアイテムの提案/(1)本提言の対象について」について

【意見】

意見
「処分通知」と「通知」が混在している。「通知」は辞書語であるのか「処分通知」を指すのかで読解による処理が必要であり、すべて「処分通知」に統一するのが望ましい。
(専門家)

意見
「個人に対するもの」が対象外とされているが、士業などの個人事業主への通知は対象にしてもよいと考える(法人同様の対応力がある)。「個人に対するもの(士業等の個人事業主を除く)」としてはどうか。
(専門家)

意見箇所
デジタルリテラシーに差がある個人に対するもの
修正意見
「デジタルリテラシーに差がある」との記載を削除。
理由
個人のみならず、法人に関してもデジタルデバイドの問題があるところ、現記載では、法人におけるデジタルデバイドの問題がないと誤解される可能性があるため。
(オブザーバー)

【提言書案についてのご意見⑧】

「具体化に向けたアクションアイテムの提案/(2)通知のデジタル化の推進(短期)」について

【意見】

意見
他社への依存関係がないという意味で短期的に実施可能なGPKI、LGPKI等への方策として、digital.go.jp下に署名を検証するためのweb page/web service(以下、署名検証サービス)をつくり、この署名検証サービスを告知していくということが考えられるのではないか。PDF以外のフォーマットにも適用可能であり、機械による自動処理にも適している。
(専門家)

意見箇所
メールで通知するにあたっては、申請時に“送達可能なメールアドレス”の記載を求め、事業者の同意を取れば即時に進められると考えられる。
意見
「メールで通知するにあたっては」のあとに「関係規程が整備されていることを前提に」と追記すべきではないか。
「事業者の同意を取れば即時に進められる」とあるが、デジ手法に係る共管省令等において、メールで処分通知等を行える旨の具体的な規定は記載されておらず、また電子署名以外の方法についても「別に定める」との記載しかないところ、現法令上、即時に進められると言えない。
(オブザーバー)

【提言書案についてのご意見⑨】

「具体化に向けたアクションアイテムの提案/(3)電子署名の利用(短期・中期)/1.許認可などの電子文書に電子署名を添付する。(短期)」について

【意見】

意見
以下の観点を追加いただきたい。
「電子署名」という言葉は、私見として仮に大きく括っても、
①デジタル署名技術を電子文書の改竄検知に応用したもの(最広義の電子署名)
②デジタル署名からタイムスタンプ等用法に顕著な特色があるものを除いたもの
③電子署名法上の電子署名+官職証明書・職責証明書による電子署名(狭義の電子署名)
④電子署名法上の電子署名(最狭義の電子署名)
がある。
(事業者)

「電子署名」あるいは「(併せて送信すべき)電子証明書」とは何かを整理することが、行政(デジタル庁及び各府省庁)の中期の課題とすべき事項であると考える。
民間の認証事業者から発行された“職責証明書“による“電子署名“の利用が茨城県の例以外にないのは、この整理がオーソライズされていないと言う理由によるものではないか。
参考として比較すると、
宅建業法35条等に基づき、宅地建物取引業者が重要事項説明書を電磁的方法で交付しようとする際に講じなければならない措置は①に近いと理解でき、
地方自治法234条に基づき、契約内容を記録した電磁的記録に講じなければならない措置は③と考えられる。
(事業者)

意見
総務省から自治体宛には「地方公共団体における運用上の参考となるよう」「電子署名及び電子証明書等の運用に関して留意すべき事項」がすでに示されている。
また、トラストサービスに限らず、自治体が情報システムに関連して外部サービスを利用する場合には、同じく総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」を示しており、「各種の認定・認証制度」にも言及がある。
自治体に参照を促すとすれば現時点では以下の文書がふさわしい。
令和3年2月8日付 総務省自治行政局行政課長通知(本文・別添1〜3)
「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)」
(事業者)

意見箇所
1.許認可などの電子文書に電子署名を添付する。(短期)
修正意見
1.許認可などの電子文書に電子署名を付与する。(短期)
(又は)1.許認可などの電子文書に電子署名を行う。(短期)
意見
「電子署名」は「措置」なので厳密には「電子署名を講じる」が正しいかもしれないが、一般的・日常会話的には「電子署名を付する」「電子署名を付与する」という使われ方も流通しているが、「電子署名を添付する」という表現は聞き馴染みがない。「メールに添付する」も紛らわしくなるため、講じる、付する、付与する、行うのいずれかへの修正を提案する。
(事業者)(専門家)

意見箇所
民間で利用されている電子署名を添付して利用する事が考えられる。
修正意見
民間で利用されている電子署名を利用する事が考えられる。
(専門家)

意見箇所
文書へ電子署名を付与するサービス
意見
「文書へ電子署名を付与するサービス」は、「文書に対して電子署名を実施するサービス」が正しいように思えるが、他の部分との整合性もあり、表現を検討していただきたい。
(専門家)

意見箇所
電子署名を付与するサービスを行う事業者
意見
いわゆる立会人型署名サービス又はリモート署名サービスの旨を明記すべき。
理由
PKIによる当事者型署名の場合、認証局の認定制度やWebTrust認定等による第三者評価があるが、左記の署名サービスの場合はそれがないので基準確立等が必要だという主張だと思われるが、現在の書き方ではそれを理解することが困難。
(事業者)

意見
151から155行目及び161から163行目を削除すること。削除の代替として下記の通り記載すべき点を提案する。
別の者より「自治体なり国なりが調達する際にどのレベルのトラストサービスを選ぶのかという話」との指摘があり、同意する。
提供されるべきサービスを定義する、又は「調達仕様書」を考える話から、事業者がそのサービスを提供できるか第三者評価させると言う話には、論理的に途方もない飛躍がある。
万が一新たな評価制度を創設することを含んだ主張であるならば、なおさら論拠が理解できない。
(事業者)

意見
151から154行目の記載は維持するべき。許認可の信頼性を確保するには、当然まもるべきことが書かれているため。ただし、154行目の基準等の確立が「必要」は、「重要」とするか「確立を目指すべき」としてはどうか。
(専門家)

意見
原理原則からすると、処分通知に用いられる電子署名はデジタル手続法及び既存の規則で定められているのではないかと理解。したがって、民間の電子署名サービスと既存の規則との整合性が取れない可能性があることについて記載する必要がある。
(事業者)

意見
ユーザーのサービスの選択に際しては、トラストサービス事業者に求められる基準、第三者評価に係る情報を利用できる状態が重要。政府機関が発行する文書においてトラストサービスを活用する場合は、調達の際にどのレベルのトラストサービスを選択するか、という政府側の判断が重要。
(オブザーバー)

意見
(ポーランドの事例、)政府の一つの部局が代表して電子署名を付せば、各府省が個別に電子署名を付さずとも政府文書であるという担保ができ、非常に簡易的に行うことも可能。(以下、補足意見)なお、令和2年7月に電子署名法の主務省から発出された「電子署名法2条1項に関するQ&A)」を踏まえると、仮にデジタル庁が政府を代表して電子署名(またはeシール)を付与しても、当該通知の担当部局からの指示に基づいて実施したことに対する、十分な水準の固有性が担保されれば、通知の担当部局の電子署名とみなすことも可能であり、デジタル手続き法及びその下位規定を一括して満たすような、みなし規定を設定することも比較的容易ではないか。
(事業者)

【提言書案についてのご意見⑩】

「具体化に向けたアクションアイテムの提案/(1)本提言の対象について/2.GPKI、LGPKIのAATL(Adobe Approved Trust List)への登録(中期)」について

【意見】

意見
161から163行目を削除すること。理由は、ご意見⑨のとおり。
意見
161から163行目の記載は維持するべき。許認可の信頼性を確保するには、当然まもるべきことが書かれているため。
(専門家)

意見箇所
一般に使われるソフトウェア(Adobe Acrobat Readerなど)の検証機能を使った際に“不明な電子署名”となってしまい、機械的にデータの完全性が検証できるとは言えない状態の改善を図るべきである。
ただし、費用や時間もかかることでもあり、マイルストーンを定め進める事が望ましい。
修正意見
処分通知等をデジタル化するに当たり、被処分者が受信した通知の改ざん検知(完全性)等のためGPKI及びLGPKIの電子証明書のニーズが高く、これらの電子証明書はSkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応しているが、PDF閲覧ソフトのデファクトスタンダードとなったAdobeReaderを提供するAdobe社については認定証明書の対応(AATL対応)がなされていない。処分通知等のデジタル化に向けて、GPKI及びLGPKIの利便性向上を図るためにも、これらについて、AATLへの対応の検討を進めることが求められる。
なお、費用や時間もかかることでもあり、マイルストーンを定め進めることが望ましい。
理由
LGPKIについて、SkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応している一方、AATLには対応できていない現状を正しく記載する必要があるため。
また、AATL対応については、「改善を図る」といったものではなく、ニーズ等を踏まえ、「対応の検討を進める」べきものであるため。
(オブザーバー)

意見箇所
一般に使われるソフトウェア(Adobe Acrobat Readerなど)の
修正意見
用語の定義、厳密化として、「一般に使われるソフトウェア」という幅広い表現は誤解を与えるため、LGPKIはSkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応していることを記載いただきたい。その上でLGPKIが対応していないソフトとしてAdobeReader(Adobe社)と限定して記載いただきたい。
(事業者)

意見箇所
また、海外企業の検証機能でも一定の基準を満たしているとされているが、国・行政機関の発行する文書へ電子署名を付与するサービスを行う事業者の場合には、基準(前記)の適応性についても評価する事が必要であろう。
意見
分かりにくいため、具体的な名称をあげるなどして直接的な記述にすべき。
理由
海外の検証機能はAATL、EU TrustedList、WebTrust等を示しているようにも思えるが、分かりづらく、「電子署名を付与するサービスを行う事業者」の適応すべき「基準(前記)」が何かも分かりにくい。
(事業者)

【提言書案についてのご意見⑪】

「具体化に向けたアクションアイテムの提案/(4)電子文書の渡し方の具体化/1.メールに電子署名を付さない電子文書を添付して送る。(短期)」について

【意見】

理由
発信者の信頼性確認、送達確認、開封確認をきちんと分けて論じるとより議論の見通しが良くなる。このページの1~3を行、信頼性確認、送達確認、開封確認、事例を列にした表をつくると良い。
(専門家)

意見箇所
工業用アルコール取扱の許認可では、許認可を受けた事業者が経済産業省ホームページで公開されている。
意見
例を示す必要はないと思われるため、当該記載を削除いただきたい。
(オブザーバー)

意見箇所
前記「(1)通知のデジタル化」
修正意見
前記「(2)通知のデジタル化の推進(短期)」に変更。
理由
参照先に誤りがあると思われるため。
(事業者)

意見箇所
メールの送信をもって送達したとみなすルール形成が必要である。
修正意見
メールの送信をもって送達したとみなす等のルール形成が必要である。
理由
現時点でメールの送信をもって送達したとみなすと規則づけるのは早計なため。
(事業者)

意見
電子メールによる通知について、行政機関で組織的に使用しているメールを使用する方法は危険であるという意見が大半だった。添付ファイルやURLの記載があるメールによる通知は原則推奨しない、といった記載も必要。
(事業者)

意見
メールに電子署名を付さない電子文書を添付して送る方法について、許認可情報が公表される場合でその情報を第三者が確認する必要がある場合には情報の発行元や完全性が分かりにくいのではないか、という意見があった。許認可情報の二次利用においてはその発行元や完全性を担保されていなければ機械可読による自動検証などができないため、留意する必要がある。そういった記載も必要。
(事業者)

【提言書案についてのご意見⑫】

「具体化に向けたアクションアイテムの提案/(4)電子文書の渡し方の具体化/2.メールに電子署名を付した文書を添付して送る。(短期)」について

【意見】

意見箇所
前記「1.許認可などの電子文書に電子署名を添付する」
修正意見
前記「(3)1.許認可などの電子文書に電子署名を添付する」
理由
参照先がすぐ上の「1.」部分と混乱するため。
(事業者)

意見
「添付する」については、「付与する」又は「行う」とする。理由は、「ご意見⑨」に同じ。
(事業者)(専門家)
意見箇所
前記「(1)通知のデジタル化」
修正意見
前記「(2)通知のデジタル化の推進(短期)」に変更。
理由
参照先に誤りがあると思われるため。
(事業者)

意見
メールに電子署名を付した文書を添付して送る場合であっても、メールそのものの発出証明は必要であり、S/MIMEなどの併用も必要になるのでは。
(事業者)

意見
許認可の公開がなされている場合には電子署名を付さない電子文書を添付してメール送付することも可能ではないか、としているが、公開に係る統一的なルールがないため実際の許認可取得時期とその公開のタイミングにタイムラグがある。よって統一的なルールがない限りは許可の検証も行うことができないため、現状、許認可の公開有無による電子署名の付与の可否については議論しづらい。
(専門家)

【提言書案についてのご意見⑬】

「具体化に向けたアクションアイテムの提案/(4)電子文書の渡し方の具体化/3.ファイルサーバに電子署名を付した電子文書を格納し、申請者がダウンロードして受け取る。(短期・中期)」について

【意見】

意見
申請に基づく処分の場合、申請時にIDを付与し、同IDでログインしてダウンロードする方法も考えられる(ダウンロード可能になったことをメール等で通知しダウンロードを促す。民事訴訟の場合には、このやり方)。
末尾に、「申請者のユーザー認証を行って、ダウンロードする方法も考えられる」を追加してはどうか。
(専門家)

意見
誤送信のリスクはいずれの方法にもつきまとうため、「この場合」とするのは望ましくない。誤送信のリスクとその対策は1〜3すべての手段に関して論じられるべきである。
また、ここで提案されている手法(暗号化)が適切であるかは疑問が残る。ファイルサーバを使う場合であれば、アクセス制御付きでのリンク共有が第一選択肢になるはず。gBizIDの利用なども考えられる。
(専門家)

意見
暗号は「解除」されるものなのかに疑問があり、「暗号解除」よりも「復号」がよい。
(専門家)

意見箇所
①別なメールとして、相手方へ送る。
意見
別なメールとして相手方に送るのはPPAPでなかったとしても同じ相手に送ることになりコントロールとして機能しないため削除すべき。
(専門家)

意見
鍵を暗号化された情報と同じ経路で送信等したり、第三者が容易に知り得る方法で送信等したりしてしまうと、第三者によって情報が復号されるおそれが高くなると考えられることから、例えば、事前の面会時に共有しておいたり、事前に共有できない場合は暗号化された情報とは別の方法で送信するなどして秘匿性を確保することが必要。
(オブザーバー)

意見
開封確認が求められる金融機関の文書通知(目論見書など)のために、同様の民間サービスがいろいろと提供されており、同サービス利用も考慮の余地がある。
(専門家)

意見
「ファイルサーバを用意できない自治体なども存在する事」から、用意する場所を「デジタル庁」に限定することにはわずかに違和感がある。
偽りのURLを踏ませるフィッシングやなりすましの危険性を考えると、置く場所(ドメイン)はある程度予測可能な範囲に限定した方がよい。具体的には府県単位で共同利用にするか、デジタル庁をはじめとするgo.jpのどこかにするかなど。
(事業者)

意見
ファイルサーバに電子署名を付した電子文書を格納し、申請者がダウンロードして受け取る場合、暗号化だけでなく、当該ダウンロードサーバーへのログイン認証にも言及いただければバランスが取れる。また、「暗号解除」という文言は「複合」と記載した方が一般的。
(事業者)

【提言書案についてのご意見⑭】

「具体化に向けたアクションアイテムの提案/(4)電子文書の渡し方の具体化/4.送達確認の考え方の整理(中期)」について

【意見】

意見
金融機関に対する規制としての開封確認の形も参照すると良い。
また、マイナポータルといわゆる「私書箱」の話もコンセンサス項目として後述されているのでここでも言及すべきではないか。
(専門家)

意見
一つのルールですべてに対応しようというのは無理筋であり、いくつかのバリエーションを用意し、用途に合わせて選択するのが本筋。「原則の部分は同じになる」を「2~3の選択肢を示して、用途に合わせて適切に選択できる」としてはどうか。
(専門家)

【提言書案についてのご意見⑮】

「具体化に向けたアクションアイテムの提案/(5)デジタル完結に向けた中長期の検討の必要性/1.申請に基づかない処分通知のデジタル化の検討(中期)

【意見】

意見
「(5)デジタル完結に向けた中長期の検討の必要性」の記述はもっともであるが、加えて海外、特にEUの実情調査を含めることも必要。
理由
EUでは、eデリバリーやRegstered e-Mailなどの実サービスが何年も提供されており、そこでの経験を踏まえた上で我が国の制度を検討することが、正に戦略性、迅速性、柔軟性に適った活動である。
(事業者)

意見箇所
(同じ機会を与える“平等”ではなく、相手の状況を考慮した“公平”な観点での議論が必要であること。)
意見
平等と公平が、必ずしも理解できないため、カッコ書きの削除してはどうか。
(専門家)

【提言書案についてのご意見⑯】

「具体化に向けたアクションアイテムの提案/(5)デジタル完結に向けた中長期の検討の必要性/2.デジタル基盤の具体化(長期)

【意見】

意見箇所
具体的には個人であればマイナポータルの活用や、法人であればgBizIDなどの機能拡張で対応できると考えられるため、早急に検討し、具体化をして頂きたい。
意見
具体化の際、新たなシステムやツールを立ち上げることなく、既存のマイナポータルやgBizIDへの統合を徹底して、ユーザーがアクセス/活用しやすい環境づくりを考慮するとともに、複数省庁に亘る処分通知の申請UI/UXの統一を図ることにも十分に配慮することを求める。
(事業者)

意見箇所
gBizIDなどの機能拡張で対応できると考えられるため
意見
「同様のポータルサイトを用意することで対応できると考えられるため」などに変更すべき。
理由
gBizIDは法人内個人の認証手段であり、マイナポータルや電子私書箱とは全く異なる機能であるため、gBizIDの機能拡張では対応できない。「gBizIDなど」の「など」の部分に他の機能が想定されているのであれば、そちらを記述すべき。
(事業者)

意見
提言書にも記載のあるとおり、法人・個人向けのデジタル私書箱を作り、電子文書を送るという意見が参加者で概ね一致していた。まずはそこが議論の前提になるべきなのでは。デジタル私書箱へ電子文書を送る方法であれば、メールでのやりとり方法やなりすまし対策についても議論の必要がなくなる。
(専門家)

【提言書案についてのご意見(その他)】

【意見】

意見
各制度における処分通知において、本人性、完全性及び機密性を担保するために、どの(LGPKI、GPKI、JPKI、認定認証業務等)電子証明書を用い、どのように送受信する事が出来るかをデジタル庁において制度設計していただきたい。
理由
各制度における処分通知のデジタル化に向けて、社会全体のデジタル化を牽引する役割を担うデジタル庁において制度設計していただきたい。
(オブザーバー)

意見
提言案の取り扱いについて、処分通知のデジタル化について、論点(例:完全性、本人性、機密性で保証するべきレベル)、対応を別途国において整理していただきたい。
(事業者)

意見
マルチステークホルダー検討会の、参加団体・企業・有識者のページは、ステークホルダカテゴリがきちんと埋まっていることを示すために、ステークホルダカテゴリ毎にまとめたほうが良い。
参考だが、OECDでは以下のステークホルダカテゴリにまとめてある。

  1. 政府
  2. Business
  3. Civil Society & Information Society
  4. Trade Union
  5. Internet Technical
    (専門家)

意見
今回は対象を法人に限定し記載したが、例えば個人においても個人情報があまり関連しない部分で、申請に基づいた処分通知について検討したことを記載するといい。
(地方自治体)

意見
メールのなりすましの可能性は一定程度あるが、利便性とコストとセキュリティのバランスを考えた方がよい。実務上は今後整理し、提言書においては総論的にまとめるものかと認識している。
(地方自治体)

意見
本提言をデジタル庁が受け取った後のアクションについても、タイムラインとして盛り込んだ方がいいのでは。
(事業者)

意見
eシールに係る記載がなかった。行政の処分通知における電子署名がeシールなのかどうかは検討が必要。
(専門家)

最終意見交換会について(2022年12月1日)

【意見】

意見箇所
提言書案・行数107
意見
文書の構成として対称性を持たせるために修正意見を提示した。ファシリテーターの修正案で問題ない。
(専門家)

意見箇所
提言書案・行数119から120
意見
これまで議論してきたのは二者間で行われる電子契約についてではなく、一者が外に対して通知をするというもの。現状の案のように電子契約におけるデータに係る記載はそぐわない。電子署名の応用としては色々あるが、請求書や案内に電子署名を付す、S/MIMEまで含めるのであればネット銀行から顧客へのメールに付すなど。そういったものの利用頻度等を比較した方がよいのでは。
(事業者)

意見箇所
提言書案・行数119から120
意見
この電子契約の数の比較を何のために記載したのか意義が分からない。
(ファシリテーター回答)

民間においては電子署名の使用が多いがなぜ行政機関では使わないのか、ということを示したいもの。様々な電子署名が使われている現状がある、という文章に修正したい。
(専門家)

意見箇所
提言書案・行数137
意見

  • 今回はデジタル庁として対応できることが主な論点であるため、digital.go.jpと提示した。
  • 署名検証サービスをつくることについては、全てサーバーサイドでできることであり、クライアントの負荷が低く短期的に実施できるためあってもいいのでは。また、機械に自動処理させることによって効率化を目指すことはデジタル化の中心原理であり、機械的に検証するサービスは積極的に作っていくといいのでは。
    (専門家)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 修正案における「有効性」という記載がどういった趣旨か分からない。
  • 基本的に全文削除を求めて意見を出している。例えば行政側で提供してほしいサービスの調達仕様を定義することはいいが、新たに制度創設して品質基準を確立することや、サービス提供事業者を予め外部評価することはこれまで合意も得られておらず、論理飛躍があるのでは。もし当該サービスの品質等を選択する際の留意点について自治体に対するアドバイスを行うのであれば、既に総務省から発出されている行政課長通知やセキュリティガイドラインなどを参照として出せばいいのでは。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 行政が作るのか民間団体が作るのか、色々方法はあると思うが、満たすべき何らかの評価基準は示すべき。
  • 修正案における「有効性」という記載がどういった趣旨か分からない。
    (専門家)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 利用者目線で考えると、維持すべき記載だと考える。行政機関が発行する文書に付された電子署名が信頼できるか否かは国民側にとっては重大な関心事であり、行政機関が適正に行った電子署名であることを確認できることを確保できていないといけない。
    (専門家)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 記載は維持すべき。行政機関が発行する文書の真正性確保の責任はその行政機関にある。行政機関における様々なアプリケーションの調達とは議論が分かれて当然。信頼性を確保するための基準や評価は当然に求められるもの。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 記載は維持すべき。経済産業省からIT製品の調達におけるセキュリティ要件リストが公開されており、評価認証を受けた製品の調達を推奨するようなガイドラインとなっている。したがって、政府調達の一部に関しては、第三者評価を受けた製品の調達が進んでいるものと考える。国が発行する文書への電子署名サービスに関しても、行政への信頼性が問われるものという観点から、何らかの基準に基づいた評価が行われるべき。
  • 有効性の評価を行う主体が誰になるか(例えば行政機関側か、調達側か)については明らかにしていただきたい。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 基準として新たに認証等を設けるのか、あるいは政府調達の際の公募の要件とするか、その部分のグラデーションは解像度を上げないと、総論的にどちらがいいというものでもない。
  • マルチステークホルダーモデルの進め方にも関連するが、今回はSlackをメインに非同期で議論を可視化することに一つ意味があったと理解。該当箇所については事務局が個別ヒアリングした結果をもとに起草されたとの説明があったが、そうだとすればヒアリング結果についても本来、事務局側でSlackに書き込むべき。意見交換会で予定が合わなかった参加者でもしっかり議論できるようにするべきだったのでは。
  • 様々意見も出ているが、今回の提言書の位置付けを踏まえれば、こういった論点については両論併記とする考え方もあるのでは。また、Slackでの議論と別で行われている意見交換会の位置づけに関して、意見交換会の意見や議論がそれなりに重く受け止められるものなのであれば、丁寧な日程調整を行うなど進め方を工夫していただきたかった。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • ここで評価対象となる電子署名サービスがどういうものか共通認識されているか疑わしいため、正確に記載すべき。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 記載を全部削除してほしい立場ではあるが、両論併記という意見もあったことも踏まえて、いきなり外部評価制度を設けたり基準の確立をするのではなく、サービスを選択する側の留意点という書き方を提案したい。その上でISMAP、ISOや総務省から発出されている文書等を例示として記載すればいいのでは。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見

  • 国が発出する文書に民間事業者が電子署名を付すことによって、お墨付きを与えるという構造を是とするかどうかという議論はなかったと考えるがいかがか。
    (事業者)

意見箇所
提言書案・行数151から155及び161から163
意見
一定の基準を満たしていれば、署名者自身のデジタル署名ではなくとも、電子署名としてみなすことができるのは、電子署名法3条Q&Aで示されているとおり。いわゆる、特定認証サービスや認定認証サービス以外の方式の電子署名のサービスを国が使うことの是非は別問題としても、行政機関内の責任者の証明電子署名であるということはいえる。
(事業者)

意見箇所
提言書案・行数187
意見
判所の民事訴訟のシステムでは、概ね申請者のユーザー認証を行って裁判所のデータベースにログインし、文書をダウンロードする方法が前提になっている。申請に基づく処分通知においてこういった方法も考えらえるのではと思料し提案した。
(専門家)

意見箇所
提言書案・行数107
意見
機械処理可能なものに関するカテゴリが落ちている、とご意見いただいていたが詳細ご説明いただきたい。
(事務局質問)

  • デジタル化や電子証明を考える際、やはり自動処理を常に考えるべき。そういった視点が提言書において希薄である。人が消費する場合、機械が消費する場合の立て付けが付くので、その後は両方の観点で読めるようになる。提案した記載が、提案した場所に入れば全体としてバランスが良くなるのでは。
    (専門家)

意見箇所
提言書案・全体に関して
意見
今回、処分通知のデジタル完結に向けて、検証の簡素化や送達確認方法の具体的な議論が進展したと考える。事業者が判断を迷うことなく、無駄な出社や手続が一つも減れば産業競争に繋がるため、法改正も含めて、引き続き検討の具体化を行っていただきたい。
(産業界)

意見箇所
提言書案・全体に関して
意見
通知先の主体に係るデジタル用のIDは個人、個人事業者、法人等によってそれぞれ効果や真正性、実在性を確認する手法は異なるが、全体通して、(本人確認のためにも)受け取り側のIDが確認される必要があるという点を記載いただきたい。(通知先に対する通信手段の確認という趣旨)
(事業者)

提言書案に対するご意見について(2022年12月5日から2022年12月8日)]

【意見】

意見箇所
提言書案・行数83
意見(修正文案)
「政府にはGPKI(政府認証基盤)、地方自治体にはLGPKI(地方公共団体組織認証基盤)があるが、そこで付される電子署名は、SkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応しているが、広く利用されて事実上のデファクトスタンダードになっていると考えられるAdobe社の署名検証機能では検証ができない」
理由
既に対応しているPDF閲覧ソフトウェアがあり、さらにAdobe社に対応するという趣旨。
(事業者)

意見箇所
提言書案・行数115
意見(修正文案)
「署名の発行元やデータの完全性を確かめようとした場合に、Adobe社のPDFファイルの閲覧アプリケーションを使用すると」
理由
「一般に使われるソフトウェア」という幅広い表現は誤解を与えるため、製品名を特定したほうが良いという趣旨。
(事業者)

意見箇所
提言書案・行数120から121
意見(修正文案)
「政府にはGPKI(政府認証基盤)、地方自治体にはLGPKI(地方公共団体組織認証基盤)があるが、そこで付される電子署名は、SkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応しているが、広く利用されて事実上のデファクトスタンダードになっていると考えられるAdobe社の署名検証機能では検証ができない。」
理由

  • P7 193から195の意見と同じ内容を反映
    (オブザーバー)

意見箇所
提言書案・行数178
意見(修正文案)
「完全性」は「真正性」にすべき。
理由
完全性は変更されていないこと,真正性は作成名義人により作成されたこと,を意味するところ,ここに関する「注8」の説明は真正性に該当する(「本物である」というのは権限のある機関が発出したものの意味と思料する)。
また,184行目及び193行目の「完全性」も「真正性」とすべき。本人性と対比されている箇所(115行目)などについては変更しなくともよい。
(専門家)

意見箇所
提言書案・行数181
意見(修正文案)
「電子署名サービス」から「サービス」を削除し「電子署名」にすべき。
理由
ここでは,電子署名について議論しており、サービスに言及するのは唐突に感じる。なお,181行目に「民間で利用されている電子署名」という文言があり,これとの平仄をとるためにも「サービス」は削除すべき。
(専門家)

意見箇所
提言書案・行数183
意見(修正文案)
民間サービスであるが故にそれぞれ独自の基準でサービスを提供している。”は誤りではないか。
少なくともAATL(Adobe Approved Trust List)、EU Trusted List、Web Trustもオープンな基準に従った第三者評価を実施しているはず。
(専門家)

意見箇所
提言書案・行数190
意見(修正文案)
190行目の「他社への依存関係」は,趣旨が読み取れない。「特定の企業への依存関係」という意味か。修正いただきたい。
(専門家)

意見箇所
提言書案・行数190
意見(修正文案)
「他社」「他者」の誤字
(事業者)

意見箇所
提言書案・行数190から192
意見(修正文案)
digital.go.jpにおける署名検証サービスはGPKI、LGPKI等に限らず、民間の電子署名サービスを利用する際も必要なのではないか。
(専門家)

意見箇所
提言書案・行数193
意見(修正文案)
「一方で、処分通知等をデジタル化するにあたり、受信した通知の完全性等のためのGPKI及びLGPKIのニーズが一定程度あるが、これらの電子証明書はSkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応しているが、PDF閲覧ソフトウェアのデファクトスタンダードとして広く一般に普及しているAdobe社のソフトウェア(Adobe Acrobat Reader等)では対応ができていない。」
理由
前回コメントで赤文字部分の記載がされていなかったため。(既に対応しているPDF閲覧ソフトウェアがあり、さらにAdobe社に対応するという趣旨。)
(事業者)

意見箇所
提言書案・行数193から197
意見(修正文案)
2.GPKI、LGPKIのAATL(Adobe Approved Trust List)への登録(短期・中期)
「一方で、処分通知等をデジタル化するにあたり、受信した通知の完全性等のためのGPKI及びLGPKIのニーズが一定程度あるが、これらの電子証明書はSkyPDF(スカイコム社)やJUST PDF(ジャストシステム社)には対応しているが、PDF閲覧ソフトウェアのデファクトスタンダードとして広く一般に普及しているAdobe社のソフトウェア(Adobe Acrobat Reader等)では対応ができていない。処分通知等のデジタル化に向けて、GPKI及びLGPKIの利便性向上を図るためにも、これらについて、AATLへの対応の検討を進めることが求められる。なお、費用や時間もかかることでもあり、マイルストーンを定めて進めることが望ましい。」
理由

  • 修文案が一部反映されていないため。
    (オブザーバー)

意見箇所
提言書案・脚注7
意見(修正文案)
8P目の脚注7の”完全性”は”真正性”ではないか。
(専門家)

意見箇所
提言書案・脚注10
意見(修正文案)
SWG報告書抜粋
「マルチステークホルダーモデルの運営においては、特定の利害関係者に議論が引きずられることのない公平な議論の仕組み、ステークホルダーへの議論の参加を促す仕組み、効率的な運営の確保が必要である。」
SWG第9回議事概要抜粋
「マルチステークホルダーのあり方について、自由参加的な感じがあったが、一部の利害関係者グループによって物量で押し切られるというようなことがないように、ステークホルダーグループごとにまとめて、そこから代表者を出すようなアプローチも検討に値する。」
(事業者)

意見箇所
提言書案・脚注11
意見(修正文案)
削除
理由
トラストサービスの定義については既にデジタル庁での検討が行われた状況であることから、これに言及するのであればデジタル庁における定義を引用することが適当。あるいは、デジタル庁における定義が未確定な状況では敢えて注記せずとも良い内容かと思料する。
(オブザーバー)

オブザーバー意見(セキュリティに関するもの)

※以下、オブザーバーからデジタル庁に対して、セキュリティに関していただいた意見を掲載。今回のMSMでは短期に実施できるものを明確にすることが論点であったことから今後検討するものとして掲載する。一方、今後中長期を見据えた検討を行うために、デジタル庁からオブザーバーに対して行った質問、及びそれに対する回答も掲載している。

第1回論点に係る意見①

府省庁等や地方自治体における処分通知等の電子化の実施に当たっては、電子化に係る情報システムを運用、利用等する府省庁等や地方自治体、利用者(国民や企業)において、サイバーセキュリティ確保に係る取組が適切に実施されることが必要と考えている。

  • 上述の考え方を元に、処分通知等のデジタル化の実施に当たっては、次の点に留意することが必要と考えている。
  1. サイバーセキュリティに係る事項とそれ以外をきちんと分けて整理することが必要
    →電子化に係る各種機能要件の一部の固まりに、セキュリティについて、少し記載され、また、別の機能要件の固まりに一部セキュリティについて記載されるといった形で整理すると必要なセキュリティ対策が取りこぼされる可能性が出てくると考えるため、サイバーセキュリティに係る事項とその他の事項をきちんと分けて整理した方が良いと考えております。
  2. 地方公共団体を含めた重要インフラのサイバーセキュリティに関する官民共通の基本的な枠組みとして、「重要インフラのサイバーセキュリティに係る行動計画」(令和4年6月17日サイバーセキュリティ戦略本部決定)が定められているので、当該行動計画を踏まえたセキュリティ対策に留意することが必要
  3. 本施策の推進に当たっては、ガバメントクラウドも利用すると思っておりますところ、ガバメントクラウドを利用しての処分通知等の電子化におかれましては、デジタル庁様におけるサイバーセキュリティ対策について明確化しておくことが必要。(←おおもとのサイバーセキュリティ対策を明確にすることで、関係するサイバーセキュリティ対策の検討がしやすくなると考えるため。)
  4. 地方自治体のセキュリティ対策の参考となる「地方公共団体における情報セキュリティポリシーに関するガイドライン」においては、基盤となる情報システムを利用して情報システムの構築・運用等を行う立場としての対策は記載されていないと認識していることから、提供側と利用側の責任分界を踏まえた適切なシステム構築・運用等がされる必要があると考えられるため、複数の機関が共通で利用する基盤となる情報システム(デジタル庁様のシステム)を利用する際のサイバーセキュリティ対策について整理することが必要
  5. セキュリティ対策は、知見に基づく適切な各種判断が重要であるところ、地方自治体において十分な知見が無い場合においては、知見を有する所管省庁等が相談対応するなどして適切な判断を可能にすることが重要であることから、その旨を本件に係る整理の中に盛り込み、(知見のあまりない組織があることも想定されます)地方自治体任せにするのではなく、そのような地方自治体があればフォローすることが必要
  6. 先般、「地方公共団体情報システムの標準化方針」が閣議決定されたと思いますところ、これに係るサイバーセキュリティ対策を踏まえることが必要

デジタル庁から質問

セキュリティ措置について、参照すべき通知等はあるか。受信者(事業者や個人)について対応策はあるか。

オブザーバーの意見

  • 「重要インフラのサイバーセキュリティに係る行動計画」(令和4年6月17日サイバーセキュリティ戦略本部決定)
  • 「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」(令和元年5月23日サイバーセキュリティ戦略本部決定)
  • 「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書(第1版)」(令和元年5月23日サイバーセキュリティ戦略本部重要インフラ専門調査会決定)
    理由:重要インフラについては、行動計画等において、地方公共団体を含む重要インフラのサイバーセキュリティの確保に必要な措置を分野横断的に定めていることから、処分通知等の電子化にあたっても当該行動計画等を踏まえたセキュリティ対策を実施する必要があるため。なお、各重要インフラ所管省庁においては、当該行動計画等を参考にしつつ各分野の情報セキュリティ確保に係るガイドラインを作成していることについても併せて留意されたい。
  • 政府機関等の対策基準策定のためのガイドライン(令和3年度版)
    理由:統一基準の遵守事項を満たすためにとるべき基本的な対策事項が例示されているため。また、付録に、セキュリティ関係規定等が、多々記載されているため。
オンラインストレージ等は、何を使えば良いか。

オブザーバーの意見

  • 基本対策事項を一例として挙げると、要保護情報である電磁的記録を送信する場合は、安全確保に留意して、以下を例に当該情報の送信の手段を決定すること、となっており、機関等独自で運用するなどセキュリティが十分確保された ~省略~ オンラインストレージ環境を利用すれば良いと考えている。
    また、統一基準においては、クラウドサービスを利用する場合、要機密情報を取り扱うのであればISMAP管理基準と同等以上のセキュリティ要件を定めた上でクラウドサービスを選定することを求めている。また、要機密情報を取り扱わない場合においても、考慮すべきリスクを受容するか又は低減するための措置を講ずることが可能であるかを十分検討した上で、利用の可否を判断する。
    理由:政府機関等の対策基準策定のためのガイドライン(令和3年度版)基本対策事項3.1.1(6)-3 e) 、政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)遵守事項4.2.1(2)(c)、遵守事項4.2.2(2)(a)による。
オンラインストレージ等でパスワードをかける又はPDFにパスワードをかける場合、どのようにして受信者(事業者や個人)にパスワードを通知すればよいか。また、取り決めの際、SMS等を用いて送信してよいか。

オブザーバーの意見

  • 鍵を暗号化された情報と同じ経路で送信等したり、第三者が容易に知り得る方法で送信等したりしてしまうと、第三者によって情報が復号されるおそれが高くなることから、例えば、事前の面会時に共有しておいたり、事前に共有できない場合は暗号化された情報とは別の方法で送信するなどして秘匿性を確保することが必要。
    理由:
    • 政府機関等の対策基準策定のためのガイドライン 基本対策事項3.1.1(6)-2 a)による。
    • SMS等の「等」が何を指すか不明なため、「等」については言及できない。
    • SMSについては、上述したように、暗号化された情報と同じ経路での送信でなく、第三者に容易に知りうる方法でないのであれば、上述のとおり。
      ※なお、SMSで鍵を送信した場合、これが第三者が容易に知りうる方法であるか否かは、SMSを提供している各社の現状の情報システム及び各社間の情報送信に係る仕組みを確認する必要がある。

以上