本文へ移動

トラストを確保したDX推進サブワーキンググループ(第9回)

概要

  • 日時:令和4年(2022年)4月25日(月)14時から15時45分まで
  • 場所:オンライン開催
  • 議事次第:
    1. 開会
    2. 議事
      1. 事務局資料説明 (事務局)
      2. 自由討議
    3. 閉会

資料

参考資料

関連政策

議事概要

日時

令和4年(2022年)4月25日(月)14時から15時26分まで

場所

オンライン開催

出席者

構成員

  • 太田洋(西村あさひ法律事務所パートナー弁護士)
  • 崎村夏彦(東京デジタルアイディアーズ株式会社主席研究員)
  • 佐古 和恵(早稲田大学 基幹理工学部情報理工学科教授)
  • 手塚悟(慶應義塾大学環境情報学部教授)【主査】
  • 濱口総志(慶應義塾大学SFC研究所上席所員)
  • 林達也(LocationMind株式会社 取締役)
  • 宮内宏(宮内・水町IT法律事務所 弁護士)
  • 宮村和谷(PwCあらた有限責任監査法人パートナー )
  • 高村信(総務省サイバーセキュリティ統括官付参事官)
  • 希代浩正(法務省民事局商事課補佐官)※代理出席
  • 奥田修司(経済産業省商務情報政策局サイバーセキュリティ課長)

オブザーバー

  • 伊地知理(一般財団法人日本データ通信協会情報通信セキュリティ本部タイムビジネス認定センター長)
  • 井高貴之(厚生労働省医政局研究開発振興課医療情報技術参与)※代理出席
  • 太田大州(デジタルトラスト協議会渉外部会長)
  • 小川博久(日本トラストテクノロジー協議会運営委員長 兼 株式会社三菱総合研究所デジタル・イノベーション本部サイバー・セキュリティ戦略グループ主任研究員)
  • 小川幹夫(全国銀行協会事務・決済システム部長)
  • 奥野哲朗(厚生労働省医薬・生活衛生局総務課課長補佐)※代理出席
  • 小倉隆幸(シヤチハタ株式会社システム法人営業部部長)
  • 金子聖治(厚生労働省医薬・生活衛生局総務課指導官)※代理出席
  • 小松博明(有限責任あずさ監査法人東京IT監査部パートナー)
  • 佐藤創一(一般社団法人新経済連盟政策部長)
  • 佐藤帯刀(クラウド型電子署名サービス協議会協議会事務局)
  • 柴田孝一(セイコーソリューションズ株式会社DXサービス企画統括部担当部長兼トラストサービス推進フォーラム企画運営部会部会長)
  • 島井健一郎(厚生労働省医政局研究開発振興課医療情報技術推進室室長補佐)※代理出席
  • 島岡政基(セコム株式会社IS研究所主任研究員)
  • 袖山喜久造(SKJ総合税理士事務所所長)
  • 豊島一清(DigitalBCG Japan Managing Director)
  • 中須祐二(SAPジャパン株式会社政府渉外バイスプレジデント)
  • 中武浩史(Global Legal Entity Identifier Foundation(GLEIF)日本オフィス代表)
  • 西山晃(電子認証局会議特別会員(フューチャー・トラスト・ラボ代表))
  • 野崎英司(金融庁監督局総務課長)
  • 肥後彰秀(独立行政法人情報処理推進機構(IPA)デジタルアーキテクチャ・デザインセンター(DADC)インキュベーションラボ デジタル本人確認プロジェクトチーム プロジェクトオーナー)
  • 三澤伴暁(PwCあらた有限責任監査法人パートナー)
  • 山内徹(一般財団法人日本情報経済社会推進協会 常務理事・デジタルトラスト評価センター長)
  • 若目田光生(一般社団法人日本経済団体連合会 デジタルエコノミー推進委員会企画部会データ戦略 WG主査)

デジタル庁(事務局)

  • デジタル社会共通機能グループ 楠 正憲グループ長、犬童 周作グループ次長 他

議事要旨

  • 事務局より、資料1「事務局説明資料」について説明。
  • 自由討議において、主に以下の発言。
    • トラストポリシーの基本方針について、第5回の本サブワーキンググループでポリシー策定の論点として発表した内容を反映していただき光栄。国際通用性について、特定の国ではなく国際標準であるということを打ち出していく必要がある。これは関連する技術中立性にもつながるポイントである。同時に、継続していくことができるエコシステムが重要。特に運営、運用が安定してできる経済基盤がユーザーにも分かるということは重要。第1層、第2層は割と特出しされていないが、実際にデジタル庁では、ガバメントクラウドを含めて官民におけるデータ連携基盤の政策もされているので、その関連性というものを意識できるとよい。
      事務局資料(参考5)個人手続きにおけるトラストが必要と考えられるユースケースについて、やはり意識してトラストが欲しいと人々が思えるユースケースというのは、唐突に発生する非連続的なイベントの場合だと言える。毎日使っているものは自ら適切なレベルのトラストを暗黙のうちに受容しているが、日々使っていないものにおいてトラストの要素は重要になる。日々の利用と突発的な重要イベントの間の非連続性を結合する仕組みが求められている。これは行為の積み重ねとそれの継続性、過去からの時間が非常に重要な要点になる。レピュテーションというお話と言い換えることができる。
      マルチステークホルダーモデルへの参加のインセンティブについては、過去の有識者会合などを鑑みるに、謝金ではなく純粋に専門家として国の政策を正しい方向に向いてほしいというのが一番大きなところ。当然、会社組織等から了承を得て参加する際には、事業に影響する部分も同じく正しい方向性を見てほしい、という観点で参加されているという動機があると考える。その観点で、目的だけでなく、過程、プロセス、参加したという経験、意見が採用された、採用されなくても意見を出して議論の役に立ったというような部分も貢献に入るのではないか。いわゆる名誉、栄誉的なものになるが、オープンソースソフトウェアでも「伽藍とバザール」と言われているが、有識者のリストと同じように捉えて、デジタル庁のサイトにきちんと参加者の貢献の記録が残るというようなことはインセンティブに値するのではないか。以前、国際標準化活動の支援を企業や中央省庁に依頼したときに出た話題として、企業としてリソースを提供するのは非常に抵抗があるが、成果に対して、大臣の賞状があるなど、明確な貢献への評価みたいなものがあると業務の時間を使わせやすいというお話があったので、インプットさせていただく。
    • インセンティブの話に賛成する。報告書骨子(案)全体像については、議論の内容が必ずしも網羅されてないところがある。全体像は報告書の顔とも言えるような部分なので、座長と相談し、完成形では報告書本体の内容がしっかり網羅されるようにしていただきたい。
      「1.トラストの議論の範囲 (2)トラストの集中検討分野」について、民間についての検討がより有用という意見を申し上げたつもりなので、ぜひ挙げていただきたい。「2.トラスト確保の実態調査 (2)トラストサービスの導入範囲」のところで、トラストサービスの選定の難しさというのが課題として挙げられているが、どうやって選定するのかについて、「4.行政手続きへのトラストサービス活用促進」以降にあまり出てきていない。トラストサービス、アプリケーションによって、安全性と相応なトラストサービスのレベルがあるので、そのような関係の明示が非常に重要な課題である。ぜひ4章以下でも取り上げていっていただきたい。
      2.(4)で「依然としてトラストがデジタル化の阻害要因とみられる課題がある」、と書かれているが、ここでトラストがデジタル化の阻害要因という場合、このトラストというのは、面談や押印が必要というように物理的なトラストが問題になっているという意味で書かれているように思う。「依然としてトラストが阻害要因になっている」というのは、このサブワーキンググループで言うトラストとは異なる意味合いのことなのではないかと思うので、混乱されないように書いてほしい。
      3章で「政策及び法的課題」として、eシールの状況や電子契約の証拠力などについて課題が挙げられているが、これもあまり4章以下で取り上げられていないような気がするので、ここで課題として挙げている以上、これらも4章以降で取り上げるべき。
      「(参考8-2)トラストサービスの課題」での、「電子契約の証拠力」の発表に関する主な意見として、2段の推定についての整理の必要性が述べられているが、政府から出された電子署名法3条のQ&Aは、主に2段目の推定、具体的には電子署名という措置があれば真正性が成立するということについての大まかな内容を示したものであるが、いわゆる「1段目の推定」、印鑑の場合には、印影があれば押印行為を推定するという推定については、これが電子化された場合についての整理はまだほとんど議論されてない。「1段目の推定」をどのように電子署名のやり方について見ていくかというのを検討すべき。
      第4章について、行政分野におけるトラストのニーズが高かったというトラストという捉え方については、「依然としてトラストが阻害要因になっている」というのは、物理的なトラストを含んでいる可能性があるため、書き方を工夫していただきたい。また、公的な認証基盤の技術基準の最新化が重要だと考えているが、特に重要な例として、AATL等の国際基準への対応があるので、特に明記して言及していただきたい。
      「(参考9)デジタル完結を可能とするためのトラスト基盤イメージ」について、IDのことを中心に書いているように見えて不十分である。特に②、④の処分通知は、こういう電子署名、eシールが必要となってくる。こういう点もしっかり基盤イメージとしては書いていくべきであり、そういうトラストサービスを支えるものとしてGPKI、LGPKI、場合にはJPKIも明記していくべき。
      6章(1)に、トラストサービスの品質保証の在り方が出てくるが、トラストサービスの品質保証という捉え方は、このサブワーキンググループで初めてなのではないか。ここで言いたいのは、技術基準、運用基準、官民の認定制度のようなものなので、具体的に書いたほうがいい。IDについてはアシュアランスレベルと言って、IDプロバイダも広い意味ではトラストサービスの一環として捉えることができるので、わざわざトラストサービスについて違う言葉を使う必要はないのではないか。トラストサービスの品質保証のあり方の検討にあたっての課題について、国として体制を確保できない可能性があるということは確かに言えるが、だからこれは民間でという話になるわけではなくて、まずは国としてそうものを確保する方策というのを考えて整備するべき。その他の検討における課題の記述は意味が取りにくいので追記した方がよい。
      トラストポリシーの基本方針について、このサブワーキンググループで主に考えているトラストサービスというのは、1層、2層のところが中心になる。この1層、2層というのは、3層から上で必要とされるような色々な性質がある。これを実現するために1層、2層というのがどういうようにあるべきか考えて全体を構築していくというのがトラストのあり方。そういう意味で、3層以降を支えるために1層、2層でトラストサービスを実現するという進め方でいくべき。
      今後のトラスト基盤の構築に向けた検討体制案については、短期のところでの検討のあり方のところで、「デジタル庁が議論の場を提供」と書いてあるが、これはまさにマルチステークホルダーモデルでやっていくという意味で、デジタル庁がそういう場を提供する、という意味合いで書いているというような理解でよいのか。
    • その認識で問題ない。検討のあり方の欄の民民同士の取引・手続のところについては、デジタル庁がマルチステークホルダーという議論の場を提供し、そこでステークホルダーの方々に議論していただくという形になっている。
      トラストサービスの品質保証のあり方についてのご指摘について、本サブワーキンググループの議論では、トラストサービスについて、包括的に1つの軸としてアシュアランスレベルを論じられるかについて、合意が得られなかったものと認識している。品質保証ではなく、技術基準と記載することでも差し支えないと思うが、どのような記載の仕方が適当かについて検討したい。
    • 報告書骨子(案)全体像について、6’や7'は、全体に“通奏低音”のように何回も出てくるが、国際通用性ないし国際的な相互運用性という言葉の意味について、報告書を書かれるときに、技術的な意味でのインターオペラビリティとともに、法制面において、例えばEUなどに相互認証してもらえることに足りるレベルのものであることが必要であるといった形で、技術面と法制度面の両方がこの国際通用性ないし国際的な相互運用性という言葉で合意されているということを書いていただきたい。トラストポリシーの基本方針の第3層の連携基盤のところにも国際通用性と出てくるところ、国際標準機関のみ記載すると、技術の面だけに絞られるきらいがあるので、法制度面についても、UNCITRALなどの国際標準機関で議論されている国際的なトラストをめぐる法制度との間での整合性の確保も必要である旨も織り込んでいただきたい。
      また、5章で、マルチステークホルダーモデルのメンバーの構成のあり方の記載があるが、発起人とかオープンエントリーの形態は、インターネットなどの技術的な世界ではこのような枠組みでうまくいくのかもしれないが、トラストという様々な人が行うトランザクションの信頼性に関わる話なので、全体的に特定の利害関係者の利害に引きずられないようにするための配慮というものが不可欠である。発起人という、自ら手を挙げる人がリードする形より、マルチステークホルダーモデルに参加するメンバーについて、ある程度デジタル庁で声がけをして、必ず入ってもらうようにするといったような形の配慮は必要。
      参加するメンバーの外縁については、これはオープンエントリーでもいいとは思うが、トラストサービスは万人に影響があり得る話であり、これまでの有識者の発表でも、一部利害が相反する方もいるようなので、全体として中立的な形で議論が進むような配慮が必要。
      (3)トラストサービスの品質保証のあり方の検討の課題について、トラストサービスの品質保証を国が担保する場合、国として最新の仕様をメンテナンスし続け監査する体制が確保できない可能性と書いてあるが、これは国としての責任を重く考え過ぎているように見える。紙の世界で行われているトランザクションのトラストは、実印や内容証明で一定程度確保されているが、それは全て法律的に言うと「推定」のレベルの話であり、当然それに依拠できない場合は反証ができるというものなので、100%保証し切ろうと思うと国として非常に負担がある。国がガイドラインを示して、これに合致したものは一応色々な取引に関わる人において一定程度推定が利くものとして依拠できるというレベルのものであれば、国として最新の仕様をメンテナンスし続けるとか、監査を完璧にやらなければいけないということには必ずしもならないと思う。その辺りも、報告書への書き込みで工夫していただきたい。
    • 今後のトラスト基盤の構築に向けた検討体制案について、短期で記載のある「民間のオンライン取引・手続における課題の検討」は、幅広いパターンが想定される。その際に、昨今の国際情勢を考えた場合に、決済やデジタル通貨の話が、ロシアのウクライナ侵攻を鑑みてもかなり急激に動いている状況と言える。以前も、FATF対応は課題として挙がっていたが、送金や決済にまつわるユースケースについては、海外でも急激に動きが加速するケースが想定されると思うので、アジャイルガバナンスの観点からしても、報告書では、今後のユースケースの整理として、海外からのアウトサイドインで急ぎ対応しなければいけなくなるようなユースケースを想定しておいたほうが良い。議論の体制、参画するステークホルダーを考える際にも、国際動向の急激な変化というところを踏まえるべき。
    • マルチステークホルダーのあり方について、自由参加的な感じがあったが、一部の利害関係者グループによって物量で押し切られるというようなことがないように、ステークホルダーグループごとにまとめて、そこから代表者を出すようなアプローチも検討に値する。OECDは典型的にそのような形になっている。
      「トラストサービスの品質保証のあり方の検討」については、仕様、規格に関する国の関与ということで、長期的にメンテナンスという話もあったが、細かいレベルになってくるとやはり国とか行政でやっていくのは結構厳しい。そういう背景もあり、国際規格や地域規格を参照するということを想定して書かれている。国際規格を参照することにより、デジタル庁の負荷も削減していって、より効果的な政策実現が可能になるということを想定しているのだと思うので事務局に確認したい。
      トラストポリシーの基本方針について、このサブワーキングの議論は第1層、第2層にかかってくるという意見があったが、それだと狭いと思っている。事務局に提示いただいているような範囲は入れなければならないし、特に第3層、第4層というのはトラストサービスの普及に関して重要である。オープンバンキングを海外でやっていてもユーザーエクスペリエンスのレスポンスがどのくらいであるべきかは大変重要である。本サブワーキングの目的は、第6層にあるデジタル完結・自動化原則につなげていくところなので、深さに浅い深いはあろうかと思うが、やはりこの辺までちゃんと見ておく必要がある。
    • ご理解の通りである。デジタル庁としては、トラストサービスの品質保証を考えるに当たって検討する課題として、こういうものがあるということで記載いたしました。最終版の報告書では、意味が取れるように補足したい。
    • 「(参考6)トラストサービスへの課題意識」において、今後のトラストサービスの基盤整備、普及に向けて考えられる施作例への関心における一番パーセンテージが高いものとして「低コストで導入可能な方法の確立」、その次に「法的効力(証拠能力)の規定」があるが、トラストサービスの普及を考えたときに、中小企業で使われるかどうかが非常に大きな課題になる。したがって、低コストで導入可能あるいは導入することでコストよりも大きなメリットを得られるということが中小企業に対して周知徹底されていかなければならない。例えば、民間におけるトラストサービス導入のガイドラインをつくる等の工夫や制度設計をする際に低コストでの監査や認定制度を念頭に置いた上で検討していく必要がある。
      「(参考7‐3)トラストサービスのニーズと課題」で、「電子印鑑の役割」のプレゼンがあった際に、トラストサービスにおいて技術的な検証結果をいかに分かりやすくユーザーに表示するかは議論する必要があると発言したが、これに関しては、アシュアランスレベルとセットで検討しなければならない。そのサービスごとに検証方法が異なる方法だと、依拠当事者がデータを検証する際に、そのデータの信頼性を保証しているトラストサービスがどの保証レベルのトラストサービスなのかの検証方法がサービサーごとに異なるという環境であると、トラストサービスの普及というのは難しい。欧州であれば、eIDAS規則においてトラストテッドリストという信頼の基盤、トラストアンカーを整備して法的に有効なトラストサービスというものを検証できるようなサービスを欧州委員会が運用しており、また、その検証のためのライブラリーもオープンソースで開発して広く公開しているというような検証基盤を公的に提供している。トラストポリシーの基本方針にも国際通用性が出てくるが、国内のトラストサービスが海外においても検証可能であり、検証したときにそれが日本でどういう保証レベルに位置づけられているトラストサービスなのかというのが検証可能でなければならない。そのためには、国際標準に従った検証基盤の構築というのが必要になってくる。トラストポリシーの基本方針案に関しては、技術的な国際通用性の確保だけでなく法制度の面でも欧州や米国と同等の信頼性が提供できる構成となることが重要。
    • 検証基盤について、データを受け取ったリライングパーティー側がトラストサービスを検証するために、有効なデータ状態にしておくことが重要。国際通用性は、技術のみでなく法制度の整備も併せてイコールフッティングの状態をつくらなければならない。
    • 報告書について、様々な背景を持った読者が読むものなので、ぜひ言葉の意味を丁寧に説明し、論理が明確になるような記述にしていただきたい。例えば、調査結果については、必要な範囲で記載し、この調査結果から、どこにニーズがあったか、どこに課題があったか、したがって何をすべき、というのが報告書でカバーされているのが筋が通っていてよい。調査報告がどういう意味を持つのかは、そこで使われている言葉の意味が重要なので、実施規模、実施率というような言葉の意味を明確にして信頼して読み進められるようにしてほしい。また、「トラストの確保」という表現や「トラストサービス」という言葉が、同じような意味で混在して使われているため、もしもほぼ同じ意味なのであれば統一したほうがよい。真正性と真実性の違いも丁寧に説明してほしい。さらに、「トラストスコープ」や「トラストポリシー」という言葉は、誰が何をどうするスコープなのか、誰が何をどうするポリシーなのかと、読み手がいろいろに補えてしまうと思うので、その辺りも丁寧に説明いただきたい。
    • 全体的に、事務局の御尽力をいただいた。このサブワーキンググループは、もともとは総務省のトラストサービス検討会があり、そこからタイムスタンプ、eシールの検討という2つのワーキンググループに分かれ、タイムスタンプについては国際的にポリシーとして作成するべきという流れの中で、2021年4月に告示として整理した。IT総合戦略室においては、データ戦略タスクフォースが立ち上がり、データという視点でトラストを見ていく流れだった。トラストサービスの電子署名法等が20年前に出来上がったものなので、見直していったらどうかというようなことを踏まえ、制度論をやらなければという流れがあったが、デジタル庁になってからIDの論点が加わった。IDの論点が入ったことは、本当にいいことで、UNCITRALでもIdMとトラストサービスという大きなテーマ名で、ここの法制化を含めて検討してきている。ID系とトラストサービスの両方を検討していくという体制になったということは、デジタル庁になって非常に意味があった。
      データ系のほう、ID系のほうを先行的に見るという流れがあったが、あとトラストサービスについても、トラストサービスの基準をどうするか精査していく必要があるのではないか。トラストサービスのアシュアランスについては、合意はできておらず、まだ議論すらしっかりやれていないという認識がある。そういう流れができている中で、ユースケースから見た視点で、デジタル臨調にも打ち込んでいくことは、非常に我が国の全体的な進め方という点では理にかなっている。それに併せて、やはりトラストサービスそのものの基準も議論をしていくことが必要。今回おまとめいただく事務局案についてもこういう点でのスタートラインみたいなイメージで今後の内容も整備していくということが大事。
      マルチステークホルダーで偏らない検討の仕方、言葉を丁寧に説明することが重要であり、ここでの会議の内容を、透明性を持ってまとめていくことが重要。
    • いただいたご意見について何点か返信したい。送金・決済などのユースケースについて。非常に重要と考えているところだが、デジタル庁以外にも財務省・金融庁・日銀も動いている中で、デジタル庁としてどのような役割を果たすかは課題である。
      構成員の中からチャットにおいて、中小企業の件、検証可能性の件に同意する。検証基盤に関しては、開発時から運用中まで含めた継続的検証システムの提供の重要性がOpen Bankingでは昨今意識されているとの意見をいただいているが、中小企業への政策が重要である件も報告書に入れていきたい。また、開発時から運用中を含めた継続的な検証システムの提供の重要性についても、Identificationのアシュアランスレベル、トラストサービスの品質保証の観点などで意見が出ていたことを報告書の中に入れていきたい。
    • トラストサービスは、Society5.0、DFFT、DXに資するようにしていかなければいけない。我々が検討したものが、これらに貢献できるような形での報告書にしていきたい。
    • 本日も大変活発な議論をいただき感謝申し上げる。指導いただいた内容を踏まえて、しっかりとしたレポートを出していき、今後の新しい検討体制を立ち上げにつな げていきたい。特に海外通用性の話や、新しいユースケースの話が出てきたが、世の中を見ても、ずっとメタデータを貼り付けていただけだった写真や映像に、今後きちっと署名を入れていこうみたいな海外のイニシアチブも起こっている。又は、チップそのものにセキュリティ機能をオートマチックに付与していくところに対してDARPAも資金供与する話が出ていることから、これまでトラストとして捉えていたよりも非常に広い範囲で社会の様々なデバイスにトラストが埋め込まれていくという時代になってきている。世界中の国々でどういうようにデータの真正性を担保し、相互運用性を持たせていくかというところはますます重要になってくる。
      そういった中で、一連の検討を回り道されているように感じた方もいらっしゃるかもしれないが、まずはデジタル庁が始まったばかりのタイミングで、そもそも検討の座組のあり方も含めて、政治にも説明をしていきながら丁寧に進めていければと考えている。ここでしっかりとしゃがんで地盤を作り、今後デジタル庁として時代の流れに取り残されないように検討に取り組んでまいりたい。
  • 会議資料は、デジタル庁ウェブサイトにてこの後公表させていただくこと、追加の意見及び質問は事務局まで連絡の上、事務局で今後の運営の参考とすること、議事要旨は、構成員の皆様に内容を確認いただいた後に公表させていただくこと等を事務局より説明。
  • 次回のサブワーキンググループの会合は、令和4年(2022年)5月20日(金)10時00分よりオンライン開催の方向で調整中であることを事務局より説明。

以上