スコープ・アイ

 

  辻井 重男

中央大学理工学部教授

 

企業会計2000Vol.52No.11

更新日 10月10日


 電子署名法の成立


 今年5月24日「電子署名及び認証業務に関する法律」が成立し、わが国も紙の国から電子の国への第一歩を踏み出した。
 その前日、筆者は同法律(案)に関する参考人の一人として参議院の交通通信委員会に呼ばれ、同法案の目的や技術的側面について、議員の方々に説明申し上げた。各党の議員はよく勉強しておられたようで、前向きな質問が多かった。
 法律の内容は、電子署名も署名として認めること、認証業務に任意の資格認定制度を導入しようというものである。
 まず、電子署名とは、公開鍵暗号によるディジタル署名などの電子的手段による署名であり、手書き署名や印鑑に相当している。コンピュータとネットワークから成るサイバー世界では、文書等のコピー、というよりクローンの生成がいとも容易であるから、本人性の主張等も本人のみ可能な数理的手段で行わねばならない。この手段として、通常、公開鍵暗号の秘密鍵による操作(たとえば、超天文学的回数のべき乗算)が用いられる。取引相手などによる本人性の検証は、その秘密鍵とペアをなす公開鍵によって行われる。
 秘密鍵と公開鍵の対は実印に対応している。実印は、市役所等で、本人確認の上、印鑑登録証明を付与されてはじめて実印となり、効力をもつ。これと同様に、公開鍵暗号方式でも


本人――秘密鍵――公開鍵

の結びつきが、しかるべき機関によって証明されてはじめて、電子商取引も成り立ち、電子政府の利用にも耐えることができる。
 この“しかるべき機関”を認証機関、あるいは認証局、通称CA(Certification Authority)と呼んでいる。CAとしては、すでに数社の民間企業が営業しており、いずれも信用できる企業のように見受けられる。しかし、今後、電子化の進展によって、どのようなCAが設立されるか予断は許されない。
 実印の世界では、取引でトラブルが発生して裁判になったとき、民事訴訟法二二八条第四項「私文書は、本人またはその代理人の署名または押印があるときは、真正に成立したものと推定する」が機能する。本人の署名であることは公的機関が発行するお墨付き(印鑑登録証明書)が証明してくれる。
 この民訴法二二八条と並行する形で、今回の法律でも、この推定が働くように定めている。それならば、認証業務も実印の場合と同様、公的機関があたるべきだという論理も成り立つが、いわゆるIT技術は進歩が早く、公的機関では電子化の普及を妨げることにもなりかねない。
 そこで、今回の法律ではCAの設置は自由とするが、政府の資格認定を受けたCAを特定認証機関として指定し、これらのCAに対しては、裁判において推定が働くように定めている。「政府が資格認定を与えなくても、民間の自主的なガイドラインでも良いのではないか。日本の裁判は自由心証主義でもあるし」と声も聞かれたが、社会的信頼性の確立とわが国より先行して同様の法律を制定している欧米諸国やシンガポール、韓国等との整合性を考えて、上記のような形に落ち着いた。
 

 省令の制定へ向けて


 わが国は、技術の進展や時代の要請に合せて法律を制定、あるいは改正するというスローな法文化をもっている。そこで、今回の法律においても技術の現状に絡むところや実施についても、規定は、法案を作成した郵政省、通産省、法務省が、主務省令によって定めることとしている。
 筆者は、この主務省令を定める委員会の委員長を仰せつかっているが、
1 特定認証機関の基準をCAの技術的、経営的レベル、あるいは、管理運用面からどのように定めるか
2 特定認証機関は、どのレベルの暗号方式に電子証明書を発行するのか。
という課題をかかえている。2の電子証明書は、
実印の印鑑登録証明書に相当するが、三文判に証
明書を発行しても社会的信用を損うだろうし、逆に、
あまり高いレベルに設定するのも電子商取引の額
などケースバイケースということなどを考えると、
電子社会の発展にはマイナスになりかねない。


 安全性評価機関の必要性


 ここで、わが国には、主要先進国のような、暗号と情報セキュリティに関する評価機関がないという問題が浮上する。これには、第2次大戦後、国家として情報・諜報面で無防備に近い状況であったという歴史的経緯とわが民族のとしての情報セキュリティに対する認識の甘さという二つの乗算的要因の結果である。後者の要因をさらに分析すれば、われわれは、情報という観念の世界にいささか弱く、他方、安全性全般についての認識が甘いということの掛け算効果と言えるかも知れない。
 欧米の諸外国は、戦後の厳しい冷戦構造の中で、情報機関を拡充してきた。たとえば、ドイツでは、最上位のCAとしての業務を行う郵便通信庁を、横からBSI(連邦情報安全局)が評価・監査する構図となっている。
 わが国には、このような機関がないから、(現在、われわれが電子政府のための暗号評価について実施しているように)、政府、民間、大学等の有識者からなるアドホックなワーキンググループが、暗号と情報セキュリティ技術の安全性を評価することになるのだろうが、社会的信頼感の醸成のためにも、諸外国からの軽重を問われないためにも、恒久的なかつ公開的な評価組織の設置が急がれる。
 以上、電子署名と認証業務を情報セキュリティという文脈の中で捉えてきたが、サイバーという無色透明な世界の中で、人、モノ、金、サービス、情報コンテンツ、さらには、時刻、人々の権利など、電子公証的側面も含めてこれらの真正性を保証することは、電子社会の発展の基盤であることが多くの人々によって認証されることを期待したい。