公的個人認証サービスの普及策、その5:署名検証は運用ルールで対応しよう
2006年2月現在、署名検証者の範囲を拡大しようとする動きがあり、法律改正案は既に国会へ提出されている。もし本当に必要であれば、署名検証者の範囲を拡大しても良いと思うが、新たに税金を無駄遣いしてシステム構築するのだけは止めてもらいたい。
署名検証者の拡大で問題は解決しない
公的個人認証サービスの基礎となっているのが、「電子署名に係る地方公共団体の認証業務に関する法律」であり、第163回国会(特別会)提出法案の中に、「電子署名に係る地方公共団体の認証業務に関する法律の一部を改正する法律案」を見ることができる。
署名検証者として追加されるのが、いわゆる士業(司法書士、行政書士、税理士、社会保険労務士など)の団体であり、法律案では次のように規定されている。
「法律の規定に基づき他人の依頼を受けて行政機関等及び裁判所に対する申請、届出その他の手続を行う者が所属する団体で政令で定めるもの」
士業が依頼を受けて、オンライン申請をする場合、事前に署名検証できていないと困るということのようだ。
しかし、実際には署名検証者を拡大しても、問題の解決にはならない。
なぜなら、手続における一連の行為
1 申請者本人が、申請データ等に電子署名する
2 士業(代理人)が、申請データ等に付された電子署名を検証する
3 申請データを受付けた行政庁が、申請データ等に付された電子署名を検証する
に時間的なズレがある以上、その間に署名が失効となり、手続が失敗する可能性はなくならないからである。
新たなシステム構築に、税金を使ってはいけない
署名検証者の拡大は、問題が解決できない上に、新たなシステム構築等のコストを発生させる。
もし新たなシステムを構築するのであれば、それは署名検証できるようにして欲しいと主張する士業団体の負担とするべきである。ただでさえ赤字事業の公的個人認証サービスなのだから、これ以上の税金投入があってはならない。
署名検証できるようにして欲しいと主張する士業団体の理論もわからなくもないが、それは電子署名やPKIに踊らされている行為と思えてならない。もしかしたら、一部の士業の人にとっては、電子署名やPKIは、何か魔法の呪文のように見えるのかもしれない。
電子政府・電子申請サービスで目指すところは、
手続や取引における信頼性・安全性・安定性(予見可能性)を高めること
である。そのために、一番効果的でお金がかからない方法を考えなければいけないのであるが、中途半端に電子署名やPKIの知識があると、一番大切なものを見失ってしまうようである。
実際、電子署名・電子認証への適切な理解があれば、「社会システム」の中で電子署名・電子認証の機能や役割を考えるようになる。その意味で、セコム株式会社IS研究所の松本氏による「社会システムとしての電子認証と電子署名」(NPO 日本ネットワ-クセキュリティ協会より)は、大変参考になるのでオススメしたい。
運用ルールの整備で、より安全・安心な電子申請を実現しよう
作者が提案するのは、単純なもので、電子署名に不具合があったときのルールを決めて、それを公開しておくことである。
例えば、行政の側で
「オンラインで受付けた申請データ等に付された電子署名を検証し、その電子署名が失効されていたときは、電子署名が無効であることだけを理由に処分結果を決定しない。まず、申請者(または代理人)に、署名が無効であることを伝え、申請の意思がある場合は、一定の期日内に、無効となった電子署名に代わる資料等を提出するように指示し、一定期日内に当該資料の提出があった場合、最初に申請された時点で有効な申請があったものとする。」
といったルールを決めて、省令や通達等で広く公開すれば良い。
これなら、新たなシステム構築も必要ないし、電子申請の信頼性・安全性・安定性(予見可能性)も高まることになる。
署名検証の問題に限らず、現在の電子政府・電子申請サービスは、トラブル発生時の責任所在について、多くの問題を抱えている。利用規約等により、利用者である国民に、ほぼ一方的にリスクを押し付けているからである。
これでは、電子署名を使っているから、SSL通信だから、個人情報の取り扱いを決めているからといったところで、国民からしてみれば、ちっとも安心できない。
利用者からすれば、どんな技術を採用しているかではなく、「何かトラブルが起きたときに誰がどのように面倒見てくれるのか」を知りたいのである。
電子政府・電子申請サービスの多くがインターネットを利用している以上、安全性・安定性に不安はつき物で、行政側が一方的に責任を負うことはできない。
しかし、そうであるからこそ、きちんと運用ルールを整備し、トラブル発生時の対応や予防策を周知・徹底させておくことが大切なのである。
上述したような電子署名の取り扱いは、その一例に過ぎない。
内閣官房では、IT安心会議なるサイトををスタートさせた。分野ごとの施策(メニュー)に、ぜひとも「電子政府・電子申請」を追加して欲しいと思う。
Unknown
いつも愛読させていただいています。
ちょっと調べ物をしていたら
https://online.jpki.go.jp/reception/index.jsp
なるページにたどり着きました。
これはどういうものか思案しています。
上記と無縁ではないと思われるので
参考までにポストさせていただきます。
オンライン窓口
コメントありがとうございます。
ご紹介いただいたのは、
公的個人認証サービスの「オンライン窓口」です。
http://www.jpki.go.jp/online/index.html
この窓口から、自分の証明書が有効かどうか確認することができます。
Unknown
リプライありがとうございます。でも
て言う事は署名の検証云々というのは
公的個人認証の場合あまり意味がないような
気がするんですけど。
どうなんでしょう?
Unknown
本人による署名検証は問題ないのですが、
相手方(電子署名付きの文書等を受け取った側)について、署名検証の問題が発生します。
また、代理人が事前に署名検証したい時も、同じような問題が発生します。
Unknown
たびたびで恐縮ですが
相手方は当然JPKIで署名検証をして
すぐに検証結果を通知しますよね。
そうすればすぐに検証結果が分るので
有効性はすぐにわかりますよね。
その場合やり直せば良いような気がするんです。
代理人の場合、本人が電子証明書を
持っていればその場で検証できるし
署名したものをメール等でやり取りできる人なら
事前に有効性の検証も出来る気がするので
いまいち趣旨がわかりません。
公的資金を投入したい行政の意図かなとも
思うんです。
士業の人はむしろ申請者の電子署名を
省略したいと思うんじゃないかと…。
どうもよく分らないんです。
ただでさえ普及してないのでむしろ行政サイドは
多少のアローワンスを与えてもしかるべきだと
思うんですが…。(乱文御免です)
Unknown
私も、ご指摘の方法で足りると思いますが、決済や期限の関係で、やり直しが困難な場合もあります。
→不動産登記を取り扱う司法書士会からの要望が強い
電子署名の省略については、すでに行政書士や社会保険労務士の例がありますが、こちらも、手続きの種類や委任契約の法的な性質によっては、省略が難しい(しない方が良い)場合もあると思います。
電子署名の検証については、様々な業界の様々な思惑が関係してますので、整理するのは大変と思います。きちんと理解されている方は少ないのではないでしょうか。