エストニアの電子署名法について

ジェアディスのブログに「エストニアの電子署名法について」を投稿しました。書いてるうちに、かなりマニアックな内容になってしまいましたが、これでもだいぶ情報を減らしてます。。

補足として、エストニアのデジタル署名の技術的な解説は、ラングエッジの宮地さんがJNSAで発表された「エストニアIDカード PKIマニアック解析」が参考になると思います。また、デジタルIDに関する最近の動向については、日本総研の主任研究員である野村敦子氏による、デジタル時代の社会基盤「デジタルID」が参考になると思います。


エストニアにおける新型コロナ対応 -官民連携、データプライバシー-
https://www.jipdec.or.jp/library/report/20200525.html
法的な視点からエストニアの電子政府について解説されることは少ないので、良いレポートだと思います。
現在のシステムを効率的に変更するためには、まず法令により方向性を示し、その後、新たな技術が登場すれば、法制度も迅速に対応していく仕組みが必要と。GDPRを含む法制度を理解することで、例えば、エストニアがコロナ対策の移動追跡トレーシングアプリに慎重な理由も見えてきますね。

ドイツにおける感染者追跡アプリに関する議論とGDPRへの対応
https://www.jipdec.or.jp/library/report/20200521.html?d
アプリはスマホの近距離無線通信Bluetoothを使い、一定時間近距離にあったスマホ端末のID(仮名化)を登録。アプリ利用者が咳・発熱等の症状が出て医療機関を受診し新型コロナ感染が確認されると、感染者に対し暗号が与えられ、その暗号をアプリに登録すると、接触が記録されていた他の端末に「新型コロナ感染者と接触したので、感染の可能性がある」と接触者への注意喚起が行われると。一市民として見た場合、特に使いたいとは思わないですね。

“えっ、この非常時にさえICTを使わないのなぜ?”の文科省説明会[5月11日]を文字起こししてみた
https://note.com/mmeducation/n/n9ab23ea5a385
ちょっと心配になるくらいの熱意で反動も怖いですが、積極的な自治体も少しずつ出てきたので、このまま良い方向へ進むことに期待します。。

Cybernetica: Pursuing secure health data exchange in the midst of COVID-19
https://e-estonia.com/cybernetica-data-exchange-covid-19/
情報を監査して単一の起点まで追跡する手段を提供することで、物理的な距離に関係なく、真に接続された安全な世界が実現すると。

第1回 接触確認アプリに関する有識者検討会合
https://cio.go.jp/node/2605
接触確認アプリの導入に向けた取組、接触確認アプリの導入に係る各国の動向、新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方など。

Estonia starts testing digital immunity passport for workplaces
https://www.thejakartapost.com/news/2020/05/20/estonia-starts-testing-digital-immunity-passport-for-workplaces.html
エストニアが職場のデジタル免疫パスポートのテストを開始したと。TransferwiseとBoltの創設者を含むチームによって作成されたとあるので、民間主導かな。

CyberneticaがGDPRに準拠した医療データの日本とEU間のデータ交換を開発
https://cyber.ee/news/2020/04-20/
Cyberneticaは、NTT DATA Corporation(東京、日本)およびNTT DATA Italia SpAと協力して、Unified eXchange Platform(UXP)テクノロジーに基づいて、個人データ、特に健康データの安全なデータ交換の概念実証を開発したと。シナリオは、日本の患者の診療記録から、海外(EU内)で治療を受けている日本人のデータを取得するもの。

AppleとGoogleの新型コロナ対策、提供方法などの具体像が固まる
https://www.itmedia.co.jp/pcuser/articles/2005/05/news016.html
AppleとGoogleの技術は、まだしばらくは続くCOVID-19と共存する社会で、感染の増加を抑制しながらの新しい働き方、新しい経済活動を可能にすると。実験的な試みなので、これぐらいのガイドラインから始めて、適宜修正していくのが良いと思います。

マイナンバー、「ナンバーあれどカードなし」の残念
https://www.nikkei.com/article/DGXMZO58720650R00C20A5I00000/
個人ベースのマイナンバーカードに対して、給付金の支払いは世帯ベース。世帯主が全員分をとりまとめて申請するので、例えば世帯主でない妻がマイナンバーカードを持っていても今回は迅速給付には直接つながらないと。これ、なんで世帯主以外の世帯員がオンライン申請できるようにしなかったんでしょうね。振込先の口座を世帯主名義にすれば、特に問題ないと思うのですが。。想像力の欠如?
関連>>総務省|特別定額給付金|よくある質問
https://kyufukin.soumu.go.jp/ja-JP/faq/
オンライン申請を行えるのは、4月27日時点において世帯主であった方です。

10万円「給付」に時間 マイナンバー普及遅れも影響
https://www.nikkei.com/article/DGXMZO58541820X20C20A4PP8000/
大半の自治体で早くて5月下旬になる見通し。米国などは決定から約2週間で個人の銀行口座に直接振り込んだ。背景には政府による個人情報のデータ化の遅れがある。今はマイナンバーを使って政府が個人の口座に振り込むことは制度として認めていない。自治体の職員が口座番号を把握する作業などが遅れの一因になると。個人情報保護やプライバシーの名のもとに、マイナンバーをめちゃくちゃ使いにくいものにしてしまった人たちは、いったいどこへ行ってしまったのかな。

東アジア諸国はなぜ、新型コロナの拡大を抑制できるのか
「デジタル・コンタクト・トレーシング」をめぐるジレンマ
https://www.dhbr.net/articles/-/6694
欧米型の民主主義国はいまこそ、パンデミック発生時に、個人のプライバシーと公共の安全をどう天秤にかけるかをめぐる価値観を問い直すか、あるいは両方を守るために技術イノベーションと政策立案を加速するか、いずれかを実践すべきであると。

東京都の新型コロナサイト誕生秘話、行政らしくない爆速開発はDXのシンボル
https://xtech.nikkei.com/atcl/nxt/column/18/01269/040600002/
国よりも小回りの利く自治体に注目ですね。
東京都の新型コロナ対策サイトは、ソースコード共有サイト「GitHub」で同サイトのソースコードを公開し、他の行政機関や開発者などが同様のサイトを作れるようにしている。既に台湾や米サンフランシスコ市など、国内外約50の地域の新型コロナ対策サイトに東京都のソースコードが使われていると。
関連>>台湾当局のデジタル行政はなぜ先進的なのか、オードリー・タンIT担当大臣が語る
https://xtech.nikkei.com/atcl/nxt/column/18/00001/03875/

韓国式大量検査は徴兵制の賜物…新型コロナが揺さぶる「自由」の価値
https://headlines.yahoo.co.jp/hl?a=20200414-00010000-houdoukvq-kr&p=1
同じ自由民主主義国家を標榜しているものの、準戦時体制であり徴兵制や住民登録番号制度を持つ韓国と、戦後多くの国民が国家権力強化への強いアレルギー反応を示してきた日本とでは、新型コロナという国家的危機へのアプローチの仕方がまるで違う。準戦時体制の韓国では、国家的な危機の際には多少のプライバシーや私権の制限はやむを得ないとの意識が日本よりも強いように感じると。

緊急事態宣言に係るお知らせ – 神奈川県ホームページ 2020年4月8日
https://www.pref.kanagawa.jp/docs/bu4/covid19/20200407_emergency.html
4月7日に国が緊急事態宣言を出し、緊急事態措置を実施すべき区域の1つに神奈川県が指定されたことを受けて。5月6日まで、生活のために必要な場合を除き、特に夜間の外出自粛を強く要請。生活に必要な外出とは、食料や日用品の買い物、医療機関の受診、通勤などですと。
1 オーバーシュート(感染爆発)を回避するために
2 医療崩壊を防ぐために
3 県民の生活や県内の経済を守るために
関連>>神奈川県内の最新感染動向
https://www.pref.kanagawa.jp/osirase/1369/
新型コロナウイルス感染症の拡大を見据えた現場起点の医療体制「神奈川モデル」
https://www.pref.kanagawa.jp/docs/ga4/bukanshi/protect.html
重症(人工呼吸/ECMO):救命救急センター等、高度急性期・急性期病院
中等症(酸素投与+α):重点医療機関
無症状・軽症(酸素投与不要):自宅・宿泊施設等

新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて
令和2年4月2日 個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/covid-19/
何かと誤解が多い事案なので、もっと早く出して欲しかったですが、今回のようなケースでは「本人の同意が不要になる」ことが多いのは法律を読めばわかることですね。GDPRも同様です。ただし、各企業や自治体等が判断することは難しいと思うので、「質問に関する回答」を随時更新して欲しいと思います。いずれにしても、特に公的団体においては、人の生命より個人情報保護を優先することが無いように気をつけて欲しいと思います。

高市総務大臣閣議後記者会見の概要 令和2年4月3日
https://www.soumu.go.jp/menu_news/kaiken/01koho01_02000901.html
郵送請求の手書き署名が本人によるものかの確認は実質的にできないわけで、オンライン請求でも手書き署名の画像データで良いのではないのかな。まあ、「行政手続き上の個人情報のやり取りでLINEを使うな」ということかもしれませんね。

LINEによる住民票(写)の交付請求
問:東京都渋谷区が、LINEのアプリを使って、住民票の写しの交付請求ができるサービスを始めたんですけれども、本来、対面交付が原則だと思うんですが、このサービスについて、総務省の受け止めを教えてください。

答:渋谷区で、今月から、LINEで請求情報を入力して、本人の画像と本人確認書類の画像を送信して、住民票の写しを請求できるサービスが開始されたことは承知しております。ただ、オンラインによる請求手続でありますが、電子署名を用いない方法でございます。
したがって、画像の改ざんやなりすましの防止といったセキュリティの観点、法律の観点から問題があると思います。具体的には、住民基本台帳法でございます。
総務省としては、オンラインで住民票の写しの交付を請求する場合には、電子署名を付して本人確認を行う必要がある旨を助言する通知を全市区町村に対して発出するとともに、渋谷区に対しましても、丁寧にご説明を申し上げて、改善を促してまいりたいと思います。
関連>>LINEによる住民票の写しの交付 | 渋谷区公式サイト
https://www.city.shibuya.tokyo.jp/kurashi/jumin/linejumin.html

コロナ「緊急事態宣言」は使い物にならない、K-1強行開催で見えた現実
https://diamond.jp/articles/-/232931
新型インフルエンザ等対策特別措置法の改正法について、緊急事態宣言を出すような非常事態に向けては、法的拘束力が強い罰則や補償付きの“命令”を出せるようにすべきなのに、その規定がまったくないというのも、緊急事態対応を意図する法律としてはダメと言わざるを得ないと。日本の緊急事態宣言は、日本人の忖度に期待するような内容ですね。
個人的には、楽しみにしていたK-1のテレビ放送(テレビ東京)がいつの間にか中止になっていたのが悲しい。。当たり前の話ですが、エストニアでは、首相による緊急事態宣言は命令(order)として発布されます。
関連>>エストニアにおける緊急時の対応に関する法制度について
https://diamond.jp/articles/-/232931

危機のときこそ、意思決定を焦るのは禁物である
近視眼的な決断がさらなる問題を生む
https://www.dhbr.net/articles/-/6647
パニックを起こすと、脅威を回避するために、いますぐ行動を起こしたくなる。だが、潜在的なパンデミックに直面したとき、そうした行動のほとんどは賢明ではない。心を落ち着かせれば、データを合理的に検討したうえで結論を下すことができると。
今回の政府の対応を見てもわかるように、日本は、安全保障の観点から危機対応の法整備が遅れているのですが、別の見方をすれば、「実際に危機になった時に、合理的な検討を経ないまま過剰な対応の法律が制定されてしまう危険性が高い」と言えます。なんでも戦争時の過酷な状況に結び付けて、安全保障上の法整備に反対することの怖さを知って欲しいと思います。

【感染症ニュース】インフルエンザ 推定患者数は約144,000人と5週連続して減少 全国の学校の休校の影響により流行は収束傾向となると予想 2020年3月4日
https://kansensho.jp/pc/article.html?id=IE00000473&ssl=on
新型コロナウイルス感染症対策として、今週より全国の殆どの小学校、中学校、高等学校が休校に入っており、その影響でインフルエンザの患者数は急速に減少し、収束傾向となると予想されると。新型コロナウイルス感染症対策の効果なのか、インフルエンザ推定患者数の週別推移を見ると、例年よりかなり前倒しでピークが来てるのがわかりますね。
関連>>インフルエンザに関する報道発表資料 2019/2020シーズン
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/kenkou/kekkaku-kansenshou01/houdou_00004.html
3月最後の週の患者報告数は、昨年の5分の1ぐらい。

個人住民税の給与支払報告書(総括表)の様式統一化に向けた見直し
-行政苦情救済推進会議の意見を踏まえたあっせん- 令和2年2月20日
https://www.soumu.go.jp/menu_news/s-news/hyoka03_200220000139327.html
法令で記載項目を定めて、遵守を義務化するのが良いですね。
<行政相談の内容>
事業所は、従業員が居住する市区町村に対し、給与支払報告書(注)を提出することとなっているが、このうち総括表の様式が市区町村によって異なっていることから、同報告書の作成が手間となっているので、様式を統一してほしい。
<あっせんの内容>
① 総括表に係る、市区町村の事務の運用実態及びニーズについて調査すること。
② 上記調査の結果を踏まえ、総括表の様式を検討すること。

約4万7000人の個人情報流失事件 前橋市がNTT東日本提訴へ|上毛新聞ニュース
https://www.jomo-news.co.jp/news/gunma/society/194561
NTT東日本が通信制限を適切に設計、設定し、不備を修正すべき義務を負っていたにもかかわらず、これを履行せず義務を怠ったことにより不正アクセスが発生したと。
第三者委員会の検証報告書を読んだ限りでは、流出事件の責任割合は、行政(前橋市と市教委)とNTT東日本で「7:3」くらいかなという印象です。個人データ保護の視点で言えば、データ管理者としての義務を行政がほとんど果たしていないのではないでしょうか。損害賠償については、契約書の内容がわかりませんが、裁判所がどう判断するのか気になりますね。
関連>>前橋市学校教育ネットワークセキュリティ調査対策検討委員(第三者委員会)の検証報告書
https://www.city.maebashi.gunma.jp/kosodate_kyoiku/3/6/15782.html

マイナポイント事業キャッシュレス決済事業者の登録状況 令和2年2月19日
https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000093.html
2月19日時点におけるキャッシュレス決済サービスの登録状況を公表(※今後の審査・手続きにより、変更される場合がある)。キャッシュレス決済事業者の登録申請は、2020年3月末まで引き続き受け付けると。
登録キャッシュレス決済サービス
https://mynumbercard.point.soumu.go.jp/about/payment_service/
関連>>マイナポイントの予約方法
https://mynumbercard.point.soumu.go.jp/flow/mykey-get/
2020年7月以降、マイナポイントの付与を希望する決済サービスを選択できるようになりますと。

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しない。エストニアのXロードも、この考え方ですね

分散台帳環境における取引情報の秘匿とその管理の両立
https://www.boj.or.jp/announcements/release_2020/data/rel200212a3.pdf
DLT におけるプライバシ強化技術、秘匿化された取引情報の確認可能性、PETに関する実機検証など。

Estonia is opening up to the world by digitising it’s Cultural Heritage
https://medium.com/e-residency-blog/estonia-is-opening-up-to-the-world-by-digitising-its-cultural-heritage-fe464e4dfc5f
エストニアの文化遺産の3分の1が5年後にデジタルで利用可能(教育、研究、観光、国の登録簿のeサービスなど)になると。文化省が、行動計画実施のコーディネータとなり、エストニア文学博物館、エストニア財団美術館、エストニア国立博物館、エストニア公共放送、エストニア国立公文書館、タルトゥ大学によって実施される。計画は2023年までに完了する予定。

Estonia offers its digital education solutions for free to support other countries
https://www.hm.ee/en/news/estonia-offers-its-digital-education-solutions-free-support-other-countries
ヨーロッパでも教育熱心な国とされるエストニア(ヨーロッパのPISAテストで第1位)が、COVID-19危機で他国の教育システムをサポートするために、すべてのデジタル教育ツールを共有することを発表しました。
関連>>Estonia offers its digital education solutions for free to support other countries
https://education-nation.99math.com/

Nortal has successfully exported Estonia’s digital healthcare experience to Germany, hopefully accelerating the country’s journey to better healthcare.
https://nortal.com/blog/nortal-healthcare-in-germany/
エストニアのデータ交換の仕組み「Xロード」が、ついにドイツにも進出したようです。

入場者4倍にV字回復 ピューロランドを救った女性館長
https://style.nikkei.com/article/DGXMZO55524280S0A210C2000000
働いている人たちの心には、相当いろいろな思いがたまっているだろうと思いました。それをとにかく吐き出してもらったんです。コップがいっぱいいっぱいだと、他人の言葉も聞けませんからと。良いお話しですね。