ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第12回 EUで始まったeIDAS規則
2016年7月1日
ヨーロッパで「eIDAS」という新しい規則の適用が始まりました!
今回から、この「eIDAS」が成立した経緯からEUで起こっている電子取引の動きを解説します。
eIDASとは
EUの加盟国内でデジタル単一市場として電子取引の適切な機能を確保するための、電子本人確認(eID)と電子トラストサービス(eTS)に係る直接法で2014年7月23日に成立しています。
DIGITAL SINGLE MARKET(欧州委員会Webサイト)
EU域内の加盟国間での電子取引のための規則ですので、EUという概念を理解しないといけません。
経緯の前に、予備知識としてEUの起源、そしてEUの法体系をちょっと整理します。
EUの起源と法体系
イギリスで離脱が国民投票で決定されたり、ギリシャ危機の問題が発生したりと、EUが世間で注目されていますね。
EU=欧州連合は、現在28カ国が加盟している国家を超えた共同体組織で、総人口が約5億人、面積約5百万平方km(日本は、約1.3億人、面積38万平方km)です。
ちなみに、わが日本という国は意外と大きく、EU加盟国と比較すると、フランス、スペイン、スウェーデンに次いで面積4位でドイツよりも上位になります。
※「The True Size Of...」という面白い地図があります。メルカトル図法では、緯度によりその軸長が偏移しています。このため北に推移するほど面積は大きくなります。その偏差を国ごと移動することで、視覚的に、ほぼ真の大きさで比較できることを実現した地図です。
EU各国の距離的感覚をイメージするためにこの地図で日本を移動させた絵を図に用意しました。
ヨーロッパの大きさと距離感が、想定しているイメージと随分異なっていませんか?
EUの起源は、6カ国(西ドイツ、フランス、イタリア、ベネルクス3国)で設立された欧州石炭・鉄鋼共同体、欧州経済共同体および欧州原子力共同体 の三つの共同体です。
第二次世界大戦で荒廃した欧州において、経済発展と将来の戦争回避を、国家を超えて推進していくために設立された組織で、これらの三つをまとめて1967年に欧州経済共同体EC(European Communities)と呼ばれるようになりました。
その後、1993年に、「国家単位で組織されるヨーロッパ諸国民のますます緊密化する連合を実現するための国家結合」としてEC(経済)に司法と安全保障を加え、国家を超越した組織としてEUが発足され現在に至っています。
独立した加盟国間の安全な経済発展を推進する、国家を超越して運用されている組織ですね。
このEUを実現・運用するために加盟国間で一定の統一したルールとして法体系が規定されています。
一次法…EUの憲法として、目標、原則、機構制度、立法制度等を規定している条約
二次法…一次法が定める目標を実現し1次法を補う、EUの諸機関が制定する規制
二次法には、そのレベルによって5段階に分かれています。
- Regulation(規則)…加盟国で同一の規制内容を示します。
- Directive(指令)…各国内法への置き換え(期日までに国内法を制定・改正)を指示します。
- Decision(決定)…特定の国・企業・個人が直接拘束されます。
- Recommendation(勧告)…一定の行為実施を期待表明するもので拘束力はありません。
- Opinion(意見)…特定のテーマについての意思表明で拘束力はありません。
この2016年7月1日から適用された「eIDAS」は、Regulation(規則)で、加盟国に直接効力を持つ強力な規制なのです。
経済発展推進に欠かせない加盟国間を跨いで行われる電子取引のためには、信頼の基準が必要であり、それがeID(electronic Identification)とeTS(electronic Trust Service)であるとして規定した加盟国共通の法律となります。これからのデジタル社会の発展を見越してリアル社会と同等の信頼の基準を設けるという発想、素晴らしいですね。
eIDAS成立の経緯
eIDASは、“on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC”との副題が書かれています。
Repealing Directive、つまりDirective(指令)を取りやめて、発効したRegulation(規則)であると明言されています。
各国法に任せられない、EUで統一しよう! なのです。この経緯は興味深いですね。
Directiveが発令されて、Regulation に変化した経緯について、
ETSI TR 119 000(V1.2.1 2016-4)Electronic Signatures and Infrastructures; The framework for standardization of signatures: overview
のIntroductionに記載されている内容をもとに、著者の理解で解説します。
詳細は、原文をお読みください。
ETSI TR 119 000 V1.2.1 (2016-04)(欧州電気通信標準化協会Webサイト;PDF) [658.07KB]
- I.Directiveの発令
20世紀後半、インターネットの急速な普及により、電子商取引に関するインターネットの利用において安全性の確保のためには電子署名技術が重要であるとして、国際的に電子署名法が各国で成立、施行されてきました。
日本では、2000年5月31日に法律第102号として電子署名法が成立しています。
EUにおいても、1999年12月に電子署名のEU法的枠組みを提供するEC指令が発令されました(e-Signature Directive 1999/93/EC)。
Directiveですので、各国法において電子署名に関する法律を制定するように指令されたものです。 - II.Dicisionの決定
このDirectiveに各国で対応するため、電子署名ベースのソリューションや相互運用性を容易にするという目的で、ヨーロッパ電子署名標準化イニシアティブ(European Electronic Signature Standardization Initiative, EESSI)が、欧州標準化委員会(仏:Comite Europeen de Normalisation, CEN)と欧州電気通信標準化機構 (European Telecommunications Standards Institute, ETSI;エッツィ)にて、電子署名とサービスについて指令に沿った標準化の検討のために設定されました。
そして、EESSIの提案が、EU委員会で採用されて、電子署名製品のための一般に認められている標準である、Commission Decision 2003/511/ECが決定されました - III.見なおしMandate M/460
しかし、この標準は、電子証明書管理の信頼できるシステムのためのセキュリティ要件と署名生成機器の2点のみで構成されていたため、より多くの文書や事象をカバーし、付随的なサービスも含む電子署名についてのヨーロッパ標準にするには、不十分でした。
電子署名の越境使用や、さまざまな市場での重要な取引書類(例えば、サービス指令Directive 1998/34/EC、電子調達、およびe-Invoicing)の増大につれ、e-Signature指令では、各国法に準ずるために電子署名の相互認識と越境相互運用性で課題があることが浮彫りになったのです。
電子署名の相互認識と越境相互運用性の課題に起因する、法的、技術的な標準化を見直すため、EU委員会はさまざまな様態の電子署名の標準化研究に着手し、【1】電子署名の分かりにくさと【2】ビジネス視点不足が相互運用性に有害であると結論つけ、これを軽減するために、いくつかの勧告が策定されたのです。
さらに、標準の多くがまだヨーロッパ標準とするには不完全な状況でした。そのため、EU委員会は安全な電子署名生成機器のプロファイルについて、トラステッドリスト、適確証明書、および電子署名のための共通のフォーマットのみならず監督方法も具体的な課題を解決すべく調査する目的で、CROBIES("CROBIES: Study on Cross-Border Interoperability of e-Signatures")研究を開始しました。
その結果EU委員会により、CEN、CENELEC、およびETSIに出された標準化検討委任命令Mandate 460が2009年に出されたのです。STANDARDISATION MANDATE(欧州電気通信標準化協会Webサイト;PDF) [1.03MB]
既存の署名標準化成果物をアップデートするために、CENとETSIは、Mandate 460達成に向けて活動するe-Signature統合グループを立ち上げ、e-Signature指令の改訂を考慮して、課題を克服すべく電子署名標準化のために合理化された枠組み創設の検討を開始しました。
そして、ついに2014年7月に、EU委員会はEU域内電子取引用の電子本人確認とトラストサービスに関するEU議会と理事会のeIDAS Regulation(910/2014/EU)を発行し、e-Signature指令(1999/93/EC)の廃止を判断したのです。
Regulationのスコープは、これまでのDirectionの電子署名から本人確認と認証のための追加のサービスにまで拡大され、拡張された電子署名によるトラストサービスや適格証明書の追加形式の定義がされています。 - IV.Digital-Agenda for Europe 2010
EU委員会は、2010年5月に、欧州デジタル・アジェンダの行動計画を発表しました。Digital Agenda for Europe: key initiatives(欧州委員会Webサイト)
この時期に日本でも“i-Japan戦略”(注)で「誰もがデジタル技術の恩恵を実感」というスローガンで推進されましたね。電子署名法が成立した時期と同じように、実に興味深いです。
注:i-Japan戦略…2009年7月に高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)が策定したe-Japan戦略、IT新改革戦略に続くIT推進の第三次5カ年計画のこと。
ここで、全体目標として、「超高速インターネット及び相互接続可能なアプリケーションを基盤とする『デジタル単一市場』の創設から、持続可能な経済的・社会的便益が得られるようにすること」を掲げ、七つの優先課題(【1】活力あるデジタル単一市場、【2】相互運用性と標準化、【3】信頼性向上と情報セキュリティ、【4】高速及び超高速インターネットアクセス、【5】研究とイノベーション、【6】デジタル・リテラシー、スキル及びインクルージョンの向上、【7】ICTが可能とするEU社会への恩恵)をあげています。
まさに、この七つの課題は、越境電子取引の推進を意図していますね。
ちなみに、Digital Agenda for Europeは、欧州経済戦略2020のICT分野のイニシアティブで目標達成を2020年に掲げており、日本の世界最先端IT国家創造宣言(2013年)と時期が同じです。EUでは、本人確認eIDとトラストサービスeTSというキーワードで推進されるのですが、日本においては、eIDについてはマイナンバー制度における電子証明書発行という画期的な政策が実施されています。ただ実サービスとしてeTSの概念は、残念ながら希薄です。今後、EUと日本、それぞれの戦略がどのようにリアル社会で発展していくのか、どのように融合していくのか、2020年がとても楽しみです。
次回は、引き続きEUが定義しているトラストサービスの定義とeIDASの中身について解説します。
次回は10月4日(火)更新予定です。
前の記事を読む