今週、「電子登録債権法制」の中間試案がまとまったようですが、先月、それに関する勉強会(学者・実務者の集まりの任意のもの)に参加したのですが、えー、一言で申し上げると、これがすさまじくイケてないように思われるわけであります。
この法制は、単なる手形小切手法や民法といった法律問題だけ考えればいいものでなく、ファクタリングや証券化といった金融実務のお話や、IT技術、ネットビジネスや経済学的なマインドの話もあわせて考える必要があるため、
全部いっぺんに考えると頭がこんがらがるので、今回は電子債権について考える前に、もっと基礎的なレイヤーのお話として、電子認証を中心とする日本の電子法制の現状がどうなっているのか調べて、私なりに整理してみました。
話は長いですが、結論は簡単でして、
「堅いシステムを作り過ぎて、本末転倒になってまへんか?」
ということであります。
以下、お時間のある方はお付き合いください。
電子署名とは
電磁的記録(パソコン上などのファイル)というのは、ご案内の通り、簡単に書き換えができますので、確実に本人がその文書を作ったということを確かめるためには、本人しか知らない秘密鍵によって、その文書に電子的に署名することが必要・・・てなことが言われてます。
「技術的には確かにその通りだが、それ、ホント?」というところをちょっと考えてみたいと思いますが、その前に、なぜネット上で認証技術が必要になるのか、ちょっとだけ。
(ご興味ない方は、「無茶苦茶ややこしそう」という雰囲気だけつかんでいただいて、次の「電子署名法」の項にお進みください。)
公開鍵暗号方式、例えばRSA方式では、暗号化の逆の操作で署名を行うわけですが、やっていることは単なる掛け算(ただし「剰余系」の上での乗算)です。
署名したい文章(文字列=数列)に秘密鍵を乗じたものを「署名」とし、署名を受け取った者は、公開鍵を乗ずることによって、(公開鍵は秘密鍵の「逆数(ただし剰余系での)」なので、掛けると「1」になって元の文章が出てくることで)真正な署名であることが確かめられます。
つまり、署名s (平文aのd乗=ad)を受け取った者は、公開鍵r を乗ずることによって、nを法とする剰余系上で、
sr modn≡(ad) r modn≡adr modn≡a
というように、もとの文章aが復元されるため、秘密鍵dの保有者が、この文章aに署名をしたことがわかります。
RSA方式の署名は暗・復号化の処理スピードが対称鍵暗号に比べて千倍程度遅いため、暗号・署名の製品の実装では、文章を「ハッシュ関数」という関数で「要約」して、それに署名を行います。
一方向性ハッシュ関数とは、不定長の文字列を、ある一定の長さの文字列(128bitなど)に要約する関数。128bitというのは、漢字わずか8文字程度の情報量しかないのに対して、要約する元の文書は無限に存在するわけですから、理論上はまったく同じ128bitの文字列に要約される文章は無限に存在します。
ただし、2128というのは、1兆の1兆のそのまた1兆倍以上の数。毎秒1兆個づつカウントしても、宇宙の寿命の間には数え終わらないくらいですから、非常に「使いで」はあります。
「良いハッシュ関数」は、違う文字列から同じ要約値がバッティング(collision)する可能性や、要約値から本文が推測できる可能性を極めて低くしています。(つまり、100ページの契約書の句読点を一箇所変えるだけで、そのハッシュ値は、以前と全く違った、元が推定できない値に変化します。)
日本の電子署名法等が前提としているのは、公開鍵暗号(署名)方式としてRSA、ハッシュ関数としてSHA-1を利用したものになっている模様。
電子署名法
この電子認証について定めた法律が電子署名法(「電子署名及び認証業務に関する法律」平成十二年五月三十一日法律第百二号)ですが、この法律のキモは、以下の第3条。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
(よく存じませんが)、これは、民事訴訟法の「書証」に関する規定(民訴228条1項)
第二百二十八条(文書の成立)第4項
私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。
等に対応するんでしょうね。
電子署名法のその他の規定は、ほとんどすべて、主務大臣が認定する認証事業者について述べられているわけですが、ただ第3条をよく読むと、「主務大臣の認定を受けた認定認証事業者の認証した暗号鍵による電子署名で署名された電磁的記録しか、真正に成立したものと推定しないよ。」とは、書いてないですね。
つまり、電磁的記録であっても、それが本人が書いたものと推定できれば、国のお墨付きがある業者が関与しない電子署名でもいいし、そもそも電子署名などなくてもいいはずです。
ではこの、「認定認証事業者」というのは、具体的に、一体どういう方々なんでしょうか。
認定認証事業者
法務省のホームページ、「電子署名法の概要と認定制度について」
http://www.moj.go.jp/MINJI/minji32.html
を見ると、認定を受けた認証業務は、以下の通り、現在全部で19サービスあるようです。
AccreditedSignパブリックサービス2
日本認証サービス株式会社 (株主:カード会社、商社、ベンダー等多数。)
http://www.jcsinc.co.jp/service/a_sign.html
株式会社日本電子公証機構認証サービスiPROVE
株式会社日本電子公証機構(亜細亜証券印刷等)
http://www.jnotary.com/iprove/iprove/iprove_1.html
CECSIGN認証サービス
株式会社コンストラクション・イーシー・ドットコム (NTTデータ、ゼネコン等)
http://www.construction-ec.com/cectrust/index.html
セコムパスポートforG−ID
セコムトラストシステムズ株式会社 (セコム)
http://www.secomtrust.net/service/ninsyo/forgid.html
AOSignサービス (公共事業における電子入札、方面)
日本電子認証株式会社 (銀行、ゼネコン、NEC等)
http://www.ninsho.co.jp/aosign/
e-Probatio PS サービス (電子入札等)
株式会社NTTアプリエ (NTT西日本)
http://www.e-probatio.com/
TOiNX電子入札対応認証サービス
東北インフォメーション・システムズ株式会社 (東北電力)
https://www.toinx.net/ebs/info.html
TDB電子認証サービスTypeA
株式会社帝国データバンク
http://www.tdb.co.jp/typeA/
ビジネス認証サービスタイプ1
日本商工会議所
http://ca.jcci.or.jp/
電子入札コアシステム用電子認証サービス
ジャパンネット株式会社 (三菱電機系)
http://www.japannet.jp/ca/
全国社会保険労務士会連合会認証サービス
全国社会保険労務士会連合会
http://www.shakaihokenroumushi.jp/ca/ca_home.html
CTI電子入札・申請届出対応 電子認証サービス
株式会社中電シーティーアイ(中部電力、三菱重工等)
https://repository.cti.co.jp/G2B/
よんでん電子入札対応認証サービス
四国電力株式会社
http://www.yonden.co.jp/business/ninsho/
MJS電子証明書発行サービス
株式会社ミロク情報サービス
http://ca.mjs.co.jp/ca/index.html
税理士証明書発行サービス
日本税理士会連合会
http://www.nichizeiren.or.jp/guidance/denshi.html
日本司法書士会連合会認証サービス
日本司法書士会連合会
https://ca.nisshiren.jp/repository/
e-Probatio PS2サービス
株式会社NTTアプリエ (NTT西日本系)
https://www.e-probatio.com/ps/about/index.html
日本土地家屋調査士会連合会認証サービス
日本土地家屋調査士会連合会
www.chosashi.or.jp/repository/
MJS電子証明書サービス
株式会社ミロク情報サービス
http://ca.mjs.co.jp/index02.html
ごらんのとおり、主に、司法書士・税理士・土地家屋調査士・社会保険労務士といった、行政とのインターフェイスを司る士業や、公共事業や電力系の電子入札関係などで認証サービスが使われているということのようです。
「認証なのにベリサインがおらんやんけ?」と思う方がいらっしゃるかも知れませんが、株式会社日本電子公証機構が日本ベリサインを発行局とする電子証明サービスを行っているようです。
(例えば、http://www.verisign.co.jp/press/2005/pr_20050513.html)
(そのへんの経緯はよく存じませんが)、電子署名法では、認定認証事業者が政府から管理されて、いろいろ管理監督を受けることになりそうですので、あえて表面に出ずに黒子に徹するというのは、頭のいいやり方かも知れませんね。
本当に「電子署名」は必要なのか?
さて、90年代の中盤インターネットが商用化されたころから、
「インターネットは盗聴や改ざんがあるので怖い」
「電子商取引は電子認証や暗号技術で保護しないと非常に危険」
てなことが言われてたきたわけですが、実際には、ご案内の通り、ユーザはせいぜいSSLになってるかどうかを意識する程度で、「公開鍵方式の秘密鍵」なんてものを意識せずとも、ID・パスワードや、クレジットカード番号を入れるだけで本でも何でも買える簡単で便利な社会がすでにできあがっております。
また、「盗聴」の危険があるにも関わらず、仕事でも、(MS-wordやexcelなどのファイルはともかく)、暗号化しない平文のメールでやりとりしてる方が大半じゃないでしょうか。
ところが、例えば日本の電子申告システムe-Taxなどは、公開鍵を準備しないと電子納税できないガチガチのシステムになってるわけです。
恐ろしく手間のかかるe-TAXの利用
e-TAXのホームページ
http://www.nta.go.jp/e-tax/01.htm
の、「どうやって利用するの?」というところを見ると、
[ご利用の流れ]
1)開始届出書を納税地の税務署長に提出(送信)します。
2)電子署名を行うための電子証明書を取得します。
※電子署名と電子証明書は、インターネットを利用した手続等を安全に行うために使用する印鑑と印鑑証明書のようなものです。電子証明書を取得しておくと、これから増えるインターネットでのさまざまな手続にも利用することができ、とても便利です。
3)公的個人認証サービスなどICカードで発行される電子証明書をご利用の方は、別途ICカードリーダライタを取得する必要があります。
4)開始届出書提出(送信)後、e-Taxを利用するために必要なe-Taxソフト(CD-ROM)や利用者識別番号等の記載された通知書が税務署から届きます。
5)e-Taxソフトをインストールし、暗証番号の変更や電子証明書の登録をします。
と、「開始届出書」を提出した上に、わざわざ住基カードを取得したり、カードリーダライタまで買ってこないと電子申告できない・・・。
ご案内の通り、紙の申告書でも、自署して三文判を押せば申告でき、実印とか印鑑証明が必要ではない。なぜ、電子申告だからといって、実印よりも強固なセキュリティが必要なんでしょうか。
まだ、「還付申告」の場合には、詐欺が発生するかも知れないので、セキュリティもそれなりに考える必要もあるかも知れませんが、こちらから税金を支払おうというのに、そのデータを疑ってかかる必要もないのではないかと。(粉飾されてる可能性がある等は、紙の申告書でも発生する問題ですし、電子署名では防げません。)
こちらの説明ページ:
http://www.nta.go.jp/e-tax/01.htm
で、「動画での説明はこちらから」というところをクリックすると、おねえさんとマスコット・キャラのイータ君が「簡単でしょ?」「うわー、確かに便利!」などと言いながら説明してくれます。全部で17分強もありますが、お時間のある方は、「どこがやねん!」と、ツッコミを入れながら見るのもオツかも知れません。
国税の確定申告書作成コーナーのページ(H17年分はこちら)は、確定申告の計算や印刷用のpdfファイルを作成してくれるのですが、これはなかなか良くできていて私も毎年利用させていただいています。
つまり、国税のシステム全般がイケてない、と申し上げているわけではありませんし、ここまでweb上で作成してプリントして紙で提出するのは、オススメできます。
ただ、なぜ印刷して提出するなら楽チンなのに、同じデータをネットで送信しようとするだけで、いきなり役所に行って住基カードをもらってきたりカードリーダーを買って来たり、CD-ROMからソフトをインストールするといった手間をかけなければならないのか・・・・まったく不明であります。(明らかに、ネットのほうが不便になってます。)
米国の電子申告の現状
これに対してアメリカはどうなってるでしょうか?
アメリカでは、「e-file」というサービスで、個人や法人の申告が行えるようになってます。
こちら
http://www.irs.gov/efile/article/0,,id=118451,00.html
のページに個人向けの説明があるのですが、非常にシンプルで、もちろん、電子証明書入りのICカードを作成したり、カードリーダーを買って来い、といった必要は(もちろん)ありません。
Relax. You’re done. Now SHARE – tell a family member or friend e-file is the smart way to file their federal and state income tax returns!
と書いてありますが、確かにメチャクチャ簡単そう。
「認証」はといえば、
http://www.irs.gov/efile/article/0,,id=101246,00.html
A PIN is any five digits you choose (except all zeros) to use as your electronic signature.
と、たった5桁!の数字(PIN)を入れるだけなので、日本のe-Tax担当の方が見たら腰を抜かすこと必至。なんといっても、5桁だと約10万通りの組み合わせしかないので、1024bitのRSA電子署名よりは、1兆×1兆×・・・倍以上「脆弱な」方法ですけど・・・・それで問題が発生しないんだったら、それでいいんのでは?(せめて8桁の英数字くらいにしたほうがいい気もしますが。)
パスワードを解析して申告書まで偽造するというのは、すごい手間がかかるし、紙で偽の申告書を出すほうが、はるかに簡単ですから、あまりそんなことするやついないと思います・・・。
ちなみに、日本と同様、
http://www.irs.gov/businesses/corporations/article/0,,id=146960,00.html
A1. IRS e-file is the name for the electronic filing of tax returns. When a corporation e-files they send their income tax return data to IRS electronically instead of on paper forms. In 2004 IRS started a new e-file system for corporations, referred to as “Modernized e-file” (MeF) that is web-based, allowing electronic filing of corporate income tax returns through the Internet. MeF uses the widely accepted XML format, a standardized way of identifying, storing and transmitting data.
ということで、提出データのフォーマットはXMLになっております。
また、法人ですが、
http://www.irs.gov/businesses/corporations/article/0,,id=146960,00.html
Q1. Which corporations are required to file returns electronically?
A1. Regulations issued January 11, 2005 require that corporations electronically file their Form 1120 or 1120s for tax periods ending on or after December 31, 2005 if they have assets of $50 million or more and file at least 250 returns, including income tax, information returns, excise tax, and employment tax returns, during a calendar year.
と、「大きい」企業、
A corporation that has 245 employees must file Form 1120 or 1120S electronically if it meets the asset criteria ($50 million or more). This is because each individual Form W-2 as well as the each of the employment tax returns is considered a separate return.
つまり、従業員約250人以上かつ資産50Mドル規模以上の企業は、e-fileで申告することが義務付けられています。
(ここで一点訂正:
以前、「アメリカではクレジットカードで納税ができて、ポイントも溜まるようだ」という話を聞いてブログにも書いたのですが、今見ると、
http://www.irs.gov/efile/article/0,,id=101316,00.html
The Taxpayer Relief Act of 1997 authorizes the Treasury to accept credit card payments for federal taxes but prohibits the IRS from paying a fee or consideration to credit card companies for processing these transactions.
ということで、財務省はカード手数料を負担できず、利用者がカード手数料を負担しているようです。最初からガセだったのか、途中から制度が変わったんでしょうか?)
「専門家に手伝ってもらわないと使えないシステム」でいいのか?
ということで、アメリカに比べて日本のe-Taxのシステムは相当複雑で、開始までの敷居がめちゃくちゃ高い、ということが言えるかと思います。
日本のe-Taxの利用実績はこちら
http://www.e-tax.nta.go.jp/topics/kensu.html
に開示されていて、開始届出書を提出した個人は平成18年7月10日現在累計で127,194人にいるのに対して、平成17年度に所得税の申告をe-Taxで行ったのは34,842人(約4分の1程度)。
法人のほうは、7月10日現在累計で80,477社開始届けに対して、平成17年度に法人税の申告をe-Taxで行ったのは32,484社(約4割)と、個人よりはかなりマシですが、それでも、「やってみようかという気になったけどやっぱりヤメた」人が相当多そうだ、ということが伺えます。
しかも、その実態は、「自分で”簡単に”ネットで送ってる」ということではなさそう。
TKCさんのホームページ
http://www.tkcnf.or.jp/01subete/tkcnfall2005_407.html
に、
国税庁殿によれば、法人税の税理士関与割合は86.8%(15年調べ)となっています。TKC全国会では〈電子申告を率先して実践することが「税理士としての社会的使命」を果たすことになる〉との認識から、平成16年4月に「電子申告推進プロジェクト」を発足し、その普及促進に努めてきました。
その結果、国税庁殿の発表によると法人税の電子申告数は23,097件(平成17年5月31日発表)で、このうちTKC会計人(2,091事務所)が行った電子申告数は18,916件と全体の81.9%となり、法人消費税においても全体の18,060件に対して、TKC会計人の実践件数は14,053件と全体の77.8%を占めています。
と書かれてますが、つまり、日本の法人の電子申告というのは、TKCさん一社ががんばって成り立っている、(TKCさんがいなければ壊滅状態)と読めるのではないかと思います。
会社法での対応
さて、「IT書面一括法」や「e文書法」で、メールでの通知や電子ファイルでの保存が幅広く認められてきており、日本全般の電子化については、もうちょっと考え方はフレキシブルかと思います。
先般改正になった会社法も、イケてるんじゃないかと思います。
葉玉さんの「会社法であそぼ」でのQ&Aによると、
http://blog.livedoor.jp/masami_hadama/archives/50866433.html
Q7
今朝の日経新聞に「取締役会決議にメール・・・」という記事が載っていましたが、これ、いいんでしょうか。(以下略)
A7
おっしゃるようにメールは、電磁的方法ですが、メールをすると、メールを受領したパソコンのハードディスクに電磁的記録が作成されます。370条の電磁的記録は、電子署名は不要ですから、普通にメールをして電磁的記録が作成されれば、370条を適用することができます。
http://blog.livedoor.jp/masami_hadama/archives/50756562.html
Q2
370条の「電磁的記録による意思表示」というのはどういった方法を想定されているのでしょうか?最初はメールかな?とも思ったのですが「電磁的方法」ではなく「電磁的記録」としている以上単なるメール審議では足りないように思えます。
A2
取締役が提案に対する同意を会社宛にメールをすれば、会社のパソコンのハードディスクに同意を記録したファイルができます。このファイルが電磁的記録による意思表示です。
ということで、明確に「電子署名は不要」とおっしゃってます。
技術的・理論的には、
「インターネットはオープンなネットワークで他人がデータの盗聴、改ざん等を行っている可能性も否定できないので、平文で電子署名も付されていないメールは、偽造されている可能性がある」
ということになりますが、みなさんの中で、(フィッシングなど知らない人から偽のメールをもらった経験がある人はいても)、知ってるメールアドレスからのメールを偽造された経験を持つ人はほとんど皆無じゃないでしょうか。
取締役のアドレスに宛てて、
「本議案には賛成ということでよろしいですか?」
というメールを送って、
「賛成します」
という返事が来たら、それは常識的にはその取締役によって「真正に作成された」ものと推定してかまわないのではないでしょうか。
また、いくら電子署名を使っても、パスワードやICカードの管理が甘かったら、結局は偽造される可能性があります。
「競争」の視点から考えた電子認証
ということで、RSA等の電子認証を法的に義務付けることが、どういう効果を生んでいるかということを考えてしまうわけですが。
例えば、ストックオプション会計は、ブラックショールズ式や二項モデルなど、σとか√とかが出てきて、文科系の人の95%は頭がクラクラしてしまうわけですが、それでも、それは、「たかが高校程度の数学」のお話なので、がんばれば普通の人なら理解できるはず。
ところが、RSAのように「剰余系上の素数の積が因数分解できるか」、といった話になると、大学の数学科以上のレベルのお話であり、言ってる意味の理解まではなんとかできたとしても、その技術でホントにセキュリティが確保されてるのかどうか、というと、それを証明できる人は世界でも一握り、といったレベルになってきます。
このため、政府などでシステムの方針をどうしようかというときに、システムの専門家から「インターネットは怖いので、ICカードで電子署名しないと危ないですよ〜」と言われたら、99.99%の人は、「あーそうですか」としか言えないわけです。
結果として、ICカードや公開鍵暗号を使ったシステムは、利用者を減らしてシステム投資のリターンを下げますし、(パスワードだけのシステムならブックファースト渋谷店のコンピュータ関連書籍売り場で立ち読みしている茶髪のお兄さんでも組めるかも知れないところが)、日本の名だたる大手SI業者さんにシステム製作を依頼しなければならなくなり、競争原理が働かず、投資額も上昇し、システムのROIを非常に低下させることになります。
また、税理士などの専門家団体の立場としては、webで誰もが簡単に税務申告できちゃうようなことだと中抜きになるので、「一般利用者に使いづらいシステム」こそが「いいシステム」なのかも知れません。が、ホントにそれは、国民全体のためになってるんでしょうか?
長文でしたが、以上のとおり、言いたいことは、「認証を必要以上に堅くすることは、競争原理推進と反対を向いている方針であり、結果として国民の役に立ってないのでは?」ということであります。
(続く)
[PR]
メールマガジン週刊isologue(毎週月曜日発行840円/月):
「note」でのお申し込みはこちらから。
まさに仰るとおりだと思います。
当社も昨年、電子申告しようと届出を提出してみたのですが、手続が煩雑かつコストがかかることが後からどんどんわかり、取り消しました(苦笑)。紙の消費量が減って、データだから当局も様々な取扱いができて便利だろうと、わざわざ電子申告してあげようと思ったのに、逆に余計なコストを負担させられるなんて、馬鹿馬鹿しい話ですよね。
僕はこのような仕組みは日本政府には多く見られるもので、「車検」のように、あるひとつの産業を促進するための仕組みのような気がしています。
この仕組みを簡易化する商品やサービスが登場して、経済がちょっとだけ潤うのではないでしょうか?車検制度が人工的に日本国内の新車需要を高めるように、これも商機なのかもしれません。「簡易確定申告君」みたいなソフトが登場し、それにより日本中のコンピューターにレベルの高い認証ソフトが普及して、結果的にスパムが撃退され、いつでもどこでも快適安心インターネット生活が実現する・・・ちょっと甘いでしょうか?
もしインターネットアクセスが早い段階でアメリカと同じようにただ同然なところまで行ってしまっていたら、Docomoやソフトバンクの成功は無かったのと同じように、簡単すぎる電子署名は電子署名技術自体の高度発展を押さえ込んでしまう可能性があるのはでないでしょうか?
ETCの場合にように関連産業を考慮しすぎて、逆に普及が遅れてしまう場合もありますが、その都度参入障壁を調整すれば、市場を促せるような気がします。
ちなみに、アメリカでは消費者は確定申告の「しやすさ」より「正確な確定申告によるTax Refundの向上もしくは納税額の低下」のほうが需要がありますので、H&R Blockなどの会社ではE-Fileをうまく利用できています。「Tax Refundをもらうタイミングが早くなる」という理由で、金融ビジネスにまでも発展できる商機を与えています。
E-Fileに関しましてもうちょっと意見をさせていただきますと、E-FileはFedEx/UPSの商売をクレジットカード業者に移しただけのような気がしてなりません。
いかがでしょうか?
ITエンジニアの本質と、今後
複数のブログを読んでみて、
ITエンジニアとしての本質と今後について、
頭にあるものを掃き出してみようと思う。
ただし、まだ考えがまとまらないので、…
現行の電子申告ですと、ほとんど申告する側にメリットが無いんですよね。しかも、税理士が電子申告を行おうとしても「依頼人(事業者等)から住基カードを預からないといけない(税理士のカードだけでは×)」というお粗末な状況なので、よほどでなければやりたがらないのが現状のようです。(これだったら、むしろ「本人申告」の方がまだ簡単だったりします(^^;;)
ちなみに、社労士分野では「労働保険年度更新」「社会保険の算定基礎届」というルーチンの業務では、社労士の電子証明書のみでの電子申請が本年度から行えるようになりました。(それでもまだまだ手続が面倒なのですが・・・)
私も士業ですが、「Webから簡単に申請手続き」が出来るようになればそれは喜ばしいことに感じます。ただ、それでも「この申請を行うべきか否か?」といったような「中身の判断」は人がやらなければならないので、この部分で私たち士業がどのような価値を提供できるかということを、今考えなければならないことだと感じます。
>国民の役に立ってないのでは?
という指摘には、賛成です。
が、私は完全にIT系の人なので、細かい誤解だけ解きたいと思います。
>RSAのように「剰余系上の素数の積が因数分解できるか」
などは、別に知る必要はありません。システムを作る人でも、分かってはいませんから。
それらの知識は不要です。なぜなら、システムという観点で重要なのは「何を秘密にするか」だからです。アルゴリズムがRSAかどうかはとても些細で無意味です。
ただし、いわゆるデジタル署名という意味の電子署名に「ICカードの秘密鍵」を使う必要があるかといえば、私も不要だと思います。
>日本の名だたる大手SI業者さんにシステム製作を依頼
そんなことはありません。少なくとも、住基カードのシステムは簡単です。だれでも作れますよ。
http://multi-jpki-p11.sourceforge.jp
なんてのもあるぐらいですから。フリーソフトで出てるぐらい、作るのは簡単なんですよ。
さらにいえば、RSAでいいのなら、システムを作るのは誰でも出来ます。あ、プロならね。
ということで、「競争原理を下げる」というのは意味不明です。
むしろシステムへの投資は少なくてすむはずなんですがね。共通化してるものをそのまま使うわけですから。
まぁ、どちらにせよプログラマの私には何も回ってこないわけですが。
今の日本は単に「プロ」がいないので競争原理がないように見えるだけです。
電子署名が技術的に難しいからではないと思いますけど。
みなさんコメントありがとうございます。
>別に知る必要はありません。
知る必要は無いと思うけど、省庁の文化系のおじさんには、知る必要が無いかどうかもわからないんじゃないでしょうかね?うすうす必要なさそうだ、と思っていても、「いらない」と断言するのは相当勇気がいると思います。
>システムを作るのは誰でも出来ます。
例えば、「認証局」ということになると、秘密鍵のある部屋の壁の厚さをどうするか、とか、その部屋に入るまでに、生体認証とかパスワードとかどの程度のものが必要なのか、
電子認証法第六条の「主務大臣は、第四条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一 申請に係る業務の用に供する設備が主務省令で定める基準に適合するものであること。
二 申請に係る業務における利用者の真偽の確認が主務省令で定める方法により行われるものであること。
三 前号に掲げるもののほか、申請に係る業務が主務省令で定める基準に適合する方法により行われるものであること。 」
というあたりで、実質的に、「大手SIerさんにお願いしましょうか」とならざるを得ない仕掛けになってるんではないでしょうか。
「プログラミングのお話」だけでなくなっちゃう、というところが、法律で認証の堅さを縛っちゃうことの問題なんじゃないかと思います。
はじめまして。いつも楽しく読ませていただいております。私、この電子署名法の原案策定作業に関与していたので、少し補足をさせていただきたいと思います。
この法律のキモは、ご指摘いただいているとおり、第3条の「電子署名の真正な成立」と、第4条以降の特定認証業務との間に、直接の関連がないということにあります。
通常の規制法だと、「国のお墨付きがないと、法律効果がないよ」と言われてしまい、結局、いわゆるRSA方式でないと、電子署名ではないということになりがちです。しかし、本法では、電子署名であり、かつ、本人がパスワードその他をきちんと管理をし、一定のセキュリティ基準があれば、法律上の効果をもつことになりますので、たとえば、「ID、パスワード+SSLでも十分ではないか」という世の風潮になれば、現状の特定認証業務の厳しい基準はいらなくなり、法律効果だけ残るということかと思います。
原案策定時から、技術中立性ということは大変意識をしておりましたので、「役所が定める方式でないとダメ」ということにはならないように注意をしておりました。ですので、今のIDパスワード全盛時代も、それはそれでありかと思っています。(余談ですが、認証業務の規定がなぜ、当時必要だったかというと、海外の認証局との相互承認という話が話題に上っていたというのも背景にあります)
というわけで、今の問題は、どちらかというと、「公的機関への申請については、固い認証が必要だ」と考えている人たちをどう説得するかと言うことかと思います。紙なら、100円の三文判でもOKなのに、IDパスワードはダメというのは、「ネットは怖い」と言う時代の考えであり、「ネットは便利、そんなに問題はない」という今日においては、メールに対して求められるセキュリティ水準も、それに応じて変わるのではないかと思います。
実は、電子署名法の条文をつぶさに読んだのは今回はじめてだったので、内心ヘンなことを書いてたらどうしようかと思ってたんですが、作成作業に携わられていた方のお話と、そう大きなズレがないということのようですので、ちょっと「ほっ」です。
>原案策定時から、技術中立性ということは大変意識
それは、すばらしいですね。
>海外の認証局との相互承認
昔は、「ルートCAをアメリカに握られたら、日本は滅亡(笑)」みたいな危機感を持たれた方も多かったようで。(微笑)
ではまた。
TBがつけられないので、コメントします:
http://blog.goo.ne.jp/ikedanobuo/e/05bc2cfe0e759ee46e41bc14eaa2a322
これは悪名高い「ITゼネコン」問題の一種ですが、悪いのは業者ではなく、現在の政府調達のシステムです。
あれ?磯崎さんところはTB受付をやめちゃったのですか?
http://blog.livedoor.jp/dankogai/archives/50583636.html
からかけてみたのですが。
Dan the Fan of Yours
e-Tax挫折した人〜
は〜い ノシ
>「いらない」と断言するのは相当勇気がいると思います。
そうなんですか(驚き)。まったく不要だと断言してあげますがね。RSAが、ですよ?
技術的に必要なのは暗号技術全般(特に公開鍵暗号)とかですから。
RSAなんぞぜんぜん不要です。
>例えば、「認証局」ということになると、
ん〜、特定認証業務したいですか。私は無駄だと思いますがね。
だとしても、技術的な要件はないはずですが。
「ちゃんと検証する」ことと、
「情報を漏らさない」ぐらいだったのでは。
「ちゃんと検証する」の技術的要因は、住基カードより、さらに簡単です。ただ、実質上
>というあたりで、実質的に、「大手SIerさんにお願いしましょうか」
ということには反対はしません。
というより特定認証業務の意味合いが、私には分かりませんが。
正確には、特定認証業務はともかく、なぜ「特定認証業務」しか認証業務が出来ないようにしたかは、民間から言えば疑問ではあります。単にCRLを公開すればいいだけなのに。
ちなみに想定してた「システム」はe-Taxみたいな
「認証局」を「使う」方かと思ってました。
「使う」方は何の規制もありませんから自由に作れます。「認証局」ほどの要件は不要です。
だからとても簡単なんですがね。使うほうは。
認証局にシステム固有の難しい要件をつけてあるので、使う側はやたらと簡単です。特定認証業務とは何の関係もなく可能です。
でもって誰でも作れます。認証局が作れないと、その周辺のシステムが作れないと思っているなら、まったくの誤解です。
むしろ関係ないと考えるのが正しいのですが。
例えば「住基カード」を使って業務をするのには、何の規制もありませんし。民間業者が、タイムカードの代わりに使っても問題ありません。
って法律が違うか。
TB出来ないので, コメントにて.
http://d.hatena.ne.jp/smoking186/20060801/1154439576
[日記・コラム・つぶやき]税務署から封書が届いた
帰宅すると税務署から長3サイズの封書が届いていました。 次に予想される展開としては… (自称)税務署の方から来た詐欺? 一応疑ってかからないと。 国税の…
勉強になります。有益な情報ありがとうございます。