13時45分から15時までは、「eIDAS適合監査の国際的認証」というパネルです。登壇者は、Arno Fiedler (Nimbus)、Eric Gonnot(LSTI)、Inigo Barreira (360)、Marcin Szulga (Asseco Data Systems)、Olivier Delos( Sealed)です。
自己紹介のあとは、最初は、Olivier Delos ( Sealed)さんのプレゼンです。スライドは、こちら。このスライドは、適格タイムスタンプのモデルを例にとって解説したものです。
765/2008の規則(製品販売に関する評価機構の要件および市場監視についての規則)によって認定された国内認定機構は、全部で10あり、任意的な組織となります。
eIDASの認定のスキームがあって、eIDASの認定機構があり、ISO/IEC17065とEN 31 9403とeIDAS要件からなりたっています。
ここで、欧州認定機関協力機関は、これを促進しています(促進限定となる)。eIDASの適合性評価機関は、30ほどあり、すべてが、ISO17065のもと、95%が、EN3190403のもと、評価をなすものとされています。トラストリストは、欧州委員会によって提供されていますが、これによって情報が提供されることになります。この仕組みを促進することによって国際的なレベルで承認・採用されることになっていきます。国際的にも促進されることになります。認証スキームをより周知されることになって、
また、ガバナンスがなされることになります。欧州委員会は、サイバーセキュリティ法に適合させた2020年改訂版を考えており、より、アクティブな役割をはたすことになります。
ひとつの認証を得れば、どこでも活躍できるワンストップショッピングが準備されています。2枚目のスライドでいくと、ウエブの信頼分野があり、また、ETSIの標準の体系があることになります。
次は、Szulgaさんの「eIDASトラストサービスと監査の国際的承認」の説明です。スライドは、こちら。
法的なドライバです。ビジネス的な考え方からいえば、適合の問題は、実際のビジネスから始まっていきます。トラストサービスが認知されば、消費者が、これを信頼して、利用するということなります。このような国際的な利用が広がっていくとかんがえているわけです。 この例としては、アゼルバイジャンのデジタル貿易ハブと中国のEUにおける投資があります。
若干の問題点をあげておくと、プロバイダが、本人の実在性を確認するのにあたり、物理的に面識をもつのと同等の信頼性あると国内法によって確認された識別手法によって確認することになる(規則24条1項(d))が、これを国際的な場面でどのように考えるべきか、という問題があります。あと、インシデント報告の実務も問題になります。
次は、Inigoさんの360ブラウザについての説明になります。スライドは、こちら。二つのブラウザがあって、ひとつは、セキュリティブラウザです。360ブラウザは、ルートストア(トラストリスト)を実行し、管理します。ポリシと手続は、CA/ブラウザ・フォーラムで述べられていることにしたがった報告書/認証書によって認められています。問題としては、実際には、いろいろなツールで問題があり、また、それらが反映されないということもあります
ETSIの技術標準は、認められていますが、ルートストアとしては、取り込まれていません。より、堅牢なエコシステムが必要だといえます。中国で、どのように扱うかは、議論中であるといことがいえます。
Ericさんの発表スライドは、こちらです。 所属しているLSTIは、適合性評価機関(ACAB)となります。CABフォーラム、ETSI、ENISAとの関係についての説明がなされました。
あとは、フロアとの質問でした。
[1] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:en:PDF