Identification・Authenticity・Authentication・真正性

「弁護士ドットコム」さんで、14日に「社会のデジタル化と法律実務」というのを話すので、スライドを作りながら、いろいろと考えていたところ、特に、トラストまわりでも使う真正性・Identification・Authenticity・Authenticationあたりの用語が、混乱しかけているので、自分のためにメモしようかと思っています。

まずは、上の図の左側。アナログ的な行為ですね。紙があって、思想主体たる本人が、その紙に記載されている文書を自己の思想であると「認証」して、その「名義」でもって、署名(または、押印)します。そして、その紙が、そのまま、裁判所の前に呈示されるわけで、単純明快(?)。

右側のデジタル社会になると、いろいろいな話がでてきます。会社の場合をさて置いても、思想主体って、誰なんでしょうか。そのあと作成されるドキュメントの名義人なのでしょうか。それともプログラムの作動者か。

次にドキュメントの受領者からみたとき、そのドキュメントが、誰からのデータであるか、というのを確認する行為というのは、どういう意味をもつのでしょうか。ドキュメントが、誰の思想であるかを識別(identificate)した上で、その表示された思想が、正確に作成された上に、受領にいたるまでに同一であるということが明らかになるということなのかなと思います。

この場合、思想が誰のものかというのを確認するには、識別子を提供してもらって((identification)確認することになるのでしょう。その作成のチェーンをみていった上で、正確に作成されて、同一であることが認証される(Authentication)ものとなるのでしょう。この場合に、この確認する行為やルールが認証(Authorisation)ですね。

(なお、identificationについては、こちらのブログが勉強になりました)

法的に真正性(Authenticity)と呼ばれているものをみていきましょう。

我が国でいけば、民事訴訟法第228条1項

文書は、その成立が真正であることを証明しなければならない。

とされています。そして、228条4項においては、

私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。

とされています。

米国であれば、連邦証拠規則901条(a)です。同条は、

 証拠のアイテムを認証(authenticating)し、または、識別する(identifying)要件を満たすには、提案者(proponent)は、問題となっている(コンピュータ記録あるいはその他の証拠)がその申請者が要求しているものであるということを認定することを基礎づけるのに十分な証拠を示さなければならない。

と定めています。これについて、司法省の捜索差押ガイドラインは、真正性という名称で呼んでいます。

この真正性について、同ガイドラインは、3つの問題があることを分析しています

第1に、当事者は、当該記録が作成されたのちに改変され、操作されあるいは毀損されたどうかを問題とすることによって、コンピュータの生成した記録とコンピュータに蔵置された記録の両方の真正性について異議を申し立てることができる。

第2に、当事者は、当該記録を生成したコンピュータプログラムの信頼性を問題にすることによって、コンピュータの生成した記録の真正性を問題にすることができる。

第3に、当事者は、その作成者の同一性を問題にすることによって、コンピュータに蔵置された記録の真正性に異議を申し立てることができる。

これらをひとつの図にあわせることができるか、ということになります。

これは、上のガイドラインの3つの段階があること、それについて、法的に、真正性を明らかにすること(認証-authentication)がいろいろな証明を助ける仕組みを準備していることを示しています。

あと、ここの関係で把握しておくべき概念は、eIDASに関していわれているセキュリティ性質としてのデータのオリジンの認証でしょうか。「秘密鍵の保有者のみが、対応する公開鍵でサインされたデータのオリジンのポイントとなりうるから、サインされたデータのオリジンの証明となる。」という表現になっていて、この作用が、データのオリジン認証(authentication)といわれています(例えば、Security guidelines on the appropriate use of qualified electronic signaturesなどの表現 例 3.2Security properties )

ということで、メモを作っても、なかなか整理されないのですが、

(1)真正性という用語は、成立に関する部分と、内容に関する部分とをともにいっている。

(2)成立に関する部分は、連邦証拠規則だと、識別といわれているようである。

(3)真正性を明らかにする行為が認証と呼ばれている。

あたりをメモしておくことにします

 

 

関連記事

  1. トラストワークショップ参加ありがとうございます。
  2. トラストサービスフォーラムinベルリン Day1 その2
  3. ENISA 「トラストがあり、サイバーセキュアな欧州のための新戦…
  4. eデリバリとしてのPEPPOL
  5. 「IoT・5G セキュリティ総合対策 2020」について
  6. トラストサービスフォーラムinベルリン Day2 その2 前半
  7. トラストサービスフォーラムinベルリン 観光編
  8. トラストサービスフォーラムinベルリン Day2 その1前半
PAGE TOP