eデリバリとしてのPEPPOLをみます。分析するページは、こちら。

まずは、eデリバリです。これは、eIDAS規則でも定められていますが、電子配達証明つき連絡です。電子ネットワークでの文書の送付し、その送付が電子的に確認しうる仕組みになっているものをいいます。

電子的手段により第三者間でデータを送信し、データの送受信の証明を含む送信データの取り扱いに関する証拠を提供することを可能にするとともに、送信データの紛失、盗難、損壊または不正な改ざんのリスクにから保護するサービス

と定義されています（eIDAS規則3条（33））。

PEPPOLにおいては、

PEPPOL は、共通のビジネスプロセスと技術標準のセットを確立することにより、異なる電子調達システムを 接続するために、e デリバリネットワークを使用しています。これは、同じ電子メッセージング・プロトコルとフォーマットを使用してすべてのアクセスポイントを接続し、メッセージの内容を保護するためにデジタル署名技術を適用することで、相互運用性と安全性のあるネットワークを提供します。

(PEPPOL のアクセスポイントを介して）PEPPOL eデリバリネットワークに接続されると、公的機関や民間企業は、PEPPOL を使用して、他の取引先にも迅速かつ容易に連絡を取ることができます。

説明図は、

ですね。技術標準と、この通信のインフラ合意書(これがTIA-多対多の相互流用性枠組み)が提供されることになります。

参加組織は、上のサービス・メタデータ公表者(Service Metadata Publisher (SMP))を通じて受信能力(デリバリアドレス、ビジネスプロセスやドキュメントのタイプなど)を明らかにします。アドレスブックみたいなものと説明されています。

送信者からすると、相手方のアクセスポイントを知る必要があるので、PEPPOLは、一つの中央サービスを維持しています。これが、サービスのメタデータ指示(Service Metadata Locator (SML))です。この仕組みは、ウエブページのURLと一緒です。

これは、PKIの仕組みを利用しています。

アクセス・ポイントまたはSMPプロバイダーがPEPPOLトランスポート・インフラストラクチャ契約に署名すると、PEPPOLデジタル証明書が提供されます。この証明書には、PEPPOLネットワーク上のすべての通信を検証するための鍵情報が含まれています。この証明書は、輸送インフラ契約が有効である限り有効であり、サービス・プロバイダーが契約に違反した場合には失効することができます。これにより、既知で信頼できるプロバイダーのみが電子配送ネットワーク上でサービスを提供できるようになります。

となります。

この仕組みは、PEPPOLの中央構成要素に関する調整局によって管理されるわけですが、具体的には、アクセスポイントとメタデータ公表者が、技術標準とサービス仕様に従っていることを確かにすることになります。

仕組みとしては、なるほどですが、感覚としては、実際に動いている仕組みとまた、別個の仕組みを作っていくので、迂遠だなあという感じでしょうか。

実在証明(EV証明書ですね)付きのウエブページで、アクセスポイントを指定すればいいじゃないのという感じでしょうか。いまだって公式のページで、FBやら、Twitterやら、SNSはこことかいうアナウンスしているわけですから、請求書関係は、こちらとやれば、別にSMPいらないよね、という感じがします。欧州なので、そういうプラットフォームが嫌いなんでしょうけどね。

会社同士なので、eシールとなりそうですが、自分としては、かならずしも、そうでなくてもいいような気もします。プロバイダーでの設定の仕方でしょうか。会社が、このプロバイダから請求書送りますねといっていれば、会社の電子署名が必要なのか、という感じもします。(担当者が、そのプロバイダ内で登録されていればいいでしょう)

むしろ、そのようなサービスプロバイダーとのアクセスの確保・セキュリティの維持は大変そうです。このネットワークが、ハックされると、請求書関係・支払い関係が、ひっくり返るので、そのセキュリティレベルの維持は、重大な問題になりますね。いろいろと考えるネタにはなりますが、プラットフォームとしてのPEPPOLは、筋がいいのか？という疑問は、残ります(というか大きいです)というべきでしょうか。