「「LINEで住民票申請」は不可」という記事がでています。
でもって9月29日付けで、省令が交付され、成功されたとのことです。プレスリリースは、こちら。
提案されていた案文はこちら。
(電子情報処理組織による請求等に係る適用除外) 第22条 総務省関係法令に係る情報通信技術を活用した行政の推進等に関する法律施行規則[新設] (平成15年総務省令第48号。以下この条において「総務省情報通信技術活用省令」とい う。)第4条第1項の規定により、法第11条第1項、第11条の2第1項、第12条第1項、第12条の2第1項、第12条の3第1項及び第2項、第12条の4第1項並びに第15条の4第1項から第4項までの規定による請求又は申出を行う場合においては、総務省情報通信技術活用省令第4条第2項ただし書の規定は、適用しない
情報通信技術を活用した行政の推進等に関する法律の各規定については、
住民基本台帳法第11条第1項 | 国又は地方公共団体の機関の請求による住民基本台帳の一部の写しの閲覧 |
第11条の2第1項 | 個人又は法人の申出による住民基本台帳の一部の写しの閲覧 |
第12条第1項 | 本人等の請求による住民票の写し等の交付 |
第12条の2第1項 | 国又は地方公共団体の機関の請求による住民票の写し等の交付 |
第12条の3第1項及び第2項 | 本人等以外の者の申出による住民票の写し等の交付 |
第12条の4第1項 | 本人等の請求に係る住民票の写しの交付の特例 |
第15条の4第1項から第4項 | 除票の写し等の交付 |
となります。そこで、
請求又は申出を行う場合においては、総務省情報通信技術活用省令第4条第2項ただし書の規定は、適用しない
となっているので、
2 前項の規定により申請等を行う者は、入力する事項についての情報に電子署名を行い、当該電子署名を行った者を確認するために必要な事項を証する電子証明書と併せてこれを送信しなければならない。ただし、行政機関等の指定する方法により当該申請等を行った者を確認するための措置を講ずる場合は、この限りでない。
となります。
この「行政機関等の指定する方法により当該申請等を行った者を確認するための措置を講ずる場合は、この限りでない。」となっているので、
電子署名を行い、当該電子署名を行った者を確認するために必要な事項を証する電子証明書と併せて
送信することになります。
電子署名がデジタル署名に限られるのか、という問題はさておいたとしても「電子証明書」が求められています。ここで、電子証明書は、総務省関係法令に係る情報通信技術を活用した行政の推進等に関する法律施行規則同2条2項二で
二 電子証明書 次に掲げるもの(行政機関等が情報通信技術活用法第六条第一項に規定する行政機関等の使用に係る電子計算機から認証できるものに限る。)をいう。
イ 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第三条第一項に規定する署名用電子証明書
ロ 電子署名及び認証業務に関する法律第八条に規定する認定認証事業者が作成した電子証明書(電子署名及び認証業務に関する法律施行規則(平成十三年総務省・法務省・経済産業省令第二号)第四条第一号に規定する電子証明書をいう。)
ハ 商業登記法(昭和三十八年法律第百二十五号)第十二条の二第一項及び第三項の規定に基づき登記官が作成した電子証明書
となっているので、結局、これらのデジタル署名技術ベースの証明書が必要となります。
もっとも、これについては、このようにする必要があったのか、という問題があります。住民票の請求は何人もできたものが、本人等の請求によることが確認できるようにと改正されたという文脈があるわけです。そうだとすると濫用があった場合に、追跡ができればいいのであって、公開鍵インフラでしか対応できないというものではないはずでしょう。
例えば、「住民基本台帳の一部の写しの閲覧並びに住民票の写し等及び除票の写し等の交付に関する省令の一部を改正する省令(案)に対する意見募集の結果」をみると
総務省情報通信技術活用省令第4条第2項に規定する電子署名は、これを用いることで、暗号技術によって、確実な本人確認と文書の改ざん検知が可能となる上、電子署名及び認証業務に関する法律第3条の規定に基づき、送信された情報は真正に成立したことが推定されることとされているものであることから、オンラインにおける厳格な本人確認手段として必要なものと考えており、これらの要件を満たしていない手段を採用することは適切でないと考えています。
とされています。ここで、「確実な本人確認と文書の改ざん検知」とペアにされていますが、理屈としては、「確実な本人確認」と「文書の改ざん検知」は、別の機能を使って実現されていることになります。
「文書の改ざん検知」は、発行されたドキュメント自体のハッシュをとって、それが検証すべきハッシュと比較することができれば、十分なので、LINE社から、暗号通信がなされれば、そのLINE社の仕組みの上で改ざん検知は、十分可能です。
一方「確実な本人確認」がどの程度、リスク対応として必要なのか、というのが今一つの問題になります。そもそも、「押印Q&A」ででたように、結局は、PKIのようにデジタルのみで完結させる必要はなくて、周辺の事情も考慮して考えていい場合があるわけなので、PKIにこだわる必要はないことになります。そして、本質的には、この本人の確認の確実性(主張者と行為者の同一性)の追跡は、登録時の本人確認に依存しているわけです。これについては、私のと「電子署名法の数奇な運命」でSP800-63の図を使って説明したところです。
このアシュアランスレベルで、何をもとめるべきかという論点でしかないわけです。米国の「連邦組織取引における電子署名の利用」も参考しましょう。LINEで行っているeKYCのレベルは、住民票の請求のときの保証レベルとして不十分なのかというリスクマネジメントをおこなえばいいだけの話でしょう。
確かに、総務省情報通信技術活用省令第4条第2項に規定する電子署名は、対面による本人確認を求めているわけですが、確かに十分なわけですが、常にそれが必要になるわけではないという考え方も成り立ちます。
(昨年、電子署名等の議論が不十分なときに、ダメといったので引っ込みがつかなくなったのかもしれませんが-この部分追記します。これは、ストーリーとしては、令和2年4月3日に総務省が、「電子情報処理組織を使用して本人から住民票の写しの交付請求を受け付ける場合の取扱にかかる質疑応答について(通知)」をたしたことをさします。この時点では、電子署名法自体が2条の電子署名と3条の推定効の対象となる電子署名が違うのではないの?といっていた人自体が少数派でした。そこで、直接、面談の上、確認というレベルに揃えるべき(これが、IAL-3 相当)と判断したわけです。)
果たして、そこまで必要なのかどうか、これは、リスクについての判断・評価にすぎないということを総務省は認識していないように思えます。なので、理屈的には、全くなりたたない理屈でもって意見に答えているのですが、無理が通れば、道理が引っ込むのは日本の常ですね。