eIDASのレビュープロセスからeIDAS2.0への途

eIDAS規則(域内市場における電子取引のための電子ID及びトラスト・サービスに関する、及び指令1999/93/ECの廃止に関する2014年7月23日付け欧州議会及び理事会規則(EU)第910/2014号)は、eIDとトラストサービスの適切なレベルのセキュリティを目的としながら、域内市場が適正な機能を果たすことを確かにするために、加盟国が他の加盟国から通知されたeIDスキームのもとにある自然人及び法人の電子ID手段を承認する条件を定め、また、トラストサービス(電子署名、電子シール、電子タイムスタンプ、eデリバリーサービス、ウエブサイト認証の証明サービス)のルールを定める欧州法としての規則(Regulation)になります。この規則は、2016年7月に実施されています。また、加盟国におけるeIDの通知は、2018年9月28日から有効になっています。

当社のブログにおいて、「eIDAS規則における保証レベルやモバイルeIDプロセス-ENISA「eIDAS compliant eID Solutions」を読む」でもって、eIDASを取り上げていますが、その改正についてみていくことにします。

eIDAS規則は、二つの章が異なった規則と要件を述べています。2章は、eID手段の相互承認(mutual recognition)であり、3章は、電子トラストサービスになります。

これについて、2021年6月3日に「欧州デジタルアイデンティティの枠組構築に関しEU規則(910/2014)を改正する提案」が提案されています(以下、eIAS2.0という)。eIDAS2.0提案は、説明部分で11ページ、前文(38項分-9ページ)、条文(22ページ分)、附則からなります。附則については、若干の修正とともに、属性証明のための要件等が追加されています(附則ⅤおよびⅥ)。

この背景としては、「欧州のデジタル未来の形成のための戦略」(Shaping Europe’s Digital Future)があります。

また、2030年までのEU(欧州連合)のデジタル化目標を示す「デジタル・コンパス」計画があり、その中で、デジタルアイデンティティのためのEU全体のエコシステムが、革新的で責任ある安全なデジタル経済を促進する強固な枠組み条件の一つとして、提案されてい ます。この枠組が具体的にどのようなものであるかというのを検討する必要があります。

ところで、eIDAS規則の第49条では、レビュープロセスが義務付けられています。条文としては、

欧州委員会は本規則の適用をレビューし、2020年7月1日まで欧州議会と欧州理事会に対して報告する。欧州委員会は、本規則の適用で得た経験及び技術、市場そして法的動向を考慮して、第6条、第7条(f)、第34条、第43条、第44条、第45条を含め、特に、この規則の範囲あるいはその特別規定を改正するのが適切かどうかを評価する。

になります。

ここで、特に注目されているのが、

  • 第6条-相互承認(Mutual recognition)
  • 第7条(f)-電子IDスキームの通知による資格性 (Eligibility)
  • 第34条-適格電子署名のための適格保管サービス
  • 第43条-eデリバリーの法的効果
  • 第44条-適格eデリバリーの要求事項
  • 第45条-ウエブサイト認証

があげられています。

このレビュープロセスとして

がなされています。このエントリでは、このレビューの結果を見ていきたいと思います。

「公開諮問」(Public consultation)

この公開諮問は、eIDAS評価プロセスの一環ということなります。この評価プロセスは、むしろ、「評価-委員会スタッフワーキングドキュメント 欧州議会および理事会への報告」(『Staff Working Document – SWD(2021)130』)の付属文書Aの手続情報のところで詳細に記載されています。

欧州委員会は、eIDASの枠組みがどの程度まで目的に適っているか、すなわち意図した結果、成果、影響をもたらしているか、また、同規則の実施を通じて得られた経験や、最新の技術、市場、法律の発展を考慮し、規則の範囲や特定の条項を修正することが適切であるかどうかを判断するということから、諮問がなされています。

2020年2月19日に発表された「欧州のデジタル未来の形成に関するコミュニケーション」において、欧州委員会は、消費者が自分のデータにアクセスし、望む製品やサービスを安全に利用するためには、そのために無関係のプラットフォームを利用したり、不必要に個人データを共有したりすることなく、普遍的に受け入れられる公的電子ID(eID)が必要だという立場をとっています。インターネット全体で識別するための信頼できる安全で便利な単一のオプションは、デジタル世界の鍵を開け、サイバーセキュリティの脅威から保護し、ユーザーに力を与えます。欧州委員会は、eIDAS規則の有効性を高め、その利点を民間部門に拡大し、すべての欧州人に信頼できるデジタルIDを普及させるために、同規則の改正を検討する予定であるとして、この公開諮問の目的は、欧州におけるeIDと信用サービスの開発と普及の推進要因と障壁、およびEUデジタルIDを提供するための選択肢の影響に関する意見を収集することであるとされています。

これに対して有効なフィートバックについては、318、その主な内訳が、EU市民が116(36.48%)、企業が、98(30.82%)、業界団体が34(10.69%)になります。また、国別では、スペインが35(11%)、フランスが34(11%)、ベルギーが、32(10%)、ドイツが26(8%)、イタリーが23(7%)となっています。

2021年6月3日に、上記の公開諮問を分析した以下のスタッフワーキングドキュメント(SWD)をもとに、eIDAS規則の改正が提案()されます。そこで、まず、このSWDをみます。

「評価-委員会スタッフワーキングドキュメント 欧州議会および理事会への報告」(『Staff Working Document – SWD(2021)130』)

本スタッフ・ワーキング・ドキュメント(SWD)は、eIDAS規則の適用に関する評価結果を示すものです。これは、欧州委員会は、eIDASの枠組みが、意図された成果、結果、影響をもたらす目的にどの程度まで適合しているかを評価しています。さらに、この評価では、現行のデジタルIDおよびトラストサービスの枠組みを改善または補完することができる分野を特定しています。
評価では、法的枠組みの実施と、EUおよび加盟国レベルでのその採用について、その実施法やeIDASフレームワークに言及する部門別法令を含めて、批判的な評価を提供しているます。また、ギャップ、機会、課題、および効率性、有効性、規制の簡素化における潜在的な利益を特定し、結論と勧告を策定しています(該当する場合)。
評価対象は、EU加盟国およびEFTA EEA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)であり、英国の加盟期間も含まれます。また、必要に応じて第三国との協力関係も評価されます。

具体的には、1 序 2背景、3実装/ステート・オブ・プレイ 4 手法、5 評価質問に対する分析および回答、6 結論から成り立っています。また付属文書は、1 手続的情報、2 利害関係者諮問 3 評価準備のために利用された手法 4 追加情報となっいます。

1 序では、上の本ドュキメントの趣旨が示されています。

2 背景

背景では、介入の記述とその目的、ベースラインと比較のポイントが述べられています。

介入の記述とその目的では、

  • eIDASの欧州における202年戦略のなかでの位置づけ
  • eIDASの二つの目的(eIDとeトラストサービス)
  • リスクベースのアプローチ
  • 結果ベースのアプローチ

についての記述がなされていすま。

ベースラインと比較のポイントにおいては、従前は、欧州連合においてeIDやすトラストサービスのクロスボーダーの枠組みがなかったこと、導入依頼、劇的な変化がもたらされたことなどが論じられています。さらにこれらは、電子識別(eID)とトラストサービスにわけて、特に具体的な目標との関係で論じられています。

3 実装/ステート・オブ・プレイ

電子識別

この部分においては、通知された電子識別スキームが重要であり、この部分が効力を発生した2017年9月の段階では、14国が、そのスキームを通知しており、複数の通知をなした国は、4つにいたっていました。もっとも国によるeIDスキームを有していたとしも、通知をなしているない構成国も存在しています。

また、ピアレビューは、通知プロセスにおいて重要な活動であるとして、国のeIDスキームを利用することができているものの、民間にたいしてもこの仕組みは、オープンにしているものの実質的な利用は、少ない。

また、委員会は、幾つかの研究とイベントを公表しています。銀行業界、航空業界、eヘルス業界、中小企業などについての研究が公表されており、ぞの内容が紹介されています

トラストサービス

この報告書がなされた段階においては、202の適格サービストラストプロバイダーが30の欧州連合国のうち、29の国で活動していること、それぞれの国におけるプロバイダーの数、それぞれのサービスごとの適格事業者の数などが整理されています。また、それぞれの監督当局、国のトラステッドリスト、評価機関が存在することなどが紹介されています。

また、セキュリティや法的確実性を確実にするために、そして、そのハーモナイゼーションを図るために知、ETIS/CEN標準を指示していること、それらの標準が、政策的要求事項、評価スキームなどに使われていることが、述べられています。

4 方法

電子識別とトラストサービスとでは、実装の過程が異なっており、評価方法も異なるとしています。今回の eIDAS 規制の評価は、2019 年 9 月から 2020 年 12 月にかけて実施された。これは、外部支援調査によって収集された証拠に基づいて、eIDAS規制のパフォーマンスとその目的との比較、および意図した結果と影響をもたらすための目的適合性を維持しているかどうかを評価するものである。

この評価は、

  • オープン・パブリック・コンサルテーション(以降「OPC」2020年7月24日~10月2日)
  • 調査、インタビュー、ワークショップなどのターゲットとなるステークホルダーとの協議
  • 外部調査
  • 文献調査。

などの様々な情報源から収集されたデータに基づいて実施されています。

規制の効率性は、コスト・ベネフィット分析で行われていること、主たる利害関係者に対して調査がなされていますが、それは、以下の通りです。

  • 加盟国代表 – この調査の目的は、eIDAS Cooperation Network、eIDAS Expert Group、およびeIDASノードのオペレーターの加盟国代表から、本規則の機能、本規則と他のイニシアティブとの相互作用、およびその実施に伴うコストに関する意見を収集することであった。
  • サービスプロバイダ(Relying parties) – この調査の目的は、規制の機能と彼らが提供するサービスへの影響について、公共および民間のサービスプロバイダの意見を収集することであった。
  • 監督機関、適合性評価機関、認定機関 – 本調査の目的は、信託サービスの監督を担当する様々な機関の、ガバナンスと関連コストに特化した見解を収集することであった。
  • トラストサービス業者およびトラストサービス業者の代表組織 – 本調査の目的は、規制の機能および市場への影響について、適格および非適格の信託サービス業者の意見を収集することであった。
  • アイデンティティ・プロバイダーおよびアイデンティティ・プロバイダーの代表組織 – この調査は、規則の機能とその市場影響について、通知済みおよび非通知の両方のアイデンティティ・プロバイダーの見解を収集しました。
  • 技術提供者、eIDAS対象外の信託サービス提供者、技術提供者の代表組織、標準化団体 – この調査では、規制の機能および影響に関する完全な見解を収集するために、他の調査では対象としていない関連専門家の見解を収集した。

5 分析と評価質問への回答

5.1 有効性

eIDAS規則の有効性の評価は、規則の一般的、具体的、運用的な目的に基づいています。

eIDのための共通の法的・技術的枠組みの導入は、eIDの分野における重要なニーズと問題に取り組むことを目的としており、行政負担の軽減とサービスの質の向上を保証する可能性を持っていた。また、eIDAS規則は、デジタル単一市場の発展、EUにおける消費者の利益と保護を促進するという全体的な目標に貢献することを目的としています。この目標達成の成功を決定づけたもう一つの大きな要因は、eIDの分野で競争力を強化し、技術的な中立性を確保する必要性と目標にある。

トラストサービスの分野では、eIDASの施策は、技術的中立性を確保しつつ、国境を越えた、セクターを越えたトラストサービスの利用可能性を高め、競争力を強化することを目的としている。最終的には、電子取引の利用拡大による事務負担の軽減や、サービスの質の向上にもつながるはずです。

質問1 規則は、どの程度運営目標に適合していますか?

eID

これについては、通知されたeIDの相互承認および受容、国家的eIDASノードのステータス、サービスプロバイダーのeIDASネットワークへの接続とサービスの利用可能性、eIDの越境的な相互流用性、通刺されたeIDの公的・民間部門による利用、管理コスト削減の最大化とサービスの質の向上をする、eIDの法的確実性とセキュリティへのトラストと信頼を確実にする、などにわけて分析がなされています。これらの詳細は、別の機会にします。

トラストサービス

トラストサービスの法的確実性とセキュリティへのトラストと信頼を確実にする、管理コスト削減の最大化とサービスの質の向上をする、トラストサービスの越境的/セクター交互間な相互流用性をすること、にわけて分析がなされています。

電子的ドキュメント

これについては、ブロックチェーンのブロックが、電子てきドキュメントの定義に該当して、自己主権アイデンティティのコンセプトに役立つというこコメントがなされています。

質問2 規則は、どの程度、特定の目標に適合していますか?

eID

これについては、越境的なeIDスキームの利用可能性・採用を増大すること、EUにおける電子的取引の十分な法的確実性、トラスト、セキュリティを提供する枠組を管理することを確実にすること、から分析がされています。

トラストサービス

これについては、越境的なトラストサービスの利用可能性・採用を増大すること、トラストサービスのガバナンスの最適なレベルと範囲を確実にすること、トラストサービスの分野においての協力のフォーラムの承認の必要性、について論じられています。

質問3  規則は、どの程度、一般的目標に適合していますか?

この質問については、eIDとトラストサービスについての単一市場を発展させること、エンドユーザーの保護と利益を促進すること、について論じられています。

5.2 効率性(Efficacy)

質問4  規制による介入が、目的とする利害関係者に対して追加的なコストや便益を発生させたかどうか

eID

これについては、利害関係者として、国家当局およびeIDASノード運営者、eID提供者、(eID利用の)サービスプロバイダがあること、これらの利害関係者ごとに種々のコストが存在していること、が分析されている。このコストは、管理の負担およびコスト、実質的なコンプライアンスのコスト、執行のコストがある。

また、便益についてもそれぞれの利害関係者ごとに分析がなされている。

トラストサービス

これについても管理の負担およびコスト、実質的なコンプライアンスのコスト、執行のコストについてそれぞれ検討されている。また、便益についても検討されており、回答者の70%以上が、eIDAS規制の信託サービス部分が、コスト削減、時間短縮、法的確実性、事務手続きの簡素化に貢献したと考えている。

質問5  コストとベネフィットの項目に対する金額の比率はどうなっていますか?内訳はどうなっていますか?また、異なるステークホルダーグループ間でどのように比較されていますか?

特定されたコストと便益は、付属文書3に記載されたデータ収集プロセスに従って定量化され、貨幣価値化されている。定量化のプロセスは、方法論のセクションで説明したように、一連の仮定と限界に基づくものである。ステークホルダーの選定は、分析対象となる 31 カ国の異なる地理的地域と国の規模を切り分け、eIDAS ステークホルダー全体の代表サンプルを構築するために精緻に行われた。

量的データのサンプルは、詳細なインタビューと調査を通じて収集された124のステークホルダーの回答に拡張された。しかし、最終的な推計に使用した数値を含む回答は、サンプルの 51.6%に相当する 643 件にとどまった。このため、データの代表性には制約があり、数値はあくまで参考値であると考えるべきと限定はされている。

アンケートの結果は、以下のようになる。

利害関係者 初期コスト 経常的な管理コスト  経常的な技術コスト 便益
国家政策担当者 40,000 – 2,300,000 (8) 10,000 – 500,000 (7) 30,000 – 650,000 (9) N/A
eID プロバイダー 10,000 – 4,500,000 (3)  100,000 – 2,000,000 (4) 75,000 – 2,750,000 (3) N/A
サービスプロバイダー(eID) 55,000 – 230,000 (3) 25,000 – 1,000,000 (3) N/A N/A
認定機関、監督機構, 適合性評価機構 N/A 0 – 1,550,000 (23)  N/A  N/A
適格トラストサービスプロバイダー 50,000 – 10,000,000
(19)
3,000 – 4,750,000 (17) N/A 0 – 20,000,000 (9)
非適格プロバイダー N/A 3,000 – 4,750,000 (17) N/A 10,000 (2)

この結果が、さらに、eIDとトラストサービスにわけて分析されている。

興味深いトラスト・サービス・プロバイダーについてふれると、QTSPは、非適格トラストサービスプロバイダーに比べ、コストが大幅に高い。コストは主に2つのカテゴリーに分けられる。 このうち45%は管理業務に、50%は技術的コスト(新技術や物理的資産への投資など)に関連するものである。 年間平均750,000ユーロのコンプライアンス経常費用である。内訳は、管理業務に40%、技術的費用(すなわち、物理的資産、ソフトウェア更新などへの経常的投資)に35%、OCSPの保管に5%、セキュリティ違反の通知に20%とされている。

非適格 TSP の場合は、経常的なコンプライアンス費用のみ(金額およびシェアは適格 TSP と同じ)。

便益

QTSPが報告する1社あたりの平均メリットは、約270万ユーロ99。QTSP100は、非適格TSPよりもかなり高い金額(それぞれ271万1000ユーロと1万ユーロ)を申告しているが、これは市場シェアの大きさによって部分的に正当化されているようである。

Q6  規制の総費用は、達成された総利益に照らして、どの程度正当化され、比例しているか?

質的な観点からは、インタビューしたほとんどの関係者が、

  • 1.eIDを担当する国家機関はまだeIDASネットワークと完全に統合している段階である、
  • 2.市民によるeIDの取得と使用は成長すると予想される、
  • 3.eID/eIDASネットワークに接続するサービスプロバイダーの利用も同様に成長すると予想される、

というeIDフレームの潜在能力をまだ完全に示す必要がある、と指摘しています。 したがって、国の機関やeIDプロバイダーが行う投資は、国のeIDを他国のサービスプロバイダーにアクセスするために国境を越えて使用することの利点を現在上回っている。この種のトランザクションの数はまだ一貫してモニターされていないが、接続されるサービスの数が増えるにつれて、利益が増加することが期待される。また、ある民間eID事業者の報告によると、民間事業者へのアクセスが一般的になれば、eID事業者から手数料を徴収できるため、潜在的な市場価値は非常に高くなるという。 国境を越えたeIDの利用者にとって、各国のeIDを利用できることは、確かに重要な事務負担の軽減となる。 信託サービスについては、関係者は、eIDAS規制による管理負担は、サービスの国境を越えた利用可能性と国家レベルでの要件の欠如から生じるコスト削減によって、著しく相殺されると報告している。
この結果が、さらに、eIDとトラストサービスにわけて分析されており、詳細は、省略する。

Q7. 介入の意図する目的を損なうことなく、法律を簡素化したり、不必要な規制コストを削減する機会はあるか。

eID

越境的な公共サービスのみならず、民間セクターにたいしても利用できる用に設計されているのにもかわらず、改良のための余地があるというのが圧倒的な意見であった。その改良の点は、民間企業の取り込みを阻害する主な問題点として、不確実性コストなどが挙げられる。 具体的には、ルールが統一されていないため、民間サービスプロバイダが eID スキームを提供・利用する際のコストとベネフィットが不透明である。民間サービスにおける eIDAS eID スキームの利用ルールを明確に定義するルールや原則がない。

いくつかの民間 eID プロバイダは、通知のコストは、明確に特定できる市場メリットではなく、潜在的メリットや国の規制要件と釣り合ってると考えてい る。

これらの障害を克服するために、利害関係者は、 eIDAS の本来の目的を再設計し、民間セクターを支援・促進することに焦点を移す第一歩とし て、民間セクターが eIDAS を利用する際のコストを削減するために、eIDAS 規則の利点に ついて、特定のステークホルダーグループに対する情報および認識キャンペーンを増加 させること、通知手順の合理化および簡素化を行うこと、を提案している。

トラストサービス

トラストサービスの関係者グループにとってのコストと便益に関しては、主に以下のような是正措置が必要であることが確認された。

  • トラストサービス提供者に課される監査手続きや技術的要件が異なることから、規制第 20 条で予見される監督手続きの調整と調和が進めば、市場の効率性を高め、コストを削減できる。
  • eIDAS 規制は、適合性評価機関の実務が十分に整合していないため、QTSP に対して EU 全体で同等のセキュリティレベルを確保することはできない。これは、市場が最低価格と最小要件の適合性評価に報いる可能性があるため、市場の歪みと「底辺への競争」のリスクをもたらす。より大きな調和は、eIDAS規則の第19条1項と第24条の規定を詳細に記述することによって達成することができる。
  • 消費者啓発キャンペーンにより、適格信託サービスの利点を促進し、市場利益を増大させることができる。

5.3 関連性

Q8. 当初の目的は、現在のニーズや懸念にどの程度まで対応しているのでしょうか。

eIDAS規則では、EUレベルで

  1.  デジタル ID およびトラスト・サービスに関する国境およびセクターを越えた相互運用性の欠如、
  2.  デジタル取引における信頼の欠如、
  3.  従来の紙ベースのソリューションと比較したデジタル・トラスト・サービスの使用に関する法的確実性の欠如、
  4.  公共および民間サービスのオンライン利用制限

という4つの主要な問題があるとされています。

電子ID(eID)の分野では、eIDAS規則が、通知されたeIDスキームの相互承認と受け入れを確立しました。

トラストサービスの分野では、eIDAS 規則は信託サービスのための欧州内部市場を創設し、これらのソリューションが紙ベースの同等品と同じ法的地位を持つことを保証しています。

全体的な目的は、EUレベルでそのようなソリューションの相互運用性を確保し、管理負担を軽減し、オンライン公共および民間サービスのための電子取引の可能性を引き出すことでした。

eID

現在、すべてのEU市民が、自国政府が発行し、eIDAS規則に基づき通知されたeIDスキームを取得する可能性があるわけではありません。一方、民間企業は独自のeIDソリューションを開発しています。

Fintechが、リモート識別を発展させ、マネーロンダリング対策のルールに適合させていること、アイデンティティの持ち込み(BYOI)のコンセプトが発生していること、eIDAS認定の識別メカニズムが、偽のレビュー等を防ぐものとされていることかなどが紹介されています。また、単一デジタルゲートウェイ規則(SDGR)がリモートでの識別を定めており、相互に補完するものとされています。

トラストサービス

これについては、順調な発展がみられるとしています。また、新型コロナウイルスのインパクトがあるとされています。 フランスでは、当初は物理的な立ち会いが必要だった公証証書への遠隔地での署名を認める具体的な法令が2020年4月に採択されています。これと並行して、電子署名を筆頭に信託サービスへの需要が飛躍的に伸びています。例えば、適格信託サービスプロバイダーであるCertEuropeの親会社であるOodriveは、同社の電子署名ソリューションの需要が2020年5月から6月にかけて200%増加したと宣言しています。

Q9. ソリューションや標準は、ユーザーのニーズにどの程度対応していますか?

eID

利用者の旅程を容易にするための標準の識別のサポートの必要性

電子的識別の分野では、eIDAS 規則が SAML プロトコルの適応に基づく共通プロトコルを導入し、 異なる通知済み eID スキーム間でアサーションを交換し、技術的・意味的相互運用性を確保し ています。SAML メッセージ・フォーマットおよび属性プロファイルは、eIDAS eID プロファイルの一部として採用され維持されています 。

ID プロバイダは、ID を管理するために他のタイプのプロトコル(OAuth2、OpenID など)を自由に使用できるため、この規格の選択はユーザに 直接影響を与えない。eIDAS プロトコルは、eIDAS ノード間および国境を越えた ID 情報と認証アサーションの交換に のみ使用される。

ID窃盗やプライバシー懸念を避けるための拡張された暗号要件の必要性では、現在のTLS1.2は、セキュアとかんがえられているものの、TLS1.3b k移行が望ましいものとされています。

利用者の旅では、越境的な認証の過程(旅)においてeIDASのソリューションは、利害関係者が、含まれることを意味するとして検討がなされています。特に、サービス提供者、eIDASノード、ID提供指呼との間でのリンクでリダイレクトされる混乱が重要な要素になっていることがふれられています。

トラストサービス

トラストサービスにおいては、二つの委員会実装決定がなされているものの、CID (2016/650)は、スマートカードベースにフォーカスしているために、ユーザの要求に答えていないとされています。そして、CEN TC224が定められており、ENISAは、新しい規格の統合に伴い、欧州委員会実施決定(EU)2016/650を更新することを推奨しています。

Q10. 技術的、科学的、社会的発展に対応するための適応メカニズムはどの程度存在するのか?

eIDAS規則は、この分野で予想される技術的、科学的、社会的発展に対応するため、テクノロジーニュートラルに設計されています。しかし、さらなるガイダンス、協力、法的枠組みの修正を必要とする傾向や発展もありました。今回の評価では、一般的に、技術的な変化にもかかわらず、また技術的な中立性のおかげで、規制の基本的な設計と実施アプローチはまだ維持されていることが明らかになっています。

ブロックチェーンやIOTなどの技術的な変化は深刻な課題ではなく、全体的な「システム変更」ではなく、改正を通じて、あるいは実施において対処することが可能です。 しかし、実装のスピードはイノベーションの展開に間に合わないことが判明しています。

eIDに関しては、eIDAS協調ネットワークが設立されており、意見、情報交換をなしていることが紹介されています。トラストサービスについては、ETSI, CEN, ISOなどの国際標準に依拠していることが紹介されています。ベストプラクティスなどの協調のためのネットワークはあるものの、公式のものではなく、eIDに関するもののように正式なものが準備されるべきとする意見もあります。

Q11. eIDAS 規則は、特定分野の関連ニーズにどの程度対応していますか、また、他にどのような分野をカバーする必要がありますか。

e ID

eIDAS 規制の下で通知された eID は、通常「基盤となる ID」で構成されており、多様なユースケースのための ID を国民に提供することを目的としていることを意味しています。

eIDAS の技術仕様は、構成国がセクター固有の要件に対応するために追加属性を提案で きることを想定しています。 多くの構成国が追加属性の定義に関心を持っているが、2017年以降、eIDASのeID技術サブグループで議論が続いており、セクター固有の属性に対する要求の扱い方について合意が得られていない状況です。

市民や企業を識別することが分野別の法律で義務付けられている民間企業における需要の高まりは、民間におけるより多くの(そしてより価値のある、より複雑な)取引がオンラインで行われ、企業が製品の提供からサービス(ソフトウェア、モビリティ、インフラ、公共事業など)の提供に移行し、「売って終わり」ではなく顧客と長く継続した関係を維持しなければならないことから、他の分野と同様に今後もその傾向が続くと思われる。さらに、大手プラットフォーム(GAFAM)がプライベートID市場に参入する動きと重なり、彼らがまた新たな分野を支配してしまうという中期的なリスクをはらんでいるとしています。

eヘルス分野においてeIDの利用についての調査( DIGIT, The use of CEF eID in the CEF eHealth DSI, 2016)が紹介されています。この研究では、分野特定の属性を利用することができるという結論をだしています。また、教育部門では、国外の学生に対して、その認証にeIDASの最小限データセットと部門特定の属性を付与して利用することを提案しています。また、銀行部門においては、リモートによる電子識別をすすめるべく調査がなされています。旅行書類および航空業界においては、欧州委員会の検討(CEF Digital, Study on opportunities and challenges of eID for Aviation)が紹介されています。関税および税の分野においては、Uniform User Management and Digital Signatures ProjectにおいてeIDASノードを利用して、識別と認証が行われることを明らかにしています。

トラストサービス

欧州委員会委任規則(EU)2018/389 with regard to Regulatory Technical Standards (RTS for Strong customer authentication and common and secure open standards of communication in context of Payment Service Directive (EU) 2015/2366)では、eSealsや/ウェブサイト認証などのeIDASソリューションが、決済サービス事業者のウェブサイトにアクセスする際に第三者事業者の識別に使用できる方法を定めています。また、EBA(欧州銀行協会)は、上記RTSに基づくeIDAS証明書の使用に関する意見を採択し、ETSIは、PSD2の規制要件への対応を支援するための規格を発行しています。

Q12. eIDAS 規則が予見しているメカニズムやソリューションと並行して、現在のニーズに対応するた めの代替ソリューションはどの程度開発されていますか?

e ID

特に銀行と金融では、その商業活動に課された規制要件に対応するため、代替のデジタル ID ソリューションが開発されています。

一部の関係者は、ID データを一元的に保管するには、機微すぎると考えており、分散型台帳技術や自己主権型 ID ソリューション(SSI)に基づく信頼できる証明書を発行する分散型システムを検討するよう提案し ています。

欧州委員会は、eIDASソリューションがこれらの技術をどのようにサポートできるかについてのディスカッションペーパー(EIDAS SUPPORTED SELF-SOVEREIGN IDENTITY)を発行しています。その結論は、eIDAS規制は、分散型IDソリューションをeIDASの下で通知されたIDスキームとリンクさせるか、デジタル電子証明書(eSignatureまたはeSeals)を使用して検証可能な請求の発行をサポートすることにより、こうしたソリューションのさらなる発展を支援することができる、ということである。

また、モバイルIDソリューションが、急激に増加していることが強調されています。

トラストサービス

特定のトラストサービスについての改善が必要であり、特に、適格ウエブアクセス証明書(QWAC)の規定については、そうだとされています。

Q13. eIDAS 規制は、顧客データのポータビリティの要件と、(MyData や Decentralised Identity Foundation が提唱する)個人データの完全なユーザ制御という新しいパラダイムをどのようにサポートしますか。

データ・ポータビリティに関しては、現状の eIDAS 規制は ID 属性の完全なデータ・ポータビリティを可能にしています。しかし、欧州委員会施行規則(EU)2015/1501144の付属書で定義された自然人および法人の最小データセットに含まれる属性のリストは、制限が多すぎるため、エコシステムの完全な展開を可能にするものではありません。セクター固有の属性を採用する可能性は予見されていますが、それらは最小データセットに定義された保証レベルの対象外であり、そのような属性に対する信頼を低下させる可能性があります。

「顧客を知れ(KYC)」と顧客の相当な注意

第5次AML指令において、通知されたeIDスキームが活用されうることが晃価値されていること、しかしながら、「信頼されたソース」についての証明書スキームが存在しないこと、KYCの属性が、現在の状況を示し、アップデートされなければならないことという課題がある。

ユーザーによるクレデンシャルのコントロール

検証可能なクレデンシャルの交換をめざすイニシアチブが、動き出しており、具体的には、European Blockchain Services Infrastructure (EBSI)、Europass Digital Credentials 、COVID-19 Credentials Initiative (CCI).  ePassportなどが紹介されています。

Q14. この介入は、近時の技術的または科学的進歩にどの程度適応しているか?現在規制の対象となっているトラストサービスの数を(ブロックチェーン、eArchiving、IoTなどによって)拡大し、eIDサービスを民間部門に拡張する機会はありますか?

協議したステークホルダーの大半は、eIDAS規則を他のトラストサービス(eArchivingなど)に拡大すべきであり、規則がカバーするトラストサービスの数を現在の形で拡大することが可能であることに同意しています。

また、具体的にブロックチェーンへの適用、eアーカイビング、IoTbk 適用が議論されています。

5.4 首尾一貫性

このセクションでは、法的なデスクリサーチと予備的なステークホルダーとの協議から得られた主な知見を示し、規制の規定の内部および外部の首尾一貫性に関する質問で評価に役立てることを目的としています。

Q15. 内部的な一貫性(eIDAS 規則の一部と実施法の間)に問題はあるか?

eIDAS 規則の条文ごとのレビューを通じて、以下のような明確性や一貫性の問題が確認され ている。

定義にさらなる明確化が必要と思われる以下の障害については、分野別または国内法および行政慣行に依存するため、範囲および枠組みの設計に関連する適切な欠点が残り、規則のより成功した実施に大きな影響を与えることはないだろうと思われます。 通知手続きと保証レベルの枠組みの欠点に関連するもう一つの特定された障害は、これまでの既存のガイドラインの更新に関する加盟国代表との議論を通じて明らかにしようとしたことに加えて、規則の改定で対処する必要がある。

通知されたeIDとトラストサービスのフレームワークの責任体制の違いは、異なる規制体制に反映されています。

定義

定義としては、「認証(authentication)」、「適格電子署名(qualified electronic signature)」などが議論されています。

eIDについての規定

eIDに関する規定について、通知の条件(7条)、通知・ピアレビューシステム・保証レベル(8条)、責任(11条および13条)、eIDの同等性の欠如/トラストサービス14条、が検討されています。

トラストサービスの規定

監督機関および評価機関(17条および20条)、トラストサービス提供者に対するセキュリティ要求事項(19条)、国家トラストリストの設立・維持・公表への責任主体(21条、22条)、適格トラストサービス提供者への要件(24条)、電子署名の相互承認(25条(3))、適格電子署名のための適格保存サービス(34条)、eデリバリーサービス(43条および44条)、適格ウエブサイト認証証明書(QWAC、45条)、が検討されています。

Q16. 関連する加盟国の規則や規制との一貫性に問題はないか

2019年5月、28加盟国のうち17加盟国がeIDASに関する実施法を採択した。 ある国の要件がeIDASの要件を上回る(「金メッキ」)ことがあるが、本評価では、国の規定とeIDAS規則間の一貫性がない潜在的問題に焦点を当てている。

一貫性の欠如は、いくつかの要因によって生じる可能性があるとして

  • 構成国による多様性のある実装を許容する規定
  • eIDASと矛盾する国内法の規定や規制実行
  • eIDASによって提供される可能性を完全に利用し得ない国内法の規定

があげられています。

Q17. eIDAS 規則と、目的を共有する他の共同体の活動との間に重複や補完関係はありますか。

当規則は、eIDASベースのソリューションに関連して、セクター別のEU法制においてイネーブラーとしての役割を担っており、これらのイニシアチブが支配する義務や要件に対して、法的効果や関係主体(例:AML指令の義務主体やPSD2の対象となる第三者支払サービスプロバイダー)の法令等適合性の保証が提供されます。eIDASサービスの提供は、多くの場合、これらのEUのイニシアチブの対象となるサービスとリンクしており、サービスプロバイダがeIDAS準拠ステータスを取得するための追加インセンティブを提供しています。

AML(資金洗浄対策)

第4次AML指令の13条(1)(a) が、第5条指令によって改正されています。また、第4次AML指令の27条(2)の顧客のアイデンティティについてのデータを第三者が提供する場合の適切なステップについてが、eID手段を取る場合などに拡張されています。また、第4次AML指令の付属文書3が、非対面の取引がなされる場合の安全措置ととして拡張されています。

Single Digital Gateway Regulation (SDGR)

Regulation (EU) 2018/1724のRecital 21は、eIDAS Regulationをベースにすることを指摘しています。 SDGRの第6条は、加盟国に対し、利用者が特定の手続き(附属書IIに規定)に完全にオンラインでアクセスし、完了できることを保証するよう求めています。この場合、当該手続が当該加盟国において確立されていることが条件となります。さらに、「完全なオンライン」とは何を意味するのかを定義しており、その一部は、「利用者の識別、情報および証拠の提供、署名、最終提出をすべて遠隔地で電子的に行うことができる…」というものです。この義務は、2023年12月12日までに適用されるものとされます。

その他、決済サービスや会社法におけるデジタルツールやプロセスの利用においても、指令などの改正によりeIDASの定める手段が利用されるようになっています。

一方、欧州市民シニシアチブに関する規則(Regulation (EU) 2019/788)によって国籍は、最小限データセットには、含まれていないことになっている。この問題は、最小限データセットに国籍を含めることによって解決するがいまだ、解決はみていません。

また、越境的ヘルスケアとの関係が検討されていますが、一貫性の問題は私的されていません。GDPRとの関係では、最小限のデータセットでデータ最小化原則との関係が議論されており、民間部門での利用を考えるに際して促進するのに際して、最小限データセットが必要なのか、という問題を検討しています。その一方で、金融セクターは、追加のデータを必要とするの手はないか、という議論もなされています。

5.5 EU付加価値

Q18. eIDAS 規制の結果、国内レベルで同様の規制の枠組みで達成できたことと比較して、(国 内、欧州、国際レベルで)追加的な価値があるか?

協議した関係者は、eIDAS 規制が、国内レベルの類似の規制的枠組みで達成できたであろう ことと比較して、付加価値を生み出していることにほぼ同意しました。 eIDAS 規則は、国際的な比較においても、この分野で最も進んだフレームワークであると多くの人が考えています。この共通のフレームワークの存在により、企業は独自の、あるいは分野別のソリューションを開発する必要がなくなり、それに伴う法的確実性やコスト削減の面で大きな利益を得ることができます。

Q19. eIDAS 規則が扱う問題は、どの程度、EU レベルで更なる行動を起こす必要があるか?また、EUの付加価値を向上させるためにどのような提言が可能か?

デジタル取引の信頼性と安全性に対するニーズは高まっている。経済や欧州行政のデジタル化は、行政負担の軽減やサービスの質の向上(オンラインサービスへのモバイルアクセス、一回限りの原則、ユーザー体験の向上など)の面で潜在的なメリットがあることから、加速しています。そして、民間企業における利用事案をカバーするようにeIDASの範囲を拡張すべきだとしています。

Q20. eIDAS規制を廃止した場合、どのような影響が考えられるか?

eIDAS 規則の発効前は、欧州の eID およびトラスト・サービスの市場は断片的で、EU 域内のクロスボーダー認証のための単一ツールは存在しませんでした。eIDAS 規則が安全なデジタル取引の法的枠組みを提供していることから、eIDAS 規則の廃止は欧州の ID およびトラスト・サービス市場の断片化につながるというのが関係者の見解でした。

6結論

上記の分析が再度、結論としてまとめられています。そのまま引用します。


通知義務の欠如、相互運用性の複雑なシステム、限られた最小限のデータセットなどは、eIDAS規則の設計に依存しており、実装の意欲をそぐか、より困難なものにしています。国境を越えた公共サービス取引に対する需要の欠如は、eIDASとは無関係である。COVIDの流行は、公共および民間サービスに対する国境を越えた需要がより重要になることを示している。民間部門による新たなニーズ(例えば金融、航空、健康、教育分野での強力な 識別手段)は、eID システムと新たなトラストサービス(ID リンクデータの属性の認証など)の両方で、規制から独立したものである。

現在の相互運用性アーキテクチャが複雑であるため、国境を越えた eID スキームの相互承認は、主に理論上可能であるに留まる。実際には、国境を越えた認証を効果的に進めることができるユーザはごくわずかである。EU の人口を完全にカバーし、民間部門に取り入れるためのいくつかの重要な障壁が、規制の枠組みがその可能性を完全に発揮するのを妨げている。eIDAS 規制の現在の限られた範囲と焦点は、EU 加盟国によって通知された eID スキームとオンラ インの公共サービスへのアクセスであり、不適切であると思われる。電子 ID とリモート認証のニーズの大部分は、現在、民間部門の手にあり、特に、銀行、電気通信、 プラットフォーム・オペレータのように、法律で顧客の ID を確認することが義務付けられている関係者の手中にある。市民が他の加盟国のオンライン・サービスにアクセスしたい場合というのは、結局のところ非常に狭い範囲であり、ネットワークの全体的な設定と運用にかかる現在のコストを必ずしも正当化できない最小限のユースケースを表しているに過ぎません。

民間 ID プロバイダの商業モデルが存在せず、民間依存者の eIDAS ネットワークへのアクセ ス条件が明確でないことは、規制枠組みの長期的な成熟を妨げる大きな要因である。全体的な結論として、民間部門が必要とする識別のユースケースをサポートするために、eIDAS 規制にもっと根本的な変更を加える必要がある。

いくつかの重要な修正は、現行の規制の枠組みの修正という形で行われる可能性がある。これには、特に、追加属性の提供やリモート認証検証手順をサポートするトラスト・サービスの定義が含まれる。

デジタルアイデンティティの提供は、証明(certification)の原則に基づく ことが可能である。そこでは、加盟国が一連の法的アイデンティティ属性の権威あるソースとなり、民間部門の利害 関係者が特定のユース・ケースのための追加属性の属性プロバイダとなる、属性プロバイダ、ID プロバイダ、ID ブローカ、および認証プロバイダの機能は、明確に区別さ れる可能性がある。このシナリオでは、ID クレデンシャルのポータビリティがよりよくサポートされ、市民や企業 にとって時間がかかり、そのような強制的な検証の対象となるサービス・プロバイダにとってコス トがかかる、多数の ID 検証手順を減らすことができる。公共および民間の依拠当事者による eIDAS 要件を尊重したデジタル・クレデンシャルの強制的な受入れが導入される可能性がある。このアプローチにより、システムはイノベーションとスケールアップに対してよりオープンになる。

各識別の過程において、eIDAS の下での eID は、名前、姓、生年月日、および一意の識別子(時間的に可能な限り永続的)を含む最小限のデータ・セットを伝送する。 この最小限のデータセットは、オンライン公共サービスにアクセスするための国境を 越えた認証に必須である。eIDAS は、利用者の本人確認が必要な公共サービスのみを対象としているため、本人確認 のために取引で送信される唯一のデータである最小データセットを通じて、設計および既定に よるデータ保護が積極的に組み込まれており、この最小データセットはすべての取引で必 要である。この最小限のデータセットの問題は、それが硬直的で、特定の取引やサービスに対して必ずしも十分でないことである。特定の民間サービスを利用するため、あるいは特定のセクターの規制要件への準拠を促進するために必要な追加データを、ユーザーが追加する可能性はない。従って、通知された eID を利用できるケースは、実際には限られている。また、ユーザが送信するデータを、特定のサービスの認証に必要な最小限のものに制限する可能性もない。特定のサービスへのアクセスには、より少ないデータしか必要としない(例えば、酒類を購入するためには年齢を証明する必要があるだけである)。現在のeIDASシステムの実装では、ユーザーはGDPRの原則である「データの最小化」と「デフォルトでのプライバシー」を積極的に実施することができず、どのデータを送信するかを制御することはできない。

トラストサービスの面では、eIDASのフレームワークが、ソリューションのための欧州市場の確立に、より成功している。多くの利害関係者が、ある種の処分の調和の欠如に関して懸念を表明している。このような状況は、不公正な慣行やチェリーピック戦略につながり、最終的にはステークホルダーがeIDASフレームワークのセキュリティとインテグリティに寄せる全体的な信頼を損ねることになる。

また、多くの利害関係者が、各国の監督機関間の現在の協力関係を正式なものにすることを求めている。規則・第二章でのeIDASの枠組み作りとは対照的に、EUレベルではトラストサービスに関する各国間の議論やベストプラクティスの交換を行う公式の場が実際に存在しない。このため、一部の関係者から指摘されている細分化の問題がさらに強まり、トラストサービスに関する規制の枠組みの適応を必要とするような技術開発・動向のフォローアップを綿密に行う可能性が損なわれている。規制を伴わないガイダンス、規則で予見される実施法の採択、小規模な規制介入は、これらの分断とガバナンスの問題を解決するのに役立つと思われる。

関連性という点では、遠隔地での本人確認や検証をサポートする必要があるため、新たなトラストサービスの導入が必要となります。電子署名の保存、紙文書の電子化、IoTデバイスのIDなど、追加のトラストサービスが検討される可能性があります。


となっており、あとは、上記の個々の分析が、そのまま、まとめられています。

また、このSWDの内容の概略について委員会から、議会および理事会への報告(COM (2021)290 final)がなされています(内容は、SWDの概略であることもあり、省略します)。

なお、2021年6月3日に公表された文書としては、上記のSWDと、改正提案のほか、それらに対するインパクトアセスメント(パート1パート2パート3付属文書)、Q&A共通ツールボックスの委員会推奨があります。また、インパクトアセスメントを理解するためのドキュメントとしては、「eIDAS規則の評価研究(Evaluation study of the Regulation no.910/2014 (eIDAS Regulation))」があります。

「910/2014規則(eIDAS規則)の評価」(Evaluation study of the Regulation no.910/2014 (eIDAS Regulation))

この報告書は、2021年6月9日に公表されたものであって、VVA、Deloitte、Spark Legal Networkなどに所属する著者の欧州委員会に対するものである。本調査は、欧州委員会による「域内市場における電子取引のための電子的本人確認および信託サービスに関する規則(EU)N°910/2014」(eIDAS規則)の評価実施を支援するものです。

本調査は、Better Regulation Guidelinesに従い、eIDAS規則をその有効性、効率性、関連性、他のEUおよび国の介入との一貫性、EUの付加価値の観点から評価し、規則の適用で得られた経験、ならびに技術、市場、法律の発展に照らして、規則の範囲や特定の条項を修正する必要性を分析してます。

本調査では、eIDAS規制の現状と実施状況について概観しています。証拠収集は、机上調査、公開協議、EU加盟国とのワークショップ、すべての関連するステークホルダーグループとのインタビューや調査を通じて行われています。収集した証拠に基づき、本調査は結論を導き出し、その有効性、効率性、関連性、一貫性、EUの付加価値の向上につながるeIDAS規制の枠組みの変更に関する提言を提供しています。

この報告書の構成は、全体のまとめ(Executive Summary)のあと、

  1. 背景
  2. ベースラインと比較のポイント
  3. eIDAS規則のステートオブプレイと実装
  4. 方法論
  5. 諮問の行動
  6. 分析と評価質問への回答
  7. 結論および推奨事項

となっています。

この構成をみても、上記で紹介した「評価-委員会スタッフワーキングドキュメント 欧州議会および理事会への報告」(『Staff Working Document – SWD(2021)130』)を証拠によって支えているといえ、その内容についても、重複しているために分析としては、省略します。

 

 

関連記事

  1. 脅威インテリジェンスサービスの利用とコンプライアンス(1)
  2. 公表前の脆弱性の報道を考える
  3. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  4. GCSCスタビリティ報告書 分析9
  5. 経済安全保障の体系と経済安全保障一括法の内容(オムニバス)?
  6. 安全保障関連物資不正輸出事件の分析-ココム違反からキャッチオール…
  7. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  8. GCSCスタビリティ報告書 分析8
PAGE TOP