UNCITRAL「アイデンティティ管理およびトラストサービスの利用とクロスボーダーの認証に関する規定ドラフト」の全訳

将来、マイナンバーの仕組みを欧州で、認めてもらう、ということは、法律の理屈の上でありうるか、という問題を考えてみたいと思っています。そもそも、認めてもらうというのは、どういうこと?ということがあるかという問題を考えていて、マイナンバーというのは、世界的にみてどうなるのかというのはさておいて、UNCITRAL(国際連合国際商取引法委員会)のワーキンググループⅣにおいて、「アイデンティティ管理およびトラストサービスの利用とクロスボーダーの認証に関する規定ドラフト」と、説明用覚書が公開されているので、勉強がてらよんでみたいと思います。

表紙は、こちら。

UNCITRAL(国際連合国際商取引法委員会)のワーキンググループⅣ のホームページは、こちらになります

現時点での最新のセッションは、62回セッションです。

「アイデンティティ管理とトラストサービスの利用と越境的承認の規定のドラフト」(Draft Provisions on the Use and Cross-border Recognition of Identity Management and Trust Services)はこちらです

この文書は、1 導入、2 論点(用語、ドラフト規定の改正、責任)と付属文書からなりたっています。付属文書を全部翻訳してみます。

アイデンティティ管理(IdM)及びトラスト・サービスの利用及び国境を越えた承認に関する規定案

第1章 総則

第1条. 定義

この[文書]の目的では,次のとおりとする。

(a) 「属性(Attribute)」とは、個人に関連する情報又はデータの項目をいう。

(b) 「データ・メッセージ」とは、電子、磁気、光学又は類似の手段により生成、送信、受信又は 保存される情報をいう。

(c) アイデンティティ管理サービスの文脈における「電子識別」(「認証(Authentication)」)は、個人と アイデンティティとの間の結合において 十分な保証を達成するために使用するプロセスを意味する。

(d) 「アイデンティティ」とは、特定の文脈において人を一意に識別することができる属性のセットをいう。

(e) 「ID クレデンシャル」とは、人が電子的識別のために提示することができるデータ又はその データが存在することができる物理的物体をいう。

(f) 「IdM サービス」とは、電子形式の人の身元証明又は電子的識別の管理からなるサービスをいう。

(h) 「IdM システム」とは、電子的な形式による個人の身元証明及び電子的な身元確認を管理 する一連の機能及び能力をいう。

(i) 「アイデンティティ証明(identity proofing)」とは、特定の文脈における個人の身元を定義し確認するために十分な属性を 収集し、検証し、妥当性を確認するプロセスをいう。

(j) 「利用者( Subscriber)」とは、IdM サービス又はトラストサービスの提供について IdM サービス提供者又はトラストサービス提供者と取り決める者をい う。

(k)「トラストサービス」とは、データメッセージの品質を保証する電子サービスをいい、電子署名、電子印鑑、電子タイムスタンプ、ウェブサイト認証、電子アーカイブ及びeデリバリーの作成及び管理方法を含む。

(l)「トラストサービスプロバイダ」とは、一つ以上のトラストサービスを提供する者をいう。

第2条 適用範囲

1. この文書は、商業活動及び貿易関連サービスにおける IdM 及びトラストサービスの利用及び国境を越えた認識に適用される。

2. 本書は、[準拠法又は当事者の合意により要求されない場合](a)行為者の識別、(b)特定の IdM サービスの利用、(c)特定のトラストサービスの利用を求めるものではない。

3.本書のいかなる内容も、法律で定義又は規定された手続に従って行為者が識別されること、又は トラストサービスを利用することの法的要件に影響を与えるものではない

4. この[文書]に規定されている以外には、この[文書]のいかなる内容も、データ保護及び プライバシーに適用されるあらゆる法律の IdM サービス又はトラストサービスへの適用に影響を与えない。

第3条 IdM 及びトラストサービスの自発的な利用

1. この文書は、何人も、本人の同意なしに IdM サービス又はトラストサービスを利用すること(又は 特定の IdM サービス若しくはトラストサービスを利用すること) を要求するものではない。

2. 第 1 項の目的においては、同意は、本人の行為から推論することができる。

第4条 解釈

1. この[文書]の解釈においては、その国際的な起源、及びその適用における統一性と国際貿易における誠実さの遵守を促進する必要性に留意しなければならない。

2. この[文書]が支配する事項に関する問題で、この[文書]に明示的に規定されていないものは、この[文書]が基礎とする一般原則に準拠して解決されるものとする。

第二章 アイデンティティ管理

第 5 条 IdM の法的承認

第2条第3項に従い、電子証明書は、以下の理由のみによって、法的効果、有効性、執行可能性又は証拠としての許容性を否定されないものとする。

(a) 身分証明及び電子証明の形式が電子的であること

(b) 第 11 条の規定により IdM システムの指定を受けていないこと。

第 6 条 IdM 事業者の義務

IdM 事業者は,(少なくとも),

(a)IdM システムの目的及び設計に応じ て,(少なくとも)次の要件に対応する運用規則,政策及び慣行を整備しなければならない。

(i)行為者の登録

a. 属性の登録および収集、

b. ID の証明および検証の実施

c. ID クレデンシャルの人へのバインドを含む、

(ii) 属性の更新

(iii) ID クレデンシャルの管理、以下を含む

a. クレデンシャルの発行、交付および活性化、

b. クレデンシャルの一時停止、取消および再活性化、

c. クレデンシャルの更新および交換を含む 、

(iv) 電子識別の管理、これは以下の手段によることを含む

a. 電子識別要素の管理および

b. 電子識別メカニズム

(b) 運営上の規則、方針及び慣行並びにこれらに関する表明に従って行動すること

(c) IdM システムのオンライン利用可能性及び正しい運用を確保すること

(d) 運営上の規則、方針及び慣行を加入者及び第三者が容易に利用できるようにすること

(e) 加入者が第8条に基づきセキュリティ侵害を IdM サービス・プロバイダに通知できる手段を提供及び公開して提供すること。

第7条 情報漏えい時の IdM サービス提供者の義務

1. 第7条 IdM サービス提供者は,管理する属性を含む IdM システムに重大な影響を及ぼすセ キュリティ侵害又は完全性の喪失が生じた場合,(法令に基づき)

(a) 適切な場合には,影響を受けるサービスの停止又は影響を受ける識別情報の取消し等, 違反又は損失を抑制するためにあらゆる合理的な措置を講じること

(b) 違反又は損失を是正し

(c) 違反又は損失について通知すること

2.IdM サービス提供者は、セキュリティ違反又は完全性の喪失を通知された場合、以下のことを 行わなければならない。

(a) 違反又は損失の可能性を調査し、(b) その他第 1 項に基づく適切な措置を講じる。

第 8 条 加入者の義務

加入者は、次の場合には、第6条の規定によりIdMサービス提供者が提供する手段を利用し、 又はその他の合理的な方法により、IdMサービス提供者に通知しなければならない。

(a) 加入者の身元証明書が侵害された(またはその可能性がある)ことを加入者が知っている場合、

または

(b)加入者の身元証明書が侵害された可能性があることを加入者が知る状況により、実質的な リスクが生じる場合。

第 9 条 IdMを利用している者の識別

第 2 条第 3 項に従い、法律が[特定の目的のために]人の識別を要求し、又は識別ができな い場合の結果を規定している場合、[その目的のために]人の電子的識別のための方法が使用 されれば、IdM サービスに関してその要件が満たされる。

第 10 条 IdM(サービス)(システム)の信頼性(reliable)要件

1. 第9条の目的のために、手法(method)は、

(a) IdM サービスが利用される目的に対して適切な程度の信頼性 (reliability)  があること

(b) 第 9 条に規定する機能を果たしていることが実際に証明されていること

でなければならない。

2. 手法の信頼性を決定する際には、すべての関連する状況を考慮するものとし、その状況には以下のものが含まれる場合がある。

(a) 第 6 条に掲げる義務に対する IdM サービス提供者の適合性

(b) IdM サービス提供者の運用規定、方針及び慣行が、IdM サービスの提供に関連する、適用可能な公認の国際規格及び手順(特に、IdM システムに対する信頼の程度を指定するための指針を提供する保証のレベル又は類似の枠組み)、に準拠していること。これは以下を含む。

(i)ガバナンス、

(ii)公示及び利用者情報、

(iii)情報セキュリティ管理、

(iv)記録管理、

(v)施設及び職員、

(vi)技術管理、及び

(vii)監督及び監査、

(c)IdM システムに関する監督又は認証、

(d) 識別の使用目的 及び

(e) 関係者の合意、例えば IdM サービスの使用目的又は取引額に対する制限を含む

3.手法の依拠性を判断する際には、以下を考慮しないものとする。

(a) 「IdM システムの運用」「IdM サービスの提供」の地理的位置

(b) 「IdM サービス提供者」の事業所の地理的位置

4 第11条の規定により指定されたIdMシステム(サービス)が用いる方法は、信頼できるものと推定される。

5 第 4 項は、何人も、以下の能力を制限するものではあない。

(a) その他の方法により手法の信頼性を立証すること

(b) 第 11 条の規定により指定された IdM システムの使用する方法の信頼性がないことを立証すること。

第11条 信頼性のあるIdMシステム(サービス)の指定

1.(制定国における権限を有する当局(組織、機関)は、私的又は公的なものであろうと、) は、信頼できると推定される IdM システム(サービス)を指定することができる

2. (官民を問わず、権限のあるものとして制定管区が指定する者、機関又は当局]は、以下のことを行う。

(a) IdM システム〔サービス〕の指定に当たり,第 10 条に掲げる要素を含むすべての関連する事情を考慮すること

(b) IdM サービス提供者の詳細を含む指定 IdM システム〔サービス〕のリストを公表し,又はその他の方法で公 表すること。

3 第一項の規定による指定は、保証のレベルの枠組みを含む指定手続の実施に関連する公認の国際的な基準及び手続と整合的でなければならない。

4 IdM システム[サービス]の指定に当たっては、以下の事項を考慮してはならない。

(a) IdM システムの運用(役務の提供)場所の地理的な位置

(b) IdM サービス提供者の事業所の地理的な位置

第12条 IdM サービス提供者の責任

1.第12条 IdM サービス事業者は,この文書に基づく義務を履行しないことにより生じた損 害について,責任を負う。

2. 第 1 項は、法律に基づく責任に関する規則に従って適用されるものとし、以下を損なうもので はない。

(a) 契約上の義務の不履行に対する責任を含む,法律に基づく責任のその他の根拠

(b) 【この文書】に基づく IdM サービスプロバイダがその義務を遵守しないことによる【この文書】に基づ くその他の法的影響。

3.1 項にかかわらず、IdM サービス提供者は、IdM システムの利用により生じた損失について、 以下の範囲内であれば契約者に対して責任を負わないものとする。

(a)当該利用が、IdM システムを利用することができる取引の目的又は価値の制限を超えるもの であり、

(b)当該制限が IdM サービス提供者と契約者との間で合意されていること、

及び

(c) 当該制限を法に基づき契約者に通知していること、のいずれかに該当する場合、IdM サービス提 供者は、IdM システムの利用によって生じた損失について、第 1 項にかかわらず、契約者に 対して責任を負わないものとする。

第三章 トラスト業務

第 13 条 トラストサービスの法的承認

トラストサービスの利用から生じる結果は、以下の理由のみによって法的効力、有効性、執行力または証拠としての許容性を否定されることはない。

(a) 電子的な形式であること

(b) トラストサービスが第23条の規定に従って指定されていないこと。

第14条 トラストサービス提供者の義務

1.トラストサービス提供者は、以下をしなければならない

(a) トラストサービスの目的および設計に適切な、活動終了時の継続性を確保するための計画を含む運用規則、方針および慣行を備えていること

(b) その運用規則、方針および慣行、ならびにそれらに関して行う表明に従って行動すること

(c) その運用規則、方針および慣行を加入者および第三者が容易に利用できるようにしていること

(d) 加入者が、第15条に基づきセキュリティ侵害についてトラストサービス提供者に通知可能な手段を備え、公にできるようにしていること。

2. トラストサービスに重大な影響を及ぼすセキュリティ違反または完全性の損失が発生した場合、トラストサービスプロバイダは、[法律に従って]

(a) 該当するサービスの停止または取り消しを含め、違反または損失を食い止めるためにあらゆる妥当な措置を講じること

(b) 違反または損失を修復すること (c) 違反または損失について [法律に従って] 通知すること。

第 15 条。加入者の義務

加入者は、以下の場合、

第 14 条第 1 項に基づき信託事業者が提供する手段を利用し、またはその他の合理的な手段を用いて、信託事業者に通知するものとします。

(a) 加入者がトラストサービスが侵害されたことを知った場合

(b) 加入者の知る状況から、トラストサービスが侵害された可能性が高いと判断された場合。

第 16 条 電子署名

法律が個人の署名を要求し、または署名がない場合の結果を規定している場合、

(a) 行為者を識別すること

(b) データ・メッセージに含まれる情報に関して本人の意図を示すこと。

手法が使用されれば、データメッセージに関して上記の要求が満たされる。

第17条 電子シール

法律が法人にシール(法人印)を押すことを要求し、またはシールがない場合の結果を規定する場合、その要求はデータメッセージに関して、

(a) データメッセージの出所について信頼できる保証を提供すること

(b) 裏書の追加及び通信、保管及び表示の通常の過程で生じる変更を除き、押印の時[及び日付]以降のデータメッセージのあらゆる変更を検出すること。

手法が使用されれば、データメッセージに関して上記の要求が満たされる。

第18条 電子タイムスタンプ

法律が文書、記録、情報又はデータに日時を関連付けることを要求し、又は日時がない場合の結果を規定する場合、

(a) タイムゾーンを参照することを含め、日時を示すこと

(b) 当該日時をデータメッセージに関連付けること。

手法が使用されれば、データメッセージに関して上記の要求が満たされる。

第19条 電子的アーカイブ

法律が文書、記録又は情報の保持を要求し、又は保持しない場合の結果を規定する場合、

(a) データ・メッセージに含まれる情報をその後の参照に使用できるようにアクセス可能にすること

(b) アーカイブの日時を示し、その日時をデータ・メッセージに関連付けること。

(c) データ・メッセージを、生成、送信又は受信された形式、又は、裏書の追加及び通信、保存及び表示の通常の過程で生じる変更を除き、当該日時以降のデータ・メッセージに対するあらゆる変更を検出できることが実証できる他の形式で保持すること

(d) データ・メッセージの発信地及び受信地並びに送信又は受信した日時を識別できるような情報がある場合は、これを保持すること。

手法が使用されれば、データメッセージに関して上記の要求が満たされる。

第20条 eデリバリー(Electronic registered delivery)サービス

法律が文書、記録又は情報を書留郵便又は同様のサービスによって配達することを要求し、又は配達されなかった場合の結果を規定している場合、

(a) データ・メッセージが配達のために受領された日時及び配達された日時を示すこと

(b) データ・メッセージが配達のために受領された日時から配達された日時の後に、本条が要求する裏書き又は情報の追加及び通常の通信、保管及び表示の過程で生じる変更を除いて、データ・メッセージに対する変更を検出すること

(c) 送信人及び受信人を識別すること。

手法が使用されれば、データメッセージに関して上記の要求が満たされる。

第21条 ウェブサイト認証

法律がウェブサイト認証を要求し、またはウェブサイト認証を行わない場合の結果を規定している場合、

(a) ウェブサイトのドメイン名を保有する個人を特定すること

(b) その個人とウェブサイトを関連付けること。

手法が使用されれば、上記の要求が満たされる。

第22条 トラストサービスの信頼性要件

1. 第16条から第21条までの目的のために、その方法は、次のとおりでなければならない。

(a) トラストサービスが利用される目的に適した信頼性の高いもの、または

(b) 同条に記載された機能を果たしたことが事実上証明されたもの。

2. その手法の信頼性を判断する際には、すべての関連する状況を考慮するものとし、これには以下が 含まれる。

(a) トラストサービスプロバイダの第 14 項に掲げる義務への適合性

(b) トラストサービスプロバイダの運用規則、方針及び慣行が、トラストサービスの提供に関連する適用可能な公認国際 基準及び手続に適合していること

(c) 適用可能な業界標準

(d) ハードウェア及びソフトウェアのセキュリティ

(e) 資産の存在を含む財務及び人的資源

 (f) 独立した機関による監査の定期性および程度

(g) 監督機関、認定機関または任意団体による方法の信頼性に関する宣言の存在

(h) トラストサービスが利用されている機能 および

(i) トラストサービスが利用され得る取引の目的または価値に関する制限を含む、当事者間の関連する合意。

3.手法の信頼性を判断するにあたっては、

(a) トラストサービスが提供される地理的な場所

(b) トラストサービス提供者の事業所の地理的な場所。

を考慮してはならない。

4 第23条の規定により指定されたトラストサービスが使用する方法は、信頼できるものと推定される。

5 第 4 項は、いかなる者の能力をも制限するものではありません。

(a) その他の方法で方法の信頼性を立証すること

(b) 第23条の規定により指定されたトラストサービスの使用する方法の非信頼性について証拠を提出すること。

第23条 信頼できるトラストサービスの指定

1. [公的または私的にかかわらず、法域が権限を有すると指定した個人、機関または当局]は、信頼できると推定されるトラストサービスを指定することができる。

2. [公的または私的なものであるかを問わず、管轄権を有するものとして法域によって指定された個人、機関、当局]は、以下を行うものとする。

(a) トラストサービスを指定する際に、第 22 条に列挙された要素を含むすべての関連状況を 考慮する

(b) トラストサービス提供者の詳細を含む指定トラストサービスのリストを公表する

3. 第1項の規定による指定は、指定手続の実施に関連する公認の国際基準及び手続と整合的でなければならない。

4 トラストサービスの指定に当たっては、

(a)トラストサービスを行う場所の地理的な位置、

(b)トラストサービスの提供者の事業所の地理的な位置

は問わない。

第24条 トラストサービス提供者の責任

1. トラストサービス提供者は、[この文書]に基づく義務を遵守しなかったために[いかなる人に対しても]生じた損失について責任を負うものとする。

2. 第1項は、法律に基づく責任に関する規則に従って適用されるが、以下については、そのかぎりではない。

(a) 契約上の義務の不履行に対する責任など,法律に基づく責任の他のあらゆる根拠,又は

(b) トラストサービスプロバイダが[本書]に基づく義務を遵守しなかったことによる[本書]に基づく他のあらゆる法的帰結。

3. 第 1 項にかかわらず、トラストサービスプロバイダは、以下の範囲において、トラストサービスの使用から生じる損失について加入者に責任を負わないものとします。

(a) その利用が、トラストサービスを利用することができる取引の目的または価値に関する制限を超えること、

[(b) それらの制限がトラストサービス提供者と加入者の間で合意されていること、

(c) トラストサービス提供者が、法律に従ってそれらの制限を加入者に通知していること、。

第四章 国際的側面

第 25 条 国境を越えた承認

1. [施行地区]外で運用される IdM システム、ID クレデンシャル発行、または IdM サービスもしくはトラストサービスは、[施行地区]で運用される IdM システム、ID クレデンシャル発行または IdM サービスもしくはトラストサービス と[実質的に][少なくとも]同等レベルの信頼性を提供する場合、[施行地区]において同じ法的効力を持つものとする。

2. IdM システム、IdM サービスもしくは ID クレデンシャル(適切な場合)または信託サー ビスが[実質的に][少なくとも]同等のレベルの信頼性を提供しているかどうかを判断する 際には、公認の国際基準を考慮するものとする。

[3. 3. 第 11 条及び第 23 条に従って[制定法管轄区域によって指定された人、機関又は当局]が本項の目的のために同等性を決定した場合、同等性が推定されるものとする]。

第26条 協力

[権限のあるものとして制定地の定める個人、機関又は当局は] [特に、IdM 及びトラストサービスに関する情報、経験及び優れた慣行を交換することにより、外国の団体と協力するものとする] [することができる]。

(a) 一方的又は相互の合意による外国の IdM システム及びトラストサービスの法的効果の承認

(b) IdM システム及びトラストサービスの指定

(c) IdM システムの保証のレベル及びトラストサービスの信頼性のレベルの定義 特に,次の事項に関して,外国の機関との間で,IdM 及びトラストに関連する情報及び経験 並びに優れた慣行を交換することにより,協力しなければならない。

 


 

説明用覚書

説明用覚書は、こちらです。 構成は、序、付属文書となっていて、付属文書は、序と逐条解説となっています。

付属文書の序は、さらに、A 文書の目的、B 目的、C 範囲、D 構造、E 背景、F 重要な概念および原則から成り立っています。

このなかで、興味深いところをピックアップします。

B. 目的

2 過去20年間、オンライン商業活動(企業間、企業と消費者、企業と政府間の電子取引)の価値は飛躍的に伸びている。世界の電子商取引は、1999年の640億ドルから2017年には29兆ドルに成長しました。この成長は、個人や企業におけるインターネットへのアクセスの増加と重なります。例えば、インターネットにアクセスできる世帯の割合は、2002年の35%から2017年には83.6%に増加した。それに伴い、電子政府(貿易関連サービスを含む)、電子銀行、電子決済の利用可能性も高まっている。

3. このような成長は、オンライン環境に対する信頼感の上に成り立っており、それを支える必要がある。オンライン上の信頼の重要な要素の一つは、特に事前の対面でのやりとりがない場合、信頼できる方法で各当事者を識別する能力である。長年にわたり、オンライン本人確認の必要性に対処するためのさまざまなソリューションが提案されてきました。その結果、自然人や法人のデジタル・アイデンティティの作成と管理に使用される、さまざまなシステム、方法、技術、デバイスが開発されるに至った。ID 管理(IdM)の法的課題に世界レベルで取り組むことは、これらの異なる解決策を橋渡し するだけでなく、民間または政府の運営に関係なく IDM システム間の相互運用性を促進する可能性 がある。

4. IdM やトラストサービスの普及には障害がある。法的な意味での障害としては、以下のようなものがある。(法的な障害としては、①IdM 及びトラストサービスに法的効力を与える法律の欠如、②技術的な要件 に基づく法律を含む、IdM に対する多様な法的アプローチ、③オンライン商取引において紙 の本人確認書類を要求する法律、④IdM 及びトラストサービスの国境を越えた法的承認の仕組みが ないこと、が挙げられる。

5.本制度の主な目的は、統一的な法的ルールの策定を通じて、これらの障害に対処することである。これらのルールは、効率性の向上、取引コストの削減、電子取引の安全性と法的確実性の向上による信頼の確立、そして調和されたソリューションによるデジタルデバイドの解消に貢献することを目的としています。

6. そうすることで、[ドラフト文書]は持続可能な開発目標の実施に貢献する。特に、ID の重要性は、持続可能な開発目標 16 の目標 9 で認められており、その中ですべての 人々に法的な ID を提供することを要求している。デジタル経済では、これはデジタル・アイデンティティの権利となる。IdMとトラストサービスのための法的枠組みは、デジタルIDの安全な運用を促進する。また、オンライン環境における信頼を促進することで、イノベーションの促進などを定めた「持続可能な開発目標9」に従い、持続可能な開発と社会的包摂に貢献することができる。

F 重要な概念および原則の5 国際的側面

38. IdM とトラスト・サービスの国境を越えた利用を法的に可能にすることは、【制度草案】が追求する主な目標の一つである。これは、技術的中立性と地理的起源に対する非差別の原則を適用することによって行われる。これらの原則は、[文書案]の第 10 条(3)、11 条(4)、22 条(3)及び 23 条(4) に反映されている。さらに、第 IV 章(第 25 条と第 26 条)は特に国境を越えた承認について扱っている。

39. [制度案]は、国境を越えた法的承認のための正式な制度的取り決めの設立を要求してい ない。しかし、そのような取決めの例は、地域レベル及び二国間レベルに存在する。制定国・地域は、専用協定の下を含め、国際的なパートナーとの制度的取決めを確立するた めのテンプレートとして[制度案]を使用することを望むかもしれない。

40. また、【制度案】は、自由貿易協定や専用のデジタル経済協定に含まれる相互法的承認規定の実施を支援することもできる。

逐条解説

D. 第4章 国際的側面(第25条、第26条)

1. 第25条 国境を越えた法的承認

181 第 25 条は、国内外の IdM システム、ID クレデンシャル、IdM サービス、トラストサービスに対し て同一の法的扱いを与えることに基づき、IdM およびトラストサービスの国境を越えた法的承認システ ムを確立するものである。これは、地理的起源に対する無差別の原則に基づくものである。

182. 25 条の一つの目的は、サービス・プロバイダが 23 条に基づき複数の法域で指定申請する必要性を低減することである。これは,外国の技術基準と同一でない可能性のある国内技術基準の使用に依存する法域において, 特に有用となる可能性がある。認証の相互承認が可能な場合,この規定の実施に重要な役割を果たす可能性がある。

183. 第 25 条の「信頼性の水準」は、IdM サービスの評価のための用語である保証の水準の概念 と、トラストサービスの評価のための用語である信頼性の水準の概念の両方を包含するものである。また、これらの概念は、第Ⅱ章及び第Ⅲ章に従って、サービスの信頼性を決定するため、又は信頼性のあるサービスを指定するために関連することがある。

184. この[文書案]は、グローバルに受け入れられる定義に合意することが困難であるため、 IdM システムの保証レベル及びトラストサービスの信頼レベルの共通集合を確立していない。さらに、特に契約上の合意に対する中央当局の役割に関して、これらの定義を設定す るための異なる法律や商慣習が、法域を越えて存在する。

185. 一方、IdM サービスの保証レベル及びトラストサービスの信頼性レベルの判定は、時間とリソー スを要する作業であり、全ての法域で十分なリソースが確保されているとは限らない。そのような国・地域にとっては、外国の判定・指定に依拠することで、外国の IdM 及びトラストサービスを認識することが可能となることが特に有益である。

186.  「IdM システム、IdM サービス、または ID クレデンシャルのうち適切なもの」への言及 は、国境を越えた承認に関連するすべての可能な側面を捉えることを意図している。実際には、ある IdM システムでサポートされるすべての IdM サービスが等しく信頼できるものであるにも かかわらず、1 つ以上の信頼性レベルが低くなることを避けるために、各 IdM サービスに焦点を当てることが望ましい場合がある。また、ID クレデンシャルの認識は、発行に使用した IdM サービスが危殆化したにもかかわら ず変更されていない IdM クレデンシャルを回避する必要がある。

187. 外国の IdM およびトラスト・サービスを承認する場合、サービス・プロバイダはそのサービス条件を調整する必要がある場合がある。例えば、承認された法域の強行法規が、サービスプロバイダの責任制限に影響する場合 がある。

188. 第1項では、要求される信頼性の同等性について、2つの選択肢を示した。1 つは、少なくとも同じレベルの信頼性を求めるものであり、もう 1 つは、実質的に同等の信頼性を提供するものである。「少なくとも同等の信頼性」とは、要求される信頼性よりも高い信頼性を含むものである。

189. 実質的に同等の信頼性 “の概念は、異なる法域で定義された信頼性のレベルが完全に一致しない場合 を捕捉することを目的としている。また、この概念は、厳しい技術要件への準拠を要求することにより、貿易に支障をきたす可能性が あるという懸念に対応するものである。

190. システム、サービス又はクレデンシャルが実質的に同等の信頼性レベルを提供する場合、第 10 条 及び第 22 条の状況を適用して決定されるそれらの信頼性も同様に同等となる。実質的に同等の信頼性」とは、要求される信頼性よりも高い信頼性のレベルを含む。実質的に同等の信頼性」の概念は、MLES 第 12 条第 2 項から引用されています。

191. 191 パラグラフ 3 は、指定当局が外国の IdM およびトラストサービスを指定する方法をさらに 明確にするものである。これは、11 条 4 項および 23 条 4 項に規定された、指定プロセスにおける非地域的差別のメカニズムを拡張し、制定 国の指定当局が外国の指定当局によって行われた IdM およびトラストサービスの指定に依拠する可能性を 導入するものである。

192. 施行規則の採択に際し、制定国は、第 3 項を自動承認(例えば、外国当局によって指定 された IDM 及びトラストサービスは、自動的に制定国の指定としての法的地位を有する)、 又は推定(例えば、外国当局によって指定された IDM 及びトラストサービスは、制定国の信頼 性があると推定されるが、指定当局による追加措置なしに当該国の指定として法的地位を有 しない)のいずれの形で運用するかを決定することができる。193. 第 25 条(3)に基づくメカニズムは、監督機関間のアドホックな相互承認協定の締結に基づ く取り決めに取って代わる可能性がある。

 

関連記事

  1. ハッカーとしての政府(破壊・活動・乗取り)-オーストラリア「監視…
  2. アメリカ・インディアナ州最高裁判決-ランサムウエアへの支払いと保…
  3. 規範対国際法-英国のサイバースペースにおける国家の行為についての…
  4. 「中国 意見募集 データ域外移転のセキュリティ評価に関する弁法」…
  5. Cycon 2019 travel memo day2 (1)
  6. デジタル・ジュネーブ条約
  7. BEC v. SCAM
  8. GCSCスタビリティ報告書 分析3
PAGE TOP