コラム

EUにおける電子署名で重要となる「トラステッドリスト」

前回のブログ(2019年5月7日付「EUのeIDAS規則から見えてくる電子契約のあり方」)にて、eIDAS規則で法的効力が認められているトラストサービス、及びそれらを提供する適格トラストサービスプロバイダ(QTSP)について説明しました。今回は、QTSPを掲載しているトラステッドリスト(TL)について解説します。

トラステッドリストとトラストサービス

トラステッドリスト(TL)は、eIDAS規則に以下のように規定されており、各EU加盟国は適格トラストサービスプロバイダ(QTSP)に関する情報をTLに掲載し、公開する義務を負っています。

eIDAS規則 3章 第22条
各EU加盟国は、自らが責任を負う適格トラストサービスプロバイダ(QTSP)に関する情報と、それらが提供する適格トラストサービスに関連する情報を含むトラステッドリストを作成、維持及び公開する義務を負う。リストは、電子署名、またはeシールを利用し自動化されたプロセスに適した形式の安全な手段で公開される。

各EU加盟国のトラストサービスプロバイダ(TSP)とそのTSPが提供するトラストサービスは、トラステッドリストに適格(Qualified)であることが掲載されている場合のみ認められます。さらに、eIDAS規則では、電子署名が適格である場合のみ、EU加盟国内で自動的に手書き署名と同等の法的効力を持つと定められています。つまり、トラストサービスのユーザは、利用するトラストサービスが適格トラストサービス(QTS)としてトラステッドリスト(TL)に記載されている場合にのみ、そのQTSの法的効力の恩恵を受けることができます。

なお、各EU加盟国は、eIDAS規則に準拠していない(適格でない)ことを明示することで、適格でないトラストサービスをTLに掲載することも可能です。欧州委員会(EC)は、各加盟国のTLへ簡易にアクセスできるように、List of Trusted Lists(LOTL)と呼ばれる各加盟国のTLへのリンクをリスト化したものを公開しています(図1参照)。 LOTLは、このサイトでPDFと自動(機械)処理に適したXML形式で利用できます。

図1.トラステッドリストブラウザ
図1.トラステッドリストブラウザ
出典:https://webgate.ec.europa.eu/tl-browser/#/

また、このサイトでは、現在活動している正確なQTSPの数も示されています。2020年5月13日現在、EU29カ国で183のQTSPが活動しています。(図2参照)

図2.活動中のQTSPの数
図2.活動中のQTSPの数
出典:https://webgate.ec.europa.eu/tl-browser/#/dashboard

適格トラストサービスプロバイダ(QTSP)とは?

適格トラストサービスを提供するサービスプロバイダをQTSPと言います。QTSPになるには、eIDAS規則で定められた各加盟国の適合性評価機関の審査を受け、「適格」のステータスを取得する必要があります。
図3は、TSP審査スキームであり、適合性評価機関の審査を受けたTSPが監督機関によってトラステッドリストに登録されることを示しています。

図3. TSP審査スキーム
図3. TSP審査スキーム
出典:European standardisation framework for trust services, 2019 ETSI workshopより

図4のEUトラストマークは、QTSPとそのQTSPが提供するトラストサービスがeIDAS規則で定められた要件に準拠しており、「適格」であることを示すために用いられます。

 
図4.EUトラストマーク
図4.EUトラストマーク
出典:COMMISSION IMPLEMENTING REGULATION (EU) 2015/806 of 22 May 2015, laying down specifications relating to the form of the EU trust mark for qualified trust services

いずれかの加盟国で認められたQTSPが提供するQTSは、他の加盟国でも同じ法的効力が認められます。また、トラステッドリスト(TL)にはQTSPが提供しているサービスの情報、そのステータス及びステータスの履歴情報を含んでいます。履歴情報によって、そのサービスの以前のステータスも確認することができます。

トラステッドリストの用途

トラステッドリスト(TL)は各加盟国のTL発行者によって署名されており、そのTLのリンクをリスト化したList of Trusted Lists(LOTL)は欧州委員会(EC)によって署名され、公開されているため、掲載されている情報の信頼性が担保されています。ユーザは、自身が利用するQTSをLOTL及びTLで検証することで、そのQTSの信頼性を確保し、これによりEU加盟国間におけるQTSの相互運用性が促進されます。

また、LOTLおよびTLがXML形式で利用できることにより、ルート証明書までの認証パスの検証を自動化することができるようになっています。

Adobe社は、TLをサポートしているベンダーの1つです。ユーザは、TLに掲載されているQTSPから電子証明書を取得することで、Adobe社のアプリケーションであるAdobe Acrobat Reader DC、Adobe Acrobat DC、又はAdobe Signで文書に適格署名することが可能です。

日本への影響

EUのトラステッドリスト(TL)は、電子商取引を促進するために構築され、ユーザがトラストサービスを選択する際の判断基準となっており、また、第三者がサービスの信頼性を将来にわたって確認できることを可能にしています。日本においても、総務省にてトラストサービス検討ワーキンググループが設置され、トラストサービスの在り方について検討が行われてきました。2020年2月7日に、その結果を踏まえた最終報告書が取りまとめられています。
プラットフォームサービスに関する研究会における最終報告書(案)に対する意見募集の結果及び最終報告書の公表

この記事を書きました

JIPDEC

濱口 総志
所属:株式会社コスモス・コーポレイション ITセキュリティ部 責任者
一般財団法人日本情報経済社会推進協会(JIPDEC)客員研究員

ご相談・お見積もり

電子署名ソリューション・製品・提携パートナーに関するご質問や、導入に関するご相談・お見積もりにつきましては、下記フォームにてお気軽にお問い合わせください。

03-6370-6500
(平日10時〜18時)
お問い合わせフォームはこちら

ページのトップへ戻る