デジタル庁 電子署名法認定基準のモダナイズ検討会報告書 (2025.03.21)

こんにちは、丸山満彦です。

デジタル庁で開催されていた電子署名法認定基準のモダナイズ検討会から、報告書が公表されていますね...

電子署名法に基づく特定認証業務の認定の基準が法施行（2000年成立、2001年施行）当初から改訂がされていないが、この間の変化を踏まえての改訂の検討ということですかね...

論点は次の６つ...

1. 情報セキュリティに関するリスクマネジメントの国際基準に照らし合わせた規定
2. 認証局の秘密鍵を管理する暗号装置の技術基準の更新
3. 国際的な基準を満たしつつクラウドサービスへの拡張等が可能となるようなセキュリティ基準の検討
4. 認証設備室の外からの遠隔操作やパブリッククラウドサービスの利用の規定
5. 利用者の真偽の確認における自動化の規定
6. 公的個人認証法に基づいて署名検証者の認定を受ける特定認証業務を行う者の基準との差異の解消
   

 

委員...

漆嶌 賢二    GMO グローバルサイン株式会社事業企画部 フェロー
小田嶋 昭浩    電子認証局会議 理事
松本 泰    特定非営利活動法人日本ネットワークセキュリティ協会 フェロー
満塩 尚史    順天堂大学健康データサイエンス学部 准教授
宮内 宏    宮内・水町 IT 法律事務所 弁護士

 

検討結果...

１． 情報セキュリティに関するリスクマネジメントの国際基準に照らし合わせた規定

• 情報セキュリティに係るリスクの評価と対応について、認定基準として新たに求めるべき（この際、非常時を念頭に置いた責任や権限の明確化等が改めて図られることは、円滑なリスクへの対応を行う観点で推奨される）

２． 認証局の秘密鍵を管理する暗号装置の技術基準の更新

• 令和 10 年（2028 年）中を目途に FIPS140-3 のレベル３と同等以上の機器への移行を求めることが基本的な考え方
• その上で、現時点では FIPS140-3 の基準に準拠した製品が限られていることも踏まえ、足下では FIPS140-2 のレベル３と同等以上とすることを認定基準として求めるべき

３． 国際的な基準を満たしつつクラウドサービスへの拡張等が可能となるようなセキュリティ基準の検討

• 当面は現行の基準とし、クラウド HSM の利活用拡大や HSM に特化した監査に関する基準等の動向に注視しつつ、必要に応じて改めて検討を行うべき

４． 認証設備室の外からの遠隔操作やパブリッククラウドサービスの利用の規定

• 認証局のリポジトリにおける公開情報の取り扱いについては、パブリッククラウドの利用が認められるべき
• その他については、利用に係る諸課題について前向きに検討

５． 利用者の真偽の確認における自動化の規定

• 引き続き自動化を認めるべく電子署名法関係法令等において改めて明確化すべき

６． 公的個人認証法に基づいて署名検証者の認定を受ける特定認証業務を行う者の基準との差異の解消

• 利用の申込みに際して本人確認のためにマイナンバーカード署名用電子証明書等による電子署名が付される場合は、利用者が電子証明書の利用申込みと同時に利用者署名検証符号を送付する方式を認めるべき

 

 

● デジタル庁

・電子署名法認定基準のモダナイズ検討会

・・[PDF] 令和6年度電子署名法認定基準のモダナイズ検討会報告書

 

 

• 電子署名法認定基準のモダナイズ検討会（第4回）（2025年1月17日開催）
• 電子署名法認定基準のモダナイズ検討会（第3回）（2024年11月26日開催）
• 電子署名法認定基準のモダナイズ検討会（第2回）（2024年11月1日開催）
• 電子署名法認定基準のモダナイズ検討会（第1回）（2024年9月20日開催）

 

通常考えられる論点に対する通常想定される回答...　なので、具体的に動く感じですかね...