ビジネス利用には電子署名基盤の多様性が必要
続いてイマーディオの満塩氏は、GPKI(公的PKI)も取得しているWebTrustを取り上げ、これを使った認証と電子署名の違いを示し、多様な認証方法や時代にあった仕組みについて意見を述べた。WebTrustは米国の公認会計士協会とカナダの特許会計士協会が共同で開発、運用しているシステムで、WebTrustを取得した企業や組織のサイトでWebTrustのロゴマークをクリックすると、監査法人による監査結果の文章がそのまま表示されるというものだ。
WebTrustは、現在の電子署名法と整合しない部分もあるが、認証局向けのWebTrust for CAは、Windowsにおけるルート証明書の条件にもなっている。テクノロジーによる証明よりも、より実際の設備や業務を重視した監査を組み入れることで、信頼性が高いとされている。監査コストの問題もあるが、現在のビジネスにそぐわない面もある電子署名基盤にも、多様なトラストパスを構築すべきだとして、企業の規模や証明の目的に応じたレベルごとの認証方法も必要だろうという意見を述べた。
目的ごとの柔軟なセキュリティレベル設定で
IT利用の促進を目指す
内閣官房情報セキュリティセンターの中西氏は、1999年に始まった住基ネット、その反動とも言える2003年の個人情報保護法など、これまでの政策が、利用者よりも為政者やサービス提供者がどのように情報を利用するかに重点が置かれていたかもしれないと反省点を振り返った。どちらも安全方向に規制や利用を制限しているが、その結果、システムが使いにくいもの、分かりにくいものになっているとした。
また、いくつかのアンケート結果を示しながら、日本は米国や中国などに比べてインターネットでの被害を経験する比率が低いのだが、インターネットに対して危険だと思っている層が多い現状を指摘した。このような日本特有の事情もあるため、安全に対して無謬性を追求するのはやむを得ない面はあるとしながらも、今後は「事故前提社会」としての考え方も重要ではないかとした。これは、セキュリティリスクは0にできないものとして、レベル分けして対応するという考え方だ。そのためにセキュリティのものさしを確立していく必要があるとの認識だ。
すべてにおいて均一な安全を要求するのではなく、目的に応じたセキュリティレベルを考え、e-Japan、u-Japan、i-Japanで目指しているITの利活用を国民サービスという視点で進めたいとした。i-Japan構想では、国民IDや電子私書箱の導入を提案しており、このような個人ID基盤を構築するにあたり、画一的な管理指標だけでなく情報の種類や用途によって多様な管理レベルの確立(セキュリティのものさし)と、そのコンセンサスをとっていきたいということだろう。
レベル分けの事例として、アマチュア無線の免許について、電子署名による個人の証明書が必要な、電子申請の利用実績が0.2~0.4%程度だったものが、一般的なIDとパスワードによる申請にも対応するようにしたところ、その利用実績が一気に15%前後まで増えたことを紹介した。この例のように、国民の意識や合意に一致したレベルで運用すれば、電子証明などの活用が進むのではないかと述べた。
最後にモデレータの松本氏は、個人レベルの電子認証のインフラにはバックエンドにID管理技術は必要となるが、技術的視点で「いかに実現するか」(How)に固執するのではなく、「何に使うのか」(What)、「誰が使うのか」(Who)を中心に考えることの重要性を説いて、パネルディスカッションを終了した。