1999年12月17日 警察庁生活安全局生活安全企画課 御中
電子認証局市民ネットワーク福岡 「電子認証制度のセキュリティ確保方策についての基本的考え方」に対するコメント 「電子認証局市民ネットワーク福岡」は、個人のプライバシー保護や情報の信頼性の確保などを含めて誰もが利用できる電子認証の基盤を市民の手によって運営し、インターネットを安全で信頼できる社会活動の基盤として市民が利用できるようにすることを目的とした非営利団体です。 今回、警察庁が「電子認証制度のセキュリティ確保方策についての基本的考え方」を検討され、インターネット上でコメントを募集されたことに敬意を表します。これを受け、電子認証局市民ネットワーク福岡は、インターネットを安全で信頼できる社会活動の基盤として市民が利用できるようにするための法制のあり方の観点から本案を検討し、以下のようにまとめましたので、提出いたします。 当団体の検討会には以下のメンバーが参加しました。
|
||||||||||
| 1.条「公開鍵登録時の確実な本人確認の実施」について 本条の主旨には賛同いたしますが、この提案の中には対象となる認証機関に関する明確な定義が無いため、あらゆる認証機関がこの法規制の対象となると解釈できます。 しかし、認証機関における本人確認の厳密さのレベルには様々なものがあり、コストや利用対象を勘案して方法を選択するのが普通です。あらゆる認証機関に対して「名義人本人であることを確実な方法で確認し、本人確認の方法等についても定める」という水準の厳密な本人確認の義務を課することは、電子認証サービスの利用コストを上昇させ電子認証の健全な普及と発展を阻害するものとなります。そしてその結果として日本国内における電子認証の普及が遅れることになればなりすまし等のネットワーク犯罪防止の意義も乏しいものになると考えます。 したがって、本条による登録時に厳密な本人確認を必要とする認証機関に一定の範囲を設け、多様な本人確認基準を持つ認証機関の存在を認めるようにすべきであると考えます。 |
||||||||||
|
第2条「認証機関の秘密鍵の厳格な管理」について 本条に「自らが発行する電子証明書の作成に用いる秘密鍵の漏出、破損等を防止するために、当該秘密鍵を厳格に管理することを求める法制の整備を図る。」とありますが、これも、1条に対するコメントと同様に認証機関の範囲の定義が必要だと考えます。認証機関がその秘密鍵をどのような水準のセキュリティレベルで管理するかということは、そのサービス内容やリスクとコストとの関係によって決まるものだからです。 また、「もしデジタル署名に用いた秘密鍵の管理が厳格に行われない場合、秘密鍵を盗取して認証機関のデジタル署名を偽造した上で電子証明書を偽造することにより、他人になりすまして詐欺等の犯罪が行われることが懸念される。」とされていますが、印鑑や署名の偽造およびそれによるなりすましは、現行の紙の文書においても起こりうるものです。現行の紙の文書の印鑑や署名に厳格な管理が法的に義務づけられていないにもかかわらず、電子的な文書に関してのみこのような法規制を行うことの意義は乏しいのではないでしょうか。したがって、本条に基づく法規制は不要ではないかと考えます。 |
||||||||||
|
第5条「電子認証制度悪用行為の可罰化」について 本条において、「認証機関の在り方を規定するだけでは、電子認証制度を悪用する行為は防止できない。前記のような電子認証制度を悪用する行為に対して刑罰を科す規定が必要であると考える。」とありますが、電子認証はまだ普及段階の技術であり、悪用行為が社会問題化しているわけではありません。このような現状の元で罰則規定を先行的に制定する意義は乏しいのではないでしょうか。したがって、本条に基づく可罰化は現時点では不要ではないかと考えます。 |