紫色の六角形のパターン
リソース

eIDAS規則とは何ですか?

Electronic Identification, Authentication, and Trust Services (eIDAS)規則は、欧州連合(EU)において最も影響力のある包括的な法律の一つです。 eIDASの下では、EU市民であれば誰でも、その国の電子身分証明制度を利用し、EUのどの国でも複雑な手続きなしに電子署名を作成することができます。

しかし、eIDASとは一体何なのでしょうか? その仕組みとは?そして、最も重要なことは、それを管理するためにあなたの組織は何ができるかということです。

eIDASの基本、その内容、そして認証された安全なソリューションでコンプライアンスを将来的に確保する方法について、ご確認ください。

eIDASとは

eIDASは、EUのどの国で発生しても、電子取引がより安全、迅速、効率的に行われるようにするための法的枠組みを確立したEU規制です。 eIDAS規制の目的は、安全な電子商取引のための単一の欧州市場の創設を奨励することです。

コンテキスト上、eIDASは電子取引に関する最初のEU規則ではありません。 1999年に制定された電子署名指令は、それとは目的が大きく異なり、すべての加盟国において電子署名が手書き署名と法的に同等であることを正式に宣言するものでした。

しかし、この指令は、EU各国に対し、電子商取引のセキュリティに関する独自のルールを決定する自由も与えました。 それぞれ独自の法的要件、データ取り扱い方針、トラストサービスインフラを持っていましたが、ほとんどは国境を越えては機能していませんでした。

例えば、ある国で署名された電子文書が、別の国で同じ法的効果を持つとは限りませんでした。 このような問題により、地域全体がバラバラになり、電子身分証明書の合法性と有効性について混乱が生じました。 さらに悪いことに、国境を越えた商取引は困難を極めました。

EUは2014年にeIDASを制定し、この問題を解決することを決定しました。 この法律は2016年に完全に法的効力を持ち、その時点ですべてのEU加盟国が電子ID、認証、署名に関する一貫した基準の対象となりました。

結局のところ、eIDASのフレームワークとは:

  1. 国民および企業が、独自の国民電子IDスキームを使用してオンラインで公共サービスにアクセスできるようにします。
  2. すべてのIDスキームが国境を越えて機能し、従来の手書きの署名と同じ法的地位を有することを保証することにより、信託サービスの単一欧州市場を創設します。

eIDAS規制の影響を受けるのは誰ですか?

大まかに言えば、eIDASの影響とは:

  • EU加盟国の市民。
  • EU域内に本部を置く組織、またはEU域内の組織や市民と取引を行う組織。
  • EUのトラストサービスプロバイダー(TSP)は、特にデジタルID認証が重要な商取引や法 的問題に関する、公共ネットワークを介したEUの取引を保護しています。 TSPには、電子ID、電子署名、電子押印、または電子証明書の作成、検証、および保存に関与する すべてのエンティティが含まれます。

以下は、eIDASの対象となるデジタル取引の非網羅的リストです:

  • 旅行関連の取引。
  • 企業間の電子請求書発行。
  • 投票用紙や納税申告などの行政サービス。
  • 銀行契約、投資、ローン。
  • ウェブサイトの認証。
  • 第三者決済サービス。

eIDAS規制では、政府、商業、および公共のサービスが標準の署名形式と汎ヨーロッパIDを認識する必要があります。 言い換えれば、国民の電子IDは、どのEU加盟国でも同じように認識されなければなりません。 特筆すべきは、コンプライアンスの責任は、消費者自身ではなく、TSPにあるということです。

eIDASの利点は何ですか?

電子身分証明書と信託サービスの導入には、多くの利点があります。 欧州委員会によると、利点には次が含まれます:

  1. より良いユーザーエクスペリエンス:eIDASが可能にする認証サービスの種類は、消費者へのスムーズな商品提供を保証します。 さらに重要なことは、取引プロセスにおいて顧客に高いレベルの保証を提供することで、信頼と満足度を高めることです。
  2. セキュリティの強化:eIDASは、個人の情報を損なうことなく、様々なオンラインサービスを便利に利用することを可能にします。企業はより厳格なデータ保護要件に従わなければならず、消費者の個人データを細心の注意を払い、法的義務を遵守して取り扱わなければなりません。
  3. 国境を越えた効率化の合理化 : eIDASを利用すれば、国際的な電子商取引で一般的な悩みの種であった、場所によって異なる複雑で多様なスキームをナビゲートする必要はなくなります。 現在、企業はEU加盟国のどこにいても取引を行うことができます。

もちろん、eIDASは社会経済的にも好影響をもたらしています。 この規制は、オンラインサービスを複雑にしている電子商取引の障壁を取り除くことで、デジタル経済の成長を促進するものです。

電子IDとは何ですか?

電子IDまたは「eID」は、誰かのデジタルIDを検証する電子的手段です。 欧州委員会によれば、安全な電子IDはデジタル社会での日常生活に不可欠です。

電子メールのチェック、オンラインショッピング、デバイスのロック解除、その他多くの通常のアクティビティに使用できます。 電子身分証明書はまた、個人の明確な識別を保証し、実際にサービスを受ける権利がある人に適切なサービスが提供されることを保証します。 また、eIDはオンラインバンキングやその他の機密性の高いデジタル取引に不可欠なものです。

eIDAS保証レベル

「保証レベル」という用語は、サービスプロバイダーが個人の主張する身元が正確であると確信できる程度を指します。 言い換えれば、eIDを使ってオンラインサービスにアクセスする際に、その人が本人であるという信頼度のことです。

eIDASでは、eIDスキームは3つの保証レベルに従って分類されなければなりません:

  1. : eIDスキームは、パスワードのような単純な認証を使用し、登録プロセス中の本人確認はほとんど行いません。
  2. 実質的 : このスキームでは、登録プロセスで特別なチェックを加えた二要素認証を使用します。
  3. 高い: 最高レベルの保証では、包括的な本人確認を伴う高度な多要素認証メカニズムを使用します。

この3つのレベルはすべて、本質的には電子IDを検証するプロセスである認証に大きく依存しています。 これには、関連するIDデータの収集が含まれます。IDデータとは、個人または団体に関する情報であり、本人しか共有できないものです。 一般に、認証方法は 3 つの身元証明要素を使用します:

  1. ナレッジベース認証: 署名者は、パスワードやコードなど、本人しか知らないものを提供します。
  2. ポゼッションベース認証 : 署名者は、身分証明書やスマートカードなど、本人しか持っていないものを提供します。
  3. バイオメトリクスに基づく認証 : 署名者は、指紋や顔認識などの身体的特徴によって確認されます。

注目すべきは、eIDAS規制は、各保証レベルを満たすためにどの技術や認証方法が必要かを明記していないことです。 そのため、EU諸国は独自のeIDシステムを開発しています。 eIDASの原則に基づいてはいますが、各州は独自の技術的状況を反映した形で自由にシステムを設計することができます。

2022年の調査により、EU加盟国がどのように制度を構築しているかが明らかになりました。その結果によれば:

  • 25カ国のeIDスキームが高い保証を支えています。
  • 20は実質的な保証をサポートしています。
  • 12は低いレベルをサポートしています。

ご覧のように、EUはより高い保証を求める傾向にあり、安全な電子身分証明書の重要性を強調しています。

eIDASのトラストサービスとは?

トラストサービスとは、電子取引を保護するための幅広い認証および署名活動を指します。 最も一般的なトラストサービスをいくつか挙げます:

  • 証明書: 誰かの身元を確認する方法の1つは、サードパーティの機関がデジタル証明書を発行することです。 要するに、証明書とは、公開鍵暗号方式によって、デバイス、サーバ、ユーザ、またはエンティティの信頼性を証明するファイルです。 この証明書は、証明書所有者の公開鍵のコピーを含んでおり、それが本物であることを確認するために、対応する秘密鍵と照合されなければなりません。
  • 電子タイムスタンプ : タイムスタンプとは、日付と時刻を文書やその署名、その他の情報に電子的かつ暗号的に結びつけることで、ある時刻にその文書が存在したことを証明するプロセスです。 日付と時刻の正確性はトラストサービスプロバイダーによって保証されており、第三者によって損なわれることはありません。 これは様々な理由で法的に重要な意味を持ちますが、特に契約上の合意に争いがある場合に役立ちます。
  • 電子署名と押印電子署名は、手書きのものと同様、法的文書の真正性を証明し、その条項によって拘束される意思を立証する方法です。 対照的に、電子押印は一個人ではなく組織全体を表します。
  • デジタル署名デジタル署名は、電子証明書と秘密署名鍵を使用して作成される電子署名の一種です。 デジタル署名には改ざん防止機能があるため、署名後に文書が改ざんされていないことが保証されます。

上記のいずれかを促進する組織は、トラストサービスプロバイダーとみなされるため、eIDAS準拠の対象となります。

eIDAS下での電子署名の種類

eIDASは、サービスプロバイダーが提供できる電子署名の3つのタイプを定義しています:

1. 基本電子署名

欧州委員会は、基本電子署名を3つのうち最も基本的なものと考えています。 それは、「他の電子形式のデータに添付または論理的に関連付けられた電子形式のデータで、署名者が署名のために使用するもの」と定義されています。 要するに、電子文書に名前を書き込むような簡単なことでも、基本電子署名に当たる場合があります。

2. 高度電子署名

高度電子署名には、より正確な要件があります。 例えば、以下に当てはまる必要があります:

 

  • 署名者と一意にリンクされ、署名者を識別することができる
  • 署名者がコントロールし続けられる方法で作成されている
  • 文書にリンクされおり、その後の変更が検出できるようになっている

通常、高度電子署名はデジタル証明書と暗号鍵を使用して作成されます。つまり、デジタル署名ともみなされる場合があります。 ただし、バイオメトリクス、アクセスコード、その他の電子的手段を用いることもあります。

 

3. 適格電子署名

この3つの中で最も洗練された電子署名は、最高レベルの保証を提供します。 ただし、考慮すべき追加要件が2つあります:

  1. 適格電子署名は、適格署名作成装置(QSCD)を使用してのみ作成できます。 QSCDは、eIDAS認証プロセスを経た、ハードウェアセキュリティモジュール(HSM)などの暗号化ハードウェアの一種です。
  2. 適格署名は、適格な証明書にも基づいている必要があります。 eIDASでは、有資格証明書は一般的な電子証明書よりも厳しい要件に沿っています。 さらにそれは、Entrustのような適格な信託サービスプロバイダー(QSTP)のみが発行できます。 QSTPとは、EUの「Trusted List(信頼できるリスト)」 に反映されているように、各国所轄庁の監査を受け、適格なステータスを付与された組織です。

EntrustのソリューションでeIDASとの連携を強化する

Entrustでは、コンプライアンスに対応することは容易ではないと考えており、eIDAS規制も同様です。 EUの組織であれ、トラストサービスプロバイダーであれ、いつ、どこで取引が行われるかにかかわらず、消費者に安全でシームレスな取引体験を提供したいと考えています。

EUの組織: Entrustによる高度で適格な署名と押印の生成

Entrustは、クラウド署名コンソーシアムの創設メンバーであり、世界的に信頼されている認証局であり、Adobe Approved Trust Listのメンバーであり、EU eIDAS認定トラストサービスプロバイダーです。 当社は、eIDASの高度署名および適格署名に基づく電子署名サービスのセットアップをお手伝いいたします。

当社の署名ポータルsignhost.comをチェックし、無料でお試しください。

トラストサービスプロバイダー: eIDASトラストサービスの構築

トラストサービスを実行するには、強力な信頼の基点が必要です。 Entrustは、nShield HSMとEntrust Signature Activation Moduleを組み合わせたeIDAS認定署名作成デバイスの導入を支援することができます。

当社のHSMにより、TSPはセキュリティを強化しながら、信頼を最大限に高め、国境を越えた法的拘束力のある取引を可能にできます。 サービスプロバイダーは、nShield HSMを活用して、eIDAS準拠のソリューションの一部として、デジタル証明書、タイムスタンプ、またはデジタル署名を発行できます。

Entrustは、eIDASに準拠したデジタル署名を生成するためのデジタル署名エンジンも提供できます。 Entrust PKIソリューションおよびEntrust Identity and Access Managementソリューションと組み合わせることで、独自の署名サービスを立ち上げるために必要なすべてが揃います。

eIDASコンプライアンスについてもっと知りたいですか? 今すぐeBookをダウンロードしてください。

ダウンロード