eIDAS 2： 知っておくべきすべてのこと

電子ID（eID）は、個人の身元を証明するためのデジタル方式です。 これにより、ユーザ個人がオンラインサービスへのアクセス、電子取引の実施、行政のプラットフォームとの安全なやり取りをできるようになります。 eIDシステムは、サービスを利用する個人が本人であることを保証することで、なりすましや詐欺のリスクを軽減します。

デジタルID認証の一形態として、eIDはさまざまな認証手段に大きく依存しています。 つまり、認証とは、ユーザまたはデバイスが提示するIDが正当であることを確認するプロセスです。

通常、デジタルID認証では、最大3つの認証要素を組み合わせて使用します。

1. ナレッジベース認証： ユーザは、パスワードやコードなど、本人しか知らないものを提供します。
2. ポゼッションベース認証 ： ユーザは、電子文書、パスポートやスマートカードなど、本人しか持っていないものを提供します。
3. 生体認証: ユーザの身体的特徴は、指紋認証や顔認証によって確認されます。

いったん認証されると、その個人は希望するオンラインサービスへのアクセスが許可され、そのデジタルIDは以降の認証にも使用できます。

これは、従来の紙ベースのプロセスよりもはるかに効率的です。 手作業や対面での確認の代わりに、組織はワークフローを合理化し、人的ミスをなくすことができます。 これは、より便利なユーザ体験を生み出すだけでなく、規模に応じたリスク管理とデータ保護もサポートします。

電子IDの使用例

無数の業界が、顧客、市民、従業員を迅速かつシームレスに認証するためにデジタルIDを活用しています。

• オンラインバンキング：eIDシステムは、金融機関が正当な権限を持つ個人のみが口座にアクセスできるようにすることで、潜在的な不正行為を防止します。
• 公共セクター： デジタルIDサービスにより、市民は税金の申告、社会保障の申請、個人記録へのアクセスなど、必要不可欠な行政サービスをオンラインで利用できるようになります。 これにより、役所に出向く必要がなくなり、行政の負担が軽減され、全体的なサービス提供が向上します。
• 専門サービス： 弁護士、会計士、その他専門家は、eIDを使用してリモートでクライアントの身元を確認し、法律や規制要件への順守を確保することができます。 この安全な認証プロセスにより、クライアントへのオンボーディング、書類への署名、機密性の高いサービスの提供が合理化され、専門的な関係における信頼が高まります。
• ECサイト： デジタル取引の際に顧客の身元を確認することで、eIDは購入が正当なものであることを保証します。 また、チェックアウトプロセスを簡素化し、顧客が個人情報を繰り返し入力することなく、迅速かつ安全に取引を完了できるようにします。 このユーザ体験の向上は、顧客満足度とロイヤルティの向上につながります。

eIDASとは、電子識別、認証および信頼サービス（Electronic Identification, Authentication, and Trust Services）の略称です。 包括的なEU規制として、欧州のすべてのeIDと信頼サービスを共通の法的枠組みのもとに統合します。

eIDASが導入される前は、電子IDを検証するための一貫したアプローチはありませんでした。 各EU加盟国には独自の法的要件やトラストサービスのインフラストラクチャがありましたが、それらは他の法域では機能しませんでした。 このような分断された状況により、国境を越えた取引の安全性を確保することが難しくなり、オンラインサービスや電子商取引のプラットフォームの有効性が妨げられていました。

欧州委員会は2014年、eIDAS規則を可決し、3つの統一原則を定めました。

1. 相互承認： eIDASのもとでは、すべてのEU諸国が互いのeIDシステムを承認することが法的に義務付けられています。 つまり、あるEU加盟国が発行したeIDやトラストサービスは、他のすべての加盟国でも受け入れられる必要があります。
2. 相互運用性：eIDASはまた、異なる電子IDソリューション間の互換性を保証します。個人や組織は、さまざまなプラットフォームやサービスにおいて、同じデジタルIDをスムーズに使用することができます。
3. セキュリティ： この規制はまた、デジタルIDや電子取引が詐欺やサイバー脅威から保護されることを保証し、EU全域に安全で信頼できる環境を提供します。

このEU規則は27の加盟国すべてに適用されています。 また、銀行業務や電子商取引など、安全な本人確認を必要とするデジタルサービスを提供するEUの組織にとっても、コンプライアンスは義務となっています。 同様に、欧州連合内で事業を行うすべての信頼サービスプロバイダー（TSP）にも適用されます。TSPは指定された監督機関から認証を受け、その組織のサービスがeIDAS基準を満たしていることを確認する必要があります。

トラストサービスプロバイダーとは何ですか？

信頼サービスプロバイダーとは、電子署名、デジタルシール、電子証明書の作成、検証、保存を行う法人または個人を指します。 TSPはまた、情報の守秘性と否認防止を保証し、ウェブサイトや署名者を認証します。

これらのサービスは、電子文書、ID、または通信の真正性と完全性を検証するために必要なメカニズムを提供します。 TSPはeIDAS規則の重要な要素であり、オンライン取引が紙ベースのものと同様に安全で信頼できるものであることを保証します。

従って、eIDAS信頼サービスには、以下の項目が含まれます。

1. 電子署名
   電子署名は、手書きの署名と同様に機能します。 電子署名は、書類にデジタル署名をするために使用され、署名者が本人であること、署名後に文書が改ざんされていないことを安全かつ検証可能な方法で保証します。eIDASでは、これらの署名を3つのレベルに分類しています。

   • 基本電子署名： リスクの低いアプリケーションに適した基本的なセキュリティを提供します。
   • 高度電子署名： 署名を署名者に一意に関連付け、署名済みデータに加えられた変更を検出できるようにすることで、より高度なレベルのセキュリティを提供します。
   • 適格電子署名： 最高レベルのセキュリティを発行し、法的には手書きの署名と同等と見なされます。 この署名は、認定署名作成デバイスを使用して作成され、認定電子証明書に基づいていなければなりません。

   QSCDは、eIDAS認証プロセスを経た、ハードウェアセキュリティモジュール（HSM）などの暗号化ハードウェアの一種です。
    

2. デジタルシール
   デジタルシールは電子署名に似ていますが、個人ではなく法人（企業など）が使用します。 これは文書の出所と完全性を保証するもので、特定のエンティティによって発行され、改ざんされていないことを証明します。
3. タイムスタンプ
   タイムスタンプは、特定の電子文書やデータがある時点に存在したことを証明します。 これは、文書の作成、提出、受領の出所を証明する安全な方法であり、完全性と信頼性さらに高める手段です。
4. デジタル証明書
   要するに、デジタル証明書とは、公開鍵暗号方式を用いて、デバイス、サーバ、ユーザ、またはエンティティの信頼性を証明するファイルです。 この証明書は、証明書所有者の公開鍵のコピーを含んでおり、それが発行元であることを確認するために、対応する秘密鍵と照合されなければなりません。

欧州デジタルアイデンティティ規則（European Digital Identity Regulation）、通称eIDAS 2は、eIDAS法の改訂版です。 この規則は、2024年4月に欧州連合官報に掲載され、その1カ月後に施行されました。

初期の規則は多くの点で成功を収めたものの、まだ多くの進展の余地がありました。 特に、当初のデジタルIDの枠組みは、EU加盟国ごとに採用の度合が異なっていたため、eIDやトラストサービスの利用において不統一や困難が生じていました。 2021年時点で、信頼できるeIDを、国境を越えて使用できたのは、EU域内の住民の59%に過ぎませんでした。

eIDAS 2は、これらの欠点に対処するために、一連の重要な変更を導入しています。

欧州デジタルIDウォレット（EUDIウォレット）

これまでは、EU諸国は自主的に自国のeID制度を通知することができ、他の加盟国はそれを承認する義務を負っていました。 しかし、まだ電子IDシステムを導入していない国に対して、電子IDシステムを導入することを義務付けていなかったため、採用率にばらつきが生じていました。

現在、すべての加盟国が、企業や市民に安全なデジタルウォレットを提供する必要があり、各国のeIDと運転免許証、卒業証書、銀行口座などの他の個人データの証明を連携させることができます。 これにより、個人が個人データ、認証情報、属性を保存、管理、選択的に共有できる、普遍的なEUデジタルIDウォレットの作成が可能になります。

目標は、欧州の人々がオンラインサービスを利用する際、自身のデータを完全に管理できるようにし、不必要なデータ共有を減らすことです。 顧客の身元を確認するサービスプロバイダーは、認証のためにこれらのウォレットを受け入れなければなりません。

EUデジタルIDウォレットには3つの重要な特徴があります。

1. セキュリティ： この改定は、EU一般データ保護規則（GDPR）などの既存のサイバーセキュリティ法に沿ったもので、これらの基準への順守が求められます。 また、公的機関が電子証明書を発行できるようになり、データプライバシーを優先しつつ、欧州全域で組織が資格情報を認識できるよう支援します。
2. 便利： EUDIウォレットは、市民が公共サービスを利用したり、求人に応募したり、欧州域内を旅行したりする際の利便性を高めます。 このツールを使うことで、本人確認ために組織と身元情報を共有し、国境を越えた重要な活動へのアクセスを円滑にします。
3. 相互運用性： この規則はまた、統一的なアプローチを促進し、デジタルIDがEU全域で広く受け入れられやすくなるようにしています。 この規則は、市民とオンラインサービスプロバイダーのために共通の技術的な構造と基準を提供します。 この統一により、デジタルIDソリューションがEU全域で認識され、信頼されるようになります。

加盟国は2026年までに、国民がデジタルIDウォレットを利用できるようにしなければなりません。

スコープの拡大

欧州デジタルアイデンティティ規則は、安全で信頼性の高い信頼サービスを提供することを認定されたエンティティである適格トラストサービスプロバイダー（QTSP）の枠組みを大幅に強化します。 QTSPは厳格な規制基準を遵守しなければならず、これにはセキュリティプロトコルの実施、定期的な監査の受領、指定監督機関からの認証取得が義務付けられています。

さらに、eIDAS 2では、規則の適用範囲が拡大され、新たに3つの適格信頼サービスが追加されました。

1. 電子アーカイブサービス： アーカイブは、電子文書やデータを安全に保管する手段を提供します。 これらのサービスは、アーカイブされたデータが長期間にわたって変更されることなく真正性を保つことを保証します。 eIDAS 2によって導入された適格な電子アーカイブサービスは、保存期間を通じて電子文書の完全性と法的価値を維持するために、厳格な基準を順守しなければなりません。
2. 電子元帳： このサービスはブロックチェーン技術を活用し、取引とデータの安全かつ改ざんできない記録を提供します。 これにより、電子データの確実な追跡と検証が可能になり、金融取引やサプライチェーン管理など、さまざまなアプリケーションやユースケースを支援します。
3. リモート電子署名およびデジタルシール作成デバイスの管理： このトラストサービスは、電子署名事業者が署名と捺印のプロセスを安全な方法でリモート管理できるようにし、署名者が実際に署名を行わなくても、署名プロセスを完全に管理できるようになります。

eIDASの順守は、EU 域内の組織か、トラストサービスプロバイダーかによって、対応が異なります。 ここでは、規制要件を簡素化するために、両当事者が使用できる重要なツールを紹介します。

EU企業

身分確認を必要とするサービスを提供する組織は、堅牢な認証方式を導入する必要があります。 特に欧州の企業にとって、特定の地域に焦点を当てたリューションや地域戦略、あるいはグローバルなアプローチのいずれを採用するかにかかわらず、EUの規制状況は急速に変化しており、最終的な目標は調和の実現です。 これには、eIDAS証明書、本人確認と真正性を検証する証明書である認定電子署名の使用が含まれます。 デジタル認証プロセスは、企業の業務に統合されるべきであり、オンボーディングや取引の認証を合理化し、認証された個人のみが機密性の高いサービスやデータにアクセスできるようにします。

トラストサービスプロバイダー

TSPは、QSCDを使用して認定電子署名を作成する必要があります。 これらのデバイスは、署名作成データ（秘密鍵など）が安全な環境で生成、管理、保存され、不正アクセスを防止することを保証します。

サービスプロバイダーはまた、デジタル証明書と暗号鍵を管理するために、堅牢な公開鍵基盤（PKI）を導入する必要があります。 PKIは、デジタル証明書の安全な発行、配布、検証を可能にし、電子署名やその他のサービスが信頼できることを保証します。 TSPは、安全な鍵管理の実践を維持することを含め、PKIの運用がeIDASの要件に準拠していることを保証する必要があります。

IDおよびアクセス管理（IAM）システムもまた、TSPがユーザのアイデンティティとサービスへのアクセスを管理するために極めて重要です。 これらのシステムに、ユーザのIDを確認するために、多要素認証（MFA）のような強力な認証方法を組み込むべきです。 また、IAMソリューションは、証明書の発行や電子署名の作成など、機密性の高い操作を許可された人物のみが実行できるようにすることもできます。

クラウド署名コンソーシアムの創設メンバーであり、トラストサービスの展開のためのインフラストラクチャソリューションのプロバイダーであるEntrustは、eIDASへの順守の達成を支援します。 当社のソリューションは、強力で安全な基盤により、認定署名を生成し、コンプライアンスに準拠した信頼サービスを構築することを実現します。