欧州議会及びEU理事会によるEuropean Digital Identity
(欧州デジタルアイデンティティ)に関する協定の暫定合意
アンダーソン・毛利・友常法律事務所外国法共同事業
弁護士 中 崎 尚
1 デジタルアイデンティティとは
デジタルアイデンティティとは、個人に関する、電子化された属性情報の集合を指す。オンラインを経由したサービスの利用や取引など、非対面でコミュニケーションが行われることが一般化している現在、顔を直接確認できない従業員や顧客を「本人」だと確認し、必要なものを提供する仕組みとして、デジタルアイデンティティの重要性が高まっている。
このデジタルアイデンティティの管理モデルには「集中モデル」と「フェデレーションモデル」があり、現在の主流は後者である。このモデルでは、ユーザーはサービス毎にログインする必要はなく、特定のIDプロバイダのアイデンティティ情報をもとに、複数のサービスにアクセスすることが可能となる。反面、連携先ごとに接続設定が必要となるため、事業者に作業負荷がかかるという課題、ユーザーの意向ではサービスを連携できないという課題が指摘されてきた。
デジタルアイデンティティウオレットのモデル(秋山龍太郎「NRIセキュアブログ―デジタルアイデンティティウォレットとは?―注目される背景とサービス化の論点―」より抜粋)
2 デジタルアイデンティティウォレットの登場
フェデレーションモデルの課題を解決する対策として、デジタルアイデンティティウォレットに期待が寄せられている。デジタルアイデンティティウオレットでは、ユーザーは自身のアイデンティティ情報をウォレットに保持し、ウォレットをハブとしたIdP間でのアイデンティティ情報を連携させることができる。これにより、連携の接続設定の作業負荷をなくすとともに、ユーザーの意向でサービスを連携できないという課題が解消できることになる。
デジタルアイデンティティウオレットのモデル(秋山龍太郎「NRIセキュアブログ―デジタルアイデンティティウォレットとは?―注目される背景とサービス化の論点―」より抜粋)
は、EUの公的・民間のデジタルサービス利用における本人確認/属性証明に利用できるデジタルアイデンティティウォレットを、希望する全EU市民、在留者、企業が利用できることを加盟国に求めるものである。
この記事はプレミアム向け有料記事です
ログインしてご覧ください
3 European Digital Identity Walletをめぐる取り組み
2021年6月、欧州委員会は、European Digital Identity Walletを通じて、すべてのEU市民、居住者、企業が利用できるEuropean Digital Identity(eID)の枠組みを提案した。提案された新たな枠組みは、2014年に制定された「域内市場における電子取引のための電子的本人確認および信用サービスに関する規則(eIDAS規則)」を改正するもので、EU域内で公共サービスを安全に利用し、オンライン上および国境を越えて取引を行うための基礎を築くものである。この提案では、加盟国に対し、共通の技術標準に基づいて構築された届出済みのeIDスキームの下でデジタルウォレットを発行することを求めている。European Digital Identity Walletにより、利用者は本人に紐づく属性や証明書等を、利用者の判断に基づいて必要なデータに限定し、認証を求める相手に開示・提供することができるようになるとされている。
2023年2月には、eIDの技術的なアーキテクチャと参照フレームワーク、共通規格、技術仕様などをまとめたThe European Digital Identity Architecture and Reference Framework(ARF)の初版が公開された。[1]今後、このARFを基とした大規模パイロットが予定されており、大規模パイロットの結果をARFにフィードバックすることが予定されている。
そして2023年6月29日、欧州連合閣僚理事会と欧州議会は、EU域内の公共および民間サービスに対する安全で信頼できるシームレスなアクセスを確保するため、eIDの新たな枠組みの中核となる要素について暫定的な政治合意に達した。
改正されたeIDAS規則は、欧州におけるデジタルIDの明確なパラダイムシフトを構成するものであり、携帯電話の個人用デジタルウォレットによって、安全で信頼できるeIDおよび認証への普遍的なアクセスを、人々および企業に保証することを目的としている。
4 改正規則のポイント
⑴ European digital identity means
改正規則の主な目標の 1 つは、European Digital Identity Walletの概念に基づき、国内法で定められた市民およびその他の居住者に、調和されたEuropean digital identity meansを提供することである。
⑵ 高レベルの信頼性と無償提供
特定の ID を主張する人物が、真実その ID が割り当てられている人物であることが保証されている必要がある。このため、ウオレットは、高度の信頼を備える電子認証システム内で発行されなければならない。改正規則はまた、ウォレットの発行、認証のための使用、および失効は、自然人に対して無料であるべきであることを明確にしている。ウォレットはまた、自然人に対して電子署名を無償で提供するものとされている。
⑶ セキュリティ
改正規則はまた、オンラインで自身を示すeIDに依拠する市民およびeIDがどこで発行されたかに関係なく、完全に信頼し受け入れることができるオンライン・サービス・プロバイダのために、セキュリティに対する調和されたアプローチを提供する。
改正規則下では、欧州共通の技術アーキテクチャと参照フレームワーク、および加盟国とともに開発する共通基準が提供されることとなる。
⑷ 既存のサイバーセキュリティ法制との整合性
改正規則では、ウォレットが適用されるサイバーセキュリティ要件に準拠していることを認証するために、関連する既存のサイバーセキュリティ法認証スキームを活用し、これに依拠し、その利用を義務付ける必要がある。改正規則と既存のサイバーセキュリティ法を可能な限り整合させるために、加盟国はサイバーセキュリティ法に規定されているように、ウォレットを認証するために認定された公的および私的な機関を指 定することとなる。
5 今後の展開
今回の暫定合意に従って、改正規則の法文の準備が進められる。法文の最終決定後、加盟国代表の承認を経て、欧州議会で正式に採択されることになる。eIDAS規則の改正規則の発効後、EU加盟国は12ヶ月以内にEuropean Digital Identity Walletを発行することが規定されている。EU域内で非常に強制力が高いプロジェクトであり、EU域内の各サービスはEuropean Digital Identity Walletの仕様に従って開発・改修されるよう求められることが想定される。今後、日本国内におけるデジタルアイデンティティウォレットの開発についても、EU域内での展開を考慮する場合は相互運用性の観点からEuropean Digital Identity Wallet の仕様に合わせる必要が生じる可能性があることに留意すべきである。
以 上
[1] https://digital-strategy.ec.europa.eu/en/library/european-digital-identity-wallet-architecture-and-reference-framework
(なかざき・たかし)
アンダーソン・毛利・友常法律事務所外国法共同事業スペシャルカウンセル。東京大学法学部卒、2001年弁護士登録(54期)、2008年米国Columbia University School of Law (LL.M.)修了、2009年夏まで米国ワシントンD.C.のArnold & Porter法律事務所に勤務。復帰後は、インターネット・IT・システム関連を中心に、知的財産権法、クロスボーダー取引を幅広く取扱う。日本国際知的財産保護協会編集委員、経産省おもてなしプラットフォーム研究会委員、経産省AI社会実装アーキテクチャー検討会作業部会構成員、経産省IoTデータ流通促進研究会委員、経産省AI・データの利用に関する契約ガイドライン検討会委員、International Association of Privacy Professionals (IAPP) Co-Chairを歴任。2022年より内閣府メタバース官民連携会議委員。
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング