個人情報保護法とともに施行されるe-文書法と時刻認証の特長について,通信&メディア研究会の1月25日ミーティングで,PDF関連のソリューションを提供するハイパーギア 代表取締役社長 本田克己氏に伺った。
電子化を加速するe-文書法
2005年4月にe-文書法が施行される。民間企業で義務付けられていた紙による文書保存について,電子保存を容認することで,文書保存コストの低減を目指している。e-文書法に対応することで,企業が保有する電子文書は単なる「共有情報」だけでなく,「裁判で使える証拠」として活用することが可能となる。
e-文書法のベースとなるのが,2001年4月に施行された電子署名法である。電子文書に電子署名がされていれば,手書きの署名や押印と同等に有効であると定めた法律である。国土交通省の入札や官庁の申請・許認可の際に利用されているが,まだあまり普及してはいない。
電子署名法は初めからデジタルで作られた文書だけを対象としていたが,e-文書法は紙をスキャンして入力した電子データも認めていて,電子化されたデータの真正性という問題が発生する。
2005年1月11日に経済産業省からe-文書法に向けた運用のガイドライン「文書の電磁的保存等に関する検討委員会」の中間報告が発表された。
現在,検討されている国税庁などのガイドラインの要件は,(1)電子化装置はカラースキャナ(200〜300dpi),(2)電子署名とタイムスタンプ・電子証明書は特定認証局から発行されたもの,(3)閲覧性・検索性の確保が必要,(4)ファイル形式はPDFまたはTIFF,などが挙げられている。
解像度については,4ポイントの字が読める程度ということで200dpi以上となっている。モノクロではなく,カラースキャナを使う理由は,白インキなどで改ざんされた場合でも,階調の変化で判別できるようにするためである。また,電子証明と時刻証明を義務付けるのは,スキャンした責任者や日付を特定することで,改ざん防止をする。ただし,以上の運用の要件はまだ案の段階である(注:1月31日に財務省令が出された)。
電子署名で本人の証明
e-文書法の施行により,電子文書は「真正性」が重要になる。
本人であることの証明は,電子署名を使えば技術的,法律的に証明できる。電子署名で利用される公開カギと秘密カギは,PKI(Public Key Infrastructure:公開カギ基盤)で証明される。
ただし,電子署名にはいくつか問題がある。第1は電子署名には有効期限があるという点である。電子署名の有効期限は最大5年であるが,ほとんどの電子署名のサービスは1〜2年である。
第2の問題は電子文書の作成日付が確定できない点である。10年前に作成した書類と数日前に作成した書類を比べた場合,紙の文書の場合は紙の劣化などですぐに分かるが,電子文書の場合は分からない。
第3の問題は本人の改ざんが容易であるという点である。証明書を自分でもっていたらPCの時計の設定を操作して,自分で文書を改ざんできる。
主なタイムスタンプサービス
電子署名で課題となっている日付を証明する最も有効な方法は,タイムスタンプサービスである。タイムスタンプサービスは,電子署名同様,電子文書を作った人と電子文書を受け取る人以外の,全く利害関係のない第三者の特定認証局が証明する。タイムスタンプサービスをしている会社にはNTTデータやアマノ,PFUなどがある。
NTTデータは,日本で最初のタイムスタンプサービス「セキュアシール」を開始した。暗号技術を使用せず,アメリカのベンチャー「シュアティ社」の特許を使ってタイムスタンプのサービスを提供している。電子カルテや著作権の保護などに採用されている。
セキュアシールは,1日単位でNTTデータのセンターへ入って来た文書のすべてにハッシュ値を取る。さらにその中の2つの文書のハッシュ値を組み合わせて,ハッシュ値を作る。同様に2つずつ組み合わせ次々にハッシュ値を作り,最終的にルートハッシュ値を作る。文書が1bitでも変更されたらルートハッシュ値が変わる。現在,この値を月に1度,新聞で告知している。
複数の文書のハッシュ値の組み合わせで検証する技術は「リンキングプロトコル」と呼ばれる。認証するためにはセンターにハッシュ値を蓄積する必要がある。署名の時だけでなく,値が正しいかどうかの検証にも費用が掛かるので,比較的コストは高くなる。ただし,暗号を使用していないため寿命が長いと言われ,著作権の保護などに利用されている。
タイムレコーダなどで有名なアマノは,PDFに埋め込む時刻認証「e-Timing EVIDENCE」というサービスを提供している。PDFのプラグインである。国立印刷局の『官報』の時刻認証に使われているeTiming EVIDENCEは,アマノ独自技術を採用しているので,有効期限は特にないとされているが,暗号を利用するので,ある程度の時間が経てば破られる可能性がある。プロトコルは「シンプルプロトコル」で,電子文書に認証データを埋め込み,秘密カギや公開カギを利用する。無償のソフトで日付が正しいかどうか検証が可能であり,比較的コストは安い。また最近アマノはRFC3161対応も始めた。
PFUはRFC3161というタイムスタンプにおける標準に準拠した形でサービスを始めた。これも「シンプルプロトコル」を採用している。
また,法務局は全国に約33カ所ある公証人役場でタイムスタンプサービスを提供している。
用途によって使い分ける
タイムスタンプサービスは2〜3年ごろ前からあったが,実際の利用はアメリカへ特許の出願に利用される程度であった。日本の場合,特許庁に出願した日付で発明が特許として認められるが,アメリカは先に発明していたことを証明できれば出願しなくても特許権を取れるからである。
現在提供されているタイムスタンプサービスは機能や費用が異なるので,用途によって使い分ける必要がある。例えば,特許の場合は時刻の証明を秒単位でしなければいけないが,領収書やカルテなどは日付が証明されればよい。
課金は1スタンプ単位となり,比較的安いPFUの署名コストが1回10円,アマノが1回8円である。中規模の病院のカルテを全部電子化したら1年に1500万円のスタンプ代が掛かる。特別な書類にしか適用できないとなると,普通の書類に改ざん防止はできないということになる。
ハイパーギアではこの問題を解決する「タイムシール」という製品を2005年2月に発表する予定である。書類ごとにタイムスタンプを押すのではなく,1日単位でタイムスタンプを押す。その日に入ってきたデータはハッシュ値を求めて,ハッシュ値のリストを時刻認証する。1日に1回だけタイムスタンプを押すので比較的安価にタイムスタンプサービスを利用できる。
2004年末のあるIT関連の雑誌で「e-文書法は実際にはあまり需要がないのではないか」「コストが高過ぎて対応する企業はないのではないか」と書かれた。しかし,エンロン事件など,不祥事が起きた際,記録の改ざんが大きな問題となった。今後,企業の社会的責任として,e-文書法への対応は必須となるだろう。
2005/04/11 00:00:00