デンマークの新たな挑戦 新電子署名NemID (1)
2010年9月中旬、筆者たちはデンマークのICT利用に関する調査にて、デンマークの新しい電子署名NemIDを取材する機会を得た。2010年10月現在、日本でも行政のデジタル化について議論が行われているが、電子署名はその推進の鍵を握っている。デンマークのNemIDは、どのような特徴があるのだろうか。以下、調査内容を報告する。
はじめに
デンマークでは、2010年7月から新たな電子署名NemIDの運用が開始された。その背景には、「デンマーク電子政府戦略2007-2010」の存在がある。「より良いデジタルサービス」と「より安全で効率的なデジタル・コミュニケーション」を実現する、また2012年までに「すべての国民・企業と行政間で取り交わす書類をデジタル化する」という目標が掲げられている。デンマーク政府が目指すデジタル社会を実現するには、ICT利用推進を支えるセキュリティ基盤を社会全体に浸透させることが必要になるだろう。NemIDの導入は、デンマーク政府が今後ICT利用を加速できるか否かを占う新たな挑戦といえる。
コラム第2回では、デンマークにおける電子政府の先進事例として、ワンストップサービス、カスタマイズ機能を備えた利用者目線の市民ポータルを紹介し、その先進的なソリューションを実現するための社会的基盤として、国民ID(CPR番号)と電子署名を取り上げた。
国民IDは、ポータルの背後にある行政組織を横断するバックオフィス連携を可能とし、市民にとって効率的で利便性の高いサービスを実現できる。その一方で、情報流通を行うには、改ざんやなりすましによる被害や個人情報の漏洩など、デジタル化に対する国民の不安を大きくするという負の側面もある。それらを払拭をするためのセキュリティ基盤として、電子署名は重要な役割を果たしている。公的個人認証の普及が進まない日本は、デンマークの挑戦から何を学べるのだろうか。
本稿では、デンマーク政府の新たな電子署名(NemID)の最新動向を紹介しながら、新・旧電子署名の抱える課題と、日本への示唆について考察していく。
» 電子政府戦略2007-02010 (外部リンク)
第1世代の電子署名が抱える3つの課題
デンマークでは、2003年から公開鍵基盤(PKI: Public Key Infrastructure)[1]を利用した第1世代の電子署名(以下、旧電子署名)[2]が導入され、2009年4月で約130万件、2010年9月で180万件を超える利用がある[3]。デンマークの電子署名は、①個人認証と②署名の両方を兼ね備えていることに特徴がある。人口が約550万人のデンマークの規模から考えると、順調に利用実績を伸ばしたと評価できる。
しかしながら、旧電子署名には以下のとおり3つの課題が存在していた。第1に、利用端末が制限される問題である。旧電子署名は、暗号化鍵と電子証明書を1つのPC(主にハードディスク)にインストールして利用するため、複数の端末から利用できないという不便さがあり、開発当初から問題視されていた。例えば、自宅のPCから電子納税の手続きを行うと、会社のPCではその履歴を確認することができず、携帯からも利用できないといった具合である。
第2に、利用率の低迷である。デンマーク政府(科学技術イノベーション省)のNemID担当者によれば、「デンマーク政府が推進する電子私書箱、市民ポータル、医療ポータルなどを利用する際、電子署名を利用する市民はまだ限られており、一人当たり年に数回しか利用されていない」という。そのため、市民が電子署名のパスワードを記憶することは困難であり、いざ利用しようとした時にはパスワードが分からない状況に陥る。このように電子署名の利用頻度が少ないことが、結果的に、電子行政サービスの利用率低迷につながるという問題意識があった。また、パスワード再発行の手続きは可能であるが、市民と行政双方にとって手間と時間がかかり行政側には郵送の費用も伴う。
第3に、複数のポータル(例えば、市民ポータルから医療ポータルなど)に何度もログインしなければならないという煩雑さがあった。利用者目線のより良いデジタルサービスを電子政府戦略の第1の柱に掲げるデンマークのソリューションとしては、一元的なログインは解決しなければならない問題であった。
[1] 公開鍵暗号化方式に基づく電子認証の技術基盤。公開鍵を効果的に運用するために定められた多くの規格や仕様の総称。主に利用者(PKIを利用する人)、認証局(証明書を発行する人)、リポジトリ(証明書を補完しているデータベース)から構成される。
[2] 印鑑の捺印やサインなどの機能をコンピューターの世界で実現するための技術。公開鍵暗号の仕組みを利用して行う。送信者と受信者の間で情報の機密を守る仕組みのなかで、情報の暗号化と復号化に同じ鍵を使う方式を「対称暗号」、異なる鍵を使う方式を「公開鍵暗号」(非対称暗号)と呼ぶ。「暗号化の鍵」は、公開鍵(Public key)と呼ばれ、一般に公開することができる。他方、「複合化の鍵」はプライベート鍵(Private key)と呼ばれ、情報を受信する本人だけが持つ鍵である。公開鍵とプライベート鍵は、2本で一対となり運用される。本稿では総称して暗号鍵と呼ぶことにする。
[3] 電子署名に関するEU指令1999/93に基づき、2000年にデンマーク電子署名法が施行され、パイロットプロジェクトが開始された。2002年には電子サービス公的認証(OCES: Public Certificate for Electronic Service)プロジェクトにより、デンマーク政府はPKIの普及のための取り組みが行われた。詳細は、NTTデータ2006「デンマークにおけるデジタル署名の普及に向けた取り組み」『欧州マンスリー』2006年5月号を参照。
新しい電子署名NemIDとは
そこで、2007年から開発が着手されたのがNemIDという第2世代の電子署名である。政府と金融機関が共同で開発したことが最大の特徴であり、開発主管は「官民の協力モデルが成功した世界初の事例」と胸を張る。旧電子署名は「DanID」と呼ばれ、「デンマーク人のID」という名称であったが、第2世代の名称「Nem」とはデンマーク語で「簡単な」という意味があり、国民にとってより簡単で身近な存在になるという願いを込めて名づけられている。NemIDは、旧電子署名と比較してどのような特徴があるのか。大きな相違点は以下の3つである。
- 銀行の電子署名との共用が可能となった
- ワンタイムパスワードを採用した(複数端末からのログイン、キーカード方式)
- ログイン、ログアウトの一元化を実現した(シングルサインオン・サービス)
まず第1に、銀行の電子署名との共用である。デンマークではネットバンキングが広く普及しており、銀行の電子署名の利用者は350万人に達し利用率も高い[4]。デンマーク政府は、旧電子署名の導入時から先行する銀行のノウハウを学び電子署名の普及を推進してきたが、NemIDでは連携を一層強化し、銀行の電子署名との共用を実現することで、公的な電子署名の利便性および利用率を飛躍的に向上させる狙いがある。
第2に、ワンタイムパスワードの採用である。暗号鍵と電子証明書を端末側ではなく、認証局のサーバ側に持たせることで、セキュリティを担保しつつ複数端末からのログインが可能となった。そのツールとして、本人確認のための「IDとパスワード」に加えてキーカードを採用した(詳細は後述)。第3に、複数ポータルへのログインとログアウトの一元化だ。これを実現したのは組織横断のシングル・サイン・オン機能を持つ「Easy-login」ソリューションである。市民は複数のポータルへのログイン、ログアウトを手間なく一度に行うことが可能となった。「Easy-login」は、利用者の利便性を重視した先進性なソリューションであり、世界的に見ても極めて付加価値の高いサービスと言えるだろう[5]。
[4] 2009年11月デンマーク政府財務省へのヒアリング調査より。デンマークのインターネットそのものの利用率もEU諸国のなかで非常に高く、少なくとも1週間に一度利用する人は人口の82%、ほぼ毎日利用する人は72%に達するという報告がある(Eurostat2010)。銀行におけるネットバンキングは、送金手数料が無料なことから、デンマークでは広く一般的なサービスとして市民に広く受け入れられている。
[5] 「Easy-login」の開発は、科学技術イノベーション省ではなく財務省が主導している。
第1世代(旧) | 第2世代(新) | |
---|---|---|
名称 | DanID | NemID |
導入時期 | 2003年~ | 2010年~ |
運用会社 | TDC(大手通信会社) | DanID(PBS:金融系) |
暗号鍵と電子証明書の格納先 | 原則、1台のPC(端末) | サーバ側 |
利用可能端末 | 1台 | 複数端末。将来的に携帯も対応予定 |
民間との連携 | 普及のノウハウは銀行から学ぶ。民間との共用可能 | 銀行のネットバンキング用電子署名と共通利用/民間との共用可能 |
個人認証の方法 | ①ID ②パスワード | ①ID ②パスワード ③キーカード |
ID | CRP番号 | 郵送される個別のID。その後任意のIDに書き換え可能 |
パスワード | 郵送にて通知(書き換え可能) | メールにて通知(書き換え可能) |
キーカード | なし | 利用(指定された5桁の数字入力) 郵送。利用頻度が多い人向けに、将来的にハードウエアへ。USB、小型端末を導入予定 |
発行数 | 180万件(2010年9月現在) | 2010年末までに350万件発行予定 |
2010年9月デンマーク政府科学技術イノベーション省IT電気通信庁へのヒアリング調査に基づき筆者作成
[次のページへ]
» 第2回 デンマークの電子政府が成功する3つの理由
» 第3回 教育×ICT デンマークにおける学校の風景
» 第4回 デンマークの新たな挑戦 新電子署名NemID
» 連載目次へ戻る