ジェアディス会員限定で開催した勉強会「デジタル改革関連法案について」の動画(質疑応答部分を除く)を公開しました。 2021年4月12日現在、デジタル改革関連法案のほとんどが衆議院を通過して、参議院で審議中となっていますが、「地方公共団体情報システムの標準化に関する法律案」だけ衆議院で審議が継続しています。修正案を含む法案や審議状況は、衆議院の第204回国会 議案の一覧で確認できます。 今回の勉強会では、デジタル改革関連法案として、次の6法案を解説しています。 1. デジタル社会形成基本法案 2. デジタル庁設置法案 3. デジタル社会の形成を図るための関係法律の整備に関する法律案 4. 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案 5. 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 6. 地方公共団体情報システムの標準化に関する法律案 また、デジタル改革関連法案の解説の前に、これまでの日本の電子政府の取組みを概観する中で、最近の立法状況として、デジタル手続法(デジタル行政推進法)、官民データ活用推進基本法、サイバーセキュリティ基本法なども簡単に解説しています。 法案の解説と並行して、エストニアの法制度も紹介しています。エストニアでは、日本がデジタル改革関連法案で実現しようとしていることの多くを、非常にシンプルかつ低コストな方法により、すでに実現しています。日本もエストニアも、目指すところはあまり変わらないと思いますが、その実現方法については、法制度の組み立て方も含めて、かなり異なっていることを知ってもらえればと思います。 最後のまとめとして、日本のデジタル社会の今後の課題として、次のようなものを挙げておきました。
0 コメント
2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ(COCOA:COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。 "このたび、Androidをお使いの方について、9月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、2月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。" 詳細については、Android版接触確認アプリの障害について(令和3年2月03日:厚生労働省健康局 結核感染症課)が出ています。 ※2月18日に、接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました。 民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。 はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。 エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) (2)アプリの特徴 (3)アプリの利用状況 (4)アプリの更新 (5)アプリの開発とセキュリティ対策 (6)アプリの保守管理 (7)プライバシーへの対応と根拠法 (8)健康委員会とTEHIKについて (9)コミュニティの運営と組織文化 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) エストニアの新型コロナウイルス接触確認アプリ「HOIA(ホイア)」が公開されたのは、2020年8月です。日本のCOCOAのリリース(6月19日)と比べて、ちょうど2か月遅れのスタートです。HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。 新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。 (2)アプリの特徴 HOIAの主な特徴は次の通りです。
日本のCOCOAは「1メートル以内15分以上」が接触通知の条件(密接な接触と見なすことができる暴露)ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。 アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報(匿名コード)」を、患者ポータルを経由して健康情報システム(全国規模の医療データベース)から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。 技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます (3)アプリの利用状況 2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。 エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。 HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。 (4)アプリの更新 HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。 (5)アプリの開発とセキュリティ対策 ※ 2月22日 ソースコードの説明を追記 HOIAの開発(設計、ソフトウェア開発、セキュリティ対策)は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。 コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通(富士通エストニアAS)も参加しています。 HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています(contact-tracing(dp3t-sdk-ios)も参照)。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局(RIA)がGitLabを使用して電子政府コードリポジトリを管理・運営しています。 HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。
コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。 モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。 Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。 HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。 セキュリティ要件と攻撃者のモデル>セキュリティ対策>アプリケーション開発>出荷前テスト>アプリ配布 なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド(State Cloud)にあります。 (6)アプリの保守管理 HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター(TEHIK テヒック)が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。 TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。 (7)プライバシーへの対応と根拠法 HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。 プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。 GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。 エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。 エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。 HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。 (8)健康委員会とTEHIKについて 健康委員会は、社会問題省(社会省)の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。 健康委員会が所有する国家情報システム(根拠法に基づく公的データベース)として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。 エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。 TEHIK(テヒック)は、社会保障、医療、労働分野のIT開発・管理を分野横断的に行う、社会問題省の組織です。健康委員会がデータコントローラーの役割を果たしているのに対して、TEHIKはデータプロセッサー(認定データ処理者)として機能しています。 エストニアのデータガバナンスの仕組みについては、ジェアディス公開講座:エストニアのデータガバナンスから見た日本の電子政府の現在と未来で詳しく解説しています。 エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。 (9)コミュニティの運営と組織文化 エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所(NIIS)には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。 エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。
エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。 最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観(抜粋)を紹介しておきます。
2020年12月に開催したジェアディスの勉強会の内容を、2021年1月に再整理して録画したものです。2005年からエストニアで実施されているインターネット投票の仕組みを解説しています。さらに、エストニアの経験を踏まえて、日本で導入する場合の留意点等も解説しています。また、米国大統領選挙の投票集計システム問題(ドミニオン投票システム)についても、少し触れています。
勉強会でお話しした内容
この動画に関するお問い合わせ https://www.jeeadis.jp/contact.html オンライン勉強会への参加、資料のダウンロード等をご希望の方は、ぜひ会員登録をご検討ください。 https://www.jeeadis.jp/20837202502669620869.html
勉強会で使用した資料は、下記からスライドシェアでご覧になれます。
ジェアディス会員 各位 下記の通り、ジェアディス会員および関係者限定のオンライン勉強会を開催いたします。 エストニアでは、2005年からインターネット投票を開始して、2019年までに11回の選挙で利用された実績があります。来年2021年秋には全国地方議会選挙を予定していますが、投票の平等性を強化する観点から、重要な法改正(2021年1月施行)が行われています。 今回の勉強会では、昨年実施した全3回の勉強会の内容をまとめた上で、最新の情報を追加しています。 日時:2020年12月17日(木) 18:30-20:00(質疑応答、意見交換を含む) 実施方法:zoomを利用したオンライン開催 テーマ:エストニアのインターネット投票について ・エストニアの統治の仕組み ・エストニアの選挙制度 ・インターネット投票 ・インターネット投票のセキュリティ ・日本でのインターネット投票の導入に向けて 進行・解説:ジェアディス理事 牟田学 お問い合わせ:https://www.jeeadis.jp/contact.html
9月に開催した、ジェアディス会員限定の勉強会用として作成・使用した資料に、最近のデータ等を少し追加した上で、ウェブ公開しました。
日本でも、デジタル庁の発足準備が始まり、医療データの利活用や、オンライン行政サービスの改善が進められています。エストニアの取組みが、関係者の皆さまにとって何かの参考になれば幸いです。 エストニアの政府統計局の発表によると、 夏の3か月間(6-8月)、エストニアの宿泊施設に滞在する観光客は前年より41%減少し、外国人観光客は67%減少しましたが、国内観光は盛況でした。国内観光客数は同期間に0.2%増加し、8月の国内観光は前年同期比で8%増となりました。中でもパルヌ郡では、前年比32%の大幅増加となっています。
外国人観光客の多くは、エストニアへのアクセスが良いフィンランド、ラトビア、リトアニアから来ています。エストニア政府は、上記3国に対しては、入国制限の基準を大幅に緩和しており、原則として新型コロナ発生前と同じように行き来できます。 地域別では、新型コロナ感染者数が多く、首都タリンのあるハルジュ(ハリュ)郡への訪問者が減少しています。タリン市は、夏の観光シーズンで、外国人観光客に約90%依存しているからです。人口の多い都市部、特にハルジュ郡に住む人たちが、ハルジュ郡から離れたより安全な地域で夏季休暇を過ごすという傾向があったのではないかと推測できそうです。 エストニアでは、全人口の約3分の1が集中する都市部への人口流入が止まらず、地域の過疎化が進んできましたが、今回の新型コロナのパンデミックにより、地方で生活することのメリットが改めて注目されています。 デジタル化が進んでいるエストニアでは、リモートで仕事をする環境は整備されており、ほとんどの行政サービスがオンラインで完了することができます。田舎でのんびり暮らしながら、リモートで働くという生活様式を選択する人が、今回の新型コロナをきっかけに増えていくのか、それとも一時的なものなのかは気になるところです。 「最近のエストニアにおける新型コロナ感染者の増加について」で解説したように、タルトゥ大学が有病率調査を実施し、ランダム検査が増えている関係で、エストニア国内の感染者は増えていました。しかし、最新のデータを見ると、調査による感染者数の増加もピークを過ぎたように思えます。 日本でも、「Go To トラベルキャンペーン」が実施されていますが、一日も早く、多くの人々が安心して観光を楽しめるようになることを願います。 エストニアの新型コロナへの対応について、「iRONNA(いろんな)」(ironna.jp)へ寄稿させていただきました。日本とエストニア、どちらが優れているということではなく、「平時に、できるだけの準備をしておく」ことの大切さを伝えられたらと思います。 アナログ国家の日本、ヒントにすべきエストニアの「デジタル理想郷」 原稿執筆にあたっての参考情報は、下記の通りです。内容について、ご質問等ございましたら、お問合せフォームからお願いいたします。 参考情報 Freedom on the Net https://freedomhouse.org/report/freedom-net 2020 United Nations E-Government Survey https://www.un.org/development/desa/publications/publication/2020-united-nations-e-government-survey National Cyber Security Index https://ncsi.ega.ee/ Digital Economy and Society Index Report 2020 - Digital Public Services https://ec.europa.eu/digital-single-market/en/digital-public-services-scoreboard OECD Government at a Glance 2017 https://www.oecd-ilibrary.org/governance/government-at-a-glance-2017_gov_glance-2017-en Valiskaubandus- ja IT-minister: varske audit on selge kinnitus e-residentsuse programmi kasumlikkusele(エストニアのIT大臣によるコメント) https://www.mkm.ee/et/uudised/valiskaubandus-ja-it-minister-varske-audit-selge-kinnitus-e-residentsuse-programmi Koroonakaart(エストニア政府の公式コロナ統計データ) https://www.koroonakaart.ee/en e-Estonia:e-Health Records https://e-estonia.com/solutions/healthcare/e-health-record/ NAKKUSHAIGUSTE REGISTER(Estonian Communicable Diseases Register) https://www.riha.ee/Infos%C3%BCsteemid/Vaata/nhr The Social Insurance Board’s e-service https://iseteenindus.sotsiaalkindlustusamet.ee/ The Government of Estonia: due to the risk of infection, schools will be moved to distance learning https://www.hm.ee/en/news/government-estonia-due-risk-infection-schools-will-be-moved-distance-learning Estonia: Coping with COVID-19 and setting up remote education. The Digest 日本とは大きく事情が異なるエストニアでは、電子署名が日常的に使われていますが、その根拠となる法律について日本語で詳しく解説されたことは、あまり無いと思います。今回は、エストニアの電子署名法について整理しておきたいと思います。 日本では、新型コロナ問題を契機として、ハンコの議論が活発になっているようです。政府の方でも、2020年6月19日付けで「押印についてのQ&A(内閣府、法務省、経済産業省)」を公表し、改めて現政府としての方向性を示しています。 こうしたハンコの議論に先駆けて、政府の重要な動きいくつかありました。それは、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン(2019年2月)」の策定や、総務省の「プラットフォームサービスに関する研究会」の最終報告書、同研究会のトラストサービス検討WGにおける検討などです。 今後は、国際動向を含む現状を踏まえた、日本における電子署名法の改正やトラスト制度の確立が待たれるところです。 (1)エストニアにおける電子署名法の歴史 エストニアの電子署名法の制定から現在までの流れは、およそ次のようなものです。 1999 電子署名のコミュニティフレームワークに関する指令(1999/93/EC) 2000 身分証明書法の施行(デジタルIDの規定) 2000 デジタル署名法の施行(タイムスタンプも対象) 2001 Xロードの開発、行政機関等の認証基盤整備など 2002 IDカードの発行開始 2002 改正デジタル署名法の施行(行政手続への適用) 2004 改正デジタル署名法の施行(所管省庁の組織変更に対応) 2007 モバイルIDの開始 2008 改正デジタル署名法の施行(旧DB法の廃止、公共情報法の施行) 2009 改正デジタル署名法の施行(デジタルシールの開始、安全な署名作成装置の規定) 2010 ヨーロッパ2020戦略の公表 2011 改正デジタル署名法の施行(ユーロの導入) 2014 改正デジタル署名法の施行(サービスプロバイダーの監督の修正) 2014 eIDAS規則の制定(EU)No 910/2014 2015 EUデジタル単一市場戦略の公表 2016 eIDAS規則の発効 2016 デジタル署名法の廃止 2016 電子IDおよび電子取引トラストサービス法の施行(関連法の一括改正を含む) 2017 スマートIDの開始 2019 改正電子IDおよび電子取引トラストサービス法の施行(監督官庁の修正) 日本で「電子署名及び認証業務に関する法律(電子署名法)」が施行されたのが2001年ですから、電子署名法のスタート時期だけを見れば、エストニアと日本はほとんど差がありません。 年表を見てもわかると思いますが、エストニアの電子署名法を理解する上で、電子署名法や電子取引に関するEUの動向の理解が欠かせません。官民における電子署名の利用が進んだエストニアは、EUにおけるデジタル戦略や電子署名のルール策定にも大きな影響を与えています。 エストニアの電子署名法の正式名称は、「デジタル署名法」です。技術的に中立なEU電子署名指令や日本の電子署名法と異なり、PKI電子署名に特化しているのが大きな特徴です。2000年公布・施行のデジタル署名法は、その後、何度かの改正を経て、2016年に廃止されました。 廃止と言っても、電子署名の法律がなくなってしまったわけではなくて、EU加盟国に対して強制力を持つ「eIDAS規則」の発効に伴い、「電子IDおよび電子取引トラストサービス法」という新しい法律へ受け継がれました。 そのようなわけで、現在のエストニアにおける電子署名の法律は、「eIDAS規則(EU共通の総論、実体法)」+「電子IDおよび電子取引トラストサービス法」(国内の各論、手続法)という組合せになりました。同じ形態の法律として、「GDPR(一般データ保護規則)」+「データ保護法」の組合せがあります。 eIDAS規則については、手塚先生による解説記事「日本のデジタル化政策推進の鍵、「電子契約」の有効性とリスク - 手塚悟教授に聞く」が参考になると思います。 (2)エストニアの電子署名 eIDAS規則の適用により、エストニアにおける電子署名は、次の4クラスに分類されます。 1 適格電子署名(QES:Qualified Electronic Signature) 2 適格電子証明書付きの高度電子署名(AdES/QC:Advanced Electronic Signature with a Qualified Certificate) 3 高度電子署名(AdES:Advanced Electronic Signature) 4 その他の電子署名(Other electronic signatures) 適格電子署名は、手書き署名と同じ法的効力があり、そのことを証明する必要がありません。 1999年のEU電子署名指令において、『「高度な電子署名」+「認定された証明書」+「安全な署名作成デバイス」の組合せであれば、法的な効力は書面への手書き署名と同等であり、法的な証拠として認められる』としていたので、その流れを受け継いだものと言えるでしょう。 現在のエストニアで使用される電子認証・署名の形態は、IDカード、モバイルID、スマートIDの3つですが、3つすべてが適格電子署名(QES)になっており、官民のサービスで広く利用されています。 適格電子署名(QES)で必要となる、「適格な電子署名作成デバイス(QSCD:Qualified Electronic Signature Creation Device)」は、eIDAS規則第29条および付録2で定めていますが、スマートIDはリモート署名(クラウド署名)であるため、少し苦労したようです。 スマートIDの「適格な電子署名作成デバイス」は、ソフトウェアコンポーネント、モバイルクライアント、および暗号化キーを管理するためのハードウェアセキュリティモジュール(HSM)の組合せです。 サイバーネティカ社が提供する「SplitKey」という技術を採用しており、「秘密鍵の分散管理」により、「適格な電子署名作成デバイス」の要件となる「電子署名の作成に使用される電子署名作成データ(秘密鍵)は、正当な署名者によって他人による使用から確実に保護できる」を満たすようにしています。 なお、日本でサービスを提供しているblockhive(ブロックハイブ)社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID(クロスID)」は、エストニアのスマートIDとは全く関係がありません。 「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。 (3)エストニアの電子シール eIDAS規則の適用により、エストニアにおける電子シールは、次の4クラスに分類されます。 1 適格電子シール(QESeal:Qualified Electronic Seal) 2 適格電子証明書付きの高度電子シール(AdESeal/QC:Advanced Electronic Seal with a Qualified Certificate) 3 高度電子シール(AdESeal:Advanced Electronic Seal) 4 その他の電子シール(Other electronic seals) 電子署名と異なり、「適格電子シール」だけでなく、「適格な電子署名作成デバイス」を必要としない「適格電子証明書付きの高度電子シール」も利用されています。Xロードで利用可能な電子シールも、「適格電子証明書付きの高度電子シール」または「適格電子シール」となっています。 電子シールの発行枚数や(特に民間企業における)利用状況等のデータについては、私も把握していないので、ジェアディスの今後の調査対象にしたいと思っています。Xロード以外では、エストニアの官報「Riigi Teataja」でも電子シールが利用されており、 eヘルスの分野では家庭医が利用していると聞いています。 エストニアの電子シールの歴史は古く、すでに2001年のXロードで使用されていましたが、当時は「電子シール」といった名称はありませんでした。その後、2009年の改正デジタル署名法により、法律上の地位を確立しています。 この時の名称が「デジタルシール」だったので、エストニアでは、電子シール(eシール)のことを、「デジタルシール」とか「デジタルスタンプ」と呼んだりします。特に「デジタルスタンプ」は「タイムスタンプ」と間違いやすいので注意しましょう。 日本では、電子シールは、「法人の電子印鑑」といった説明がされます。確かに、その通りなのですが、より重要なのは「自動処理を可能にする」という点です。 eIDAS規則の付録3「電子シールの認定証明書の要件」にも、『少なくとも自動処理に適した形式で(at least in a form suitable for automated processing)』という表現が見られます。 Xロードは、「コンピュータ間で自動処理によりデータを参照しあう仕組み」なので、自動処理を止めてしまう「自然人による電子署名」は、できる限り少ない方が良いのです。 「自動処理を可能にする」ことの重要性については、セコムIS研究所の松本さんが「EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト」の中で、次のように説明されています。 デジタル社会への移行に伴う「技術標準」の要求(要求の変化) ・電子署名指令(1999年)からeIDAS規則(2016年)の決定的な違い?? (過去)人の目視による判断/検証 → ヒューマンリーダブル → 人の判断による曖昧な技術仕様を許容する (現在)マシンが(構造化されたルール等により)検証・判断 → (署名データが)マシンリーダブル → 曖昧さをなるべく排除したい → そうした要求のための相互運用性を確保した技術標準の重要性 その他、総務省サイバーセキュリティ統括官室の「組織が発行するデータの信頼性を確保する制度(eシール)の検討の方向性について」も参考になります。 (4)エストニアのタイムスタンプ eIDAS規則の適用により、エストニアにおけるタイムスタンプは、「適格な電子タイムスタンプ(qualified electronic time stamp)」と、それ以外のタイムスタンプになりますが、実際に利用されているのは「適格な電子タイムスタンプ」だけになります。 エストニアのタイムスタンプには、少し複雑な事情があります。 エストニアでは、2000年のデジタル署名法で、すでにタイムスタンプサービスやタイムスタンプサービスプロバイダーの認定制度などを確立していました。それと同時に、デジタル署名(とその使用のためのシステム)の3要件を次のように定めました(法2条3項)。 1 署名が発行された名前の人物を明確に識別できるようにする。 2 署名の発行時刻を決定できるようにする。 3 署名が付与された後、データまたはその意味を識別不能に変更する可能性を排除する方法で、デジタル署名をデータに関連付ける。 1は否認防止、3は改ざん防止と言えますが、2の「署名の発行時刻を決定」は、2000年当時はあまり一般的なものではありません。 デジタル署名に「署名時刻の情報」が含まれるのであれば、一見すると、「タイムスタンプは不要なのでは?」と思われそうです。しかし、タイムスタンプは「特定の時点での文書の存在を証明する技術的および組織的手段のシステムによって形成されるデータのセット(法23条1項)」なので、「電子署名の無い電子文書の作成・保存」や「電子署名された電子文書の長期保存」といった場面で必要になります。 エストニアのデジタル署名法が、電子署名だけでなく、タイムスタンプも対象にしていたのは、エストニア政府が考える電子政府の基盤にタイムスタンプが必要だったからでしょう。 デジタル署名法を読み解くと、デジタル署名やタイムスタンプの実際の利用を想定した作りこみがされていることがわかります。具体的には、電子署名やタイムスタンプの有効性に争いが起きた時の判断の仕方、成りすましにより電子署名が行われた時の法的効力、電子文書(特に公文書)の長期保存やアーカイブといったことへの配慮です。 (5)エストニアの電子識別 eIDAS規則では、第3条の1項において、「電子識別(electronic identification)」を「個人または法人を、または法人を代表する自然人を、一意に表す電子形式の個人識別データを使用するプロセス」と定義しています。 これだけでは、ほとんど意味不明ですが、同条2-5項の「電子識別手段」「個人識別データ」「電子識別スキーム」「認証(authentication)」などの定義を見ることで、「認証用の証明書」(公的個人認証サービスにおける利用者証明用電子証明書)をイメージできると思います。「電子ID」や「デジタルID」を言っても良いでしょう。 エストニア政府が2002年に発行を開始したIDカードには、すでに認証用の証明書が含まれており、電子政府サービスへのログイン等に利用されましたが、デジタル署名法には、電子識別や認証用の証明書についての規定はありませんでした。 認証用の証明書の法的根拠はどこにあるかと言えば、それは「身分証明書法」にあります。認証用の証明書については、1999年に施行された身分証明書法の中に、政府が発行するIDカードへ「デジタル識別(デジタルID)および署名を可能にする情報」を記録するという規定(同法9条5項)が追加されました。 (6)エストニアの認定サービスプロバイダー 2020年6月現在のエストニアにおける認定トラストサービスプロバイダーは、次の2社です。 SK ID Solutions社 ・適格電子署名 ・適格電子シール ・適格電子タイムスタンプ GuardTime社 ・適格電子タイムスタンプ SKは、IDカード、モバイルID、スマートIDの3つ全てを発行する機関で、この分野をほぼ独占しています。GuardTime社は、KSIブロックチェーンで有名な企業です。 詳細は、監督官庁であるエストニア国家情報システム局が提供する「信頼済みリスト」、またはEUの「Trusted List Browser」を参照してください。 (7)エストニアの民事訴訟法における電子署名の取り扱い
エストニアの民事訴訟法では、「文書の信憑性の争い」について、次のような規定があります(法277条3項)。 デジタル署名を備えた電子文書の真正性は、その文書がデジタル署名の保持者によって作成されていなかったと推定できる根拠となる状況を立証することによってのみ争うことができる。これは、作成者と作成時刻を識別できる別の安全な方法により作成された電子文書にも適用される。 ここで言う「デジタル署名」は、「適格電子署名」と考えて良いでしょう。「作成者と作成時刻を識別できる別の安全な方法」とは、例えば「適格電子証明書付きの高度電子署名」+「タイムスタンプ」の組合せなどが考えられます。 デジタル署名や電子署名に関する判例は、判例データベースで探してみましたが、見つかりませんでした。署名の有効性に関する判例は数多くあるので、流通する電子署名が信頼性の高い「デジタル署名」という事情もあり、電子署名は証拠争いの争点になりにくいのではないかと思います。 機会があれば、エストニアの裁判官や弁護士に確認してみたいと思いますが、エストニアでは、実質的に「紙の文書+手書き署名」よりも「電子文書+電子署名(+タイムスタンプ)」の方が、信頼性が高く争いが起きにくいと言えるかもしれません。 なお、エストニアの刑法では、重要な身分証明書の偽造、偽造された身分証明書の使用や付与だけでなく、「他の人の名前で発行された身分証明書の使用、自分の名前で発行された重要な身分証明書の他人への貸与(法349条)」なども罪に問われます。 (8)日本の電子署名法とエストニアの電子署名法との違い 日本の電子署名法とエストニアの電子署名法は、スタート時期こそ近かったものの、基本的な考え方や対象とする範囲も異なりました。最近では、「国境を超えたデジタル社会への対応」といった点でも、日本の電子署名法は遅れてしまっているように思います。 今振り返ってみても、、1999年のEU電子署名指令は、かなりよくできていて、同指令を踏まえたエストニアのデジタル署名法は、非常に実践的かつ挑戦的なものでした。 最近、日本では、弁護士ドットコム株式会社が提供する「クラウドサイン」が取締役会議事録作成に用いる電子署名としても適法であるとの認定を受けて、法務省の「商業・法人登記のオンライン申請」で、クラウドサインの電子署名済みファイルが、商業登記オンライン申請における「添付書類」として利用可能になりました。 「クラウドサイン」のサービスは、弁護士監修の「電子契約サービス」と説明されていますが、その業務内容を見ると「民間による電子公証サービス(本人確認、文書作成・保管等)」と言えるでしょう。公証事務は、公証人による独占業務ですから、法的根拠の無い「民間による電子公証サービス」に頼らざるを得ない日本の現状は、あまり良いものではないと思います。 タイムスタンプや電子署名が個人や企業に広く普及するエストニアでは、このようなサービスは成立しないでしょう。もちろん、契約書の作成等に弁護士が監修することはありますが、その場合も、電子署名をするのは契約当事者になります。 日本とエストニアの電子署名法に差が生まれた要因として、法慣習の違いはあると思います。日本のように印鑑が利用されていない国では、電子署名の法的効力を考える場合、手書き署名と比較すれば足ります。しかし、日本では、電子署名の効力等を考える際に、手書き署名以外の様々な手段を比較検討する必要があります。 「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(2004年成立)」の第2条7号に次のような定義があります。 署名等:署名、記名、自署、連署、押印その他氏名又は名称を書面に記載することをいう。 こうした「署名等」の利用実態は、民間取引だけでなく、行政手続き等の公的分野においても、数多く見られます。押印だけを見ても、実印、登録印、認印、シャチハタなど様々です。いまだに、「この電子署名は実印か認印か?」といった不毛な議論が話題になっています。 日本の電子署名法では、技術的中立性と共に、日本の実態に合った「署名等」を考慮する必要があり、その結果が第2条のような定義になったのではないかと思います。 EUやエストニアにおける電子署名法には、電子取引を進めるにあたって、「紙文書と手書き署名」という組合せが持つ「曖昧性の排除」への挑戦がありました。 しかし、日本では「紙文書と署名等」という、日本独自の「強度な曖昧性」に向き合うことなく、それを内包する形で電子署名法を作ってしまいました。電子署名法によってもたらされた「電子取引における強度な曖昧性」は、その後のe-文書法や電子帳簿保存法などにも影響を与えています。 eIDAS規則における電子署名の定義は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名に使用する電子形式のデータ」となっています。つまり、電子署名の正体は「電子形式のデータ」なのです。 エストニアのデジタル署名法の定義も同様で、「デジタル署名は、技術的および組織的手段のシステムによって形成され、署名の発行者がドキュメントとの関係を示すために使用する一連のデータ」とされています。 日本の電子署名法では、電子署名の正体は「電子形式のデータ」ではなく、「行われる措置」となっています。この違いは、デジタル社会に対する認識の差なのではないでしょうか。 エストニアの電子政府を支えているのは、Xロードだけではありません。今回は、エストニアのデジタル国家の基礎となっている住民登録データベースを紹介し、それに付随する身分証明書の法制度も紹介したいと思います。住民登録データベースは、今回のような新型コロナ問題への対応でも大活躍しており、住民だけでなく自治体職員など公務員の負担軽減にも役立っています。 (1)エストニアの住民登録データベース エストニアの住民登録データベース(Estonian population register)は、公共情報法や人口登録法に基づき作成されるもので、国家運営の基礎となる最も重要な唯一無二の公的データベースです。2018-2019年にかけて、GDPR施行に合わせた国内法改正の影響を大きく受けていますが、基本的な考え方は変わっていません。 データ管理者は国(内務省)で、必要な範囲で処理者を任命しています。日本では各自治体で住民データを管理していますが、エストニアの場合は国が一括管理して、自治体は「国が管理するデータの利用者」という位置づけです。 データは原則として永久保存され、データ処理は専用ソフトウェアで行なわれます。データへのアクセスは業務範囲のデータに限定して許可され(機密情報)、データの正確性が推定されます。全てのデータ処理やアクセスに関する情報が記録され、定期的なデータ監査が義務付けられています。 人口登録法の構成は、次の通りです。「住民登録データベース管理法」と言っても良いかもしれません。 第1章 一般条項 第2章 住民登録簿の管理者と処理者 第3章 住民登録簿の維持管理 第4章 住民登録簿のデータ構成 第5章 登録簿へのデータ提出 第6章 登録簿のデータ主体の地位 第7章 個人識別コード 第8章 登録簿のデータへのアクセス 第9章 住所 第10章 居住の通知 第11章 地方自治体による居住データの入力 第12章 所有者の要請による居住データの修正 第13章 住所変更のその他の根拠 第14章 滞在先住所、連絡先の詳細、追加住所 第15章 紛争の監督と解決 第16章 条項の実施 第17章 法改正 エストニアの個人番号(個人識別コード)は、この人口登録法の中で規定されており、日本のようなマイナンバー法はエストニアにはありません。この意味では、日本の住民票コードに近いと言えるでしょう。 エストニアの個人識別コードを日本のマイナンバーと比較すると、次のようになります。 エストニアには、日本の戸籍のような仕組みはありません。基本的な個人情報は、住民登録データベースに統合されています。登録される個人データは、次の通りです。 1 氏名 2 性別 3 出生データ(生年月日、出生地) 4 個人識別コード 5 市民権・国籍に関するデータ 6 住居に関するデータ 7 追加住所 8 連絡先の詳細(メールアドレス、ポストボックス番号、電話番号) 9 滞在先の住所 10 婚姻状態に関するデータ (独身、既婚、死別、離婚) 11 親権に関するデータ (親権者、保護者、親権の回復・制限・剥奪など) 12 後見に関するデータ (後見人の氏名、後見開始終了時刻、後見人の同意なしに可能な取引など) 13 有効な法的能力の制限、投票権の剥奪に関するデータ 14 死亡に関するデータ (死亡時間・場所、埋葬地、死亡原因など) 15 母親、父親、配偶者、子供に関するデータ(個人識別コードなど) 16 教育の最高達成レベル(最終学歴) 17 民族籍、母国語、教育 (※統計目的の任意提出・登録データとして) その他 a 個人データに関連する文書のデータ (発行した身分証明書、外国人居住・就労許可証など) b 有権者登録データ(有権者リストおよび有権者カードの作成で利用) c 手続に関するデータ(統計データとして利用) d 登録簿の維持管理に役立つデータ(データ提出、データへのアクセス、アクセス制御、分類コードなど) ちなみに、日本の住民票の個人データは、次の通りです。 1 氏名 2 生年月日 3 性別 4 世帯主の氏名(世帯主との続柄) 5 戸籍の表示 6 住民となった年月日 7 住所、住所を定めた年月日 8 (他の市町村から転入した場合)住所を定めた旨の届出の年月日、従前の住所 8の2 個人番号 9 選挙人名簿への登録の有無 10 国民健康保険の被保険者資格に関する情報 10の2 後期高齢者医療の被保険者資格に関する情報 10の3 介護保険の被保険者資格に関する情報 11 児童手当の受給資格に関する情報 12 米穀の配給に関する情報 13 住民票コード 14 住民の福祉の増進に関する情報(市町村長が事務管理・執行するもの) 日本の住民データ管理で、エストニアと異なるのは、紙台帳の名残り、戸籍との併存、世帯単位、自治体単位、主キーの不存在などです。ですから、戸籍と住民基本台帳を整理統合し、個人単位のデジタル処理を前提とする仕組みとして再設計・再構築し、国が一括管理するようにすれば、エストニアの住民登録データベースに近いものになります。個人的には、次世代型の電子政府を実現するためには、日本もその方向で進めるべきと考えています。 (2)エストニアの身分証明書制度 日本のマイナンバーカードは、住民サービスの視点で語られることが多いですが、エストニアの国民IDカードを始めとした身分証明書の制度は、基本的には安全保障の視点で作られています。そのため、身分証明書の管理・発行は、国内の安全保障を所管する内務省の配下にある警察・国境警備局が行っています。 公的な機関が発行する身分証明書については、身分証明書法に基づき、住民登録データベースとは別の「身分証明書データベース(identity documents database)」で登録・管理されています。身分証明書データベースの主目的は、住民サービスの提供ではなく、「公共の秩序と国家安全の確保」です。 身分証明書法は、身分証明書の要件を定め、エストニア共和国がエストニアの市民および居住者に身分証明書を発行することを規定する法律です。身分証明書は、原則として「国の機関が発行する文書で、所有者本人の氏名、生年月日、個人識別コード、写真(顔画像)、署名(署名画像)を記載したもの」と定義されます(住所情報は含まれない)。オンライン上の本人確認手段としてのデジタルIDも規定されます。 15歳以上のエストニア市民は、身分証明書を取得する義務があります。初めて身分証明書を取得する場合は、警察・国境警備局が本人確認を行った上で、身分証明書データベース(identity documents database)に登録します。顔写真や指紋等の生体情報の登録も必要です。厳密な身元確認は、身分証明書の所有者の生体情報と身分証明書に記録された生体情報を比較して行なうことになっています。 身分証明書法の構成は、次の通りです。 第1章 一般条項 第2章 身分証明書の要件 第3章 身分証明書の発行と失効等 第4章 身分証明書の有効性と検証 第5章 IDカード 第5-1章 デジタルIDカード 第5-2章 eレジデンシー(電子居住)のデジタルIDカード 第5-3章 外交用IDカード 第6章 エストニア市民の旅行書類(旅券) 第7章 外国人の旅行書類 第8章 帰国証明書および帰国許可証 第9章 条項の実施 身分証明書の種類と記載情報は、次の通りです。 安全保障の視点には、戦争やテロだけではなく、今回のコロナ問題のようなパンデミックやエピデミック、大規模地震のような広域災害なども含まれます。実際、エストニアの企業や市民は、新型コロナ問題に関連する経済的な支援を、オンライン経由で簡易に受けることができました。 日本でも、安全保障の観点から、エストニアのような住民データベースと身分証明書制度が確立されることに期待します。 日本経済新聞に「電子政府推進へ共同研究 日エストニア首脳会談」という記事が掲載されました。 日本の安倍晋三首相とエストニアのラタス首相が会談し、電子政府の推進に向けた共同研究に関する覚書などの署名式に立ち会ったとのことです。エストニアと日本が、電子政府の推進に向けて協力することは、大変有意義で喜ばしいことです。 記事の中に「エストニアのサイバネティカ社」とありましたので、このCybernetica:サイバーネティカ社について、簡単に解説しておきます。 サイバーネティカは、エストニアのICT企業であると同時に、サイバー防衛を中心とした国防産業企業でもあります。X-Road、インターネット投票、電子税関など、数多くの電子政府システムを開発しており、日本を含む世界35か国にシステムを提供しています。 ソ連時代の1960年に設立されたエストニア科学アカデミーのサイバネティックス研究所の応用研究ユニットが母体ですが、1997年に民間会社となりました。以来、情報セキュリティと暗号技術の研究を続けており、政府機関等の依頼により様々なレポートを作成・公開しています。 最近の事例としては、同じくエストニアの企業であるSK ID Solutions(SK社)のSmart-IDで採用されているSplitKeyテクノロジー(秘密鍵の分散管理)を提供しています。 また、機密情報を安全にデータ分析・処理するSharemindもサイバーネティカのソリューションです。Sharemindの事例(秘密計算技術を用いた処理)については、板倉陽一郎弁護士による「プライバシー保護データマイニングの個人情報保護法制上の位置付け」でも紹介されています。 エストニアの電子政府が成功した要因の一つとして、サイバーネティカ社の存在があることを知っておいてください。
Anna Piperal: What a digital government looks like | TED Talk
エストニア人から見て、エストニアの電子政府はどのように映るのでしょうか。 この分野の専門家であるアンナ・ピペラル氏が、エストニア市民が恩恵を受ける様々な電子政府サービスを紹介し、国の「電子政府」を動かす主要な設計原則を説明しています。 2018年10月の公開ですが、エストニアの「電子政府」や「e-Residency(電子居住制度)」に関する動画を紹介します。エストニアのスタートアップ企業の情報もありますので、Startup Estoniaと合わせて参考にしてください。 2000年の電子署名法の施行は、信頼できる安全な環境で電子政府を実現するために欠かせないものでした。2001年には官民データ交換の基盤となるX-ROADがスタートし、バックオフィスの自動化が可能になります。2002年のIDカード発行と取得の義務化により、全ての国民がオンラインサービスを利用できる環境が整います。 2005年のインターネット投票開始までに、サイバーセキュリティの強化が進みますが、2007年にはエストニアへの大規模サイバー攻撃が発生し、データ保護や国際連携の重要性が再認識されるようになりました。2007年の大規模サイバー攻撃の後に、KSIブロックチェーンの導入、NATO共同サイバー防衛センターの創設、国家サイバーセキュリティ戦略の策定などが進み、EUやNATOのサイバーセキュリティにおけるエストニアの存在感が高まりました。2013年には、サイバー戦の国際法ルールとしてタリン・マニュアルが刊行され、EUのサイバーセキュリティ戦略も策定されます。 2014年のロシアによるウクライナ領土のクリミア併合は、エストニアのみならず世界全体に大きなインパクトを与えました。この事件に対するロシアへの経済制裁は、2015年まで行われたとされるダンスケ銀行によるマネーロンダリング事件の発覚とも無関係ではないでしょう。ロシアによる領土侵犯の脅威は、新たなデジタル戦略の中で提案されていたデータ大使館の必要性を再確認させることになりました。 その後も、EUやNATOにおけるエストニアの積極的な関与は続けられており、2016年発効のeIDAS規則、2017年刊行のタリン・マニュアル2.0、国際サイバー防衛訓練の実施などで、その存在感を示しています。 2017年には、 2007年の大規模サイバー攻撃と並ぶ重大なインシデントとして位置づけられているIDカードセキュリティ脆弱性問題が起こりました。この際のエストニア政府の対応は、迅速かつ適切なものとして、諸外国の参考になると思います。2018年には、課題の一つであった国内法の整備として、サイバーセキュリティ法(デジタルサービスを含む重要インフラの保護)が制定されました。 エストニアのセキュリティ上の最大の脅威は、ロシアに関するものです。NATOへの参加も、エストニアの安全を国際安全の一部と見なしているからであり、加盟国のサイバー防衛能力を向上させることは、自国の安全性の向上につながるものであるため、NATOやEUに貢献しているのです。 認識されている脅威の中には、政治・社会の過激化・二極化、社会結束の弱体化、寛容性の低下、社会的緊張などもあります。これに関連して、戦略的コミュニケーションや心理的保護なども紹介しておきます。 エストニアでは、戦略的コミュニケーションを、社会的結束を強化し、肯定的な国際イメージを確立し、敵対的な情報攻撃に対抗するための手段と位置付けています。国内外に対する情報発信を戦略的に行うことで、他国からのプロバガンダや政治工作に対抗します。2007年に大規模サイバー攻撃が発生した際も、エストニアのロシア系マイノリティーによる暴動がインターネットで呼びかけられた例があり、市民の暴動や国内テロなどを先導するサイバー行動には警戒が必要です。 心理的保護については、危機を防ぎ、社会の安全意識を高めることに貢献し、情報操作や誤報によって社会に暴力を誘発したり、憲法秩序を無視することで危機の解決を促進する情報攻撃を中和する効果があると考えています。エストニアは、住民が安全な日常生活を実感し、結束力と思いやりのある寛容な社会を目指しており、生活環境がより安定して安全になると、セキュリティ脅威からの社会の脆弱性が減少すると考えています。 他国からのプロバガンダや政治工作に弱いとされる日本が、エストニアから学べることは多いと思います。 次回に続く
第3回「インターネット投票の勉強会」について、ご案内いたします。場所は前回と同じ東京の会議室になります。開始時間が14:30になってますので、ご注意ください。
日時:2019年11月21日(木) 14:30-16:30 会場:DECO会議室(JR東京駅八重洲中央口より徒歩5分) 中央区日本橋3-5-12 DECO TOKYO 部屋番号7B室(7階) サンマルクカフェを過ぎてから「DECO TOKYO」の文字を探してください。 https://www.spacemarket.com/spaces/wgw2dmz0onbfsnfn 参加費:無料 進行・解説:ジェアディス理事 牟田学 ■テーマ:日本へのインターネット投票の導入について 14:30 趣旨説明と参加者の自己紹介(名前、所属、参加理由など) 14:45 ・エストニアのインターネット投票について(第1-2回の復習) ・日本でインターネット投票を実現するためには 15:30 質疑応答、意見交換 16:15 総括、取りまとめ 16:30 終了 参加ご希望の方は、ジェアディスの問い合わせページから、お名前・所属・メールアドレスをご連絡ください。初めての方でも大丈夫です。 第2回「インターネット投票の勉強会」では、インターネット投票のセキュリティだけでなく、エストニアの安全保障やサイバーセキュリティの全体像についてもお話ししました。今回は、その一部をご紹介します。ここで紹介するのは、エストニアだけに特別にあるものではなく、EU加盟国やNATO加盟国において一般的なものと理解してください。 セキュリティという言葉は、いくつかの意味を持ちえますが、ここでは「安全保障」とします。2017年に改定されたNational Security Concepでは、エストニアの国家安全保障に関する基本的な考え方が、「セキュリティに影響を与えるすべての傾向と重要な分野を網羅する幅広いセキュリティ概念」に基づいているとしています。 エストニアの安全保障政策の目的は、エストニア国家の独立と国民の主権、国民と国家の存続、領土保全、憲法秩序、および国民の安全を確保することです。そして、安全保障政策を実施するにあたり、基本的な権利と自由を尊重し、憲法上の価値を守るとしています。 これは、安全保障政策を実施する上で、その時の状況により、優先順位があることを意味します。エストニアの国防法には戒厳令の規定があり、危機管理全般の対応を定める緊急法にも人的資源の動員の規定があります。とくに緊急法は、日本における安全保障や危機管理の法整備の参考になると思います。 エストニアの国家安全保障機関の全体像は、次の通りです。 国防の最高司令官は大統領ですが、エストニアの大統領は象徴的な存在なので、戦争の宣言に関する実質的な決定は、専門家が参加する評議会等の助言を踏まえて議会が行います。行政のトップである首相は、自然災害など戦争以外の非常事態の宣言を行うと共に、関係省庁と一体になり、実際の行動を実施します。上の図で言えば、首相および主要大臣が参加する「政府安全委員会」が実質的な司令塔の役割を果たすことになります。サイバーセキュリティについては、経済通信省が中心となる「サイバーセキュリティ評議会」が「政府安全委員会」の中に設置されています。 エストニアには、国家秘密の保護やスパイ活動の防止・取締り、外国の機密情報に関する収集・分析を担う機関があります。安全保障政策において、秘密保護や情報活動は重要であり、これが無いと同盟国との情報連携・共有ができなくなります。日本でも、特定秘密の保護に関する法律の成立が一時期話題になりましたが、エストニアの国家秘密と外国の機密情報に関する法律は大変よくできているので、日本が法改正する際の参考になると思います。 エストニアの機密情報の保護と諜報活動、機密情報の分類、それらの治安活動に関する監視体制は、次の通りです。 次回(2)に続く。
|
Categories
すべて
Archives
6月 2023
|
一般社団法人 日本・エストニアEUデジタルソサエティ推進協議会
Japan & Estonia EU Association for Digital Society ( 略称 JEEADiS : ジェアディス)
|
免責事項
本ウェブサイトの情報は、一部のサービスを除き、無料で提供されています。当サイトを利用したウェブサイトの閲覧や情報収集については、情報がユーザーの需要に適合するものか否か、情報の保存や複製その他ユーザーによる任意の利用方法により必要な法的権利を有しているか否か、著作権、秘密保持、名誉毀損、品位保持および輸出に関する法規その他法令上の義務に従うことなど、ユーザーご自身の責任において行っていただきますようお願い致します。 当サイトの御利用につき、何らかのトラブルや損失・損害等につきましては一切責任を問わないものとします。 当サイトが紹介しているウェブサイトやソフトウェアの合法性、正確性、道徳性、最新性、適切性、著作権の許諾や有無など、その内容については一切の保証を致しかねます。 当サイトからリンクやバナーなどによって他のサイトに移動された場合、移動先サイトで提供される情報、サービス等について一切の責任を負いません。 |