|
ジェアディス会員限定で開催した勉強会「デジタル改革関連法案について」の動画(質疑応答部分を除く)を公開しました。 2021年4月12日現在、デジタル改革関連法案のほとんどが衆議院を通過して、参議院で審議中となっていますが、「地方公共団体情報システムの標準化に関する法律案」だけ衆議院で審議が継続しています。修正案を含む法案や審議状況は、衆議院の第204回国会 議案の一覧で確認できます。 今回の勉強会では、デジタル改革関連法案として、次の6法案を解説しています。 1. デジタル社会形成基本法案 2. デジタル庁設置法案 3. デジタル社会の形成を図るための関係法律の整備に関する法律案 4. 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案 5. 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 6. 地方公共団体情報システムの標準化に関する法律案 また、デジタル改革関連法案の解説の前に、これまでの日本の電子政府の取組みを概観する中で、最近の立法状況として、デジタル手続法(デジタル行政推進法)、官民データ活用推進基本法、サイバーセキュリティ基本法なども簡単に解説しています。 法案の解説と並行して、エストニアの法制度も紹介しています。エストニアでは、日本がデジタル改革関連法案で実現しようとしていることの多くを、非常にシンプルかつ低コストな方法により、すでに実現しています。日本もエストニアも、目指すところはあまり変わらないと思いますが、その実現方法については、法制度の組み立て方も含めて、かなり異なっていることを知ってもらえればと思います。 最後のまとめとして、日本のデジタル社会の今後の課題として、次のようなものを挙げておきました。
0 コメント
2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ(COCOA:COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。 "このたび、Androidをお使いの方について、9月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、2月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。" 詳細については、Android版接触確認アプリの障害について(令和3年2月03日:厚生労働省健康局 結核感染症課)が出ています。 ※2月18日に、接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました。 民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。 はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。 エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) (2)アプリの特徴 (3)アプリの利用状況 (4)アプリの更新 (5)アプリの開発とセキュリティ対策 (6)アプリの保守管理 (7)プライバシーへの対応と根拠法 (8)健康委員会とTEHIKについて (9)コミュニティの運営と組織文化 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) エストニアの新型コロナウイルス接触確認アプリ「HOIA(ホイア)」が公開されたのは、2020年8月です。日本のCOCOAのリリース(6月19日)と比べて、ちょうど2か月遅れのスタートです。HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。 新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。  (2)アプリの特徴 HOIAの主な特徴は次の通りです。
日本のCOCOAは「1メートル以内15分以上」が接触通知の条件(密接な接触と見なすことができる暴露)ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。 アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報(匿名コード)」を、患者ポータルを経由して健康情報システム(全国規模の医療データベース)から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。 技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます (3)アプリの利用状況 2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。 エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。 HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。 (4)アプリの更新 HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。  (5)アプリの開発とセキュリティ対策 ※ 2月22日 ソースコードの説明を追記 HOIAの開発(設計、ソフトウェア開発、セキュリティ対策)は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。 コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通(富士通エストニアAS)も参加しています。  HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています(contact-tracing(dp3t-sdk-ios)も参照)。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局(RIA)がGitLabを使用して電子政府コードリポジトリを管理・運営しています。 HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。
コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。 モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。 Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。 HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。 セキュリティ要件と攻撃者のモデル>セキュリティ対策>アプリケーション開発>出荷前テスト>アプリ配布 なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド(State Cloud)にあります。  (6)アプリの保守管理 HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター(TEHIK テヒック)が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。 TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。  (7)プライバシーへの対応と根拠法 HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。 プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。 GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。 エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。 エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。 HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。 (8)健康委員会とTEHIKについて 健康委員会は、社会問題省(社会省)の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。 健康委員会が所有する国家情報システム(根拠法に基づく公的データベース)として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。 エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。  TEHIK(テヒック)は、社会保障、医療、労働分野のIT開発・管理を分野横断的に行う、社会問題省の組織です。健康委員会がデータコントローラーの役割を果たしているのに対して、TEHIKはデータプロセッサー(認定データ処理者)として機能しています。 エストニアのデータガバナンスの仕組みについては、ジェアディス公開講座:エストニアのデータガバナンスから見た日本の電子政府の現在と未来で詳しく解説しています。   エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。  (9)コミュニティの運営と組織文化 エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所(NIIS)には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。  エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。  
エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。 最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観(抜粋)を紹介しておきます。
2020年12月に開催したジェアディスの勉強会の内容を、2021年1月に再整理して録画したものです。2005年からエストニアで実施されているインターネット投票の仕組みを解説しています。さらに、エストニアの経験を踏まえて、日本で導入する場合の留意点等も解説しています。また、米国大統領選挙の投票集計システム問題(ドミニオン投票システム)についても、少し触れています。
勉強会でお話しした内容
この動画に関するお問い合わせ https://www.jeeadis.jp/contact.html オンライン勉強会への参加、資料のダウンロード等をご希望の方は、ぜひ会員登録をご検討ください。 https://www.jeeadis.jp/20837202502669620869.html
勉強会で使用した資料は、下記からスライドシェアでご覧になれます。
エストニアの新型コロナの感染状況等について、政府の公式データを見ながら解説しています。エストニアにも、日本の新型コロナウイルス接触確認アプリ(COCOA) と同じようなアプリ(HOIA)があり、日本と同じぐらいの割合(人口の2割ぐらい)でダウンロードされています。陽性登録率は約7%で、日本の登録率2%よりは少し高くなっています。
参考サイトは、下記の通りです。 コロナ統計データ https://www.koroonakaart.ee/en コロナウイルスデータ 健康委員会 https://www.terviseamet.ee/et/koroonaviirus/koroonakaart エストニア コロナ危機公式情報ポータル https://www.kriis.ee/ HOIAモバイルアプリ https://hoia.me/ 電子政府コードリポジトリ HOIA https://koodivaramu.eesti.ee/tehik/hoia ジェアディス会員 各位 下記の通り、ジェアディス会員および関係者限定のオンライン勉強会を開催いたします。 エストニアでは、2005年からインターネット投票を開始して、2019年までに11回の選挙で利用された実績があります。来年2021年秋には全国地方議会選挙を予定していますが、投票の平等性を強化する観点から、重要な法改正(2021年1月施行)が行われています。 今回の勉強会では、昨年実施した全3回の勉強会の内容をまとめた上で、最新の情報を追加しています。 日時:2020年12月17日(木) 18:30-20:00(質疑応答、意見交換を含む) 実施方法:zoomを利用したオンライン開催 テーマ:エストニアのインターネット投票について ・エストニアの統治の仕組み ・エストニアの選挙制度 ・インターネット投票 ・インターネット投票のセキュリティ ・日本でのインターネット投票の導入に向けて 進行・解説:ジェアディス理事 牟田学 お問い合わせ:https://www.jeeadis.jp/contact.html
9月に開催した、ジェアディス会員限定の勉強会用として作成・使用した資料に、最近のデータ等を少し追加した上で、ウェブ公開しました。
日本でも、デジタル庁の発足準備が始まり、医療データの利活用や、オンライン行政サービスの改善が進められています。エストニアの取組みが、関係者の皆さまにとって何かの参考になれば幸いです。  エストニアの政府統計局の発表によると、 夏の3か月間(6-8月)、エストニアの宿泊施設に滞在する観光客は前年より41%減少し、外国人観光客は67%減少しましたが、国内観光は盛況でした。国内観光客数は同期間に0.2%増加し、8月の国内観光は前年同期比で8%増となりました。中でもパルヌ郡では、前年比32%の大幅増加となっています。
外国人観光客の多くは、エストニアへのアクセスが良いフィンランド、ラトビア、リトアニアから来ています。エストニア政府は、上記3国に対しては、入国制限の基準を大幅に緩和しており、原則として新型コロナ発生前と同じように行き来できます。 地域別では、新型コロナ感染者数が多く、首都タリンのあるハルジュ(ハリュ)郡への訪問者が減少しています。タリン市は、夏の観光シーズンで、外国人観光客に約90%依存しているからです。人口の多い都市部、特にハルジュ郡に住む人たちが、ハルジュ郡から離れたより安全な地域で夏季休暇を過ごすという傾向があったのではないかと推測できそうです。 エストニアでは、全人口の約3分の1が集中する都市部への人口流入が止まらず、地域の過疎化が進んできましたが、今回の新型コロナのパンデミックにより、地方で生活することのメリットが改めて注目されています。 デジタル化が進んでいるエストニアでは、リモートで仕事をする環境は整備されており、ほとんどの行政サービスがオンラインで完了することができます。田舎でのんびり暮らしながら、リモートで働くという生活様式を選択する人が、今回の新型コロナをきっかけに増えていくのか、それとも一時的なものなのかは気になるところです。 「最近のエストニアにおける新型コロナ感染者の増加について」で解説したように、タルトゥ大学が有病率調査を実施し、ランダム検査が増えている関係で、エストニア国内の感染者は増えていました。しかし、最新のデータを見ると、調査による感染者数の増加もピークを過ぎたように思えます。 日本でも、「Go To トラベルキャンペーン」が実施されていますが、一日も早く、多くの人々が安心して観光を楽しめるようになることを願います。  写真:Brand Estonia Eesti Pank algatas keskpanga digiraha tehnoloogia uurimisprojekti 2020年10月2日、エストニアの中央銀行である「Eesti Pank」が、中央銀行のデジタル通貨技術研究プロジェクトを立ち上げました(英語版の発表)。 これは、いわゆる「デジタルユーロ」に関する公式な研究プロジェクトです。欧州中央銀行 (European Central Bank)は、同日に、デジタルユーロに関するレポートを発表しました。このレポートでは、ユーロシステムの観点から、中央銀行のデジタル通貨(CBDC)(デジタルユーロ)の発行について検討しています。 エストニアの研究プロジェクトの期間は2年間で、速度、セキュリティ、プライバシー、復元力の厳しい要件を満たしながら、中央銀行のデジタルマネー要件を満たすために、スケーラビリティが高く実用的で暗号的に安全なプラットフォームを構築する方法を検討します。 研究プロジェクトの主な目的は、エストニアの電子政府の基本技術でもあるGuardtime社のKSIブロックチェーンに基づくソリューションが、中央銀行のデジタル通貨インフラの実行に理論的に適しているかどうかを確認することですが、特定の技術を支持する選択は行わないとしています。欧州中央銀行のレポートでも、アプローチ方法に関係なく、バックエンドのインフラは最終的に中央銀行によって制御される必要があるとしています。 エストニアでは、早くからデジタル通貨の可能性について模索してきましたが、エストニア単体では通貨発行権を持たないため、その方向性を決めかねていました。その結果、eレジデンシーを対象としたバーチャル通貨のようなものではなく、「デジタルユーロ」というより大きな枠組みの中で、研究を進めていくことになったようです。 エストニアでは、新型コロナの感染者が増えていますが、これには少し説明が必要です。なぜなら、9月11日から、都市部を中心とした感染者が増えているであろう地域をターゲットとして、タルトゥ大学が有病率調査を実施し、ランダム検査が増えているからです。
政府の公式統計データを見ても、PCR検査の実施数の増加と共に、感染者が増えていることがわかりますが、陽性率はほとんど変わっていません。現在、コロナウイルスは特に若い人たちに広がっており、幸いなことに、重症化する人は少なく、死者は増えていません。 もう一つは、8月に発表されたSARS-COV-2抗体の血清疫学研究の結果です。この研究結果では、公式統計よりも、有病率はタリンで10倍、サーレマー島で3.5倍高く、抗体陽性または血清陽性の人の80%にCOVID-19の症状がないことが示されました。つまり、かなり多くの人が、ほとんど症状が無いまま、本人も気が付かないうちに新型コロナに感染していたということです。 最近の増えている感染者は、外国からの入国者によるケースが多いのですが、政府は入国制限を強化することはせず、逆にフィンランドやバルト三国間の入国制限の基準を緩和する措置を決めました。また、集団感染の発生場所となっているバーの営業についても、アルコール提供の時間制限(深夜0時から朝10時まで禁止)を9月25日から開始するだけにとどめています。 こうした政府の対応を見ると、これまでの調査研究結果を踏まえて、「エストニアにおける集団免疫の可能性」を政府が考え始めているのではないかと思います。社会経済活動の規制は最小限としながら、リスクの高いグループの保護や感染者の多い地域のモニタリングを行い、医療機関の受け入れ態勢を確保しておくことで、増えていく感染者を許容範囲内にとどめておくということです。 今後も、エストニア政府の発表と、大学等による調査研究の結果に注目していきます。 エストニアの新型コロナへの対応について、「iRONNA(いろんな)」(ironna.jp)へ寄稿させていただきました。日本とエストニア、どちらが優れているということではなく、「平時に、できるだけの準備をしておく」ことの大切さを伝えられたらと思います。 アナログ国家の日本、ヒントにすべきエストニアの「デジタル理想郷」 原稿執筆にあたっての参考情報は、下記の通りです。内容について、ご質問等ございましたら、お問合せフォームからお願いいたします。 参考情報 Freedom on the Net https://freedomhouse.org/report/freedom-net 2020 United Nations E-Government Survey https://www.un.org/development/desa/publications/publication/2020-united-nations-e-government-survey National Cyber Security Index https://ncsi.ega.ee/ Digital Economy and Society Index Report 2020 - Digital Public Services https://ec.europa.eu/digital-single-market/en/digital-public-services-scoreboard OECD Government at a Glance 2017 https://www.oecd-ilibrary.org/governance/government-at-a-glance-2017_gov_glance-2017-en Valiskaubandus- ja IT-minister: varske audit on selge kinnitus e-residentsuse programmi kasumlikkusele(エストニアのIT大臣によるコメント) https://www.mkm.ee/et/uudised/valiskaubandus-ja-it-minister-varske-audit-selge-kinnitus-e-residentsuse-programmi Koroonakaart(エストニア政府の公式コロナ統計データ) https://www.koroonakaart.ee/en e-Estonia:e-Health Records https://e-estonia.com/solutions/healthcare/e-health-record/ NAKKUSHAIGUSTE REGISTER(Estonian Communicable Diseases Register) https://www.riha.ee/Infos%C3%BCsteemid/Vaata/nhr The Social Insurance Board’s e-service https://iseteenindus.sotsiaalkindlustusamet.ee/ The Government of Estonia: due to the risk of infection, schools will be moved to distance learning https://www.hm.ee/en/news/government-estonia-due-risk-infection-schools-will-be-moved-distance-learning Estonia: Coping with COVID-19 and setting up remote education. The Digest エストニア政府は、リモートワーカー向けの新しいデジタルノマドビザの発給を開始する予定です。デジタルノマドビザの特徴は、次の通りです。
・リモートワーカーが一時的にエストニアに最長で1年間滞在できる ・場所に関係なくオンラインで作業できる人(デジタルノマド)が対象 ・エストニア国外で雇用契約している、またはフリーランサーをしている ・申請の6か月前に、月額収入基準(3504ユーロ)を満たしている 例えば、日本で主にリモート作業で仕事をしていて、「エストニアで生活しながらリモートで仕事をしたい、たまに欧州旅行もしたい」といった人であれば、デジタルノマドビザの取得を検討しても良いでしょう。なお、日本人の場合、90日以内であればビザなしでエストニアに滞在することが可能です。 ★注意★ 2020年8月3日現在、日本からエストニアへの入国制限はありませんが、日本国内の感染者数が増えると、入国制限(到着後のウイルス検査と14日間の隔離等)の対象国になる可能性があります。目安として、日本全国の新規感染者数が毎日1500人ずつ増えるような状況が続くと、エストニアへの入国が制限される可能性が高くなります。 詳細は、エストニア外務省の「Information on countries and restriction on freedom of movement requirements for passengers」、または、駐日エストニア共和国大使館の「エストニアへ渡航を検討されている皆様へ」を確認してください。 日本とは大きく事情が異なるエストニアでは、電子署名が日常的に使われていますが、その根拠となる法律について日本語で詳しく解説されたことは、あまり無いと思います。今回は、エストニアの電子署名法について整理しておきたいと思います。 日本では、新型コロナ問題を契機として、ハンコの議論が活発になっているようです。政府の方でも、2020年6月19日付けで「押印についてのQ&A(内閣府、法務省、経済産業省)」を公表し、改めて現政府としての方向性を示しています。 こうしたハンコの議論に先駆けて、政府の重要な動きいくつかありました。それは、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン(2019年2月)」の策定や、総務省の「プラットフォームサービスに関する研究会」の最終報告書、同研究会のトラストサービス検討WGにおける検討などです。 今後は、国際動向を含む現状を踏まえた、日本における電子署名法の改正やトラスト制度の確立が待たれるところです。 (1)エストニアにおける電子署名法の歴史 エストニアの電子署名法の制定から現在までの流れは、およそ次のようなものです。 1999 電子署名のコミュニティフレームワークに関する指令(1999/93/EC) 2000 身分証明書法の施行(デジタルIDの規定) 2000 デジタル署名法の施行(タイムスタンプも対象) 2001 Xロードの開発、行政機関等の認証基盤整備など 2002 IDカードの発行開始 2002 改正デジタル署名法の施行(行政手続への適用) 2004 改正デジタル署名法の施行(所管省庁の組織変更に対応) 2007 モバイルIDの開始 2008 改正デジタル署名法の施行(旧DB法の廃止、公共情報法の施行) 2009 改正デジタル署名法の施行(デジタルシールの開始、安全な署名作成装置の規定) 2010 ヨーロッパ2020戦略の公表 2011 改正デジタル署名法の施行(ユーロの導入) 2014 改正デジタル署名法の施行(サービスプロバイダーの監督の修正) 2014 eIDAS規則の制定(EU)No 910/2014 2015 EUデジタル単一市場戦略の公表 2016 eIDAS規則の発効 2016 デジタル署名法の廃止 2016 電子IDおよび電子取引トラストサービス法の施行(関連法の一括改正を含む) 2017 スマートIDの開始 2019 改正電子IDおよび電子取引トラストサービス法の施行(監督官庁の修正) 日本で「電子署名及び認証業務に関する法律(電子署名法)」が施行されたのが2001年ですから、電子署名法のスタート時期だけを見れば、エストニアと日本はほとんど差がありません。 年表を見てもわかると思いますが、エストニアの電子署名法を理解する上で、電子署名法や電子取引に関するEUの動向の理解が欠かせません。官民における電子署名の利用が進んだエストニアは、EUにおけるデジタル戦略や電子署名のルール策定にも大きな影響を与えています。 エストニアの電子署名法の正式名称は、「デジタル署名法」です。技術的に中立なEU電子署名指令や日本の電子署名法と異なり、PKI電子署名に特化しているのが大きな特徴です。2000年公布・施行のデジタル署名法は、その後、何度かの改正を経て、2016年に廃止されました。 廃止と言っても、電子署名の法律がなくなってしまったわけではなくて、EU加盟国に対して強制力を持つ「eIDAS規則」の発効に伴い、「電子IDおよび電子取引トラストサービス法」という新しい法律へ受け継がれました。 そのようなわけで、現在のエストニアにおける電子署名の法律は、「eIDAS規則(EU共通の総論、実体法)」+「電子IDおよび電子取引トラストサービス法」(国内の各論、手続法)という組合せになりました。同じ形態の法律として、「GDPR(一般データ保護規則)」+「データ保護法」の組合せがあります。 eIDAS規則については、手塚先生による解説記事「日本のデジタル化政策推進の鍵、「電子契約」の有効性とリスク - 手塚悟教授に聞く」が参考になると思います。 (2)エストニアの電子署名 eIDAS規則の適用により、エストニアにおける電子署名は、次の4クラスに分類されます。 1 適格電子署名(QES:Qualified Electronic Signature) 2 適格電子証明書付きの高度電子署名(AdES/QC:Advanced Electronic Signature with a Qualified Certificate) 3 高度電子署名(AdES:Advanced Electronic Signature) 4 その他の電子署名(Other electronic signatures) 適格電子署名は、手書き署名と同じ法的効力があり、そのことを証明する必要がありません。 1999年のEU電子署名指令において、『「高度な電子署名」+「認定された証明書」+「安全な署名作成デバイス」の組合せであれば、法的な効力は書面への手書き署名と同等であり、法的な証拠として認められる』としていたので、その流れを受け継いだものと言えるでしょう。 現在のエストニアで使用される電子認証・署名の形態は、IDカード、モバイルID、スマートIDの3つですが、3つすべてが適格電子署名(QES)になっており、官民のサービスで広く利用されています。  適格電子署名(QES)で必要となる、「適格な電子署名作成デバイス(QSCD:Qualified Electronic Signature Creation Device)」は、eIDAS規則第29条および付録2で定めていますが、スマートIDはリモート署名(クラウド署名)であるため、少し苦労したようです。 スマートIDの「適格な電子署名作成デバイス」は、ソフトウェアコンポーネント、モバイルクライアント、および暗号化キーを管理するためのハードウェアセキュリティモジュール(HSM)の組合せです。 サイバーネティカ社が提供する「SplitKey」という技術を採用しており、「秘密鍵の分散管理」により、「適格な電子署名作成デバイス」の要件となる「電子署名の作成に使用される電子署名作成データ(秘密鍵)は、正当な署名者によって他人による使用から確実に保護できる」を満たすようにしています。 なお、日本でサービスを提供しているblockhive(ブロックハイブ)社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID(クロスID)」は、エストニアのスマートIDとは全く関係がありません。 「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。 (3)エストニアの電子シール eIDAS規則の適用により、エストニアにおける電子シールは、次の4クラスに分類されます。 1 適格電子シール(QESeal:Qualified Electronic Seal) 2 適格電子証明書付きの高度電子シール(AdESeal/QC:Advanced Electronic Seal with a Qualified Certificate) 3 高度電子シール(AdESeal:Advanced Electronic Seal) 4 その他の電子シール(Other electronic seals) 電子署名と異なり、「適格電子シール」だけでなく、「適格な電子署名作成デバイス」を必要としない「適格電子証明書付きの高度電子シール」も利用されています。Xロードで利用可能な電子シールも、「適格電子証明書付きの高度電子シール」または「適格電子シール」となっています。 電子シールの発行枚数や(特に民間企業における)利用状況等のデータについては、私も把握していないので、ジェアディスの今後の調査対象にしたいと思っています。Xロード以外では、エストニアの官報「Riigi Teataja」でも電子シールが利用されており、 eヘルスの分野では家庭医が利用していると聞いています。 エストニアの電子シールの歴史は古く、すでに2001年のXロードで使用されていましたが、当時は「電子シール」といった名称はありませんでした。その後、2009年の改正デジタル署名法により、法律上の地位を確立しています。 この時の名称が「デジタルシール」だったので、エストニアでは、電子シール(eシール)のことを、「デジタルシール」とか「デジタルスタンプ」と呼んだりします。特に「デジタルスタンプ」は「タイムスタンプ」と間違いやすいので注意しましょう。 日本では、電子シールは、「法人の電子印鑑」といった説明がされます。確かに、その通りなのですが、より重要なのは「自動処理を可能にする」という点です。 eIDAS規則の付録3「電子シールの認定証明書の要件」にも、『少なくとも自動処理に適した形式で(at least in a form suitable for automated processing)』という表現が見られます。 Xロードは、「コンピュータ間で自動処理によりデータを参照しあう仕組み」なので、自動処理を止めてしまう「自然人による電子署名」は、できる限り少ない方が良いのです。 「自動処理を可能にする」ことの重要性については、セコムIS研究所の松本さんが「EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト」の中で、次のように説明されています。 デジタル社会への移行に伴う「技術標準」の要求(要求の変化) ・電子署名指令(1999年)からeIDAS規則(2016年)の決定的な違い?? (過去)人の目視による判断/検証 → ヒューマンリーダブル → 人の判断による曖昧な技術仕様を許容する (現在)マシンが(構造化されたルール等により)検証・判断 → (署名データが)マシンリーダブル → 曖昧さをなるべく排除したい → そうした要求のための相互運用性を確保した技術標準の重要性 その他、総務省サイバーセキュリティ統括官室の「組織が発行するデータの信頼性を確保する制度(eシール)の検討の方向性について」も参考になります。 (4)エストニアのタイムスタンプ eIDAS規則の適用により、エストニアにおけるタイムスタンプは、「適格な電子タイムスタンプ(qualified electronic time stamp)」と、それ以外のタイムスタンプになりますが、実際に利用されているのは「適格な電子タイムスタンプ」だけになります。 エストニアのタイムスタンプには、少し複雑な事情があります。 エストニアでは、2000年のデジタル署名法で、すでにタイムスタンプサービスやタイムスタンプサービスプロバイダーの認定制度などを確立していました。それと同時に、デジタル署名(とその使用のためのシステム)の3要件を次のように定めました(法2条3項)。 1 署名が発行された名前の人物を明確に識別できるようにする。 2 署名の発行時刻を決定できるようにする。 3 署名が付与された後、データまたはその意味を識別不能に変更する可能性を排除する方法で、デジタル署名をデータに関連付ける。 1は否認防止、3は改ざん防止と言えますが、2の「署名の発行時刻を決定」は、2000年当時はあまり一般的なものではありません。 デジタル署名に「署名時刻の情報」が含まれるのであれば、一見すると、「タイムスタンプは不要なのでは?」と思われそうです。しかし、タイムスタンプは「特定の時点での文書の存在を証明する技術的および組織的手段のシステムによって形成されるデータのセット(法23条1項)」なので、「電子署名の無い電子文書の作成・保存」や「電子署名された電子文書の長期保存」といった場面で必要になります。 エストニアのデジタル署名法が、電子署名だけでなく、タイムスタンプも対象にしていたのは、エストニア政府が考える電子政府の基盤にタイムスタンプが必要だったからでしょう。 デジタル署名法を読み解くと、デジタル署名やタイムスタンプの実際の利用を想定した作りこみがされていることがわかります。具体的には、電子署名やタイムスタンプの有効性に争いが起きた時の判断の仕方、成りすましにより電子署名が行われた時の法的効力、電子文書(特に公文書)の長期保存やアーカイブといったことへの配慮です。 (5)エストニアの電子識別 eIDAS規則では、第3条の1項において、「電子識別(electronic identification)」を「個人または法人を、または法人を代表する自然人を、一意に表す電子形式の個人識別データを使用するプロセス」と定義しています。 これだけでは、ほとんど意味不明ですが、同条2-5項の「電子識別手段」「個人識別データ」「電子識別スキーム」「認証(authentication)」などの定義を見ることで、「認証用の証明書」(公的個人認証サービスにおける利用者証明用電子証明書)をイメージできると思います。「電子ID」や「デジタルID」を言っても良いでしょう。 エストニア政府が2002年に発行を開始したIDカードには、すでに認証用の証明書が含まれており、電子政府サービスへのログイン等に利用されましたが、デジタル署名法には、電子識別や認証用の証明書についての規定はありませんでした。 認証用の証明書の法的根拠はどこにあるかと言えば、それは「身分証明書法」にあります。認証用の証明書については、1999年に施行された身分証明書法の中に、政府が発行するIDカードへ「デジタル識別(デジタルID)および署名を可能にする情報」を記録するという規定(同法9条5項)が追加されました。 (6)エストニアの認定サービスプロバイダー 2020年6月現在のエストニアにおける認定トラストサービスプロバイダーは、次の2社です。 SK ID Solutions社 ・適格電子署名 ・適格電子シール ・適格電子タイムスタンプ GuardTime社 ・適格電子タイムスタンプ SKは、IDカード、モバイルID、スマートIDの3つ全てを発行する機関で、この分野をほぼ独占しています。GuardTime社は、KSIブロックチェーンで有名な企業です。 詳細は、監督官庁であるエストニア国家情報システム局が提供する「信頼済みリスト」、またはEUの「Trusted List Browser」を参照してください。 (7)エストニアの民事訴訟法における電子署名の取り扱い
エストニアの民事訴訟法では、「文書の信憑性の争い」について、次のような規定があります(法277条3項)。 デジタル署名を備えた電子文書の真正性は、その文書がデジタル署名の保持者によって作成されていなかったと推定できる根拠となる状況を立証することによってのみ争うことができる。これは、作成者と作成時刻を識別できる別の安全な方法により作成された電子文書にも適用される。 ここで言う「デジタル署名」は、「適格電子署名」と考えて良いでしょう。「作成者と作成時刻を識別できる別の安全な方法」とは、例えば「適格電子証明書付きの高度電子署名」+「タイムスタンプ」の組合せなどが考えられます。 デジタル署名や電子署名に関する判例は、判例データベースで探してみましたが、見つかりませんでした。署名の有効性に関する判例は数多くあるので、流通する電子署名が信頼性の高い「デジタル署名」という事情もあり、電子署名は証拠争いの争点になりにくいのではないかと思います。 機会があれば、エストニアの裁判官や弁護士に確認してみたいと思いますが、エストニアでは、実質的に「紙の文書+手書き署名」よりも「電子文書+電子署名(+タイムスタンプ)」の方が、信頼性が高く争いが起きにくいと言えるかもしれません。 なお、エストニアの刑法では、重要な身分証明書の偽造、偽造された身分証明書の使用や付与だけでなく、「他の人の名前で発行された身分証明書の使用、自分の名前で発行された重要な身分証明書の他人への貸与(法349条)」なども罪に問われます。 (8)日本の電子署名法とエストニアの電子署名法との違い 日本の電子署名法とエストニアの電子署名法は、スタート時期こそ近かったものの、基本的な考え方や対象とする範囲も異なりました。最近では、「国境を超えたデジタル社会への対応」といった点でも、日本の電子署名法は遅れてしまっているように思います。 今振り返ってみても、、1999年のEU電子署名指令は、かなりよくできていて、同指令を踏まえたエストニアのデジタル署名法は、非常に実践的かつ挑戦的なものでした。 最近、日本では、弁護士ドットコム株式会社が提供する「クラウドサイン」が取締役会議事録作成に用いる電子署名としても適法であるとの認定を受けて、法務省の「商業・法人登記のオンライン申請」で、クラウドサインの電子署名済みファイルが、商業登記オンライン申請における「添付書類」として利用可能になりました。 「クラウドサイン」のサービスは、弁護士監修の「電子契約サービス」と説明されていますが、その業務内容を見ると「民間による電子公証サービス(本人確認、文書作成・保管等)」と言えるでしょう。公証事務は、公証人による独占業務ですから、法的根拠の無い「民間による電子公証サービス」に頼らざるを得ない日本の現状は、あまり良いものではないと思います。 タイムスタンプや電子署名が個人や企業に広く普及するエストニアでは、このようなサービスは成立しないでしょう。もちろん、契約書の作成等に弁護士が監修することはありますが、その場合も、電子署名をするのは契約当事者になります。 日本とエストニアの電子署名法に差が生まれた要因として、法慣習の違いはあると思います。日本のように印鑑が利用されていない国では、電子署名の法的効力を考える場合、手書き署名と比較すれば足ります。しかし、日本では、電子署名の効力等を考える際に、手書き署名以外の様々な手段を比較検討する必要があります。 「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(2004年成立)」の第2条7号に次のような定義があります。 署名等:署名、記名、自署、連署、押印その他氏名又は名称を書面に記載することをいう。 こうした「署名等」の利用実態は、民間取引だけでなく、行政手続き等の公的分野においても、数多く見られます。押印だけを見ても、実印、登録印、認印、シャチハタなど様々です。いまだに、「この電子署名は実印か認印か?」といった不毛な議論が話題になっています。 日本の電子署名法では、技術的中立性と共に、日本の実態に合った「署名等」を考慮する必要があり、その結果が第2条のような定義になったのではないかと思います。 EUやエストニアにおける電子署名法には、電子取引を進めるにあたって、「紙文書と手書き署名」という組合せが持つ「曖昧性の排除」への挑戦がありました。 しかし、日本では「紙文書と署名等」という、日本独自の「強度な曖昧性」に向き合うことなく、それを内包する形で電子署名法を作ってしまいました。電子署名法によってもたらされた「電子取引における強度な曖昧性」は、その後のe-文書法や電子帳簿保存法などにも影響を与えています。 eIDAS規則における電子署名の定義は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名に使用する電子形式のデータ」となっています。つまり、電子署名の正体は「電子形式のデータ」なのです。 エストニアのデジタル署名法の定義も同様で、「デジタル署名は、技術的および組織的手段のシステムによって形成され、署名の発行者がドキュメントとの関係を示すために使用する一連のデータ」とされています。 日本の電子署名法では、電子署名の正体は「電子形式のデータ」ではなく、「行われる措置」となっています。この違いは、デジタル社会に対する認識の差なのではないでしょうか。 エストニアにおける新型コロナへの対応状況(2020年4月25日):出口戦略やオープンデータなどをお知らせしましたが、今回は、その後の状況をご紹介します。 (1)エストニアの現在の状況 2020年5月8日現在、エストニアの感染者数(Confirmed cases:確定値)は1725人、死者数は56人、退院者数277名となっています。約130万人の人口に対して、61,767のテスト(コロナウイルスの検査)が実施されています。感染者数の推定値(Active cases estimate)は、人口1万人あたり120人とされており、エストニア全体では約16,000人の感染者がいると考えられています。全てのデータやグラフは、コロナ統計データで入手できます。  人口当たりの推定感染者数が特に多いのは、首都タリン市があり人口が集中するHarjumaa郡(1万人あたり613人)と、Saaremaa郡(1万人あたり546人)です。離島であるSaaremaa地域には、早い段階で移動制限命令が出されています。  感染者数の増加は、4月上旬をピークに緩やかとなり、現在はかなり安定した状況です。推定感染者数(人口1万人あたり)のピークは2020年4月6日の753名となっています。  1日当たりの新規感染者数(確定値)のピークは2020年4月2日の93名です。  コロナウイルスの検査(テスト)も着実に進んでいます。現在までに、61,767(人口の5%弱)の検査が実施されました。1日当たりの検査数は多い時で2000件以上、現在は1500件ほど行われています。検査の手段については、ドライブインテストなど柔軟な対応をしています。検査方法の詳細は、Testing for the virusで確認できます。   (2)COVID-19危機出口戦略について 2020年4月22日に公表された「COVID-19危機出口戦略(The Strategy for Exiting the Situation Caused by the Spread of COVID-19)」は、2020年4月27日に政府の承認を受けて正式に決定されました。公表後に専門家や関連団体等から多くの意見があり、最終決定版にはそれらの内容を含めています。戦略は、関連法および同戦略において定められた組織体制の下で、実行されます。 なお、出口戦略と緊急事態の終了は、基本的には別のものです。緊急法第22条(緊急事態の終了)に規定されている通り、緊急事態の終了は「緊急事態を解決するための管理措置または対策を実施する必要がなくなった」後に、政府が決定します。 出口戦略は3つの段階(ステージ)に分かれています。 段階1 感染の発生の拡大:各種制限措置の実行(アウトブレイクの制御) 段階2 事態の安定化:制限の段階的な緩和 段階3 日常生活への復帰と次の大規模感染への準備 段階の移行は、定められた指標(データは毎日更新)を監視し、条件をクリアした場合に可能となります。すべての指標について、指標の動向を監視することがより重要であるため、目標値は設定していません。 状況は、赤・黄・青(緑)の信号形式で、わかりやすく示されています。例えば、段階1から段階2への移行は、次の条件(基準値)を満たす必要があります。なお、段階3への条件は将来決定されます。 ・過去7日間の平均感染数は、過去7日間の平均よりも少ない ・50歳以上のグループの14日間の合計感染数は476以下である ・14日間の平均入院COVID-19患者数は157人以下である ・1日あたりの14日間のCOVID-19集中治療室病床数は、20以下である  上記条件の他にも、推定値として、医療の利用可能性、政府のガイドラインと確立された措置に従う人々の準備状況、経済の全体的な健全性(具体的な経済指標を明示)、信頼措置を実施する機関の能力についても監視されます。つまり、4つの実測値の指標と、4つの推定値の指標に基づき、段階の移行が決定されることになります。当然、状況が悪くなれば、段階1に戻ることもあります。 緊急事態宣言は5月17日まで延長されていますが、現在のエストニアは第2段階にあるため、さらに延長される可能性もあります。 エストニア政府は、戦略の実施について、「現在の集団発生を制御したかどうか」および「将来起こり得る集団発生に対抗するためにどのような選択をしたか」によって異なると考えています。その上で、現在の発生を制御していると仮定した場合、次の4つのシナリオを想定しています。現在、Aのシナリオになるべく、具体的な対策の検討・実施を進めています。 A.波の警告:早期発見システムが開発されており、感染した人々と暴露された人々の隔離が提供されているため、現在の流行は衰え、新しい流行は防がれています。 B. 2番目の波:数か月後に第2波が発生します。これは現在よりやや小さいです。危機の教訓に基づいて、夏に発生する可能性のある別の波に備えており、迅速かつ効果的に対応することができます。 C.大規模な第2の波:数か月後には、現在の規模に匹敵する別のアウトブレイクが発生します。現在の緊急事態の経験を考慮して、同じまたはより厳しい制限を適用する準備が必要です。 D.波紋:現在よりもはるかに少ない程度ではありますが、感染の発生は数か月ごとに続きます。 制限緩和の優先順位は、(1)医療・ヘルスケアサービス、(2)教育機関、(3)その他のサービス等となっており、各業種やサービスごとに感染拡大リスクや緩和条件等を定めています。日本の要請や指示と異なり、ここでの制限は「罰則を伴う政府による禁止措置」を意味します。 どの制限をどのように緩和するかは、政府が毎週決定します。現在までに、野外博物館や博物館の屋外エリアが開放され、野外トレーニングセッションの実施などが許可されています。特に5月5日の決定で、かなり多くの活動が許可される可能性が出てきました。制限が解除(許可)される場合も、消毒液の設置等の衛生、社会的距離の確保(2メートル)、必要に応じたフェイスマスクの着用や手洗いなどの遵守が必要です。 経済、医療、国境管理については、出口戦略計画に合わせて、別途テーマ別の行動計画が策定されます。経済通信省は、2020年5月に戦略を実施するための利害関係者を巻き込み、経済指標を明記した経済回復行動計画を作成します。社会問題省は、2020年5月中に、早期発見と接触監視システムの開発を含むCOVID-19の新たな発生に対処するための医療システム準備計画を作成します。外務省は、パートナー国および利害関係者と協力して、商品と人々の自由な移動のための行動計画を策定します。 戦略の目的は、次の4つです。各目的に応じた運用ラインが定められています。 1 人々の肉体的および精神的健康を確保する 2 人々の生活を確保し、通常の生活に戻す 3 ビジネスの存続と競争力維持を支援する 4 国家の機能を確保する 戦略の全体像は、次の通りです。  少し解説すると、左側にあるのが運用ライン(OpL)で個別活動目標のようなものです。右側に4つのゴール(目的)があり、各運用ラインとつながっています。最上部に3つの段階(ステージ)があります。黄色の三角形に数字があるものは、望ましい状態(Desired state)で、各段階における状態や中間目標を示しています。望ましい状態とは、具体的には次の通りです。
△1. 個人用保護具と戦略的備品の入手可能性、および第一線の要員の妥当性が確保されている。 △2. 感染の発生が制御下にある。 △3. 人々が責任を持って行動している。 △4. 予定された治療が通常通り継続している。 △5. コンタクトティーチング(教師と生徒との学習接触)が継続している。 △6. 国内移動の制限が解除されている。 △7. 国境が開放されている中で、ウイルスの蔓延を防ぐ効果的な管理が保証される。 △8. ビジネス部門(企業、個人事業主等)が適応している。 △9. 困っている人々の生計が保証されている。 △10. 失業の増加が鈍化している。 △11. 社会は次の大規模感染発生への準備ができている。 △12. 人々の安全(外交、軍事、経済、社会)が保証されている。 これらを見ても、段階3への移行は、かなりハードルが高いと言えるでしょう。 日本の出口戦略は検討段階のようですが、いくつかの段階に分けた上で、指標や基準等を明示することで、人々や企業の不安を緩和することが可能なのではないでしょうか。 エストニアの電子政府を支えているのは、Xロードだけではありません。今回は、エストニアのデジタル国家の基礎となっている住民登録データベースを紹介し、それに付随する身分証明書の法制度も紹介したいと思います。住民登録データベースは、今回のような新型コロナ問題への対応でも大活躍しており、住民だけでなく自治体職員など公務員の負担軽減にも役立っています。 (1)エストニアの住民登録データベース エストニアの住民登録データベース(Estonian population register)は、公共情報法や人口登録法に基づき作成されるもので、国家運営の基礎となる最も重要な唯一無二の公的データベースです。2018-2019年にかけて、GDPR施行に合わせた国内法改正の影響を大きく受けていますが、基本的な考え方は変わっていません。 データ管理者は国(内務省)で、必要な範囲で処理者を任命しています。日本では各自治体で住民データを管理していますが、エストニアの場合は国が一括管理して、自治体は「国が管理するデータの利用者」という位置づけです。 データは原則として永久保存され、データ処理は専用ソフトウェアで行なわれます。データへのアクセスは業務範囲のデータに限定して許可され(機密情報)、データの正確性が推定されます。全てのデータ処理やアクセスに関する情報が記録され、定期的なデータ監査が義務付けられています。 人口登録法の構成は、次の通りです。「住民登録データベース管理法」と言っても良いかもしれません。 第1章 一般条項 第2章 住民登録簿の管理者と処理者 第3章 住民登録簿の維持管理 第4章 住民登録簿のデータ構成 第5章 登録簿へのデータ提出 第6章 登録簿のデータ主体の地位 第7章 個人識別コード 第8章 登録簿のデータへのアクセス 第9章 住所 第10章 居住の通知 第11章 地方自治体による居住データの入力 第12章 所有者の要請による居住データの修正 第13章 住所変更のその他の根拠 第14章 滞在先住所、連絡先の詳細、追加住所 第15章 紛争の監督と解決 第16章 条項の実施 第17章 法改正 エストニアの個人番号(個人識別コード)は、この人口登録法の中で規定されており、日本のようなマイナンバー法はエストニアにはありません。この意味では、日本の住民票コードに近いと言えるでしょう。 エストニアの個人識別コードを日本のマイナンバーと比較すると、次のようになります。  エストニアには、日本の戸籍のような仕組みはありません。基本的な個人情報は、住民登録データベースに統合されています。登録される個人データは、次の通りです。 1 氏名 2 性別 3 出生データ(生年月日、出生地) 4 個人識別コード 5 市民権・国籍に関するデータ 6 住居に関するデータ 7 追加住所 8 連絡先の詳細(メールアドレス、ポストボックス番号、電話番号) 9 滞在先の住所 10 婚姻状態に関するデータ (独身、既婚、死別、離婚) 11 親権に関するデータ (親権者、保護者、親権の回復・制限・剥奪など) 12 後見に関するデータ (後見人の氏名、後見開始終了時刻、後見人の同意なしに可能な取引など) 13 有効な法的能力の制限、投票権の剥奪に関するデータ 14 死亡に関するデータ (死亡時間・場所、埋葬地、死亡原因など) 15 母親、父親、配偶者、子供に関するデータ(個人識別コードなど) 16 教育の最高達成レベル(最終学歴) 17 民族籍、母国語、教育 (※統計目的の任意提出・登録データとして) その他 a 個人データに関連する文書のデータ (発行した身分証明書、外国人居住・就労許可証など) b 有権者登録データ(有権者リストおよび有権者カードの作成で利用) c 手続に関するデータ(統計データとして利用) d 登録簿の維持管理に役立つデータ(データ提出、データへのアクセス、アクセス制御、分類コードなど) ちなみに、日本の住民票の個人データは、次の通りです。 1 氏名 2 生年月日 3 性別 4 世帯主の氏名(世帯主との続柄) 5 戸籍の表示 6 住民となった年月日 7 住所、住所を定めた年月日 8 (他の市町村から転入した場合)住所を定めた旨の届出の年月日、従前の住所 8の2 個人番号 9 選挙人名簿への登録の有無 10 国民健康保険の被保険者資格に関する情報 10の2 後期高齢者医療の被保険者資格に関する情報 10の3 介護保険の被保険者資格に関する情報 11 児童手当の受給資格に関する情報 12 米穀の配給に関する情報 13 住民票コード 14 住民の福祉の増進に関する情報(市町村長が事務管理・執行するもの) 日本の住民データ管理で、エストニアと異なるのは、紙台帳の名残り、戸籍との併存、世帯単位、自治体単位、主キーの不存在などです。ですから、戸籍と住民基本台帳を整理統合し、個人単位のデジタル処理を前提とする仕組みとして再設計・再構築し、国が一括管理するようにすれば、エストニアの住民登録データベースに近いものになります。個人的には、次世代型の電子政府を実現するためには、日本もその方向で進めるべきと考えています。 (2)エストニアの身分証明書制度 日本のマイナンバーカードは、住民サービスの視点で語られることが多いですが、エストニアの国民IDカードを始めとした身分証明書の制度は、基本的には安全保障の視点で作られています。そのため、身分証明書の管理・発行は、国内の安全保障を所管する内務省の配下にある警察・国境警備局が行っています。 公的な機関が発行する身分証明書については、身分証明書法に基づき、住民登録データベースとは別の「身分証明書データベース(identity documents database)」で登録・管理されています。身分証明書データベースの主目的は、住民サービスの提供ではなく、「公共の秩序と国家安全の確保」です。  身分証明書法は、身分証明書の要件を定め、エストニア共和国がエストニアの市民および居住者に身分証明書を発行することを規定する法律です。身分証明書は、原則として「国の機関が発行する文書で、所有者本人の氏名、生年月日、個人識別コード、写真(顔画像)、署名(署名画像)を記載したもの」と定義されます(住所情報は含まれない)。オンライン上の本人確認手段としてのデジタルIDも規定されます。 15歳以上のエストニア市民は、身分証明書を取得する義務があります。初めて身分証明書を取得する場合は、警察・国境警備局が本人確認を行った上で、身分証明書データベース(identity documents database)に登録します。顔写真や指紋等の生体情報の登録も必要です。厳密な身元確認は、身分証明書の所有者の生体情報と身分証明書に記録された生体情報を比較して行なうことになっています。 身分証明書法の構成は、次の通りです。 第1章 一般条項 第2章 身分証明書の要件 第3章 身分証明書の発行と失効等 第4章 身分証明書の有効性と検証 第5章 IDカード 第5-1章 デジタルIDカード 第5-2章 eレジデンシー(電子居住)のデジタルIDカード 第5-3章 外交用IDカード 第6章 エストニア市民の旅行書類(旅券) 第7章 外国人の旅行書類 第8章 帰国証明書および帰国許可証 第9章 条項の実施 身分証明書の種類と記載情報は、次の通りです。  安全保障の視点には、戦争やテロだけではなく、今回のコロナ問題のようなパンデミックやエピデミック、大規模地震のような広域災害なども含まれます。実際、エストニアの企業や市民は、新型コロナ問題に関連する経済的な支援を、オンライン経由で簡易に受けることができました。 日本でも、安全保障の観点から、エストニアのような住民データベースと身分証明書制度が確立されることに期待します。 エストニアでは、2020年3月12日に、新型コロナへの対応として緊急事態宣言(宣言時は2020年5月1日までを予定)が出されましたが、その後の経過について整理しておきます。
なお、エストニア政府は、公用語であるエストニア語に加えて、ロシア語や英語でも情報提供していますが、エストニア語に比べると情報の量・質は劣るので注意してください。 (1)エストニアの現在の状況 2020年4月24日現在、エストニアの感染者数(Confirmed cases)は1605人、死者数は46人、退院者数206名となっています。約130万人の人口に対して、46,281のテストが実施されています。 緊急法に基づき政府(首相が長)が緊急事態を宣言した後は、必要に応じて追加の命令や修正等を下しながら、新型コロナへに対応するための関係法令の一括改正案の策定などを行いました。情報提供については、緊急事態の専用ウェブサイトを設置して、積極的に行っています。 早期の段階で(深刻な状況になる前に)緊急事態宣言を行ったこともあり、新しい感染例数の減少も確認されて、2020年4月22日には、「COVID-19危機出口戦略計画」が政府委員会によって発表されました。政府委員会は、伝染病に限らず緊急事態における司令塔・意思決定機関として機能する組織で、首相や重要閣僚等で構成されています。 今後は、引き続き監視・観察・分析・評価等を行いながら、段階的に制限を緩和して、国民の日常生活や経済活動を元に戻していくことになりますが、まだまだ時間がかかりそうです。実際、2020年5月1日まで有効としていた緊急事態宣言は、5月17日まで延長されることになりました(2020年4月24日政府決定)。 時系列に整理すると、次の通りです。 2020年3月12日 緊急事態の宣言(命令) 2020年3月13日 緊急措置の命令 2020年3月13日 最初のハッカソンイベントを開催 2020年3月14日 緊急事態の地域ユニットリーダーを任命 2020年3月15日 国境管理の再導入(シェンゲン協定の一時的な制限) 2020年3月17日 カジノやスロットマシンホールの閉鎖を命令 2020年3月19日 緊急措置命令の一部修正(リスク国リストの廃止等) 2020年3月19日 労働者と企業を支援する経済的措置を承認 2020年3月20日 緊急事態タスク(必要物資の確保)責任者に財務大臣を任命 2020年3月22日 科学諮問委員会メンバーの承認 2020年3月23日 緊急事態とコロナウイルスの質問に回答する自動チャットボットを開始 2020年3月24日 緊急事態への追加対策の命令(ショッピングセンターの一部閉鎖等) 2020年3月24日 科学評議会による勧告(社会的隔離措置の強化等) 2020年3月25日 緊急事態の新しい制限について全住民に電子メールとSMSを送信 2020年3月26日 感染者やその家族に対する移動制限を命令 2020年3月29日 サーレマー島とムフマー島の緊急措置強化を命令 2020年3月31日 科学評議会からの経過報告(これまでの措置の効果等) 2020年4月2日 COVID-19の管理に関連する法案を承認 2020年4月2日 補正予算案と関係法令改正案を国会提出 2020年4月3日 介護施設における隔離命令の強化 2020年4月3日 店舗・サービスの消毒剤設置等を義務化 2020年4月6日 ウイルス蔓延防止の社会的責任キャンペーンを開始 2020年4月9日 ホームレスの感染者の保護と隔離措置を命令 2020年4月9日 住民登録データに基づくテスト(血清疫学的抗体検査)実施を承認 2020年4月16日 COVID-19拡散マッピングの研究プロジェクト支援を決定 2020年4月22日 COVID-19危機出口戦略計画の公表と国会提出 2020年4月24日 緊急事態宣言の5月17日までの延長を決定 ※緊急事態宣言に関する命令違反には罰則規定がありますが、罰金刑のみで、それほど大きな強制力はありません。 ※宣言に伴う制限については、約8割の市民が遵守すると回答していますが、一部の人たち(特に若い世代が多い)は外出等をしてしまうようです。 ※エストニアの住民登録データベースには、本人への連絡手段として電子メールが登録されています。また、国民IDカードと国民識別コードに紐づけされた公的電子メールアドレスが付与されます。 (2)エストニアの出口戦略と規制制限の緩和 「COVID-19危機出口戦略計画」は、COVID-19の蔓延に起因する状況を克服するための戦略です。戦略の目的は、緊急事態を克服し、通常の生活リズムに戻るための調整された計画を作成することです。戦略は、緊急事態の終結や、感染拡大が止まったことを意味するものではありません。 戦略の発表に関して、2020年4月24日にラタス首相は次のように述べています。 過去2週間で、感染症と入院の新たな症例数が減少し、明らかにピークに達しました。今週、政府は出口戦略の草案を発表しました。これは来週承認されることを期待しています。その後、医学的状況が許せば、制限を徐々に緩和し始めることもできます。ただし、出口戦略は段階的に慎重に行われるため、緊急事態を5月17日の終わりまで延長することを本日決定しました。 この戦略は、短期および長期の両方で緊急事態の影響を軽減するための分野横断的なフレームワークを提供し、異なる部門間の相互作用を考慮に入れています。最新の統計と以前に実施された対策の影響に基づいて、戦略は随時更新されます。 戦略の目的は、次の4つです。 1 人々の肉体的および精神的健康を確保する 2 人々の生活を確保し、通常の生活に戻す 3 ビジネスの存続と競争力維持を支援する 4 国家の機能を確保する もう少し詳しく説明すると ・ウイルスの蔓延を遅らせ、短期および長期の両方で医療システムへのウイルスの影響を軽減する ・緊急事態の制約から生じる、個人の収入、失業、教育、日常生活の影響の可能性を軽減する ・企業に対する制限の影響を緩和する ・重要な財とサービスの供給を必要なレベルに維持する ・緊急事態に関連する制限を順守する人々を支援し、社会の対立を防ぐ 制限の緩和については、その手順について、感染拡大のリスク、時系列および優先順位等で整理されています。 例えば、エストニア人が大好きなサウナについては、感染のリスクが大幅に高まるとされ、制限緩和の優先順位は低くなっているため、早期の緩和は期待できません。制限が緩和された場合の要件として、社会的距離(2メートル)の確保、消毒要件の遵守、従業員等の個人用防護具の確保などがあります。 出口戦略の主要な指標は、次の通りです。 1. 1日あたりの感染者の数とすべての検査を受けた人の比率、50歳以上のグループの感染者数 2.入院中のCOVID-19患者の数。 3. COVID-19による集中治療施設の使用(24時間あたりのベッド数) 4.ヘルスケアへのアクセス状況 5.政府のガイドラインと措置に従う国民の状況 6.経済の全般的な健全性 7.信頼対策を実施する能力 8.地域、EU加盟国および第三国における疫学的状況およびCOVID-19対策 政府委員会は、週に一度、科学者や専門家と協力して規制緩和を検討します。 (3)新型コロナに関するエストニア政府の情報提供 新型コロナに関する情報は、政府通信局が管理する緊急事態の専用ウェブサイト「エストニアの緊急事態に関する公式情報」で入手することができます。 緊急・コロナウイルス、日常生活・基本ニーズ、教育・文化・スポーツ、仕事・経済・ビジネス、旅行・越境、治安・国防、質問・回答など、分野や目的ごとに整理されているので、欲しい情報を比較的容易に見つけることができます。 コロナウイルスの統計情報については、「Koroonaviiruse andmestik(エストニア語)」や「koroonakaart(英語版あり)」で閲覧することができ、データやイメージ等のダウンロードも可能です。 また、コロナウイルスSARS-CoV-2テストの結果も、オープンデータ化(JSON形式、CSV形式)されており、毎日更新されます。 エストニアでは、医師による診察・検査・入退院記録等のデータ提供が義務化されており、国が管理する医療データベース(健康情報システム)に自動的にデータ(かなり詳細)が集まってくる仕組みが確立しています。全住民に付与される個人識別コードで患者を識別しているので、個人単位の追跡調査も可能です。コロナウイルスのオープンデータは、このデータベースからの最新情報に基づいて、保健福祉情報システムセンター(TEHIK)が提供しています。 ヘルスケア関連のオープンデータには、医療機関や医療専門家(医師、看護師等)情報も含まれており、これらのデータを活用して、全ての医師や看護師の氏名、資格登録番号、勤務地、専門が公開されています。こうしたデータの公開は、限られた人的資源の活用や配置の最適化等に貢献しています。 その他、社会問題省(日本の厚生労働省のような組織)にある健康委員会が提供する「Information about Coronavirus disease COVID-19」でも、関連情報を入手できます。健康委員会は、医療・介護従事者向けの各種ガイドライン等も提供しています。 自治体向けの情報は、議会の開催方法(オンライン会議)など自治体の緊急事態対応に関する情報を提供しています。 今回の緊急事態宣言に関連する法令については、法令データベースのサイトで確認できます。 (4)エストニアから学べること 日本における感染者数のピークアウトについては、まだ明確ではありませんが、今後の出口戦略の策定に向けて、日本がエストニアから学べることは、いくつかあると思います。 その中でも、透明性は大切と思います。透明性を実現するためにも、高品質なデータを自動的に収集・活用できる仕組みが必要と考えます。 関連:エストニアのeヘルスと医療データの活用(2019年10月) |
Categories
すべて
Archives
2 月 2021
|
RSS フィード