エストニアのデジタル国家では、公的データベースのガバナンスが法制度として確立していることを前提として、組織や分野を越えた情報交換の仕組みとして、X-Roadを採用している。X-Roadを利用して様々な個人データをインターネット上で安全に交換するために、X-Roadの維持管理において特にセキュリティを重視している。
X-Roadのデータ交換は、「X-Roadメッセージ」という形式で行い、メッセージを送信する組織の秘密鍵によって署名され、すべてのメッセージがログに記録される。この時、メッセージヘッダーとメッセージ本文の両方がログに記録されるが、ログを暗号化して保存するかは、各組織(セキュリティサーバ)の管理者で設定する必要がある。 X-Roadのセキュリティで問題とされることの一つに、「政府が定めるセキュリティ標準の実装が義務付けられる公的機関と、そうした義務のない民間企業との差」がある。もちろん、両者の差を埋めるためにセキュリティサーバ(データ交換のセキュリティを確保するための共通ソフトウェア)があるのだが、X-Roadに参加する民間企業には、セキュリティサーバの設定や運用について裁量となる部分が、公的機関よりも広く残されている。 ログの主な役割は「否認防止」であるため、X-Roadによって処理されるすべてのメッセージは「デジタル証拠」として採用できるようにしてある。 否認防止を有効にするためには、「データ交換の完全性」と「メッセージとX-Roadメンバー間の繋がりの識別」を事後に確認できる必要がある。具体的には、欧州eIDAS規則に準拠するeシールとタイムスタンプを使用しているが、この措置はX-Roadの根拠法令で明確に規定している。 Xロードのログには、監査ログ、メッセージログ、システムサービスログの3種類がある。監査ログは、リクエストの結果が成功か失敗かに関係なく、ユーザーが構成したシステム状態または構成への変更が記録される(セキュリティサーバおよび中央サーバ)。 X-Roadは、収集、記録、整理、保管、変更、開示、個人データへのアクセスの許可など、個人データに対して実行されるすべての操作で、欧州の一般保護データ規則(GDPR)に準拠する義務がある。ログを「デジタル証拠」とするためには、識別が必須となるため、X-RoadのログもGDPRの適用対象となる。 図表:X-Road Security Architecture
0 コメント
|
Categories
すべて
Archives
3月 2024
|
一般社団法人 日本・エストニアEUデジタルソサエティ推進協議会
Japan & Estonia EU Association for Digital Society ( 略称 JEEADiS : ジェアディス)
|
免責事項
本ウェブサイトの情報は、一部のサービスを除き、無料で提供されています。当サイトを利用したウェブサイトの閲覧や情報収集については、情報がユーザーの需要に適合するものか否か、情報の保存や複製その他ユーザーによる任意の利用方法により必要な法的権利を有しているか否か、著作権、秘密保持、名誉毀損、品位保持および輸出に関する法規その他法令上の義務に従うことなど、ユーザーご自身の責任において行っていただきますようお願い致します。 当サイトの御利用につき、何らかのトラブルや損失・損害等につきましては一切責任を問わないものとします。 当サイトが紹介しているウェブサイトやソフトウェアの合法性、正確性、道徳性、最新性、適切性、著作権の許諾や有無など、その内容については一切の保証を致しかねます。 当サイトからリンクやバナーなどによって他のサイトに移動された場合、移動先サイトで提供される情報、サービス等について一切の責任を負いません。 |