Cybernetica社のサイバー専門家によって作成された「電子投票における生体認証の実装の分析（技術文書：バージョン1.1）」が公開されました。本文書を読み解くことで、エストニアの電子投票の仕組みの理解が深まる内容になっています。

電子投票における生体認証の実装（2021年7月2日：エストニア語）

技術的な実現可能性、法的な問題、開発作業量の評価などを含む本分析では、電子投票の認証に顔認証を含めることは可能で、プライバシーと技術の高度化に対する「リスクがメリットを上回らない可能性がある」ことを認めています。

電子投票システムの技術面を支援するエストニア情報システム局（RIA)の見解では、電子投票において顔認識を使用するためには、プライバシー、アクセシビリティ、および一般的なサイバーセキュリティに関する長期的なテストと事前の公開討論が必要であるとしています。電子投票での顔認証の利用については、かなり慎重であると考えて良いでしょう。私もこの見解は賢明であると思います。

エストニアでは、これまでに11回のインターネット投票が全国規模で実施されており、投票の検証や監査機能など、何度もシステムが改善されてきました。そのセキュリティの中心には、投票者を特定するデジタルID（デジタルアイデンティティ）があります。顔認証の場合でも、投票者がIDカードの本人と同じであることを保証する必要があります。

顔認証については、エストニアでも電子公証などで既に導入実績がありますが、制御された環境での公証人が関与する電子公証と、多数の市民が様々な環境からリモートで参加する電子投票では、考えなければならないリスクシナリオや、顔認証導入によるシステム全体（規約の見直し、追加のハードウェア、使いやすさの低下など）への影響はかなり異なります。データ保護の影響評価など、GDPR上の措置も必要になります。

しかし、電子認証・署名の機能を持つIDカードの利用も、完璧ではありません。これまでに有罪判決はありませんが、介護施設における高齢者のIDカード利用で、施設長などが起訴されたことは何度かあります。また、モバイルデバイス上で実行されているマルウェアによるモバイルIDの悪用の理論的な可能性も認識されています。

以前紹介したように、エストニアには「自動生体認証データベース（ABISデータベース）」が構築されているので、このABISデータベースに対して特定の顔写真データを照会することは可能です。ただし、ABISの顔写真データは独自の個人識別子を使っている（氏名や生年月日、個人識別コードを直接結び付けていない）ため、電子投票で利用する場合は少し工夫が必要になります。

インターネット投票に顔認証を導入する方法としては、顔認証の結果を投票への電子署名の一部に組み込んだり、認証結果のリンクを挿入したり、暗号化した顔写真を監査時に検証する等が考えられるでしょう。

電子投票は、エストニアの憲法で保障された選挙権（投票の自由、均一性、普遍性、直接性および秘密性の原則）の行使を、インターネット上でも実現するためにあります。この原点を忘れることなく、より便利で安全なインターネット投票とするために、今後のさらなる検証に期待したいと思います。

経済通信省の政府機関で、国の電子政府インフラサービスの開発・管理、政府のサイバーセキュリティなどを担当する、エストニア情報システム局（RIA）から「身分証明書写真の違法ダウンロード」について、2021年7月28日に報道発表がありました。

RIAでは、7月20日に政府ポータルの企業サービスにおける従業員のアクセス権限管理（代理機能）について、従業員データの管理不備（不適切なアクセス制御）があったことが発表されたばかりです。

エストニア情報システム局（RIA）は、日本で9月にスタートするデジタル庁と機能が重なる部分も多いので、日本のデジタル庁の役割を考える上で何かの参考になればと思います。


（１）事件の概要

「身分証明書写真の違法ダウンロード」についての概要は、次の通りです。
​

1. 偽造されたデジタル証明書を使用して「身分証明書データベース」から286,438人未満の写真データがダウンロードされた。
2. ダウンロードされたデータセットには、写真データ、氏名、個人識別コードが含まれている。
3. ダウンロードされたデータセットは、容疑者のコンピューターに到達していなかった。
4. 警察は、すでに容疑者を逮捕・勾留し、事件の状況を立証するために刑事手続きを開始した。（検察は、勾留の必要性が無いと判断し容疑者を釈放）
5. 容疑者は、警察国境警備局が管理する「身分証明書データベース」への不正アクセスを試みたがアクセスできなかった。
6. 容疑者は、RIAが管理する写真仲介サービス（本人からのリクエストに応じて、身分証明書DBから写真データを提供するアプリケーション）を利用して、違法に写真データをダウンロードした。
7. 写真仲介サービスのセキュリティの脆弱性が悪用されて、今回の違法ダウンロードが実行された。
8. RIAは、誤用が発見された直後に写真仲介サービスを停止し、セキュリティ上の欠陥を修正した。
9. RIAの責任者は、「このようなセキュリティの脆弱性があり、これまで発見されていなかったこと」を公式に謝罪した。
10. 警察は、写真が違法にダウンロードされたすべての人に対して、政府ポータルを経由して、公的電子メールアドレス宛てに通知を送った。
11. 発行されている身分証明書やデジタルIDは、これまで通りに使えるため、新しい写真を撮ったり、新しい身分証明書を申請したりする必要はない。

（２）悪用されたセキュリティの脆弱性

写真仲介サービスは、写真を取得するために5つのサブシステムによる追加の検証が必要になるように構成されていましたが、容疑者は、リクエストの正当性を適切に検証していないアプリケーションの脆弱性を発見し、これを悪用しました。その結果、容疑者は、個人名と個人識別コードの情報だけで、あたかも本人が自分の写真をリクエストしたようにシステムに誤った認識をさせて、写真仲介サービスから写真をダウンロードすることに成功したようです。

RIAの専門家は、同様のセキュリティ脆弱性を排除するために、写真仲介サービス以外のサービスについてもテストして、攻撃の可能性は検出されませんでしたが、引き続き検証・
監視を続けるとしています。

今回の事件では、「偽のデジタル証明書を使用」とありますが、その詳細についての発表は今のところありません。考えられるのは、証明書の検証が不十分だったので「（本人の氏名と個人識別コードを含む）なんちゃってデジタル証明書」を「本人の正式なデジタル証明書」とシステムに認識させることが可能だったのではないかと推測されます。


（３）事件の発覚と対応の流れ

7月16日：認証サービスを管理する「SK ID Solutions」が、リクエスト数の増加をRIAに通知
7月21日：RIAは、追加の監視を通じて身分証明書DBからの写真データの大量ダウンロードを検出し、サービスを停止
7月22日：RIAは、ドキュメント内の写真がダウンロードされた可能性のあるIPアドレスを記録し、その情報を警察に転送
7月22日：RIAは、写真仲介サービスの制御メカニズムの操作の原因を特定するために内部検査を開始
7月23日：警察は、データをダウンロードした疑いのある男性を拘束し、最初の手続き上の措置を実行
7月23日：RIAは、脆弱性を修正した写真仲介サービスを再開。利用者は、これまで通り自分の身分証明書写真をダウンロード可能に
7月23-27日：RIAは、他のサービスで同様の攻撃の可能性をさらに確認

今回の事件で幸運だったのは、「容疑者がエストニア国内で活動していたため、早期に逮捕できたこと」と「ダウンロードされたデータが、容疑者が利用していたデータベースから他のコンピュータに送信された形跡がなかったこと」だと言えるでしょう。

ただし、データが他のコンピュータに送信された可能性を完全に排除できる段階ではないため、容疑者の犯行の動機などさらなる捜査・検証が必要になります。特に、オンライン面接等による本人確認（eKYC）などのサービスで悪用される可能性には、注意する必要があります。

事件が起きてしまったことは残念ですが、関係機関による日常的なセキュリティ監視と連絡連携が、適切に機能していることを確認できたことは、良い収穫だったのではないかと思います。

2021年7月15日、エストニアの身分証明書法に重要な改正がありました。

今回の改正により、これまで確立されていた「身分証明書データベース（15条の2）」に加えて、「自動生体認証データベース（ABISデータベース（15条の4））」が構築されることになります。ABISデータベースは、身分証明書の発行時に収集される生体認証データ（顔画像、指紋等のデータ）について、身分証明書データベースから切り分けて管理するものです。

ABISデータベースの生体認証データ（および経歴データ）により、個人を特定（識別）したり身元を確認したりすることができます。「個人の特定」と「身元の確認」は、異なる処理です。

「個人の特定」は、個人のID（本人識別）データとABISデータベース内のいくつかのデータセットを比較します。「身元の確認」は、個人の身元データと、その人に関して以前にABISデータベースに入力された身元データを比較します。

身元の確認と検証は、個人が誰なのか不明である、本人の身元に疑問がある、複数の人の身元データを使用していると疑う理由がある場合などに実施されます。

「身元の確認」は、いわゆる「成りすまし」や「背乗り（身分・戸籍の乗っ取り）」を防止する観点から重要な処理ですが、日本では実施されていません。「身元の確認」において不可欠な生体認証データが管理されていないからです。（遺体の身元確認はあります）

日本で「身元の確認」と言われているものの多くは、実際には「身分証明書等（本人確認書類）の確認」であり、エストニアの身分証明書法で定める「身元の確認」ではありません。身元確認の脆弱性は、北朝鮮による日本人拉致問題など重大な人権侵害を引き起こす原因にもなります。

「身元の確認」は、デジタルIDの信頼性とも深く関係しています。「身元の確認」ができない状況では、政府機関等によって発行されたデジタルIDであっても、赤の他人に発行されている可能性が高くなるからです。残念ながら、日本におけるトラスト制度の確立に向けた検討では、本質的な「身元の確認」については、ほとんど議論されていないように思います。

2021年現在、日本のパスポートは信頼度ランキングで世界1位になっています。外国工作員や犯罪者にとって、「成りすまし」や「背乗り（身分・戸籍の乗っ取り）」がしやすい日本は、まさに天国と言えるかもしれません。

エストニアでは、新型コロナに関するPCR検査の結果やワクチン接種の実施を証明できるデジタル証明書が発行されています。

新型コロナのデジタル証明書には、次の3種類があります。

1 EUデジタルCOVIDテスト証明書
2 EUデジタルCOVID感染証明書
3 EUデジタルCOVID免疫証明書

「EUデジタルCOVIDテスト証明書」は、Sars-Cov-2のPCR検査の陰性結果を証明し、「EUデジタルCOVID感染証明書」は、同PCR検査結果が陽性であったことを証明します。「EUデジタルCOVID免疫証明書」は、COVID-19の予防接種を受けていることを証明します。

デジタル証明書は、エストニアの全国医療データベースである「健康情報システム」に記録される医療データに基づいて発行されます。

デジタル証明書が欲しい人は、健康情報システムと連携する患者ポータルにログインして、デジタル証明書の作成を指示すると、EUの要件に準拠した証明書が作成されます。3つの言語（エストニア語、英語、ロシア語）に対応したデジタルドキュメント（PDFドキュメント）としてダウンロードでき、スマートフォン等の画面で提示したり、印刷して利用することができます。親が子供の証明書を必要とする場合など、法定代理人も作成できます。

EU共通のデジタル証明書には、改ざんから保護するためのデジタル署名付きのQRコードが含まれています。証明書をチェックする際に、QRコードがスキャンされ、署名が検証されます。

デジタル証明書は、EU全域で有効ですが、特定の国への入国等を許可するものではありません。入国等の条件は国によって異なりますが、デジタル証明書を使用することで、自己隔離などの特定の制限が免除されることがあります。

デジタルCOVID免疫証明書（予防接種証明書）には、個人データに加えて、証明書番号があり、予防接種を受けた病気（COVID-19）、有効成分、免疫準備、ワクチンの販売承認保有者、投与回数、免疫化の日付と国、証明書発行者の詳細などが記載されます。

エストニアでは現在、欧州医薬品庁によって承認された4つのワクチン（AZ、ファイザー、モダーナ、J＆J）が接種されています。

ジェアディス会員限定で開催した勉強会「デジタル改革関連法案について」の動画（質疑応答部分を除く）を公開しました。

2021年4月12日現在、デジタル改革関連法案のほとんどが衆議院を通過して、参議院で審議中となっていますが、「地方公共団体情報システムの標準化に関する法律案」だけ衆議院で審議が継続しています。修正案を含む法案や審議状況は、衆議院の第204回国会 議案の一覧で確認できます。

今回の勉強会では、デジタル改革関連法案として、次の6法案を解説しています。

1. デジタル社会形成基本法案
2. デジタル庁設置法案
3. デジタル社会の形成を図るための関係法律の整備に関する法律案
4. 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案
5. 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案
6. 地方公共団体情報システムの標準化に関する法律案

また、デジタル改革関連法案の解説の前に、これまでの日本の電子政府の取組みを概観する中で、最近の立法状況として、デジタル手続法（デジタル行政推進法）、官民データ活用推進基本法、サイバーセキュリティ基本法なども簡単に解説しています。

法案の解説と並行して、エストニアの法制度も紹介しています。エストニアでは、日本がデジタル改革関連法案で実現しようとしていることの多くを、非常にシンプルかつ低コストな方法により、すでに実現しています。日本もエストニアも、目指すところはあまり変わらないと思いますが、その実現方法については、法制度の組み立て方も含めて、かなり異なっていることを知ってもらえればと思います。

最後のまとめとして、日本のデジタル社会の今後の課題として、次のようなものを挙げておきました。

1. 複雑化していくデジタル関連の法制度をどう整理・統合していくか
   マイナンバー法、公的個人認証法など ・複雑な仕組みが新たな問題を生み出し、その問題に対処するのに手一杯、そもそも問題が発生しないようにできないか
2. 国民による政府の監視を制度として確立するか
3. 自然人、個人事業主の識別子をどうするか
4. どのようなトラスト制度を確立するか
5. セキュリティクリアランスをどうするか
6. 国家ITアーキテクチャを誰が描くか
7. ベースレジストリを始めとした公的データのガバナンス問題をどうするか
8. 異なる組織間の情報連携を、どのように自動化・効率化できるか
9. ソースコードの原則公開など、デジタル政府オープン化ができるか

勉強会への参加や資料の取得等については、ジェアディスへの入会をご検討ください。入会の詳細については、入会案内をご覧ください。

2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ（COCOA：COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。

"このたび、Androidをお使いの方について、９月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、２月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。"

詳細については、Android版接触確認アプリの障害について（令和3年2月03日：厚生労働省健康局 結核感染症課）が出ています。

※2月18日に、接触確認アプリ「COCOA」の修正版（「1.2.2」）の配布を開始しました。

民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。

はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。

エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。

（１）エストニアの新型コロナウイルス接触確認アプリ：HOIA（ホイア）
（２）アプリの特徴
（３）アプリの利用状況
（４）アプリの更新
（５）アプリの開発とセキュリティ対策
（６）アプリの保守管理
（７）プライバシーへの対応と根拠法
（８）健康委員会とTEHIKについて
（９）コミュニティの運営と組織文化


（１）エストニアの新型コロナウイルス接触確認アプリ：HOIA（ホイア）

エストニアの新型コロナウイルス接触確認アプリ「HOIA（ホイア）」が公開されたのは、2020年8月です。日本のCOCOAのリリース（6月19日）と比べて、ちょうど2か月遅れのスタートです。​HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。

新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。

（２）アプリの特徴

HOIAの主な特徴は次の通りです。

• 感染した人と密接に接触しているかどうかを通知
• 感染した場合は他の人に知らせることができる
• アプリケーションは一意の匿名コードを生成
• 感染を確認したら、匿名コードが中央サーバーにアップロード
• 感染した人々から匿名のコードを定期的にダウンロード
• モバイルIDとSmartIDに対応し、患者ポータルと連携して感染情報を確認
• ソースコードと技術情報を公開
• DP-3Tライブラリを使用して構築（アプリのサイズは約4MB）

日本のCOCOAは「１メートル以内15分以上」が接触通知の条件（密接な接触と見なすことができる暴露）ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。

アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報（匿名コード）」を、患者ポータルを経由して健康情報システム（全国規模の医療データベース）から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。

技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます

（３）アプリの利用状況

2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。

エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。

HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。

（４）アプリの更新

HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。

（５）アプリの開発とセキュリティ対策

※ 2月22日 ソースコードの説明を追記

HOIAの開発（設計、ソフトウェア開発、セキュリティ対策）は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。

コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通（富士通エストニアAS）も参加しています。

HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています（contact-tracing（dp3t-sdk-ios）も参照）。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局（RIA）がGitLabを使用して電子政府コードリポジトリを管理・運営しています。

HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。

1. エストニアの要件を満たすエストニア語のiOSおよびAndroidアプリケーションのソースコード
2. エストニアの感染確認サービスのソースコード
3. エストニアの感染鍵配布サービスのソースコード
   
4. モバイルアプリケーションおよびサービス用のDP-3Tライブラリ

コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。

モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。

Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。

HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。

セキュリティ要件と攻撃者のモデル＞セキュリティ対策＞アプリケーション開発＞出荷前テスト＞アプリ配布

なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド（State Cloud）にあります。

​（６）アプリの保守管理

HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター（TEHIK テヒック）が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。

TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。

（７）プライバシーへの対応と根拠法

HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。

プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。

GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。

エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。

エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。

HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。


（８）健康委員会とTEHIKについて

健康委員会は、社会問題省（社会省）の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。

​​健康委員会が所有する国家情報システム（根拠法に基づく公的データベース）として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。

エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。
​

​​エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。

（９）コミュニティの運営と組織文化

エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所（NIIS）には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。

エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。

​
​エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。

最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観（抜粋）を紹介しておきます。

• 私はイノベーションを受け入れています。イノベーションは私と組織を豊かにすることができます。
• 目標への道のりと結果を分析し、間違いから学びます。
• 私はさまざまなパートナーを巻き込み、期待を説明し、彼らの意見に耳を傾け、妥協する準備をしています。
• 私はすべての人を思いやり、平等、そして敬意を持って扱います。

​2020年12月に開催したジェアディスの勉強会の内容を、2021年1月に再整理して録画したものです。2005年からエストニアで実施されているインターネット投票の仕組みを解説しています。さらに、エストニアの経験を踏まえて、日本で導入する場合の留意点等も解説しています。また、米国大統領選挙の投票集計システム問題（ドミニオン投票システム）についても、少し触れています。

勉強会でお話しした内容

1. エストニアの統治の仕組み（動画なし）
2. エストニアの選挙制度（動画なし）
   
3. インターネット投票の仕組み
   
4. インターネット投票のセキュリティ（動画では詳細な解説は省略）
   
5. 日本でのインターネット投票の導入に向けて
   

この動画に関するお問い合わせ
https://www.jeeadis.jp/contact.html

オンライン勉強会への参加、資料のダウンロード等をご希望の方は、ぜひ会員登録をご検討ください。
https://www.jeeadis.jp/20837202502669620869.html

勉強会で使用した資料は、下記からスライドシェアでご覧になれます。

ジェアディス会員 各位

下記の通り、ジェアディス会員および関係者限定のオンライン勉強会を開催いたします。

エストニアでは、2005年からインターネット投票を開始して、2019年までに11回の選挙で利用された実績があります。来年2021年秋には全国地方議会選挙を予定していますが、投票の平等性を強化する観点から、重要な法改正（2021年1月施行）が行われています。

今回の勉強会では、昨年実施した全3回の勉強会の内容をまとめた上で、最新の情報を追加しています。 

日時：2020年12月17日(木) 18:30-20:00（質疑応答、意見交換を含む）
実施方法：zoomを利用したオンライン開催
テーマ：エストニアのインターネット投票について
​・エストニアの統治の仕組み
・エストニアの選挙制度
・インターネット投票
・インターネット投票のセキュリティ
・日本でのインターネット投票の導入に向けて
進行・解説：ジェアディス理事  牟田学
お問い合わせ：https://www.jeeadis.jp/contact.html

写真：​Brand Estonia

Eesti Pank algatas keskpanga digiraha tehnoloogia uurimisprojekti

2020年10月2日、エストニアの中央銀行である「Eesti Pank」が、中央銀行のデジタル通貨技術研究プロジェクトを立ち上げました（英語版の発表）。

これは、いわゆる「デジタルユーロ」に関する公式な研究プロジェクトです。欧州中央銀行 (European Central Bank)は、同日に、デジタルユーロに関するレポートを発表しました。このレポートでは、ユーロシステムの観点から、中央銀行のデジタル通貨（CBDC）（デジタルユーロ）の発行について検討しています。

エストニアの研究プロジェクトの期間は2年間で、速度、セキュリティ、プライバシー、復元力の厳しい要件を満たしながら、中央銀行のデジタルマネー要件を満たすために、スケーラビリティが高く実用的で暗号的に安全なプラットフォームを構築する方法を検討します。

研究プロジェクトの主な目的は、エストニアの電子政府の基本技術でもあるGuardtime社のKSIブロックチェーンに基づくソリューションが、中央銀行のデジタル通貨インフラの実行に理論的に適しているかどうかを確認することですが、特定の技術を支持する選択は行わないとしています。欧州中央銀行のレポートでも、アプローチ方法に関係なく、バックエンドのインフラは最終的に中央銀行によって制御される必要があるとしています。

エストニアでは、早くからデジタル通貨の可能性について模索してきましたが、エストニア単体では通貨発行権を持たないため、その方向性を決めかねていました。その結果、eレジデンシーを対象としたバーチャル通貨のようなものではなく、「デジタルユーロ」というより大きな枠組みの中で、研究を進めていくことになったようです。

日本とは大きく事情が異なるエストニアでは、電子署名が日常的に使われていますが、その根拠となる法律について日本語で詳しく解説されたことは、あまり無いと思います。今回は、エストニアの電子署名法について整理しておきたいと思います。

日本では、新型コロナ問題を契機として、ハンコの議論が活発になっているようです。政府の方でも、2020年6月19日付けで「押印についてのＱ＆Ａ（内閣府、法務省、経済産業省）」を公表し、改めて現政府としての方向性を示しています。

こうしたハンコの議論に先駆けて、政府の重要な動きいくつかありました。それは、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン（2019年2月）」の策定や、総務省の「プラットフォームサービスに関する研究会」の最終報告書、同研究会のトラストサービス検討WGにおける検討などです。

今後は、国際動向を含む現状を踏まえた、日本における電子署名法の改正やトラスト制度の確立が待たれるところです。
​

（１）エストニアにおける電子署名法の歴史

エストニアの電子署名法の制定から現在までの流れは、およそ次のようなものです。

1999 電子署名のコミュニティフレームワークに関する指令（1999/93/EC）
2000 身分証明書法の施行（デジタルIDの規定）
2000 デジタル署名法の施行（タイムスタンプも対象）
2001 Xロードの開発、行政機関等の認証基盤整備など
2002 IDカードの発行開始
2002 改正デジタル署名法の施行（行政手続への適用）
2004 改正デジタル署名法の施行（所管省庁の組織変更に対応）
2007 モバイルIDの開始
2008 改正デジタル署名法の施行（旧DB法の廃止、公共情報法の施行）
2009 改正デジタル署名法の施行（デジタルシールの開始、安全な署名作成装置の規定）
2010 ヨーロッパ2020戦略の公表
2011 改正デジタル署名法の施行（ユーロの導入）
2014 改正デジタル署名法の施行（サービスプロバイダーの監督の修正）
2014 eIDAS規則の制定（EU）No 910/2014
2015 EUデジタル単一市場戦略の公表
2016 eIDAS規則の発効
2016 デジタル署名法の廃止
2016 電子IDおよび電子取引トラストサービス法の施行（関連法の一括改正を含む）
2017 スマートIDの開始
2019 改正電子IDおよび電子取引トラストサービス法の施行（監督官庁の修正）

日本で「電子署名及び認証業務に関する法律（電子署名法）」が施行されたのが2001年ですから、電子署名法のスタート時期だけを見れば、エストニアと日本はほとんど差がありません。

年表を見てもわかると思いますが、エストニアの電子署名法を理解する上で、電子署名法や電子取引に関するEUの動向の理解が欠かせません。官民における電子署名の利用が進んだエストニアは、EUにおけるデジタル戦略や電子署名のルール策定にも大きな影響を与えています。

エストニアの電子署名法の正式名称は、「デジタル署名法」です。技術的に中立なEU電子署名指令や日本の電子署名法と異なり、PKI電子署名に特化しているのが大きな特徴です。2000年公布・施行のデジタル署名法は、その後、何度かの改正を経て、2016年に廃止されました。

廃止と言っても、電子署名の法律がなくなってしまったわけではなくて、EU加盟国に対して強制力を持つ「eIDAS規則」の発効に伴い、「電子IDおよび電子取引トラストサービス法」という新しい法律へ受け継がれました。

そのようなわけで、現在のエストニアにおける電子署名の法律は、「eIDAS規則（EU共通の総論、実体法）」＋「電子IDおよび電子取引トラストサービス法」（国内の各論、手続法）という組合せになりました。同じ形態の法律として、「GDPR（一般データ保護規則）」＋「データ保護法」の組合せがあります。

eIDAS規則については、手塚先生による解説記事「日本のデジタル化政策推進の鍵、「電子契約」の有効性とリスク - 手塚悟教授に聞く」が参考になると思います。

​（２）エストニアの電子署名

eIDAS規則の適用により、エストニアにおける電子署名は、次の4クラスに分類されます。

1 適格電子署名（QES：Qualified Electronic Signature）
2 適格電子証明書付きの高度電子署名（AdES/QC：Advanced Electronic Signature with a Qualified Certificate）
3 高度電子署名（AdES：Advanced Electronic Signature）
4 その他の電子署名（Other electronic signatures）

適格電子署名は、手書き署名と同じ法的効力があり、そのことを証明する必要がありません。

1999年のEU電子署名指令において、『「高度な電子署名」＋「認定された証明書」＋「安全な署名作成デバイス」の組合せであれば、法的な効力は書面への手書き署名と同等であり、法的な証拠として認められる』としていたので、その流れを受け継いだものと言えるでしょう。

現在のエストニアで使用される電子認証・署名の形態は、IDカード、モバイルID、スマートIDの３つですが、３つすべてが適格電子署名（QES）になっており、官民のサービスで広く利用されています。

適格電子署名（QES）で必要となる、「適格な電子署名作成デバイス（QSCD：Qualified Electronic Signature Creation Device）」は、eIDAS規則第29条および付録2で定めていますが、スマートIDはリモート署名（クラウド署名）であるため、少し苦労したようです。

スマートIDの「適格な電子署名作成デバイス」は、ソフトウェアコンポーネント、モバイルクライアント、および暗号化キーを管理するためのハードウェアセキュリティモジュール（HSM）の組合せです。

サイバーネティカ社が提供する「SplitKey」という技術を採用しており、「秘密鍵の分散管理」により、「適格な電子署名作成デバイス」の要件となる「電子署名の作成に使用される電子署名作成データ（秘密鍵）は、正当な署名者によって他人による使用から確実に保護できる」を満たすようにしています。

なお、日本でサービスを提供しているblockhive（ブロックハイブ）社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID（クロスID）」は、エストニアのスマートIDとは全く関係がありません。

「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。
​

（３）エストニアの電子シール

eIDAS規則の適用により、エストニアにおける電子シールは、次の4クラスに分類されます。

1 適格電子シール（QESeal：Qualified Electronic Seal）
2 適格電子証明書付きの高度電子シール（AdESeal/QC：Advanced Electronic Seal with a Qualified Certificate）
3 高度電子シール（AdESeal：Advanced Electronic Seal）
4 その他の電子シール（Other electronic seals）

電子署名と異なり、「適格電子シール」だけでなく、「適格な電子署名作成デバイス」を必要としない「適格電子証明書付きの高度電子シール」も利用されています。Xロードで利用可能な電子シールも、「適格電子証明書付きの高度電子シール」または「適格電子シール」となっています。

電子シールの発行枚数や（特に民間企業における）利用状況等のデータについては、私も把握していないので、ジェアディスの今後の調査対象にしたいと思っています。Xロード以外では、エストニアの官報「Riigi Teataja」でも電子シールが利用されており、 eヘルスの分野では家庭医が利用していると聞いています。

エストニアの電子シールの歴史は古く、すでに2001年のXロードで使用されていましたが、当時は「電子シール」といった名称はありませんでした。その後、2009年の改正デジタル署名法により、法律上の地位を確立しています。

この時の名称が「デジタルシール」だったので、エストニアでは、電子シール（eシール）のことを、「デジタルシール」とか「デジタルスタンプ」と呼んだりします。特に「デジタルスタンプ」は「タイムスタンプ」と間違いやすいので注意しましょう。

日本では、電子シールは、「法人の電子印鑑」といった説明がされます。確かに、その通りなのですが、より重要なのは「自動処理を可能にする」という点です。

eIDAS規則の付録3「電子シールの認定証明書の要件」にも、『少なくとも自動処理に適した形式で（at least in a form suitable for automated processing）』という表現が見られます。

Xロードは、「コンピュータ間で自動処理によりデータを参照しあう仕組み」なので、自動処理を止めてしまう「自然人による電子署名」は、できる限り少ない方が良いのです。

「自動処理を可能にする」ことの重要性については、セコムＩＳ研究所の松本さんが「EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト」の中で、次のように説明されています。

デジタル社会への移行に伴う「技術標準」の要求(要求の変化）
・電子署名指令(1999年）からeIDAS規則(2016年）の決定的な違い??
（過去）人の目視による判断／検証 → ヒューマンリーダブル → 人の判断による曖昧な技術仕様を許容する
（現在）マシンが（構造化されたルール等により）検証・判断 → （署名データが）マシンリーダブル → 曖昧さをなるべく排除したい  → そうした要求のための相互運用性を確保した技術標準の重要性

その他、総務省サイバーセキュリティ統括官室の「組織が発行するデータの信頼性を確保する制度（eシール）の検討の方向性について」も参考になります。


（４）エストニアのタイムスタンプ

eIDAS規則の適用により、エストニアにおけるタイムスタンプは、「適格な電子タイムスタンプ（qualified electronic time stamp）」と、それ以外のタイムスタンプになりますが、実際に利用されているのは「適格な電子タイムスタンプ」だけになります。

エストニアのタイムスタンプには、少し複雑な事情があります。

エストニアでは、2000年のデジタル署名法で、すでにタイムスタンプサービスやタイムスタンプサービスプロバイダーの認定制度などを確立していました。それと同時に、デジタル署名（とその使用のためのシステム）の3要件を次のように定めました（法2条3項）。

1 署名が発行された名前の人物を明確に識別できるようにする。
2 署名の発行時刻を決定できるようにする。
3 署名が付与された後、データまたはその意味を識別不能に変更する可能性を排除する方法で、デジタル署名をデータに関連付ける。

1は否認防止、3は改ざん防止と言えますが、2の「署名の発行時刻を決定」は、2000年当時はあまり一般的なものではありません。

デジタル署名に「署名時刻の情報」が含まれるのであれば、一見すると、「タイムスタンプは不要なのでは？」と思われそうです。しかし、タイムスタンプは「特定の時点での文書の存在を証明する技術的および組織的手段のシステムによって形成されるデータのセット（法23条1項）」なので、「電子署名の無い電子文書の作成・保存」や「電子署名された電子文書の長期保存」といった場面で必要になります。

エストニアのデジタル署名法が、電子署名だけでなく、タイムスタンプも対象にしていたのは、エストニア政府が考える電子政府の基盤にタイムスタンプが必要だったからでしょう。

デジタル署名法を読み解くと、デジタル署名やタイムスタンプの実際の利用を想定した作りこみがされていることがわかります。具体的には、電子署名やタイムスタンプの有効性に争いが起きた時の判断の仕方、成りすましにより電子署名が行われた時の法的効力、電子文書（特に公文書）の長期保存やアーカイブといったことへの配慮です。
​

（５）エストニアの電子識別

eIDAS規則では、第3条の1項において、「電子識別（electronic identification）」を「個人または法人を、または法人を代表する自然人を、一意に表す電子形式の個人識別データを使用するプロセス」と定義しています。

これだけでは、ほとんど意味不明ですが、同条2-5項の「電子識別手段」「個人識別データ」「電子識別スキーム」「認証（authentication）」などの定義を見ることで、「認証用の証明書」（公的個人認証サービスにおける利用者証明用電子証明書）をイメージできると思います。「電子ID」や「デジタルID」を言っても良いでしょう。

エストニア政府が2002年に発行を開始したIDカードには、すでに認証用の証明書が含まれており、電子政府サービスへのログイン等に利用されましたが、デジタル署名法には、電子識別や認証用の証明書についての規定はありませんでした。

認証用の証明書の法的根拠はどこにあるかと言えば、それは「身分証明書法」にあります。認証用の証明書については、1999年に施行された身分証明書法の中に、政府が発行するIDカードへ「デジタル識別（デジタルID）および署名を可能にする情報」を記録するという規定（同法9条5項）が追加されました。


（６）エストニアの認定サービスプロバイダー

2020年6月現在のエストニアにおける認定トラストサービスプロバイダーは、次の2社です。

SK ID Solutions社
・適格電子署名
・適格電子シール
・適格電子タイムスタンプ

GuardTime社
・適格電子タイムスタンプ

SKは、IDカード、モバイルID、スマートIDの3つ全てを発行する機関で、この分野をほぼ独占しています。GuardTime社は、KSIブロックチェーンで有名な企業です。

詳細は、監督官庁であるエストニア国家情報システム局が提供する「信頼済みリスト」、またはEUの「Trusted List Browser」を参照してください。

​（７）エストニアの民事訴訟法における電子署名の取り扱い

エストニアの民事訴訟法では、「文書の信憑性の争い」について、次のような規定があります（法277条3項）。

デジタル署名を備えた電子文書の真正性は、その文書がデジタル署名の保持者によって作成されていなかったと推定できる根拠となる状況を立証することによってのみ争うことができる。これは、作成者と作成時刻を識別できる別の安全な方法により作成された電子文書にも適用される。

ここで言う「デジタル署名」は、「適格電子署名」と考えて良いでしょう。「作成者と作成時刻を識別できる別の安全な方法」とは、例えば「適格電子証明書付きの高度電子署名」＋「タイムスタンプ」の組合せなどが考えられます。

デジタル署名や電子署名に関する判例は、判例データベースで探してみましたが、見つかりませんでした。署名の有効性に関する判例は数多くあるので、流通する電子署名が信頼性の高い「デジタル署名」という事情もあり、電子署名は証拠争いの争点になりにくいのではないかと思います。

機会があれば、エストニアの裁判官や弁護士に確認してみたいと思いますが、エストニアでは、実質的に「紙の文書＋手書き署名」よりも「電子文書＋電子署名（＋タイムスタンプ）」の方が、信頼性が高く争いが起きにくいと言えるかもしれません。

なお、エストニアの刑法では、重要な身分証明書の偽造、偽造された身分証明書の使用や付与だけでなく、「他の人の名前で発行された身分証明書の使用、自分の名前で発行された重要な身分証明書の他人への貸与（法349条）」なども罪に問われます。


（８）日本の電子署名法とエストニアの電子署名法との違い

日本の電子署名法とエストニアの電子署名法は、スタート時期こそ近かったものの、基本的な考え方や対象とする範囲も異なりました。最近では、「国境を超えたデジタル社会への対応」といった点でも、日本の電子署名法は遅れてしまっているように思います。

今振り返ってみても、、1999年のEU電子署名指令は、かなりよくできていて、同指令を踏まえたエストニアのデジタル署名法は、非常に実践的かつ挑戦的なものでした。

最近、日本では、弁護士ドットコム株式会社が提供する「クラウドサイン」が取締役会議事録作成に用いる電子署名としても適法であるとの認定を受けて、法務省の「商業・法人登記のオンライン申請」で、クラウドサインの電子署名済みファイルが、商業登記オンライン申請における「添付書類」として利用可能になりました。

「クラウドサイン」のサービスは、弁護士監修の「電子契約サービス」と説明されていますが、その業務内容を見ると「民間による電子公証サービス（本人確認、文書作成・保管等）」と言えるでしょう。公証事務は、公証人による独占業務ですから、法的根拠の無い「民間による電子公証サービス」に頼らざるを得ない日本の現状は、あまり良いものではないと思います。

タイムスタンプや電子署名が個人や企業に広く普及するエストニアでは、このようなサービスは成立しないでしょう。もちろん、契約書の作成等に弁護士が監修することはありますが、その場合も、電子署名をするのは契約当事者になります。

日本とエストニアの電子署名法に差が生まれた要因として、法慣習の違いはあると思います。日本のように印鑑が利用されていない国では、電子署名の法的効力を考える場合、手書き署名と比較すれば足ります。しかし、日本では、電子署名の効力等を考える際に、手書き署名以外の様々な手段を比較検討する必要があります。

「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律（2004年成立）」の第2条7号に次のような定義があります。

署名等：署名、記名、自署、連署、押印その他氏名又は名称を書面に記載することをいう。

こうした「署名等」の利用実態は、民間取引だけでなく、行政手続き等の公的分野においても、数多く見られます。押印だけを見ても、実印、登録印、認印、シャチハタなど様々です。いまだに、「この電子署名は実印か認印か？」といった不毛な議論が話題になっています。

日本の電子署名法では、技術的中立性と共に、日本の実態に合った「署名等」を考慮する必要があり、その結果が第2条のような定義になったのではないかと思います。

EUやエストニアにおける電子署名法には、電子取引を進めるにあたって、「紙文書と手書き署名」という組合せが持つ「曖昧性の排除」への挑戦がありました。

しかし、日本では「紙文書と署名等」という、日本独自の「強度な曖昧性」に向き合うことなく、それを内包する形で電子署名法を作ってしまいました。電子署名法によってもたらされた「電子取引における強度な曖昧性」は、その後のe-文書法や電子帳簿保存法などにも影響を与えています。

eIDAS規則における電子署名の定義は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名に使用する電子形式のデータ」となっています。つまり、電子署名の正体は「電子形式のデータ」なのです。

エストニアのデジタル署名法の定義も同様で、「デジタル署名は、技術的および組織的手段のシステムによって形成され、署名の発行者がドキュメントとの関係を示すために使用する一連のデータ」とされています。

日本の電子署名法では、電子署名の正体は「電子形式のデータ」ではなく、「行われる措置」となっています。この違いは、デジタル社会に対する認識の差なのではないでしょうか。

日本経済新聞に「電子政府推進へ共同研究 日エストニア首脳会談」という記事が掲載されました。 日本の安倍晋三首相とエストニアのラタス首相が会談し、電子政府の推進に向けた共同研究に関する覚書などの署名式に立ち会ったとのことです。エストニアと日本が、電子政府の推進に向けて協力することは、大変有意義で喜ばしいことです。

記事の中に「エストニアのサイバネティカ社」とありましたので、このCyber​​netica：サイバーネティカ社について、簡単に解説しておきます。

サイバーネティカは、エストニアのICT企業であると同時に、サイバー防衛を中心とした国防産業企業でもあります。X-Road、インターネット投票、電子税関など、数多くの電子政府システムを開発しており、日本を含む世界35か国にシステムを提供しています。

ソ連時代の1960年に設立されたエストニア科学アカデミーのサイバネティックス研究所の応用研究ユニットが母体ですが、1997年に民間会社となりました。以来、情報セキュリティと暗号技術の研究を続けており、政府機関等の依頼により様々なレポートを作成・公開しています。

最近の事例としては、同じくエストニアの企業であるSK ID Solutions（SK社）のSmart-IDで採用されているSplitKeyテクノロジー（秘密鍵の分散管理）を提供しています。

エストニアの安全保障とサイバーセキュリティ（１）の続きです。

エストニアのセキュリティに関する動向を整理した年表は、以下の通りです。

2000年の電子署名法の施行は、信頼できる安全な環境で電子政府を実現するために欠かせないものでした。2001年には官民データ交換の基盤となるX-ROADがスタートし、バックオフィスの自動化が可能になります。2002年のIDカード発行と取得の義務化により、全ての国民がオンラインサービスを利用できる環境が整います。

2005年のインターネット投票開始までに、サイバーセキュリティの強化が進みますが、2007年にはエストニアへの大規模サイバー攻撃が発生し、データ保護や国際連携の重要性が再認識されるようになりました。2007年の大規模サイバー攻撃の後に、KSIブロックチェーンの導入、NATO共同サイバー防衛センターの創設、国家サイバーセキュリティ戦略の策定などが進み、EUやNATOのサイバーセキュリティにおけるエストニアの存在感が高まりました。2013年には、サイバー戦の国際法ルールとしてタリン・マニュアルが刊行され、EUのサイバーセキュリティ戦略も策定されます。

2014年のロシアによるウクライナ領土のクリミア併合は、エストニアのみならず世界全体に大きなインパクトを与えました。この事件に対するロシアへの経済制裁は、2015年まで行われたとされるダンスケ銀行によるマネーロンダリング事件の発覚とも無関係ではないでしょう。ロシアによる領土侵犯の脅威は、新たなデジタル戦略の中で提案されていたデータ大使館の必要性を再確認させることになりました。

その後も、EUやNATOにおけるエストニアの積極的な関与は続けられており、2016年発効のeIDAS規則、2017年刊行のタリン・マニュアル2.0、国際サイバー防衛訓練の実施などで、その存在感を示しています。

2017年には、 2007年の大規模サイバー攻撃と並ぶ重大なインシデントとして位置づけられているIDカードセキュリティ脆弱性問題が起こりました。この際のエストニア政府の対応は、迅速かつ適切なものとして、諸外国の参考になると思います。2018年には、課題の一つであった国内法の整備として、サイバーセキュリティ法（デジタルサービスを含む重要インフラの保護）が制定されました。

エストニアのセキュリティ上の最大の脅威は、ロシアに関するものです。NATOへの参加も、エストニアの安全を国際安全の一部と見なしているからであり、加盟国のサイバー防衛能力を向上させることは、自国の安全性の向上につながるものであるため、NATOやEUに貢献しているのです。

認識されている脅威の中には、政治・社会の過激化・二極化、社会結束の弱体化、寛容性の低下、社会的緊張などもあります。これに関連して、戦略的コミュニケーションや心理的保護なども紹介しておきます。

エストニアでは、戦略的コミュニケーションを、社会的結束を強化し、肯定的な国際イメージを確立し、敵対的な情報攻撃に対抗するための手段と位置付けています。国内外に対する情報発信を戦略的に行うことで、他国からのプロバガンダや政治工作に対抗します。2007年に大規模サイバー攻撃が発生した際も、エストニアのロシア系マイノリティーによる暴動がインターネットで呼びかけられた例があり、市民の暴動や国内テロなどを先導するサイバー行動には警戒が必要です。

心理的保護については、危機を防ぎ、社会の安全意識を高めることに貢献し、情報操作や誤報によって社会に暴力を誘発したり、憲法秩序を無視することで危機の解決を促進する情報攻撃を中和する効果があると考えています。エストニアは、住民が安全な日常生活を実感し、結束力と思いやりのある寛容な社会を目指しており、生活環境がより安定して安全になると、セキュリティ脅威からの社会の脆弱性が減少すると考えています。

他国からのプロバガンダや政治工作に弱いとされる日本が、エストニアから学べることは多いと思います。

次回に続く

第3回「インターネット投票の勉強会」について、ご案内いたします。場所は前回と同じ東京の会議室になります。開始時間が14:30になってますので、ご注意ください。

日時：2019年11月21日(木) 14:30-16:30
会場：DECO会議室（JR東京駅八重洲中央口より徒歩5分）
中央区日本橋3-5-12 DECO TOKYO 部屋番号7B室（7階）
サンマルクカフェを過ぎてから「DECO TOKYO」の文字を探してください。
https://www.spacemarket.com/spaces/wgw2dmz0onbfsnfn
参加費：無料
進行・解説：ジェアディス理事  牟田学

■テーマ：日本へのインターネット投票の導入について
14:30 趣旨説明と参加者の自己紹介（名前、所属、参加理由など）
14:45 
・エストニアのインターネット投票について（第1-2回の復習）
・日本でインターネット投票を実現するためには
15:30 質疑応答、意見交換
16:15 総括、取りまとめ
16:30 終了

参加ご希望の方は、ジェアディスの問い合わせページから、お名前・所属・メールアドレスをご連絡ください。初めての方でも大丈夫です。

第2回「インターネット投票の勉強会」では、インターネット投票のセキュリティだけでなく、エストニアの安全保障やサイバーセキュリティの全体像についてもお話ししました。今回は、その一部をご紹介します。ここで紹介するのは、エストニアだけに特別にあるものではなく、EU加盟国やNATO加盟国において一般的なものと理解してください。

セキュリティという言葉は、いくつかの意味を持ちえますが、ここでは「安全保障」とします。2017年に改定された​National Security Concepでは、エストニアの国家安全保障に関する基本的な考え方が、「セキュリティに影響を与えるすべての傾向と重要な分野を網羅する幅広いセキュリティ概念」に基づいているとしています。

エストニアの安全保障政策の目的は、エストニア国家の独立と国民の主権、国民と国家の存続、領土保全、憲法秩序、および国民の安全を確保することです。そして、安全保障政策を実施するにあたり、基本的な権利と自由を尊重し、憲法上の価値を守るとしています。

これは、安全保障政策を実施する上で、その時の状況により、優先順位があることを意味します。エストニアの国防法には戒厳令の規定があり、危機管理全般の対応を定める緊急法にも人的資源の動員の規定があります。とくに緊急法は、日本における安全保障や危機管理の法整備の参考になると思います。

エストニアの国家安全保障機関の全体像は、次の通りです。

国防の最高司令官は大統領ですが、エストニアの大統領は象徴的な存在なので、戦争の宣言に関する実質的な決定は、専門家が参加する評議会等の助言を踏まえて議会が行います。行政のトップである首相は、自然災害など戦争以外の非常事態の宣言を行うと共に、関係省庁と一体になり、実際の行動を実施します。上の図で言えば、首相および主要大臣が参加する「政府安全委員会」が実質的な司令塔の役割を果たすことになります。サイバーセキュリティについては、経済通信省が中心となる「サイバーセキュリティ評議会」が「政府安全委員会」の中に設置されています。

エストニアには、国家秘密の保護やスパイ活動の防止・取締り、外国の機密情報に関する収集・分析を担う機関があります。安全保障政策において、秘密保護や情報活動は重要であり、これが無いと同盟国との情報連携・共有ができなくなります。日本でも、特定秘密の保護に関する法律の成立が一時期話題になりましたが、エストニアの国家秘密と外国の機密情報に関する法律は大変よくできているので、日本が法改正する際の参考になると思います。

エストニアの機密情報の保護と諜報活動、機密情報の分類、それらの治安活動に関する監視体制は、次の通りです。

次回（２）に続く。

Planetway社が、「市川市とPlanetway Japan株式会社との連携等に関する協定」を、エストニア共和国のヴァイノ・レイナルト特命全権大使及びヴィリヤル・ルビ経済通信省副大臣の立会いのもと、締結したことをアナウンスしました。

​市川市との連携等に関する包括協定締結のお知らせ - Planetway 

市川市｜Planetway Japan株式会社との連携等に関する協定
連携事項
(1)情報通信技術の活用に関すること。
(2)その他前条の目的を達成するために必要な事項に関すること。

Planetway社は、デジタル国家エストニアのデータ連携基盤システム「X-Road」をベースとした技術であるデータ連携基盤ソリューション「PlanetCross」を提供しています。

IT Leadersの記事『「DX先進都市」を目指す市川市、エストニア電子政府のデータ連携技術「X-Road」を採用』によると、市の既存・新規システムに段階的に（まずは2、3の業務に適用）実装するようです。

東京新聞の『市川市「電子自治体」目指し協定 公共サービス ネットで結ぶ』によると、市政の情報化を進める村越市長が「（提携で）市の業務や福祉、教育などさまざまな分野で、これから大きな変革が起きる」と話し、Planetway社の平尾社長は「日本でのモデルケースとなるよう、三年後をめどに一定の成果を出したい」と回答しています。

「PlanetCross」のベースとなった「X-Road（X-tee）」は、エストニアでは官民データ連携の基盤として活用されています。市川市で成功することができれば、他の自治体や公共性の高い民間企業とのデータ連携にまで発展する可能性があります。

オープンソースとしての「X-Road」については、Nordic Institute for Interoperability Solutions · GitHubを参照してください。