写真：​Brand Estonia

Eesti Pank algatas keskpanga digiraha tehnoloogia uurimisprojekti

2020年10月2日、エストニアの中央銀行である「Eesti Pank」が、中央銀行のデジタル通貨技術研究プロジェクトを立ち上げました（英語版の発表）。

これは、いわゆる「デジタルユーロ」に関する公式な研究プロジェクトです。欧州中央銀行 (European Central Bank)は、同日に、デジタルユーロに関するレポートを発表しました。このレポートでは、ユーロシステムの観点から、中央銀行のデジタル通貨（CBDC）（デジタルユーロ）の発行について検討しています。

エストニアの研究プロジェクトの期間は2年間で、速度、セキュリティ、プライバシー、復元力の厳しい要件を満たしながら、中央銀行のデジタルマネー要件を満たすために、スケーラビリティが高く実用的で暗号的に安全なプラットフォームを構築する方法を検討します。

研究プロジェクトの主な目的は、エストニアの電子政府の基本技術でもあるGuardtime社のKSIブロックチェーンに基づくソリューションが、中央銀行のデジタル通貨インフラの実行に理論的に適しているかどうかを確認することですが、特定の技術を支持する選択は行わないとしています。欧州中央銀行のレポートでも、アプローチ方法に関係なく、バックエンドのインフラは最終的に中央銀行によって制御される必要があるとしています。

エストニアでは、早くからデジタル通貨の可能性について模索してきましたが、エストニア単体では通貨発行権を持たないため、その方向性を決めかねていました。その結果、eレジデンシーを対象としたバーチャル通貨のようなものではなく、「デジタルユーロ」というより大きな枠組みの中で、研究を進めていくことになったようです。

日本とは大きく事情が異なるエストニアでは、電子署名が日常的に使われていますが、その根拠となる法律について日本語で詳しく解説されたことは、あまり無いと思います。今回は、エストニアの電子署名法について整理しておきたいと思います。

日本では、新型コロナ問題を契機として、ハンコの議論が活発になっているようです。政府の方でも、2020年6月19日付けで「押印についてのＱ＆Ａ（内閣府、法務省、経済産業省）」を公表し、改めて現政府としての方向性を示しています。

こうしたハンコの議論に先駆けて、政府の重要な動きいくつかありました。それは、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン（2019年2月）」の策定や、総務省の「プラットフォームサービスに関する研究会」の最終報告書、同研究会のトラストサービス検討WGにおける検討などです。

今後は、国際動向を含む現状を踏まえた、日本における電子署名法の改正やトラスト制度の確立が待たれるところです。
​

（１）エストニアにおける電子署名法の歴史

エストニアの電子署名法の制定から現在までの流れは、およそ次のようなものです。

1999 電子署名のコミュニティフレームワークに関する指令（1999/93/EC）
2000 身分証明書法の施行（デジタルIDの規定）
2000 デジタル署名法の施行（タイムスタンプも対象）
2001 Xロードの開発、行政機関等の認証基盤整備など
2002 IDカードの発行開始
2002 改正デジタル署名法の施行（行政手続への適用）
2004 改正デジタル署名法の施行（所管省庁の組織変更に対応）
2007 モバイルIDの開始
2008 改正デジタル署名法の施行（旧DB法の廃止、公共情報法の施行）
2009 改正デジタル署名法の施行（デジタルシールの開始、安全な署名作成装置の規定）
2010 ヨーロッパ2020戦略の公表
2011 改正デジタル署名法の施行（ユーロの導入）
2014 改正デジタル署名法の施行（サービスプロバイダーの監督の修正）
2014 eIDAS規則の制定（EU）No 910/2014
2015 EUデジタル単一市場戦略の公表
2016 eIDAS規則の発効
2016 デジタル署名法の廃止
2016 電子IDおよび電子取引トラストサービス法の施行（関連法の一括改正を含む）
2017 スマートIDの開始
2019 改正電子IDおよび電子取引トラストサービス法の施行（監督官庁の修正）

日本で「電子署名及び認証業務に関する法律（電子署名法）」が施行されたのが2001年ですから、電子署名法のスタート時期だけを見れば、エストニアと日本はほとんど差がありません。

年表を見てもわかると思いますが、エストニアの電子署名法を理解する上で、電子署名法や電子取引に関するEUの動向の理解が欠かせません。官民における電子署名の利用が進んだエストニアは、EUにおけるデジタル戦略や電子署名のルール策定にも大きな影響を与えています。

エストニアの電子署名法の正式名称は、「デジタル署名法」です。技術的に中立なEU電子署名指令や日本の電子署名法と異なり、PKI電子署名に特化しているのが大きな特徴です。2000年公布・施行のデジタル署名法は、その後、何度かの改正を経て、2016年に廃止されました。

廃止と言っても、電子署名の法律がなくなってしまったわけではなくて、EU加盟国に対して強制力を持つ「eIDAS規則」の発効に伴い、「電子IDおよび電子取引トラストサービス法」という新しい法律へ受け継がれました。

そのようなわけで、現在のエストニアにおける電子署名の法律は、「eIDAS規則（EU共通の総論、実体法）」＋「電子IDおよび電子取引トラストサービス法」（国内の各論、手続法）という組合せになりました。同じ形態の法律として、「GDPR（一般データ保護規則）」＋「データ保護法」の組合せがあります。

eIDAS規則については、手塚先生による解説記事「日本のデジタル化政策推進の鍵、「電子契約」の有効性とリスク - 手塚悟教授に聞く」が参考になると思います。

​（２）エストニアの電子署名

eIDAS規則の適用により、エストニアにおける電子署名は、次の4クラスに分類されます。

1 適格電子署名（QES：Qualified Electronic Signature）
2 適格電子証明書付きの高度電子署名（AdES/QC：Advanced Electronic Signature with a Qualified Certificate）
3 高度電子署名（AdES：Advanced Electronic Signature）
4 その他の電子署名（Other electronic signatures）

適格電子署名は、手書き署名と同じ法的効力があり、そのことを証明する必要がありません。

1999年のEU電子署名指令において、『「高度な電子署名」＋「認定された証明書」＋「安全な署名作成デバイス」の組合せであれば、法的な効力は書面への手書き署名と同等であり、法的な証拠として認められる』としていたので、その流れを受け継いだものと言えるでしょう。

現在のエストニアで使用される電子認証・署名の形態は、IDカード、モバイルID、スマートIDの３つですが、３つすべてが適格電子署名（QES）になっており、官民のサービスで広く利用されています。

適格電子署名（QES）で必要となる、「適格な電子署名作成デバイス（QSCD：Qualified Electronic Signature Creation Device）」は、eIDAS規則第29条および付録2で定めていますが、スマートIDはリモート署名（クラウド署名）であるため、少し苦労したようです。

スマートIDの「適格な電子署名作成デバイス」は、ソフトウェアコンポーネント、モバイルクライアント、および暗号化キーを管理するためのハードウェアセキュリティモジュール（HSM）の組合せです。

サイバーネティカ社が提供する「SplitKey」という技術を採用しており、「秘密鍵の分散管理」により、「適格な電子署名作成デバイス」の要件となる「電子署名の作成に使用される電子署名作成データ（秘密鍵）は、正当な署名者によって他人による使用から確実に保護できる」を満たすようにしています。

なお、日本でサービスを提供しているblockhive（ブロックハイブ）社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID（クロスID）」は、エストニアのスマートIDとは全く関係がありません。

「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。
​

（３）エストニアの電子シール

eIDAS規則の適用により、エストニアにおける電子シールは、次の4クラスに分類されます。

1 適格電子シール（QESeal：Qualified Electronic Seal）
2 適格電子証明書付きの高度電子シール（AdESeal/QC：Advanced Electronic Seal with a Qualified Certificate）
3 高度電子シール（AdESeal：Advanced Electronic Seal）
4 その他の電子シール（Other electronic seals）

電子署名と異なり、「適格電子シール」だけでなく、「適格な電子署名作成デバイス」を必要としない「適格電子証明書付きの高度電子シール」も利用されています。Xロードで利用可能な電子シールも、「適格電子証明書付きの高度電子シール」または「適格電子シール」となっています。

電子シールの発行枚数や（特に民間企業における）利用状況等のデータについては、私も把握していないので、ジェアディスの今後の調査対象にしたいと思っています。Xロード以外では、エストニアの官報「Riigi Teataja」でも電子シールが利用されており、 eヘルスの分野では家庭医が利用していると聞いています。

エストニアの電子シールの歴史は古く、すでに2001年のXロードで使用されていましたが、当時は「電子シール」といった名称はありませんでした。その後、2009年の改正デジタル署名法により、法律上の地位を確立しています。

この時の名称が「デジタルシール」だったので、エストニアでは、電子シール（eシール）のことを、「デジタルシール」とか「デジタルスタンプ」と呼んだりします。特に「デジタルスタンプ」は「タイムスタンプ」と間違いやすいので注意しましょう。

日本では、電子シールは、「法人の電子印鑑」といった説明がされます。確かに、その通りなのですが、より重要なのは「自動処理を可能にする」という点です。

eIDAS規則の付録3「電子シールの認定証明書の要件」にも、『少なくとも自動処理に適した形式で（at least in a form suitable for automated processing）』という表現が見られます。

Xロードは、「コンピュータ間で自動処理によりデータを参照しあう仕組み」なので、自動処理を止めてしまう「自然人による電子署名」は、できる限り少ない方が良いのです。

「自動処理を可能にする」ことの重要性については、セコムＩＳ研究所の松本さんが「EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト」の中で、次のように説明されています。

デジタル社会への移行に伴う「技術標準」の要求(要求の変化）
・電子署名指令(1999年）からeIDAS規則(2016年）の決定的な違い??
（過去）人の目視による判断／検証 → ヒューマンリーダブル → 人の判断による曖昧な技術仕様を許容する
（現在）マシンが（構造化されたルール等により）検証・判断 → （署名データが）マシンリーダブル → 曖昧さをなるべく排除したい  → そうした要求のための相互運用性を確保した技術標準の重要性

その他、総務省サイバーセキュリティ統括官室の「組織が発行するデータの信頼性を確保する制度（eシール）の検討の方向性について」も参考になります。


（４）エストニアのタイムスタンプ

eIDAS規則の適用により、エストニアにおけるタイムスタンプは、「適格な電子タイムスタンプ（qualified electronic time stamp）」と、それ以外のタイムスタンプになりますが、実際に利用されているのは「適格な電子タイムスタンプ」だけになります。

エストニアのタイムスタンプには、少し複雑な事情があります。

エストニアでは、2000年のデジタル署名法で、すでにタイムスタンプサービスやタイムスタンプサービスプロバイダーの認定制度などを確立していました。それと同時に、デジタル署名（とその使用のためのシステム）の3要件を次のように定めました（法2条3項）。

1 署名が発行された名前の人物を明確に識別できるようにする。
2 署名の発行時刻を決定できるようにする。
3 署名が付与された後、データまたはその意味を識別不能に変更する可能性を排除する方法で、デジタル署名をデータに関連付ける。

1は否認防止、3は改ざん防止と言えますが、2の「署名の発行時刻を決定」は、2000年当時はあまり一般的なものではありません。

デジタル署名に「署名時刻の情報」が含まれるのであれば、一見すると、「タイムスタンプは不要なのでは？」と思われそうです。しかし、タイムスタンプは「特定の時点での文書の存在を証明する技術的および組織的手段のシステムによって形成されるデータのセット（法23条1項）」なので、「電子署名の無い電子文書の作成・保存」や「電子署名された電子文書の長期保存」といった場面で必要になります。

エストニアのデジタル署名法が、電子署名だけでなく、タイムスタンプも対象にしていたのは、エストニア政府が考える電子政府の基盤にタイムスタンプが必要だったからでしょう。

デジタル署名法を読み解くと、デジタル署名やタイムスタンプの実際の利用を想定した作りこみがされていることがわかります。具体的には、電子署名やタイムスタンプの有効性に争いが起きた時の判断の仕方、成りすましにより電子署名が行われた時の法的効力、電子文書（特に公文書）の長期保存やアーカイブといったことへの配慮です。
​

（５）エストニアの電子識別

eIDAS規則では、第3条の1項において、「電子識別（electronic identification）」を「個人または法人を、または法人を代表する自然人を、一意に表す電子形式の個人識別データを使用するプロセス」と定義しています。

これだけでは、ほとんど意味不明ですが、同条2-5項の「電子識別手段」「個人識別データ」「電子識別スキーム」「認証（authentication）」などの定義を見ることで、「認証用の証明書」（公的個人認証サービスにおける利用者証明用電子証明書）をイメージできると思います。「電子ID」や「デジタルID」を言っても良いでしょう。

エストニア政府が2002年に発行を開始したIDカードには、すでに認証用の証明書が含まれており、電子政府サービスへのログイン等に利用されましたが、デジタル署名法には、電子識別や認証用の証明書についての規定はありませんでした。

認証用の証明書の法的根拠はどこにあるかと言えば、それは「身分証明書法」にあります。認証用の証明書については、1999年に施行された身分証明書法の中に、政府が発行するIDカードへ「デジタル識別（デジタルID）および署名を可能にする情報」を記録するという規定（同法9条5項）が追加されました。


（６）エストニアの認定サービスプロバイダー

2020年6月現在のエストニアにおける認定トラストサービスプロバイダーは、次の2社です。

SK ID Solutions社
・適格電子署名
・適格電子シール
・適格電子タイムスタンプ

GuardTime社
・適格電子タイムスタンプ

SKは、IDカード、モバイルID、スマートIDの3つ全てを発行する機関で、この分野をほぼ独占しています。GuardTime社は、KSIブロックチェーンで有名な企業です。

詳細は、監督官庁であるエストニア国家情報システム局が提供する「信頼済みリスト」、またはEUの「Trusted List Browser」を参照してください。

​（７）エストニアの民事訴訟法における電子署名の取り扱い

エストニアの民事訴訟法では、「文書の信憑性の争い」について、次のような規定があります（法277条3項）。

デジタル署名を備えた電子文書の真正性は、その文書がデジタル署名の保持者によって作成されていなかったと推定できる根拠となる状況を立証することによってのみ争うことができる。これは、作成者と作成時刻を識別できる別の安全な方法により作成された電子文書にも適用される。

ここで言う「デジタル署名」は、「適格電子署名」と考えて良いでしょう。「作成者と作成時刻を識別できる別の安全な方法」とは、例えば「適格電子証明書付きの高度電子署名」＋「タイムスタンプ」の組合せなどが考えられます。

デジタル署名や電子署名に関する判例は、判例データベースで探してみましたが、見つかりませんでした。署名の有効性に関する判例は数多くあるので、流通する電子署名が信頼性の高い「デジタル署名」という事情もあり、電子署名は証拠争いの争点になりにくいのではないかと思います。

機会があれば、エストニアの裁判官や弁護士に確認してみたいと思いますが、エストニアでは、実質的に「紙の文書＋手書き署名」よりも「電子文書＋電子署名（＋タイムスタンプ）」の方が、信頼性が高く争いが起きにくいと言えるかもしれません。

なお、エストニアの刑法では、重要な身分証明書の偽造、偽造された身分証明書の使用や付与だけでなく、「他の人の名前で発行された身分証明書の使用、自分の名前で発行された重要な身分証明書の他人への貸与（法349条）」なども罪に問われます。


（８）日本の電子署名法とエストニアの電子署名法との違い

日本の電子署名法とエストニアの電子署名法は、スタート時期こそ近かったものの、基本的な考え方や対象とする範囲も異なりました。最近では、「国境を超えたデジタル社会への対応」といった点でも、日本の電子署名法は遅れてしまっているように思います。

今振り返ってみても、、1999年のEU電子署名指令は、かなりよくできていて、同指令を踏まえたエストニアのデジタル署名法は、非常に実践的かつ挑戦的なものでした。

最近、日本では、弁護士ドットコム株式会社が提供する「クラウドサイン」が取締役会議事録作成に用いる電子署名としても適法であるとの認定を受けて、法務省の「商業・法人登記のオンライン申請」で、クラウドサインの電子署名済みファイルが、商業登記オンライン申請における「添付書類」として利用可能になりました。

「クラウドサイン」のサービスは、弁護士監修の「電子契約サービス」と説明されていますが、その業務内容を見ると「民間による電子公証サービス（本人確認、文書作成・保管等）」と言えるでしょう。公証事務は、公証人による独占業務ですから、法的根拠の無い「民間による電子公証サービス」に頼らざるを得ない日本の現状は、あまり良いものではないと思います。

タイムスタンプや電子署名が個人や企業に広く普及するエストニアでは、このようなサービスは成立しないでしょう。もちろん、契約書の作成等に弁護士が監修することはありますが、その場合も、電子署名をするのは契約当事者になります。

日本とエストニアの電子署名法に差が生まれた要因として、法慣習の違いはあると思います。日本のように印鑑が利用されていない国では、電子署名の法的効力を考える場合、手書き署名と比較すれば足ります。しかし、日本では、電子署名の効力等を考える際に、手書き署名以外の様々な手段を比較検討する必要があります。

「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律（2004年成立）」の第2条7号に次のような定義があります。

署名等：署名、記名、自署、連署、押印その他氏名又は名称を書面に記載することをいう。

こうした「署名等」の利用実態は、民間取引だけでなく、行政手続き等の公的分野においても、数多く見られます。押印だけを見ても、実印、登録印、認印、シャチハタなど様々です。いまだに、「この電子署名は実印か認印か？」といった不毛な議論が話題になっています。

日本の電子署名法では、技術的中立性と共に、日本の実態に合った「署名等」を考慮する必要があり、その結果が第2条のような定義になったのではないかと思います。

EUやエストニアにおける電子署名法には、電子取引を進めるにあたって、「紙文書と手書き署名」という組合せが持つ「曖昧性の排除」への挑戦がありました。

しかし、日本では「紙文書と署名等」という、日本独自の「強度な曖昧性」に向き合うことなく、それを内包する形で電子署名法を作ってしまいました。電子署名法によってもたらされた「電子取引における強度な曖昧性」は、その後のe-文書法や電子帳簿保存法などにも影響を与えています。

eIDAS規則における電子署名の定義は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名に使用する電子形式のデータ」となっています。つまり、電子署名の正体は「電子形式のデータ」なのです。

エストニアのデジタル署名法の定義も同様で、「デジタル署名は、技術的および組織的手段のシステムによって形成され、署名の発行者がドキュメントとの関係を示すために使用する一連のデータ」とされています。

日本の電子署名法では、電子署名の正体は「電子形式のデータ」ではなく、「行われる措置」となっています。この違いは、デジタル社会に対する認識の差なのではないでしょうか。

日本経済新聞に「電子政府推進へ共同研究 日エストニア首脳会談」という記事が掲載されました。 日本の安倍晋三首相とエストニアのラタス首相が会談し、電子政府の推進に向けた共同研究に関する覚書などの署名式に立ち会ったとのことです。エストニアと日本が、電子政府の推進に向けて協力することは、大変有意義で喜ばしいことです。

記事の中に「エストニアのサイバネティカ社」とありましたので、このCyber​​netica：サイバーネティカ社について、簡単に解説しておきます。

サイバーネティカは、エストニアのICT企業であると同時に、サイバー防衛を中心とした国防産業企業でもあります。X-Road、インターネット投票、電子税関など、数多くの電子政府システムを開発しており、日本を含む世界35か国にシステムを提供しています。

ソ連時代の1960年に設立されたエストニア科学アカデミーのサイバネティックス研究所の応用研究ユニットが母体ですが、1997年に民間会社となりました。以来、情報セキュリティと暗号技術の研究を続けており、政府機関等の依頼により様々なレポートを作成・公開しています。

最近の事例としては、同じくエストニアの企業であるSK ID Solutions（SK社）のSmart-IDで採用されているSplitKeyテクノロジー（秘密鍵の分散管理）を提供しています。

エストニアの安全保障とサイバーセキュリティ（１）の続きです。

エストニアのセキュリティに関する動向を整理した年表は、以下の通りです。

2000年の電子署名法の施行は、信頼できる安全な環境で電子政府を実現するために欠かせないものでした。2001年には官民データ交換の基盤となるX-ROADがスタートし、バックオフィスの自動化が可能になります。2002年のIDカード発行と取得の義務化により、全ての国民がオンラインサービスを利用できる環境が整います。

2005年のインターネット投票開始までに、サイバーセキュリティの強化が進みますが、2007年にはエストニアへの大規模サイバー攻撃が発生し、データ保護や国際連携の重要性が再認識されるようになりました。2007年の大規模サイバー攻撃の後に、KSIブロックチェーンの導入、NATO共同サイバー防衛センターの創設、国家サイバーセキュリティ戦略の策定などが進み、EUやNATOのサイバーセキュリティにおけるエストニアの存在感が高まりました。2013年には、サイバー戦の国際法ルールとしてタリン・マニュアルが刊行され、EUのサイバーセキュリティ戦略も策定されます。

2014年のロシアによるウクライナ領土のクリミア併合は、エストニアのみならず世界全体に大きなインパクトを与えました。この事件に対するロシアへの経済制裁は、2015年まで行われたとされるダンスケ銀行によるマネーロンダリング事件の発覚とも無関係ではないでしょう。ロシアによる領土侵犯の脅威は、新たなデジタル戦略の中で提案されていたデータ大使館の必要性を再確認させることになりました。

その後も、EUやNATOにおけるエストニアの積極的な関与は続けられており、2016年発効のeIDAS規則、2017年刊行のタリン・マニュアル2.0、国際サイバー防衛訓練の実施などで、その存在感を示しています。

2017年には、 2007年の大規模サイバー攻撃と並ぶ重大なインシデントとして位置づけられているIDカードセキュリティ脆弱性問題が起こりました。この際のエストニア政府の対応は、迅速かつ適切なものとして、諸外国の参考になると思います。2018年には、課題の一つであった国内法の整備として、サイバーセキュリティ法（デジタルサービスを含む重要インフラの保護）が制定されました。

エストニアのセキュリティ上の最大の脅威は、ロシアに関するものです。NATOへの参加も、エストニアの安全を国際安全の一部と見なしているからであり、加盟国のサイバー防衛能力を向上させることは、自国の安全性の向上につながるものであるため、NATOやEUに貢献しているのです。

認識されている脅威の中には、政治・社会の過激化・二極化、社会結束の弱体化、寛容性の低下、社会的緊張などもあります。これに関連して、戦略的コミュニケーションや心理的保護なども紹介しておきます。

エストニアでは、戦略的コミュニケーションを、社会的結束を強化し、肯定的な国際イメージを確立し、敵対的な情報攻撃に対抗するための手段と位置付けています。国内外に対する情報発信を戦略的に行うことで、他国からのプロバガンダや政治工作に対抗します。2007年に大規模サイバー攻撃が発生した際も、エストニアのロシア系マイノリティーによる暴動がインターネットで呼びかけられた例があり、市民の暴動や国内テロなどを先導するサイバー行動には警戒が必要です。

心理的保護については、危機を防ぎ、社会の安全意識を高めることに貢献し、情報操作や誤報によって社会に暴力を誘発したり、憲法秩序を無視することで危機の解決を促進する情報攻撃を中和する効果があると考えています。エストニアは、住民が安全な日常生活を実感し、結束力と思いやりのある寛容な社会を目指しており、生活環境がより安定して安全になると、セキュリティ脅威からの社会の脆弱性が減少すると考えています。

他国からのプロバガンダや政治工作に弱いとされる日本が、エストニアから学べることは多いと思います。

次回に続く

第3回「インターネット投票の勉強会」について、ご案内いたします。場所は前回と同じ東京の会議室になります。開始時間が14:30になってますので、ご注意ください。

日時：2019年11月21日(木) 14:30-16:30
会場：DECO会議室（JR東京駅八重洲中央口より徒歩5分）
中央区日本橋3-5-12 DECO TOKYO 部屋番号7B室（7階）
サンマルクカフェを過ぎてから「DECO TOKYO」の文字を探してください。
https://www.spacemarket.com/spaces/wgw2dmz0onbfsnfn
参加費：無料
進行・解説：ジェアディス理事  牟田学

■テーマ：日本へのインターネット投票の導入について
14:30 趣旨説明と参加者の自己紹介（名前、所属、参加理由など）
14:45 
・エストニアのインターネット投票について（第1-2回の復習）
・日本でインターネット投票を実現するためには
15:30 質疑応答、意見交換
16:15 総括、取りまとめ
16:30 終了

参加ご希望の方は、ジェアディスの問い合わせページから、お名前・所属・メールアドレスをご連絡ください。初めての方でも大丈夫です。

第2回「インターネット投票の勉強会」では、インターネット投票のセキュリティだけでなく、エストニアの安全保障やサイバーセキュリティの全体像についてもお話ししました。今回は、その一部をご紹介します。ここで紹介するのは、エストニアだけに特別にあるものではなく、EU加盟国やNATO加盟国において一般的なものと理解してください。

セキュリティという言葉は、いくつかの意味を持ちえますが、ここでは「安全保障」とします。2017年に改定された​National Security Concepでは、エストニアの国家安全保障に関する基本的な考え方が、「セキュリティに影響を与えるすべての傾向と重要な分野を網羅する幅広いセキュリティ概念」に基づいているとしています。

エストニアの安全保障政策の目的は、エストニア国家の独立と国民の主権、国民と国家の存続、領土保全、憲法秩序、および国民の安全を確保することです。そして、安全保障政策を実施するにあたり、基本的な権利と自由を尊重し、憲法上の価値を守るとしています。

これは、安全保障政策を実施する上で、その時の状況により、優先順位があることを意味します。エストニアの国防法には戒厳令の規定があり、危機管理全般の対応を定める緊急法にも人的資源の動員の規定があります。とくに緊急法は、日本における安全保障や危機管理の法整備の参考になると思います。

エストニアの国家安全保障機関の全体像は、次の通りです。

国防の最高司令官は大統領ですが、エストニアの大統領は象徴的な存在なので、戦争の宣言に関する実質的な決定は、専門家が参加する評議会等の助言を踏まえて議会が行います。行政のトップである首相は、自然災害など戦争以外の非常事態の宣言を行うと共に、関係省庁と一体になり、実際の行動を実施します。上の図で言えば、首相および主要大臣が参加する「政府安全委員会」が実質的な司令塔の役割を果たすことになります。サイバーセキュリティについては、経済通信省が中心となる「サイバーセキュリティ評議会」が「政府安全委員会」の中に設置されています。

エストニアには、国家秘密の保護やスパイ活動の防止・取締り、外国の機密情報に関する収集・分析を担う機関があります。安全保障政策において、秘密保護や情報活動は重要であり、これが無いと同盟国との情報連携・共有ができなくなります。日本でも、特定秘密の保護に関する法律の成立が一時期話題になりましたが、エストニアの国家秘密と外国の機密情報に関する法律は大変よくできているので、日本が法改正する際の参考になると思います。

エストニアの機密情報の保護と諜報活動、機密情報の分類、それらの治安活動に関する監視体制は、次の通りです。

次回（２）に続く。

Planetway社が、「市川市とPlanetway Japan株式会社との連携等に関する協定」を、エストニア共和国のヴァイノ・レイナルト特命全権大使及びヴィリヤル・ルビ経済通信省副大臣の立会いのもと、締結したことをアナウンスしました。

​市川市との連携等に関する包括協定締結のお知らせ - Planetway 

市川市｜Planetway Japan株式会社との連携等に関する協定
連携事項
(1)情報通信技術の活用に関すること。
(2)その他前条の目的を達成するために必要な事項に関すること。

Planetway社は、デジタル国家エストニアのデータ連携基盤システム「X-Road」をベースとした技術であるデータ連携基盤ソリューション「PlanetCross」を提供しています。

IT Leadersの記事『「DX先進都市」を目指す市川市、エストニア電子政府のデータ連携技術「X-Road」を採用』によると、市の既存・新規システムに段階的に（まずは2、3の業務に適用）実装するようです。

東京新聞の『市川市「電子自治体」目指し協定 公共サービス ネットで結ぶ』によると、市政の情報化を進める村越市長が「（提携で）市の業務や福祉、教育などさまざまな分野で、これから大きな変革が起きる」と話し、Planetway社の平尾社長は「日本でのモデルケースとなるよう、三年後をめどに一定の成果を出したい」と回答しています。

「PlanetCross」のベースとなった「X-Road（X-tee）」は、エストニアでは官民データ連携の基盤として活用されています。市川市で成功することができれば、他の自治体や公共性の高い民間企業とのデータ連携にまで発展する可能性があります。

オープンソースとしての「X-Road」については、Nordic Institute for Interoperability Solutions · GitHubを参照してください。

エストニアのタリンで、政府の協力の下、CybExer Technologiesなどの民間企業が開催するサイバー演習「CYBER CoRe 2019 (Cooperative Resilience)」が、2019年3月28日から31日まで行われています。

Unique cyber exercise for the private sector is taking place in Tallinn

演習に参加するのは、オランダのハイネケンや英国のアーンスト・アンド・ヤング（会計コンサルティング企業）などグローバル企業のサイバーセキュリティ専門家、エストニアの重要な情報インフラストラクチャ企業（電力会社のEleringとEesti Energia、トラストサービスを提供するSK ID Solutions AS、銀行など）、オランダのサイバー警察、エストニア財務省の情報技術センター、タルトゥ市などです。また、米国の防衛産業企業であるRaytheon Internationalの上級エキスパートがオブザーバーとして参加します。

電力会社が参加しているのは、電気事業者のITシステムのサイバーセキュリティを担う民間企業が、セキュリティ基準が低いEU非加盟国の小規模ソフトウェア開発会社を買収しているといった事情が背景にあるようです。

関係者は、情報インフラ企業に、複雑で不明確なサプライチェーンや調達メカニズムがあると、コスト削減のために、監視が及ばず信頼できない国からセキュリティソリューションを購入することがあるとしています。

また、今回の演習より少し前の2019年3月25日に、エネルギー会社へのサイバー攻撃を想定したエストニアとフィンランドの共同演習も実施されています。

エストニアのセキュリティ事情については、2007年に大規模なサイバー攻撃を受けたこと、ブロックチェーンの技術が政府の情報システムで採用されていること、NATO共同サイバーディフェンスセンターの本部があることなどが説明されますが、実際にやっているのは、かなり地味で地道な作業の積み重ねです。

政府が保有する情報システムやデータベースについては、公共情報法や関係法令で定めるセキュリティ基準を満たすことが義務付けられており、定期的な監査を受けることになっています。

例えば、エストニア国内の医療データを共有・交換する「健康情報システム」の「医療データ」については、セキュリティレベルは「高」で、データの完全性についてはT3（最高クラス）となっています。

​
T3というのは、法令で定義する「完全性」を「リアルタイムで保証する」というものです。このような基準に従って、「データの完全性をリアルタイムで保証するためには、どのような技術を使ったソリューションを採用すれば良いか」と考え、費用対効果を含めた最適な手法を採用し実装することになります。

エストニアの政府情報システムについては、標準化も進んでいます。標準化については、エストニア標準化センター（EVS）が重要な役割を担っています。