Identification・Authenticity・Authentication・真正性

「弁護士ドットコム」さんで、14日に「社会のデジタル化と法律実務」というのを話すので、スライドを作りながら、いろいろと考えていたところ、特に、トラストまわりでも使う真正性・Identification・Authenticity・Authenticationあたりの用語が、混乱しかけているので、自分のためにメモしようかと思っています。

まずは、上の図の左側。アナログ的な行為ですね。紙があって、思想主体たる本人が、その紙に記載されている文書を自己の思想であると「認証」して、その「名義」でもって、署名(または、押印)します。そして、その紙が、そのまま、裁判所の前に呈示されるわけで、単純明快(?)。

右側のデジタル社会になると、いろいろいな話がでてきます。会社の場合をさて置いても、思想主体って、誰なんでしょうか。そのあと作成されるドキュメントの名義人なのでしょうか。それともプログラムの作動者か。

次にドキュメントの受領者からみたとき、そのドキュメントが、誰からのデータであるか、というのを確認する行為というのは、どういう意味をもつのでしょうか。ドキュメントが、誰の思想であるかを識別(identificate)した上で、その表示された思想が、正確に作成された上に、受領にいたるまでに同一であるということが明らかになるということなのかなと思います。

この場合、思想が誰のものかというのを確認するには、識別子を提供してもらって((identification)確認することになるのでしょう。その作成のチェーンをみていった上で、正確に作成されて、同一であることが認証される(Authentication)ものとなるのでしょう。この場合に、この確認する行為やルールが認証(Authorisation)ですね。

(なお、identificationについては、こちらのブログが勉強になりました)

法的に真正性(Authenticity)と呼ばれているものをみていきましょう。

我が国でいけば、民事訴訟法第228条1項

文書は、その成立が真正であることを証明しなければならない。

とされています。そして、228条4項においては、

私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。

とされています。

米国であれば、連邦証拠規則901条(a)です。同条は、

 証拠のアイテムを認証(authenticating)し、または、識別する(identifying)要件を満たすには、提案者(proponent)は、問題となっている(コンピュータ記録あるいはその他の証拠)がその申請者が要求しているものであるということを認定することを基礎づけるのに十分な証拠を示さなければならない。

と定めています。これについて、司法省の捜索差押ガイドラインは、真正性という名称で呼んでいます。

この真正性について、同ガイドラインは、3つの問題があることを分析しています

第1に、当事者は、当該記録が作成されたのちに改変され、操作されあるいは毀損されたどうかを問題とすることによって、コンピュータの生成した記録とコンピュータに蔵置された記録の両方の真正性について異議を申し立てることができる。

第2に、当事者は、当該記録を生成したコンピュータプログラムの信頼性を問題にすることによって、コンピュータの生成した記録の真正性を問題にすることができる。

第3に、当事者は、その作成者の同一性を問題にすることによって、コンピュータに蔵置された記録の真正性に異議を申し立てることができる。

これらをひとつの図にあわせることができるか、ということになります。

これは、上のガイドラインの3つの段階があること、それについて、法的に、真正性を明らかにすること(認証-authentication)がいろいろな証明を助ける仕組みを準備していることを示しています。

あと、ここの関係で把握しておくべき概念は、eIDASに関していわれているセキュリティ性質としてのデータのオリジンの認証でしょうか。「秘密鍵の保有者のみが、対応する公開鍵でサインされたデータのオリジンのポイントとなりうるから、サインされたデータのオリジンの証明となる。」という表現になっていて、この作用が、データのオリジン認証(authentication)といわれています(例えば、Security guidelines on the appropriate use of qualified electronic signaturesなどの表現 例 3.2Security properties )

ということで、メモを作っても、なかなか整理されないのですが、

(1)真正性という用語は、成立に関する部分と、内容に関する部分とをともにいっている。

(2)成立に関する部分は、連邦証拠規則だと、識別といわれているようである。

(3)真正性を明らかにする行為が認証と呼ばれている。

あたりをメモしておくことにします

 

 

トラストワークショップ参加ありがとうございます。

トラストサービスの調査ワークショップ無事成功のうちに終了いたしました。

参加いただきましたみなさま本当にありがとうございます。

トラストサービスWGの開催が、新聞報道等でなされるなか、非常にタイムリーな企画となり、熱心な議論がなされたのは、非常に有意義であったかと思います。

トラストサービスWGの報道としては、

日経新聞「電子書類に公的認証-改ざん防ぎ信用担保 国際商取引を円滑化」

読売新聞「電子書類に公的認証・・・総務省会議」

ブログとしては、「”総務省が画策する「日本版eIDAS」は電子契約普及の追い風となるか」ですね

当社としても、3月末にむけての報告書完成にむけてさらに努力する所存です。

 

「通信の秘密」にコメントする前に気をつけたいこと

昨年来、なにかあると「通信の秘密」という言葉に関連して、報道されることが多くなってきました。

例えば、

(1)ISPによるブロッキングが、憲法の「通信の秘密」の規定に違反するおそれ

(2)NHKによる「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も 」報道 (どうも、NHKの報道は消えていますね)

(3)捜査当局が、スマホからのデータ抽出は、「電話やメールの内容は憲法が定める「通信の秘密」に当たる。」

とかです。

個人的には、これらが、法的にきちんとした分析に基づいて「通信の秘密」という用語を用いてるのかなという疑念をもっています。

この点で、注意すべきことは、憲法における「通信の秘密」と電気通信事業法における「通信の秘密」が法律の概念としては、あって、それぞれの関係が不明であること、しかしながら、憲法の教科書では、ほとんど、同一であるとされる記述が一般であることです。

この点については、明確な検討がなされていないどいうことがいえるわけです。ただし、憲法の教科書の一般的なアプローチからは、憲法の通信の秘密も、(電気通信事業法と同じで)国内の遠隔通信に関して、電気通信事業者の取扱中にかかる通信に関する秘密を念頭において議論されているということになります。
(有線通信や無線通信はちょっとおきます)

ここで、電気通信事業者の取扱中というのは、「発信者が通信の発した時点から受信者がその通信を受けるまでの間をいい、電気通信事業者の管理支配下にある状態のものをさします」( 電気通信振興会 逐条解説 35ページ)。

例えば、スマホでいえば、そのスマホ内に物理的に保存されているデータは、利用者の管理支配下にあることになります。(利用者の宅内にある自営端末(略)は、「電気通信事業者の取扱中」とはなりえない)ちなみに、この物理的にどこで支配が変わるのか、というのが、責任分界点ですね。

なので、少なくても一般的な電気通信事業法の概念からいくと、例えば、改正NICT法での調査が、「通信の秘密」に違反するおそれとかいわれると?とおもうわけです。
(そもそも、根拠規定で、違法性が阻却されているだろうというのは、さておいてですが)

さらに、この話は、いま一つ、突っ込みがあるわけです。実は、逐条解説をみると、「蓄積機能を有する自営端末において、すでに蓄積された情報を事後に検閲する場合(略)などは、(電気通信事業法3条、4条-高橋の補充です 原文は3条)禁止している行為ではないものの、憲法21条2項および有線電気通信法9条違反に該当する行為となりうる」(35ページ)と記載されています。

なので、そのレベルで、解釈論をなしているのであれば、(2)および(3)は、嘘とはいえないということになります。もっとも、(2)および(3)ともに法的な根拠があってなしている行為なので、そもそも違法とは考えられないという根本的な問題をなぜに無視するのか、という当たり前の問題が残ることになります。