21行目: |
21行目: |
| *電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。 | | *電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。 |
| *全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。 | | *全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。 |
| + | ==第2回(R2-12-04)== |
| + | https://www.soumu.go.jp/main_content/000724860.pdf |
| + | *Android OS におけるセキュアエレメントは 2 つの方法によりアクセス可能であり、グ ローバルプラットフォーム・サポーテッド・セキュアエレメントとも呼ばれていること などを踏まえ、「Android-SE」ではなくて、「GP-SE」といったより汎用的な呼称とする のが望ましい。 |
| + | *現在、マイナンバーカードだけで 4 種類の PIN が存在し、十分に理解できていない利用 者が大半だと思われる。今回のスマートフォン用の仮 PIN も含めて、新たに利用者が意 識する PIN がどれだけ出てくるのか、これらは別の値を設定しなければならないのか、 同じ値でも構わないのか、呼称の区別も含めて利用者が十分に理解できるような整理が 必要。 |
| + | *スマートフォン用の仮 PIN の必要性、PIN ロック解除フローについて整理が必要。 |
| + | *PIN の初期化について、今回のフローだと他人のスマートフォンの PIN を初期化できて しまう恐れがある。PIN を失念したら再発行で良いのではないか。 |
| + | *SEI-TSM はどういう事業者に対して、どのように認定するのか。例えば J-LIS が何らか の認定や監査を行うのか検討が必要。 |
| + | *競争性が発揮される形での調達が行われる必要があり、ベンダーロックインとならない ように十分配慮してほしい。 |
| + | *マイナンバーカードを取得していることが前提となっているが、スマートフォンだけで 利用したいという要望が今後出てくると思われるので、将来的にはその方向についても 検討する必要がある。 |
| + | *CC 認証は全体としてコンポジット認証を取得することが好ましい。CC 認証に対する扱 い方はインダストリーにより異なるため、どの部分をコンポジット認証とするのか検討 が必要。 |
| + | *失効された署名用電子証明書がオフラインで勝手に利用されないように、例えば J-LIS 側で証明書の有効性確認のうえ、アプリケーションに対して外部認証しないと署名でき ない仕組みについても検討してはどうか。 |
| + | *エストニアの SIM 方式のモバイル ID やスマート ID は全てのスマート端末で利用可能と なっている。政府が提供するサービスである場合、誰でも利用できるという点は非常に 重要だと思われるので、なぜ日本はスマートフォンに限定され、利用できない端末があ るのかということについて、諸外国と比較して説明できるようにしておくべき。 |
| + | *生体認証の活用に関して、現在と同様に J-LIS が責任を持って運用するためには、J- LIS が生体認証のロジックや各スマートフォン端末の第三者評価の状況等を把握できる 仕組みが必要。また、成りすましが発生した際に、端末メーカーの責任とすることや、 生体情報の適切な管理まで利用者に要求することは難しいと思われ、責任分界をどうす るのか議論が必要。さらに電子署名法第3条の固有性の要件を充足できるかが課題。 |
| + | *日本の場合、EU のように保証レベルがあまり議論されていない。生体認証を使う場合 には、例えば EU の保証レベルの中又は高なのか、署名の場合には、適格署名又は高度 署名なのか等をまずは議論した上で生体認証の活用について時間をかけて議論すべき。 |
| + | *生体認証における他人受入率(FAR)は 0.002% 以下とのことだが、本人拒否率(FRR) がどの程度か確認したい。 |
| + | *高齢者がマイナンバーカードの電子証明書の有効期限切れで自治体窓口に来られた際、 大半の方が PIN を失念している状況。利用者にとって使いやすいモデルを検討していく 中で、今回提案のあった FIDO 認証含め様々な認証方式についても議論したい。 |
| + | *FIDO 認証は、金融業界でも大幅に導入が進んでいる状況。既に 2 年程度運用されてい るが、FIDO 認証に起因した不正送金等は承知していない。従前のワンタイムパスワー ド等と比べて大幅にユーザビリティが改善され、アプリの利用者が増加している状況。 |
| + | *スマートフォンに認証器を搭載する場合の技術要件等も含めて、諸外国の例も参考とし ながら、整理をしていくことが必要。 |
| + | *マイナポータルをはじめ、政府のウェブサイトのユーザビリティを改善すべきと、総理 等から強く求められているところであり、来年前半の早い時期に向けて整理が必要。 |
| | | |
| ==名簿== | | ==名簿== |