しかし、その便利さの半面、インターネット上での取り引きには様々なリスクが存在します。例えば、実際は商品がないにもかかわらず、オンラインショッピングのサイトに成りすまして代金を騙し取るといった詐欺事件も発生しています。このような「成りすまし」(第三者が正当な取引主体に成りすまして、取り引きをすること)以外にも、「改ざん」(第三者が情報を不正に改変すること)、「否認」(自分が行った取引行為を後で否認すること)などが代表的なリスクとして挙げられます。
これらのインターネット上でのリスクを回避して、通信相手が間違いなく本人であること(真正性)、さらに通信内容が改ざんされていないこと(完全性)を証明する仕組みが「PKI」(Public Key Infrastructure:公開鍵認証基盤)です。
PKIでは、「公開鍵暗号方式」と呼ばれる暗号技術を用います。この公開鍵暗号方式は、「秘密鍵」(暗号化するための鍵)「公開鍵」(元の平文に復号化するための鍵)の2つの鍵をペアとして作成する点が特徴です。下記の図は、その仕組みを簡単に示したものです。
|
■公開鍵暗号方式の仕組み
|
|
秘密鍵で暗号化した文書は、ペアとなる公開鍵でしか復号化できません。したがって、この例の場合、公開鍵Yで正しくで復号できた文書は、ペアとなる秘密鍵Xによって暗号化され、その後、改ざんされていないことが証明されます。
ただし、これだけでは「文書が秘密鍵Xによって暗号化された」ということは証明できても、「2つの鍵の持ち主が本当にAさんである」ことは証明できません。そこで、認証局と呼ばれる機関が、電子証明書を発行して、公開鍵YがAさん本人のものであることを証明します。
|
■認証局が電子証明書を発行して本人確認(国土交通省の例より)
|
|
PKIにおいて、認証局は信頼の基盤となるため、その運用には高度なセキュリティが要求されます。日本では、日本認証サービス、帝国データバンクなどがサービスを実施しています。総務省の調査によると、今後、この電子認証サービスの国内市場は急速に拡大し、2006年度には約220億円に達すると予測されています。
PKIの中で、政府が認証局を運営し、行政機関を認証するものを特に「GPKI」(Government Public Key Infrastructure:政府認証基盤)と呼びます。現在、日本では電子政府構築の一環として、申請・届出のオンライン化が進められていますが、インターネットを利用して申請・届出を行う場合、その申請・届出や結果通知が本当にその名義人によって作成されたこと、その内容が改ざんされていないことが証明できなければなりません。その際、GPKIが行政機関側の認証に利用されます。
一方、申請者側については、住民を認証するための地方公共団体による公的個人認証サービス制度(2003年度中にサービス開始予定)、企業を認証するための商業登記に基礎を置く電子認証制度(2000年10月から運用中)などがあります。GPKIは、今後の電子政府の発展に欠かすことのできないインフラになると考えられおり、e-Japan重点計画では、2002年度中に全ての府省、2003年中に全ての地方公共団体で認証局を整備することを目標としています。
