ビデオ通話による適格電子証明書の遠隔発行を規制：偽造防止対策

政府は、国家管理局へのオンライン手続きに必要な電子署名証明書など、ビデオ通話による遠隔地での適格電子証明書の発行を規制する省令を発表したばかりです。この法律文は官報（BOE）で公開されており、特に、遠隔地からの本人確認や、ディープフェイクなどの技術を使ったなりすましを避けるための条件や技術的要件が規定されています。

なりすましを防止するための技術的措置として、使用する識別ツールは、録画されたビデオ編集を避け、証明書申請者がライブで、かつ1回でプロセスを実行することを保証しなければならないと指摘されている。オーディオビジュアルファイルは、証明書を発行する企業または行政機関が、後で確認するためにのみ記録することができます。

このツールは、それを使用する役員が、ライブでも事後でも、申請者のバイオメトリクス特性および ID 文書に含まれる情報との対応を分析できるようにする必要がある。

生体顔認証システムは、米国国立標準技術研究所の顔認証ベンダーテストで評価され、認証システムの高い安全性を保証するVISABORDERカテゴリーを取得し、国立暗号センターの情報通信技術サービス製品分類の付属書F.11の指示に従い、偽陽性率5％以下を得ていることが必要です。

また、このツールは、再送信と識別プロセス全体が同一の装置から実行されていることを確認できなければならず、その場で生成されて申請者に送信されるユニークでランダム、予測不可能な単一使用コードの導入により、可能な操作を明らかにできる手続き上の措置を含まなければなりません。

ヒューマンコントロール

生体認証、本人確認、ビデオ編集などの改ざん検知機能に加えて、これらの各プロセスにおいて、申請者とのビデオ通話による同時進行、または証明書発行主体のシステムで録画したビデオをオペレーターが確認するという事後的な人の介入が不可欠になると命令されています。

これらの業務を行う企業は、本人確認方法、一般的な偽造技術、本人確認ツールに関するオペレーターの特別なトレーニングを確実に行う必要があります。また、少なくとも年に1回、定期的に講習を受け、更新することが義務づけられています。

これらの事業者は、録画済みファイルが使用されている、ビデオ送信に複数の機器が使用されている、申請者のビデオ通話が一度にかつリアルタイムで行われていないなどの指摘があった場合、個人認証プロセスを中断または無効化する義務を負うことになります。また、証明書の請求者が第三者からの強要や脅迫を受けている疑いがある場合は無効となります。

法文では映像だけに言及されているわけではありません。また、事業者は証明書を取得するために提示されたDNIなどの公的書類の有効性と真正性を確認し、これらが改変された形跡がある場合は手続きを無効としなければならないとしています。同様に、音声や画像の品質により、本人確認、書類の真正性、書類の所持者と申請者の対応関係を確認できない場合にも、申請は無効とみなされることがあります。

定期点検・設置

これらのサービスのプロバイダは、少なくとも年に 1 回、またはシステム、組織的手順、技術 の状態、または ID 検証プロセスを危険にさらす可能性のあるあらゆる側面に変更があるたびに、 定期的なリスク分析を受けなければならない。システムが最新であること、不正のリスクを最小限に抑えたことを証明するような形で。

設備面では、ビデオ通話で遠隔地から適格電子証明書を発行する企業や公共団体は、検証プロセスに使用するサーバーや機器が、権限のある人員にアクセスを制限された安全な部屋に設置されていることを確認しなければならない。

これらの施設では、サービス提供者は映像や確認作業に関する書類を最低15年間保管することが義務付けられており、事業者は申請者にその旨を通知していなければなりません。この命令では、このアーカイブはデータ保護に関する有機的な法律を遵守しなければならないとしている。

この命令は、BOEに掲載された翌日、すなわち明日の時点で発効し、拘束力を持つことになります。

特別措置の連結化

この省令は、コロナウイルスの大流行による警戒宣言を受けて開始された適格電子証明書発行のための本人確認手続きを統合するものです。従来、この証明書を取得するためには、国立造幣局の登録所に出向くことが不可欠であった。

この手続きは、2020年3月に政府が発表した監禁・安全距離対策と相容れないため、行政府は、COVID-19に対処するための社会・経済分野における緊急補完措置を採択した勅令法によって、これらの証明書をビデオ通話で発行できるよう、特別条項を発表した。

したがって、前述の勅令の第11条追加規定は、「監督機関は、マネーロンダリングおよび金融犯罪の防止のための委員会の執行サービスによって認可された、または欧州連合の他の加盟国によって適格証明書の発行について認められた手順に基づくビデオ会議による本人確認の方法を受け入れるものとする」と定めています。

ただし、この特別措置は、5月9日に発生した警戒態勢が終了すると、この方法で発行された証明書は効力を失い、その使用は保有者と行政機関との関係のみに限定されることも明記されていた。

したがって、本日発表された命令は、通常の場合、ビデオ通話によって遠隔地から適格電子証明書を要求する選択肢を統合し、民間企業にも拡大したものです。