戻る

資料1

保健医療福祉分野PKI認証局 証明書ポリシ(案)

Version 0.9



平成×年×月
厚生労働省

(C) Ministry of Health, Labour and Welfare


改定履歴

版数 日付 内容
*** 平成** 初版発行
   
   
   


−目次−

1 はじめに
1.1 概要
1.2 文書の名前と識別
1.3 PKIの関係者
1.3.1 認証局
1.3.2 登録局
1.3.3 加入者
1.3.4 検証者
1.3.5 その他の関係者
1.4 証明書の使用方法
1.4.1 適切な証明書の使用
1.4.2 禁止される証明書の使用
1.5 ポリシ管理
1.5.1 本ポリシを管理する組織
1.5.2 問い合わせ先
1.5.3 CPSのポリシ適合性を決定する者
1.5.4 CPS承認手続き
1.6 定義と略語
2 公開及びリポジトリの責任
2.1 リポジトリ
2.2 証明書情報の公開
2.3 公開の時期又はその頻度
2.4 リポジトリへのアクセス管理
3 識別及び認証
3.1 名前決定
3.1.1 名前の種類
3.1.2 名前が意味を持つことの必要性
3.1.3 加入者の匿名性又は仮名性
3.1.4 種々の名前形式を解釈するための規則
3.1.5 名前の一意性
3.1.6 認識、認証及び商標の役割
3.2 初回の本人性確認
3.2.1 私有鍵の所持を証明する方法
3.2.2 組織の認証
3.2.3 個人の認証
3.2.4 確認しない所有者加入者の情報
3.2.5 機関の正当性確認
3.2.6 相互運用の基準
3.3 鍵更新申請時の本人性確認及び認証
3.3.1 通常の鍵更新時の本人性確認及び認証
3.3.2 証明書失効後の鍵更新の本人性確認及び認証
3.4 失効申請時の本人性確認及び認証
4 証明書のライフサイクルに対する運用上の要件
4.1 証明書申請
4.1.1 証明書の申請者
4.1.2 申請手続及び責任
4.2 証明書申請手続き
4.2.1 本人性及び資格確認
4.2.2 証明書申請の承認又は却下
4.2.3 証明書申請手続き期間
4.3 証明書発行
4.3.1 証明書発行時の認証局の機能
4.3.2 証明書発行後の通知
4.4 証明書の受理
4.4.1 証明書の受理
4.4.2 認証局による証明書の公開
4.4.3 他のエンティティに対する認証局による証明書発行通知
4.5 鍵ペアと証明書の利用用途
4.5.1 加入者の私有鍵と証明書の利用用途
4.5.2 検証者の公開鍵と証明書の利用用途
4.6 証明書更新
4.6.1 証明書更新の要件
4.6.2 証明書の更新申請者
4.6.3 証明書更新の処理手順
4.6.4 加入者への新証明書発行通知
4.6.5 更新された証明書の受理
4.6.6 認証局による更新証明書の公開
4.6.7 他のエンティティへの証明書発行通知
4.7 証明書の鍵更新(鍵更新を伴う証明書更新)
4.7.1 証明書鍵更新の要件
4.7.2 鍵更新申請者
4.7.3 鍵更新申請の処理手順
4.7.4 加入者への新証明書発行通知
4.7.5 鍵更新された証明書の受理
4.7.6 認証局による鍵更新証明書の公開
4.7.7 他のエンティティへの証明書発行通知
4.8 証明書変更
4.8.1 証明書変更の要件
4.8.2 証明書の変更申請者
4.8.3 証明書変更の処理手順
4.8.4 加入者への新証明書発行通知
4.8.5 変更された証明書の受理
4.8.6 認証局による変更証明書の公開
4.8.7 他のエンティティへの証明書発行通知
4.9 証明書の失効と一時停止
4.9.1 証明書失効の要件
4.9.2 失効申請者
4.9.3 失効申請の処理手順
4.9.4 失効における猶予期間
4.9.5 認証局による失効申請の処理期間
4.9.6 検証者の失効情報確認の要件
4.9.7 CRL発行頻度
4.9.8 CRLが公開されない最大期間
4.9.9 オンラインでの失効/ステータス情報の入手方法
4.9.10 オンラインでの失効確認要件
4.9.11 その他利用可能な失効情報確認手段
4.9.12 鍵の危殆化に関する特別な要件
4.9.13 証明書一時停止の要件
4.9.14 一時停止申請者
4.9.15 一時停止申請の処理手順
4.9.16 一時停止期間の制限
4.10 証明書ステータスの確認サービス
4.10.1 運用上の特徴
4.10.2 サービスの利用可能性
4.10.3 オプショナルな仕様
4.11 加入の終了
4.12 私有鍵預託と鍵回復
4.12.1 預託と鍵回復ポリシ及び実施
4.12.2 セッションキーのカプセル化と鍵回復のポリシ及び実施
5 建物・関連設備、運用のセキュリティ管理
5.1 建物及び物理的管理
5.1.1 施設の位置と建物構造
5.1.2 物理的アクセス
5.1.3 電源及び空調設備
5.1.4 水害及び地震対策
5.1.5 防火設備
5.1.6 記録媒体
5.1.7 廃棄物の処理
5.1.8 施設外のバックアップ
5.2 手続き的管理
5.2.1 信頼すべき役割
5.2.2 職務ごとに必要とされる人数
5.2.3 個々の役割に対する本人性確認と認証
5.2.4 職務分割が必要になる役割
5.3 要員管理
5.3.1 資格、経験及び身分証明の要件
5.3.2 経歴の調査手続
5.3.3 研修要件
5.3.4 再研修の頻度及び要件
5.3.5 職務のローテーションの頻度及び要件
5.3.6 認められていない行動に対する制裁
5.3.7 独立した契約者の要件
5.3.8 要員へ提供する資料
5.4 監査ログの取扱い
5.4.1 記録するイベントの種類
5.4.2 監査ログを処理する頻度
5.4.3 監査ログを保存する期間
5.4.4 監査ログの保護
5.4.5 監査ログのバックアップ手続
5.4.6 監査ログの収集システム(内部対外部)
5.4.7 イベントを起こしたサブジェクトへの通知
5.4.8 脆弱性評価
5.5 記録の保管
5.5.1 アーカイブ記録の種類
5.5.2 アーカイブを保存する期間
5.5.3 アーカイブの保護
5.5.4 アーカイブのバックアップ手続
5.5.5 記録にタイムスタンプをつける要件
5.5.6 アーカイブ収集システム(内部対外部)
5.5.7 アーカイブ情報を入手し、検証する手続
5.6 鍵の切り替え
5.7 危殆化及び災害からの復旧
5.7.1 災害及びCA私有鍵危殆化からの復旧手続き
5.7.2 コンピュータのハードウェア、ソフトウェア、データが破損した場合の対処
5.7.3 CA私有鍵が危殆化した場合の対処
5.7.4 災害等発生後の事業継続性
5.8 認証局又は登録局の終了
6 技術的なセキュリティ管理
6.1 鍵ペアの生成と実装
6.1.1 鍵ペアの生成
6.1.2 加入者への私有鍵の送付
6.1.3 認証局への公開鍵の送付
6.1.4 検証者へのCA公開鍵の配付
6.1.5 鍵のサイズ
6.1.6 公開鍵のパラメータ生成及び品質検査
6.1.7 鍵の使用目的
6.2 私有鍵の保護及び暗号モジュール技術の管理
6.2.1 暗号モジュールの標準及び管理
6.2.2 複数人による私有鍵の管理
6.2.3 私有鍵のエスクロウ
6.2.4 私有鍵のバックアップ
6.2.5 私有鍵のアーカイブ
6.2.6 暗号モジュールへの私有鍵の格納と取り出し
6.2.7 暗号モジュールへの私有鍵の格納
6.2.8 私有鍵の活性化方法
6.2.9 私有鍵の非活性化方法
6.2.10 私有鍵の廃棄方法
6.2.11 暗号モジュールの評価
6.3 鍵ペア管理に関するその他の面
6.3.1 公開鍵のアーカイブ
6.3.2 私有鍵と公開鍵証明書の有効期間
6.4 活性化用データ
6.4.1 活性化データの生成とインストール
6.4.2 活性化データの保護
6.4.3 活性化データのその他の要件
6.5 コンピュータのセキュリティ管理
6.5.1 特定のコンピュータのセキュリティに関する技術的要件
6.5.2 コンピュータセキュリティ評価
6.6 ライフサイクルの技術的管理
6.6.1 システム開発管理
6.6.2 セキュリティ運用管理
6.6.3 ライフサイクルのセキュリティ管理
6.7 ネットワークのセキュリティ管理
6.8 タイムスタンプ
7 証明書及び失効リスト及びOCSPのプロファイル
7.1 証明書のプロファイル
7.1.1 バージョン番号
7.1.2 証明書の拡張(保健医療福祉分野の属性を含む)
7.1.3 アルゴリズムオブジェクト識別子
7.1.4 名前の形式
7.1.5 名前制約
7.1.6 CPオブジェクト識別子
7.1.7 ポリシ制約拡張
7.1.8 ポリシ修飾子の構文及び意味
7.1.9 証明書ポリシ拡張フィールドの扱い
7.2 証明書失効リストのプロファイル
7.2.1 バージョン番号
7.2.1 CRLとCRLエントリ拡張領域
7.3 OCSPプロファイル
7.3.1 バージョン番号
7.3.2 OCSP拡張領域
8 準拠性監査とその他の評価
8.1 監査頻度
8.2 監査者の身元・資格
8.3 監査者と被監査者の関係
8.4 監査テーマ
8.5 監査指摘事項への対応
8.6 監査結果の通知
9 その他の業務上及び法務上の事項
9.1 料金
9.1.1 証明書の発行又は更新料
9.1.2 証明書へのアクセス料金
9.1.3 失効又はステータス情報へのアクセス料金
9.1.4 その他のサービスに対する料金
9.1.5 払い戻し指針
9.2 財務上の責任
9.2.1 保険の適用範囲
9.2.2 その他の資産
9.2.3 エンドエンティティに対する保険又は保証
9.3 企業情報の秘密保護
9.3.1 秘密情報の範囲
9.3.2 秘密情報の範囲外の情報
9.3.3 秘密情報を保護する責任
9.4 個人情報のプライバシー保護
9.4.1 プライバシープラン
9.4.2 プライバシーとして保護される情報
9.4.3 プライバシーとはみなされない情報
9.4.4 個人情報を保護する責任
9.4.5 個人情報の使用に関する個人への通知及び同意
9.4.6 司法手続又は行政手続に基づく公開
9.4.7 その他の情報開示条件
9.5 知的財産権
9.6 表明保証
9.6.1 認証局の表明保証
9.6.2 登録局の表明保証
9.6.3 加入者の表明保証
9.6.4 検証者の表明保証
9.6.5 他の関係者の表明保証
9.7 無保証
9.8 責任制限
9.9 補償
9.10 本ポリシの有効期間と終了
9.10.1 有効期間
9.10.2 終了
9.10.3 終了の影響と存続条項
9.11 関係者間の個々の通知と連絡
9.12 改訂
9.12.1 改訂手続き
9.12.2 通知方法と期間
9.12.3 オブジェクト識別子(OID)の変更理由
9.13 紛争解決手続
9.14 準拠法
9.15 適用法の遵守
9.16 雑則
9.16.1 完全合意条項
9.16.2 権利譲渡条項
9.16.3 分離条項
9.16.4 強制執行条項(弁護士費用及び権利放棄)
9.16.5 不可抗力
9.17 その他の条項

トップへ
戻る