2010年3月29日　第３回保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議　議事録

○議事

○手島補佐　それでは定刻になりましたので、ただいまから第3回「保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議」を開催させていただきます。構成員の皆さまにはご多忙のところご出席いただきまして、誠にありがとうございます。本日の会議は公開で行っておりますので、資料及び議事録については厚生労働省のホームページ上で公開させていただきます。
　なお、今回の会議におきましては、オブザーバーとして、日本医師会総合政策研究機構の矢野一博主任研究員、財団法人医療情報システム開発センター研究開発部の町田悦郎研究員、ジャパンネット株式会社の中村克巳技術部長にご出席いただいております。また大変恐縮でございますが、阿曽沼局長は国会の対応のため、本日欠席させていただきます。
　続きまして、資料の確認をさせていただきます。まず議事次第があり、その後に「『保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議』の開催について」、その次から資料番号を振っておりますが、資料1「厚生労働省ルート認証局移転関係資料」、資料2「厚生労働省ルート認証局準拠性審査報告書」、資料3「MEDIS認証局準拠性審査報告書」、資料4「日本医師会認証局準拠性審査報告書」、資料5「保健医療福祉分野PKI認証局署名用証明書ポリシ（改定案）」、資料6「保健医療福祉分野PKI認証局証明書ポリシ準拠性審査手続規則（案）」、資料7「保健医療福祉分野PKI認証局証明書ポリシ準拠性審査業務実施規則（案）」、資料8「保健医療福祉分野PKI認証局認証用（人）証明書ポリシ」、資料9「保健医療福祉分野PKI認証局認証用（組織）証明書ポリシ」、以上が本日お配りした資料です。なお資料1から資料4につきましては、セキュリティの観点から会議終了後に回収させていただきますので、お持ち帰りにならないようお願いします。また、傍聴者の皆さまには、恐縮ですが配付しておりませんのでご了承願います。資料の配付に不備がありましたら、事務局にお申し出いただきますようお願いします。それでは以後の進行を辻井座長にお願いします。

○辻井座長　4年ぶりだそうです。本当にしばらくですが、よろしくお願いします。それでは、これまでの経緯と本日の議題の説明を事務局からお願いします。

○手島補佐　これまでの経緯と本日の議事の説明をさせていただきます。本会議につきましては第1回が平成17年7月25日、第2回が平成18年3月30日に開催されてから期間が経過しておりますので、事務局よりこれまでの開催経緯を説明させていただいたうえで、本日の議事について説明させていただきます。
　まず初めに、議事次第の後に付けております添付資料の「『保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議』の開催について」をご覧ください。平成16年9月に医政局長の、行政運営上の会合である「医療情報ネットワーク基盤検討会」の最終報告において、ネットワーク上の情報の改ざん、なりすまし等を防止するために、医師等の個人が電子署名を活用できるよう公的資格の確認機能を有する保健医療福祉分野の公開鍵基盤（HPKI）が整備される必要があるとされました。なお、同検討会の座長は専門家会議の座長代理でもあります大山永昭先生にお願いしています。この報告を受け、平成17年3月に「保健医療福祉分野PKI認証局証明書ポリシ」を策定し、平成18年度には、ポリシに準拠した個別認証局が相互に電子署名を発行、検証することが可能となるよう、ポリシの準拠を示す証明書を発行できるHPKIルート認証局を構築しました。個別認証局の共通ポリシ準拠性の審査に係る手続等につきましては、厚生労働省が自らこれを行うにあたり、これらの実効性の検証や手続等の習熟のため、平成19年3月には財団法人医療情報システム開発センターHPKI認証局、及び平成21年3月には社団法人日本医師会HPKI認証局のご協力を賜り、ポリシ準拠性審査手続の実施をさせていただき、本専門家会議の下に設置した専門家会議作業班において準拠性審査を実施したところです。以上がこれまでの経緯です。
　今回、第3回の専門家会議の検討事項ですが、議事次第の（1）の、厚生労働省ルート認証局構築、移転について、と併せて、（2）医療情報システム開発センター及び日本医師会認証局の準拠性審査報告について、審査の結果をご報告させていただきます。（3）保健医療福祉分野PKI認証局署名用証明書ポリシについては、医療情報ネットワーク基盤検討会において検討、作成いただきました認証用（人）（組織）証明書ポリシに基づき専門家会議作業班において作業いただきました署名用証明書ポリシ（改定案）について、ご議論いただき、ご了承いただければと考えています。（4）保健医療福祉分野PKI認証局証明書ポリシ準拠性審査規則については、今後、他の団体等が本基盤に参画を求めた場合に、厚生労働省が円滑にポリシの準拠性監査を実施できますよう、準拠性の審査規則のご議論をいただき、ご了承いただければと考えております。（5）保健医療福祉分野PKI認証局認証用証明書ポリシについては、医療情報ネットワーク基盤検討会において検討、作成いただいたものですが、今後、認証用証明書ポリシのメンテナンスにつきましては、この専門家会議の開催要綱にもありますが、この会議で行うことについて、ご了承いただきたいと考えております。以上、よろしくお願いいたします。

○辻井座長　それでは、議事次第に沿って議論していきたいと思います。資料1から資料4の準拠性審査報告関係につきましては、この専門家会議の下に専門作業班が設置され、そこで審査を行っておりますので、専門作業班長でもあります山本構成員から報告をお願いしたいと思います。よろしくお願いします。

○山本構成員　まず資料1をご覧ください。厚生労働省のルート認証局の設置を前回のこの専門家会議で認めていただいたところですけれども、実際にルートCAのCPの準拠性監査を行う前に、実はデータセンターを移転しております。
　資料1は、ルート認証局の移転関係の資料で、ここに書いているような手順で無事に移転を済ませております。作業班としても一応この移転手続をチェックしましたが、齟齬なく安全に移転されたものと考えております。中身は非常に詳細ですので説明は省略させていただきたいと思いますが、いわゆるデータセンターの都合で移転をしたということです。
　資料2は、ルート認証局の準拠性審査報告書で、以下、サブCAの準拠性監査の審査報告書と同じ型式ですが、表型式になっており、まずいちばん左端にポリシを項目に分けてすべて書いております。そのポリシの項目に対して監査目標を次の1つ右の欄に書いてあり、3番目の欄は監査手順例です。ここまでは作業班で作成して、それぞれのルートCA並びにサブCAに渡したところです。その次の段からは、それぞれの認証局の運営者によって自ら監査をしていただいて記載をしております。措置状況、対応するCPSまたは書類名が書かれていて、それから監査エビデンス、どういったことをエビデンスとしてこの措置状況が確認できるかということを記載していただき、その後、作業班から審査員が実際に現地に赴いて、それぞれを確認してコメントを付けるという手順で行っております。これも非常に詳細な資料ですので説明は申し上げませんが、一応、CPで規定されている部分に関しては、ルート認証局に関して全て内部監査の結果を審査のうえで確認することができましたので、CPに準拠しているということを作業班として確認させていただいたところです。このルート認証局のCPの準拠性監査の審査が終わって後に、実際にエンドエンティティに証明書を発行する2つのCAの準拠性監査の審査を行っています。
　資料3がMEDIS認証局、医療情報システム開発センターに厚労省からお願いして試行的に作成していただいた署名用のHPKIの証明書を発行する認証局です。これも先ほどのルート認証局と同様に、いちばん左欄に証明書ポリシが各項目ごとに書かれており、監査目標、監査手順例、ここまでは作業班で作成して、それから措置状況、対応CPSまたは書類名ということで、その根拠、どのようにチェックをしたのかということを記載していただいて、そのうえで提出された書類を基に実際にCAの運用現場に審査員が赴き、それぞれをチェックしております。医療情報システム開発センター(MEDIS)のCAも、CPで規定されている部分に関しては一応齟齬なく確認することができましたので、保健医療福祉分野の署名用ポリシに準拠していると、作業班としては認めているところです。
　資料4は、これも保健医療福祉分野のHPKIの普及のために、厚生労働省から日本医師会にお願いして設置していただいた日本医師会認証局の準拠性審査報告書ですが、MEDISと同様に、証明書ポリシ、監査目標、監査手順例を記載した書類を、実際には電子的に渡して、措置状況、対応CPS番号または書類名、監査エビデンスを、実際に自己監査をして記載していただいたうえで、審査員が現地に赴き運用状況並びに書類をチェックしております。こちらもCPに記載のある項目に関しては、いずれも齟齬なく確認をすることができましたので、こちらのCAもHPKIの署名用ポリシに準拠していることを作業班としては確認させていただいて、この専門家会議に報告させていただくところです。実際の審査の日付から1年以上空いているのですが、あくまでも試行的に作成していただいたということで、実際の運用、例えばICカードに実際に証明書を格納して署名検証ができるとか、そういったことをかなり慎重に検討してきてCAは大丈夫なのですが、HPKI全体としての運用もOKだということで本日ご審査をいただくこととなった次第です。以上です。

○辻井座長　それでは、ただいまの報告に対して、ご質問、ご意見等ありましたらお願いいたします。

○松本構成員　資料1で、ルート認証局が移転になったということで関係の資料を出していただいているわけですが、なぜ移動になったのか経緯についてご説明いただけますでしょうか。

○山本構成員　これはデータセンター側のご都合です。

○オブザーバー（ジャパンネット（株））　ジャパンネットとしては、当初、親会社のデータセンターで、平和島にデータセンターを持っておりました。厚労省のルート認証局も合わせて事業拡大がいろいろあり手狭になってきた、電力の確保等々の問題があったものですから、全体のエリアとして約2倍の領域を確保できる親会社の別のデータセンターに、私どもの事業として認証局設備を丸ごと移設せざるを得ないという状況になりましたので、実際には厚労省を含めてすべてのお客さまの移設と併せて実施させていただいたということです。

○松本構成員　わかりました。

○辻井座長　ほかにいかがですか。暗号の世代交代については何か考えておられますか。例えば資料3の28頁で、エンドエンティティの最小サイズはRSAの場合、1024ビット以上というのは、一応CRYPTRECのほうでは2014年までに準備してくれということを申し上げておりますが、まだその辺は特に。

○山本構成員　作業班、それからネットワーク基盤検討会で議論はしております。格納する媒体を対応する暗号に適合できるものを選んでいこうということにはなっておりますが、現状は、ここのCPのところで最低を上げるというところまではまだいってないのですが、いずれ変えないといけないと思っております。

○辻井座長　他にございませんか。
　それでは、ただいまの報告に関して、適正に審査が行われ、特に問題がないということで、この専門家会議として了承させていただきます。
　続きまして資料5、保健医療福祉分野PKI認証局署名用証明書ポリシ改定案について、作業班長の山本構成員から説明をお願いします。

○山本構成員　それでは資料5、今お認めいただいたばかりのCAの認証局の準拠性審査の根拠となるCPなのですが、後でご説明する機会があろうかと思いますが、認証用の証明書、CPを作りたいということで、その検討の段階で1つは認証用のCPを作るということで、OIDの体系を少し変更する必要があるということで、資料5の3頁で、今まで認証用をどうするかあまり明確には決めていなかったので、単なる認証用と書いてあったのは、検討の結果やはり「人」と「その他」に分けるほうが望ましいということで、そういう意味でOIDテーブルを拡張する必要があるということが1つ。もちろん参照すべき規格のバージョンが上がったなどといったことがございますので、それはこの際変更しております。
　それから最も大きな点は、13、14頁で、これも従来のCPでは組織の認証を、あまり現実的でない、商業登記をしているところであれば登記謄本、開設許可証を持っていればそのコピーを出してもらう形にしていたのですが、実際の医療機関の場合に商業登記されているとは限りませんし、開設許可証のコピーがなかなかその医療機関には置いていないということで、より厳格かつ現実的な方法ということで、保険医療機関である場合には、比較的容易に組織の存在を確認できることがわかりましたので、13頁での尚書き以降、保険医療機関であれば保険医療機関の申請のときに、通知書のコピーが出せますし、その通知書のコピーを後で第4章で確認する場合は、各地の厚生局にそのリストが公表されることがあり、それを活用して確認できるということで、その組織の認証および確認の部分を追加しました。
　さらにHPKIの特徴であるhcRoleで医療機関の属性、証明書利用者の属性を書き込む欄、書き込むフィールドがあります。49、50頁に資格テーブルがあり、その中で、まだ1枚も発行されていないのですが、薬局の責任者がこれから処方せんの電子化等を考える場合に非常に重要な資格になるので、そこをもう一度関連の日本薬剤師会等に確認したところ、薬局の場合は管理薬剤師と薬局開設者は異なる概念として整理されているということで、いままでの管理薬剤師のところをDirector of Pharmacyであったのが、より一般的に使われている用語ということでSupervisor of Pharmacy、薬局開設者をProprietor of Pharmacyということで、修正しております。現実にMEDIS-DC、日本医師会等もこの属性の証明書は1枚も発行していない。そもそも組織の管理者に対する証明書は1枚もまだ発行していない状況ですので、本CPの改正案の変更点は現に発行している証明書に影響を与えるものではないことを付け加えます。これによって後で説明する認証用のCPのOIDがここで書き込まれたことと、組織の管理者、これは実際の運用をしていく中で、例えば診療報酬請求書の提出などでこれから先かなり重要になる項目なので、この際このように修正させていただければと考えております。
　先ほど申し上げたように、現在発行している証明書の利用者に関しては、一切影響を及ぼさない変更ですので、CPのオブジェクト識別子、OIDは変更しておりません。先ほどのhcRole、49、50頁のテーブルのOIDも変更しておりません。以上です。

○辻井座長　ただいまのご説明に対して、ご意見、ご質問がございましたらお願いします。

○多賀谷構成員　保険医療機関の指定通知書というのは、この医療機関に対して指定するというのは厚生労働省、保健所ですか。

○山本構成員　厚生局です。

○多賀谷構成員　厚生局から発行するものですね。公印が押してあるもの。

○山本構成員　支払機関が発行する。

○多賀谷構成員　支払機関が発行すると。

○山本構成員　ただ保険医療機関でない医療機関が若干存在するので、それはこの方法では確認できないので、従来どおりの方法で組織を確認する必要があると思います。

○多賀谷構成員　物理的世界での組織の本来性の確認ですかね。

○山本構成員　はい。

○多賀谷構成員　偽造、あるいはコピーの可能性は。

○山本構成員　先ほど申し上げたように、証明書の写しと同時に、地方厚生局のホームページにPDFの形でその事実が記載されます。そこに代表者、電話番号等が記載されますので、4章ではそれを用いて電話で確認することになっておりますので、仮に偽造したとしても、それは見抜けると考えております。偽造することもないだろうと思いますが、医療機関である以上、実際には診療報酬請求をしないと食べていけないわけで、そこが医療機関にとっては本当に最も重要な書類ではありますけれども。

○多賀谷構成員　「各法等」とは同じレベルですか。チェックリスト。

○山本構成員　あくまでも署名用の証明書ですから、人に対して出しますので、人の本人性確認はこれとは別にやりますので、組織の属性を入れるための確認ということです。

○辻井座長　他にございませんか。それではこの改定案で了承とさせていただきます。
　続きまして、資料6、7について、山本構成員から説明をお願いします。

○山本構成員　資料6、7は、ここ2年の間に行ったMEDIS、日本医師会の準拠性の審査を行いましたが、審査の手順および規則に関して、やはり成文にしておくほうがよろしいということで、作成したものです。実際には、いま作業班で行ったことを手順書と実施規則にまとめたものです。資料6の1条、2条、3条、4条までは体制のことですが、5条で申請認証局の義務、審査の基準ということで、監査目標を基準とする、先ほどお見せしたテーブルを作って渡すこと。こういう手続が書かれており、あとは実地で調査をすることが明確に記載されています。
　資料7は実施規則ですが、どのような書類を出さなければいけないか、その書類の扱いなどを記載したものです。いままでの2つの認証局は厚生労働省からお願いをして、実際にHPKIがきちんと回るものであるかどうかを確認のために設置されたのですが、今後それ以外の認証局が申請をする可能性はあるので、その際は、この審査手続規則と審査業務実施規則に従って審査をしていきたいということで、ご提案するものです。以上です。

○辻井座長　それではご質問、ご意見をお願いします。

○大山構成員　こういう規定類を作っておくことは良いことだと思うのですが、因みに日本医師会さんとMEDISさんは、この規定ができるのとはどういう関係になるのですか。

○山本構成員　基本規定の原案を作って、その上でやったのですが。

○大山構成員　それはいいのですが、本申請書はまた出すのですか。

○山本構成員　一応このとおりになったのです。

○大山構成員　ではもう終わっているということですか。

○山本構成員　はい。

○大山構成員　遡及はしない。

○山本構成員　ここの6頁の流れがありますが、この認証局のキーセレモニー自体は審査員が立ち会ってやっておりますので、その後で、これの書類審査および実際の運用等、書類等の確認をしていくところなのです。

○辻井座長　よろしいですか。他にございませんか。それでは資料6、7の規則についても専門家会議として了承することにします。
　続いて資料8、9です。人の証明書ポリシ、組織の証明書ポリシ、これは事務局からお願いします。

○手島補佐　事務局からいままでの経緯をご説明します。資料8、9をご覧ください。認証用の人、組織、ポリシについては、医療情報ネットワーク基盤検討会において検討、作成いただいたものです。認証用ポリシの検討経緯は、平成20年度の検討会において、個人が自ら医療情報を管理、活用するための方策等に関する事項について検討いただき、電子化された診療情報を安全にやり取りするために、なりすましを防ぐための認証基盤が必要である旨を提言いただきました。そこで認証基盤構築には、そのための決め事であるポリシの策定が必要であることから、今年度検討会に設置している作業班において、ポリシ案を作成していただき、昨年11月2日の検討会で了解いただいております。なお同作業班の班長は山本隆一先生にお願いしております。
　証明書ポリシのメンテナンスについては、HPKI専門家会議の開催要綱にもあるとおり、この会議で行うこととなっております。したがってこれらのポリシのメンテナンスをこの会議で行っていただくことについても、医療情報ネットワーク基盤検討会でご了解いただいております。今後、必要が生じた際には、この会議でメンテナンスを行うことについて、本日構成員の皆様にご了承をいただきたいと考えております。以上です。

○辻井座長　山本構成員から補足説明がありましたらどうぞ。

○山本構成員　基本的には、先ほど変更の手続をお認めいただいたHPKIの署名用ポリシの必要な部分を修正する形で、認証用のCPとしたものです。それで人のほうは先ほど手島補佐から説明がありましたように、紹介状、現在は日本ではIT化の対象外となっていますが、処方せん等の電子化を進めていくに当たって、安全に情報にアクセスをすることが必要になってきますので、それを厚労省がルートをするという意味では、ドメイン別ではなくて全国でということになりますが、そういうユースケースが確かに存在するということで、作成をしたものです。
　組織の証明書ポリシは、直接の想定されるアプリケーションとしては、保険証のオンライン即時確認を想定しており、いま医療保険証はプラスチックカードまたは紙でなされているわけで、医療機関はそれを診察のごとに確認をする必要があるわけですが、確認時点でその保険証が実際に有効かどうかを確かめるためには、保険者に電話等で問い合わせる必要がある。それで全国で言えば、毎年数千億円レベルの失効保険証による診療が存在するということがあって、オンラインで即時確認することはかねてから求められております。さまざまな方法が検討されてきているわけですが、そのいずれも保険証の有効性情報は個人にとっては個人情報ですので、医療機関が業務上の必要性をもって問い合わせていることが確認できないと、なかなか答えられないことがありますので、この組織の認証用の証明書ポリシのユースケースが存在することが確認できておりますので、実際はこれ以外に認証用では例えば、アプリケーション、デバイスなどのユースケースがないということはまだ言えないのですが、現状では確かに利用用途が存在する証明書ということで、この2つの認証用の証明書ポリシを作成させていただくところです。

○辻井座長　他に何かございますか。大山構成員いかがですか。

○大山構成員　こういう場ですから少し確認をしておいた方がいいかもしれませんが、この認証用、人の証明書は一般の方にもお出しになることも想定しているのだろうと思っているのですが、それで間違いないですか。

○山本構成員　できないことはない。

○大山構成員　できないことないですよね、そうですよね。

○山本構成員　はい。

○大山構成員　その方たちの、何を言いたいかというと、公的個人認証サービスとの違いはどこにあるのかなと。座長がお気になさっているのも、そこかなと思ったので。

○山本構成員　できないことはないというのは、そうなのですが、多分ないということなのです。あくまでもhcRoleに。

○大山構成員　hcRoleが付いているはずだったらね。

○山本構成員　はい、属性が入った人の認証用の。ただ、ここに規定されていない、hcRoleに規定されていない医療従事者がいますので、そういう意味では全くそれを排除しているわけではないのですが、これを一般の人に出すということは、基本的には想定していないのです。

○大山構成員　それはやはり金額の話、あるいは民間の認証業者がやっているものとは同じレベル、同等にもともとなっているはずですよね。だからできないことはないけれども、手間かなという話を矢野さんに聞いたら、矢野さんはまだ答えられないと言うのかもしれないけれども。まだこれはやっとできるところだから、何もまだないですよね。

○山本構成員　一般の方にわざわざhcRoleが入っている証明書を出す必要は、基本的にはないのだろうと思います。

○大山構成員　そうですね。逆に公的個人認証サービスは、これはないですよね。こちら側では。

○山本構成員　はい。

○大山構成員　だからここは、この場の議論ではないのですが、辻井座長もずっと長くおやりいただいていて、同じお考えではないかと。

○辻井座長　金融機関や通信業者等は、公的個人認証を実在性確認に使いたいという要望もあるようで、その辺があれですよね。いまの公的個人認証の法律ではそのようなことはできないわけですけれども。今後は何かそういう国民的基盤としてせっかく国が一生懸命お金をかけて作ったものだから、できるといいかなと思いますが。
　もう1つ伺いたいのですが、15408の話が少し書かれていますね。15408、これはコンピューターのセキュリティ評価ということなのですが、医療システムというのは、いわゆるシステムですね。そういう大規模なものに反対ではない、カードとかコンピューターなどに対して、何か15408では処理できないと言いましょうか、その辺は何か考えていることはあるのですか。

○山本構成員　考えているというのは、1つは大山先生が座長をなさっているネットワーク基盤検討会で、医療情報システムの安全管理に関するガイドラインが、形式的には個人情報保護法、e-文書法のガイドラインとして大臣が斟酌すべきガイドラインとしてリリースされて、いま4.1版になっています。それは守らなくてはいけないガイドライン、医療機関にとっては遵守しなければいけないガイドラインで、守らないといけないのですが、実際にどれくらいの自信をもって守っているのかというか、どれくらい確からしいのかというのは、審査というのではなくて、助言的にチェックをしてくれる仕組みが、MEDIS、医療情報システム開発センターでそういう仕組みを開発されていて、希望する医療機関には実際に現地に赴いて、そういう審査をして、それでもしも満たされない項目があったら、これは満たしてもらわないといけませんので、そこを満たすようにアドバイスをして、それでOKだったらOKだという審査をする仕組みはありますが、そのぐらいですかね。

○喜多構成員　いま、病院機関側からのフィッティングをしているかというのはMEDISでやるという話でしたが、私がHISPROという保健医療福祉情報安全管理適合性評価協会で理事長をさせていただき、日本医師会と日薬と医療情報学会の社員になっていると思います。それは一応ベンダー側がそういうシステムを厚労省の管理ガイドラインに合っているかどうかを評価していこうということで、まず最初にレセプトオンラインのVPNネットワークを始めて、行く行くは外部保存のそういうのに適合しているかということも広げていこうと、そういう動きも一応していますのでご紹介させていただきます。

○山本構成員　ベンダー側、医療機関側、両方に一応そういうチェックはする仕組みは作ってあるのです。

○辻井座長　ISOの197、97、ISOにはまだなっていないのですか。あれは何かちょっと、ISMS15を見ましても中間的な感じですか。技術評価ではあるのですが、運用状況に入ったものもチェックできるような何か技術評価というのでしょうか。何かそのようなものもこれから大事になるのかなという気もしますが。自主的にいろいろおやりになっているという感じですね。ほかに事務局、山本構成員の説明に対して何かございますか。

○喜多構成員　先ほどの資格のテーブルの話で、署名用のものは変えないという話でしたが、いま作業員を増やしていて気がつかなかったのですが、組織の49頁の表7.1.3ですが、これはいわゆる人のものと組織が違っているので、いま同じOIDになっているので早く変えたほうがいいのではないかなと。

○山本構成員　8と9で変えるということですか。資料9のほうを変えますか。

○喜多構成員　資料9のほうを変えたほうがいい。署名用のものはあまりあれなので、変えないという話で、資料上は2になったりしているのもあるので、その辺は整合性をとって元に戻すのでいいのではないかと思うのですが。こちら側もこのまま同じにしておくか、変えるか。

○山本構成員　49頁ですね。

○喜多構成員　はい、組織のほうの49頁のほうのreferenceの中間ですが、ここを2にして。

○山本構成員　だからnational-coding-scheme-referenceを2にする。

○喜多構成員　そうですね。

○山本構成員　はい。

○喜多構成員　それで署名は変えない。

○山本構成員　おっしゃるとおりです。

○辻井座長　それはまた専門作業班で検討していただくということでお願いします。他にございませんでしょうか。それでは資料8、9については、今後この専門家会議でメンテナンスを行っていくということですが、専門家会議の下に専門作業班が設置されていますので、そこで作業を行っていただく。そして専門家会議に諮っていただくということにしたいと思います。事務局から何かございますか。

○手島補佐　今ご了承いただいた認証用ポリシのメンテナンスに関連してですが、資料5の署名用ポリシの改定箇所を踏まえて、資料8、9の認証用の（人）（組織）証明書ポリシに反映する必要がありますので、こちらについてもご了解いただきたいと考えております。内容としては、はじめに資料8で、認証用（人）証明書ポリシですが、3頁の1.3.1の3行目で「階層構成の頂点の認証局（Root CA）」を「ルートCA」に修正。
次に6頁、5つ目のポツの「検証者」の所です。いま現在は「デジタル署名を公開鍵証明書の公開鍵で検証するモノ」の所に、始めに「検証者とは」というものを追加して、その後は同じで、「デジタル署名を公開鍵証明書の公開鍵で検証するモノを指す」として「を指す」を最後に追加したいと思います。
　最後に49頁の注意書きで、下の1行目の「病院長、診療所院長、管理薬剤師、薬局開設者」をまとめて「医療機関等の管理責任者」に修正したいと思います。
続いて資料9です。認証用（組織）証明書ポリシで3頁の1.3.1。先ほどと同じ3行目で、「階層構成の頂点の認証局」を片仮名で「ルートCA」に修正していただきたいと思います。
　次に6頁、先ほどと同じで、5つ目のポツの所の「検証者」の所に、始めに「検証者とは」を追加していただいて、「デジタル署名を公開鍵証明の公開鍵で検証するモノ」で止まっている所を「を指す」ということで追加していただきたいと思います。修正することについて本日ご了解いただきたいと考えております。以上です。
○辻井座長　いかがでしょうか。よろしいでしょうか、それでは資料8、9の認証用ポリシの事務局修正案について了承させていただきます。

○三宅室長　喜多先生からのご指摘も含めて、資料8は3カ所、資料9は3カ所ずつの修正でご了解いただけるということでよろしいですか。それでは、ありがとうございました。

○松本構成員　1点よろしいですか、資料8、9、それから資料5もそうかもしれないのですが、いますぐということではないのですが、重要な鍵を作ったりするモジュール、装置についてハードウェア・セキュリティ・モジュール、HSMというのが入っており、そこにFIPS140-2のレベル3と同等以上、レベル1と同等以上というような文言がたくさんあるわけですが、これはもともと我が国にはそういう暗号モジュールの認証制度がなかったので、ある意味で相等以上というアバウトな書き方に、これに限らずたくさんなっているのですが、数年前に我が国でもそういう制度ができましたので、いまは一応140-2のレベル3等も、同等以上のものが国際標準になっております。ですから、そこの書き方については、一貫したものにしておければ、いろいろな所でうまく技術面でも、ベンダー側でも、これを利用するHPKI側でも都合がよくなるのではないかと考えますので、その辺りを作業班でご検討いただければと思います。

○辻井座長　松本構成員はCRYPTRECの何委員会の委員長でしたか。

○松本構成員　暗号実装委員会です。

○辻井座長　実装委員会ですか。そこの委員長をやっていらっしゃるので、よく連絡していただいてアドバイスをいただければと思います。

○三宅室長　そうすると資料8、9は取りあえず1回これで今日の微少な修正で成案ということにさせていただき、今後はワーキンググループでそれについて詰めて、新たな改定案を作って、またここで諮っていただくという流れ、それとも1回これをホールドというか、そこまではしなくても。

○松本構成員　これはスケジュール的にはどういう見通しでやっていかなければいけないものなのかに依存してくるかなと思うのですが、今年度中に決めなければいけないということであれば、いま私が申し上げたようなことをきちっと検討するのには時間が足りないように思います。

○三宅室長　決して今年度中ということはなく、来年度中にできればやはり、モデル事業としてこれを動かし始めたいとは思っています。

○松本構成員　はい。

○大山構成員　できるのは中身的に大きく変わるというか、表現ぶりですよね。

○松本構成員　表現ですね。

○大山構成員　だとすれば座長一任というのもあるのではないですか。

○松本構成員　そうですね。

○大山構成員　そうしないと事務局も困るのではないか。

○松本構成員　それはですから、適切に表現をしていただければよろしいと思います。

○辻井座長　これは作業班で、細かい所は詰められるわけでしょう。先ほどからいろいろ出ていて、その一環として何かアドバイスをいただきながら、表現ぶりを修正される所があれば修正されるというぐらいでどうなのですか。今日、ここで細かい所までフィックスというわけでもないのでしょう。

○三宅室長　一応取り扱いとして、これがまだ案なのか、成案なのかがありますので、やり方としては例えば未修正の所の意見をいただき、それを皆さんに回してご意見がある方は何日までにという形で、最終的には座長預かりで成案にさせていただくということでいかがでしょう。

○辻井座長　お二人で議論していただき、あとは座長預かりぐらいでどうでしょうか。

○三宅室長　そうさせていただければ。

○辻井座長　よろしければそういうことで。

○三宅室長　私の修正だけですので、そうさせていただければ。

○辻井座長　非常に専門的な表現ですから。

○三宅室長　ではそうさせていただきます。ありがとうございます。

○辻井座長　それではほかには事務局からはございませんでしょうか。

○手島補佐　以上が議題で、事務局から最後にご報告があり、本日の資料の扱いは資料1、2、3、4についてはセキュリティの観点から回収させていただきたいと思いますので、お持ち帰りにならないようお願いします。

○辻井座長　それでは、第3回保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議を終了いたします。どうもありがとうございました。