1.1 | 概要 証明書ポリシ(Certificate Policy、以下CPという)は、証明書発行(失効も含む)に関して「適用範囲」、「セキュリティ基準」、「審査基準」等の一連の規則を定めるものである。また、保健医療福祉分野PKIは、保健医療福祉分野において情報を連携して利用するための公開鍵基盤である。 本ポリシは、保健医療福祉サービス提供者および保健医療福祉サービス利用者への署名用公開鍵証明書を発行する「保健医療福祉分野PKI認証局」の証明書ポリシである。 保健医療福祉分野PKI認証局が発行した証明書は、個人とその公開鍵及び資格属性等が一意に関連づけられることを証明するものである。認証局が証明書を発行するにあたって、その審査過程、登録、発行及び失効方法は、CP及び認証局により開示される文書によって規定される。 加入者及び検証者は、保健医療福祉分野PKI認証局によって発行された証明書を利用する時は、CP及び認証局により開示される文書の内容を、その利用方法に照らして評価する必要がある。 本CPに準拠する個々の「保健医療福祉分野PKI認証局」は、本CPを基準にして、個々の環境に適合した認証実施規程(Certificate Practice Statement、以下CPSという)を作成するものとする。なお、CPSが本CPに抵触する場合はCPが優先する。 本CPは、電子署名及び認証業務に関する法律(以下、電子署名法という)に規定された「特定認証業務の認定」を受けた認証局のみを対象としているわけではなく、認定を受けない認証局も対象としている。従って、特定認証業務の認定を受ける場合は、本CPに従いCPSに「特定認証業務の認定」を受けるに足る詳細を規定する必要がある。 |
・ | IETF/RFC3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practice Framework |
・ | IISO/TS 17090-1:2002 Health informatics - Public key infrastructure Part 1 : Framework and overview |
・ | ISO/TS 17090-2:2002 Health informatics - Public key infrastructure Part 2 : Certificate profile |
・ | ISO/TS 17090-3:2002 Health informatics - Public key infrastructure Part 3 : Policy management of certification authority |
・ | ISO 17799-1:2000 Information technology - Code of practice for information security management |
・ | IETF/RFC 2510 Internet X.509 Public Key Infrastructure Certificate Management Protocols |
・ | IETF/RFC 2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol-OCSP |
・ | IETF/RFC 3280 Internet X.509 Public Key Infrastructure: Certificate and CRL Profile |
・ | US FIPS140-2(Federal Information Processing Standard) : Security Requirements for Cryptographic Modules(http://csrc.nist.gov/cryptval/) |
・ | JIS X 5080:2002:情報技術−情報セキュリティマナジメントの実践のための規範(ISO/IEC17799:2000) |
・ | 電子署名及び認証業務に関する法律(平成12年5月31日 法律第102号) |
・ | 電子署名及び認証業務に関する法律施行規則(平成13年3月27日 総務省・法務省・経済産業省令第2号) |
・ | 電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針(平成13年4月27日 総務省・法務省・経済産業省告示第2号) |
1.2 | 文書の名前と識別 本ポリシの名称を「保健医療福祉分野PKI認証局 証明書ポリシ」とする。本ポリシにて発行する証明書及び関連サービスに割り当てられたオブジェクト識別子(OID)を以下に示す。
|
1.3.1 | 認証局 認証局(CA)は、証明書発行局(IA)と登録局(RA)により構成される。保健医療福祉分野PKIでは、認証局は複数の階層構成をとることができる。また、保健医療福祉分野PKIの階層構成の頂点の認証局(Root CA)は、本CPに準拠する他の保健医療福祉分野PKI のRoot CAと相互認証を行うことがある。 発行局は証明書の作成、発行、失効及び失効情報の開示及び保管の各業務を行う。 但し、認証局は認証局の運営主体で定めるCPSの遵守及び個人情報の厳正な取り扱いを条件に、契約を取り交わすことで業務の一部または全部を外部に委託することができる。 | ||||||
1.3.2 | 登録局 登録局は、適切な申請者の本人確認、登録の業務を行い、発行局への証明書発行要求を行う。なお、証明書登録の業務は、発行、失効を含む。 但し、登録局は認証局の運営主体で定めるCPSの遵守及び個人情報の厳正な取り扱いを条件に、契約を取り交わすことで業務の一部を外部に委託することができる。 | ||||||
1.3.3 | 加入者 加入者とは、証明書所有者である。証明書所有者とは、証明書発行申請を行い認証局により証明書を発行される個人をさす。証明書所有者の範囲は次のとおりとする。
| ||||||
1.3.4 | 検証者 検証者とは、加入者の署名を検証する者をさす。 | ||||||
1.3.5 | その他の関係者 規定しない。 |
1.4.1 | 適切な証明書の使用 本CPで定める所有者加入者証明書は、次に定める用途にのみ使用できる。
| ||||
1.4.2 | 禁止される証明書の使用 本CPで定める所有者加入者証明書は、署名検証以外には用いないものとする。 |
1.5.1 | 本ポリシを管理する組織 本CPの管理組織は、***とする。 |
1.5.2 | 問い合わせ先 本CPに関する問い合わせ先を以下のように定める。 【問い合わせ先】 窓口 営業時間 電話番号 FAX番号 e-mailアドレス |
1.5.3 | CPSのポリシ適合性を決定する者 CPSの本CPへの適合性を決定する者は、***とする。 |
1.5.4 | CPS承認手続き 本CPは、***によって承認されるものとする。 |
1.6 | 定義と略語 (あ〜ん)
(A〜Z)
|
2.1 | リポジトリ リポジトリは認証局の証明書と失効情報及び加入者の失効情報を保持する。 | ||||||||||||
2.2 | 証明書情報の公開 認証局は、以下の情報を検証者と加入者が入手可能にする。 <検証者に公開する事項>
<加入者に公開する事項>
| ||||||||||||
2.3 | 公開の時期又はその頻度 認証局は、認証局に関する情報が変更された時点で、その情報を公開するものとする。証明書失効についての情報は、本CP「4.9 証明書の失効と一時停止」に従うものとする。 | ||||||||||||
2.4 | リポジトリへのアクセス管理 CP、CPS、証明書及びそれらの証明書の現在の状態などの公開情報は、加入者及び検証者に対しては読み取り専用として公開する。 |
3.1.1 | 名前の種類 本CPに基づいて発行される証明書に使用されるサブジェクト名は加入者名とする。 加入者名はX.500のDistinguished Name を使用する。保健医療福祉分野PKIでは、CはJPとする。またCommonNameは必須で、加入者が自然人である場合、加入者の氏名(ローマ字表記)を記載する。 |
3.1.2 | 名前が意味を持つことの必要性 本CPにより発行される証明書の相対識別名は、検証者によって理解され、使用されるよう意味のあるものとする。 |
3.1.3 | 加入者の匿名性又は仮名性規定しない。 |
3.1.4 | 種々の名前形式を解釈するための規則 名前を解釈するための規則は、本CP「7 証明書及び失効リスト及びOCSPのプロファイル」に従う。 |
3.1.5 | 名前の一意性 認証局が発行する電子証明書の加入者名(subjectDN)は、認証局内で一意にするためにシリアル番号(SN)を含むことができる。また、認証局の名前(issuerDN)は、保健医療福祉分野PKI内で、ある特定の認証局を一意に指し示すものである。 |
3.1.6 | 認識、認証及び商標の役割 規定しない。 |
3.2.1 | 私有鍵の所持を証明する方法 申請者が生成した鍵ペアの公開鍵を提示して認証局に対し証明書発行要求を行う際、公開鍵証明書と私有鍵との対応を証明するために、認証局からのチャレンジに署名を行い、私有鍵の所有を証明するものとする。あるいは申請者が提出した証明書発行要求(CSR)の署名検証等により、私有鍵の所有を確認するものとする。 認証局側で申請者の鍵ペアを生成する場合はこの限りではない。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.2.2 | 組織の認証 保健医療福祉分野認証局に医療機関等の管理者の証明書を申請しようとする者は、証明書の発行に先立ち、次のいずれかの方法で自身の所属もしくは運営する組織の実在性を登録局に立証しなくてはならない。 なお、申請者個人の認証は「3.2.3 個人の認証」に定める方法による。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.2.3 | 個人の認証 保健医療福祉分野認証局に証明書を申請しようとする個人は、証明書の発行に先立ち、次のいずれかの方法で自身の実在性、本人性及び申請意思を登録局に立証しなくてはならない。また、国家資格所有者が国家資格を含んだ証明書、医療機関等の管理者が医療機関等の管理者の証明書を申請しようとする場合は、国家資格所有の事実、管理者であることの事実を登録局に立証しなくてはならない。 なお、本節の定めは証明書申請者の立証に関わる定めであり、登録局が証明書を発行申請する場合は、本節の規定に従い申請者の立証を行わせ、4章の規定に則り申請者の審査および証明書の発行を実施する。 <持参の場合>
<郵送の場合>
<オンラインの場合>
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.2.4 | 確認しない所有者加入者の情報 認めない。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.2.5 | 機関の正当性確認 規定しない。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.2.6 | 相互運用の基準 規定しない。 |
3.3.1 | 通常の鍵更新時の本人性確認及び認証 加入者情報の通常の鍵更新は、「4.2.1 本人性及び資格確認」が実施された日から5年以内であれば、「3.2.3 個人の認証」で提出した書類または認証局で作成された記録を再び参照するか、加入者の署名を提示することで行える。 5年を過ぎていた場合、もしくは元の書類もしくは記録が無効になっているか廃棄されていた場合は、初回の証明書発行と同様の手順により申請するものとする。 |
3.3.2 | 証明書失効後の鍵更新の本人性確認及び認証 初回の証明書発行と同様の手順により申請するものとする。 |
3.4 | 失効申請時の本人性確認及び認証 加入者が認証局に失効申請を行うときには、次の手順に従うものとする。
|