ウェブサイト認証の適格証明書について

2025年10月02日、欧州委員会は、電子的取引における信頼サービスの枠組みを定める「電子取引識別・信託サービス規則(EU)910/2014」の適用に関し、ウェブサイト認証のための適格証明書に関する参照標準を規定するための実施規則案の意見募集を終了しました。本実施規則案は、オンライン認証の信頼性と透明性を確保しつつ、技術革新と相互運用性を両立させることを目的としたものです。

背景

■　EUでは、電子署名や電子証明書などを通じて、域内の電子取引における信頼を確保するための法的基盤として「電子取引識別・信託サービス規則(EU)910/2014」が制定されています。同規則において、ウェブサイト認証のための適格証明書(Qualified Certificates for Website Authentication)は、ウェブサイトの運営主体を識別し、利用者が安全にアクセスできることを保証する役割を担うこととされています。

■　しかし、実際の運用では、技術標準や証明書の形式が統一されていないことから、加盟国間や異なる分野での相互運用性に課題が生じていました。また、ウェブブラウザの設計者やサービス提供者が独自のセキュリティ方式を採用することも多く、適格証明書の実効性と普及を両立するためには、柔軟かつ明確な基準設定が求められていました。こうした状況を踏まえ、適格証明書に関する参照標準の一覧を附属書として示す実施規則案が公表されています。

概要

■　本実施規則案では、適格証明書に適用される参照標準を明確に定めることで、証明書の発行・利用に関わるすべての事業者が共通の技術基準に従うことを求めています。

■　具体的には、ウェブブラウザ以外の文脈でTLS(トランスポート層セキュリティ)認証に用いられる証明書には「ETSI EN 319 411-2 V2.6.1（2025年6月版）」を適用し、その他の用途の証明書には「ETSI TS 119 411-5 V2.1.1（2025年2月版）」を参照標準としています。

■　これらの標準に基づき、証明書はそれぞれ定められた証明書ポリシー(QNCP-w-gen、QEVCP-w、QNCP-w)に従って発行されることが求められます。

■　これにより、認定を受けた信頼サービス提供者(QTSP)や証明書発行機関は、これらのETSI標準に準拠した方式でウェブサイト認証証明書を発行する必要が生じます。さらに、加盟国の監督当局は、これらの標準に沿って発行が行われているかを確認する責任を負うことになります。

■　また、実施規則案は、ウェブブラウザの提供者に対して特定の実装を強制するものではなく、各社が独自のセキュリティ技術を選択する自由を引き続き保障しています。

■　また、個人データの取り扱いについては、「個人データ処理・移動に関する自然人保護規則(一般データ保護規則GDPR)2016/679」および「個人情報保護電子通信指令(2002/58/EC)」が適用されることが明記されています。これにより、証明書発行やウェブサイト認証の過程で取り扱われる個人情報についても、EUの厳格なデータ保護基準の下で処理されることが保証されます。

■　この実施規則案の施行により、EU全体でウェブサイト認証の信頼性が統一的に確保され、企業や公的機関が提供するオンラインサービスの安全性が一層向上することが期待されています。また、加盟国間の証明書の相互承認が容易になることで、電子商取引や電子行政の分野での国境を越えたサービス提供が円滑化し、利用者にとっても、ウェブサイトの真正性をより確実に確認できる環境の整備が行われることも目的となっています。

参考情報

ウェブサイト認証のための適格証明書