署名されたWebサービスに法的価値を与えることは可能ですか?
コンテキストは、データベース間の電子政府の相互運用性のために、デジタル署名されたWebサービス(たとえば、XML-DSIGを使用)を使用しています。
アイデアは、データ発行者とデータ消費者の両方に承認を与えることです。データ発行者は署名された要求を受け取ります。これにより、消費者のID、要求の信頼性が保証され、拒否が禁止されます。データコンシューマーが受信した応答でも同じことが起こります。
問題は、誰がWebサービスに署名し、どの法的価値を持っているかということです。私の国では、「自然人」だけがデジタル署名するときに法的価値を与えられ、署名する前に文書を読むことができるという原則の下にあります。しかし、明らかに「自然な」人はすべての要求を処理して署名することができないため、この人は署名をサーバーに委任する必要があり、個人情報の盗難のリスクがあります。
この文脈で、このデジタル署名は法的価値を認められると思いますか?責任のある政府が彼のデジタル署名をサーバーに委任することを受け入れると思いますか?そして最も重要なのは、どの代替スキームをお勧めしますか?
私たちはしばらくの間、このドメインで働いています。すでに述べたように、技術的な署名(システム/データベースがデータの整合性を保証できることを信頼できる)とデータ自体の法的価値には違いがあり、(法的枠組みによれば)合法的に「自然な」署名しかできません人。
各州は、効果的に自国民を「検証」し、身元を保証します(IDカード、パスポート、認証、署名証明書の発行)。アプリケーション証明書が発行される可能性がありますが、それらには法的な署名値がありません。ほとんどの国がこの原則を採用しています。
多くの場合、法的枠組みの範囲外のアプリケーションからの署名済みデータを信頼するために、組織間で相互合意があります。署名を自動化するための多くのイニシアチブを目にしますが(私は自分自身をサポートします)、WoJが述べたように、アプリケーションは独自の決定を下すことができず、法的責任を負うこともできません。
責任者がすべてのドキュメントを効果的に読む時間がなくても、バッチ(ドキュメントダイジェストの全リスト)に署名するシステムを見てきました。この場合、ハードウェアセキュリティモジュールが使用されます。それでも-法的に責任を負うのは人なので、文書に署名してください。