企１４章第①条の２
企 Q－５1 タイムスタンプはパソコンの時間と同じでよいか。

Ａ

タイムスタンプは電子署名を含む文書全体の真正性等を担保するために必
要なものであることから、このガイドラインでは「時刻認証業務の認定に関す
る規程」（令和 3 年 4 月 1 日、総務省告示第 146 号）に基づき認定された
事業者（認定事業者）が提供するものを利用することを求めています。※
※ 一般財団法人日本データ通信協会が認定した時刻認証事業者（以下「認
定時刻認証事業者」という。）については、令和４年以降、上記の国によ
る認定制度に順次移行する予定であることから、当面の間、認定時刻認
証事業者によるものを使用しても差し支えありません。

企１４章第②条
企 Q－５2 暗号化を行うための適切な鍵管理を行うために、どのような対応が
考えられるか。
Ａ 経路の暗号化や、電子署名・電子認証によるなりすましの防止や情報の改ざ
ん防止を図る場合には、暗号／復号、デジタル署名に用いる鍵の管理を適切に
行うことが重要である。特に共通鍵や、秘密鍵の管理を適切に行うことは、暗
号化、デジタル署名の安全性を保証するために必要です。
鍵管理に求められる具体的な対応は、暗号鍵の利用目的に応じて異なる。す
なわち、SSL/TLS、電子署名、その他外部との情報交換の際の暗号化、通信
機器の認証などに応じて異なるため、それぞれにおいて必要な共通鍵、秘密鍵
を保護する機能を具備することが求められます。本ガイドラインでは、電子署
名や電子証明書を利用した本人認証などでは、電子証明書の認証を行う認証局
が定める「証明書ポリシー」
（Certificate Policy)に従って、管理することを求
めています。
また、共通鍵や暗号鍵を格納する機器や媒体についても、一定の安全性が求
められます。暗号モジュールに関するセキュリティ要件の仕様を規定するもの
としては、米国連邦標準規格である FIPS 140-2 (Federal Information
Processing Standardization 140-2)※が定められています。機器等の安全
性を担保するためには、この基準の最低限のレベルで求められる要件を具備す
ることが望まれます。

58