GlobalSign CA Certificate Policy GlobalSign CA証明 …...GlobalSign CA Certificate Policy...

GlobalSign CA Certificate Policy

（GlobalSign CA証明書ポリシー）

本書は、GlobalSign CA Certificate Policyを日本語に翻訳したものであり、言語の違いにより、

原文の意味合いを完全に訳することができない場合があります。英語の原本と本書の間で、

解釈に不一致がある場合は、英語の原本が優先されます。

Date: MAY 12th, 2009

Version: v.3.4

GlobalSign Certificate Policy 2 of 78

Version: 3.4

目次

2. はじめに ........................................ 10

2.1 概要 ................................................................................................................................. 12

2.2 ドキュメント体系（名称等） ........................................................................................ 16

2.3 PKIの関係者 ................................................................................................................. 17

2.4 証明書の利用方法 .......................................................................................................... 23

2.5 ポリシー管理 .................................................................................................................. 25

2.6 定義と略語 ...................................................................................................................... 27

3. 公開とリポジトリの責任 .......................... 27

3.1 リポジトリへのアクセス管理 ........................................................................................ 27

4. 識別と認証 ...................................... 28

4.1 名前決定 ......................................................................................................................... 28

4.2 初回の本人性確認 .......................................................................................................... 29

4.3 利用者の登録手順 .......................................................................................................... 29

4.4 失効申請時の本人性確認と認証 .................................................................................... 31

5. 証明書のライフサイクルに対する運用上の要件 ...... 31

5.1 ルート証明書の証明書申請 ........................................................................................... 32

5.2 証明書申請手順 .............................................................................................................. 32

5.3 証明書発行 ...................................................................................................................... 32

5.4 証明書生成 ...................................................................................................................... 33

5.5 証明書の受領 .................................................................................................................. 33


Version: 3.4

5.6 鍵ペアと証明書の用途 ................................................................................................... 34

5.7 証明書の更新 .................................................................................................................. 36

5.8 証明書の失効 .................................................................................................................. 36

5.9 証明書のステータス確認サービス ................................................................................ 37

5.10 利用の終了 .................................................................................................................. 37

6. 設備上、運営上、運用上の管理 .................... 38

6.1 物理的管理 ...................................................................................................................... 38

6.2 手続的管理 ...................................................................................................................... 39

6.3 人事的管理 ...................................................................................................................... 39

6.4 監査ログの手続 .............................................................................................................. 40

6.5 記録のアーカイブ .......................................................................................................... 42

6.6 危殆化、及び災害からの復旧 ........................................................................................ 43

6.7 認証局又は登録局の終了 ............................................................................................... 43

7. 技術的セキュリティ管理 .......................... 44

7.1 鍵ペアの生成、及びインストール ................................................................................ 44

7.2 鍵ペアの再生成と再インストール ................................................................................ 45

7.3 秘密鍵の保護、及び暗号モジュール技術の管理 ......................................................... 47

7.4 その他の鍵ペア管理 ....................................................................................................... 47

7.5 活性化データ .................................................................................................................. 48

7.6 コンピュータのセキュリティ管理 ................................................................................ 48

7.7 ライフサイクルの技術上の管理 .................................................................................... 48

7.8 ネットワークセキュリティ管理 .................................................................................... 49


Version: 3.4

8. 証明書、及びCRLのプロファイル .................. 49

8.1 証明書プロファイル ....................................................................................................... 49

8.2 CRLプロファイル ......................................................................................................... 51

8.3 OCSPプロファイル ...................................................................................................... 52

8.4 タイムスタンププロファイル ........................................................................................ 52

9. 準拠性監査とその他の評価 ........................ 52

9.1 監査の頻度あるいは条件 ............................................................................................... 52

10. 他の業務上の問題、及び法的問題 ................. 54

10.1 料金 ............................................................................................................................. 54

10.2 財務的責任 .................................................................................................................. 55

10.3 業務情報の機密性 ...................................................................................................... 55

10.4 個人情報のプライバシー保護 .................................................................................... 57

10.5 知的財産権 .................................................................................................................. 57

10.6 表明保証 ..................................................................................................................... 58

10.7 無保証 ......................................................................................................................... 66

10.8 責任の制限 .................................................................................................................. 67

10.9 補償 ............................................................................................................................. 67

10.10 期間と終了 .................................................................................................................. 68

10.11 関係者間の個別通知と連絡 ....................................................................................... 68

10.12 改訂 ............................................................................................................................. 68

10.13 紛争解決手続 .............................................................................................................. 69

10.14 準拠法 ......................................................................................................................... 70


Version: 3.4

10.15 適用法の遵守 .............................................................................................................. 70

10.16 雑則 ............................................................................................................................. 70

11. 定義語 ........................................ 71

12. 略語 .......................................... 78

13. 語 ............................................ 78


Version: 3.4

文書履歴

配布先表

バージョン日付名前と役職実施事項

V2.0 30.06.05 Andreas Mitrakas Second version

V2.1 26.1.07 Johan Sys Distributed to Policy Board

V2.2 19.6.07 Johan Sys Distributed to Policy Board

V2.3 14.11.07 Steve Roylance Distributed to Policy Board






文書変更管理

バージョンリリース日著者ステータスと説明

V2.0 30.06.05 Andreas Mitrakas Second version

05.09.05 Jean‐Paul Declerck Final version

V 2.1 26.1.07 Johan Sys Added GlobalSign Root CA R2

V 2.2 19.6.07 Johan Sys Small administrative update

V2.3 14.11.07 Steve Roylance Administrative update

V3.0 17.12.07 Steve Roylance Final version

V3.1 20.05.08 Steve Roylance Modification of RootSign to TrustedRoot


Version: 3.4

V3.2 16.12.08 Steve Roylance Registered GlobalSign Logo and removal of suspension

V3.3 11.02.09 Steve Roylance Support for TrustedRoot TPM

V3.4 12.05.09 Steve Roylance Administrative update


Version: 3.4

謝辞

このGlobalSignCA CPは、以下の業界標準を全部又は部分的に支持する：

• CWA 14167‐1 (March 2003): security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements

• CWA 14167‐2 (March 2002): security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO‐PP)

• RFC 3647: Internet X.509 Public Key Infrastructure – Certificate Policies and Certification Practices Framework (obsoletes RFC 2527)

• RFC 5280: Internet X.509 Public Key Infrastructure ‐ Certificate and CRL Profile

• RFC 3039: Internet X.509 Public Key Infrastructure ‐ Qualified Certificates Profile

• RFC 2560: X.509 Internet Public Key Infrastructure ‐ Online Certificate Status Protocol – OCSP

• RFC 3279: Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and CRI Profile

• ETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificates

• ETSI TS 101 862: Qualified certificate profile

• ETSI TS 101 042: Policy requirements for certification authorities issuing public key certificates (Normalized level only)

• The ISO 1‐7799 standard on security and infrastructure

上記に引用したCWA 14167‐1及びCWA 14167‐2は、2003年7月14日の委員会決定におい

て、欧州議会及び欧州理事会の1999/93/EC指令に従った電子署名製品のための、一般的に

承認された標準の参照番号による公布として発表された。

本CPは、上記の標準の要件への適合の評価のために提出された。本CPは、以下のスキーム

の要件に従って評価される。

• AICPA/CICA, WebTrust Program for Certification Authorities

• AICPA/CICA, WebTrust For Certification Authorities – Extended Validation Audit Criteria


Version: 3.4

本CPは、上記のスキームの要件に適合することを意図している。適合した日付は、GlobalSignのウェブサイトで公表される。

GlobalSign®およびGlobalSignのロゴは、GMOグローバルサイン株式会社（GlobalSign K.K.）の登録商標である。


Version: 3.4

2. はじめにこのGlobalSign認証局（以下、「GlobalSignCA」）の証明書ポリシー（以下、「CP」）は、

GlobalSign が管理するトップルート配下において発行される電子証明書の発行と管理に関

するGlobalSign CAのサービスに適用する。トップルート証明書は、エンドエンティティ証明

書と同様に、認証局の証明書階層を管理するのに使用される。本CPは、GlobalSign CAリポ

ジトリ（https://www.globalsign.com/repository/）に掲載し、適宜更新する。

証明書ポリシーとは、「共通のセキュリティ要件をもつ特定の団体、あるいはアプリケーシ

ョン類に対して、証明書が適用可能かどうかを示すものとして指定された規範」である。本

CPは、広義の証明書ポリシーであり、2003年11月に Internet Engineering Task Force（以下、

「IETF」）が作成したRFC 3647に定められた章・節・項の構成に従って記述している。IETFが公開するRFCは、電子署名と証明書管理の分野での標準的な業務の実施の面で、権威ある

手引きである。本CPでは、章タイトルの多くはRFC 3647の構成に準じている一方、そこで

取り上げられた議題で、GlobalSign CA証明書管理サービスに必ずしも実装していないものが

ある。これらのセクションは、この文書から取り除いた。追加で記載すべき情報がある場合

は、標準的な構成に小項目を書き加えて提示している。RFC 3647の書式に合わせることで、

GlobalSign CAと他のサードパーティ認証局とのマッピングと相互運用性を拡張・促進させ、

また証明書に信頼を置く者（以下、「依拠当事者」）に対して、GlobalSign CAの業務手続

を事前に知ることを促進する。本CPでは、採用する標準に関する表明を、謝辞の章に記載

している。

本CPは、特定のサービスにおける、GlobalSign CAが発行するオフライン証明書ソリューシ

ョンの全ライフサイクル間の、認証局の技術的、手続上の、人事ポリシーと業務手続につい

て取り扱う。

本CPに関するGlobalSign CAの認定スキームへの適合性に関する情報、他の問合せを希望す

る場合には、以下へ送付すること。


Version: 3.4

GlobalSign CAは、GlobalSign NV/SAが営業活動の一環として運用している。本CPは、トッ

プレベル証明書を発行する認証局の要件を取り扱う。トップレベル証明書は、ルート証明書、

又はアンカー証明書とも呼ばれる。GlobalSign CAは、その異なる階層レベルにおいて、他の

証明書タイプも発行する。より多くの情報は、http://www.globalsign.com/repository/から入

手できる。

本CPは、GlobalSignが提供する認証局チェーンサービスに関連するオフラインソリューショ

ンの全ての事例に適用される。本CPは、例えば、エンドエンティティ証明書のような、

GlobalSign階層のも下位のレベルで発行される証明書の証明書パス検証に関係する事例に

も適用される。

本CPは、終であり、GlobalSign NV/SA（所在地：Ubicenter, Philipssite 5, B‐3001 Leuven、VAT登録番号BE0459. 134.256、商業登記番号BE 0.459.134.256 RPR Leuvenの会社法人。以

下、「GlobalSign」）

そして、

利用者及び/又は依拠当事者として、GlobalSign CAが提供する証明サービスを、利用し、信

頼を置く、又は置こうとする者を拘束する。

本CPは、利用者が利用者契約を承認することで、利用者に対して有効かつ拘束力を持つ。

本CPは、認証局チェーンサービスを希望する利用者に対しては、利用者がGlobalSignとの

認証局チェーン契約書を締結することで、ライセンスにもとづいてGlobalSignが所有又は管

理するルートに対して有効となる。また、本CPは、依拠当事者がGlobalSign証明書に関す

GlobalSign NV

attn. Legal Practices,

Ubicenter,

Philipssite 5

B‐3001 Leuven,

Belgium.


Version: 3.4

る要求をただGlobalSignディレクトリに送信するだけで、依拠当事者に対して拘束力を持つ。

利用者は、利用者契約の受諾を通して、依拠当事者が本CPに拘束されることを通知する義

務を負う。

2.1 概要

本CPは、GlobalSign自身の手続の下に発行されるトップレベル又はルート証明書の管理を取

り扱う、GlobalSign CAの特定領域に適用される。本CPの目的は、GlobalSignの証明書管理

の業務手続を示し、上記の標準に準じた（現時点で追求している形式認定の枠組みにおいて

監査された通り）GlobalSign自身の手続に従って、トップルート証明書の発行に付随する要

件への適合性を実証することである。本CPは、前述の領域にのみ適用し、その他は除外す

る。本CPは、GlobalSign CAによる、エンドエンティティ用のクライアント証明書を発行す

る別の認証局を通じた証明サービス提供の促進を狙っている。この証明書タイプは、

GlobalSign TrustedRoot又はTrustedRoot TPMと呼ばれる。

本CPは、証明書の使用、信頼、管理等、GlobalSignトップレベルのルート証明書のライフサ

イクルに関与する全てのエンティティの役割と義務と業務を、明確に規定する。本CPは、

GlobalSignのGlobalSignトップルートの下での証明書の発行、使用及び管理の要件を説明す

る。

トップのルート認証局として、GlobalSignは、http://www.globalsign.com/repository/に公開

する業務手続に従って証明書階層を管理する。

本CPの目的は、“遵守すべきこと”を提示することであり、従って、GlobalSign製品とサービ

スに関する広義の運用規定を定めたものといえる。かかるレベルは、一般的に、証明書のラ

イフサイクル管理における信頼レベルを保証したいエンティティが定義する。GlobalSign CPは、エンドエンティティ証明書の分野だけではなく、トップルート証明書に焦点をあてた

GlobalSign証明書の全ての申請領域の要件を取り扱う。

GlobalSign認証業務運用規定（以下、「CPS」）が本CPを補完し、“認証局がどのようにCPを遵守するか”を提示する。そうする中で、CPSは、エンドユーザに認証局が管理する証明書

の生成と維持についての広く行われている手順と手続、及び広く行われている総体的な条件


Version: 3.4

の大要を提供する。GlobalSignは、一般的なエンティティの証明書について、CPSを整備す

る。

CP、CPSに加え、GlobalSignは、以下のような一連の隣接のポリシー文書を（これらに限定

せず）保持する。

• 保険に関する議題を取り扱うGlobalSignワランティポリシー

• 個人データの保護に関するGlobalSignデータ保護ポリシー

• 事業継続

• セキュリティポリシー

• 人事ポリシー

• 鍵管理ポリシー

• 登録手続

• その他

GlobalSign CA証明書の利用者又は依拠当事者は、GlobalSignルート認証局の一般的な運用に

関する説明を読むためだけではなく、GlobalSignルート認証局が発行する証明書の信頼を確

立するために、本CPを必ず参照しなければならない。トップルート認証局とオペレーショ

ナル・ルートを含むGlobalSign証明書階層の証明書チェーン全体の信頼を、本CPでの表明

にもとづいて確立することは、非常に重要である。

適用できる全てのGlobalSignポリシーは、継続的な監査と承認されたサードパーティによる

精査を前提としている。要求に応じて、追加の情報も提出することができる。

本CPを適用するGlobalSign CA証明書の正式名称は以下の通りである。

• GlobalSign Root CA*

• GlobalSign Root CA‐R2*


Version: 3.4

• GlobalSign Root CA‐R3*

TrustedRoot**は、サードパーティ認証局に、GlobalSign CA証明書のひとつにチェーンするこ

とを許可するGlobalSignのサービスである。

• GlobalSign Trusted Platform Module Root CA *

TrustedRoot TPM**は、サードパーティ認証局に、GlobalSign Trusted Platform Module Root CA証明書のひとつにチェーンすることを許可するGlobalSignのサービスである。

* これらを総称してGlobalSign CAルートという。

** これらを総称してTrustedRootという。

証明書は、電子取引に参加するエンティティに、他の参加者に向け自己の身元を証明し、デ

ータに電子署名することを可能にする。証明書によって、GlobalSign は、指定されたエンテ

ィティ（利用者）とその公開鍵とが関連づけられることを保証する。本CPの目的において

は、エンドエンティティは、GlobalSign 階層への参加を希望する、加入サードパーティ認証

局である。GlobalSign 階層に参加することもの目的は、ブラウザ等のサードパーティアプリ

ケーションにおけるよりよい機能性と、信頼の拡大である。GlobalSignは、サードパーティ

アプリケーションに、そのトップルートを搭載することについて、指導的地位を維持するよ

う努める。この試みは、しかしながら、GlobalSignが将来においてその取り組みを修正し、

別の戦略を模索することを妨げるものではない。GlobalSignサービスの価値をあらゆるタイ

ミングで評価しそれによって行動することは、サードパーティ認証局であるエンドエンティ

ティの裁量であり責務である。

証明書を取得する手続には、証明書の発行、失効、有効期限等の証明書管理の側面があると

同時に、クライアントの本人識別、命名、認証と登録を含む。GlobalSignは、証明書をかか

る手続を経て発行することで、証明書のユーザに対し、本人識別の適切な積極的確認を提供

し、その公開鍵をかかるエンティティユーザが使用しているという結びつきの肯定を付与す

る。この場合のエンティティには、状況により必要となるであろう他の認証局も含まれる。


Version: 3.4

GlobalSignは、否認防止と認証に使用できる汎用証明書も提供することができる。これらの

証明書の使用は、ワランティポリシーや、証明書が使用されるアプリケーションが課す他の

制約により、特定のビジネスや契約、取引レベルでの使用に限定されることがある。

本CPは、GlobalSign公開鍵基盤（以下、「PKI」）における証明書の発行局であるGlobalSign CAが維持する。PKIにもとづく証明書管理環境において、発行局は、全てのエンドユーザ証

明書が継承するトラスト階層を管理するエンティティである。

本CPは、GlobalSign CAルートの申請期間中、GlobalSign TrustedRootの発行をつかさどる。

申請期間とは、ある認証局がGlobalSign CA証明書を発行できる期間をいう。申請期間は、

GlobalSign階層内の上位認証局からGlobalSign TrustedRootに対して発行された証明書に表示

されている。

本CPは、発行認証局のリポジトリ（http://www. globalsign.com/repository）にてオンライ

ン参照が可能である。

GlobalSign CAは、本CPに関する意見を、本書のはじめに記載した宛先で受け付ける。

2.1.1 GlobalSign TrustedRoot 本CPは、GlobalSignの証明書階層に参加することを希望する適切に認定された認証局が、

GlobalSign TrustedRootを使用するための要件を取り扱う。GlobalSign 階層への参加は、

GlobalSignが利害関係者に提供する認証局チェーン制度を通じて実行される。

TrustedRoot証明書は、以下の通りである。

• GlobalSign が、業務手続と技術的実装に関するGlobalSign TrustedRootサービスの

契約上、及びポリシー上の要件に適合するサードパーティ認証局に対して、発行す

る。

• 認証局に対してのみ、発行する。


Version: 3.4

2.1.2 証明書の利用方法申請環境において、依拠当事者が認証局の識別を立証することを容易にする、通常、サード

パーティ認証局の認証を可能にするGlobalSign TrustedRoot及びTrustedRoot証明書の利用方

法には、若干の制限事項がある。

GlobalSign TrustedRoot及びTrustedRoot証明書の他のあらゆる利用方法は禁止されている。

2.2 ドキュメント体系（名称等）

本書を参照するためのGlobalSignの管理下にある識別子は、以下の通りである。

1.3.6.1.4.1.4146.1.1 Extended Validation証明書ポリシー

1.3.6.1.4.1.4146.1.10 Domain Validation証明書ポリシー

1.3.6.1.4.1.4146.1.20 Organization Validation証明書ポリシー

1.3.6.1.4.1.4146.1.30 Time Stamping証明書ポリシー

1.3.6.1.4.1.4146.1.40 Client証明書ポリシー

1.3.6.1.4.1.4146.1.50 Code Signing証明書ポリシー

1.3.6.1.4.1.4146.1.60 RootSignポリシー

1.3.6.1.4.1.4146.1.70 TrustedRootポリシー

1.3.6.1.4.1.4146.1.80 Retail Industry Electronic Data Interchange Client証明書ポリシー

1.3.6.1.4.1.4146.1.81 Retail Industry Electronic Data Interchange Server証明書ポリシー

1.3.6.1.4.1.4146.1.90 TrustedRoot TPM Policy

1.3.6.1.4.1.4146.1.95 Online Certificate Status Protocol Policy


Version: 3.4

2.3 PKI の関係者

2.3.1 GlobalSign認証局認証局は、商業的な枠組み、取引において、パブリック又はプライベート領域で使用する証

明書を発行する組織である。GlobalSignは認証局である。しばしば、認証局は発行局という

用語で説明される。

GlobalSignは、あるタイプやクラスの証明書の発行において広く行われているポリシーの原

案を起草する責任を負う。本CPがGlobalSign TrustedRoot証明書の発行におけるポリシーで

ある間は、GlobalSignはポリシー当局でもある。

依拠当事者が失効した証明書に関する機能の通知又は知識を取得することを確実とするため

に、証明書失効リストへの適切な公開が必要である。GlobalSignはかかるリストを運用する。

GlobalSign CA チェーンサービスのサブジェクトは、GlobalSignとルートサービスの提供につ

いて無事に契約締結をしたサードパーティ認証局である。ルート証明書は、下位認証局が発

行した証明書を信頼する前に、証明パス及び階層におけるトラストアンカーを認証すること

を目的として、発行される。他のルート証明書の利使用方法は禁止されている。

ルート証明書は、あらゆるパブリックな目的に使用できる。“パブリック” について、本CPでは、参加者同士の私法の下の自発的な同意の下につかさどられる、利用を禁じられていな

い認証局の間で生じるあらゆる利用を考慮している。GlobalSign階層の活用するためにクロ

ーズド・グループ内で使用することも許可される。

GlobalSign CAは、あるタイプやクラスの証明書の発行において広く行われているポリシーを

起草し、実行する。GlobalSign CAは、GlobalSign CA証明書を発行することに関してのポリシ

ー当局である。GlobalSign CA は、 GlobalSign CAルートとその階層に属する全ての下位ルー

トのライフサイクルと管理に終的な権限を持つ。


Version: 3.4

GlobalSign CAは、特定のアプリケーションで利用できる、あるいは要求される、証明書の発

行、失効、ステータス検証、及びGlobalSign TrustedRootに限らず、GlobalSign CAルートの

下の証明書管理に関する全てのサービスの可用性を保証する。また、GlobalSign CAは、

GlobalSign CAルート及びTrustedRootの下に発行される全ての証明書タイプについて、登録

システムを管理する。

依拠当事者が失効した証明書に関する機能の通知又は知識を取得することを確実とするため

に、適切な公開が必要である。公開は、オンラインディレクトリに公開される証明書失効リ

ストに失効した証明書を含めることで明示される。発行された証明書も同様に、ディレクト

リに公開される。GlobalSign CAはかかるディレクトリを運用する。

GlobalSign CAの責任領域は、以下の活動を含む証明書ライフサイクルの全体の管理を構成す

る。

• 発行

• 失効

• 更新

• ステータス検証

• ディレクトリサービス

証明書ライフサイクルによって生じる業務のいくつかは、下記1.3.2で説明するとおり、

GlobalSign とのサービス契約の下に運用する選ばれたGlobalSign RAに委任される。

2.3.1.1 GlobalSign委託業者 GlobalSignは、委託業者を通して、GlobalSign CA証明書の発行、失効、更新、及びステータ

ス検証を含む認証局サービスを提供するために、安全な設備を運用している。GlobalSignの委託業者は、サービス契約にもとづいて、GlobalSign へのサービスを運用している。


Version: 3.4

2.3.1.2 GlobalSignの役割 GlobalSignは、2つの別個の役割を運用する。第一に、トラストサービスの提供者として、

直接又は代理人を通じて、トラストサービスをユーザコミュニティに提供する。ここでいう

代理人には、GlobalSignが定めた契約の下に運用する登録局（RA）と呼ばれるサードパーテ

ィエンティティを含む。

第二に、GlobalSign は、パブリック、及びプライベートエンティティに対し、高い品質の、

高い信頼を得た証明書を発行するためにGlobalSignの手続を共有し、適当なブランド名を使

用するトラステッドサードパーティ（以下、「TTP」）による国際ネットワークを運用する。

かかるパートナーには、GlobalSign との契約の下に運用される、GlobalSign認定の認証局と

登録局が含まれる。この役割は、通常、GlobalSign CAルートとブランド名に帰属する信頼を

継承しようとする他の認証局への証明書発行に限定される。

GlobalSignの主な活動は、以下の通りである。

• PKI技術を利用した普遍的なTTPとしてGlobalSignのブランド名を確立し登録局の

国際ネットワークを管理する。

• GlobalSignの領域内で他の認証局と管理者、及びエンドユーザエンティティに発行

された証明書のライフサイクルを管理する。

GlobalSignのパブリック証明サービスは、電子署名の利用者の商用及び個人的な要件を取り

扱うために、安全な電子商取引とオンラインビジネスサービスを支援することを目標とする。

2.3.1.3 GlobalSign ルートと階層 GlobalSignは、エンドユーザ証明書の完全性と証明書で提供されるリソースの一意性を保証

するために、専用のルート階層を利用者に提供する。GlobalSign CAルートは、アプリケーシ

ョンに搭載されたGlobalSignルートを利用する、GlobalSignや他の参加認証局が定めるレベ

ルでのエンドユーザ証明書の発行のような特定の目的を実現するために設置されたルート群

を含む、GlobalSignトラストネットワークのより広い範囲に帰属する。本CPは、GlobalSignの階層のルートレベルを取り扱い、GlobalSignサービスの一般的な条件に関する手引きを提

供する。


Version: 3.4

GlobalSign CAルートは、下位サードパーティ認証局ルートの各秘密鍵を証明するために使わ

れた。かかる認証局の証明書を検証することにより、GlobalSignに帰属する信頼は、認定さ

れたサードパーティ認証局ルートに拡大適用できる。

2.3.2 GlobalSign 登録局 GlobalSign CAは、指定の登録局を通じて利用者に連絡をする。登録局は、本CPの下に、証

明書の発行、失効を要請する。

登録局は、認証局に証明書の生成と失効に必要なデータを提出する。

GlobalSign RAは、エンドユーザにパブリック証明書管理サービスを提供するために、利用者

と情報をやりとりする。GlobalSign RAは、

• 証明書申請の登録の受理し、評価し、承認又は拒否する。

• GlobalSign CA証明サービスに利用者を登録する。

• 発行する証明書タイプに応じて、GlobalSign CAに指定された利用者の本人識別の全

段階に参加する。

• 利用者の申請を評価するために、公式の、公証された、あるいは他の承認された文

書を使用する。

• 申請の承認の後に、GlobalSign CAに証明書を発行するよう通知する。

• 証明書の失効の手続を開始し、GlobalSign CAルートでの証明書失効を要請する。

GlobalSign RAは、GlobalSign CAによる承認と認可にもとづいて、地域で活動する。

GlobalSign RAは、本CPと文書化されたGlobalSign RAの手続を含む承認されたGlobalSign CAの業務手続に従って活動する。

特定の証明書タイプを発行するため、GlobalSign RAは、サードパーティ認証局により発行さ

れた証明書、その他のサードパーティデータベースと情報源を信頼する必要があるかもしれ

ない。証明書依拠当事者は、ここに、GlobalSign CAルートの下に発行される特定の証明書タ


Version: 3.4

イプを管理するために、広く行われている適当な証明書ポリシーを参照し、具体的情報を求

めることを促される。

成功すれば、評価の後に、申請者組織に証明書が発行される。

いくつかの登録局機能は、しばしばローカル登録局（以下、「LRA」）で実施される。LRAは、GlobalSign RAの監督と管理の下に活動する。

2.3.3 利用者 GlobalSign TrustedRootの利用者は、GlobalSignが管理する階層内において証明書の発行を受

けることを希望するサードパーティ認証局である。

GlobalSignサービスの利用者は、認証局証明書を無事に申請する自然人又は法人である。利

用者は、GlobalSign領域内で電子署名サービスを利用する。

利用者は、以下の当事者である。

• 証明書に記載されているサブジェクトのために、GlobalSign CAと共に証明サービス

提供の枠組みを設定する。

• サブジェクト証明書に記載されている公開鍵と対応する秘密鍵の権限を持つ。

法人は、（例えば、委任された取締役等の）委任代理人により、正式に代表されていなくて

はならない。

自然人である法人の利用者は、認証局チェーンサービスの利用者として条件付で受け入れら

れる。これらの人物とチェーンされる認証局との関係は、正式に明らかにされ、その正当性

がGlobalSignへ提示されなければならない。サードパーティの表示を希望する場合には、

GlobalSignは、ケースバイケースで取り決めをすることができるものであるが、（例えば、

属性証明書又は役職証明書等の）代替の信用証明を要求することを推奨する。


Version: 3.4

利用者は、通常、証明書を発行するための身分証明に使用できる、身分証、パスポート又は

同等の、有効な本人識別書類を所有する。更なる申請組織の本人識別書類も必要である。

2.3.4 サブジェクト（利用者識別情報） GlobalSign TrustedRootのサブジェクトは、GlobalSignが管理する階層内において証明書の発

行を受けることを希望するサードパーティ認証局である。

GlobalSign CA証明書サービスのサブジェクトは、利用者自身、又は利用者に対する契約上の

義務を通じて利用者に関係する自然人でありうる。サブジェクトは、（該当する場合）利用

者が指定する領域内での承認の下に、電子署名サービスを利用する。サブジェクトは、以下

の当事者である。

• 証明書を申請する。

• 証明書内で識別される。

• 利用者証明書に記載されている公開鍵に対応する秘密鍵を持つ。

サブジェクトは、GlobalSign RA、又は指定されたサービス内で証明書を利用するために必要

なサービスプロバイダに登録する。サブジェクトは、証明書を申請するために、“利用者”と呼ばれる証明書申請者を指名する。証明書申請者は、サブジェクトの代わりに行動するあら

ゆる自然人でありうる。

GlobalSign CAルート証明書のサブジェクトは、GlobalSignに対し、認証局チェーンサービス

を希望するサードパーティ認証局であるところの申請組織と同じである。

2.3.5 証明書申請者証明書申請者は、証明書の利用者になることを希望する者である。証明書申請者は、サブジ

ェクトによって、サブジェクトの代わりに以下を実施するよう指名された者である。

• 証明書を申請する。

• 認証局の利用者契約に同意し受諾する。


Version: 3.4

申請者は、以下の通りである。

• 名前で示された個人である場合には、サブジェクト自身と同じである。

• サブジェクトに雇用された個人である。

• 明示的な承認にもとづいて行動する、受託業者又は下請負契約者に雇用された個人

である。

2.3.6 依拠当事者依拠当事者は、利用者の証明書に記載された公開鍵を参照することにより検証できる証明書

又はデジタル署名を信頼する自然人又は法人である。例えば、GlobalSign CAのサブジェクト

から署名入り要求を受け取るGlobalSignのオペレータは、GlobalSign証明書の依拠当事者で

ある。

証明書の有効性を検証するために、依拠当事者は必ず認証局失効情報（現時点では証明書失

効リスト（CRL）である。）を参照しなければならない。証明書の検証は、証明書に記載さ

れた情報を信頼する前に実行される。あるいは、依拠当事者は、利用できる場合には、OCSPプロトコルを使った自動応答を参照できる。依拠当事者は、本CPで説明された通り、特定

の義務を果たす。

2.4 証明書の利用方法

GlobalSign CA証明書の利用方法には、若干の制限がある。

2.4.1 適切な証明書の利用 GlobalSign CAの下に発行されるルート証明書は、以下を必要とするパブリック領域の取引に

使用できる。

• 認証

• リモートデバイスの識別の保証


Version: 3.4

エンドエンティティに利用可能になった後は、追加の利用方法は明確に指示される。認可さ

れていない利用方法は、GlobalSign CAによって、GlobalSign証明書の利用者と依拠当事者に

提供された保証の取り消しにつながる。

2.4.2 禁止される証明書の利用エンドエンティティ証明書の利用方法は、証明書拡張であるKeyUsageと extendedKeyUsageを使って制限される。これらの拡張と一致しない証明書のどんな利用方法も承認されていな

い。

2.4.3 証明書拡張 GlobalSignルート証明書の拡張は、X.509 v.3標準及びMicrosoftやNetscapeに使用されるも

のを含むあらゆる他の標準で定義されている。

GlobalSignは、国際標準化機構（ISO）の定義の通りのパブリックPKIサービスのために、若

干の制約と拡張を使用する。かかる制約と拡張は、様々な役割の下にかかる利用者が識別で

きるように、認証局や利用者の証明書の役割と位置づけを限定する。

KeyUsage拡張が、証明書に記載される公開鍵が使用される技術的な目的を制限する。

GlobalSign自身の証明書は、証明書、証明書失効リスト、及び他のデータに署名することへ

のみに、鍵の機能を制限するKeyUsage拡張を含む。

証明書ポリシー拡張は、証明書の利用方法を、商業又は法における要請に限定する。

GlobalSignは、適当なように、そのパブリック証明書について、業界、政府、及び他の証明

書ポリシーの増設を積極的に支援し、参加する。

2.4.4 クリティカル拡張 GlobalSignは、発行する証明書のなかで、以下のような若干のクリティカル拡張を使う。

• 証明書のbasicConstraintとして、証明書が認証局用を意図しているか否かを示す。

• 鍵の意図された利用方法を示す。


Version: 3.4

• 認証局証明書における階層レベルの番号を示す。

2.5 ポリシー管理

GlobalSign CAは、自己の領域内の証明書サービスを管理するトップルート当局（トラストア

ンカーとも呼ばれる）である。GlobalSign CAは、他のサードパーティ認証局と情報をやりと

りし、認定を求めたりする。

GlobalSign CAのポリシー管理局が、本CPを管理する。GlobalSign CAは、本CPを登録し、

保全を監視し、解釈する。GlobalSign CAは、GlobalSign CAルートの下に発行される証明書の

ライフサイクル管理での運用条件を広く参照可能にする。各ルートでの運用条件は、本CPにおいて公表する。

2.5.1 対象事項公開された本CPの信頼性と信用を訴え、認定と法的要件によりよく一致するための努力と

して、GlobalSignは、適当なように、あるいは環境により要求され、ポリシーを修正し、更

新する。かかる新版は、CPの新版の公開の日付の30日後に、発行された証明書及びこ

れから発行される証明書に対して拘束力を持つ。

2.5.2 GlobalSignポリシー管理局 GlobalSignポリシーの新バージョン及び公開された新版は、ポリシー管理局によって承認

される。現行組織体制におけるポリシー管理局は、以下に示すメンバーで構成される。

• 少なくとも1名のGlobalSignの経営陣メンバー

• 少なくとも2名のGlobalSignの業務とポリシーの起草と策定に直接関与した承認さ

れた代理人

経営陣メンバーが職権により、ポリシー管理局の議長を務める。


Version: 3.4

全てのポリシー管理局メンバーが、各自 1票ずつ所有する。他の当事者には投票権はない。

投票が同数の場合は、ポリシー管理局議長の投票を2票と数える。

2.5.3 CPの最新版の受領ポリシー管理局によってCPの更新が承認され次第、そのCPは、GlobalSign オンラインリポ

ジトリ（http://www.globalsign.com/repository/）に公開される。

GlobalSignは、そのパブリックウェブサイト（http://www.globalsign.com/）に、かかる更新

についての通知を公開する。新版は、通達後30日以内に申出が受領されない限り、既存

の、及び今後の利用者に対して拘束力を持つ。かかる期間の後に、新版のCPは、以前の

バージョンの本CPの下に発行された証明書の利用者及び依拠当事者を含む、全ての当事者

に対し拘束力を持つ。

変更により影響を受ける利用者は、通知から15日以内にポリシー管理局に意見を提出でき

る。利用者及び管轄官庁だけが、ポリシーの変更に異議を申し立てることができる。利用者

でない依拠当事者は、異議を申し立てる権利はなく、かかる提案は受領されなかったものと

みなされる。

GlobalSignは、少なくとも新の2版のCPをそのウェブサイトで公開する。

2.5.3.1 通知を伴う変更本CPの新版は、必要に応じて、監査人に通知される。

2.5.4 版管理と変更の表示変更は、CPに付与する新しいバージョン番号を通じて表示する。新しいバージョンは、整数

に0の小数を付けることにより表示される。小さな変更は、0より大きい小数により表示さ

れる。小さな変更には以下を含む。

• 小さな編集上の訂正

• 連絡先の変更


Version: 3.4

2.6 定義と略語

用語の定義リストは、本CPの終わりに記載する。

3. 公開とリポジトリの責任 GlobalSignは、発行する証明書に関する情報を、オンラインでパブリックにアクセスできる

リポジトリに公開する権利を留保する。GlobalSignは、証明書ステータス情報を、サードパ

ーティのリポジトリに公開する権利を留保する。

GlobalSignは、本CPを含む、その業務手続、特定のポリシーの内容について一定の開示を行

う文書のオンラインリポジトリを保有する。GlobalSignは、GlobalSignリポジトリ内で、あ

らゆる適当な方法により、ポリシー内の情報を提供し、公開する権利を留保する。

GlobalSignは、GlobalSign証明書の発行、使用、あるいは管理に関係する全ての当事者に対

し、証明書ステータス情報の提供に関して、パブリックにアクセスできるディレクトリに、

提出された情報を公開することを、ここに通知する。

GlobalSignは、セキュリティ制御、手続、内部的なセキュリティポリシー等の文書の特定の

要素については、パブリックに提供することを差し控える。しかしながら、これらの要素は、

GlobalSignが準拠する正式な認定スキームに関連する監査においては開示する。

3.1 リポジトリへのアクセス管理

GlobalSignは、パブリックリポジトリへのアクセス、ポリシー（例えば、CPやCPS）へのア

クセスを無料にするよう努力する一方、サードパーティデータベース、プライベートディレ

クトリでのステータス情報の公開のようなサービスについては、課金することがある。


Version: 3.4

4. 識別と認証 GlobalSignは、証明書の発行の前に、GlobalSign CA 又はGlobalSign RAへのエンドユーザ証

明書申請者の本人識別と他の属性し、認証する業務手続文書を保持する。

GlobalSignは、GlobalSign CAや登録局、認証局チェーンサービスを希望するエンティティを

含む、GlobalSignの基礎となる設備において運用する、又はかかる設備と相互運用するエン

ティティになることを希望するエンティティからの申請を受理する、承認された手続及び基

準を用いる。

GlobalSignは、本ポリシーにもとづいて、証明書の失効を希望する当事者の要求を認証する。

GlobalSignは、特定の名前の中の商標権の正当性評価を含め、命名業務を取り扱う適当な手

続を保持する。

4.1 名前決定

GlobalSignは、利用者を本人識別するために、例えばX.500のDistinguished Names、RFC 822 のNames、及びX.400のNamesのように、サブジェクトに割り当てられた名前のタイプを

含む、特定の命名と本人識別の規則に従う。

TrustedRoot証明書を申請する場合、申請者の名前は、関係のある製品に関する文書とCPSにおいて明示的に許可されていない限り、意味のあるものでなければならない。GlobalSignは、検証できる名前を含む申請書を提出する申請者に対し、証明書を発行する。

GlobalSignは、証明書に含めるために、商標、ロゴ、他の方法で著作権を取得した図形やテ

キストは、受理しない。


Version: 3.4

4.2 初回の本人性確認

認証局チェーンサービスを含むGlobalSignサービスの申請者の本人識別は、GlobalSign RAが

実施する手続文書に従って、実行される。

サブジェクトフィールドにおいて識別される利用者は、GlobalSignに提示された公開鍵に対

応する秘密鍵の所有を実証しなければならない。かかる関係は、例えば、証明書要求メッセ

ージへのデジタル署名により実証される。

GlobalSignは、自己のネットワークに参加し、自己の階層の下の運用することを希望する他

の認証局も受け入れる。初回の評価とGlobalSignとの特定の契約締結の後に、申請認証局は、

GlobalSignに、認可書、定款を含む、特定の本人識別資料を提出しなければならない。

GlobalSignは、これに関し、組織を識別するために、サードパーティデータベースへ問い合

わせる権利を保有する。

認証局チェーンサービスは、申請組織とGlobalSignとの間に契約が締結される限りにおいて、

顧客の直接出頭を必要としない。

4.3 利用者の登録手順

GlobalSignは、以下を保証する。

• 利用者は、適切に本人識別され、認証されている。

• 利用者の証明書要求は、全て揃っており、正確で、正式に承認されている。

特に、

• GlobalSignは、ウェブサイト（http://www.globalsign.com/）で通知を、リポジトリ

（http://www.globalsign.com/repository/）で公開された専用のポリシーフレームワ

ークを、それぞれ提供する。

• GlobalSignは、利用者と契約関係を締結する前に、GlobalSignに要求を出す前に申

請者が同意しなければならない、GlobalSignは認証局チェーン契約書を用意する。


Version: 3.4

• GlobalSignのポリシーフレームワークは、GlobalSignの限定保証フレームワーク同

様、本CPで説明された通り、データ保護、消費者保護法と保証の下に限定される。

• GlobalSignは、証明書を配送するために利用するあらゆるサードパーティ登録局あ

るいは外部委託代理人との、文書による契約関係を保全する。

4.3.1 利用者の登録に使用された書類 GlobalSign、又は認定されたGlobalSign RAは、通常、適当な手段により、文書化された手続

にもとづいて、証明書の申請者の本人識別と、該当する場合あらゆる固有の属性を検証する。

上記に加えて、組織を識別するために、通常、GlobalSignは、証明された付随定款の複写、

及び場合によりVAT登録証明等の更なる本人識別要素を取得する。

4.3.2 利用者の登録に必要な情報認証局チェーンサービスについては、必要とされる証には以下を含む。

• 利用者のフルネーム（姓名）

• 同姓同名の他者とその人物を可能な限り区別するために使用される、利用者の出生

日及び出生地、国家的に認定された識別番号、又は他の属性

• 関係する法人又は他の組織エンティティのフルネームと法的地位

• 関係する法人又は他の組織エンティティのなんらかの既存の関連登録情報（例えば、

会社登録）

• 利用者がその組織エンティティに関係することの証

4.3.3 利用者の匿名性、又は仮名性 GlobalSign TrustedRoot証明書には、仮名は許可されない。

4.3.4 利用者の登録の記録 GlobalSignは、検証に使用した文書に記載された参照番号と、その有効性に関する制限を含

む、利用者の本人識別を検証するために使用した全ての情報を記録する。


Version: 3.4

GlobalSignは、認証局チェーン契約締結の記録と、以下を含むがこれに限定しない、申請を

裏付けるあらゆる資料を保存する。

• 申請者により承認され履行された認証局チェーン契約書

• GlobalSignにより登録に使用された情報と、その後の証明書ステータスの変更が保

存されること、及び認証局がそのサービスを終結する場合に、本CPにより要求さ

れるのと同じ条件の下に、サードパーティにこの情報を渡すことの承諾。

• 証明書に記載される情報が、誤りがなく、正確であること

• 利用者のフルネーム

• 組織背景の証拠

• 関係する法人又は組織エンティティのフルネームと法的地位

• 関係する法人又は組織エンティティのなんらかの既存の関連登録情報（例えば、会

社登録）

• 利用者がその組織エンティティに関係することの証

業務文書に関する法により義務付けられた通り、上記に示さされた記録は、証明書の有効期

限が切れた後、少なくとも5年以上保存する。GlobalSign RAはかかる記録を保存する。

4.4 失効申請時の本人性確認と認証

TrustedRoot証明書の失効要求における本人識別と認証手続として、GlobalSignは、失効要求

をする利用者の署名入り依頼書を要求する。

5. 証明書のライフサイクルに対する運用上の要件サードパーティ認証局、登録局、利用者、あるいは他の参加者を含むGlobalSign領域内の全

てのエンティティは、証明書が有効期限切れになるか、失効されるまでの運用期間中、かか

る証明書に記載される情報の全ての変更について、GlobalSign CAに報告する継続的な義務を

負う。


Version: 3.4

GlobalSign CAは、GlobalSign RAにより提出される、認証された署名入りの要求に従って、証

明書を発行し、失効する。

GlobalSign は、その業務を実施するため、サードパーティの代理人を使用することがある。

GlobalSignは、GlobalSign CAにおける認証局業務に関連するサービスの提供に利用する全て

の代理人の全ての作為と不作為に対する全責任と説明責任を負う。

5.1 ルート証明書の証明書申請

ルート証明書の申請手順には、GlobalSignとの認証局チェーン契約の締結が必要である。そ

の後、申請者は、ルート証明書に含むべき公開鍵、及び必要な登録データを、GlobalSignに安全な方法で送付する。GlobalSign RAは、GlobalSign CAにルート証明書の発行を要請する前

に、提出された信用証明にもとづいて、申請者の本人識別を検証する。

5.2 証明書申請手順

全ての証明書タイプについて、GlobalSign RAは証明書申請を受けて、申請者の本人識別を検

証する。続いて、登録局は証明書申請を、承認又は棄却する。申請者又はその他の当事者に、

かかる承認又は棄却について、必ずしもその正当性は説明されない。

登録局は、手続を文書化し、業務に導入している。

5.3 証明書発行

証明書申請の検証と承認の後、GlobalSign RAは、GlobalSign CAに証明書発行要求を送信す

る。

登録局からの要請は、有効に作成され、有効な利用者データが含まれ、GlobalSign CAの仕様

に形式を合わせていれば、承認される。


Version: 3.4

発行された証明書は、サブジェクトに配送される。

5.4 証明書生成

証明書の発行及び更新に関して、GlobalSignは、全ての当事者に対し、以下に規定される条

件に従って、証明書が安全に発行されたことを表明する。

• ルート証明書を含む証明書を発行する手続は、利用者が生成した公開鍵の提出を含

む関係する登録及び証明書更新と、しっかりと関連づけられている。

• GlobalSignは、自己の領域内において、利用者に割り当てられた識別名の唯一性を

保証する。

• 登録データの機密性と完全性は、常時、適切な手段によって保証される。

• 登録機関の認証は、その機関に発行される適切な信用証明を通じて保証される。

• 証明書要求と生成も、堅固な、テスト済の手続で支援される。

• 外部の登録サービスプロバイダを使用する場合には、本人識別を認証した、認定さ

れた登録サービスプロバイダと、登録データがやり取りされることを検証する。

• GlobalSignはサービス及び業務の独立監査を受ける。

5.5 証明書の受領

発行されたGlobalSign CA証明書は、認証局が発行する証明書の受領を登録局が確認した時点

で、利用者により受領されたと見なされる。

発行された証明書の受領に異議を申し立てる場合は、5営業日以内に、GlobalSign CAに明示

的に通知しなければならない。それ以後は、ルート証明書は受領されたと見なされる。

GlobalSign CAは発行した証明書を公開する。


Version: 3.4

5.6 鍵ペアと証明書の用途

鍵と証明書の使用に関する責任には、以下に示すものが含まれる。

5.6.1 利用者による秘密鍵、及び証明書の使用利用者の義務には、以下に示すものが含まれる。

5.6.1.1 利用者の義務利用者の義務には以下を含む。

1. GlobalSignリポジトリに公開された本CPの諸条件を承諾すること

2. 証明書の信頼性に重大な影響を及ぼす、提出した情報のあらゆる変更を、GlobalSign CA又はGlobalSign RAに知らせること

3. GlobalSign CA証明書が有効でなくなった場合は、使用をやめること

4. GlobalSign CA証明書を、合理的な環境下で使用すること

5. 秘密鍵を危殆化、紛失、不正開示、改ざん、その他の不正使用から防護すること

6. 鍵を適切に保護する、事前にGlobalSignに承認された、安全なデバイスや製品を使

用すること

7. 秘密鍵を生成、維持、キーエスクロー、破棄するために利用者が使用するパートナ

ーまたは代理人の作為や不作為に起因するものについて責任を負うこと

8. GlobalSign又はGlobalSignディレクトリに、法やあらゆる当事者の権利を侵害する

記述を含むいかなる資料をも提出しないこと

9. GlobalSign CA証明書の完全性に重大な影響を及ぼす事象が発生した場合、認証局証

明書の失効を要求すること

10. 証明書を不正操作から防護すること

11. CP及び認証局チェーン契約に従って、準拠法を遵守し、許可された用途にのみ、

証明書を使用すること


Version: 3.4

利用者は、常に上記に述べた認証局に対する義務を負う。利用者が、異なる名前のサブジェ

クトの代わりに申請する場合には、特定の義務は申請する利用者に移り、サブジェクトから

は軽減される。代わりに、証明書ライフサイクルに影響する不測の事態が生じた場合、サブ

ジェクトは申請する利用者に全て通知しなければならない。かかる場合は、上記項目のうち、

2、3、4、5、6、8、9、10、11の義務は、サブジェクトに適用され、申請する利用者には適

用されない。

5.6.1.2 電子証明書のライフサイクル運用要件利用者は、認証局証明書の有効期間中における、認証局証明書に記載された情報についての

あらゆる全ての変更、又は証明書の有効性に重大な影響を及ぼす事実を、直接GlobalSign RAに知らせる継続的義務を負うことを、ここに通知される。この義務は、利用者本人により、

又は代理人を通じて行使できる。

5.6.1.3 自己責任での信頼 GlobalSign CAリポジトリに掲示される情報を評価し信頼することは、そこに掲示される情報

にアクセスする当事者自身の単独責任である。

5.6.2 依拠当事者による公開鍵、及び証明書の使用依拠当事者の義務は以下の通りである。

5.6.2.1 依拠当事者の義務証明書の依拠当事者は、以下を実施する。

• 依拠当事者に対するGlobalSign CAからの通知及び関連条件を承諾する。

• GlobalSignが公開する証明書ステータス情報（例えば、CRL又はOCSP）を使用して、

GlobalSign CA証明書を検証し、可能な場合は少なくとも依拠当事者自身の署名ポリ

シーに重大な影響を及ぼす証明書属性を検証する。

• かかる検証手続により、GlobalSign CA証明書に記載された情報が正しく、新であ

ると検証できたときに限り、GlobalSign CA証明書を信頼する。

• GlobalSign CA証明書を、合理的な環境下でのみ信頼する。

• 認証局証明書を、失効されていない場合のみ信頼する。


Version: 3.4

• 少なくとも依拠当事者自身の署名ポリシー又は業務に、重大な影響を及ぼす証明書

属性を検証する。

5.6.2.2 GlobalSign CAリポジトリとウェブサイトの条件 GlobalSign CAリポジトリ及びウェブサイトにアクセスする利用者及び依拠当事者を含む当

事者は、本CPの条項、及びGlobalSign CAが供する他の使用条件を承諾する。当事者は、証

明書ステータスに関する問合せを送信すること、又は以下のような情報又は提供サービスを

利用又は信頼することにより、本CPの使用条件の承諾を表明する。GlobalSign CAリポジト

リの使用の結果は以下である。

• 認証局証明書の検索の結果、情報を取得すること

• 証明書に含まれる公開鍵に対応する秘密鍵を使用して生成されたデジタル署名の

ステータスを検証すること

• GlobalSign CAウェブサイトに公開される情報を取得すること

5.7 証明書の更新

GlobalSign CA証明書は更新に対応していない。

5.8 証明書の失効

失効を申請する利用者の本人識別は、内部手続にもとづいて実施される。

GlobalSignとの事前の合意を前提に、GlobalSign RAは、証明書の失効を希望する証明書の所

有者の本人識別及び認証を実施する。

失効要求は、直接以下に宛てて、あるいはGlobalSignリポジトリにある失効申請書を通じて

GlobalSign RAに提出できる。

GlobalSign, Philipssite 5, 3001, Leuven, Belgium又は [email protected]


Version: 3.4

登録局からの要請を受けて、GlobalSign CAは、次のような場合に認証局証明書を失効す

る。

• 証明書サブジェクトの秘密鍵の紛失、盗難、改ざん、不正開示、他の危殆化があっ

た場合

• 証明書サブジェクト又はその指名した利用者が、本CP又は認証局チェーン契約の

下の重大な義務に違反を犯した場合

• 本CPの下の義務の履行遂行が、自然災害、コンピュータ又は通信障害、他の人に

よる合理的な制御を越える事象により、遅延するか、又は妨げられ、その結果、別

人の情報が重大に脅威に晒され、又は危殆化した場合

• 証明書に含まれる、証明書サブジェクトの情報の変更があった場合

GlobalSign RAは、要求当事者の本人識別を検証し、本CPに要求される手続に従って要求が

提出されたことを確認し次第、直ちに証明書の失効を要求する。本人識別の検証は、利用者

がGlobalSign RAに提出した本人識別データに記載される情の要素を通じて行われる。

GlobalSign RAからの要請を受けて、GlobalSign CAは、直ちに証明書を失効する。

5.9 証明書のステータス確認サービス

GlobalSign CAは、CRL、OCSP、及び適当なウェブインタフェースを含む、証明書ステータス

確認サービスを提供する。

5.10 利用の終了

利用者の加入は、認証局証明書が失効され、有効期限切れになり、又はサービスが終了した

際に、終了する。


Version: 3.4

6. 設備上、運営上、運用上の管理このセクションでは、鍵生成、サブジェクトの認証、証明書発行、証明書失効、監査、及び

アーカイブの機能を実施するためにGlobalSign CAが使用する、技術的でないセキュリティ管

理について説明する。

6.1 物理的管理

GlobalSign CAは、自己の、リースの、又は賃借の施設において、物理的な制御を実践してい

る。GlobalSign CAは、サービスを提供するために、サービスプロバイダが使用する施設にお

いて、物理的な制御を要求する。

GlobalSign CAの基礎となる設備は、他の目的に使用される他の証明書管理の基礎となる設備

と、論理的に切り離されている。

GlobalSign CAの安全設備は、高度なセキュリティ運用に適したエリアに位置している。

物理的は、例えば、全ての認証局業務を、物理的に監視され、警報機によってサポートされ、

区画間の移動にトークンとアクセス制御リストを使用して行うことが求められる安全なコン

ピュータ室に設置するように、施設のあるエリアから他のエリアへのアクセスを制御したり、

高セキュリティ区画へのアクセスを制御したりする構造を実践することにより、制限されて

いる。

GlobalSign CAは、火災加熱への対策及び予防を実践する。

メディアはセキュアに保管される。バックアップメディアも、物理的に安全で、火災損害及

び水害から守られた、離れた場所に格納される。

GlobalSign CAは、一部オフサイトバックアップを実践する。


Version: 3.4

GlobalSign CAの用地には、GlobalSign CAサービスを提供する基礎となる設備を収容する。

GlobalSign CAの用地では、アクセス制御、侵入検知、及び監視を含む適切なセキュリティ管

理を実践する。この用地へのアクセスは、監査対象であるアクセス制御リストに記載された

任命された者に制限される。

6.2 手続的管理

GlobalSign CAは、スタッフの信頼性と適性の合理的な保証、及び電子署名関連の技術の分野

におけるその義務の十分な遂行を提供する人事及び経営実務を実施する。

GlobalSign CAは、個人データの機密性と保護について、対策を講じる。

鍵管理業務の管理者、セキュリティオフィサー、システム監査人、他のかかる業務に重大な

影響を及ぼす全てのスタッフは、信任された役職を務めていると見なされる。

GlobalSignは、信任された役職につくスタッフの審査を実施する。

GlobalSignは、実行された行為の全ての実行者について、説明責任を追求する。

GlobalSign CAは、重要な認証局機能には、相互牽制を実装する。

6.3 人事的管理

6.3.1 資格、経験及び身分の要件 GlobalSign CAは、特定の任職における適性において実行を必要とされる身元、資格及び経験

を証明するための検査を行う。身元調査には、以下を含む。

• 志望者による詐称


Version: 3.4

• その他、必要と思われるあらゆるもの

6.3.2 研修要件 GlobalSign CAは、登録局、認証局機能を実行するために、その要員に研修を提供する。

6.3.3 再研修の頻度及び要件定期的な再研修も、要員と手続についての知識の継続性と新状態を確実とするために実施

される。

6.3.4 認められていない行動に対する制裁 GlobalSign CAは、認められていない行動、認められていない権限の使用、認められていない

システムの使用をした要員に対し、その事情の下で適当であるように、参加者の要員に説明

責任を課すために、制裁を加える。

6.3.5 独立した契約者の要件請負業者及びその要員は、GlobalSign CAの要員と同じプライバシー保護と守秘義務条件の対

象である。

6.3.6 要員に提供する資料 GlobalSign CA及び登録局は、初回研修と再研修、その他の間、要員に対し資料を提供する。

6.4 監査ログの手続

監査ログの手続には、安全な環境を維持する目的で実装された、イベントログと監査システ

ムを含む。GlobalSign CAは、以下の管理を実装する。

GlobalSign CAは、以下を含むがこれに限定しない、記録イベントを監査する。

• 証明書の発行


Version: 3.4

• 証明書の失効

• CRLの公開

監査証跡記録は以下を含む。

• 業務の識別

• 業務の日時

• 業務に関与した証明書の識別

• 業務を実施した人物の識別

• 業務の要請の参照

監査に必要とされる文書は以下を含む。

• 基礎となる設備の計画と説明

• 物理的な用地計画と説明

• ハードウェア及びソフトウェアの設定

• 要員のアクセスリスト

GlobalSign CAは、指命された要員が、一定の間隔でログファイルを点検し、異常事象を検知

し、報告することを確実とする。

GlobalSign CA、登録局の任命された者、及び指定された監査人による検査のために、ログフ

ァイル及び監査証跡はアーカイブされる。ログファイルは、アクセス制御機構により、適切

に保護されるべきである。ログファイル及び監査証跡はバックアップされる。

監査イベントには、ログ通知が与えられない。


Version: 3.4

6.5 記録のアーカイブ

GlobalSign CAは、以下の項目についての内部記録を保持する。

• 認証局証明書について、証明書の有効期限切れ後、長10年間

• 認証局証明書の発行に関する監査証跡について、証明書の発行後、5年間

• 認証局証明書の失効に関する監査証跡について、証明書の失効後、5年間

• CRLについて、証明書の有効期限切れ後、又は失効後、少なくとも5年間

• 認証局証明書の発行の裏付け資料について、証明書の有効期限切れ後、5年間

GlobalSign CAは、取り出しのできるフォーマットでアーカイブを保存する。

6.5.1 アーカイブされる記録の種類 GlobalSign CAは、GlobalSign CA証明書、監査データ、証明書申請情報、ログファイル、及び

証明書申請の裏付け資料の記録を、信頼性のある方法で保持する。

6.5.2 アーカイブ保持期間 GlobalSign CAは、認証局証明書の記録を、有効期限切れ後、又は失効後、長10年間、信

頼のある方法で保持する。

6.5.3 アーカイブの保存方法アーカイブの保護の条件は、以下を含む。

記録の管理者（記録保持の職務に任命されたスタッフ）だけが、アーカイブを閲覧出来る。

• データをライトワンスのメディアに保管する等、アーカイブが修正されないよう保

護する。

• アーカイブが削除されないよう保護する。

• 新しいメディアに定期的にデータを移行するという要件等、アーカイブが保管され

ているメディアを劣化から保護する。


Version: 3.4

6.5.4 アーカイブの情報を入手し検証する手続アーカイブ情報を取得し、検証するために、GlobalSign CAは、明快な階層管理と限定的な職

務明細の下に、記録を保持する。

GlobalSign CAは、記録をコンピュータ上の、又は紙面上の形式で保持する。GlobalSign CAは、

登録局、利用者、又はその代理人に、本要件を支援するたに、適当に書類を提出するように

要求することがある。

ファイリングの期間は、有効期限切れ、又は失効の日か始まる。かかる記録は、コンピュー

タ上の、紙面上の形式、又はGlobalSign CAが適当と考える他の形式で保持される。

GlobalSign CAは、認定要件に適合するために必要となるに応じて、記録の保持期間を変更す

ることがある。

6.6 危殆化、及び災害からの復旧

別の内部文書に、GlobalSign CAは、適用されるインシデント及び危殆化の報告、取り扱い手

続を文書化する。GlobalSign CAは、コンピューティング資源、ソフトウェア、及び/又はデ

ータが破損したか、破損したことが疑念われた場合に使用する復旧手続を文書化する。

GlobalSign CAは、天災、サーバ、ソフトウェア又はデータの破損の場合等、障害のタイプに

応じた適当な期間内でのサービスの完全復旧を確実とするために必要な基準を定める。

6.7 認証局又は登録局の終了

認証局としての活動を終了する前に、GlobalSign CAは、GlobalSign CAの自己負担で、指定さ

れた組織に以下の情報を、段階を踏んで譲渡する。

• GlobalSign CAに関する全ての情報、データ、文書、リポジトリ、アーカイブ、監査

証跡。


Version: 3.4

7. 技術的セキュリティ管理このセクションでは、暗号化鍵及び活性化データ（例えば、PIN、パスワード、相互鍵シェ

ア）を保護するために、GlobalSign CAが採用するセキュリティ対策を説明する。

7.1 鍵ペアの生成、及びインストール

GlobalSign CAは、本CPに従って、その秘密鍵を保護する。特定の証明書タイプについては、

GlobalSign CAは、これらの各鍵の使用目的に従って、CRL及びOCSPレスポンスに署名する

ためだけに、秘密署名鍵を使用する。

GlobalSign CAは、GlobalSign CA内で使用される秘密鍵を、GlobalSign CAの範疇外であるあら

ゆる方法で使用することを差し控える。

7.1.1 GlobalSign CA秘密鍵の生成 GlobalSign CAは、文書化された手続に従って、そのルート秘密鍵の生成に、信頼性のある手

順を用いる。GlobalSign CAは、その秘密鍵の秘密シェアを配布する。

7.1.1.1 GlobalSign CA秘密鍵の利用方法 GlobalSign CAの秘密鍵は、GlobalSign CAが発行した証明書、GlobalSign CAの証明書失効リ

スト、及びOCSPレスポンスへの署名に使用される。その他の利用方法は禁止されている。

7.1.1.2 GlobalSign CA秘密鍵のタイプ使用する認証局ルート鍵については、GlobalSign CAは、鍵長2048ビット、少なくとも14年の有効期間で、RSAアルゴリズムを使用する。

使用するオペレーショナル認証局の鍵については、GlobalSign CAは、鍵長2048ビット、

長14年までの有効期間で、RSAアルゴリズムを使用する。


Version: 3.4

7.1.2 GlobalSign CA鍵ペアの生成 GlobalSign CAは、信頼性のあるシステムを使用して、その秘密鍵を安全に生成、保護し、そ

の危殆化や認められていない利用方法を防ぐために必要な予防措置を講じる。GlobalSign CAは、本CPに一致する鍵生成手続を実装し、文書化する。

鍵生成は、証明書発行の目的に適すると広く認められているアルゴリズムを使用して実行さ

れる。GlobalSign CAは、RSA SHA‐1とRSA SHA-256を使用する。

認証局の署名鍵として選択された鍵長とアルゴリズムは、認証局により発行される証明書の

目的に適すると広く認められている。

7.2 鍵ペアの再生成と再インストール

GlobalSign CAは、過去に使用された全ての鍵、使用中の耐タンパデバイス、及びバックアッ

プされた、又はキーエスクローされた秘密鍵の複写を、廃止し、破棄する。

7.2.1 GlobalSign CA鍵生成のデバイス GlobalSign CAの秘密鍵の生成は、安全な暗号デバイス内で行われる。

7.2.1.1 GlobalSign CA鍵生成の管理 GlobalSign CAの秘密鍵の生成は、信任された役職を務める、適切に認定された2名以上のス

タッフによる管理を必要とする。この行為は、相互牽制を伴う。

7.2.2 GlobalSign CA秘密鍵の保管 GlobalSign CAは、適当な ISOの要件に適合して、秘密鍵を保管する安全暗号デバイスを使用

する。

署名生成デバイスの外では、GlobalSignの証明書用の秘密署名鍵は、常に暗号化されている。


Version: 3.4

7.2.2.1 GlobalSign CA鍵保管の管理 GlobalSign CAの秘密鍵の保管は、信任された役職を務める、適切に認定された複数名のスタ

ッフによる管理を必要とする。この行為は、相互牽制を伴う。

7.2.2.2 GlobalSign CA鍵のバックアップ GlobalSign CAの秘密鍵は、信任された役職を務める、適切に認定された複数名のスタッフに

より、バックアップされ、保管され、復元される。この行為は、相互牽制を伴う。

7.2.2.3 秘密シェア GlobalSign CAの秘密シェアは、秘密鍵の信頼性を守り、強化し、また鍵の復元を供するため

に、複数の認定された保持者を用いる。GlobalSign CAは、複数の耐タンパデバイスに秘密鍵

を保管する。この行為は、相互牽制を伴う。

7.2.2.4 秘密シェアの受領秘密シェア保持者は、秘密シェアを受領する前に、自分自身で、その秘密シェアの生成、再

生成、配布、又はその後の保護監督の繋がりを観察しなければならない。

秘密シェア保持者は、GlobalSign CAが認定したハードウェア暗号モジュール等、物理メディ

アに入れた秘密シェアを受領する。GlobalSign CAは、秘密シェアの配布について、書面の記

録を保持する。

7.2.3 GlobalSign CA公開鍵の交付 GlobalSign CA自身の公開鍵配布は、GlobalSign CA自身の業務手続、及びベルギー法に要求さ

れる追加条件に従って実行される。

GlobalSign CAは、自己の秘密鍵の配布を文書化し、トークンの保管者の役割について、トー

クンの保管者の交代が必要となる場合に、トークンの配布を改正できるものとする。


Version: 3.4

7.2.4 GlobalSign CA秘密鍵の破棄方法 GlobalSign CAの秘密鍵は、再び取り出し、使用されないことを確実とするために、そのライ

フタイムの後に、少なくとも2名の信任された熟練者の出席の下に破棄される。

鍵の破棄の処理は文書化され、関連する記録はアーカイブされる。

7.3 秘密鍵の保護、及び暗号モジュール技術の管理

GlobalSign CAは、認証局の鍵管理業務を実施のするために、適当な暗号デバイスを使用する。

これらの暗号デバイスは、ハードウェアセキュリティモジュール（以下、「HSM」）として

知られる。

かかるデバイスは、何よりも、デバイスへの不正かいざんが直ちに検知され、秘密鍵が暗号

されずにデバイス外に持ち出せないことを保証する、形式要件に適合する。

認証局の秘密鍵を保護するハードウェア及びソフトウェアの機構は文書化される。この文書

は、この認証局鍵の保護機構が、保護している認証局鍵と少なくとも同等の強度であること

を論証する。

GlobalSign CAの管理人は、秘密鍵を活性化、及び不活性化する業務に任命される。鍵は、そ

の結果、決められた期間、活性化される。

GlobalSign CAの秘密鍵は、ライフタイムの後に破棄される。

7.4 その他の鍵ペア管理

GlobalSign CAは、自己の公開鍵をアーカイブする。GlobalSign CAは、かかる証明書に表示さ

れる使用期間の、利用者証明書を発行する。


Version: 3.4

7.4.1 コンピュータの資源、ソフトウェア、又はデータが破損した場合 GlobalSign CAは、災害、サーバ、ソフトウェア、又はデータが破損した場合における、サー

ビスの完全復旧を確実とするために、必要な対策を規定する。

もし資源又はサービスが、GlobalSign CAの管理下で保持されていない場合には、認証局は資

源のオーナー又はサービスプロバイダとのあらゆる契約が、災害復旧の要件に適合すること

を確実とする。

7.4.2 CA公開鍵の失効もしGlobalSign CAの公開鍵が失効された場合には、GlobalSign CAは直ちに以下を行う。

• 相互認証している全ての認証局に通知する。

7.4.3 CA秘密鍵の危殆化もしGlobalSign CAの秘密鍵が危殆化した場合には、対応する証明書は直ちに失効される。全

てのエンドユーザ証明書の失効を含む、更なる対策をとる。

7.5 活性化データ

GlobalSign CAは、自己の秘密鍵と業務に関連する活性化データを、安全に保管する。

7.6 コンピュータのセキュリティ管理

GlobalSign CAは、コンピュータセキュリティ管理を実装する。

7.7 ライフサイクルの技術上の管理

GlobalSign CAは、定期的な開発管理、及びセキュリティ管理制御を実施する。


Version: 3.4

7.8 ネットワークセキュリティ管理

GlobalSign CAは、ファイアウォールを含む、システムセキュリティの上位のネットワークを

保守する。ネットワークへの不正侵入は検知される。特に、

• GlobalSign CAは、登録局との接続を、専用の管理用の証明書を用いて、暗号化する。

• GlobalSign CAのウェブサイトは、証明書にもとづくセキュアソケットレイヤー

（SSL）接続、及びウィルス対策を備える。

• GlobalSign CAのネットワークは、マネージドのファイアウォールと侵入検知システ

ムで保護される。

• 認証局のネットワーク外からGlobalSign CAデータベースへのアクセスは禁止され

る。

• 情報のリクエストと配送のためのインターネットセッションは暗号化される。

8. 証明書、及びCRL のプロファイルこのセクションは、証明書フォーマット、CRL、OCSP、及びタイムスタンプのプロファイルを

規定する。

8.1 証明書プロファイル

GlobalSign証明書は、通常、（a）国際電気通信連合電気通信標準化部門勧告X.509（1997年）：情報技術－開放形システム相互接続－ディレクトリ：認証フレームワーク、1997年6月、及び（b）RFC 5280：インターネットX.509 PKI 証明書及びCRLプロファイル、2008年5月に従う。

フィールド値、又は値制約

シリアルナンバー発行者DNごとにユニークな値

署名アルゴリズム証明書に署名するために使用されたアルゴリズムのオブジェクト識

別子－RFC3279に従って、sha1RSA


Version: 3.4

証明書発行者 GlobalSign、及び適当な中間発行認証局についての説明の追記

有効期間開始日 RFC 5280に従って符号化したベルギー王立天文台に同期した協定世

界時

有効期間終了日 RFC 5280に従って符号化したベルギー王立天文台に同期した協定世

界時

サブジェクトDN 3.1に従う

サブジェクト公開鍵 RFC 5280に従って符号化

署名 RFC 5280に従って生成、符号化

8.1.1 Authority Key Identifier 拡張 GlobalSignは、通常、エンドユーザ利用者の証明書と中間認証局証明書に対し、X.509バージ

ョン3のAuthority 鍵識別子拡張を挿入する。証明書発行者が subjectKeyIdntifier拡張を含

む際、Authority 鍵識別子は、証明書を発行する認証局の公開鍵の160ビットの SHA‐1ハッ

シュから構成される。さもなければ、Authority 鍵識別子拡張は、発行認証局のサブジェク

ト識別名及びシリアルナンバーを含む。この拡張のクリティカリティフィールドは FALSEに設定される。

8.1.2 Authority Information Access拡張 GlobalSignは、通常、エンドユーザ利用者の証明書、及び適当であれば中間認証局証明書に

対し、X.509バージョン3のAuthority Information Access拡張を、依拠当事者が発行認証局

証明書を取得できるURLと共に挿入する。この拡張のクリティカリティフィールドはFALSEに設定される。

8.1.3 CRL Distribution Points 拡張ほとんどのGlobalSignのエンドユーザ利用者証明書と中間認証局証明書は、依拠当事者が認

証局証明書のステータスを確認するためのCRLを取得できるURLを含む、X.509バージョン

3の cRLDistributionPoints拡張を含む。この拡張のクリティカリティフィールドは FALSEに設定される。


Version: 3.4

8.1.4 Subject Key Identifier拡張 GlobalSignが subjectKeyIdentifier拡張をX.509バージョン3証明書に挿入する場合、証明書

のサブジェクトの公開鍵にもとづく keyIdentifierは、RFC 5280に記述された方法の1つに従

って生成される。この拡張が使用される場合、この拡張のクリティカリティフィールドは

FALSEに設定される。

8.1.5 Subject Alternative Name拡張 GlobalSignが subjectAlternativeName拡張をX.509バージョン3証明書に挿入する場合、

subjectAlternativeNameは、RFC 5280に記述された方法の1つに従って生成される。この拡

張が使用される場合、この拡張のクリティカリティフィールドは FALSEに設定される。

8.2 CRL プロファイルほとんどのGlobalSignのエンドユーザ利用者証明書と中間認証局証明書は、依拠当事者が認証局証明書の

ステータスを確認するためのCRLを取得できるURLを含む、X.509バージョン3のcRLDistributionPoints拡

張を含む。この拡張のクリティカリティフィールドはFALSEに設定される。

フィールド値、又は値制約

バージョン RFC 5280に従って、V2

証明書発行者 CRLに署名し発行したエンティティ

発効日 CRLの発行日。CRLは発行次第有効になる。

次回更新次回のCRLが発行される期限日

署名アルゴリズム証明書に署名するために使用されたアルゴリズムのオブジェクト

識別子－RFC3279に従って、sha1RSA

Authority Key Identifier 証明書を発行する認証局の公開鍵の160ビットのSHA‐1ハッシュ

CRL番号 RFC 5280に従って、単調増加のシーケンス番号

今回更新発行

次回更新発行日付＋3時間


Version: 3.4

8.3 OCSP プロファイル

GlobalSign CAは、独立した技術文書に、使用するOCSPプロファイルの記録を保持する。こ

の文書は、利害関係を明らかにする当事者の要求に応じて、GlobalSign CAの裁量で開示する。

8.4 タイムスタンププロファイル

GlobalSign CAは、独立した技術文書に、使用するタイムスタンププロファイルの記録を保持

する。この文書は、利害関係を明らかにする当事者の要求に応じて、GlobalSign CAの裁量で

開示する。

9. 準拠性監査とその他の評価 GlobalSign CAは、パブリックに開示しない、業務手続の監査を、条件下で受諾する。GlobalSign CAは、場合により実装する前に、かかる監査の結果を更に検討し、評価する。

範囲及び内容に関する独自の承認の後に、GlobalSign CAは、本CPに従った要件、標準、手

続、サービスレベル、及び、適合していると公言している認定スキームへの適合性を保証す

るために、この適合監査を受諾する。

9.1 監査の頻度あるいは条件

GlobalSignの認定スキームの要件への適合性に関する情報は、かかる認定スキームの組織に

直接求めることができる。


Version: 3.4

GlobalSignは無事に監査され、現在のところ、WebTrust for CAとして知られる認定スキーム

の要件に適合している。GlobalSign CAは、この認定を維持しようとする。

GlobalSignは、本CPに従った要件、標準、手続、及びサービスレベルへの適合性を保証する

ために、適合監査を受諾する。GlobalSign CAは、パブリックに開示しない業務手続の監査を、

守秘義務、企業秘密等の特定の条件下で受諾する。かかる監査は、GlobalSignが義務を負う

当事者により、直接又はその代理人を通じて実行される。

認証局は、更に実装したり公開したりする前に、かかる監査の結果を評価する。

9.1.1 監査手順の要件監査を実行するために、直接的にも間接的にも、多少なりともGlobalSignと提携関係になく、

またそれについて利害の不一致もない、任命された独立監査人がいる。

監査は、以下を含むがこれに限定しない範囲で実行される。

• GlobalSignの業務手続及び原則の、本CPに規定されているサービスレベルへの適

合性

• 認証局サービスを実装する基礎となる設備の管理

• 物理的用地の基礎となる設備の管理

• 本CPの遵守

• 関連法の遵守

• 合意されたサービスレベルの実行

• 監査証跡、ログ、関連文書等の検査

• 上記の条件に適合できなかったことの原因

適合監査に関して、GlobalSignは、以下のセクションに記載されたものを含め、証明書業務

を実行するために使用するあらゆる下請業者の業務遂行について、責任を負う。


Version: 3.4

9.1.1.1 業務委託分散する電子商取引サービスプロバイダとユーザである人々の多様な証明ニーズにより良く

対応するために、GlobalSignは、証明及び登録を含むPKIに関連する特定のサービスを実行

するのに、適切に選定された提携先と協力する。GlobalSignは、そのサービスの実行の特定

の局面を、一部又は全部、外部委託することがある。証明書ライフサイクル又は業務の特定

の部分を管理するよう選択されたパートナー又は代理人にかかわらず、GlobalSignは、全て

の手順について、終的に責任を負い続ける。GlobalSignは、本CPの条件に従って、その責

任を限定する。

9.1.1.2 セキュアデバイスと秘密鍵の保護 GlobalSignは、安全に証明書を発行し、管理し、保管するために、セキュアデバイスと耐タ

ンパ機器の使用を支援する。GlobalSignは、秘密鍵の危殆化を防ぐために、認定された信頼

性のあるハードウェアを使用する。

10. 他の業務上の問題、及び法的問題このセクションで説明される通り、本CPの下にGlobalSign CA証明書の発行に特定の法的条

件が適用される。

10.1 料金

GlobalSign CA証明書の発行及び管理は、依頼に応じて発行された見積もりを前提とする。

10.1.1 返金ポリシー GlobalSignは、返金の請求を文書で受領する。返金の請求は、正式に正当性を立証され、

GlobalSignの法務担当者に送付されなければならない。GlobalSignは、GlobalSignが提供する

保証の枠内で請求されない限り、承認又は許諾して返金する権利を保有する。


Version: 3.4

10.2 財務的責任

GlobalSignは、本CPの下に認識される義務を満たすため、十分な資源を保持する。GlobalSign CAは、“現状有姿で”本サービスを提供する。

10.3 業務情報の機密性

GlobalSignは、本CPで説明される通り、個人データのプライバシー規則及び機密保持規定を

遵守する。機密情報には以下を含む。

• 証明書に含まれるもの以外の、利用者についての個人を識別できる情報

• 証明書ステータス情報に含まれるもの以外の、認証局証明書の失効理由

• 監査証跡

• 認証局サービスに関する通信

• 認証局秘密鍵

以下の項目は、機密情報ではない。

• 証明書、及びそのコンテンツ

• 証明書ステータス

GlobalSignは、以下のいずれかを明確にした、認証され正当化された請求がない限り、いか

なる機密情報も開示し、又は開示するよう要求されない。

• GlobalSignが情報を機密に保つ義務を負う当事者が、かかる情報の請求者であるこ

と。

• 裁判所の命令。

GlobalSignは、かかる開示を処理する事務手数料を請求することがある。


Version: 3.4

機密情報を請求し、受領する当事者は、それを請求した目的で使用し、危殆化から保護し、

他のサードパーティへの使用と開示をしないことを前提に許可を与えられている。

10.3.1 開示条件機密でない情報は、以下の条件の下に、あらゆる利用者及び依拠当事者に開示されうる。

• 利用者又は依拠当事者からの問合せ毎に、一つの証明書だけが提供される。

• 利用者又は依拠当事者からの問合せ毎に、一つの証明書ステータスだけが提供され

る。

• 利用者は、認証局が持つ自己の情報を閲覧できる。

機密情報は、利用者にも依拠当事者にも開示されてはならない。GlobalSign CAは、認証局の

要員に対する情報の開示を適切に管理する。

GlobalSign CAは、以下により、情報の開示を請求するあらゆる当事者に対し、自己が本物で

あることを証明する。

• 利用者又は依拠当事者からの請求の際に認証用証明書を提示する。

• OCSPリクエスト及びCRLへの応答に署名する。

GlobalSign CAは、以下を含む、機密情報のやり取りを暗号化する。

• 認証局と登録局の間の通信リンク

• 証明書、及び証明書ステータス情報を配送するセッション

参照により情報を組み込むために、GlobalSign CAは、URL等を含むコンピュータベース又は

テキストベースのポインタを使用する。


Version: 3.4

10.4 個人情報のプライバシー保護

GlobalSign CAは、GlobalSign CA証明書を申請する申請者の個人データの保護に、ウェブサイ

トを通じて取得できる特定のデータ保護ポリシーを提供する。GlobalSign CA は、

http://www.globalsign.com/repository/から入手できる文書化されたGlobalSign NVのプライ

バシーポリシーを遵守する。

GlobalSign CAの業務手続は、1998年12月11日に改正された個人データの処理に関連し、

95/46/EC及び1995年10月24日の欧州議会の個人データ処理に係る個人の保護及び当該

データの自由な移動に関する欧州議会及び理事会の指令（官報L 281、23/11/1995 0031‐0050ページ）を実装した、プライバシー保護についての1992年12月8日のベルギー法の境界内

である。

ベルギーにおける個人データの保護条例は、個人データ処理に係る個人の保護及び当該デー

タの自由な移動に関するEU指令（95/46/EC）を実装する。

GlobalSign CAはまた、個人データの処理と電子通信部門におけるプライバシーの保護に関す

る2002年7月12日の欧州議会の指令（2002/58/EC）を承認する。GlobalSign CAは、本CPで表明する個人データの保護条件内で運用する。

GlobalSign CAは、保持し、収集し、処理する個人データのアーカイブに関し、ベルギーのデ

ータ保護委員会の前で適切な表明をした。ベルギーのデータ保護委員会には、以下に郵便で

連絡できる。

Ministry of Justice, Waterloolaan 115, B‐1000 Brussels, Belgium (tel. +32 2 5427206)

10.5 知的財産権

GlobalSign CAは、そのデータベース、ウェブサイト、GlobalSign CA証明書、及び本CPを含

むGlobalSign CAによるあらゆる発行物に関連する全ての知的所有権を所有し、留保する。


Version: 3.4

GlobalSign CAの全ての認証局の識別名は、GlobalSign CAが独占所有し続け、これらの権利を

強く主張するものである。

証明書は、GlobalSign CA、又はGlobalSignに証明書管理を許諾された正当な所有者の所有財

産であり、今後もあり続ける。GlobalSign CAは、GlobalSign CAの書面による明示的な許可な

く証明書がパブリックにアクセスできるリポジトリ又はディレクトリに公開されないという

ことを除いて、完全な形で複製され配付されることを条件に、非独占的に、ロイヤルティ不

要で、証明書の複製と配布を許可する。この制限の範囲は、証明書に記載された個人データ

の認められない再公開から利用者を保護することも意図している。

GlobalSign CAは、他の当事者に明示的に所有権を譲渡あるいは解放していない自社の製品及

びサービスの全ての知的所有権を所有し、留保する。

10.6 表明保証

GlobalSign CAは、GlobalSign CA証明書の利用方法の法的条件を利用者及び依拠当事者に対し

伝達するために、本CP及び利用者契約を使用する。

表明保証を行う参加者には、必要に応じて、GlobalSign CA、登録局、利用者、依拠当事者、

及び他の参加者を含む。

GlobalSign CA、登録局、及び利用者を含むGlobalSign領域内の全ての当事者は、各自の秘密

鍵の完全性を保証する。もし、かかる当事者が、秘密鍵が危殆化したことを疑う場合には、

当事者は直ちに適当な登録局に通知する。

10.6.1 利用者の義務本CPで別途規定されない限り、利用者は以下について責任を負う。

• 証明書を使用することについて知識を持ち、必要なら教育を求めること

• 信頼性のあるシステムを用い、秘密鍵と公開鍵の鍵ペアを安全に生成すること


Version: 3.4

• GlobalSign CAとの通信において、真正かつ正確な情報を提出すること

• GlobalSign CAに提出した公開鍵が、使用された秘密鍵と正しく対応することを確実

とすること

• GlobalSign CAリポジトリに公開されている本CP及び関連するポリシーの全ての諸

条件を承諾すること

• GlobalSign CA証明書を不正操作から防護すること

• 本CPに従って、準拠法を遵守し、許可された目的にのみ、GlobalSign CA証明書を

使用すること

• 提出した情報に変更が生じた場合には、GlobalSign CA又はGlobalSign RAへ通知す

ること

• GlobalSign CA証明書に記載された情報が有効でなくなった場合は、使用をやめるこ

と

• GlobalSign CA証明書が有効でなくなった場合は、使用をやめること

• GlobalSign CA証明書が有効でなくなった場合には、インストールしたデバイスやア

プリケーションからGlobalSign CA証明書を削除すること

• GlobalSign CA証明書を、合理的な環境下で使用すること

• 秘密鍵を危殆化、紛失、不正開示、改ざん、他の不正使用から防護すること

• 秘密鍵を生成、維持、キーエスクロー、破棄するために利用者が使用するパートナ

ー又は代理人の作為や不作為

• GlobalSign CA又はGlobalSign CAディレクトリに、法やあらゆる当事者の権利を侵

害する記述を含むいかなる資料をも提出しないこと

• GlobalSign CA証明書の完全性に重大な影響を及ぼす事象が生じた場合、証明書の失

効を要求すること

• 利用者が秘密鍵の危殆化に気が付いたり、危殆化を疑ったりした場合、直ちに適当

な登録局に通知すること

• 登録に関して、本CPの要件に従って、正確で完全な情報をGlobalSignに提出する

こと


Version: 3.4

• 本CP及び締結した認証局チェーン契約にもとづいて利用者に通知されている他の

制限事項に従って、鍵ペアを電子署名のためだけに使用すること

• 秘密鍵の不正使用を回避する合理的な取り扱いをすること

• 電子署名の目的に適すると広く認められているアルゴリズムを使用して利用者鍵

を生成すること

• 電子署名の目的に適すると広く認められている鍵長とアルゴリズムを使用するこ

と

• 証明書に表示されている有効期間の終わりまでに、以下のいずれかが生じた場合、

いかなる合理的な遅滞もなくGlobalSign CAに通知すること

o 利用者の秘密鍵が紛失したか、盗難されたか、危殆化の可能性がある場合、

あるいは、

o 活性化データ（例えばPINコード）の危殆化によって、利用者の秘密鍵に対

する制御が失われた場合

o 利用者に通知された通り、証明書コンテンツに不正確や変更が生じた場合

利用者は、証明書を申請する際に行った自己の選択について、終的な責任を負う。申請者

及びGlobalSignは、組織背景の選択、及び信頼性のあるデバイスの利用方法を指定しなけれ

ばならない。

独自の、かつ重要なサービスを提供するトップルート局、及びトラストネットワークの運用

者として、GlobalSignは、認証局チェーンの利用者との関係の信頼性を追求する。利用者は、

常に、GlobalSignの認証局チェーンサービスの利用中には、他の認証局の認証局チェーンサ

ービスを求めることは差し控える。この制限は、ルート単体にのみ指定されるものではなく、

利用者組織全体に適用される。

10.6.2 依拠当事者の義務 GlobalSign CA証明書の依拠当事者は、以下を約束する。

• 証明書を利用する技術的能力があること


Version: 3.4

• 依拠当事者に対するGlobalSign CAからの通知と関連する条件を受領すること

• 適切な証明書パス検証手続に従って、GlobalSign CAが発行する証明書ステータス情

報（例えば、CRL）を使用して、GlobalSign CA証明書を検証すること

• かかる検証手続を通じて、証明書に記載された情報が正しく、新であると検証で

きたときに限り、そのGlobalSign CA証明書を信頼すること

• GlobalSign CA証明書を、合理的な環境下でのみ信頼すること

• 依拠当事者が秘密鍵の危殆化に気が付づいたり、期待かを疑ったりした場合、直ち

に適当な登録局に通知すること

依拠当事者の義務は、証明書を合理的に信頼する場合、以下の通りである。

• 依拠当事者に示された通り、新の失効ステータス情報を使用して、認証局証明書

の有効性、失効を検証する

• 依拠当事者に対し証明書又は本CPの中で表示された、証明書の利用方法のあらゆ

る制限に注意を払うこと

• 利用者契約、GlobalSign CA証明書、及び証明書が使用されるアプリケーションにお

いて供される他のポリシーや諸条件に規定されるあらゆるその他の予防措置を講

ずること

依拠当事者は、常に証明書が使用される特定のアプリケーション環境等の環境を考慮して、

証明書を信頼することが合理的であることを確実としなければならない。

10.6.2.1 依拠当事者の義務の伝達失効情報への制限のないアクセスを与え、結果として自己のサービスの信頼を引き出すため、

GlobalSign CAは、依拠当事者をその義務に拘束させるために、証明書サービスの有効性を管

理することに関する、依拠当事者との契約を実装することは差し控える。


Version: 3.4

しかしながら、GlobalSignのパブリックサービスのあらゆる他の参加者に適用されるように、

依拠当事者のGlobalSignの資源の使用は、本CPによるGlobalSignのポリシーフレームワー

クで規定される条件につかさどられることを含意する。

依拠当事者は、ここに、証明書の信頼性を立証し、検証するために、GlobalSignの資源に問

い合わせるその都度、本CPの現状の条件が拘束力を持つことを、通知される。

10.6.3 利用者の依拠当事者に対する賠償責任本CPに別途規定される利用者の他の義務を制限することなく、利用者は、認証局証明書に

含まれる表示を合理的に信頼するサードパーティに対し、証明書内のあらゆる不実表示につ

いて賠償責任を負う。

10.6.4 GlobalSign CAリポジトリとウェブサイトの条件 GlobalSign CA リポジトリ及びウェブサイトにアクセスする（利用者及び依拠当事者を含む）

当事者は、本CPの条項、及びGlobalSignが供する他の使用条件を承諾する。当事者は、認

証局証明書ステータスに関する問合せを送信すること、又は以下のような情報又は提供サー

ビスを利用又は信頼することにより、本CPの使用条件の承諾を表明する。GlobalSign CAリ

ポジトリは以下を含む。

• 認証局証明書の検索の結果、取得される情報

• 証明書に含まれる公開鍵に対応する秘密鍵を使用して生成されたデジタル署名の

ステータスを検証するための情報

• 証明書に含まれる公開鍵を使用してデータを暗号化する前に証明書のステータス

を検証するための情報

• GlobalSign CAウェブサイトに公開される情報

• ウェブサイトでGlobalSign CAが広告又は提供する他のあらゆるサービス

GlobalSign CAは、その申請期間中、及び証明書の有効期限切れ又は失効後5年間、証明書の

リポジトリを保持する。その完全性を検証する目的で、時を問わないクエリーのために、

GlobalSign RAに対し、完全なリポジトリを提供する。


Version: 3.4

更に、GlobalSign CAリポジトリは、依拠当事者も利用できる。

10.6.4.1 自己責任での信頼 GlobalSign CAリポジトリ及びウェブサイトに掲示される情報を評価し信頼することは、そこ

にアクセスする当事者自身の単独責任である。当事者は、証明書で提供された情報を信頼す

るかどうかを決定するための十分な情報を受取ったと同意する。GlobalSign CAは、証明書ス

テータスに関する記録とディレクトリを更新する必要な措置を行い、警告を通達する。

GlobalSign CAリポジトリ及びウェブサイトの使用条件に準拠しないことは、GlobalSign CAと

その当事者との関係の終了につながりかねない。

10.6.4.2 情報の正確さ GlobalSign CAは、リポジトリにアクセスする当事者が、正確で、新の、真正な情報を受領

することを確実とするためのあらゆる努力を払う。しかしながら、GlobalSign CAは、本CP及びGlobalSign CAワランティポリシーに規定された制限を越えたいかなる賠償責任も負う

ことはできない。

10.6.5 GlobalSign CAの義務本CPの関連セクションで規定される範囲で、GlobalSign CAは以下を約束する。

• 本CP、及びhttp://www.globalsign.com/repository/に公開されるその改訂に準拠す

ること

• パブリック証明書管理サービスの運用のためのGlobalSign CAリポジトリ及びウェ

ブサイトの設置と運用を含む、基礎となる設備と証明書サービスを提供すること

• 鍵生成の機構、鍵の保護、自己の基礎となる設備に関する秘密シェアの手続を含む、

トラスト機構を提供すること

• 自己の秘密鍵が危殆化した場合に、直ちに通知すること

• パブリックに提供する様々なタイプの証明書の申請手続を提供し、検証すること

• 本CPに従って証明書を発行し、ここに表明する義務を全うすること


Version: 3.4

• 登録局から、有効で、承認された証明書の失効要求を受領次第、本CPに従って、

発行された証明書を失効すること

• 本CPに従って、受領された証明書を公開すること

• 本CPに説明された通り、利用者及び依拠当事者へサポートを提供すること

• 本CPに従って、証明書の有効期限切れ及び更新に備えること

• 本CPに従って、定期的に全ての失効された証明書についてのCRL又はOCSPレス

ポンスを公開すること

• サービス契約にもとづいた適切なサービスレベルを提供すること

• GlobalSign CAリポジトリにCRLを公開することにより、依拠当事者へ証明書の失

効を通知すること

上記にリストアップされた事象が直接の原因となる、証明された損害に対し、上記の条項の

下のGlobalSign CAの賠償責任は、あらゆる個別の証明書1枚につき、1ユーロに限定される。

この制限はGlobalSignにより見直されることがある。GlobalSignは、証明書に含まれる情報

の真正性から生じるリスクに対し、更なる保険担保を模索することがある。GlobalSignは、

ワランティポリシーを提供する。

法の許す範囲で、GlobalSign CAは以下について賠償責任を負わない。

• 本CPに規定された以外の証明書の利用方法

• トランザクションデータの改ざん

• 証明書に関わるトランザクションに使用された、認証局の責任の下に運用されてい

ない機器の不適正使用又は誤設定。

• 証明書に関連する秘密鍵の危殆化

• 証明書に関連する秘密鍵を保護するPINコードの紛失、漏洩、誤用

• 本人識別情報、シリアルナンバー、公開鍵の値を含む、登録局からの誤データ、又

は不完全なデータの提出

• 不可抗力


Version: 3.4

• 証明書の使用

• （下位認証局ではない）相互認証の認証局及びその依拠当事者の、公開鍵又は秘密

鍵の使用

• 他の認証局との、利用者に提供された自己の組織における認証局チェーンサービス

を維持するサービス。この制限は、特定のルート単体にのみ、又は顧客の認証局が

チェーンされたルートのみではなく、サービスが提供される顧客組織全体に適用さ

れる。

GlobalSign CAは本CPの下に、上記の他に義務はないと認識している。

10.6.6 登録局の義務 GlobalSignネットワーク内で運用するGlobalSign RAは、以下を約束する。

• 信頼性のあるシステムを用い、直接又は代理人を通じて、登録局の管理者鍵ペアを

安全に生成すること

• GlobalSign CAとの通信において、真正かつ正確な情報を提出すること

• （該当する場合）GlobalSign CAに提出した公開鍵が、正しいものであることを確実

とすること

• GlobalSign CAに、要求する証明書に関連して使用される新しい鍵ペアを安全に生成

すること

• 本CPに従って、GlobalSign CA証明書の申請を受領すること

• GlobalSign CAの手及び本CPに規定される、全ての検証と認証の業務を実行するこ

と

• GlobalSign CAに、申請者の要求を署名メッセージ（証明書要求）として送信するこ

と

• GlobalSign CAの手続及び本CPに従って、GlobalSign CA証明書の全ての失効要求を、

受領し、検証し、GlobalSign CAに伝達すること

• 本CPに従って、証明書の更新時に、利用者により提出された情報の正確性と真正

性を検証すること


Version: 3.4

10.6.7 参照により証明書に組み込む情報 GlobalSignは、発行する全ての証明書に、以下の情報を参照により組み込む。

• 本CPの諸条件

• 発行されたGlobalSign証明書に表明される、他のあらゆる適用できる証明書ポリシ

ー

• X.509標準の必須要素

• X.509標準の必須ではない、カスタマイズされた要素

• 証明書内には全ては記載されていない、拡張コンテンツと拡張名称

• 証明書のフィールドに、そうあるべきと表示されている他のあらゆる情報

10.6.8 参照による組込みポインタ参照により情報を組み込むために、GlobalSignは、コンピュータベース又はテキストベース

のポインタを使用する。GlobalSignは、URL、OID等を使用する。

10.7 無保証

このセクションには、明示の保証の放棄を含む。

10.7.1 保証の制限 GlobalSign CAは、以下を保証しない

• 本CPの以下記の関連する製品説明、及び可能な場合は、GlobalSign CAワランティ

ポリシーに記述されていることを除く、証明書に含まれるあらゆる検証できない情

報の正確性

• 無料の、テスト又はデモ用の証明書に含まれるあらゆる情報の正確性、真正性、完

全性又は適正性


Version: 3.4

10.7.2 保証から除外される損害（詐欺行為、故意の不正行為を除く）いかなる場合も、GlobalSign CAは、以下の賠償責任を

負わない。

• 逸失利益

• データロス

• 証明書又はデジタル署名の使用、配送、ライセンス許諾、及び動作又は動作しない

ことに関連し生じる、あらゆる二次的、間接的、懲罰的損害

• 提供される、あるいは本CPの枠内の、あらゆるトランザクション又はサービス

• 無料の、テスト又はデモ用の証明書に記載された情報を除く、証明書内の検証され

た情報を信頼したことに起因する他の全ての損害

• かかる検証された情報の誤りが、申請者の詐欺行為又は故意の不正行為の結果であ

る場合に被る賠償責任

10.8 責任の制限

GlobalSignの賠償責任の合計の上限は、GlobalSignのワランティポリシーに従って限定され

る。

保証条件についての、より詳しい情報は、http://www.globalsign.com/repository/で閲覧で

きる。

10.9 補償

このセクションは、適用できる補償を含む。

10.9.1 補償法の許す範囲で、利用者は、賠償責任、損失、損害、及びあらゆる訴訟と以下の結果として

GlobalSignが被る合理的な弁護士費用を含む、あらゆる経費につながる作為又は不作為から

GlobalSign CAを補償し、かつ無害に保つことに同意する。

• 利用者の秘密鍵を保護できなかったこと


Version: 3.4

• 定められた通り、信頼性のあるシステムを使用したこと

• 利用者の秘密鍵の危殆化、紛失、不正開示、改ざん、不正使用を防ぐために必要な

予防措置を講ずること

• GlobalSignルートの完全性に注意を払うこと

10.10 期間と終了

本CPは、GlobalSign CAによりウェブサイト又はリポジトリ上に、効力がなくなったとの通

知がなされるまで、効力を持ち続ける。

通知された変更は、バージョン表示により、適切に跡を残される。変更は、公開後30日で

適用される。

10.11 関係者間の個別通知と連絡

GlobalSign CAは、デジタル署名されたメッセージもしくは書面の形式で本CPSに関連する通

知を受領する。GlobalSign CAから有効な、デジタル署名された受領確認を受信したことを受

けて、通知の送信者はその通信が有効であったと見なす。送信者は、かかる受領確認を20営業日以内に受領しなければならず、でなければ、配達確認をする配達業者を通じて、又は

配達証明郵便、書留郵便で、郵便料金前払いで、受領通知を要求して、書面による通知を以

下に宛てて送付しなければならない。GlobalSign CAへの個別の通信は、[email protected]へ送信するか、郵便で本書の「はじめに」に述べた住所に送付しなければならない。

10.12 改訂

本CPの変更は、適切に付与する番号を通じて表示する。

GlobalSign CAのポリシー管理局が、付与するバージョン番号を決定する。


Version: 3.4

10.13 紛争解決手続

紛争の当事者は、裁判所が下す判決を含むなんらかの紛争解決制度、又はなんらかのタイプ

の代替的な紛争解決制度（例外なくミニ・トライアル、仲裁裁判、拘束力がある専門家のア

ドバイス、協定のモニタリング、典型的な専門家のアドバイスを含む）に訴える前に、

GlobalSignに紛争解決を模索するために、通知することに合意する。

GlobalSignは、紛争の通知を受領したら、20営業日以内に、GlobalSign CAの経営管理者に紛

争処理の方針について助言する争議委員会を招集する。争議委員会は、弁護士、データ保護

の責任者、GlobalSignの業務管理者、セキュリティオフィサー等のメンバーで構成される。

弁護士又はデータ保護の責任者が議長を務める。争議委員会は、GlobalSignの幹部経営管理

者に調停案を提出する。その後、GlobalSignの幹部経営責任者は、提出された調停案を当事

者に伝達する。

10.13.1 仲裁紛争が、本CPに従って、初の通知を受領してから20営業日以内に解決しなかった場合は、

ベルギーの裁判所法典1676‐1723に従って、紛争の仲裁を受ける。

調停者は3人とし、各当事者が1人ずつ提案し、両当事者合意の3人目を選ぶ。紛争の調停

場所はベルギーの Leuvenとし、調停者が関連する費用を決める。

技術に関連する紛争、及び本CPに関連する紛争では、当事者は以下に登録事業所のある

Stichting Geschillenoplossing Automatisering（Foundation for the Settlement of Automation Disputes）のベルギー支所による仲裁を受ける。

J. Scheepmansstraat 5,

3050 Oud‐Heverlee, Belgium.

Tel.: +32‐47‐733 82 96, Fax: + 32‐16‐32 54 38


Version: 3.4

10.14 準拠法

本CPは、ベルギー法にもとづき適用され、解析され、解釈される。この法の選択は、居住

地、GlobalSign証明書や他の製品及びサービスの使用地に関係なく、本CPの解釈の一意性を

保証するために行われる。ベルギー法は、本CPが適用され、又は暗示的に引用され、又は

GlobalSignが提供者、供給者、受益者、その他として振舞いGlobalSignの製品及びサービス

に明示的に関係する、全てのGlobalSignの商業及び契約関係にも適用される。

GlobalSignのパートナー、利用者及び依拠当事者を含む各当事者は、取消不能の形でベルギ

ーの Leuvenの地方裁判所に提起する。

10.15 適用法の遵守

GlobalSign CAは、適用できるベルギー法を遵守する。特定のGlobalSign CAパブリック証明

書の管理をする製品及びサービスに使用される特定のタイプのソフトウェアの輸出は、適当

な公的認可又は民間の認可を必要とすることがある。（GlobalSign CA、利用者及び依拠当事

者を含む）各当事者は、ベルギーにおいて適切な、適用できる輸出法及び輸出規制に従うこ

とに同意する。

10.16 雑則

10.16.1 存続 “他の業務上の問題、および法的問題”のセクションに記載される責任及び制限事項は、本CPの終了後も存続する。

10.16.2 分離条項本CPの賠償責任の制限の条項を含むいずれかの規定が無効であるか、あるいは法的強制力

がないことが分かった場合にも、本CPの他の条項は当事者の本来の意図を損なわず有効性

は失われないものとする。


Version: 3.4

11. 定義語 ACCEPT (A CERTIFICATE) （証明書を）受領するトランザクションの枠内において、証明書申請者による証明書を承認

すること

ACCREDITATION 認定ある職務/エンティティが、特定の形式要件を満たすことを承認当局

による正式な宣言

APPLICATION FOR A

CERTIFICATE

証明書の申請証明書申請者によって認証局に送信された証明書を発行するように

との要請

APPLICATION PROGRAMMING

INTERFACE (API)

アプリケーション・プログラ

ミング・インタフェース（API）

アプリケーション・プログラミング・インタフェース(API)とは、オペ

レーティングシステム又はライブラリが、コンピュータプログラムに

作成されるサービスに対し、要求をサポートするために提供する、ソ

ースコードインターフェイスである

APPLICATION SOFTWARE

VENDOR

アプリケーションソフトウェ

アベンダー

例えばKDE、MICROSOFT CORPORATION、MOZILLA CORPORATION、OPERA

SOFTWARE ASA、及びRED HAT, INC等の、証明書を表示又は使用して、

ルート証明書を配布する、インターネットブラウザソフトウェア又

は他のソフトウェア開発業者

ARCHIVE アーカイブセキュリティ、バックアップ、あるいは監査のような目的のためにあ

る期間、記録を保管すること

ASSURANCES 確約

※本文書ではしばしば「保証」と

して翻訳

一般的な意図を伝達することを目的とした声明又は行為

AUDIT 監査形式的基準又は統制への適合性を検証するために用いられる手続

AUTHENTICATED RECORD 認証された記録認証の保証を含む署名入り文書、又は依拠当事者により有効なクラス

3証明書によって検証されたデジタル署名つきのメッセージ

AUTHENTICATION 認証適正な文脈の範囲内にそれらを置き、かかる関係を検証することによ

り、人物の身元を確認する、又は特定の情報の完全性を証明する手順

AUTHORIZATION 承認権利を与えること


Version: 3.4

AVAILABILITY 可用性情報又は資源へアクセスできる確率

HARDWARE MODULE ハードウェアモジュール証明書を保持し、安全に鍵ペアを生成するためのハードウェアモジュ

ールの完全なシステム

BINDING 紐付き指名されたエンティティとその公開鍵の関係についての登録局によ

る声明

CERTIFICATE 証明書証明書の発行者の秘密鍵でデジタル署名されたサブジェクトと関連

情報の公開鍵。明示的に指定されない限り、ここで述べる証明書とは、

利用者のものである

CERTIFICATE REVOCATION

LIST OR CRL

証明書失効リストあるいは

CRL

認証局によって維持される有効期限の前に失効された証明書のリス

ト

CERTIFICATION AUTHORITY OR

CA

認証局あるいはCA 証明書に含まれるサブジェクトに関する情報に公開鍵を紐付けるこ

とについて、信頼されているエンティティ。明示的に指定されない限

り、ここで述べる認証局とは、GLOBALSIGN CAである

CERTIFICATION PRACTICE

STATEMENT OR CPS

認証業務運用規程あるいは

CPS

全てのライフフェーズ中の証明書の管理業務の声明

CERTIFICATE STATUS SERVICE

OR CSS

証明書ステータスサービスあ

るいはCSS

依拠当事者と他者に対し、証明書ステータスを検証することを可能に

するサービス

CONTRACT PERIOD 契約期間 DUTCH NATIONAL REGISTERと認証局組織の間のGLOBALSIGN CA契約の継

続期間

CERTIFICATE CHAIN 証明書チェーンエンドユーザ利用者証明書と認証局証明書を含む、階層リスト証明書

CERTIFICATE EXPIRATION 証明書の有効期限証明書の有効期間の終わり

CERTIFICATE EXTENSION 証明書拡張以下についてを含む、追加の情報の伝達に使用される証明書フィール

ド：公開鍵、証明された利用者、証明書発行者、及び/又は証明手順

CERTIFICATE HIERARCHY 証明書階層 1つの（ルート）認証局及び認証局、利用者を含む下位エンティティ

の証明書のレベルにもとづいた繋がり

CERTIFICATE MANAGEMENT 証明書管理証明書管理に関連する行為には、証明書の保管、配布、公開、及び失

効を含む

CERTIFICATE REVOCATION LIST 証明書失効リスト（CRL）認証局により発行されデジタル署名された、失効された証明書を含む

リスト。かかるリストは、証明書に記載された情報を信頼する前に常


Version: 3.4

(CRL) に依拠当事者により閲覧される

CERTIFICATE SERIAL NUMBER 証明書シリアルナンバー認証局の領域内の証明書を唯一に識別する通し番号

CERTIFICATE SIGNING REQUEST

(CSR)

証明書署名要求（CSR）証明書を要求する機械可読の申込書式

CERTIFICATION 証明証明書を発行するプロセス

CERTIFICATION AUTHORITY

(CA)

認証局（CA）例えばGLOBALSIGN CAのような、証明書を発行し、あるいは失効する

当局

CERTIFICATE POLICY (CP) 証明書ポリシー（CP）認証局の業務及び証明書の発行、失効などの条件についての宣言書。

CPはまた、証明サービス基礎となる設備の信頼性を確立するためのガ

イダンスとして使用される

CERTIFICATE ISSUANCE 証明書発行個人データにもとづく認証及びデジタル署名、及び登録局により提供

された公開鍵のための、RFC 3647とRFC 3039に準拠したX.509 V3証

明書の配送

CERTIFICATE REVOCATION 証明書失効有効期限前に証明書を永久に無効にすることに使用されるオンライ

ンサービス

CERTIFICATE REVOCATION

LISTS

証明書失効リスト RFC 2459に準拠した、完全で漸増する失効した証明書のリストのオン

ラインでの公開

COMMERCIAL

REASONABLENESS

商業的妥当性慣習法からの法的用語。電子商取引において、信頼性の合理的な確約

を提供するテクノロジーの使用法

COMPROMISE 危殆化機密情報についての制御喪失につながるセキュリティポリシー違反

CONFIDENTIALITY 機密性データを、選ばれた、承認された当事者だけに開示する状況

CONFIRM A CERTIFICATE CHAIN 証明書チェーンを確認するエンドユーザ利用者証明書の有効性を確認するために証明書チェー

ンを検証すること

DIGITAL CERTIFICATE 証明書 1個の確認されたサブジェクトが使用する公開鍵と本人識別されたサ

ブジェクトを関連づける形式化されたデータ

DIGITAL SIGNATURE デジタル署名オリジナルのメッセージと署名者の公開鍵を持つ人物が、署名者の公

開鍵と対応する秘密鍵を使用して変更が加えられたかどうか、及びオ

リジナルのメッセージがある変更以来更に変更されたかどうかを正

確に判定できるように、非対称暗号システムとハッシュ関数を使用し


Version: 3.4

てメッセージをエンコードすること

DISTINGUISHED NAME 識別名コンピュータベースの文脈において、例えばある人物のような、実社

会のエンティティを識別するデータのセット

DIRECTORY SERVICE ディレクトリサービス証明書識別子にもとづいて証明書の検索を許可する、証明書のオンラ

インでの公開

ENDUSER SUBSCRIBER エンドユーザ利用者他の認証局ではない利用者

ENHANCED NAMING 拡張命名 X.509 V.3.0証明書の拡張された組織フィールド(OU=)の使用法

EXTENSIONS 拡張 X.509 V.3.0証明書の拡張フィールド

GENERATE A KEY PAIR 鍵ペアを生成する対応する公開鍵が適当な認証局に申請者が秘密鍵を使うことができ

ることを明らかにする方法で提出される、証明書申請の間に秘密鍵を

作成する信頼性のある手順

HASH ハッシュ以下のような方法で1セットのビットをもう1つの（一般により小さ

い）セットにマップする、又は解釈するアルゴリズム。

同じメッセージをインプットとして使用すると、メッセージはアルゴ

リズムが実行されるたびに常に同じ結果をもたらす。

アルゴリズムによってもたらされた結果からメッセージを導き出す、

又は再構築することは、計算上不可能である。

同じアルゴリズムを使って同じハッシュ結果をもたらす2つの異なる

メッセージを見つけることは計算上不可能である

IDENTIFICATION 本人識別エンティティの身元を確認する手順。公開鍵暗号方式の証明書により

本人識別は容易になった

INCORPORATE BY REFERENCE 参照により組み込む受取人に対し、完全な状態の組み込まれたメッセージにアクセスし

て、取得することを許す情報とともに、文書を組み込まれたものとし

て識別することにより、及び、組み込むメッセージの一部であるとい

う意図を表明することにより、ひとつの文書をもうひとつの文書一部

とすること。かかる組み込まれたメッセージは、メッセージの中で完

全に記述されたのと同じ効果を持つ

KEY GENERATION PROCESS 鍵生成手順秘密鍵/公開鍵のペアを作る信頼性のある手順。公開鍵は、証明書申

請手順の間の認証局に提出される


Version: 3.4

KEY PAIR 鍵ペア非対称暗号方式における、秘密鍵と、対応する公開鍵

NOTICE 通知本CPSに従って、認証局サービスを受領することに関与する当事者へ

の通知の結果

NOTIFY 通知する本CPS及び準拠法により必要とされた通りに、特定の情報を別の人物

に伝えること

NOTARISED TIME STAMPING 公証タイムスタンプ文書にタイムスタンプを押して、安全にアーカイブすることに使用さ

れるオンラインサービス。文書は新のテクノロジーを用いて、定期

的に再びタイムスタンプを押される

OBJECT IDENTIFIER オブジェクト識別子特定の領域内の全てのオブジェクト識別子の中で唯一である性質を

もつ、登録されたオブジェクト割り当てられることができる、連続し

た整数コンポーネント

PKI HIERARCHY PKI階層機能が権限委譲の原理に従って体系化された、上位及び下位の認証局

としてお互いに関連した認証局のセット

PRIVATE KEY 秘密鍵デジタル署名を作成するため、及びしばしば（アルゴリズムに依存し

て）対応する公開鍵と組み合わせてメッセージを解読するための数学

的な鍵

PUBLIC KEY 公開鍵対応する秘密鍵で作成された署名を検証することに使われる、パブリ

ックに利用を提供できる数学的な鍵。アルゴリズムに依存して、公開

鍵は、対応する秘密鍵で解読されることができるメッセージ又はファ

イルを暗号化することにも使うことができる

PUBLIC KEY CRYPTOGRAPHY 公開鍵暗号方式数学的に関連する暗号鍵の鍵ペアを使う暗号方式

PUBLIC KEY INFRASTRUCTURE

(PKI)

公開鍵暗号基盤（PKI）総体的に証明書にもとづく公開鍵暗号システムの業務を実装及びサ

ポートするアーキテクチャ、組織、技術、業務、及び手続

REGISTRATION AUTHORITY OR

RA

登録局あるいはRA 利用者を本人識別し、認証する責任を負うエンティティ。登録局は、

証明書を発行しない。登録局は、ただ登録局自身が本人識別を検証し

た申請者の代わりに証明書の発行を要請する

RELATIVE DISTINGUISHED

NAME (RDN)

相対識別名（RDN）エンティティを同じタイプの他者と区別する属性のセット

RELIANCE （依拠）信頼それに対する信頼を示す形でデジタル署名を受領し行動すること


Version: 3.4

RELYING PARTY 依拠当事者あらゆる行為を実行するために証明書を信頼するあらゆるエンティ

ティ

REPOSITORY リポジトリ証明書及び他の関連情報を列挙する、オンラインで利用できるデータ

ベース及び/又はディレクトリ

REVOKE A CERTIFICATE 証明書を失効する指定時間から先永久に、証明書の運用期間を終了させること

SECRET SHARE 秘密シェアスマートカード等のいくつかの物理的なトークンで分割された暗号

の秘密の一部

SECRET SHARE HOLDER 秘密シェア保有者秘密シェアを保有する人物

SHORT MESSAGE SERVICE

(SMS)

ショートメッセージサービス

（SMS）

GLOBAL SYSTEM FOR MOBILE（GSM）の通信を使用する携帯電話へ、160

文字まで（5ビットのモードを使う場合には224の文字）のメッセー

ジを送信するサービス

SIGNATURE 署名受取人によって受諾されるか、ある状況下で使用することが習慣的

な、自己を識別するために文書の起草者が採用する手法

SIGNER 署名者メッセージにデジタル署名、あるいは文書に署名をする人物

SMART CARD スマートカード特に暗号の機能を実行するためのチップを含むハードウェアトーク

ン

STATUS VERIFICATION ステータス検証 CRLを必要とせずに証明書の現在の状態を判断することに使用され

る、オンライン証明書状態プロトコル（RFC 2560）にもとづくオンラ

インサービス

SUBJECT OF A DIGITAL

CERTIFICATE

証明書のサブジェクト証明書内の公開鍵が公開鍵と対応する秘密鍵のユーザとして帰属で

きる指名された当事者

SUBSCRIBER 利用者証明書のサブジェクト、又はサブジェクトに証明書を申請するように

任命された当事者

SUBSCRIBER AGREEMENT 利用者契約パブリック証明サービスの提供のための利用者と認証局の間の契約

TRUSTED POSITION 信任された役職リポジトリへのアクセスを制限する業務を含む証明書の発行、使用、

あるいは失効への特権的なアクセスを許可する暗号の業務へのアク

セス又は制御を含む認証局内の役割

TPM TPM TRUSTED PLATFORM MODULE – TRUSTED COMPUTING GROUP.により定義

されたハードウェア暗号デバイス。


Version: 3.4

HTTPS://WWW.TRUSTEDCOMPUTINGGROUP.ORG/SPECS/TPM

TRUSTWORTHY SYSTEM 信頼性のあるシステム合理的なレベルの可用性、信頼性、及び正しい運用を規定し、セキュ

リティポリシーを施行する、セキュリティリスクに対する許容レベル

を規定するコンピュータハードウェア、ソフトウェア、及び手続

GLOBALSIGN CA

REGISTRATION AUTHORITY

GLOBALSIGN CA登録局 GLOBALSIGN CAに全ての利用者データを検証して、提供するエンティテ

ィ

GLOBALSIGN CA PUBLIC

CERTIFICATION SERVICES

GLOBALSIGN認証局のパブリッ

ク証明サービス

本CPSで規定される通り、GLOBALSIGN CA及びGLOBALSIGN CAの領域に

属するエンティティが提供するデジタルの証明システム

GLOBALSIGN CA PROCEDURES GLOBALSIGN CAの手続エンドユーザ、セキュリティ等の登録に関するGLOBALSIGN CAの内部

手続について説明する文書

WEB WORLD WIDE WEB

(WWW)

ウェブ‐‐ワールドワイドウェ

ブ（WWW）

インターネットにおける文書公開及び情報の検索のためのグラフィ

ックスベースの媒体

WRITING 書面アクセスし参照可能な情報

X.509 X.509 証明書のための ITU‐T（国際電気通信連合電気通信標準化部門）の標

準


Version: 3.4

12. 略語

13. 語 CA Certification Authority 認証局

CEN/ISSS European Standardization Committee /

Information Society Standardization System

欧州標準化委員会 / 情報社会標準化システム

CP Certificate Policy 証明書ポリシー

CPS Certification Practice Statement 認証業務運用規程

ETSI European Telecommunications Standards

Institute

ヨーロッパ電気通信標準化協会

GSCA GlobalSign Certification Authority GlobalSign認証局

IETF Internet Engineering Task Force インターネット技術タスクフォース

ISO International Standards organization 国際標準化機構

ITU International Telecommunications Union 国際電気通信連合

OCSP Online Certificate Status Protocol オンライン証明書状態プロトコル

PKI Public Key Infrastructure 公開鍵基盤

RFC Request for Comments

SSCD Secure Signature Creation Device セキュア署名生成デバイス

VAT Value Added Tax 付加価値税

GlobalSign CA Certificate Policy GlobalSign CA証明 …...GlobalSign CA Certificate Policy...

Documents

Transcript of GlobalSign CA Certificate Policy GlobalSign CA証明 …...GlobalSign CA Certificate Policy...