globalsign ca certificate policy ver 3

GlobalSign Certificate Policy 1 of 49 Version: 3.3

GlobalSign CA Certificate Policy （GlobalSign CA証明書ポリシー）本書は、GlobalSign CA Certificate Policyを日本語に翻訳したものであり、言語の違いにより、原文の

意味合いを完全に訳することができない場合があります。英語の原本と本書の間で、解釈に不一致

がある場合は、英語の原本が優先されます。

Date: February 11th, 2009

Version: v.3.3


目次

1. はじめに ......................................... 6

1.1. 概要 .......................................................................................................................................... 7 1.2. ドキュメント体系（名称等） ................................................................................................. 9 1.3. PKIの関係者 ........................................................................................................................ 10 1.4. 証明書の利用方法 ................................................................................................................. 14 1.5. ポリシー管理 ......................................................................................................................... 15 1.6. 定義と略語 ............................................................................................................................. 16

2. 公開とリポジトリの責任 .......................... 16

2.1. リポジトリへのアクセス管理 ............................................................................................... 17

3. 識別と認証 ...................................... 17

3.1. 名前決定 ................................................................................................................................ 17 3.2. 初回の本人性確認 ................................................................................................................. 17 3.3. 利用者の登録手順 ................................................................................................................. 18 3.4. 失効申請時の本人性確認と認証 ........................................................................................... 19

4. 証明書のライフサイクルに対する運用上の要件 ...... 19

4.1. ルート証明書の証明書申請 .................................................................................................. 20 4.2. 証明書申請手順 ..................................................................................................................... 20 4.3. 証明書発行 ............................................................................................................................. 20 4.4. 証明書生成 ............................................................................................................................. 20 4.5. 証明書の受領 ......................................................................................................................... 20 4.6. 鍵ペアと証明書の用途 .......................................................................................................... 21 4.7. 証明書の更新 ......................................................................................................................... 22 4.8. 証明書の失効 ......................................................................................................................... 22 4.9. 証明書のステータス確認サービス ....................................................................................... 23 4.10. 利用の終了 ........................................................................................................................ 23

5. 設備上、運営上、運用上の管理 .................... 23

5.1. 物理的管理 ............................................................................................................................. 23 5.2. 手続的管理 ............................................................................................................................. 24 5.3. 人事的管理 ............................................................................................................................. 24 5.4. 監査ログの手続 ..................................................................................................................... 25 5.5. 記録のアーカイブ ................................................................................................................. 26 5.6. 危殆化、及び災害からの復旧 ............................................................................................... 27 5.7. 認証局又は登録局の終了 ...................................................................................................... 27

6. 技術的セキュリティ管理 .......................... 27

6.1. 鍵ペアの生成、及びインストール ....................................................................................... 27 6.2. 鍵ペアの再生成と再インストール ....................................................................................... 28 6.3. 秘密鍵の保護、及び暗号モジュール技術の管理 ................................................................. 29


6.4. その他の鍵ペア管理 .............................................................................................................. 30 6.5. 活性化データ ......................................................................................................................... 30 6.6. コンピュータのセキュリティ管理 ....................................................................................... 30 6.7. ライフサイクルの技術上の管理 ........................................................................................... 30 6.8. ネットワークセキュリティ管理 ........................................................................................... 31

7. 証明書、CRL、及びOCSPのプロファイル ............ 31

7.1. 証明書プロファイル .............................................................................................................. 31 7.2. CRLプロファイル ................................................................................................................ 31 7.3. OCSPプロファイル ............................................................................................................. 32 7.4. タイムスタンププロファイル ............................................................................................... 32

8. 準拠性監査とその他の評価 ........................ 32

8.1. 監査の頻度あるいは条件 ...................................................................................................... 32

9. 他の業務上の問題、及び法的問題 .................. 33

9.1. 料金 ........................................................................................................................................ 33 9.2. 財務的責任 ............................................................................................................................. 33 9.3. 業務情報の機密性 ................................................................................................................. 34 9.4. 個人情報のプライバシー保護 ............................................................................................... 35 9.5. 知的財産権 ............................................................................................................................. 35 9.6. 表明保証 ................................................................................................................................ 36 9.7. 無保証 .................................................................................................................................... 40 9.8. 責任の制限 ............................................................................................................................. 41 9.9. 補償 ........................................................................................................................................ 41 9.10. 期間と終了 ........................................................................................................................ 42 9.11. 関係者間の個別通知と連絡 .............................................................................................. 42 9.12. 改訂 .................................................................................................................................... 42 9.13. 紛争解決手続 ..................................................................................................................... 42 9.14. 準拠法 ................................................................................................................................ 43 9.15. 適用法の遵守 ..................................................................................................................... 43 9.16. 雑則 .................................................................................................................................... 43

10. 定義語 ........................................ 44

11. 略語 .......................................... 49


文書履歴配布先表バージョン日付名前と役職実施事項 V2.0 30.06.05 Andreas Mitrakas Second version V2.1 26.1.07 Johan Sys Distributed to Policy Board V2.2 19.6.07 Johan Sys Distributed to Policy Board V2.3 14.11.07 Steve Roylance Distributed to Policy Board V3.0 17.12.07 Steve Roylance Distributed to Policy Board V3.1 18.04.08 Steve Roylance Distributed to Policy Board V3.2 05.12.08 Steve Roylance Distributed to Policy Board V3.3 11.02.09 Steve Roylance Distributed to Policy Board 文書変更管理バージョンリリース日著者ステータスと説明 V2.0 30.06.05 Andreas Mitrakas Second version 05.09.05 Jean‐Paul Declerck Final version V 2.1 26.1.07 Johan Sys Added GlobalSign Root CA R2 V 2.2 19.6.07 Johan Sys Small administrative update V2.3 14.11.07 Steve Roylance Administrative update V3.0 17.12.07 Steve Roylance Final version V3.1 20.05.08 Steve Roylance Modification of RootSign to TrustedRoot V3.2 16.12.08 Steve Roylance Registered GlobalSign Logo and removal of

suspension V3.3 11.02.09 Steve Roylance Support for TrustedRoot TPM


謝辞このGlobalSignCA CPは、以下の業界標準を全部又は部分的に支持する：

• CWA 14167‐1 (March 2003): security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements

• CWA 14167‐2 (March 2002): security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO‐PP)

• RFC 3647: Internet X.509 Public Key Infrastructure – Certificate Policies and Certification Practices Framework (obsoletes RFC 2527)

• RFC 5280: Internet X.509 Public Key Infrastructure ‐ Certificate and CRL Profile • RFC 3039: Internet X.509 Public Key Infrastructure ‐ Qualified Certificates Profile • RFC 2560: X.509 Internet Public Key Infrastructure ‐ Online Certificate Status Protocol – OCSP • RFC 3279: Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate

and CRI Profile • ETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificates • ETSI TS 101 862: Qualified certificate profile • ETSI TS 101 042: Policy requirements for certification authorities issuing public key certificates

(Normalized level only) • The ISO 1‐7799 standard on security and infrastructure

上記に引用したCWA 14167‐1及びCWA 14167‐2は、2003年7月14日の委員会決定において、欧

州議会及び欧州理事会の1999/93/EC指令に従った電子署名製品のための、一般的に承認された標

準の参照番号による公布として発表された。本CPは、上記の標準の要件への適合の評価のために提出された。本CPは、以下のスキームの要件

に従って評価される。 • AICPA/CICA, WebTrust Program for Certification Authorities • AICPA/CICA, WebTrust For Certification Authorities – Extended Validation Audit Criteria

本CPは、上記のスキームの要件に適合することを意図している。適合した日付は、GlobalSignのウ

ェブサイトで公表される。 GlobalSign®およびGlobalSignのロゴは、GMOグローバルサイン株式会社（GlobalSign K.K.）の登録商標である。


1. はじめにこのGlobalSign認証局（以下、「GlobalSignCA」）の証明書ポリシー（以下、「CP」）は、GlobalSign が管理するトップルート配下において発行される電子証明書の発行と管理に関する GlobalSign CA の

サービスに適用する。トップルート証明書は、エンドエンティティ証明書と同様に、認証局の証明

書階層を管理するのに使用される。本 CP は、 GlobalSign CA リポジトリ

（https://www.globalsign.com/repository/）に掲載し、適宜更新する。

証明書ポリシーとは、「共通のセキュリティ要件をもつ特定の団体、あるいはアプリケーション類に

対して、証明書が適用可能かどうかを示すものとして指定された規範」である。本 CP は、広義の

証明書ポリシーであり、2003年11月に Internet Engineering Task Force（以下、「IETF」）が作成し

たRFC 3647に定められた章・節・項の構成に従って記述している。IETFが公開するRFCは、電子

署名と証明書管理の分野での標準的な業務の実施の面で、権威ある手引きである。本 CP では、章

タイトルの多くはRFC 3647の構成に準じている一方、そこで取り上げられた議題で、GlobalSign CA証明書管理サービスに必ずしも実装していないものがある。これらのセクションは、この文書から

取り除いた。追加で記載すべき情報がある場合は、標準的な構成に小項目を書き加えて提示してい

る。RFC 3647の書式に合わせることで、GlobalSign CAと他のサードパーティ認証局とのマッピング

と相互運用性を拡張・促進させ、また証明書に信頼を置く者（以下、「依拠当事者」）に対して、

GlobalSign CAの業務手続を事前に知ることを促進する。本CPでは、採用する標準に関する表明を、

謝辞の章に記載している。本 CPは、特定のサービスにおける、GlobalSign CAが発行するオフライン証明書ソリューションの

全ライフサイクル間の、認証局の技術的、手続上の、人事ポリシーと業務手続について取り扱う。本CPに関するGlobalSign CAの認定スキームへの適合性に関する情報、他の問合せを希望する場合

には、以下へ送付すること。

GlobalSign CAは、GlobalSign NV/SAが営業活動の一環として運用している。本CPは、トップレベル

証明書を発行する認証局の要件を取り扱う。トップレベル証明書は、ルート証明書、又はアンカー

証明書とも呼ばれる。GlobalSign CAは、その異なる階層レベルにおいて、他の証明書タイプも発行

する。より多くの情報は、http://www.globalsign.com/repository/から入手できる。本CPは、GlobalSignが提供する認証局チェーンサービスに関連するオフラインソリューションの全

ての事例に適用される。本CPは、例えば、エンドエンティティ証明書のような、GlobalSign階層の

も下位のレベルで発行される証明書の証明書パス検証に関係する事例にも適用される。

GlobalSign NV attn. Legal Practices, Ubicenter, Philipssite 5 B‐3001 Leuven, Belgium. Tel:+ 32 (0)16 891900 Fax: + 32 (0) 16 891909 Email: [email protected] URL: www.globalsign.com


本CPは、終であり、GlobalSign NV/SA（所在地：Ubicenter, Philipssite 5, B‐3001 Leuven、VAT登録

番号BE0459. 134.256、商業登記番号BE 0.459.134.256 RPR Leuvenの会社法人。以下、「GlobalSign」）そして、利用者及び/又は依拠当事者として、GlobalSign CA が提供する証明サービスを、利用し、信頼を置

く、又は置こうとする者を拘束する。本CPは、利用者が利用者契約を承認することで、利用者に対して有効かつ拘束力を持つ。本CPは、

認証局チェーンサービスを希望する利用者に対しては、利用者がGlobalSignとの認証局チェーン契

約書を締結することで、ライセンスにもとづいて GlobalSignが所有又は管理するルートに対して有

効となる。また、本CPは、依拠当事者がGlobalSign証明書に関する要求をただGlobalSignディレク

トリに送信するだけで、依拠当事者に対して拘束力を持つ。利用者は、利用者契約の受諾を通して、

依拠当事者が本CPに拘束されることを通知する義務を負う。

1.1. 概要

本CPは、GlobalSign自身の手続の下に発行されるトップレベル又はルート証明書の管理を取り扱う、

GlobalSign CAの特定領域に適用される。本CPの目的は、GlobalSignの証明書管理の業務手続を示し、

上記の標準に準じた（現時点で追求している形式認定の枠組みにおいて監査された通り）GlobalSign自身の手続に従って、トップルート証明書の発行に付随する要件への適合性を実証することである。

本CPは、前述の領域にのみ適用し、その他は除外する。本CPは、GlobalSign CAによる、エンドエ

ンティティ用のクライアント証明書を発行する別の認証局を通じた証明サービス提供の促進を狙っ

ている。この証明書タイプは、GlobalSign TrustedRoot又はTrustedRoot TPMと呼ばれる。本CPは、証明書の使用、信頼、管理等、GlobalSignトップレベルのルート証明書のライフサイクル

に関与する全てのエンティティの役割と義務と業務を、明確に規定する。本 CP は、GlobalSign の

GlobalSignトップルートの下での証明書の発行、使用及び管理の要件を説明する。トップのルート認証局として、GlobalSignは、http://www.globalsign.com/repository/に公開する業務

手続に従って証明書階層を管理する。本CPの目的は、“遵守すべきこと”を提示することであり、従って、GlobalSign製品とサービスに関

する広義の運用規定を定めたものといえる。かかるレベルは、一般的に、証明書のライフサイクル

管理における信頼レベルを保証したいエンティティが定義する。GlobalSign CPは、エンドエンティ

ティ証明書の分野だけではなく、トップルート証明書に焦点をあてた GlobalSign証明書の全ての申

請領域の要件を取り扱う。 GlobalSign認証業務運用規定（以下、「CPS」）が本CPを補完し、“認証局がどのようにCPを遵守す

るか”を提示する。そうする中で、CPSは、エンドユーザに認証局が管理する証明書の生成と維持に

ついての広く行われている手順と手続、及び広く行われている総体的な条件の大要を提供する。

GlobalSignは、一般的なエンティティの証明書について、CPSを整備する。 CP、CPS に加え、GlobalSign は、以下のような一連の隣接のポリシー文書を（これらに限定せず）

保持する。 • 保険に関する議題を取り扱うGlobalSignワランティポリシー • 個人データの保護に関するGlobalSignデータ保護ポリシー


• 事業継続 • セキュリティポリシー • 人事ポリシー • 鍵管理ポリシー • 登録手続 • その他

GlobalSign CA証明書の利用者又は依拠当事者は、GlobalSignルート認証局の一般的な運用に関する

説明を読むためだけではなく、GlobalSignルート認証局が発行する証明書の信頼を確立するために、

本 CP を必ず参照しなければならない。トップルート認証局とオペレーショナル・ルートを含む

GlobalSign証明書階層の証明書チェーン全体の信頼を、本CPでの表明にもとづいて確立することは、

非常に重要である。適用できる全ての GlobalSignポリシーは、継続的な監査と承認されたサードパーティによる精査を

前提としている。要求に応じて、追加の情報も提出することができる。本CPを適用するGlobalSign CA証明書の正式名称は以下の通りである。

• GlobalSign Root CA* • GlobalSign Root CA‐R2*

TrustedRoot**は、サードパーティ認証局に、GlobalSign CA証明書のひとつにチェーンすることを許

可するGlobalSignのサービスである。

• GlobalSign Trusted Platform Module Root CA * TrustedRoot TPM**は、サードパーティ認証局に、GlobalSign Trusted Platform Module Root CA証明書

のひとつにチェーンすることを許可するGlobalSignのサービスである。 * これらを総称してGlobalSign CAルートという。 ** これらを総称してTrustedRootという。証明書は、電子取引に参加するエンティティに、他の参加者に向け自己の身元を証明し、データに

電子署名することを可能にする。証明書によって、GlobalSign は、指定されたエンティティ（利用

者）とその公開鍵とが関連づけられることを保証する。本 CP の目的においては、エンドエンティ

ティは、GlobalSign 階層への参加を希望する、加入サードパーティ認証局である。GlobalSign 階層

に参加することもの目的は、ブラウザ等のサードパーティアプリケーションにおけるよりよい機能

性と、信頼の拡大である。GlobalSign は、サードパーティアプリケーションに、そのトップルート

を搭載することについて、指導的地位を維持するよう努める。この試みは、しかしながら、GlobalSignが将来においてその取り組みを修正し、別の戦略を模索することを妨げるものではない。GlobalSignサービスの価値をあらゆるタイミングで評価しそれによって行動することは、サードパーティ認証

局であるエンドエンティティの裁量であり責務である。証明書を取得する手続には、証明書の発行、失効、有効期限等の証明書管理の側面があると同時に、

クライアントの本人識別、命名、認証と登録を含む。GlobalSign は、証明書をかかる手続を経て発

行することで、証明書のユーザに対し、本人識別の適切な積極的確認を提供し、その公開鍵をかか


るエンティティユーザが使用しているという結びつきの肯定を付与する。この場合のエンティティ

には、状況により必要となるであろう他の認証局も含まれる。GlobalSign は、否認防止と認証に使

用できる汎用証明書も提供することができる。これらの証明書の使用は、ワランティポリシーや、

証明書が使用されるアプリケーションが課す他の制約により、特定のビジネスや契約、取引レベル

での使用に限定されることがある。本CPは、GlobalSign公開鍵基盤（以下、「PKI」）における証明書の発行局であるGlobalSign CAが維

持する。PKI にもとづく証明書管理環境において、発行局は、全てのエンドユーザ証明書が継承す

るトラスト階層を管理するエンティティである。本CPは、GlobalSign CAルートの申請期間中、GlobalSign TrustedRootの発行をつかさどる。申請期

間とは、ある認証局がGlobalSign CA証明書を発行できる期間をいう。申請期間は、GlobalSign階層

内の上位認証局からGlobalSign TrustedRootに対して発行された証明書に表示されている。本CPは、発行認証局のリポジトリ（http://www. globalsign.com/repository）にてオンライン参照が

可能である。 GlobalSign CAは、本CPに関する意見を、本書のはじめに記載した宛先で受け付ける。

1.1.1. GlobalSign TrustedRoot 本CPは、GlobalSignの証明書階層に参加することを希望する適切に認定された認証局が、GlobalSign TrustedRootを使用するための要件を取り扱う。GlobalSign 階層への参加は、GlobalSignが利害関係

者に提供する認証局チェーン制度を通じて実行される。 TrustedRoot証明書は、以下の通りである。

• GlobalSign が、業務手続と技術的実装に関するGlobalSign TrustedRootサービスの契約上、

及びポリシー上の要件に適合するサードパーティ認証局に対して、発行する。 • 認証局に対してのみ、発行する。

1.1.2. 証明書の利用方法

申請環境において、依拠当事者が認証局の識別を立証することを容易にする、通常、サードパーテ

ィ認証局の認証を可能にするGlobalSign TrustedRoot及びTrustedRoot証明書の利用方法には、若干

の制限事項がある。 GlobalSign TrustedRoot及びTrustedRoot証明書の他のあらゆる利用方法は禁止されている。

1.2. ドキュメント体系（名称等）

本書を参照するためのGlobalSignの管理下にある識別子は、以下の通りである。 1.3.6.1.4.1.4146.1.1 Extended Validation証明書ポリシー 1.3.6.1.4.1.4146.1.10 Domain Validation証明書ポリシー 1.3.6.1.4.1.4146.1.20 Organization Validation証明書ポリシー 1.3.6.1.4.1.4146.1.30 Time Stamping証明書ポリシー 1.3.6.1.4.1.4146.1.40 Client証明書ポリシー 1.3.6.1.4.1.4146.1.50 Code Signing証明書ポリシー


1.3.6.1.4.1.4146.1.60 RootSignポリシー 1.3.6.1.4.1.4146.1.70 TrustedRootポリシー 1.3.6.1.4.1.4146.1.80 Retail Industry Electronic Data Interchange Client証明書ポリシー 1.3.6.1.4.1.4146.1.81 Retail Industry Electronic Data Interchange Server証明書ポリシー 1.3.6.1.4.1.4146.1.90 TrustedRoot TPM Policy 1.3.6.1.4.1.4146.1.95 Online Certificate Status Protocol Policy

1.3. PKIの関係者

1.3.1. GlobalSign認証局

認証局は、商業的な枠組み、取引において、パブリック又はプライベート領域で使用する証明書を

発行する組織である。GlobalSign は認証局である。しばしば、認証局は発行局という用語で説明さ

れる。 GlobalSign は、あるタイプやクラスの証明書の発行において広く行われているポリシーの原案を起

草する責任を負う。本 CP が GlobalSign TrustedRoot 証明書の発行におけるポリシーである間は、

GlobalSignはポリシー当局でもある。依拠当事者が失効した証明書に関する機能の通知又は知識を取得することを確実とするために、証

明書失効リストへの適切な公開が必要である。GlobalSignはかかるリストを運用する。 GlobalSign CA チェーンサービスのサブジェクトは、GlobalSignとルートサービスの提供について無

事に契約締結をしたサードパーティ認証局である。ルート証明書は、下位認証局が発行した証明書

を信頼する前に、証明パス及び階層におけるトラストアンカーを認証することを目的として、発行

される。他のルート証明書の利使用方法は禁止されている。ルート証明書は、あらゆるパブリックな目的に使用できる。“パブリック” について、本 CPでは、

参加者同士の私法の下の自発的な同意の下につかさどられる、利用を禁じられていない認証局の間

で生じるあらゆる利用を考慮している。GlobalSign 階層の活用するためにクローズド・グループ内

で使用することも許可される。 GlobalSign CAは、あるタイプやクラスの証明書の発行において広く行われているポリシーを起草し、

実行する。GlobalSign CAは、GlobalSign CA証明書を発行することに関してのポリシー当局である。

GlobalSign CA は、 GlobalSign CAルートとその階層に属する全ての下位ルートのライフサイクルと

管理に終的な権限を持つ。 GlobalSign CAは、特定のアプリケーションで利用できる、あるいは要求される、証明書の発行、失

効、ステータス検証、及びGlobalSign TrustedRootに限らず、GlobalSign CAルートの下の証明書管理

に関する全てのサービスの可用性を保証する。また、GlobalSign CA は、GlobalSign CA ルート及び

TrustedRootの下に発行される全ての証明書タイプについて、登録システムを管理する。依拠当事者が失効した証明書に関する機能の通知又は知識を取得することを確実とするために、適

切な公開が必要である。公開は、オンラインディレクトリに公開される証明書失効リストに失効し

た証明書を含めることで明示される。発行された証明書も同様に、ディレクトリに公開される。


GlobalSign CAはかかるディレクトリを運用する。 GlobalSign CAの責任領域は、以下の活動を含む証明書ライフサイクルの全体の管理を構成する。

• 発行 • 失効 • 更新 • ステータス検証 • ディレクトリサービス

証明書ライフサイクルによって生じる業務のいくつかは、下記 1.3.2で説明するとおり、GlobalSign とのサービス契約の下に運用する選ばれたGlobalSign RAに委任される。

1.3.1.1. GlobalSign委託業者

GlobalSignは、委託業者を通して、GlobalSign CA証明書の発行、失効、更新、及びステータス検証

を含む認証局サービスを提供するために、安全な設備を運用している。GlobalSign の委託業者は、

サービス契約にもとづいて、GlobalSign へのサービスを運用している。

1.3.1.2. GlobalSignの役割

GlobalSignは、2つの別個の役割を運用する。第一に、トラストサービスの提供者として、直接又は

代理人を通じて、トラストサービスをユーザコミュニティに提供する。ここでいう代理人には、

GlobalSign が定めた契約の下に運用する登録局（RA）と呼ばれるサードパーティエンティティを含

む。第二に、GlobalSign は、パブリック、及びプライベートエンティティに対し、高い品質の、高い信

頼を得た証明書を発行するために GlobalSignの手続を共有し、適当なブランド名を使用するトラス

テッドサードパーティ（以下、「TTP」）による国際ネットワークを運用する。かかるパートナーに

は、GlobalSign との契約の下に運用される、GlobalSign 認定の認証局と登録局が含まれる。この役

割は、通常、GlobalSign CAルートとブランド名に帰属する信頼を継承しようとする他の認証局への

証明書発行に限定される。 GlobalSignの主な活動は、以下の通りである。

• PKI技術を利用した普遍的なTTPとしてGlobalSignのブランド名を確立し登録局の国際ネ

ットワークを管理する。 • GlobalSignの領域内で他の認証局と管理者、及びエンドユーザエンティティに発行された

証明書のライフサイクルを管理する。 GlobalSign のパブリック証明サービスは、電子署名の利用者の商用及び個人的な要件を取り扱うた

めに、安全な電子商取引とオンラインビジネスサービスを支援することを目標とする。

1.3.1.3. GlobalSign ルートと階層

GlobalSign は、エンドユーザ証明書の完全性と証明書で提供されるリソースの一意性を保証するた

めに、専用のルート階層を利用者に提供する。GlobalSign CAルートは、アプリケーションに搭載さ


れた GlobalSign ルートを利用する、GlobalSign や他の参加認証局が定めるレベルでのエンドユーザ

証明書の発行のような特定の目的を実現するために設置されたルート群を含む、GlobalSign トラス

トネットワークのより広い範囲に帰属する。本CPは、GlobalSignの階層のルートレベルを取り扱い、

GlobalSignサービスの一般的な条件に関する手引きを提供する。 GlobalSign CA ルートは、下位サードパーティ認証局ルートの各秘密鍵を証明するために使われた。

かかる認証局の証明書を検証することにより、GlobalSign に帰属する信頼は、認定されたサードパ

ーティ認証局ルートに拡大適用できる。

1.3.2. GlobalSign 登録局

GlobalSign CAは、指定の登録局を通じて利用者に連絡をする。登録局は、本CPの下に、証明書の

発行、失効を要請する。登録局は、認証局に証明書の生成と失効に必要なデータを提出する。 GlobalSign RAは、エンドユーザにパブリック証明書管理サービスを提供するために、利用者と情報

をやりとりする。GlobalSign RAは、 • 証明書申請の登録の受理し、評価し、承認又は拒否する。 • GlobalSign CA証明サービスに利用者を登録する。 • 発行する証明書タイプに応じて、GlobalSign CAに指定された利用者の本人識別の全段階に

参加する。 • 利用者の申請を評価するために、公式の、公証された、あるいは他の承認された文書を使

用する。 • 申請の承認の後に、GlobalSign CAに証明書を発行するよう通知する。 • 証明書の失効の手続を開始し、GlobalSign CAルートでの証明書失効を要請する。

GlobalSign RAは、GlobalSign CAによる承認と認可にもとづいて、地域で活動する。GlobalSign RAは、

本CPと文書化されたGlobalSign RAの手続を含む承認されたGlobalSign CAの業務手続に従って活動

する。特定の証明書タイプを発行するため、GlobalSign RAは、サードパーティ認証局により発行された証

明書、その他のサードパーティデータベースと情報源を信頼する必要があるかもしれない。証明書

依拠当事者は、ここに、GlobalSign CAルートの下に発行される特定の証明書タイプを管理するため

に、広く行われている適当な証明書ポリシーを参照し、具体的情報を求めることを促される。成功すれば、評価の後に、申請者組織に証明書が発行される。いくつかの登録局機能は、しばしばローカル登録局（以下、「LRA」）で実施される。LRAは、GlobalSign RAの監督と管理の下に活動する。

1.3.3. 利用者

GlobalSign TrustedRootの利用者は、GlobalSignが管理する階層内において証明書の発行を受けるこ

とを希望するサードパーティ認証局である。


GlobalSign サービスの利用者は、認証局証明書を無事に申請する自然人又は法的エンティティであ

る。利用者は、GlobalSign領域内で電子署名サービスを利用する。利用者は、以下の当事者である。

• 証明書に記載されているサブジェクトのために、GlobalSign CAと共に証明サービス提供の

枠組みを設定する。 • サブジェクト証明書に記載されている公開鍵と対応する秘密鍵の権限を持つ。

法的エンティティは、（例えば、委任された取締役等の）委任代理人により、正式に代表されていな

くてはならない。自然人である法的エンティティの利用者は、認証局チェーンサービスの利用者として条件付で受け

入れられる。これらの人物とチェーンされる認証局との関係は、正式に明らかにされ、その正当性

がGlobalSignへ提示されなければならない。サードパーティの表示を希望する場合には、GlobalSignは、ケースバイケースで取り決めをすることができるものであるが、（例えば、属性証明書又は役職

証明書等の）代替の信用証明を要求することを推奨する。利用者は、通常、証明書を発行するための身分証明に使用できる、身分証、パスポート又は同等の、

有効な本人識別書類を所有する。更なる申請組織の本人識別書類も必要である。

1.3.4. サブジェクト（利用者識別情報）

GlobalSign TrustedRootのサブジェクトは、GlobalSignが管理する階層内において証明書の発行を受

けることを希望するサードパーティ認証局である。 GlobalSign CA証明書サービスのサブジェクトは、利用者自身、又は利用者に対する契約上の義務を

通じて利用者に関係する自然人でありうる。サブジェクトは、（該当する場合）利用者が指定する領

域内での承認の下に、電子署名サービスを利用する。サブジェクトは、以下の当事者である。 • 証明書を申請する。 • 証明書内で識別される。 • 利用者証明書に記載されている公開鍵に対応する秘密鍵を持つ。

サブジェクトは、GlobalSign RA、又は指定されたサービス内で証明書を利用するために必要なサー

ビスプロバイダに登録する。サブジェクトは、証明書を申請するために、“利用者”と呼ばれる証明

書申請者を指名する。証明書申請者は、サブジェクトの代わりに行動するあらゆる自然人でありう

る。 GlobalSign CAルート証明書のサブジェクトは、GlobalSignに対し、認証局チェーンサービスを希望

するサードパーティ認証局であるところの申請組織と同じである。

1.3.5. 証明書申請者

証明書申請者は、証明書の利用者になることを希望する者である。証明書申請者は、サブジェクト

によって、サブジェクトの代わりに以下を実施するよう指名された者である。 • 証明書を申請する。 • 認証局の利用者契約に同意し受諾する。


申請者は、以下の通りである。

• 名前で示された個人である場合には、サブジェクト自身と同じである。 • サブジェクトに雇用された個人である。 • 明示的な承認にもとづいて行動する、受託業者又は下請負契約者に雇用された個人である。

1.3.6. 依拠当事者

依拠当事者は、利用者の証明書に記載された公開鍵を参照することにより検証できる証明書又はデ

ジタル署名を信頼する自然人又は法的エンティティである。例えば、GlobalSign CAのサブジェクト

から署名入り要求を受け取るGlobalSignのオペレータは、GlobalSign証明書の依拠当事者である。証明書の有効性を検証するために、依拠当事者は必ず認証局失効情報（現時点では証明書失効リス

ト（CRL）である。）を参照しなければならない。証明書の検証は、証明書に記載された情報を信頼

する前に実行される。あるいは、依拠当事者は、利用できる場合には、OCSP プロトコルを使った

自動応答を参照できる。依拠当事者は、本CPで説明された通り、特定の義務を果たす。

1.4. 証明書の利用方法

GlobalSign CA証明書の利用方法には、若干の制限がある。

1.4.1. 適切な証明書の利用

GlobalSign CAの下に発行されるルート証明書は、以下を必要とするパブリック領域の取引に使用で

きる。 • 認証 • リモートデバイスの識別の保証

エンドエンティティに利用可能になった後は、追加の利用方法は明確に指示される。認可されてい

ない利用方法は、GlobalSign CAによって、GlobalSign証明書の利用者と依拠当事者に提供された保

証の取り消しにつながる。

1.4.2. 禁止される証明書の利用

エンドエンティティ証明書の利用方法は、証明書拡張であるKeyUsageと extendedKeyUsageを使っ

て制限される。これらの拡張と一致しない証明書のどんな利用方法も承認されていない。

1.4.3. 証明書拡張

GlobalSignルート証明書の拡張は、X.509 v.3標準及びMicrosoftやNetscapeに使用されるものを含む

あらゆる他の標準で定義されている。 GlobalSignは、国際標準化機構（ISO）の定義の通りのパブリックPKIサービスのために、若干の制

約と拡張を使用する。かかる制約と拡張は、様々な役割の下にかかる利用者が識別できるように、

認証局や利用者の証明書の役割と位置づけを限定する。


KeyUsage拡張が、証明書に記載される公開鍵が使用される技術的な目的を制限する。GlobalSign自身の証明書は、証明書、証明書失効リスト、及び他のデータに署名することへのみに、鍵の機能を

制限するKeyUsage拡張を含む。証明書ポリシー拡張は、証明書の利用方法を、商業又は法における要請に限定する。GlobalSignは、

適当なように、そのパブリック証明書について、業界、政府、及び他の証明書ポリシーの増設を積

極的に支援し、参加する。

1.4.4. クリティカル拡張

GlobalSignは、発行する証明書のなかで、以下のような若干のクリティカル拡張を使う。 • 証明書のbasicConstraintとして、証明書が認証局用を意図しているか否かを示す。 • 鍵の意図された利用方法を示す。 • 認証局証明書における階層レベルの番号を示す。

1.5. ポリシー管理

GlobalSign CAは、自己の領域内の証明書サービスを管理するトップルート当局（トラストアンカー

とも呼ばれる）である。GlobalSign CAは、他のサードパーティ認証局と情報をやりとりし、認定を

求めたりする。 GlobalSign CAのポリシー管理局が、本CPを管理する。GlobalSign CAは、本CPを登録し、保全を監

視し、解釈する。GlobalSign CAは、GlobalSign CAルートの下に発行される証明書のライフサイクル

管理での運用条件を広く参照可能にする。各ルートでの運用条件は、本CPにおいて公表する。

1.5.1. 対象事項

公開された本 CP の信頼性と信用を訴え、認定と法的要件によりよく一致するための努力として、

GlobalSign は、適当なように、あるいは環境により要求され、ポリシーを修正し、更新する。かか

る新版は、CPの新版の公開の日付の30日後に、発行された証明書及びこれから発行される証

明書に対して拘束力を持つ。

1.5.2. GlobalSignポリシー管理局

GlobalSignポリシーの新バージョン及び公開された新版は、ポリシー管理局によって承認される。

現行組織体制におけるポリシー管理局は、以下に示すメンバーで構成される。 • 少なくとも1名のGlobalSignの経営陣メンバー • 少なくとも2名のGlobalSignの業務とポリシーの起草と策定に直接関与した承認された代

理人経営陣メンバーが職権により、ポリシー管理局の議長を務める。全てのポリシー管理局メンバーが、各自1票ずつ所有する。他の当事者には投票権はない。投票が

同数の場合は、ポリシー管理局議長の投票を2票と数える。


1.5.3. CPの新版の受領

ポリシー管理局によってCPの更新が承認され次第、そのCPは、GlobalSign オンラインリポジトリ

（http://www.globalsign.com/repository/）に公開される。 GlobalSign は、そのパブリックウェブサイト（http://www.globalsign.com/）に、かかる更新につい

ての通知を公開する。新版は、通達後 30 日以内に申出が受領されない限り、既存の、及び今後

の利用者に対して拘束力を持つ。かかる期間の後に、新版のCPは、以前のバージョンの本CPの下に発行された証明書の利用者及び依拠当事者を含む、全ての当事者に対し拘束力を持つ。変更により影響を受ける利用者は、通知から 15 日以内にポリシー管理局に意見を提出できる。利

用者及び管轄官庁だけが、ポリシーの変更に異議を申し立てることができる。利用者でない依拠当

事者は、異議を申し立てる権利はなく、かかる提案は受領されなかったものとみなされる。 GlobalSignは、少なくとも新の2版のCPをそのウェブサイトで公開する。

1.5.3.1. 通知を伴う変更

本CPの新版は、必要に応じて、監査人に通知される。

1.5.4. 版管理と変更の表示

変更は、CP に付与する新しいバージョン番号を通じて表示する。新しいバージョンは、整数に 0の小数を付けることにより表示される。小さな変更は、0 より大きい小数により表示される。小さ

な変更には以下を含む。 • 小さな編集上の訂正 • 連絡先の変更

1.6. 定義と略語

用語の定義リストは、本CPの終わりに記載する。

2. 公開とリポジトリの責任 GlobalSign は、発行する証明書に関する情報を、オンラインでパブリックにアクセスできるリポジ

トリに公開する権利を留保する。GlobalSign は、証明書ステータス情報を、サードパーティのリポ

ジトリに公開する権利を留保する。 GlobalSignは、本CPを含む、その業務手続、特定のポリシーの内容について一定の開示を行う文書

のオンラインリポジトリを保有する。GlobalSignは、GlobalSignリポジトリ内で、あらゆる適当な方

法により、ポリシー内の情報を提供し、公開する権利を留保する。 GlobalSignは、GlobalSign証明書の発行、使用、あるいは管理に関係する全ての当事者に対し、証明

書ステータス情報の提供に関して、パブリックにアクセスできるディレクトリに、提出された情報


を公開することを、ここに通知する。 GlobalSign は、セキュリティ制御、手続、内部的なセキュリティポリシー等の文書の特定の要素に

ついては、パブリックに提供することを差し控える。しかしながら、これらの要素は、GlobalSignが準拠する正式な認定スキームに関連する監査においては開示する。

2.1. リポジトリへのアクセス管理

GlobalSignは、パブリックリポジトリへのアクセス、ポリシー（例えば、CPや CPS）へのアクセス

を無料にするよう努力する一方、サードパーティデータベース、プライベートディレクトリでのス

テータス情報の公開のようなサービスについては、課金することがある。

3. 識別と認証 GlobalSignは、証明書の発行の前に、GlobalSign CA 又はGlobalSign RAへのエンドユーザ証明書申請

者の本人識別と他の属性し、認証する業務手続文書を保持する。 GlobalSignは、GlobalSign CAや登録局、認証局チェーンサービスを希望するエンティティを含む、

GlobalSign の基礎となる設備において運用する、又はかかる設備と相互運用するエンティティにな

ることを希望するエンティティからの申請を受理する、承認された手続及び基準を用いる。 GlobalSignは、本ポリシーにもとづいて、証明書の失効を希望する当事者の要求を認証する。 GlobalSign は、特定の名前の中の商標権の正当性評価を含め、命名業務を取り扱う適当な手続を保

持する。

3.1. 名前決定

GlobalSignは、利用者を本人識別するために、例えばX.500のDistinguished Names、RFC 822 のNames、及びX.400のNamesのように、サブジェクトに割り当てられた名前のタイプを含む、特定の命名と

本人識別の規則に従う。 TrustedRoot証明書を申請する場合、申請者の名前は、関係のある製品に関する文書と CPSにおい

て明示的に許可されていない限り、意味のあるものでなければならない。GlobalSign は、検証でき

る名前を含む申請書を提出する申請者に対し、証明書を発行する。 GlobalSign は、証明書に含めるために、商標、ロゴ、他の方法で著作権を取得した図形やテキスト

は、受理しない。

3.2. 初回の本人性確認

認証局チェーンサービスを含むGlobalSignサービスの申請者の本人識別は、GlobalSign RAが実施す

る手続文書に従って、実行される。サブジェクトフィールドにおいて識別される利用者は、GlobalSign に提示された公開鍵に対応する


秘密鍵の所有を実証しなければならない。かかる関係は、例えば、証明書要求メッセージへのデジ

タル署名により実証される。 GlobalSign は、自己のネットワークに参加し、自己の階層の下の運用することを希望する他の認証

局も受け入れる。初回の評価と GlobalSign との特定の契約締結の後に、申請認証局は、GlobalSignに、認可書、定款を含む、特定の本人識別資料を提出しなければならない。GlobalSign は、これに

関し、組織を識別するために、サードパーティデータベースへ問い合わせる権利を保有する。認証局チェーンサービスは、申請組織と GlobalSignとの間に契約が締結される限りにおいて、顧客

の直接出頭を必要としない。

3.3. 利用者の登録手順

GlobalSignは、以下を保証する。 • 利用者は、適切に本人識別され、認証されている。 • 利用者の証明書要求は、全て揃っており、正確で、正式に承認されている。

特に、

• GlobalSign は、ウェブサイト（http://www.globalsign.com/）で通知を、リポジトリ

（http://www.globalsign.com/repository/）で公開された専用のポリシーフレームワークを、

それぞれ提供する。 • GlobalSign は、利用者と契約関係を締結する前に、GlobalSign に要求を出す前に申請者が

同意しなければならない、GlobalSignは認証局チェーン契約書を用意する。 • GlobalSign のポリシーフレームワークは、GlobalSign の限定保証フレームワーク同様、本

CPで説明された通り、データ保護、消費者保護法と保証の下に限定される。 • GlobalSignは、証明書を配送するために利用するあらゆるサードパーティ登録局あるいは

外部委託代理人との、文書による契約関係を保全する。

3.3.1. 利用者の登録に使用された書類

GlobalSign、又は認定されたGlobalSign RAは、通常、適当な手段により、文書化された手続にもと

づいて、証明書の申請者の本人識別と、該当する場合あらゆる固有の属性を検証する。上記に加え

て、組織を識別するために、通常、GlobalSignは、証明された付随定款の複写、及び場合によりVAT登録証明等の更なる本人識別要素を取得する。

3.3.2. 利用者の登録に必要な情報

認証局チェーンサービスについては、必要とされる証には以下を含む。 • 利用者のフルネーム（姓名） • 同姓同名の他者とその人物を可能な限り区別するために使用される、利用者の出生日及び

出生地、国家的に認定された識別番号、又は他の属性 • 関係する法人又は他の組織エンティティのフルネームと法的地位 • 関係する法人又は他の組織エンティティのなんらかの既存の関連登録情報（例えば、会社

登録） • 利用者がその組織エンティティに関係することの証


3.3.3. 利用者の匿名性、又は仮名性

GlobalSign TrustedRoot証明書には、仮名は許可されない。

3.3.4. 利用者の登録の記録

GlobalSign は、検証に使用した文書に記載された参照番号と、その有効性に関する制限を含む、利

用者の本人識別を検証するために使用した全ての情報を記録する。 GlobalSign は、認証局チェーン契約締結の記録と、以下を含むがこれに限定しない、申請を裏付け

るあらゆる資料を保存する。 • 申請者により承認され履行された認証局チェーン契約書 • GlobalSignにより登録に使用された情報と、その後の証明書ステータスの変更が保存され

ること、及び認証局がそのサービスを終結する場合に、本CPにより要求されるのと同じ

条件の下に、サードパーティにこの情報を渡すことの承諾。 • 証明書に記載される情報が、誤りがなく、正確であること • 利用者のフルネーム • 組織背景の証拠 • 関係する法人又は組織エンティティのフルネームと法的地位 • 関係する法人又は組織エンティティのなんらかの既存の関連登録情報（例えば、会社登録） • 利用者がその組織エンティティに関係することの証

業務文書に関する法により義務付けられた通り、上記に示さされた記録は、証明書の有効期限が切

れた後、少なくとも5年以上保存する。GlobalSign RAはかかる記録を保存する。

3.4. 失効申請時の本人性確認と認証

TrustedRoot証明書の失効要求における本人識別と認証手続として、GlobalSignは、失効要求をする

利用者の署名入り依頼書を要求する。

4. 証明書のライフサイクルに対する運用上の要件サードパーティ認証局、登録局、利用者、あるいは他の参加者を含む GlobalSign領域内の全てのエ

ンティティは、証明書が有効期限切れになるか、失効されるまでの運用期間中、かかる証明書に記

載される情報の全ての変更について、GlobalSign CAに報告する継続的な義務を負う。 GlobalSign CAは、GlobalSign RAにより提出される、認証された署名入りの要求に従って、証明書を

発行し、失効する。 GlobalSign は、その業務を実施するため、サードパーティの代理人を使用することがある。GlobalSignは、GlobalSign CAにおける認証局業務に関連するサービスの提供に利用する全ての代理人の全ての

作為と不作為に対する全責任と説明責任を負う。


4.1. ルート証明書の証明書申請

ルート証明書の申請手順には、GlobalSign との認証局チェーン契約の締結が必要である。その後、

申請者は、ルート証明書に含むべき公開鍵、及び必要な登録データを、GlobalSign に安全な方法で

送付する。GlobalSign RAは、GlobalSign CAにルート証明書の発行を要請する前に、提出された信用

証明にもとづいて、申請者の本人識別を検証する。

4.2. 証明書申請手順

全ての証明書タイプについて、GlobalSign RAは証明書申請を受けて、申請者の本人識別を検証する。

続いて、登録局は証明書申請を、承認又は棄却する。申請者又はその他の当事者に、かかる承認又

は棄却について、必ずしもその正当性は説明されない。登録局は、手続を文書化し、業務に導入している。

4.3. 証明書発行

証明書申請の検証と承認の後、GlobalSign RAは、GlobalSign CAに証明書発行要求を送信する。登録局からの要請は、有効に作成され、有効な利用者データが含まれ、GlobalSign CAの仕様に形式

を合わせていれば、承認される。発行された証明書は、サブジェクトに配送される。

4.4. 証明書生成

証明書の発行及び更新に関して、GlobalSign は、全ての当事者に対し、以下に規定される条件に従

って、証明書が安全に発行されたことを表明する。 • ルート証明書を含む証明書を発行する手続は、利用者が生成した公開鍵の提出を含む関係

する登録及び証明書更新と、しっかりと関連づけられている。 • GlobalSignは、自己の領域内において、利用者に割り当てられた識別名の唯一性を保証す

る。 • 登録データの機密性と完全性は、常時、適切な手段によって保証される。 • 登録機関の認証は、その機関に発行される適切な信用証明を通じて保証される。 • 証明書要求と生成も、堅固な、テスト済の手続で支援される。 • 外部の登録サービスプロバイダを使用する場合には、本人識別を認証した、認定された登

録サービスプロバイダと、登録データがやり取りされることを検証する。 • GlobalSignはサービス及び業務の独立監査を受ける。

4.5. 証明書の受領

発行されたGlobalSign CA証明書は、認証局が発行する証明書の受領を登録局が確認した時点で、利

用者により受領されたと見なされる。発行された証明書の受領に異議を申し立てる場合は、5営業日以内に、GlobalSign CAに明示的に通


知しなければならない。それ以後は、ルート証明書は受領されたと見なされる。 GlobalSign CAは発行した証明書を公開する。

4.6. 鍵ペアと証明書の用途

鍵と証明書の使用に関する責任には、以下に示すものが含まれる。

4.6.1. 利用者による秘密鍵、及び証明書の使用

利用者の義務には、以下に示すものが含まれる。

4.6.1.1. 利用者の義務

利用者の義務には以下を含む。 1. GlobalSignリポジトリに公開された本CPの諸条件を承諾すること 2. 証明書の信頼性に重大な影響を及ぼす、提出した情報のあらゆる変更を、GlobalSign CA又

はGlobalSign RAに知らせること 3. GlobalSign CA証明書が有効でなくなった場合は、使用をやめること 4. GlobalSign CA証明書を、合理的な環境下で使用すること 5. 秘密鍵を危殆化、紛失、不正開示、改ざん、その他の不正使用から防護すること 6. 鍵を適切に保護する、事前にGlobalSignに承認された、安全なデバイスや製品を使用する

こと 7. 秘密鍵を生成、維持、キーエスクロー、破棄するために利用者が使用するパートナーまた

は代理人の作為や不作為に起因するものについて責任を負うこと 8. GlobalSign又はGlobalSignディレクトリに、法やあらゆる当事者の権利を侵害する記述を

含むいかなる資料をも提出しないこと 9. GlobalSign CA証明書の完全性に重大な影響を及ぼす事象が発生した場合、認証局証明書の

失効を要求すること 10. 証明書を不正操作から防護すること 11. CP 及び認証局チェーン契約に従って、準拠法を遵守し、許可された用途にのみ、証明書

を使用すること利用者は、常に上記に述べた認証局に対する義務を負う。利用者が、異なる名前のサブジェクトの

代わりに申請する場合には、特定の義務は申請する利用者に移り、サブジェクトからは軽減される。

代わりに、証明書ライフサイクルに影響する不測の事態が生じた場合、サブジェクトは申請する利

用者に全て通知しなければならない。かかる場合は、上記項目のうち、2、3、4、5、6、8、9、10、11の義務は、サブジェクトに適用され、申請する利用者には適用されない。

4.6.1.2. 電子証明書のライフサイクル運用要件

利用者は、認証局証明書の有効期間中における、認証局証明書に記載された情報についてのあらゆ

る全ての変更、又は証明書の有効性に重大な影響を及ぼす事実を、直接GlobalSign RAに知らせる継

続的義務を負うことを、ここに通知される。この義務は、利用者本人により、又は代理人を通じて

行使できる。


4.6.1.3. 自己責任での信頼

GlobalSign CAリポジトリに掲示される情報を評価し信頼することは、そこに掲示される情報にアク

セスする当事者自身の単独責任である。

4.6.2. 依拠当事者による公開鍵、及び証明書の使用

依拠当事者の義務は以下の通りである。

4.6.2.1. 依拠当事者の義務

証明書の依拠当事者は、以下を実施する。 • 依拠当事者に対するGlobalSign CAからの通知及び関連条件を承諾する。 • GlobalSign が公開する証明書ステータス情報（例えば、CRL 又は OCSP）を使用して、

GlobalSign CA証明書を検証し、可能な場合は少なくとも依拠当事者自身の署名ポリシーに

重大な影響を及ぼす証明書属性を検証する。 • かかる検証手続により、GlobalSign CA証明書に記載された情報が正しく、新であると検

証できたときに限り、GlobalSign CA証明書を信頼する。 • GlobalSign CA証明書を、合理的な環境下でのみ信頼する。 • 認証局証明書を、失効されていない場合のみ信頼する。 • 少なくとも依拠当事者自身の署名ポリシー又は業務に、重大な影響を及ぼす証明書属性を

検証する。

4.6.2.2. GlobalSign CAリポジトリとウェブサイトの条件

GlobalSign CA リポジトリ及びウェブサイトにアクセスする利用者及び依拠当事者を含む当事者は、

本CPの条項、及びGlobalSign CAが供する他の使用条件を承諾する。当事者は、証明書ステータス

に関する問合せを送信すること、又は以下のような情報又は提供サービスを利用又は信頼すること

により、本CPの使用条件の承諾を表明する。GlobalSign CAリポジトリの使用の結果は以下である。 • 認証局証明書の検索の結果、情報を取得すること • 証明書に含まれる公開鍵に対応する秘密鍵を使用して生成されたデジタル署名のステー

タスを検証すること • GlobalSign CAウェブサイトに公開される情報を取得すること

4.7. 証明書の更新

GlobalSign CA証明書は更新に対応していない。

4.8. 証明書の失効

失効を申請する利用者の本人識別は、内部手続にもとづいて実施される。 GlobalSignとの事前の合意を前提に、GlobalSign RAは、証明書の失効を希望する証明書の所有者の

本人識別及び認証を実施する。


失効要求は、直接以下に宛てて、あるいは GlobalSign リポジトリにある失効申請書を通じて

GlobalSign RAに提出できる。 GlobalSign, Philipssite 5, 3001, Leuven, Belgium又は [email protected] 登録局からの要請を受けて、GlobalSign CAは、次のような場合に認証局証明書を失効する。

• 証明書サブジェクトの秘密鍵の紛失、盗難、改ざん、不正開示、他の危殆化があった場合 • 証明書サブジェクト又はその指名した利用者が、本CP又は認証局チェーン契約の下の重

大な義務に違反を犯した場合 • 本CPの下の義務の履行遂行が、自然災害、コンピュータ又は通信障害、他の人による合

理的な制御を越える事象により、遅延するか、又は妨げられ、その結果、別人の情報が重

大に脅威に晒され、又は危殆化した場合 • 証明書に含まれる、証明書サブジェクトの情報の変更があった場合

GlobalSign RAは、要求当事者の本人識別を検証し、本CPに要求される手続に従って要求が提出さ

れたことを確認し次第、直ちに証明書の失効を要求する。本人識別の検証は、利用者がGlobalSign RAに提出した本人識別データに記載される情の要素を通じて行われる。GlobalSign RAからの要請を受

けて、GlobalSign CAは、直ちに証明書を失効する。

4.9. 証明書のステータス確認サービス

GlobalSign CAは、CRL、OCSP、及び適当なウェブインタフェースを含む、証明書ステータス確認サ

ービスを提供する。

4.10. 利用の終了

利用者の加入は、認証局証明書が失効され、有効期限切れになり、又はサービスが終了した際に、

終了する。

5. 設備上、運営上、運用上の管理このセクションでは、鍵生成、サブジェクトの認証、証明書発行、証明書失効、監査、及びアーカ

イブの機能を実施するためにGlobalSign CAが使用する、技術的でないセキュリティ管理について説

明する。

5.1. 物理的管理

GlobalSign CA は、自己の、リースの、又は賃借の施設において、物理的な制御を実践している。

GlobalSign CAは、サービスを提供するために、サービスプロバイダが使用する施設において、物理

的な制御を要求する。 GlobalSign CAの基礎となる設備は、他の目的に使用される他の証明書管理の基礎となる設備と、論

理的に切り離されている。 GlobalSign CAの安全設備は、高度なセキュリティ運用に適したエリアに位置している。


物理的は、例えば、全ての認証局業務を、物理的に監視され、警報機によってサポートされ、区画

間の移動にトークンとアクセス制御リストを使用して行うことが求められる安全なコンピュータ室

に設置するように、施設のあるエリアから他のエリアへのアクセスを制御したり、高セキュリティ

区画へのアクセスを制御したりする構造を実践することにより、制限されている。 GlobalSign CAは、火災加熱への対策及び予防を実践する。メディアはセキュアに保管される。バックアップメディアも、物理的に安全で、火災損害及び水害

から守られた、離れた場所に格納される。 GlobalSign CAは、一部オフサイトバックアップを実践する。 GlobalSign CA の用地には、GlobalSign CA サービスを提供する基礎となる設備を収容する。

GlobalSign CAの用地では、アクセス制御、侵入検知、及び監視を含む適切なセキュリティ管理を実

践する。この用地へのアクセスは、監査対象であるアクセス制御リストに記載された任命された者

に制限される。

5.2. 手続的管理

GlobalSign CAは、スタッフの信頼性と適性の合理的な保証、及び電子署名関連の技術の分野におけ

るその義務の十分な遂行を提供する人事及び経営実務を実施する。 GlobalSign CAは、個人データの機密性と保護について、対策を講じる。鍵管理業務の管理者、セキュリティオフィサー、システム監査人、他のかかる業務に重大な影響を

及ぼす全てのスタッフは、信任された役職を務めていると見なされる。 GlobalSignは、信任された役職につくスタッフの審査を実施する。 GlobalSignは、実行された行為の全ての実行者について、説明責任を追求する。 GlobalSign CAは、重要な認証局機能には、相互牽制を実装する。

5.3. 人事的管理

5.3.1. 資格、経験及び身分の要件

GlobalSign CAは、特定の任職における適性において実行を必要とされる身元、資格及び経験を証明

するための検査を行う。身元調査には、以下を含む。 • 志望者による詐称 • その他、必要と思われるあらゆるもの


5.3.2. 研修要件

GlobalSign CAは、登録局、認証局機能を実行するために、その要員に研修を提供する。

5.3.3. 再研修の頻度及び要件

定期的な再研修も、要員と手続についての知識の継続性と新状態を確実とするために実施される。

5.3.4. 認められていない行動に対する制裁

GlobalSign CAは、認められていない行動、認められていない権限の使用、認められていないシステ

ムの使用をした要員に対し、その事情の下で適当であるように、参加者の要員に説明責任を課すた

めに、制裁を加える。

5.3.5. 独立した契約者の要件

請負業者及びその要員は、GlobalSign CAの要員と同じプライバシー保護と守秘義務条件の対象であ

る。

5.3.6. 要員に提供する資料

GlobalSign CA及び登録局は、初回研修と再研修、その他の間、要員に対し資料を提供する。

5.4. 監査ログの手続

監査ログの手続には、安全な環境を維持する目的で実装された、イベントログと監査システムを含

む。GlobalSign CAは、以下の管理を実装する。 GlobalSign CAは、以下を含むがこれに限定しない、記録イベントを監査する。

• 証明書の発行 • 証明書の失効 • CRLの公開

監査証跡記録は以下を含む。

• 業務の識別 • 業務の日時 • 業務に関与した証明書の識別 • 業務を実施した人物の識別 • 業務の要請の参照

監査に必要とされる文書は以下を含む。

• 基礎となる設備の計画と説明 • 物理的な用地計画と説明 • ハードウェア及びソフトウェアの設定 • 要員のアクセスリスト


GlobalSign CAは、指命された要員が、一定の間隔でログファイルを点検し、異常事象を検知し、報

告することを確実とする。 GlobalSign CA、登録局の任命された者、及び指定された監査人による検査のために、ログファイル

及び監査証跡はアーカイブされる。ログファイルは、アクセス制御機構により、適切に保護される

べきである。ログファイル及び監査証跡はバックアップされる。監査イベントには、ログ通知が与えられない。

5.5. 記録のアーカイブ

GlobalSign CAは、以下の項目についての内部記録を保持する。 • 認証局証明書について、証明書の有効期限切れ後、長10年間 • 認証局証明書の発行に関する監査証跡について、証明書の発行後、5年間 • 認証局証明書の失効に関する監査証跡について、証明書の失効後、5年間 • CRLについて、証明書の有効期限切れ後、又は失効後、少なくとも5年間 • 認証局証明書の発行の裏付け資料について、証明書の有効期限切れ後、5年間

GlobalSign CAは、取り出しのできるフォーマットでアーカイブを保存する。

5.5.1. アーカイブされる記録の種類

GlobalSign CAは、GlobalSign CA証明書、監査データ、証明書申請情報、ログファイル、及び証明書

申請の裏付け資料の記録を、信頼性のある方法で保持する。

5.5.2. アーカイブ保持期間

GlobalSign CAは、認証局証明書の記録を、有効期限切れ後、又は失効後、長 10年間、信頼のあ

る方法で保持する。

5.5.3. アーカイブの保存方法

アーカイブの保護の条件は、以下を含む。記録の管理者（記録保持の職務に任命されたスタッフ）だけが、アーカイブを閲覧出来る。

• データをライトワンスのメディアに保管する等、アーカイブが修正されないよう保護する。 • アーカイブが削除されないよう保護する。 • 新しいメディアに定期的にデータを移行するという要件等、アーカイブが保管されている

メディアを劣化から保護する。

5.5.4. アーカイブの情報を入手し検証する手続

アーカイブ情報を取得し、検証するために、GlobalSign CAは、明快な階層管理と限定的な職務明細

の下に、記録を保持する。


GlobalSign CAは、記録をコンピュータ上の、又は紙面上の形式で保持する。GlobalSign CAは、登録

局、利用者、又はその代理人に、本要件を支援するたに、適当に書類を提出するように要求するこ

とがある。ファイリングの期間は、有効期限切れ、又は失効の日か始まる。かかる記録は、コンピュータ上の、

紙面上の形式、又はGlobalSign CAが適当と考える他の形式で保持される。 GlobalSign CAは、認定要件に適合するために必要となるに応じて、記録の保持期間を変更すること

がある。

5.6. 危殆化、及び災害からの復旧

別の内部文書に、GlobalSign CAは、適用されるインシデント及び危殆化の報告、取り扱い手続を文

書化する。GlobalSign CA は、コンピューティング資源、ソフトウェア、及び/又はデータが破損し

たか、破損したことが疑念われた場合に使用する復旧手続を文書化する。 GlobalSign CAは、天災、サーバ、ソフトウェア又はデータの破損の場合等、障害のタイプに応じた

適当な期間内でのサービスの完全復旧を確実とするために必要な基準を定める。

5.7. 認証局又は登録局の終了

認証局としての活動を終了する前に、GlobalSign CAは、GlobalSign CAの自己負担で、指定された組

織に以下の情報を、段階を踏んで譲渡する。 • GlobalSign CAに関する全ての情報、データ、文書、リポジトリ、アーカイブ、監査証跡。

6. 技術的セキュリティ管理このセクションでは、暗号化鍵及び活性化データ（例えば、PIN、パスワード、相互鍵シェア）を

保護するために、GlobalSign CAが採用するセキュリティ対策を説明する。

6.1. 鍵ペアの生成、及びインストール

GlobalSign CAは、本CPに従って、その秘密鍵を保護する。特定の証明書タイプについては、GlobalSign CAは、これらの各鍵の使用目的に従って、CRL及びOCSPレスポンスに署名するためだけに、秘密

署名鍵を使用する。 GlobalSign CAは、GlobalSign CA内で使用される秘密鍵を、GlobalSign CAの範疇外であるあらゆる方

法で使用することを差し控える。

6.1.1. GlobalSign CA秘密鍵の生成

GlobalSign CAは、文書化された手続に従って、そのルート秘密鍵の生成に、信頼性のある手順を用

いる。GlobalSign CAは、その秘密鍵の秘密シェアを配布する。


6.1.1.1. GlobalSign CA秘密鍵の利用方法

GlobalSign CAの秘密鍵は、GlobalSign CAが発行した証明書、GlobalSign CAの証明書失効リスト、及

びOCSPレスポンスへの署名に使用される。その他の利用方法は禁止されている。

6.1.1.2. GlobalSign CA秘密鍵のタイプ

使用する認証局ルート鍵については、GlobalSign CAは、鍵長2048ビット、少なくとも14年の有効

期間で、RSAアルゴリズムを使用する。使用するオペレーショナル認証局の鍵については、GlobalSign CAは、鍵長2048ビット、長14年までの有効期間で、RSAアルゴリズムを使用する。

6.1.2. GlobalSign CA鍵ペアの生成

GlobalSign CAは、信頼性のあるシステムを使用して、その秘密鍵を安全に生成、保護し、その危殆

化や認められていない利用方法を防ぐために必要な予防措置を講じる。GlobalSign CAは、本CPに一致する鍵生成手続を実装し、文書化する。鍵生成は、証明書発行の目的に適すると広く認められているアルゴリズムを使用して実行される。

GlobalSign CAは、RSA SHA‐1を使用する。認証局の署名鍵として選択された鍵長とアルゴリズムは、認証局により発行される証明書の目的に

適すると広く認められている。

6.2. 鍵ペアの再生成と再インストール

GlobalSign CAは、過去に使用された全ての鍵、使用中の耐タンパデバイス、及びバックアップされ

た、又はキーエスクローされた秘密鍵の複写を、廃止し、破棄する。

6.2.1. GlobalSign CA鍵生成のデバイス

GlobalSign CAの秘密鍵の生成は、安全な暗号デバイス内で行われる。

6.2.1.1. GlobalSign CA鍵生成の管理

GlobalSign CAの秘密鍵の生成は、信任された役職を務める、適切に認定された2名以上のスタッフ

による管理を必要とする。この行為は、相互牽制を伴う。

6.2.2. GlobalSign CA秘密鍵の保管

GlobalSign CAは、適当な ISOの要件に適合して、秘密鍵を保管する安全暗号デバイスを使用する。署名生成デバイスの外では、GlobalSignの証明書用の秘密署名鍵は、常に暗号化されている。


6.2.2.1. GlobalSign CA鍵保管の管理

GlobalSign CAの秘密鍵の保管は、信任された役職を務める、適切に認定された複数名のスタッフに

よる管理を必要とする。この行為は、相互牽制を伴う。

6.2.2.2. GlobalSign CA鍵のバックアップ

GlobalSign CA の秘密鍵は、信任された役職を務める、適切に認定された複数名のスタッフにより、

バックアップされ、保管され、復元される。この行為は、相互牽制を伴う。

6.2.2.3. 秘密シェア

GlobalSign CAの秘密シェアは、秘密鍵の信頼性を守り、強化し、また鍵の復元を供するために、複

数の認定された保持者を用いる。GlobalSign CA は、複数の耐タンパデバイスに秘密鍵を保管する。

この行為は、相互牽制を伴う。

6.2.2.4. 秘密シェアの受領

秘密シェア保持者は、秘密シェアを受領する前に、自分自身で、その秘密シェアの生成、再生成、

配布、又はその後の保護監督の繋がりを観察しなければならない。秘密シェア保持者は、GlobalSign CAが認定したハードウェア暗号モジュール等、物理メディアに入

れた秘密シェアを受領する。GlobalSign CAは、秘密シェアの配布について、書面の記録を保持する。

6.2.3. GlobalSign CA公開鍵の交付

GlobalSign CA自身の公開鍵配布は、GlobalSign CA自身の業務手続、及びベルギー法に要求される追

加条件に従って実行される。 GlobalSign CAは、自己の秘密鍵の配布を文書化し、トークンの保管者の役割について、トークンの

保管者の交代が必要となる場合に、トークンの配布を改正できるものとする。

6.2.4. GlobalSign CA秘密鍵の破棄方法

GlobalSign CAの秘密鍵は、再び取り出し、使用されないことを確実とするために、そのライフタイ

ムの後に、少なくとも2名の信任された熟練者の出席の下に破棄される。鍵の破棄の処理は文書化され、関連する記録はアーカイブされる。

6.3. 秘密鍵の保護、及び暗号モジュール技術の管理

GlobalSign CAは、認証局の鍵管理業務を実施のするために、適当な暗号デバイスを使用する。これ

らの暗号デバイスは、ハードウェアセキュリティモジュール（以下、「HSM」）として知られる。かかるデバイスは、何よりも、デバイスへの不正かいざんが直ちに検知され、秘密鍵が暗号されず


にデバイス外に持ち出せないことを保証する、形式要件に適合する。認証局の秘密鍵を保護するハードウェア及びソフトウェアの機構は文書化される。この文書は、こ

の認証局鍵の保護機構が、保護している認証局鍵と少なくとも同等の強度であることを論証する。 GlobalSign CAの管理人は、秘密鍵を活性化、及び不活性化する業務に任命される。鍵は、その結果、

決められた期間、活性化される。 GlobalSign CAの秘密鍵は、ライフタイムの後に破棄される。

6.4. その他の鍵ペア管理

GlobalSign CAは、自己の公開鍵をアーカイブする。GlobalSign CAは、かかる証明書に表示される使

用期間の、利用者証明書を発行する。

6.4.1. コンピュータの資源、ソフトウェア、又はデータが破損した場合

GlobalSign CAは、災害、サーバ、ソフトウェア、又はデータが破損した場合における、サービスの

完全復旧を確実とするために、必要な対策を規定する。もし資源又はサービスが、GlobalSign CAの管理下で保持されていない場合には、認証局は資源のオ

ーナー又はサービスプロバイダとのあらゆる契約が、災害復旧の要件に適合することを確実とする。

6.4.2. CA公開鍵の失効

もしGlobalSign CAの公開鍵が失効された場合には、GlobalSign CAは直ちに以下を行う。 • 相互認証している全ての認証局に通知する。

6.4.3. CA秘密鍵の危殆化

もしGlobalSign CAの秘密鍵が危殆化した場合には、対応する証明書は直ちに失効される。全てのエ

ンドユーザ証明書の失効を含む、更なる対策をとる。

6.5. 活性化データ

GlobalSign CAは、自己の秘密鍵と業務に関連する活性化データを、安全に保管する。

6.6. コンピュータのセキュリティ管理

GlobalSign CAは、コンピュータセキュリティ管理を実装する。

6.7. ライフサイクルの技術上の管理

GlobalSign CAは、定期的な開発管理、及びセキュリティ管理制御を実施する。


6.8. ネットワークセキュリティ管理

GlobalSign CAは、ファイアウォールを含む、システムセキュリティの上位のネットワークを保守す

る。ネットワークへの不正侵入は検知される。特に、 • GlobalSign CAは、登録局との接続を、専用の管理用の証明書を用いて、暗号化する。 • GlobalSign CAのウェブサイトは、証明書にもとづくセキュアソケットレイヤー（SSL）接

続、及びウィルス対策を備える。 • GlobalSign CAのネットワークは、マネージドのファイアウォールと侵入検知システムで保

護される。 • 認証局のネットワーク外からGlobalSign CAデータベースへのアクセスは禁止される。 • 情報のリクエストと配送のためのインターネットセッションは暗号化される。

7. 証明書、CRL、及びOCSPのプロファイルこの章では、証明書フォーマットと、CRLとOCSPフォーマットの明細を記述する。

7.1. 証明書プロファイル

GlobalSign CAは、エンドユーザ証明書の証明書プロファイルを、正式かつ正当な要求に応じて開示

する。

7.2. CRLプロファイル

GlobalSign CAは、独立した技術文書に、使用するCRLプロファイルの記録を保持する。この文書は、

利害関係を明らかにする当事者の要求に応じて、GlobalSign CAの裁量で開示する。 IETF PKIXのRFC 2459に適合しながら、GlobalSignは、以下に準拠するCRLに対応する。

• CRLのためにサポートするバージョン番号、及び • CRL及びCRLエントリ拡張の投入、及びそのクリティカル性

GlobalSignの証明書失効リストのプロファイルは、以下の表の通りである。

Version [Version 1]

Issuer Name CountryName=[Root Certificate Country Name]

organizationName=[Root Certificate Organisation]

commonName=[Root Certificate Common Name]

[UTF8String encoding]

This Update [Date of Issuance]

Next Update [Date of Issuance + 3 hours]

Revoked CRL Entries


Certificates Certificate Serial Number [Certificate Serial Number]

Date and Time of Revocation [Date and Time of Revocation]

7.3. OCSPプロファイル

GlobalSign CAは、独立した技術文書に、使用するOCSPプロファイルの記録を保持する。この文書は、利害関係を明らかにする当事者の要求に応じて、GlobalSign CAの裁量で開示する。

7.4. タイムスタンププロファイル

GlobalSign CA は、独立した技術文書に、使用するタイムスタンププロファイルの記録を保持する。

この文書は、利害関係を明らかにする当事者の要求に応じて、GlobalSign CAの裁量で開示する。

8. 準拠性監査とその他の評価 GlobalSign CAは、パブリックに開示しない、業務手続の監査を、条件下で受諾する。GlobalSign CAは、場合により実装する前に、かかる監査の結果を更に検討し、評価する。範囲及び内容に関する独自の承認の後に、GlobalSign CAは、本CPに従った要件、標準、手続、サ

ービスレベル、及び、適合していると公言している認定スキームへの適合性を保証するために、こ

の適合監査を受諾する。

8.1. 監査の頻度あるいは条件

GlobalSign の認定スキームの要件への適合性に関する情報は、かかる認定スキームの組織に直接求

めることができる。 GlobalSignは無事に監査され、現在のところ、WebTrust for CAとして知られる認定スキームの要件

に適合している。GlobalSign CAは、この認定を維持しようとする。 GlobalSignは、本CPに従った要件、標準、手続、及びサービスレベルへの適合性を保証するために、

適合監査を受諾する。GlobalSign CAは、パブリックに開示しない業務手続の監査を、守秘義務、企

業秘密等の特定の条件下で受諾する。かかる監査は、GlobalSign が義務を負う当事者により、直接

又はその代理人を通じて実行される。認証局は、更に実装したり公開したりする前に、かかる監査の結果を評価する。

8.1.1. 監査手順の要件

監査を実行するために、直接的にも間接的にも、多少なりとも GlobalSignと提携関係になく、また

それについて利害の不一致もない、任命された独立監査人がいる。監査は、以下を含むがこれに限定しない範囲で実行される。

• GlobalSignの業務手続及び原則の、本CPに規定されているサービスレベルへの適合性


• 認証局サービスを実装する基礎となる設備の管理 • 物理的用地の基礎となる設備の管理 • 本CPの遵守 • 関連法の遵守 • 合意されたサービスレベルの実行 • 監査証跡、ログ、関連文書等の検査 • 上記の条件に適合できなかったことの原因

適合監査に関して、GlobalSign は、以下のセクションに記載されたものを含め、証明書業務を実行

するために使用するあらゆる下請業者の業務遂行について、責任を負う。

8.1.1.1. 業務委託

分散する電子商取引サービスプロバイダとユーザである人々の多様な証明ニーズにより良く対応す

るために、GlobalSign は、証明及び登録を含む PKI に関連する特定のサービスを実行するのに、適

切に選定された提携先と協力する。GlobalSign は、そのサービスの実行の特定の局面を、一部又は

全部、外部委託することがある。証明書ライフサイクル又は業務の特定の部分を管理するよう選択

されたパートナー又は代理人にかかわらず、GlobalSign は、全ての手順について、終的に責任を

負い続ける。GlobalSignは、本CPの条件に従って、その責任を限定する。

8.1.1.2. セキュアデバイスと秘密鍵の保護

GlobalSign は、安全に証明書を発行し、管理し、保管するために、セキュアデバイスと耐タンパ機

器の使用を支援する。GlobalSign は、秘密鍵の危殆化を防ぐために、認定された信頼性のあるハー

ドウェアを使用する。

9. 他の業務上の問題、及び法的問題このセクションで説明される通り、本CPの下にGlobalSign CA証明書の発行に特定の法的条件が適

用される。

9.1. 料金

GlobalSign CA証明書の発行及び管理は、依頼に応じて発行された見積もりを前提とする。

9.1.1. 返金ポリシー

GlobalSignは、返金の請求を文書で受領する。返金の請求は、正式に正当性を立証され、GlobalSignの法務担当者に送付されなければならない。GlobalSignは、GlobalSignが提供する保証の枠内で請求

されない限り、承認又は許諾して返金する権利を保有する。

9.2. 財務的責任

GlobalSignは、本CPの下に認識される義務を満たすため、十分な資源を保持する。GlobalSign CAは、

“現状有姿で”本サービスを提供する。


9.3. 業務情報の機密性

GlobalSignは、本CPで説明される通り、個人データのプライバシー規則及び機密保持規定を遵守す

る。機密情報には以下を含む。 • 証明書に含まれるもの以外の、利用者についての個人を識別できる情報 • 証明書ステータス情報に含まれるもの以外の、認証局証明書の失効理由 • 監査証跡 • 認証局サービスに関する通信 • 認証局秘密鍵

以下の項目は、機密情報ではない。

• 証明書、及びそのコンテンツ • 証明書ステータス

GlobalSign は、以下のいずれかを明確にした、認証され正当化された請求がない限り、いかなる機

密情報も開示し、又は開示するよう要求されない。 • GlobalSignが情報を機密に保つ義務を負う当事者が、かかる情報の請求者であること。 • 裁判所の命令。

GlobalSignは、かかる開示を処理する事務手数料を請求することがある。機密情報を請求し、受領する当事者は、それを請求した目的で使用し、危殆化から保護し、他のサ

ードパーティへの使用と開示をしないことを前提に許可を与えられている。

9.3.1. 開示条件

機密でない情報は、以下の条件の下に、あらゆる利用者及び依拠当事者に開示されうる。 • 利用者又は依拠当事者からの問合せ毎に、一つの証明書だけが提供される。 • 利用者又は依拠当事者からの問合せ毎に、一つの証明書ステータスだけが提供される。 • 利用者は、認証局が持つ自己の情報を閲覧できる。

機密情報は、利用者にも依拠当事者にも開示されてはならない。GlobalSign CAは、認証局の要員に

対する情報の開示を適切に管理する。 GlobalSign CAは、以下により、情報の開示を請求するあらゆる当事者に対し、自己が本物であるこ

とを証明する。 • 利用者又は依拠当事者からの請求の際に認証用証明書を提示する。 • OCSPリクエスト及びCRLへの応答に署名する。

GlobalSign CAは、以下を含む、機密情報のやり取りを暗号化する。

• 認証局と登録局の間の通信リンク • 証明書、及び証明書ステータス情報を配送するセッション

参照により情報を組み込むために、GlobalSign CAは、URL等を含むコンピュータベース又はテキス


トベースのポインタを使用する。

9.4. 個人情報のプライバシー保護

GlobalSign CAは、GlobalSign CA証明書を申請する申請者の個人データの保護に、ウェブサイトを通

じて取得できる特定のデータ保護ポリシーを提供する。 GlobalSign CA は、

http://www.globalsign.com/repository/から入手できる文書化されたGlobalSign NVのプライバシーポ

リシーを遵守する。 GlobalSign CAの業務手続は、1998年12月11日に改正された個人データの処理に関連し、95/46/EC及び1995年10月24日の欧州議会の個人データ処理に係る個人の保護及び当該データの自由な移

動に関する欧州議会及び理事会の指令（官報L 281、23/11/1995 0031‐0050ページ）を実装した、

プライバシー保護についての1992年12月8日のベルギー法の境界内である。ベルギーにおける個人データの保護条例は、個人データ処理に係る個人の保護及び当該データの自

由な移動に関するEU指令（95/46/EC）を実装する。 GlobalSign CAはまた、個人データの処理と電子通信部門におけるプライバシーの保護に関する2002年7月12日の欧州議会の指令（2002/58/EC）を承認する。GlobalSign CAは、本CPで表明する個

人データの保護条件内で運用する。 GlobalSign CAは、保持し、収集し、処理する個人データのアーカイブに関し、ベルギーのデータ保

護委員会の前で適切な表明をした。ベルギーのデータ保護委員会には、以下に郵便で連絡できる。 Ministry of Justice, Waterloolaan 115, B‐1000 Brussels, Belgium (tel. +32 2 5427206)

9.5. 知的財産権

GlobalSign CAは、そのデータベース、ウェブサイト、GlobalSign CA証明書、及び本CPを含むGlobalSign CAによるあらゆる発行物に関連する全ての知的所有権を所有し、留保する。 GlobalSign CAの全ての認証局の識別名は、GlobalSign CAが独占所有し続け、これらの権利を強く主

張するものである。証明書は、GlobalSign CA、又はGlobalSignに証明書管理を許諾された正当な所有者の所有財産であ

り、今後もあり続ける。GlobalSign CAは、GlobalSign CAの書面による明示的な許可なく証明書がパ

ブリックにアクセスできるリポジトリ又はディレクトリに公開されないということを除いて、完全

な形で複製され配付されることを条件に、非独占的に、ロイヤルティ不要で、証明書の複製と配布

を許可する。この制限の範囲は、証明書に記載された個人データの認められない再公開から利用者

を保護することも意図している。 GlobalSign CAは、他の当事者に明示的に所有権を譲渡あるいは解放していない自社の製品及びサー

ビスの全ての知的所有権を所有し、留保する。


9.6. 表明保証

GlobalSign CAは、GlobalSign CA証明書の利用方法の法的条件を利用者及び依拠当事者に対し伝達す

るために、本CP及び利用者契約を使用する。表明保証を行う参加者には、必要に応じて、GlobalSign CA、登録局、利用者、依拠当事者、及び他

の参加者を含む。 GlobalSign CA、登録局、及び利用者を含むGlobalSign領域内の全ての当事者は、各自の秘密鍵の完

全性を保証する。もし、かかる当事者が、秘密鍵が危殆化したことを疑う場合には、当事者は直ち

に適当な登録局に通知する。

9.6.1. 利用者の義務

本CPで別途規定されない限り、利用者は以下について責任を負う。 • 証明書を使用することについて知識を持ち、必要なら教育を求めること • 信頼性のあるシステムを用い、秘密鍵と公開鍵の鍵ペアを安全に生成すること • GlobalSign CAとの通信において、真正かつ正確な情報を提出すること • GlobalSign CAに提出した公開鍵が、使用された秘密鍵と正しく対応することを確実とする

こと • GlobalSign CAリポジトリに公開されている本CP及び関連するポリシーの全ての諸条件を

承諾すること • GlobalSign CA証明書を不正操作から防護すること • 本CPに従って、準拠法を遵守し、許可された目的にのみ、GlobalSign CA証明書を使用す

ること • 提出した情報に変更が生じた場合には、GlobalSign CA又はGlobalSign RAへ通知すること • GlobalSign CA証明書に記載された情報が有効でなくなった場合は、使用をやめること • GlobalSign CA証明書が有効でなくなった場合は、使用をやめること • GlobalSign CA証明書が有効でなくなった場合には、インストールしたデバイスやアプリケ

ーションからGlobalSign CA証明書を削除すること • GlobalSign CA証明書を、合理的な環境下で使用すること • 秘密鍵を危殆化、紛失、不正開示、改ざん、他の不正使用から防護すること • 秘密鍵を生成、維持、キーエスクロー、破棄するために利用者が使用するパートナー又は

代理人の作為や不作為 • GlobalSign CA又はGlobalSign CAディレクトリに、法やあらゆる当事者の権利を侵害する

記述を含むいかなる資料をも提出しないこと • GlobalSign CA証明書の完全性に重大な影響を及ぼす事象が生じた場合、証明書の失効を要

求すること • 利用者が秘密鍵の危殆化に気が付いたり、危殆化を疑ったりした場合、直ちに適当な登録

局に通知すること • 登録に関して、本CPの要件に従って、正確で完全な情報をGlobalSignに提出すること • 本CP及び締結した認証局チェーン契約にもとづいて利用者に通知されている他の制限事

項に従って、鍵ペアを電子署名のためだけに使用すること • 秘密鍵の不正使用を回避する合理的な取り扱いをすること • 電子署名の目的に適すると広く認められているアルゴリズムを使用して利用者鍵を生成


すること • 電子署名の目的に適すると広く認められている鍵長とアルゴリズムを使用すること • 証明書に表示されている有効期間の終わりまでに、以下のいずれかが生じた場合、いかな

る合理的な遅滞もなくGlobalSign CAに通知すること o 利用者の秘密鍵が紛失したか、盗難されたか、危殆化の可能性がある場合、あるい

は、 o 活性化データ（例えばPINコード）の危殆化によって、利用者の秘密鍵に対する制

御が失われた場合 o 利用者に通知された通り、証明書コンテンツに不正確や変更が生じた場合

利用者は、証明書を申請する際に行った自己の選択について、終的な責任を負う。申請者及び

GlobalSignは、組織背景の選択、及び信頼性のあるデバイスの利用方法を指定しなければならない。独自の、かつ重要なサービスを提供するトップルート局、及びトラストネットワークの運用者とし

て、GlobalSignは、認証局チェーンの利用者との関係の信頼性を追求する。利用者は、常に、GlobalSignの認証局チェーンサービスの利用中には、他の認証局の認証局チェーンサービスを求めることは差

し控える。この制限は、ルート単体にのみ指定されるものではなく、利用者組織全体に適用される。

9.6.2. 依拠当事者の義務

GlobalSign CA証明書の依拠当事者は、以下を約束する。 • 証明書を利用する技術的能力があること • 依拠当事者に対するGlobalSign CAからの通知と関連する条件を受領すること • 適切な証明書パス検証手続に従って、GlobalSign CAが発行する証明書ステータス情報（例

えば、CRL）を使用して、GlobalSign CA証明書を検証すること • かかる検証手続を通じて、証明書に記載された情報が正しく、新であると検証できたと

きに限り、そのGlobalSign CA証明書を信頼すること • GlobalSign CA証明書を、合理的な環境下でのみ信頼すること • 依拠当事者が秘密鍵の危殆化に気が付づいたり、期待かを疑ったりした場合、直ちに適当

な登録局に通知すること依拠当事者の義務は、証明書を合理的に信頼する場合、以下の通りである。

• 依拠当事者に示された通り、新の失効ステータス情報を使用して、認証局証明書の有効

性、失効を検証する • 依拠当事者に対し証明書又は本CPの中で表示された、証明書の利用方法のあらゆる制限

に注意を払うこと • 利用者契約、GlobalSign CA証明書、及び証明書が使用されるアプリケーションにおいて供

される他のポリシーや諸条件に規定されるあらゆるその他の予防措置を講ずること依拠当事者は、常に証明書が使用される特定のアプリケーション環境等の環境を考慮して、証明書

を信頼することが合理的であることを確実としなければならない。

9.6.2.1. 依拠当事者の義務の伝達

失効情報への制限のないアクセスを与え、結果として自己のサービスの信頼を引き出すため、


GlobalSign CAは、依拠当事者をその義務に拘束させるために、証明書サービスの有効性を管理する

ことに関する、依拠当事者との契約を実装することは差し控える。しかしながら、GlobalSign のパブリックサービスのあらゆる他の参加者に適用されるように、依拠

当事者のGlobalSignの資源の使用は、本CPによるGlobalSignのポリシーフレームワークで規定され

る条件につかさどられることを含意する。依拠当事者は、ここに、証明書の信頼性を立証し、検証するために、GlobalSign の資源に問い合わ

せるその都度、本CPの現状の条件が拘束力を持つことを、通知される。

9.6.3. 利用者の依拠当事者に対する賠償責任

本 CP に別途規定される利用者の他の義務を制限することなく、利用者は、認証局証明書に含まれ

る表示を合理的に信頼するサードパーティに対し、証明書内のあらゆる不実表示について賠償責任

を負う。

9.6.4. GlobalSign CAリポジトリとウェブサイトの条件

GlobalSign CA リポジトリ及びウェブサイトにアクセスする（利用者及び依拠当事者を含む）当事者

は、本 CP の条項、及び GlobalSign が供する他の使用条件を承諾する。当事者は、認証局証明書ス

テータスに関する問合せを送信すること、又は以下のような情報又は提供サービスを利用又は信頼

することにより、本CPの使用条件の承諾を表明する。GlobalSign CAリポジトリは以下を含む。 • 認証局証明書の検索の結果、取得される情報 • 証明書に含まれる公開鍵に対応する秘密鍵を使用して生成されたデジタル署名のステー

タスを検証するための情報 • 証明書に含まれる公開鍵を使用してデータを暗号化する前に証明書のステータスを検証

するための情報 • GlobalSign CAウェブサイトに公開される情報 • ウェブサイトでGlobalSign CAが広告又は提供する他のあらゆるサービス

GlobalSign CAは、その申請期間中、及び証明書の有効期限切れ又は失効後5年間、証明書のリポジ

トリを保持する。その完全性を検証する目的で、時を問わないクエリーのために、GlobalSign RAに

対し、完全なリポジトリを提供する。更に、GlobalSign CAリポジトリは、依拠当事者も利用できる。

9.6.4.1. 自己責任での信頼

GlobalSign CAリポジトリ及びウェブサイトに掲示される情報を評価し信頼することは、そこにアク

セスする当事者自身の単独責任である。当事者は、証明書で提供された情報を信頼するかどうかを

決定するための十分な情報を受取ったと同意する。GlobalSign CAは、証明書ステータスに関する記

録とディレクトリを更新する必要な措置を行い、警告を通達する。GlobalSign CAリポジトリ及びウ

ェブサイトの使用条件に準拠しないことは、GlobalSign CAとその当事者との関係の終了につながり

かねない。


9.6.4.2. 情報の正確さ

GlobalSign CAは、リポジトリにアクセスする当事者が、正確で、新の、真正な情報を受領するこ

とを確実とするためのあらゆる努力を払う。しかしながら、GlobalSign CAは、本CP及びGlobalSign CAワランティポリシーに規定された制限を越えたいかなる賠償責任も負うことはできない。

9.6.5. GlobalSign CAの義務

本CPの関連セクションで規定される範囲で、GlobalSign CAは以下を約束する。 • 本CP、及びhttp://www.globalsign.com/repository/に公開されるその改訂に準拠すること • パブリック証明書管理サービスの運用のための GlobalSign CAリポジトリ及びウェブサイ

トの設置と運用を含む、基礎となる設備と証明書サービスを提供すること • 鍵生成の機構、鍵の保護、自己の基礎となる設備に関する秘密シェアの手続を含む、トラ

スト機構を提供すること • 自己の秘密鍵が危殆化した場合に、直ちに通知すること • パブリックに提供する様々なタイプの証明書の申請手続を提供し、検証すること • 本CPに従って証明書を発行し、ここに表明する義務を全うすること • 登録局から、有効で、承認された証明書の失効要求を受領次第、本CPに従って、発行さ

れた証明書を失効すること • 本CPに従って、受領された証明書を公開すること • 本CPに説明された通り、利用者及び依拠当事者へサポートを提供すること • 本CPに従って、証明書の有効期限切れ及び更新に備えること • 本CPに従って、定期的に全ての失効された証明書についてのCRL又はOCSPレスポンス

を公開すること • サービス契約にもとづいた適切なサービスレベルを提供すること • GlobalSign CAリポジトリに CRLを公開することにより、依拠当事者へ証明書の失効を通

知すること上記にリストアップされた事象が直接の原因となる、証明された損害に対し、上記の条項の下の

GlobalSign CAの賠償責任は、あらゆる個別の証明書1枚につき、1ユーロに限定される。この制限

は GlobalSign により見直されることがある。GlobalSign は、証明書に含まれる情報の真正性から生

じるリスクに対し、更なる保険担保を模索することがある。GlobalSign は、ワランティポリシーを

提供する。法の許す範囲で、GlobalSign CAは以下について賠償責任を負わない。

• 本CPに規定された以外の証明書の利用方法 • トランザクションデータの改ざん • 証明書に関わるトランザクションに使用された、認証局の責任の下に運用されていない機

器の不適正使用又は誤設定。 • 証明書に関連する秘密鍵の危殆化 • 証明書に関連する秘密鍵を保護するPINコードの紛失、漏洩、誤用 • 本人識別情報、シリアルナンバー、公開鍵の値を含む、登録局からの誤データ、又は不完

全なデータの提出 • 不可抗力 • 証明書の使用


• （下位認証局ではない）相互認証の認証局及びその依拠当事者の、公開鍵又は秘密鍵の使

用 • 他の認証局との、利用者に提供された自己の組織における認証局チェーンサービスを維持

するサービス。この制限は、特定のルート単体にのみ、又は顧客の認証局がチェーンされ

たルートのみではなく、サービスが提供される顧客組織全体に適用される。 GlobalSign CAは本CPの下に、上記の他に義務はないと認識している。

9.6.6. 登録局の義務

GlobalSignネットワーク内で運用するGlobalSign RAは、以下を約束する。 • 信頼性のあるシステムを用い、直接又は代理人を通じて、登録局の管理者鍵ペアを安全に

生成すること • GlobalSign CAとの通信において、真正かつ正確な情報を提出すること • （該当する場合）GlobalSign CAに提出した公開鍵が、正しいものであることを確実とする

こと • GlobalSign CAに、要求する証明書に関連して使用される新しい鍵ペアを安全に生成するこ

と • 本CPに従って、GlobalSign CA証明書の申請を受領すること • GlobalSign CAの手及び本CPに規定される、全ての検証と認証の業務を実行すること • GlobalSign CAに、申請者の要求を署名メッセージ（証明書要求）として送信すること • GlobalSign CAの手続及び本CPに従って、GlobalSign CA証明書の全ての失効要求を、受領

し、検証し、GlobalSign CAに伝達すること • 本CPに従って、証明書の更新時に、利用者により提出された情報の正確性と真正性を検

証すること

9.6.7. 参照により証明書に組み込む情報

GlobalSignは、発行する全ての証明書に、以下の情報を参照により組み込む。 • 本CPの諸条件 • 発行されたGlobalSign証明書に表明される、他のあらゆる適用できる証明書ポリシー • X.509標準の必須要素 • X.509標準の必須ではない、カスタマイズされた要素 • 証明書内には全ては記載されていない、拡張コンテンツと拡張名称 • 証明書のフィールドに、そうあるべきと表示されている他のあらゆる情報

9.6.8. 参照による組込みポインタ

参照により情報を組み込むために、GlobalSign は、コンピュータベース又はテキストベースのポイ

ンタを使用する。GlobalSignは、URL、OID等を使用する。

9.7. 無保証

このセクションには、明示の保証の放棄を含む。


9.7.1. 保証の制限

GlobalSign CAは、以下を保証しない • 本CPの以下記の関連する製品説明、及び可能な場合は、GlobalSign CAワランティポリシ

ーに記述されていることを除く、証明書に含まれるあらゆる検証できない情報の正確性 • 無料の、テスト又はデモ用の証明書に含まれるあらゆる情報の正確性、真正性、完全性又

は適正性

9.7.2. 保証から除外される損害

（詐欺行為、故意の不正行為を除く）いかなる場合も、GlobalSign CAは、以下の賠償責任を負わな

い。 • 逸失利益 • データロス • 証明書又はデジタル署名の使用、配送、ライセンス許諾、及び動作又は動作しないことに

関連し生じる、あらゆる二次的、間接的、懲罰的損害 • 提供される、あるいは本CPの枠内の、あらゆるトランザクション又はサービス • 無料の、テスト又はデモ用の証明書に記載された情報を除く、証明書内の検証された情報

を信頼したことに起因する他の全ての損害 • かかる検証された情報の誤りが、申請者の詐欺行為又は故意の不正行為の結果である場合

に被る賠償責任

9.8. 責任の制限

GlobalSignの賠償責任の合計の上限は、GlobalSignのワランティポリシーに従って限定される。保証条件についての、より詳しい情報は、http://www.globalsign.com/repository/で閲覧できる。

9.9. 補償

このセクションは、適用できる補償を含む。

9.9.1. 補償

法の許す範囲で、利用者は、賠償責任、損失、損害、及びあらゆる訴訟と以下の結果としてGlobalSignが被る合理的な弁護士費用を含む、あらゆる経費につながる作為又は不作為からGlobalSign CAを補

償し、かつ無害に保つことに同意する。 • 利用者の秘密鍵を保護できなかったこと • 定められた通り、信頼性のあるシステムを使用したこと • 利用者の秘密鍵の危殆化、紛失、不正開示、改ざん、不正使用を防ぐために必要な予防措

置を講ずること • GlobalSignルートの完全性に注意を払うこと


9.10. 期間と終了

本 CPは、GlobalSign CAによりウェブサイト又はリポジトリ上に、効力がなくなったとの通知がな

されるまで、効力を持ち続ける。通知された変更は、バージョン表示により、適切に跡を残される。変更は、公開後 30 日で適用さ

れる。

9.11. 関係者間の個別通知と連絡

GlobalSign CAは、デジタル署名されたメッセージもしくは書面の形式で本CPSに関連する通知を受

領する。GlobalSign CAから有効な、デジタル署名された受領確認を受信したことを受けて、通知の

送信者はその通信が有効であったと見なす。送信者は、かかる受領確認を 20 営業日以内に受領し

なければならず、でなければ、配達確認をする配達業者を通じて、又は配達証明郵便、書留郵便で、

郵便料金前払いで、受領通知を要求して、書面による通知を以下に宛てて送付しなければならない。

GlobalSign CAへの個別の通信は、[email protected]へ送信するか、郵便で本書の「はじめに」に

述べた住所に送付しなければならない。

9.12. 改訂

本CPの変更は、適切に付与する番号を通じて表示する。 GlobalSign CAのポリシー管理局が、付与するバージョン番号を決定する。

9.13. 紛争解決手続

紛争の当事者は、裁判所が下す判決を含むなんらかの紛争解決制度、又はなんらかのタイプの代替

的な紛争解決制度（例外なくミニ・トライアル、仲裁裁判、拘束力がある専門家のアドバイス、協

定のモニタリング、典型的な専門家のアドバイスを含む）に訴える前に、GlobalSign に紛争解決を

模索するために、通知することに合意する。 GlobalSignは、紛争の通知を受領したら、20営業日以内に、GlobalSign CAの経営管理者に紛争処理

の方針について助言する争議委員会を招集する。争議委員会は、弁護士、データ保護の責任者、

GlobalSign の業務管理者、セキュリティオフィサー等のメンバーで構成される。弁護士又はデータ

保護の責任者が議長を務める。争議委員会は、GlobalSign の幹部経営管理者に調停案を提出する。

その後、GlobalSignの幹部経営責任者は、提出された調停案を当事者に伝達する。

9.13.1. 仲裁

紛争が、本CPに従って、初の通知を受領してから20営業日以内に解決しなかった場合は、ベル

ギーの裁判所法典1676‐1723に従って、紛争の仲裁を受ける。調停者は3人とし、各当事者が1人ずつ提案し、両当事者合意の3人目を選ぶ。紛争の調停場所は

ベルギーのLeuvenとし、調停者が関連する費用を決める。


技術に関連する紛争、及び本 CP に関連する紛争では、当事者は以下に登録事業所のある Stichting Geschillenoplossing Automatisering（Foundation for the Settlement of Automation Disputes）のベルギー

支所による仲裁を受ける。 J. Scheepmansstraat 5, 3050 Oud‐Heverlee, Belgium. Tel.: +32‐47‐733 82 96, Fax: + 32‐16‐32 54 38

9.14. 準拠法

本CPは、ベルギー法にもとづき適用され、解析され、解釈される。この法の選択は、居住地、GlobalSign証明書や他の製品及びサービスの使用地に関係なく、本 CP の解釈の一意性を保証するために行わ

れる。ベルギー法は、本 CP が適用され、又は暗示的に引用され、又は GlobalSign が提供者、供給

者、受益者、その他として振舞い GlobalSign の製品及びサービスに明示的に関係する、全ての

GlobalSignの商業及び契約関係にも適用される。 GlobalSign のパートナー、利用者及び依拠当事者を含む各当事者は、取消不能の形でベルギーの

Leuvenの地方裁判所に提起する。

9.15. 適用法の遵守

GlobalSign CAは、適用できるベルギー法を遵守する。特定のGlobalSign CAパブリック証明書の管理

をする製品及びサービスに使用される特定のタイプのソフトウェアの輸出は、適当な公的認可又は

民間の認可を必要とすることがある。（GlobalSign CA、利用者及び依拠当事者を含む）各当事者は、

ベルギーにおいて適切な、適用できる輸出法及び輸出規制に従うことに同意する。

9.16. 雑則

9.16.1. 存続

“他の業務上の問題、および法的問題”のセクションに記載される責任及び制限事項は、本CPの終了

後も存続する。

9.16.2. 分離条項

本 CP の賠償責任の制限の条項を含むいずれかの規定が無効であるか、あるいは法的強制力がない

ことが分かった場合にも、本 CP の他の条項は当事者の本来の意図を損なわず有効性は失われない

ものとする。


10. 定義語 ACCEPT (A CERTIFICATE) （証明書を）受領するトランザクションの枠内において、証明書申請者による証明書を承認

すること

ACCREDITATION 認定ある職務/エンティティが、特定の形式要件を満たすことを承認当局

による正式な宣言

APPLICATION FOR A

CERTIFICATE

証明書の申請証明書申請者によって認証局に送信された証明書を発行するように

との要請

APPLICATION PROGRAMMING

INTERFACE (API)

アプリケーション・プログラ

ミング・インタフェース（API）

アプリケーション・プログラミング・インタフェース(API)とは、オペ

レーティングシステム又はライブラリが、コンピュータプログラムに

作成されるサービスに対し、要求をサポートするために提供する、ソ

ースコードインターフェイスである

APPLICATION SOFTWARE

VENDOR

アプリケーションソフトウェ

アベンダー

例えばKDE、MICROSOFT CORPORATION、MOZILLA CORPORATION、OPERA

SOFTWARE ASA、及びRED HAT, INC等の、証明書を表示又は使用して、ル

ート証明書を配布する、インターネットブラウザソフトウェア又は他

のソフトウェア開発業者

ARCHIVE アーカイブセキュリティ、バックアップ、あるいは監査のような目的のためにあ

る期間、記録を保管すること

ASSURANCES 確約

※本文書ではしばしば「保証」と

して翻訳

一般的な意図を伝達することを目的とした声明又は行為

AUDIT 監査形式的基準又は統制への適合性を検証するために用いられる手続

AUTHENTICATED RECORD 認証された記録認証の保証を含む署名入り文書、又は依拠当事者により有効なクラス

3証明書によって検証されたデジタル署名つきのメッセージ

AUTHENTICATION 認証適正な文脈の範囲内にそれらを置き、かかる関係を検証することによ

り、人物の身元を確認する、又は特定の情報の完全性を証明する手順

AUTHORIZATION 承認権利を与えること

AVAILABILITY 可用性情報又は資源へアクセスできる確率

HARDWARE MODULE ハードウェアモジュール証明書を保持し、安全に鍵ペアを生成するためのハードウェアモジュ

ールの完全なシステム

BINDING 紐付き指名されたエンティティとその公開鍵の関係についての登録局によ

る声明

CERTIFICATE 証明書証明書の発行者の秘密鍵でデジタル署名されたサブジェクトと関連

情報の公開鍵。明示的に指定されない限り、ここで述べる証明書とは、

利用者のものである

CERTIFICATE REVOCATION LIST

OR CRL

証明書失効リストあるいは

CRL

認証局によって維持される有効期限の前に失効された証明書のリス

ト

CERTIFICATION AUTHORITY OR

CA

認証局あるいはCA 証明書に含まれるサブジェクトに関する情報に公開鍵を紐付けるこ

とについて、信頼されているエンティティ。明示的に指定されない限

り、ここで述べる認証局とは、GLOBALSIGN CAである

CERTIFICATION PRACTICE

STATEMENT OR CPS

認証業務運用規程あるいは

CPS

全てのライフフェーズ中の証明書の管理業務の声明

CERTIFICATE STATUS SERVICE

OR CSS

証明書ステータスサービスあ

るいはCSS

依拠当事者と他者に対し、証明書ステータスを検証することを可能に

するサービス


CONTRACT PERIOD 契約期間 DUTCH NATIONAL REGISTERと認証局組織の間のGLOBALSIGN CA契約の継

続期間

CERTIFICATE CHAIN 証明書チェーンエンドユーザ利用者証明書と認証局証明書を含む、階層リスト証明書

CERTIFICATE EXPIRATION 証明書の有効期限証明書の有効期間の終わり

CERTIFICATE EXTENSION 証明書拡張以下についてを含む、追加の情報の伝達に使用される証明書フィール

ド：公開鍵、証明された利用者、証明書発行者、及び/又は証明手順

CERTIFICATE HIERARCHY 証明書階層 1つの（ルート）認証局及び認証局、利用者を含む下位エンティティ

の証明書のレベルにもとづいた繋がり

CERTIFICATE MANAGEMENT 証明書管理証明書管理に関連する行為には、証明書の保管、配布、公開、及び失

効を含む

CERTIFICATE REVOCATION LIST

(CRL)

証明書失効リスト（CRL）認証局により発行されデジタル署名された、失効された証明書を含む

リスト。かかるリストは、証明書に記載された情報を信頼する前に常

に依拠当事者により閲覧される

CERTIFICATE SERIAL NUMBER 証明書シリアルナンバー認証局の領域内の証明書を唯一に識別する通し番号

CERTIFICATE SIGNING REQUEST

(CSR)

証明書署名要求（CSR）証明書を要求する機械可読の申込書式

CERTIFICATION 証明証明書を発行するプロセス

CERTIFICATION AUTHORITY

(CA)

認証局（CA）例えばGLOBALSIGN CAのような、証明書を発行し、あるいは失効する

当局

CERTIFICATE POLICY (CP) 証明書ポリシー（CP）認証局の業務及び証明書の発行、失効などの条件についての宣言書。

CPはまた、証明サービス基礎となる設備の信頼性を確立するためのガ

イダンスとして使用される

CERTIFICATE ISSUANCE 証明書発行個人データにもとづく認証及びデジタル署名、及び登録局により提供

された公開鍵のための、RFC 3647とRFC 3039に準拠したX.509 V3証

明書の配送

CERTIFICATE REVOCATION 証明書失効有効期限前に証明書を永久に無効にすることに使用されるオンライ

ンサービス

CERTIFICATE REVOCATION LISTS 証明書失効リスト RFC 2459に準拠した、完全で漸増する失効した証明書のリストのオン

ラインでの公開

COMMERCIAL REASONABLENESS 商業的妥当性慣習法からの法的用語。電子商取引において、信頼性の合理的な確約

を提供するテクノロジーの使用法

COMPROMISE 危殆化機密情報についての制御喪失につながるセキュリティポリシー違反

CONFIDENTIALITY 機密性データを、選ばれた、承認された当事者だけに開示する状況

CONFIRM A CERTIFICATE CHAIN 証明書チェーンを確認するエンドユーザ利用者証明書の有効性を確認するために証明書チェー

ンを検証すること

DIGITAL CERTIFICATE 証明書 1個の確認されたサブジェクトが使用する公開鍵と本人識別されたサ

ブジェクトを関連づける形式化されたデータ

DIGITAL SIGNATURE デジタル署名オリジナルのメッセージと署名者の公開鍵を持つ人物が、署名者の公

開鍵と対応する秘密鍵を使用して変更が加えられたかどうか、及びオ

リジナルのメッセージがある変更以来更に変更されたかどうかを正

確に判定できるように、非対称暗号システムとハッシュ関数を使用し

てメッセージをエンコードすること

DISTINGUISHED NAME 識別名コンピュータベースの文脈において、例えばある人物のような、実社

会のエンティティを識別するデータのセット

DIRECTORY SERVICE ディレクトリサービス証明書識別子にもとづいて証明書の検索を許可する、証明書のオンラ


インでの公開

ENDUSER SUBSCRIBER エンドユーザ利用者他の認証局ではない利用者

ENHANCED NAMING 拡張命名 X.509 V.3.0証明書の拡張された組織フィールド(OU=)の使用法

EXTENSIONS 拡張 X.509 V.3.0証明書の拡張フィールド

GENERATE A KEY PAIR 鍵ペアを生成する対応する公開鍵が適当な認証局に申請者が秘密鍵を使うことができ

ることを明らかにする方法で提出される、証明書申請の間に秘密鍵を

作成する信頼性のある手順

HASH ハッシュ以下のような方法で1セットのビットをもう1つの（一般により小さ

い）セットにマップする、又は解釈するアルゴリズム。

同じメッセージをインプットとして使用すると、メッセージはアルゴ

リズムが実行されるたびに常に同じ結果をもたらす。

アルゴリズムによってもたらされた結果からメッセージを導き出す、

又は再構築することは、計算上不可能である。

同じアルゴリズムを使って同じハッシュ結果をもたらす2つの異なる

メッセージを見つけることは計算上不可能である

IDENTIFICATION 本人識別エンティティの身元を確認する手順。公開鍵暗号方式の証明書により

本人識別は容易になった

INCORPORATE BY REFERENCE 参照により組み込む受取人に対し、完全な状態の組み込まれたメッセージにアクセスし

て、取得することを許す情報とともに、文書を組み込まれたものとし

て識別することにより、及び、組み込むメッセージの一部であるとい

う意図を表明することにより、ひとつの文書をもうひとつの文書一部

とすること。かかる組み込まれたメッセージは、メッセージの中で完

全に記述されたのと同じ効果を持つ

KEY GENERATION PROCESS 鍵生成手順秘密鍵/公開鍵のペアを作る信頼性のある手順。公開鍵は、証明書申

請手順の間の認証局に提出される

KEY PAIR 鍵ペア非対称暗号方式における、秘密鍵と、対応する公開鍵

NOTICE 通知本CPSに従って、認証局サービスを受領することに関与する当事者へ

の通知の結果

NOTIFY 通知する本CPS及び準拠法により必要とされた通りに、特定の情報を別の人物

に伝えること

NOTARISED TIME STAMPING 公証タイムスタンプ文書にタイムスタンプを押して、安全にアーカイブすることに使用さ

れるオンラインサービス。文書は新のテクノロジーを用いて、定期

的に再びタイムスタンプを押される

OBJECT IDENTIFIER オブジェクト識別子特定の領域内の全てのオブジェクト識別子の中で唯一である性質を

もつ、登録されたオブジェクト割り当てられることができる、連続し

た整数コンポーネント

PKI HIERARCHY PKI階層機能が権限委譲の原理に従って体系化された、上位及び下位の認証局

としてお互いに関連した認証局のセット

PRIVATE KEY 秘密鍵デジタル署名を作成するため、及びしばしば（アルゴリズムに依存し

て）対応する公開鍵と組み合わせてメッセージを解読するための数学

的な鍵

PUBLIC KEY 公開鍵対応する秘密鍵で作成された署名を検証することに使われる、パブリ

ックに利用を提供できる数学的な鍵。アルゴリズムに依存して、公開

鍵は、対応する秘密鍵で解読されることができるメッセージ又はファ

イルを暗号化することにも使うことができる


PUBLIC KEY CRYPTOGRAPHY 公開鍵暗号方式数学的に関連する暗号鍵の鍵ペアを使う暗号方式

PUBLIC KEY INFRASTRUCTURE

(PKI)

公開鍵暗号基盤（PKI）総体的に証明書にもとづく公開鍵暗号システムの業務を実装及びサ

ポートするアーキテクチャ、組織、技術、業務、及び手続

REGISTRATION AUTHORITY OR

RA

登録局あるいはRA 利用者を本人識別し、認証する責任を負うエンティティ。登録局は、

証明書を発行しない。登録局は、ただ登録局自身が本人識別を検証し

た申請者の代わりに証明書の発行を要請する

RELATIVE DISTINGUISHED

NAME (RDN)

相対識別名（RDN）エンティティを同じタイプの他者と区別する属性のセット

RELIANCE （依拠）信頼それに対する信頼を示す形でデジタル署名を受領し行動すること

RELYING PARTY 依拠当事者あらゆる行為を実行するために証明書を信頼するあらゆるエンティ

ティ

REPOSITORY リポジトリ証明書及び他の関連情報を列挙する、オンラインで利用できるデータ

ベース及び/又はディレクトリ

REVOKE A CERTIFICATE 証明書を失効する指定時間から先永久に、証明書の運用期間を終了させること

SECRET SHARE 秘密シェアスマートカード等のいくつかの物理的なトークンで分割された暗号

の秘密の一部

SECRET SHARE HOLDER 秘密シェア保有者秘密シェアを保有する人物

SHORT MESSAGE SERVICE

(SMS)

ショートメッセージサービス

（SMS）

GLOBAL SYSTEM FOR MOBILE（GSM）の通信を使用する携帯電話へ、160

文字まで（5ビットのモードを使う場合には224の文字）のメッセー

ジを送信するサービス

SIGNATURE 署名受取人によって受諾されるか、ある状況下で使用することが習慣的

な、自己を識別するために文書の起草者が採用する手法

SIGNER 署名者メッセージにデジタル署名、あるいは文書に署名をする人物

SMART CARD スマートカード特に暗号の機能を実行するためのチップを含むハードウェアトーク

ン

STATUS VERIFICATION ステータス検証 CRLを必要とせずに証明書の現在の状態を判断することに使用され

る、オンライン証明書状態プロトコル（RFC 2560）にもとづくオンラ

インサービス

SUBJECT OF A DIGITAL

CERTIFICATE

証明書のサブジェクト証明書内の公開鍵が公開鍵と対応する秘密鍵のユーザとして帰属で

きる指名された当事者

SUBSCRIBER 利用者証明書のサブジェクト、又はサブジェクトに証明書を申請するように

任命された当事者

SUBSCRIBER AGREEMENT 利用者契約パブリック証明サービスの提供のための利用者と認証局の間の契約

TRUSTED POSITION 信任された役職リポジトリへのアクセスを制限する業務を含む証明書の発行、使用、

あるいは失効への特権的なアクセスを許可する暗号の業務へのアク

セス又は制御を含む認証局内の役割

TPM TPM TRUSTED PLATFORM MODULE – TRUSTED COMPUTING GROUP.により定義

されたハードウェア暗号デバイス。

HTTPS://WWW.TRUSTEDCOMPUTINGGROUP.ORG/SPECS/TPM

TRUSTWORTHY SYSTEM 信頼性のあるシステム合理的なレベルの可用性、信頼性、及び正しい運用を規定し、セキュ

リティポリシーを施行する、セキュリティリスクに対する許容レベル

を規定するコンピュータハードウェア、ソフトウェア、及び手続

GLOBALSIGN CA

REGISTRATION AUTHORITY

GLOBALSIGN CA登録局 GLOBALSIGN CAに全ての利用者データを検証して、提供するエンティテ

ィ

GLOBALSIGN CA PUBLIC GLOBALSIGN認証局のパブリッ本CPSで規定される通り、GLOBALSIGN CA及びGLOBALSIGN CAの領域に


CERTIFICATION SERVICES ク証明サービス属するエンティティが提供するデジタルの証明システム

GLOBALSIGN CA PROCEDURES GLOBALSIGN CAの手続エンドユーザ、セキュリティ等の登録に関するGLOBALSIGN CAの内部

手続について説明する文書

WEB WORLD WIDE WEB

(WWW)

ウェブ‐‐ワールドワイドウェ

ブ（WWW）

インターネットにおける文書公開及び情報の検索のためのグラフィ

ックスベースの媒体

WRITING 書面アクセスし参照可能な情報

X.509 X.509 証明書のための ITU‐T（国際電気通信連合電気通信標準化部門）の標

準


11. 略語 CA Certification Authority 認証局

CEN/ISSS European Standardization Committee /

Information Society Standardization System

欧州標準化委員会 / 情報社会標準化システム

CP Certificate Policy 証明書ポリシー

CPS Certification Practice Statement 認証業務運用規程

ETSI European Telecommunications Standards

Institute

ヨーロッパ電気通信標準化協会

GSCA GlobalSign Certification Authority GlobalSign認証局

IETF Internet Engineering Task Force インターネット技術タスクフォース

ISO International Standards organization 国際標準化機構

ITU International Telecommunications Union 国際電気通信連合

OCSP Online Certificate Status Protocol オンライン証明書状態プロトコル

PKI Public Key Infrastructure 公開鍵基盤

RFC Request for Comments

SSCD Secure Signature Creation Device セキュア署名生成デバイス

VAT Value Added Tax 付加価値税

globalsign ca certificate policy ver 3

Documents