Kansainvälisen Porvoo-ryhmän 8. seminaari Brysselissä 13.–14.10.2005

SÄHKÖISTÄ HENKILÖLLISYYTTÄ EDISTETÄÄN MÄÄRÄTIETOISESTI SEKÄ EUROOPASSA ETTÄ MAAILMANLAAJUISESTI

Lähes 60 edustajaa 14 Euroopan maasta, Intiasta, Japanista ja USA:sta sekä Euroopan komissiosta ja YK:sta kokoontui 13.–14.10.2005 Brysseliin tarkastelemaan yhteensopivan eurooppalaisen sähköisen henkilöllisyyden ja sähköisten palvelujen tilannetta sekä kehityshankkeita osallistujamaissa. Myös biometriikka ja sen liittäminen sähköisiin henkilökortteihin oli laajasti esillä. Niin ikään käsiteltiin EU-projekteja, standardisointia, yhteensopivuuskysymyksiä ja eurooppalaisen kansalaiskortin kehitystyötä. Kyseessä oli EU:n eEurope 2002 -hankkeen yhteydessä perustetun, eurooppalaisten hallintojen edustajien muodostaman Porvoo-ryhmän seminaari. Järjestäjätahoina olivat Belgian sisäministeriön alainen The Federal Public Service Home Affairs ja Suomen Väestörekisterikeskus. Belgia edelläkävijöiden joukossa sähköisen henkilöllisyyden kehittämisessä The Federal Public Service Home Affairsin ylijohtaja Luc Vanneste piti seminaarin avauspuheenvuoron. Hän selvitti Belgian sähköisen henkilökortin käyttöönottoa, taustaa ja nykytilannetta. Puhe käsitteli mm. seuraavia aiheita: miltä sähköinen henkilökortti näyttää, mitkä ovat kortin yleisen käyttöönottamisen seuraukset viranomaisille ja palvelujen tarjoajille, kuinka tehdä yhteensopivuus todelliseksi sekä turvallisuuden ja yksityisyyden välistä problematiikkaa. Opittuna läksynä Luc Vanneste pitää sitä, että sähköisen henkilökortin lisäarvo täytyy arvioida jokaista toimijaa varten ennen käyttöönottoa. Belgiassa sähköinen henkilökortti -projekti aloitettiin 11 pilottikunnassa keväällä 2003. Vuonna 2004 maan hallitus päätti ottaa sähköisen henkilökortin yleisesti käyttöön, ja kesäkuusta 2005 alkaen kortteja on myönnetty maan kaikissa kunnissa. Noin 1,3 miljoonaa korttia on jo aktivoitu ja vuoden loppuun mennessä määrän arvioidaan olevan kaksi miljoonaa. Luc Vanneste pitää tärkeänä sitä, että kortinlukijat ovat edullisia ja niitä on helposti saatavissa. Luc Vannesten mielestä yksityisyyden suojaan liittyviin kysymyksiin täytyy suhtautua erittäin vakavasti ja mahdollisuuksien mukaan käyttää yksityisyyttä korostavaa teknologiaa ja menettelyjä. Hän pitää vahvana yksityisyyden suojan mittana sitä, että kortinhaltijalla on suora online-pääsy tietokantoihin, joissa on henkilöä itseään koskevia tietoja. Tämä läpinäkyvyys toteutuu Belgiassa kansallisessa väestörekisterissä ja verotiedoissa, joissa kansalaiset pääsevät katsomaan omia tietojaan. Luc Vanneste totesi, että eurooppalaista tai maailmanlaajuista standardia ristiinvarmennuksesta ei vielä ole, vaikka se olisi erittäin hyödyllinen jatkumo vuonna 1999 valmistuneelle sähköisen allekirjoituksen direktiiville. Esittämäänsä kysymykseen ”Mitä voisimme tehdä yhdessä, mitä Porvoo-ryhmä voisi tehdä paremmin?” Luc Vannesten vastauksena oli mm. yleisen prototyypin kehittäminen sähköisen henkilöllisyyden projektista, sisältäen mahdollisuuden hyödyntää ristiinvarmentamista ja biometriikkaa. Ehdotusta käsitellään seuraavissa Porvoo-ryhmän seminaareissa. Olivier Libon (FEDeral Information & Communication Technology public service, F.E.D.I.C.T.) esitteli Belgian sähköisen hallinnon PKI (Public Key Infrastructure) -strategiaa ja sähköisen henkilöllisyyden PKI-statusta. Hänen mukaansa tarvitaan välineitä vahvaa tunnistamista varten. Samoin kansalaisten valistus –- ilman teknologista kieltä –- on tärkeää. Kohti yhteensopivan sähköisen henkilöllisyyden hallinnointia EU:ssa Euroopan komission edustaja Aniyan Varghese (eGovernment Unit, Directorate General Information Society & Media) kertoi, että komissio työskentelee aktiivisesti sähköisen henkilöllisyyden hallinnoinnin puolesta, jotta se saataisiin kaikkiin sähköisen hallinnon palveluihin ja palvelut siten turvallisemmiksi. Komissio julkaisee huhtikuussa 2006 eGovernment Action Plan in i2010 -toimintasuunnitelman ja kesällä Eurooppa-neuvosto ja muut tahot tekevät siitä johtopäätöksiä. Sähköisen hallinnon tavoitteena on mm. saada aikaan parempia julkisia palveluja, lisätä demokratiaa ja kansalaisten osallistumista sekä parantaa kansalaisten elämänlaatua. Porvoo-ryhmä korosti, että yhteisille vaatimuksille ja aikatauluille yhdessä etenemistä varten EU:ssa on tarvetta. Katsaus sähköisen henkilöllisyyden tilanteeseen Euroopassa Aiempien seminaarien tapaan kuultiin tilannekatsaukset osallistujamaiden sähköisen henkilöllisyyden kehitysvaiheesta. Määrätietoista työtä sähköisten henkilökorttien ja sähköisten palvelujen määrän lisäämiseksi tehdään kaikissa maissa. Katsauksen esittivät Iso-Britannia, Viro, Portugali, Saksa ja Belgia. Virossa oli lokakuussa 2005 järjestetyissä kunnallisvaaleissa mahdollista äänestää ennakkoon internetissä sähköisen henkilökortin avulla. Tämä oli tiettävästi maailmanlaajuisesti ensimmäinen kerta, kun koko maan käsittävissä vaaleissa oli äänestysmahdollisuus verkossa. Katsaus Aasian, Japanin ja USA:n tilanteeseen Seminaarissa esiteltiin vuonna 2004 perustettua Aasian IC Card -foorumia ja sen visiota ”yksi Aasia, yksi kortti –- ’Silk Road’ -kortti”. Tavoitteena on, että yksi kortti kävisi sekä rajavalvontaan että sähköisiin palveluihin. Etelä-Koreaan kuuluvalla Jeju-saarella rakennetaan jo pilottia kuljetukseen ja maksamiseen liittyvästä monitoimikortista. Aasian IC Card -foorumin perustajajäsenet ovat Kiina, Japani, Korea ja Singapore. Niiden lisäksi kuultiin sähköisen henkilöllisyyden hankkeista Malesiassa ja Thaimaassa. Seuraava eJapan-strategia julkistetaan tammikuussa 2006, nykyinen strategia päättyy maaliskuussa 2006. Uusi strategia tulee keskittymään informaatioteknologian hyödyntämiseen terveyssektorilla sekä sähköiseen hallintoon. Kaikki hallinnon työntekijät tulevat saamaan vuoden 2006 aikana sähköisen henkilöllisyyden, jota käytetään mm. autentikoinnissa ja järjestelmiin sisään kirjautumisessa. Japanissa on paikallishallinnon myöntämiä asukasrekisteröintikortteja (Resident Registration cards) jaettu toistaiseksi noin 700 000, mikä on odotettua vähemmän. Projekti onkin käynnistetty uudelleen. Uutena tavoitteena on, että kaikkiin sähköisen hallinnon palveluihin tulisi päästä yhdellä kortilla. Tulossa olevan toisen version kortista valmistaa keskushallinto. Se tulee olemaan asukasrekisteröintikortti, joka mahdollistaa sähköisen allekirjoituksen. Lisäksi kortti toimii passina sisältäen Kansainvälisen siviili-ilmailujärjestön, ICAO:n, vaatimusten mukaiset biometriset tunnisteet, Euroopassa noudatettavan käytännön tavoin. Korttia hyödyntäviä palveluja tarvitaan lisää, ja maaliskuun 2006 loppuun mennessä on tarkoitus siirtyä todelliseen sähköiseen hallintoon eli saada lähes kaikki keskushallinnon palvelut sähköisiksi. USA:n standardointikehitykseen liittyen todettiin, että presidentin elokuussa 2004 allekirjoittaman sisäisen turvallisuuden direktiivin päätavoitteiden mukaisesti USA:ssa tullaan ottamaan liittovaltion tasolla hallinnossa käyttöön virkakortit (Personal Identity Verification, PIV cards). Mahdollisuuksien mukaan ne otetaan käyttöön myös kaikkien sopimusyhteistyökumppanien parissa, joten korttien yhteismäärä tulee olemaan 30–40 miljoonaa. USA:ssa päähuomio on palveluihin ja niiden rajapintoihin liittyvässä standardisoinnissa. Harmonisointia ja yhteensopivuuskysymyksiä pohditaan laajalti Seminaarissa esiteltiin avoimen lähdekoodin hyödyntämistä sähköiseen henkilöllisyyteen liittyvissä yhteensopivuuskysymyksissä. Demonstraationa näytettiin avoimen lähdekoodin avulla tapahtuva käyttäjän autentikointi ja sähköinen allekirjoitus. Sähköisen tunnistamisen palveludemo on käytettävissä internetissä. Siinä toimivat jo Suomen, Viron, Belgian ja Italian sähköiset henkilökortit. Niin ikään esiteltiin ajatusta riippumattomasta luotetusta validointitahosta PKI-yhteensopivuuden mahdollistajana. Validointitahoa tarvitaan, koska sähköisten palvelujen tuottamiseen ja varmenteisiin liittyy monia eri toimijoita. Validointitaho mahdollistaa myös sähköisen allekirjoittamisen arvoketjussa. Aiheesta on laadittu tekninen raportti, joka on saatavissa osoitteessa http://www.dnv.com/binaries/Report-2005-0673_tcm4-159646.pdf. Porvoo-ryhmä seuraa tällä alalla tapahtuvaa kehitystä. Lisäksi kuultiin tilannekatsaus kansainvälisen, yhteensopivaa sähköistä henkilöllisyyttä ja autentikoinnin standardisointia käsittelevän yhteistyöfoorumin (Global Collaboration Forum on interoperable eID/IAS) toiminnasta. Foorumi toimii alueellisesti Euroopassa, Kaukoidässä ja USA:ssa. Se on mm. tarkastellut mahdollisuuksia aikaansaada yhteinen näkemys minimivaatimuksista, joilla tuettaisiin kansainvälistä yhteensopivuutta sähköisessä henkilöllisyydessä ja autentikoinnin standardisoinnissa. Seuraavassa Porvoo-ryhmän seminaarissa käsitellään ryhmän kommenteilla päivitettyä versiota minimivaatimuksista. Kysymys Porvoo-ryhmän yhteistyöstä Global Collaboration -foorumin ja Aasian IC Card -foorumin kanssa yhteensopivuuskysymyksissä nostettiin esiin. Porvoo-ryhmä tukee sähköisen henkilöllisyyden yleistymistä Euroopassa Porvoo-ryhmä on kansainvälinen yhteistyöverkosto, jonka päätavoitteena on edistää eri maiden välillä yhteensopivan, PKI-teknologiaan ja sähköisiin henkilökortteihin perustuvan sähköisen henkilöllisyyden toteutumista. Tarkoituksena on auttaa varmistamaan turvallista julkisen ja yksityisen sektorin sähköistä asiointia Euroopassa. Porvoo-ryhmä perustettiin nimensä mukaisesti keväällä 2002 Porvoossa EU:n eEurope 2002 -hankkeen yhteydessä. Siihen kuuluu hallinnon edustajia Euroopan maista. Puolen vuoden välein pidettäviin ryhmän kaksipäiväisiin seminaareihin on osallistunut myös edustajia yksityiseltä sektorilta ja Euroopan komissiosta. Jäsenmaiden määrä on kasvanut tasaisesti, ryhmän toiminnassa on mukana edustajia jo noin 30 maasta. Seuraava Porvoo-ryhmän seminaari pidetään Sloveniassa toukokuussa 2006 ja kymmenes seminaari on jälleen Porvoossa, Suomessa syksyllä 2006, jolloin Suomi on EU:n puheenjohtajamaana. Tulevina isäntämaina ehdotettiin mm. Portugalia ja Isoa-Britanniaa. Lisätietoja: Varmennepalvelut-yksikön johtaja Tapio Aaltonen, puh. (09) 2291 6625, sähköposti tapio.aaltonen@vrk.intermin.fi ja ylitarkastaja Päivi Pösö, puh. (09) 2291 6737 tai 050 591 7517, sähköposti paivi.poso@vrk.intermin.fi Seminaariesitykset, seminaariraportti ja resoluutiot ym. lisätietoja internetissä: www.vaestorekisterikeskus.fi -> Sähköinen henkilöllisyys -> Porvoo-ryhmä, www.fineid.fi -> Tapahtuu maailmalla -> Porvoo Group ja http://www.porvoo8.rrn.fgov.be/porvoo8/home.php Tervehtien viestintäsuunnittelija Irene Rissanen, puh. (09) 2291 6717 tai 050 573 7210