Kansainvälisen Porvoo-ryhmän seminaari Reykjavikissa 26.–27.5.2005

Kansainvälisen Porvoo-ryhmän seminaari Reykjavikissa 26.–27.5.2005: SÄHKÖISEN HENKILÖLLISYYDEN KEHITTÄMINEN ON YLEISEUROOPPALAINEN HAASTE

Noin 80 edustajaa 18 Euroopan maasta, Japanista ja USA:sta sekä Euroopan komissiosta ja YK:sta kokoontui 26.–27.5.2005 Reykjavikiin tarkastelemaan yhteensopivan eurooppalaisen sähköisen henkilöllisyyden ja sähköisten palvelujen tilannetta ja kehityshankkeita osallistujamaissa sekä vaihtamaan kokemuksia käynnissä olevista projekteista. Kyseessä oli EU:n eEurope 2002 -hankkeen yhteydessä perustetun, eurooppalaisten hallintojen edustajien muodostaman kansainvälisen Porvoo-ryhmän seitsemäs seminaari. Järjestäjätahoina olivat Islannin valtiovarainministeriö ja Suomen Väestörekisterikeskus. Valtiovarainministeri Geir H. Haarde piti seminaarin alussa tervehdyspuheen. Hän kertoi lyhyesti Islannin sähköisen henkilöllisyyden politiikan kolmesta pääkohdasta, jotka ovat yleinen, laajalle levinnyt Public Key Identity - eli PKI-varmenteiden käyttö, avoimet ja standardisoidut varmenteita ja niihin liittyviä palveluja tarjoavat markkinat sekä EU:n ja kansainvälisten standardien täysimittainen hyödyntäminen, jotta tarvittava yhteensopivuus muiden maiden hallintojen kanssa lisääntyy. Ministeri kertoi, että vaikka Islanti valmistautuu biotunnisteita sisältävien passien käyttöönottoon, maalla ei tällä hetkellä ole kansallista sähköistä henkilökorttia koskevia suunnitelmia. Toisaalta valtiovarainministeriö on aloittanut keskustelut paikallisten pankkien kanssa mahdollisuudesta yhdistää hallituksen PKI-tarpeet uuden sukupolven älymaksukortteihin, jotka tuodaan markkinoille myöhemmin tämän vuoden aikana. Islannin PKI-pilottiprojekti loi pohjan varmennepolitiikalle Divisioonan johtaja Jóhann Gunnarsson Islannin valtiovarainministeriöstä esitteli maan PKI-pilottiprojektia. Islannin hallitus laati tietoyhteiskuntaa koskevan strategiansa vuonna 1996. Strategia uudistettiin vuonna 2004. Laki sähköisestä allekirjoituksesta säädettiin vuonna 2001. Sen lisäksi maassa on myös muuta sähköistä asiointia koskevaa lainsäädäntöä; esimerkiksi vuonna 2003 julkishallinnon lakia muutettiin niin, että sähköisille allekirjoituksille annettiin yhdenveroinen asema perinteisen menetelmän kanssa. Internetin käyttö ja sähköisten palvelujen määrä ovat lisääntyneet maassa nopeasti. Noin 80 prosenttia islantilaisista käyttää internetiä ja noin 82 prosenttia teki veroilmoituksen sähköisesti vuonna 2003. Vuonna 2003 aloitettiin varmenne-projekti (digital certificate project). Tarkoituksena oli saada varmenteet ensin tulli- ja kalastustoimen käyttöön. Pilottiprojektia johti valtiovarainministeriö ja siihen osallistui useita tahoja. Tavoitteena oli lisäksi laajentaa tullin ratkaisuja niin, että ne soveltuvat myös muiden tahojen käyttöön ja tunnistamiselle määritellään tiukemmat säännöt. Edelleen tavoitteena oli mm. varmennepolitiikan ja -käytännön kehittäminen, eri valmistajien varmenteiden yhteensopivuuden testaaminen sekä konseptin esitteleminen elinkeinoelämälle ja suurelle yleisölle. Tuloksena oli, että käyttöön otettiin kaksi varmennetyyppiä: julkinen varmenne allekirjoitusta ja sähköpostien salausta ym. varten ja yksityinen varmenne hallinnon järjestelmiin pääsyä varten. Ensimmäinen varmenne myönnettiin toukokuussa 2003. Islannin hallituksen varmennepolitiikka perustuu eurooppalaiseen ETSI TS 102 042 -standardiin ja tanskalaiseen OCES-varmennepolitiikkaan. Se on tarkoitettu vaatimusmäärittelyksi avoimilla markkinoilla toimiville varmennepalvelujen tarjoajille. Islannin kaltaisessa asukasluvultaan pienessä maassa on vaikea ajatella, että tilaa olisi useille PKI-ratkaisuille. Tämän vuoksi toivotaan, että hallituksen tekemä aloite johtaa yleiseen järjestelmään, joka olisi sovitettavissa niin hallinnon, elinkeinoelämän kuin yksityisten ihmistenkin erilaisiin tarpeisiin. Standardointityötä tehdään monella taholla Seminaarissa esitettiin tilanneraportti, joka käsitteli avoimen lähdekoodin ympäristöä ja organisatorista lähestymistapaa, jotka ovat tarpeen yhteensopivuuden saavuttamiseksi sekä asiakaskoneiden (client) että palvelimien välillä, mahdollisuuksien mukaan kaikille nyt käytössä oleville sähköisille henkilökorteille. Tällä hetkellä keskitytään Belgian, Viron, Suomen ja mahdollisesti Italian ja Espanjan sähköisten henkilökorttien avulla tapahtuvan autentikoinnin demonstraatioon, joka on tarkoitus esitellä lähitulevaisuudessa. Porvoo-ryhmä seuraa tarkasti tilannetta. Seminaarissa käsiteltiin myös norjalaisen Porvoo-ryhmän jäsenen, Thomas Myhrin, tekemää raporttia eurooppalaisesta maiden rajat ylittävästä lainsäädännöllisestä sähköisen henkilöllisyyden ympäristöstä. Raportissa on selvitetty autentikointia koskevaa lainsäädäntöä ja EU:n sääntelyn tarvetta eurooppalaiselle sähköiselle henkilöllisyydelle. Siinä suositetaan sähköisiä allekirjoituksia koskevan direktiivin mahdollisimman laajaa hyödyntämistä. Raportti päätettiin lähettää kommentoitavaksi tietyille EU-projekteille. Se löytyy osoitteesta http://porvoo7.fjarmalaraduneyti.is/media/Porvoo7/Thomas_Myhr.doc. Biometriikka laajasti esillä Biometriikkaa käsiteltiin seminaarissa laajasti. Maailmanlaajuisena lainsäädännöllisenä ja yhteensopivuushaasteena esiteltiin merimiesten biometrinen henkilöllisyystodistus, jota on kehitetty yhteistyössä YK:n Kansainvälisen työjärjestön, ILO:n kanssa. Niin ikään kuultiin tilannekatsaukset Kansainvälisen siviili-ilmailujärjestön, ICAO:n ja Kansainvälisen standardointijärjestön ISO:n tekemästä biometriikkastandardointityöstä sekä esiteltiin biometriatekniikkaan ja turvallisuuskysymyksiin keskittyvä EU:n BioSec-projekti. Myös Islannin tilannetta biometristen passien kehitystyössä tarkasteltiin ja todettiin, että tavoitteena on aloittaa biometristen passien myöntäminen lokakuussa 2005. Saksa puolestaan aloittaa niiden myöntämisen marraskuussa 2005 ja Japani maaliskuussa 2006. Suomessa sisäasiainministeriö vetää biometriikka-projektia. Tavoitteena on aloittaa sähköisten passien myöntäminen keväällä 2006. Passilainsäädännön uudistamista käsitellään parhaillaan eduskunnassa, ja samoin kehitetään uutta passitietojärjestelmää. Ensivaiheessa passien sirulle tallennetaan kasvokuva ja myöhemmin otetaan käyttöön sormenjälkitunnistus. Suomessa on niin ikään suunnitelmissa ottaa vuosien 2007–2008 aikana käyttöön biometriset henkilökortit. Silvia Kolligs Euroopan komission oikeus-, vapaus- ja turvallisuusasioiden pääosastosta kertoi biometriikan nykytilanteesta EU-dokumenteissa. Kasvotunnistus tulee pakolliseksi sähköisiin passeihin elokuussa 2006. Koska samassa dokumentissa voi olla useita siruja, on päätetty ennakoida viisumitietojärjestelmän keskustietokannan perustamista. Ns. Haagin ohjelma on kutsunut Eurooppa-neuvoston ja Euroopan komission työstämään vähimmäisturvallisuusstandardeja sähköisille henkilökorteille, sisältäen biometriikan. Tähän liittyen komissio järjesti huhtikuussa 2005 jäsenmaille kokouksen, jonka pohjalta komissio julkaisee heinäkuussa 2005 raportin. Siinä kuvataan standardien lisäksi sähköisen henkilökortin tilanne ja suunnitelmat jäsenvaltioissa. Porvoo-ryhmä seuraa tilannetta ja raportista keskustellaan seuraavassa seminaarissa. Biometriikkaa koskeneen yleiskeskustelun jälkeen todettiin, että monet maat harkitsevat kansallisten biometristen tietokantojen perustamista sähköisten passien yhteydessä. Lisäksi todettiin, että sähköisellä passilla ja ICAO:n suosituksilla on suuri vaikutus sähköiseen henkilökorttiin. Sähköisen henkilöllisyyden kehitystyö etenee eri maissa Aiempien seminaarien tapaan kuultiin tilannekatsaukset osallistujamaiden sähköisen henkilöllisyyden kehitystyöstä. Yhteensä 11 maan edustajat esittivät katsauksen. Sähköisten henkilökorttien ja sähköisten palvelujen määrä kasvaa tasaisesti kaikissa maissa. Euroopan maiden ohella kuultiin tilannekatsaukset USA:sta ja Japanista. USA:n standardointikehitykseen liittyen todettiin, että presidentin elokuussa 2004 allekirjoittaman sisäisen turvallisuuden direktiivin päätavoitteiden mukaisesti USA:ssa tullaan ottamaan valtionhallinnossa käyttöön 20–30 miljoonaa virkakorttia. Japanin kansalliseen henkilökorttiin ja eJapani-strategiaan liittyen puolestaan kuultiin, että paikallishallinnon myöntämiä asukasrekisteröintikortteja on jaettu jo 450 000. Ne ovat ensisijaisia kortteja, jotka mahdollistavat pääsyn sähköisen hallinnon palveluihin. Lisäksi esiteltiin Aasian Smart Card -foorumia ja sen tavoitetta ”yksi Aasia ja yksi ’Silk Road’ -kortti”. Kansainvälinen Porvoo-ryhmä pyrkii tukemaan sähköisen henkilöllisyyden yleistymistä Euroopassa Porvoo-ryhmä on kansainvälinen yhteistyöverkosto, jonka päätavoitteena on edistää eri maiden välillä yhteensopivan, PKI-teknologiaan ja sähköisiin henkilökortteihin perustuvan sähköisen henkilöllisyyden toteutumista. Tarkoituksena on auttaa varmistamaan turvallista julkisen ja yksityisen sektorin sähköistä asiointia Euroopassa. Porvoo-ryhmä perustettiin nimensä mukaisesti keväällä 2002 Porvoossa EU:n eEurope 2002 -hankkeen yhteydessä. Siihen kuuluu hallinnon edustajia Euroopan maista. Puolen vuoden välein pidettäviin ryhmän kaksipäiväisiin seminaareihin on osallistunut myös edustajia yksityiseltä sektorilta ja Euroopan komissiosta. Jäsenmaiden määrä on kasvanut tasaisesti, ryhmän toiminnassa on mukana edustajia jo noin 30 maasta. Seuraava seminaari pidetään todennäköisesti Belgiassa syksyllä 2005 ja Porvoo 9 -seminaari on suunniteltu järjestettäväksi Sloveniassa keväällä 2006. Kymmenes seminaari pidettäneen jälleen Suomessa syksyllä 2006, jolloin Suomi on EU:n puheenjohtajamaana. Lisätietoja: Ylitarkastaja Päivi Pösö, Varmennepalvelut, puh. (09) 2291 6737 tai 050 591 7517, sähköposti päivi.pösö@vrk.intermin.fi Seminaariesitykset ja katsaus eri maiden tilanteisiin ym. lisätietoja internetissä: www.vaestorekisterikeskus.fi (Sähköinen henkilöllisyys -> Porvoo-ryhmä ja Electronic Identity -> Porvoo Group), www.fineid.fi ja http://porvoo7.fjarmalaraduneyti.is/ Tervehtien Viestintäsuunnittelija Irene Rissanen, puh. (09) 2291 6717 tai 050 573 7210