CP（Certificate Policy：証明書ポリシー）、CPS（Certification Practice Statement：認証業務運用規程）

これらの文書は、公開鍵基盤（PKI）の信頼性を担保し、利用者が安心して電子証明書を使用できるようにするために不可欠です。また、第三者機関による監査や法的要件への適合にも活用されます。

CP（証明書ポリシー）/CPS（認証運用規程）をもっと知る

証明書ポリシー（CP）と認証運用規程（CPS）は、電子認証局（CA）が電子証明書をどのように発行・管理・運用するかを定義した基準文書です。

CP（Certificate Policy）
認証局が電子証明書を発行する際の運用方針や要求事項を定めた文書です。
電子証明書を発行する際にどのレベルの本人確認を行い、どの用途で使用できるかなど、信頼性の枠組みを示します。

CPS（Certification Practice Statement）
認証局がCPで定義された方針を具体的にどのような手順で実施するかを詳細に記述した運用実務文書です。
鍵管理、証明書ライフサイクル管理、失効処理、ログ管理、監査対応などの具体的な運用方法を規定します。

※CPとCPSが一つの文書となっていて章ごとに構成されている場合もあります。

よくある誤解・Q&A

Q1. CP と CPS の違いは？

A1. 「何を実現するか」 がCP、「どう実現するか」がCPS です。
-CP：証明書発行の方針や要求事項
-CPS：その方針を実際に実施するための運用手順
例えるなら、CP＝ルール・基準書、CPS＝手順書（実務マニュアル）という関係です。

Q2. CP/CPS はなぜ必要なのですか？

A2. 電子証明書の信頼性を担保するために必要不可欠だからです。
具体的には以下の理由があります。

• 証明書の発行基準が外部から確認できる
• どのレベルの本人確認が行われたかを透明化できる
• 運用体制・セキュリティ基準が明確になる
• 電子契約やeKYCなど、法的要件の裏付けとなる
• 第三者監査（WebTrust等）の基準文書になる

CP/CPS の公開は、PKIにおける“信頼の可視化”を実現するための重要な条件です。

Q3. CP/CPS が公開されていない認証局は利用してよいですか？

A3. 一般的には利用は推奨されません。監査基準を満たしていない可能性があるなど認証局の透明性が担保されていないためです。

Q4. 証明書の種類によってCP/CPSは変わるのですか？

A4. 多くの認証局では、運用や用途の別に複数のCP/CPSを用意しています。（例：国の認定認証業務の認証局／パブリック認証局／企業内のプライベート認証局、ドキュメント署名用／デバイス認証用など）

関連用語

• 公開鍵基盤
• 電子認証局
• 電子証明書
• CRL（Certificate Revocation List：失効リスト）

関連記事

• リモート署名において重要な署名鍵のセキュリティ
• 電子帳簿保存法の対応におけるタイムスタンプの活用
• セコムパスポート Plusは電子署名法に準拠しています