三分一技術士事務所

OpenPeppol・Peppol Authority・Service Provider の責任分担と報告のしくみ

Views: 1

1. はじめに

OpenPeppol の文書は量が多く、しかも「契約」「内部規程」「運用手順」「補助資料」が分かれているため、誰が何を運用し、誰に何を報告し、どこで判断が行われるのかが見えにくい。

本稿は、次の2つの公開ページと、それらに紐づく主要な運用文書をもとに、
OpenPeppolPeppol Authority(PA)Service Provider(SP) の責任分担を、
「サービス運用管理」と「報告」の観点から整理するものである。

参照した主な入口ページは次の2つである。

また、あわせて次の文書群を参照した。

  • OP – Change Management v1.0

  • OP – Extended Use v1.0

  • OP – Issue Reporting and Management v1.0

  • OP – Non-compliance Management v1.0

  • OP – Onboarding and Accreditation of Peppol Service Providers v1.0

  • OP – Peppol Authority Specific Requirements v1.0

  • Inventory of PEPPOL artefacts_updated 2022.02.16.xlsx

  • Peppol SLA requirements – Explanatory note 1.0

  • Peppol Service Level Requirements v1.0.1

Note

PIF の総合ページは 2025 年更新のハブであり、そこから参照される Agreement / Internal Regulations には 2024〜2025 の更新もある。
一方、本稿で詳しく見る Operational Procedures 群と SLA 文書は、アップロードされた 2022-02-15 承認版を中心に読んでいる。
また、End User Statistics Reporting の実装仕様は docs.peppol.eu 側の現行公開版(eDEC v1.1.1)を参照した。
したがって本稿は、「運用手順の骨格は 2022 文書で整理し、報告仕様や総合入口は現行公開ページで補う」読み方である。

2. まず全体像:PIF は「契約・規程・手順・補助資料」の束

PIF 総合ページが示しているのは、Peppol Governance Framework を構成する文書群の全体目次である。
そこでは、Peppol Interoperability Framework は 2022-07-01 から適用され、
この空間に Agreements、Internal Regulations、PASR、Operational Procedures、Supporting documents の最新版が置かれていると説明されている。

この構造を、運用管理の観点で言い換えると次のようになる。

文書群 役割

Agreements

OpenPeppol と PA、PA と SP の契約上の関係、責任分界、義務の根拠を定める。

Internal Regulations

ネットワーク利用の共通ルール、準拠ポリシー、認定ポリシー、PASR の位置づけなどを定める。

Operational Procedures

実際の運用手順を定める。オンボーディング、障害報告、非準拠対応、変更管理、拡張利用、統計報告など。

PASR

各 PA が自国・自地域の事情に応じて追加する固有要件。適用条件や承認手順は OpenPeppol の枠内で管理される。

Supporting documents

SLA や artefact inventory など、実装・運用を補助する文書。

重要なのは、Operational Procedures 各文書の冒頭で一貫して、
Agreement が最上位、次に Internal Regulations、その下に Operational Procedures という優先順位が明示されている点である。
つまり、日々の運用は Operational Procedures で回るが、法的・制度的な根拠は上位文書にある。

3. 三者の基本役割

本稿の主題である三者の役割を、まず大づかみに整理すると次のようになる。

主体 基本的な立場 主な運用責務 主な報告・判断

OpenPeppol

Peppol Coordinating Authority / 中央運営主体

共通ルールの運営、中央基盤・中央手続の管理、証明書発行手続の一部、登録簿・公開情報の管理、中央レベルの二次対応

RFC 登録、Issue 登録、未提出統計の督促、公開・通知、MC への推薦、必要に応じ証明書失効やアクセス除去の実行

Peppol Authority

各法域・地域の監督主体

SP と契約を結び、法域内の認定・監督・一次支援を担う

SP からの issue / non-compliance 報告の受付、調査、是正要求、OpenPeppol への escalation、PASR 提案

Service Provider

実際に市場へ Peppol サービスを提供する事業者

AP や関連サービスの運用、SLA 遵守、証明書取得、テスト、ログ保全、障害対応、統計集計

PA / OpenPeppol への issue 報告、統計報告、RFC 提出、オンボーディング申請、是正対応

この三者関係は、一般の通信ネットワークにたとえると次のように理解すると分かりやすい。

  • OpenPeppol は「ネットワーク全体のルールを運営する中央事務局」

  • PA は「各法域の監督窓口」

  • SP は「実際に顧客へサービスを提供する事業者」

4. 責任分担図:サービス運用管理の全体像

次の図は、本稿で扱う文書群を、サービス運用管理と報告の観点で並べ替えた責任分担図である。

Diagram

ここで重要なのは、
日々の利用者接点は SP が担う一方で、
法域内の監督と一次統制は PA が担い
複数法域にまたがる問題、中央基盤、公開・登録・全体整合は OpenPeppol が担う という分担である。

5. 領域別にみる責任分担

5.1 オンボーディングと認定

SP が Peppol ネットワークに参加する際には、
Onboarding and Accreditation of Peppol Service Providers が中核手順になる。

この手順では、流れは概ね次のように整理されている。

  1. SP がテスト証明書を申請する

  2. OpenPeppol OO が会員資格や必要添付書類を確認する

  3. PA が日次の証明書承認や法域側の確認を行う

  4. SP が中央 testbed で自社サービスを試験する

  5. SP が PA と SP Agreement を締結する

  6. PA が必要ならローカル認定を実施する

  7. PA が署名済み SP Agreement を OO に通知する

  8. OO が本番証明書の発行手続きを行う

責任分担を表にすると次のとおりである。

項目 OpenPeppol / OO PA SP

テスト証明書

Service Desk 受付、会員確認、証明書 enrol

承認者として証明書申請を確認

申請、ダウンロード、導入

試験

中央 testbed を提供し、結果を確認

必要に応じ法域観点を確認

仕様に従って自ら試験し、レポートを取得

SP Agreement

PA から締結済みの事実を受領・記録

会員確認、本人確認、ローカル認定、契約締結、OO への通知

PA に申請し、契約締結

本番証明書

テスト完了・契約締結・PA 承認を確認し、本番証明書 enrol

ローカル認定と契約締結を確認・承認

本番証明書を申請し、取得

ここでのポイントは、OpenPeppol が中央 testbed と PKI 手続を握り、PA が法域内の認定と契約を担い、SP が試験実施主体である という点である。

5.2 日常運用と SLA

SP が本番運用に入った後の最低サービス品質は、Peppol Service Level Requirements で定義される。

この文書は、Peppol Service Provider Agreement に基づく最低要件として位置づけられている。

SLA 文書と explanatory note を読むと、SP に求められる主要責務は次のように整理できる。

  • タイムアウト値の適切な設定

  • 規定サイズの文書を処理できること

  • 所定の可用性を維持すること

  • 失敗時に利用者へ failure report を返すこと

  • 受信側が技術受領応答を所定時間内に返すこと

  • 非配達時に利用者へ通知し調査を開始すること

  • REM evidence やトランザクションログを保存すること

  • バックアップとリカバリ手順を整備すること

  • 計画停止を所定期間前に通知すること

  • 他 SP に影響する incident を所定時間内に通知すること

SLA の本体は要件表であり、explanatory note は、
「どの時間区間を timeout や unavailable と測るか」
「backup and recovery の時間範囲をどう解釈するか」
を補足している。

したがって、日常運用の主体は SP だが、
その運用品質は Agreement + SLA + explanatory note という組合せで拘束される構造になっている。

5.3 障害・インシデント報告

Issue Reporting and Management は、
障害、相互運用問題、セキュリティ事故、情報漏えい、中央基盤障害などを扱う手順である。

この文書を運用フローとして読み直すと、報告経路は次のようになる。

End User / Intermediary
        │
        ▼
   Service Provider
        │  unresolved / serious issue
        ▼
 Peppol Authority
        │  wider impact / central infrastructure / legal or brand risk
        ▼
   OpenPeppol (OO)

ただし、SP は次のような場合には PA を経ずに直接 OpenPeppol へ行くことが認められている。

  • 中央化サービスに関わる問題

  • 重大で迅速な解決が必要な問題

  • PAs も「中央基盤・広域影響・ブランド毀損・法的リスク」の場合は即時 escalation すべき問題

役割分担は次の表が分かりやすい。

段階 OpenPeppol / OO PA SP

初動

中央案件では直接受理可

一次窓口となる

まず相手方・関係者との直接解決を試みる

登録

issue register に登録

issue register に登録

Issue Report を提出

優先度判断

中央案件の priority を判断

Critical / Urgent / Timely / Convenient を判断

自ら priority / severity を申告

調査

中央案件の二次調査、複数 PA 調整

法域内の一次調査・一次調整

ログ・データ・説明を提出し協力

解決

中央基盤や広域影響の解決、全体通知

参加者・SP・他PA と連携して解決

暫定措置、修正、顧客連絡、再発防止

ここでの要点は、PA は一次支援と一次判断を担うが、ネットワーク全体に関わる問題は OpenPeppol が二次対応する ことである。

5.4 非準拠対応

Non-compliance Management は、
障害対応とは別に「ルール違反・契約違反・準拠違反」を扱う手順である。

これは運用上とても重要で、Issue Management が
「まずサービスを復旧・解決する」ことに重心があるのに対し、
Non-compliance Management は
「違反かどうかを認定し、是正させ、必要なら制裁する」ことに重心がある。

この手順を段階で並べると、おおむね次の順序になる。

  1. party への直接指摘

  2. 正式報告

  3. 調査

  4. warning note

  5. 非準拠リスト掲載(会員向け)

  6. 公開サイト掲載

  7. 証明書停止

  8. ネットワークからの除去

  9. MC への review 要求

責任分担を整理すると、次のようになる。

段階 OpenPeppol / OO PA / CT SP

報告受付

OpenPeppol as PA の場合は直接受理

原則として一次受付・一次調査

自己の違反は報告義務、他者の違反は必要に応じ報告

調査

必要に応じ CT と連携、登録・通知

違反有無、影響範囲、是正期限を判断

情報提供、是正、説明

公表

会員向け掲載・公開掲載を実施

公表判断を主導し PA サイト掲載も行う

是正しなければ公表対象となる

証明書停止

指示に基づき証明書 revoke を実行

warning note 発出、停止判断、登録更新

是正するか review を求める

除去

アクセス除去を実行し、公開・通知を補助

除去判断と SP への通知

再申請は可能だが、過去の違反は考慮されうる

この構造から分かるのは、PA / Compliance Team が判断主体、OO が実行・公開主体 であることだ。
特に証明書停止やアクセス除去のような技術的実施は OO が担う。

5.5 変更管理

Change Management は、Peppol Interoperability Framework の変更を扱う。
対象は、

  • technical artefacts

  • internal regulations / operational procedures

  • agreements

の3群である。

サービス運用管理の観点で重要なのは、
OO が RFC の受付・登録・初期分析・割当を担い、CMB が評価し、MC や PAs が決定する という多段構造である。

特に agreements の変更では、
PA や SP も RFC 提出者になり得る。
一方、OO 自身も compliance activities、issue management、operational activities から改善点を見つけて RFC を起票できる。

また、変更管理は単に承認で終わらず、Migration Plan が重要である。
新旧 artefact の切替時期、必須化時期、旧版廃止時期、影響先、必要支援まで計画に入る。
そして OO は、その計画に従って artefact 公表、メール通知、移行支援の実務を担う。

これは、OpenPeppol が単なる「仕様の掲示板」ではなく、
運用移行まで含めた変更統制機能 を持っていることを示している。

5.6 PASR(PA 固有要件)

PIF 総合ページで特に重要なのが PASR である。
ページでは、
新しい PIF の下では PASR が、当該 PA の管轄に所在する sender / receiver 顧客を持つ SP に自動適用されると説明されている。

OP - Peppol Authority Specific Requirements を読むと、
PASR の導入は自由放任ではなく、次の統制を受ける。

  1. PA が RFC を提出

  2. OO が登録・初期分析

  3. Compliance Team が PIF 整合性レビュー

  4. 既存 PA と SP への consultation

  5. OO が MC に recommendation

  6. MC が承認・否認

  7. OO が公開・通知

つまり PASR は、各国が好き勝手に追加条件を課す仕組みではなく、
各 PA のローカル要件を、OpenPeppol 全体の整合性の中で審査し公開する仕組み である。

さらにテンプレートを見ると、PASR の対象は単なる法的要件だけではない。

  • identifier schemes

  • information security

  • end user / transaction statistics reporting

  • mandatory use of centralised services and global specifications

  • service level requirements

  • local interoperability specifications

  • service provider accreditation

といった項目が並んでいる。

これは、PA が自国ルールを追加できる領域が、
識別、セキュリティ、報告、SLA、認定 まで及ぶことを意味する。

5.7 Extended Use

Extended Use は、既存の global Service Domain を越えて、
ローカル extension や Local Service Domain を導入する手順である。

ここでも主導権は PA にある。
PA が RFC を起票し、OO が Extended Use Register に登録し、
影響評価・関係者 consultation・推薦・MC 決定・公表へ進む。

この手順は、技術仕様の新規導入そのものというより、
ローカルな業務領域や文書拡張を、Peppol 全体の運用秩序の中で認める手続 である。

運用管理上の意味は明快で、
「ローカル拡張はできるが、勝手に network 外延を広げるのではなく、OO と MC が全体整合を確認する」
という統制になっている。

5.8 統計報告

報告の観点で最も明示的なのが、End User Statistics Reporting である。

Peppol End User Statistics Reporting Process は、
SP が Reporting Period ごとに End User Statistics Report を OpenPeppol へ送る仕様を定めている。
このページによれば、SP は次を行う。

  • relevant data を収集する

  • 正確性・妥当性に注意して集計する

  • Reporting Period ごとに期限内に報告する

  • 標準化された structured dataset として OpenPeppol に送る

一方、OO は次を行う。

  • 未提出 SP を自動チェックする

  • 未提出 SP にメールで督促する

  • 不完全報告が続く場合は、その SP の PA に通知し non-compliance issue として扱う

ここに、OpenPeppol と PA の関係が非常によく表れている。

  • 統計の提出先は OpenPeppol

  • ただし提出しない SP の監督責任は PA が負う

つまり、中央集約報告 + 法域監督 の二層構造である。

この報告の特徴を整理すると次のようになる。

項目 内容

報告主体

SP

受信主体

OpenPeppol のみが直接受信

経路

Peppol eDelivery Network 経由

対象

本番 network の production data のみ

対象 SP

production AP を運営する SP

集計単位

participant ID ではなく end user 単位

主要データ

sending / receiving / sending or receiving の distinct end users 数、Document Type ID、Process ID、End User Country

未提出対応

OO が督促し、必要に応じ PA へ通知して non-compliance 扱い

この仕組みは、Peppol が単なるメッセージ配送網ではなく、
ネットワーク運営のための中央モニタリング機能 を持つことを示している。

6. 報告ルートをテーマ別に整理する

ここまでを、ブログ読者が把握しやすいよう「誰が誰に何を報告するか」で再整理すると次のようになる。

テーマ 誰が 誰に 何を

オンボーディング

SP

PA / OO

証明書申請、試験結果、契約締結申請、必要書類

契約締結後通知

PA

OO

SP Agreement 締結済みであること、ローカル認定完了の確認

日常インシデント

SP

PA

Issue Report、影響、原因、priority、mitigations

中央・広域インシデント

SP または PA

OO

中央基盤、広域影響、ブランド・法的リスクを伴う issue

非準拠

SP / 他当事者 / PA / OpenPeppol

PA または OO

actual / suspected non-compliance

統計報告

SP

OpenPeppol

End User Statistics Report などの統計報告

PASR

PA

OO → MC

PA 固有要件の RFC と関連文書

Extended Use

PA

OO → MC

ローカル domain / extension の RFC と関連文書

一般変更提案

SP / PA / OpenPeppol Member / OO

OO → CMB / MC / PAs

RFC、影響評価資料、移行計画案

7. Inventory of PEPPOL artefacts の位置づけ

アップロードされた Inventory of PEPPOL artefacts_updated 2022.02.16.xlsx は、規範文書そのものではなく、
Peppol artefact の管理台帳である。

このファイルの主表には、少なくとも次の管理項目がある。

  • Ref. No.

  • Name

  • Owning Domain Community

  • Relevant Stakeholder Communities

  • Post-Award / Pre-Award / addressing での利用有無

  • Type

  • Latest version

  • Last modification

  • Status

  • Publication URLs

したがって、この台帳の役割は、
「どの artefact が存在し、誰が所管し、どのドメインで使われ、最新版は何か」
を横断的に見せることにある。

言い換えると、SLA や Operational Procedures が
運用ルールの本文 であるのに対し、Inventory は
文書管理・構成管理の索引 である。

これは、Change Management や Supporting documents の読み解きにとって有用である。
どの artefact を誰が持ち、どこで公開し、どのステータスにあるかを俯瞰できるからである。

8. 実務的に見ると、三者はどう分業しているのか

以上を実務的な一言でまとめると、次のようになる。

8.1 OpenPeppol

OpenPeppol は、単なる「標準化団体」ではなく、
中央基盤・中央登録・中央手続・中央公開・中央モニタリング を担う運営主体である。

特に OO は、

  • Service Desk の入口

  • RFC / issue / extended use / PASR の registers 管理

  • 未提出統計の督促

  • artefact と migration plan の公表

  • 証明書の enrol / revoke の実施

を担っており、実務上はかなり強い運営機能を持つ。

8.2 PA

PA は、各法域での 契約・認定・監督・一次支援 を担う。

つまり PA は、単にローカル事情を主張する組織ではなく、

  • SP Agreement の相手方

  • ローカル認定の実施者

  • issue / non-compliance の一次窓口

  • PASR の提案主体

であり、法域内の運用管理責任者 に近い。

8.3 SP

SP は、単なる接続事業者ではなく、

  • SLA を満たして本番運用すること

  • ログ・証跡・バックアップを整備すること

  • 事故時に適切に報告・協力すること

  • 期限内に統計を提出すること

  • 変更や移行に追従すること

まで含めて責任を負う。

したがって、Peppol の SP は「AS4 でつなぐだけの事業者」ではなく、
ガバナンス文書に組み込まれた運用責任主体 である。

9. 日本から見た示唆

この整理から見える重要な点は、Peppol が
単なるメッセージ交換仕様 ではなく、
運用管理・監督・報告・是正・公表まで含むネットワーク統治モデル だということである。

とくに日本で「共通EDI」や「4コーナーモデル」を考える際に参考になるのは、次の3点である。

  1. SP を束ねる一次監督主体(PA 相当)の存在

  2. 中央運営主体が register / service desk / publication / monitoring を担う構造

  3. 統計報告、障害報告、非準拠対応、変更管理が制度として接続されていること

Peppol が強いのは、SML/SMP や AS4 のような技術要素だけではない。
その上に、
誰が何を報告し、誰が受け止め、誰が判断し、誰が公開し、誰が是正を命じるか
が手順として定義されている点である。

10. おわりに

OpenPeppol、PA、SP の関係を一文で言えば、

SP がサービスを運用し、PA が法域内で監督し、OpenPeppol がネットワーク全体を統制する

という構造である。

そしてその統制は、

Agreement で義務を定め、
Internal Regulations で共通ルールを定め、
Operational Procedures で実務手順に落とし込み、
SLA・統計報告・Inventory で日常運用を可視化する

という多層構造で実現されている。

Peppol を理解するうえでは、SML や SMP のような discovery の仕組みだけを見るのでは不十分である。
本当に重要なのは、その背後にある
サービス運用管理と報告の制度設計
である。

略語一覧

略語 英語名称 意味・この文書での位置づけ

AF

Agreement Framework

OpenPeppol の契約・規程・運用手順をまとめた文書群・管理スペース。

AP

Access Point

Peppol ネットワークで文書を送受信する接続点。Service Provider が提供する中核サービス。

AS4

Applicability Statement 4

Peppol eDelivery で採用されるメッセージング方式。送達や技術受領応答の基盤となる。

BIS

Business Interoperability Specification

Peppol の業務メッセージ仕様。請求書や統計報告などの文書仕様を定める。

CMB

Change Management Board

変更要求の内容を審査し、影響評価や採否案を整理する組織。

EUSR

End User Statistics Report

Service Provider が OpenPeppol に報告する利用者数統計レポート。

MC

Managing Committee

OpenPeppol の主要な意思決定機関。規程、手順、拡張、各種承認を行う。

OO

Operating Office

OpenPeppol の日常運用を担う事務局機能。報告受領、手順運用、関係者調整、通知などを実施する。

OP

Operational Procedure

契約・内部規程を実運用に落とし込んだ手順書。Onboarding、Issue Reporting、Change Management などが含まれる。

PA

Peppol Authority

各国・各地域で Peppol ネットワークの参加者管理やローカル要件管理を担う機関。

PASR

Peppol Authority Specific Requirements

各 PA が自国・自地域事情に応じて定める追加要件。

PIF

Peppol Interoperability Framework

Peppol の契約、内部規程、運用手順、補助資料を束ねた相互運用枠組み全体。

PKI

Public Key Infrastructure

証明書発行・管理の基盤。Peppol 参加者認証と安全な通信に用いられる。

RfC

Request for Change

仕様や規程の変更要求。Change Management 手続の起点となる。

SLA

Service Level Agreement

可用性、応答時間、通知義務など、Service Provider が満たすべきサービス品質要件。

SML

Service Metadata Locator

参加者識別子から参照先 SMP を見つけるための上位ディレクトリ機能。

SMP

Service Metadata Publisher

参加者が受信可能な文書種別、プロセス、AP 情報などを公開するメタデータ機能。

SMK

Service Metadata Locator Key Management

SML 関連の鍵管理・証明書管理に関わる仕組み・運用領域。

SP

Service Provider

Peppol の利用者に AP 等のサービスを提供する事業者。統計報告、SLA 遵守、障害対応などの主体。

TSR

Transaction Statistics Report

Service Provider が OpenPeppol に報告する文書流通件数統計レポート。
Note

本稿では、OpenPeppol、Peppol Authority、Service Provider の責任分担を説明するため、特に OO、PA、SP、MC、CMB、PASR、SLA、EUSR、TSR を重要な略語として扱う。

参考リンク

公開ページ

本稿で参照した主な文書

上記 Peppol Interoperability Framework B4. Operational Procedures より

Share this…

投稿日

カテゴリー:

, , ,

投稿者:

Nobuyuki

タグ:

コメント

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です