以下の文章は、電子フロンティア財団の「Digital ID Isn’t for Everybody, and That’s Okay」という記事を翻訳したものである。
週に何回、運転免許証を取り出すだろうか。年齢制限のある商品を買ったり、薬を受け取ったり、バーに入ったりするのに、せいぜい2〜4回程度だろう。ところが、GoogleやAppleのウォレットで提供されているモバイル運転免許証(mDL)やその他のデジタル身分証明書(ID)を使い始めると、これまで以上に頻繁にIDを提示することになるかもしれない。この新技術によって、IDの提示を求められる場面が増える可能性があるからだ。
mDLやデジタルIDの導入は、各州がプライバシー保護策を整備するペースをはるかに上回っている。そしてそれは、これまで以上に多くの第三者にIDを提示することを射程に入れている。推進派は利便性を強調するが、デジタルIDは容易に新たな領域へと拡大していく。例えば、「年齢確認義務化法案」のような、万人を検閲する法案にまで及ぶ可能性がある。さらに、デジタルIDはセンシティブな状況で試験運用と、過去に類を見ないデータ追跡スキームの拡大が同時進行している状況だ。
デジタルID分野では、「これを正しく実施するにはどうすればいいか」という議論が、本来最も重要な「そもそもすべきなのか」という問いを置き去りにしがちだ。確かに、これらの新技術には強く推奨されるセーフガードがある。しかし、それ以上に重要なのは、個人がデジタル化ではなく従来の物理的な文書の使用を選択する権利を守ることだ。また、デジタルIDを平等化の手段として熱心に推進するのではなく、すべての人々がこの技術を理解し、自ら決定を下せるよう支援することが求められる。
ウォレットの中にあるのは?
最新のハードウェアにより、スマートフォンはより高度なセキュリティでセンシティブなデータや認証情報を安全に保存できるようになった。これにより、GoogleやApple Payがオンラインでeコマースサイトと取引データをやり取りするような機能が可能になっている。プラットフォームによって表現は異なるものの、知っておくべき重要な概念は「Trusted Platform Module」(TPM)である。このハードウェアにより、センシティブなデータは、「Trusted Execution Environments」(TEE)内で処理される。現在のスマートフォン、タブレット、ノートPCのほとんどにTPMが搭載されている。
デジタルIDは、GoogleやAppleのウォレット内でも(当然)最高レベルのセキュリティは確保されている。そのため、デバイスにmDLを登録しても、その内容が「クラウドに同期」されることはない。その情報はデバイス上に保存され、紛失・盗難の際にはリモートで認証情報を削除することもできる。
一方で、すでに普及しているデジタルウォレットとは別に、一部の州では独自のウォレットアプリを開発し、アプリストアからダウンロードするよう求めている。これらのアプリのセキュリティレベルはまちまちで、取り扱うデータの範囲も異なる。IDEMIA、Thales、Spruce IDなど、様々な民間企業が州ごとに異なるウォレット/IDアプリを開発している。欧州の(eIDAS)のようなデジタルアイデンティティフレームワークでは、必ずしもビッグテックに頼らずとも安全なウォレットを使用できる「オープンウォレット」の規定を設けている。
しかし、何よりもプライバシーとセキュリティが最優先されなければならない。プライバシーが二の次にされれば、デジタルIDはデータブローカーや悪意ある者にとって、またしても格好の餌食となりかねない。
新たなアナウンス、新たな射程
デジタルIDを巡る状況は、今年の夏に入って急速に動き始めた。
- 複数の州がmDLプロバイダーと契約を結んだ。
- 連邦機関が詐欺防止にデジタルIDの活用を検討している。
- 新しいAPIにより、ウェブサイトがユーザのmDLを照会できるようになった。
- TSAがAndroidの「デジタルパスポートID」を受け入れ始めた。
デジタルIDの推進派がよく挙げる例に「21歳以上」の確認がある。その説明はおおよそ次のようなものだ。
バーに行くと、スマートフォンで「21歳以上」であることを証明するよう求められる。用心棒はQRコードをスキャンするか、NFCでタップして、21歳以上であることを確認する。プライバシーも守られ、セキュアだ。用心棒はあなたの住所も、名前も知ることはない。これは「抽象的主張」と呼ばれ、詳細な個人情報ではなく、必要最小限の情報だけを伝える。生年月日や名前ではなく、単に「21歳以上」という事実だけを確認するわけだ。
しかし、このわずかなプライバシー上の利点と引き換えに、私たちは高すぎる代償を払うことになるかもしれない。mDLは物理的なIDカードの代替になるだけでなく、企業や政府機関が様々な場面でIDの提示を求める機会を増やすことにつながりうる。実店舗やオンラインサービス、商品やサービスへのアクセスに際して、利用者の身元証明を要求するシナリオが拡大する可能性が高い。我々の個人データは、1週間、あるいは1日に複数回の頻度で照会されることになるかもしれない。この新たなプライバシーへの脅威は、バーの用心棒が一瞬IDを見て生年月日を確認する程度の危険性をはるかに上回る。バーでIDをスキャンするケースだけでなく、オンラインでのデジタルIDの提示によって生じるプライバシーリスクの拡大を視野に入れて考えなければならない。
民間企業がmDLを読み取れるようにする取り組みは進んでいるものの、現時点でこれらの認証情報は主にTSA(運輸保安庁)で使用されている。Appleとの契約や合意を見ると、同社がmDLのマーケティングや可視性をほぼ完全にコントロールしていることがわかる。
普及を後押しするもう一つの動きとして、Androidが国内旅行用のデジタルパスポートIDを作成できるようにした。この開発は、州発行の身分証明システムに「REAL ID」を強制しようとする連邦政府の20年来の取り組みと無関係ではない。REAL IDは、すべての人のプライバシーを侵害し、非正規滞在者をさらに疎外する失敗したプログラムだ。現在、連邦レベルでのデジタルIDの採用はTSAに限られているが、この範囲は容易に拡大していくだろう。TSAは(同機関の説明によれば)州による「イノベーションを可能にする」ために、mDLの規則を提案しようとしている。同時に、すべてに適用される統一規則の検討も進めている。これは非常に懸念すべき事態だ。TSA——そしてその親機関である国土安全保障省——の影響力は広範囲に及ぶ。彼らが今デジタルIDについて下す決定は、空港をはるかに超えて影響を及ぼすことになるだろう。
Equity First > Digital First
最も弱い立場にある人々のための新しいデジタルID計画が議論されているが、デジタルIDは(プライバシーと同様に)公平性を念頭に設計されなければならない。
GoogleのDigital Credential APIとAppleのIP&Vプラットフォーム(カリフォルニア州との合意にちなんだ名称)により、この2つの巨大企業は既存の年齢確認プラットフォームと直接競合することになる。これは、誰に対してもオンラインでIDを要求できる状況を生み出すことになり、深刻な問題をもたらすことになるだろう。この影響は、現在一般的に年齢制限されているコンテンツを超えて広がるおそれがある。州や国によっては、LGBTQIAコンテンツや中絶に関する情報などのコンテンツを「子どもに有害」とみなし、そのアクセスに年齢確認を義務づける可能性すらある。
多くの人にとって、銀行口座の開設は当然のことのように思っているし、デジタルIDはこれをより便利にするように思える。しかし現実には、何百万人もの労働者が現在銀行口座を持っていない。デジタルIDは彼らの問題を解決しない。低所得であるがゆえに、基本的なサービスや書類さえ手に入れられない人々が大勢いるのだ。また、米国には何百万人もの身分証明書を持たない人々がいる。交通法規とはなんの関係もない債務の未払いによる免許停止など、さまざまな理由でコンプライアンスの障壁に直面することの多い人々に対して、年齢確認技術を用いた新たな制度を強いてはならない。こうした複雑な生活状況を考慮した制度でなければ、摩擦を大幅に軽減すると謳われる新しい年齢確認システムは、むしろデジタルIDを持てない人々の即時かつ自動的な「拒絶」につながりかねない。
さらに問題なのは、スマートフォンを持っていないか、最新機種を使っていない、あるいは家族とスマートフォンを共有している人々が多いという現実だ。「デジタル・ファースト」を唱える人々は、1人1台のスマートフォンを前提としている。確かに一部の人々にはそれで問題ないかもしれないが、重要なサービスにアクセスするために電話や対面での対応を必要とする人々もいる。mDLの場合、その取得に物理的なIDが求められ、さらに物理的なIDも携帯も求められる。つまり、デジタルIDは物理的なIDを持たない人々の問題を解決できない。この現実を無視することは、現実の問題に目を背け、見せかけの解決策にすがることにほかならない。
デジタルIDは避けられないのか?
いや、デジタルIDがすべての人にとって不可避なものであってはならない。誰もがそれを望んでいるわけではないし、手に入れる手段すら持っているわけでもない。また、デジタルIDがもたらす危険性も、政府が人々を保護する法律を制定することで抑止できるはずだ。包括的な連邦プライバシー法の制定も大きな前進となるだろう(何度目かの提言になるが)。
イリノイ州は最近、法執行機関とmDLの関係に対処する法律を可決した。これは前進だ。少なくとも、法執行機関がmDLスキャンへの同意を違法捜索に用いることは禁止されなくてはならない。フロリダ州はmDLアプリをアプリストアから完全に削除し、すでにダウンロードした住民にも削除を求めた。明確な問題に対処せずにデジタルIDを押し進めるのではなく、一度立ち止まって考え直したのは賢明な判断だったと言える。
州および連邦政府によるデジタルIDの採用は、アクセスの迅速化、不正防止、利便性の向上といった主張に基づいている。しかし、デジタルIDがオンライン認証の手段として提案されている以上、公的支援の申請を促進するどころか、むしろ阻害する可能性の方が高い。だからこそ、法的保護はデジタルID自体と同等、あるいはそれ以上に重要だ。
立法者は、デジタルIDの有無にかかわらず、すべての人々が平等にサービスにアクセスできる環境を整備すべきだ。
Digital ID Isn’t for Everybody, and That’s Okay | Electronic Frontier Foundation
Author: Alexis Hancock / EFF (CC BY 3.0 US)
Publication Date: September 25, 2024
Translation: heatwave_p2p