選挙のセキュリティ：警戒すべきときと、そうでないとき

Electronic Frontier Foundation

本稿は、シンディ・コーンの2020年の記事をEFFインターンのナズリ・ウンガンがアップデートしたものである。

有権者が投じた一票を正確に反映する、セキュアで信頼性の高い選挙システム。2024年の米国総選挙を前に、これまでと変わらず、誰もがそれを望んでいる。

同時に、投票テクノロジーやシステムのあらゆる問題に警鐘を鳴らす必要はない。全体像を見渡し、文脈を把握することが大切だ。そして、最悪の懸念が杞憂だと判明したときは、その懸念を取り下げる勇気も必要である。

選挙のセキュリティと完全性について語るとき、重要なキーワードは「レジリエンス」だ。選挙システムは攻撃やエラーに対して、技術面でも手続き面でもレジリエントでなければならない。その一方で、有権者も攻撃やエラーに関する虚偽や根拠のない主張に対して、レジリエントである必要がある。幸い、過去の経験と選挙セキュリティの専門家による研究から、何に注意を払い、何を気にしなくてよいのか、いくつかの教訓が得られている。

EFFの選挙セキュリティガイドはこちら： https://www.eff.org/document/election-security-recommendations

リスク制限監査の必要性

第一に、そして最優先すべきは、選挙テクノロジーとその運用を担う選挙管理者を支えるシステムの整備である。機械は故障し、人はミスを犯す。投票や集計が完璧に行われると考えるのは現実的ではない。むしろ、公式の選挙結果に影響を与えかねない問題を発見できる安全装置をあらかじめ組み込んでおく必要がある。

その最たるものが、選挙のたびにリスク制限監査（Risk-Limiting Audits）をじっしすることである。結果の正確性に疑いがない場合でも、実施されなくてはならない。リスク制限監査は選挙後の監査におけるゴールドスタンダードとされ、結果の信頼性を裏づける強力な根拠となる。この監査では、選挙結果の正確性が確認できるまで、無作為に選んだ投票用紙を手作業で確認していく。多くの場合、投票総数のごく一部を調べるだけで済むため、すべての選挙で実施できるほど低コストだ。接戦の場合は手作業で確認する票数が増えるが、それは当然のことである。正しい候補者が当選したことを念入りに確認する必要があるからだ。一部の州ではすでにリスク制限監査を義務づけている。他の州も早急にこれに倣うべきである。

私たち、そして選挙の完全性に関わる多くの専門家は、選挙システムの透明性向上、独立した検証の拡充、レッドチーム演習（エンドツーエンドの選挙前テストを含む）など、さらなる改善を訴え続けている。

紙の投票用紙は必須

第二に、紙の投票用紙による投票が極めて重要だ。これは今なお最もセキュアな戦略だ。理想を言えば、すべての有権者が手書きか補助機器を使って紙の投票用紙に記入し、投票前に自分の選択を確認できるようにすべきである。紙の記録がなければ、選挙後の監査も、エラーやセキュリティ上の問題が発生したときの再集計もできない。一方、紙の投票用紙なら、有権者は自分の選択が正しく記録されているかを確認できる。さらに重要なこととして、選挙管理者は紙の投票用紙の一部を手作業で数え、電子集計の結果と照合して正確性を検証できる。

2020年の選挙でミシガン州アントリム郡で起きた出来事は、紙の投票用紙の重要性を物語っている。同郡は選挙直後に不正確な暫定結果を発表し、その後3回にわたって訂正を行った。これが投票システムに関する陰謀論を引き起こした。しかし、同郡では紙の投票用紙を使用していたため、ミシガン州は郡全体で手作業の集計を行い、さらに州全体でリスク制限監査のパイロットプログラムを実施して、最終的な大統領選の結果を確認できた。これは紙の投票用紙があってこそ可能になったことである。

ただし、紙の記録にも種類がある。一部の直接記録式電子システムには、有権者による確認も、選挙管理者による監査や再集計も困難な「有権者確認済みペーパー監査証跡（Voter-Verified Paper Audit Trail）」が採用されている。最善の方法は、すべての投票を手書きか補助機器で記入する、あらかじめ印刷された紙の投票用紙で行うことだ。

第三に、選挙管理者が問題を徹底的に調査できるよう、投票システム全体を技術的に選挙管理者の管理下に置くことが重要である。これは、インターネット投票が悪手中の悪手と言われる理由の一つだ。電子投票システムには「セキュリティ、プライバシー、投票の秘密に関する重大な課題」があり、「たった一人の攻撃者が数千票、あるいは数百万票を改ざんすることも可能」になる。将来的には、インターネット投票のリスクを抑える技術が登場するかもしれないが、それまではインターネットを介した電子投票を含むいかなる提案も認めるべきではない。また、投票機は決してインターネットに接続したり、モデムを使用したり、無線通信を行ったりしてはならない。

第四に、テクノロジーに依存する投票プロセスには必ず紙のバックアップを用意し、機械が故障しても投票を継続できるようにしなければならない。電子選挙人名簿の紙のバックアップ、投票機故障時の緊急用投票用紙、有権者資格の確認ができない場合の仮投票用紙などが、これにあたる。

警戒と情報収集を怠らないこと

第五に、警戒を怠ってはならない。選挙管理者は、私たちが電子投票機とシステムへの懸念を提起し始めた頃から、大きな進歩を遂げてきた。しかし、市民も監視の目を緩めず、不審な点があれば指摘すべきだ。例えば、投票機が投票を「反転」させているように見えたら、投票所の係員に報告すべきだ。それは必ずしもセキュリティ侵害があったわけではなく、単なるキャリブレーションのずれかもしれないが、票が失われるおそれもある。緊急用投票用紙があれば、投票所の係員は直ちに問題に対処できるし、そうすべきである。

第六に、通常と異なる事態がすべて懸念材料とは限らない。誤情報に惑わされない社会的な耐性を構築しなければならない。CISAのウェブサイトElection Security Rumor vs. Reality（選挙セキュリティの噂と現実）は、選挙セキュリティに関する噂を検証し、どのような場合に警戒すべきか、あるいは警戒しなくてよいのか教えてくれる優れたリソースである。州ごとの情報もオンラインで確認できる。特定の地域で起こったという不可解な出来事を見聞きしたなら、まずは現地の選挙管理者の説明に耳を傾けるべきだ。実際にその場にいたのは彼らなのだから。また、Verified Votingのような超党派の選挙監視団体の見解にも注目する必要がある。

2024年の大統領選挙が迫るなか、11月には投票システムに関するコンピュータの不具合や不正操作の疑いが数多く言及されることになるだろう。何を懸念し、何を気にしなくてよいのか、その見極めがこれまで以上に重要になる。

その間も、選挙のセキュリティ向上とレジリエンスの構築を続けていかなければならない。すべての不具合が警戒を要するわけではないが、正当なセキュリティ上の懸念を軽視してはならない。よく言われるように、選挙セキュリティは終わりのないレースなのだから。

Election Security: When to Worry, When to Not | Electronic Frontier Foundation