(EFF) デジタルIDはプライバシーと公平性を考慮した設計が必要

Categories
< Back
You are here:
Print

(EFF) デジタルIDはプライバシーと公平性を考慮した設計が必要


by alexis hancockaugust 31, 2020

デジタルの世界では、私たちのデジタルアイデンティティの確認が求められる頻度が高まっている。しかし、デジタルIDの設計を誤ると、私たちのプライバシーを侵害し、既存の社会的不平等を悪化させる可能性がある。そのため、デジタルIDをどのように設計するかを議論する際には、プライバシーと公平性を第一に考えなければならない。

人のアイデンティティには、学位、モラル、趣味、学校、職業、社会的地位、個人的な表現など、多くの要素が関わる。これらがどのように表現されるかは、文脈によって異なって見える。時には、アイデンティティは紙の文書の形で提示されたり、オンラインのアカウントの場合もある。

人々がさまざまなサービスや活動のためにオンラインアカウントを作成するようになって以来、オンラインアイデンティティの概念がゆがみ、再構築されてきた。近年、多くの人が「自己主権型アイデンティティself-sovereign identity(SSI)」という考え方を議論している。これは、自分が誰であるかを確認するための仲介者を世界との間に介在させることなく、自分のアイデンティティを自由に共有し、デジタルで確認し、独立して管理することができるというものだ。このようなアイデンティティは、非同期的で、分散的で、ポータブルであり、そして何よりも、アイデンティティの保有者がこれをコントロールできるものだ。SSIの注目すべきコンセプトは「分散型識別子」だ。これは人が自分のアイデンティティを管理する技術的なエコシステムに焦点を当てている。

デジタル形式のIDを求める声が高まってきている。推進派は、さまざまな文脈で自分の ID を証明する方法がより簡単で合理的になること、 政府サービスへのアクセスがより迅速になること、ID がより包括的になると主張している

最近、このアイデアを実世界のアプリケーションに展開するいくつかの技術仕様が発表された。この記事では、そのうちの 2 つについて、このような概念のプライバシーおよび衡平性への影響と、それらが実際にどのように展開されているかに焦点を当てて説明する。

信頼モデル

デジタル・アイデンティティを扱う主な仕様では、発行者/保有者/検証者の関係を表す「トラスト・モデル」の枠組みの中にその仕様を位置づける。これは、三者関係で表わされることが多く、これがデジタルIDに関わる当事者間の情報の流れを示す。

Issuer Holder Verifier Relationship Displayed in a Triangular Fashion with one way relationships between each part
発行者(issuer)・保有者(holder)・検証者(verifier)の関係を三角関係で表示し、各部を一方通行で結ぶ

誰が発行者と検証者の役割を果たすのかという問題は、文脈によって変わる。たとえば、ウェブ・サーバ(検証者)が訪問者(保有者)に彼らの ID の検証を求めることがある。別のケースでは、法執行官(検証者)が運転者(保有者)に運転免許証の検証を求めることがある。これらの 2 つのケースのように、検証者は人間である場合もあれば、自動化された技術の場合もある。

発行者は、一般的に、大学の学位や職業証明書のようなある種の文書をあなたに発行した機関のように、あなたがすでに確立された関係を持っている機関である。デジタルIDを議論する際には、このようなより権威のある関係を認識することが重要であり、個人がどの程度コントロールできるかを検討する必要がある。

検証可能な証明書

さて、デジタル・アイデンティティ・システムの枠組みが確定されたとして、発行者、保有者、検証者の間で実際に 通過するもの、すなわち検証済み認証情報(verified credential)がどうなるのかについて説明する。検証済み認証情報とは何か? 簡単に言えば、発行者、保有者、検証者の間で信頼されている資格のことだ。

2019年11月、World Wide Web Consortium(W3C)は、重要な標準規格である「検証済み認証情報データモデルVerified Credential Data Model」を発表した。

これは、分散型アイデンティティの原則を満たす形で、トラストモデルのフォーマットでビルトインされたものだ。検証済み認証情報の構造は、認証情報メタデータ、正当な資格claim、およびその資格証明の 3 つの部分で構成されている。認証情報 メタデータには、発行日、コンテキスト、およびタイプなどの情報を含めることができる。

..

“id”: “http://example.edu/credentials/1872”,

“issuingDate”: “2010-01-01T19:73:24Z”,

“type”: [“VerifiableCredential”, “AlumniCredential”],

このVCのIDの部分は、W3Cが起草した仕様Decentralized Identifiersに道を譲っている。この仕様は、ポータビリティの観点から、分散型/主権型アイデンティティDecentralized/Sovereign Identityの原則を念頭に置いて構築されている。

“id”: “did:example:ebfeb1f712ebc6f1c276e12ec21”,

“alumniOf”: {

これらの仕様は構造体structureを提供するものではあるが、データのインテグリティを保証するものではない。

モバイル運転免許証

デジタル・アイデンティティの構築および交換方法を定義する仕様の策定に取り組んでいる標準化団体は、W3Cだけではない。国際標準化機構(International Organization for Standardization)には、モバイル・ドライバーズ・ライセンス(mDL)アプリケーションがモバイル・デバイス上でどのように機能するかを定義する、まだ公表されていない標準がある。この規格は、前述の信頼モデルを踏襲しており、運転免許証を確認するための交換に携帯電話を使用する方法にも拡張されている。

この仕様は、分散型アイデンティティを中心としたものではない。むしろ、モバイル・アプリケーションにおける政府発行のIDのモバイル・ポータビリティを定義している。これは、さまざまな政府が試みたデジタルIDの選択肢の1つの議論に関連している。モバイル運転免許証に焦点を当てることで、データの交換、改ざん防止システム、およびデータ・プライバシを検討するための実用的な方法が得られる。この仕様書は、セッション管理、暗号化、認証、保存に対処するための、広く利用可能で合意された標準について説明している。

「デジタル・ファースト」のアイデンティティは、プライバシーと公平性を失わせる可能性がある

これらの徹底した仕様は、デジタルIDの開発に大きく貢献しています。しかし、「デジタルファースト」というコンセプトは、プライバシーの保護、安全性、そして社会から疎外されたコミュニティへの影響について大きな懸念をもたらす。

両仕様とも、データの最小化、個人を特定できる情報personally identifiable information(PII)の収集の回避、適切な監査、適切な同意と選択、および透明性を推奨している。しかし、包括的な連邦データプライバシー法がなければ、これらは単なる推奨事項であり、義務ではない。私たちのデータは一般的に保護されておらず、現在、民間企業が私たちの日常生活に関するデータを常に誤って管理し、非倫理的に交換していることに悩まされている。デジタルID保有者が自分のIDを使用するたびに、ID発行者とID検証者がID保有者の個人データを収集する機会になる。例えば、所持者が6本入りのビールを買うために年齢証明にデジタルIDを使用した場合、検証者は所持者の年齢状況を記録するかもしれない。PII は認証情報自体では交換されないとしても、所持者はこの時の取引に関連する支払情報を持っているかもしれない。このような個人情報の結びつきは、データ・ブローカーに売られたり、警察や移民局に押収されたり、データ窃盗犯に盗まれたり、従業員に悪用されたりする可能性がある。だからこそ、少なくとも「デジタル・ファースト」のアイデンティティを持つことは、政府が強制するのではなく、市民が選択すべきことなのである。

このようなプライバシーの危険性の一部は、「ゼロ知識証明」によって軽減される可能性がある。ゼロ知識証明とは、特定の値を、その値や関連する情報を開示することなく、暗号学的に確認するものだ。例えば、ある人が大学から学位を取得したことを、その人の身元や学位に含まれるその他の個人情報を明かすことなく証明することができる。W3CやmDLの仕様では、このような匿名の方法論を推進している。しかし、これらの仕様は、すべての当事者が信頼モデルを完成させるために自発的に自分の役割を果たすことに依存している。

これは常にうまくいくとは限らない。例えば、ID保有者が法執行機関の職員にデジタルIDを提示した場合、その職員はおそらくそのIDを使って保有者に関する情報をできる限り収集するだろう。これは、移民や有色人種など、警察や国境警備隊、その他の連邦捜査官による虐待を受けやすい社会の構成員にとって、特別なリスクをもたらすものだ。さらに、デジタルIDを義務付けることは、ID保有者がIDをどのように使用しているかに関するすべての情報を一箇所に集中させることができる国家IDデータベースに向けた厄介な一歩となる。

これらの仕様自体は、国民IDデータベースを作るものではないと主張することもできる。しかし、実際には、バイオメトリクス技術を利用して人々のアイデンティティを確認する民間のデジタルID企業が、実際の実装に関するこうした議論に非常に積極的に参加している。W3Cの検証済み認証情報は、個人情報に関する持続的で長期的な識別子のプライバシーに関する懸念を認識している。

検証済み認証情報の他のアプリにはプライバシーの危惧もある。カリフォルニア州では、Asm. Ian CalderonとBob Hertzberg上院議員は、W3CのVerified Credentialsを緩く解釈したアプリケーションを使用して、COVID-19テスト結果のような動的で揮発性のある情報を検証することを目的とした法案(A.B.2004)を提案した。私たちはこの法案を、免罪符パスポート、健康状態に基づく第二種市民権、国家デジタルIDへの危険な一歩として反対している。この場合、懸念されるのは仕様そのものではなく、新たなプライバシーの危険を引き起こし、社会における現在の不平等を悪化させる可能性のある文書の作成を正当化するために仕様を使用する点だ。感染しているかどうかを提示することは、それをプラットフォームとして使用するアプリケーションがどれほどよく考えられ、安全であったとしても、それ自体がプライバシーの問題である。

検証された認証情報について考えるとき、個人情報をよりポータブルに、より簡単に共有できるようにする解決策は、データ保護の現状や、社会におけるテクノロジーへのアクセスの欠如を無視してはならない。自己情報を自分の所有物に分散させるという原則は、特権と完全に関連しており、特権によって文脈化されている。政府、企業、個人がアイデンティティに関して作成するアプリケーションは、常に政治的なものになる。したがって、私たちはこの文脈において、害を拡大させるのではなく、害を減らすためにテクノロジーを使用しなければならない。

デジタル ID の潜在的な使用法の中には、社会の周縁部にいる人々を助けながら、プライバシー・リスクを少なくするものがある。例えば、確認のために1回限りの静的なデジタル文書を使用し、使用後には破棄するなど、デジタルIDがプライバシーに関する推奨事項を尊重する方法がある。これにより、サービスを利用するために過剰な量の書類を求められるような事態を減らすことができる。これは特に、社会の権力構造から疎外されている人々にとって有益だ。例えば、一部のレンタカー会社では、現金での支払いを希望する顧客(銀行口座を持たないか公表したくない人が多い)に対して、公共料金の明細書の提出を求めている。自宅の住所をワンタイムでデジタル化することで、このような取引を容易にすることができるかもしれない。 同様に、政府関係者は、WIC(Women, infants, and Children)栄養プログラムのような家族手当を利用するために、子どもの予防接種記録を要求することがある。予防接種状況のワンタイム・デジタル識別子があれば、これを容易にすることができる。これらは、検証された認証情報が、「真の」分散型アイデンティティに至らないまでも、プライバシーを改善し、不平等に対処する方法の例である。

W3C および mDL 仕様におけるプライバシーの推奨事項は、最低条件として扱われなければ ならない。私たちは、デジタル・アイデンティティ・コミュニティおよび技術者に、プライバシーおよび社会的公平性に対するリスクを考慮するよう求める。官僚主義を打破し、生活を合理化するような方法で自分の情報を自由に持ち運べるようになることは、特権階級の人々にとってエキサイティングなことかもしれない。しかし、そのような技術が義務化されれば、他の多くの人にとっては悪夢となる可能性がある。

https://www.eff.org/deeplinks/2020/08/digital-identification-must-be-designed-privacy-and-equity-10

Table of Contents