(訳者前書き)以下は、オーストリアのデジタル上の権利NGO epicenter.worksが出したポリシーペーパーの全訳である。Epicenterは、データ保全指令の無効化やEUにおけるネット中立性を守るための訴訟などを提起している。ペーパーの本文に前に、EpicenterのThomas LohningerがWhyIDのメーリングリストに投稿した概要を参考までにかいつまんで以下に紹介する。

現在欧州議会に提案されている欧州のデジタルID制度(eIDAS)は、オンライン・オフラインを問わず、民間企業や公的機関に対して自然人や法人を識別・認証・検証するための完全に統一されたシステムを確立するもの。政府が発行した本人確認情報と、運転免許証などの公的機関や大学、ホテルの部屋の鍵などの民間企業が提供できる属性が含まれる「オープンシステム」であるという。電子政府サービス、銀行、保険、レンタカー会社などの民間企業、FacebookやGoogleなどの大企業がこのシステムと相互運用することになる。この場合、自社のサービスにログインする手段としてこのシステムを提供することが法的に義務付けられる

この提案は2021年6月に開始され、2022年初めに審議が始まり、4つの委員会のうち3つがすでにこのファイルについて採決を行い、主要産業委員会は11月に、本会議は12月から1月にかけて採決する予定。現在のチェコ議長国は2022年12月の加盟国版法律の制定を目指している。2024年にこのシステムが広く運用される可能性がある。

EpicenterやEDRiなどの要求事項は以下の通り。

1. 観測不可能性。システムをコントロールする主体（ウォレットの発行者）から、ユーザーの行動や取引が監視されないようにすること。
2. 非差別的であること。システムを利用しないユーザーの保護
3. プライバシー・バイ・デザイン。 可能な限りゼロ知識証明、ブラインドプロキシ、リンク不可。
4. ユースケースの規制。 合法的なKYC以外での使用制限。
5. ユニークで永続的な識別子の確立の防止。

交渉の現状は、この最近の分析(日本語)にまとめられている。

要求事項は、日本におけるデジタルIDの問題を考える上でも非常に重要だ。いずれの要求項目も、基本的に、システムの側に技術的に可能な限り、私たちの個人識別データを渡さず、渡した場合であっても、それが容易にリンクされたり目的外使用されない措置をとることを要求している。

(以上は、を参照した)(小倉利丸)

---

eIDASポリシーペーパー(2022年1月25日)

Table of Contents

• 1. はじめに
• 2. すべての市民と住民のための一意で生涯使える身分証明書
• 3. 政府発行のID情報の拡散とオンライン行動
• 4. あらゆる本人確認identityや属性検証attribute verificationを一元的に監視
• 5. バイオメトリクスとスマートフォンのセキュリティ
• 6. すべてのブラウザにルート証明書を強制することでウェブセキュリティが破壊される
• 7. あらゆる属性チェックの前の強制的な本人確認
• 8. 安価な電子証明による二次効果
• 9. 本提案を支える原動力

1. はじめに

2021年6月、欧州委員会は、電子ID（eID）システムに関する欧州の枠組みを一新するため、2014年のeIDAS規則のreformを開始した。¹ この野心的な改革は、Google、Facebook、Appleの広範なログインシステムへの対抗策を生み出すと同時に、電子政府および電子商取引アプリケーションに広く採用されるeIDシステムを人びとに提供しようとするものである。この新しい規則案では、加盟国は「欧州デジタルIDウォレットEuropean Digital Identity Wallets」（Wallet App）と呼ばれるソフトウェアを提供することが義務付けられ、市民や住民のオンライン・オフラインでの本人確認や、年齢、運転免許証や学生証などの属性の証明を可能にする。この規制案は、FacebookやGoogleなどの大規模オンラインプラットフォームがこの欧州デジタルIDウォレットをサポートすることで、この新しい欧州デジタルIDウォレットの普及を確実なものにしようとしている。² Facebook や Google のような大規模オンライン・プラットフォームが、自社のサービスにログインする手段としてこの European Wallet をサポートするよう強制することで、この新しい 欧州デジタルIDウォレットEuropean Digital Identity Wallet の普及を確保しようとしている。同様に、加盟国は、2014年の古い eIDAS 規制の下ですでに電子政府サービスを提供する際に、市民の本人確認identificationのためにこのシステムを使用することが義務付けられている。小規模なインターネット企業も、委任法令delegated act l³を通じて欧州委員会が新しいWallet Appをサポートするよう強制することができる。

以下のペーパーは、プライバシーとデジタルの権利の観点から、欧州委員会の提案の最大の問題点を詳しく説明しようとするものである。欧州の電子IDシステムは、市民と居住者の基本的権利を尊重する必要がある。なぜなら、このシステムの積極的な可能性は、すべての関係者による幅広い採用と信頼に依存しているからである。これは、このシステムが欧州の現在のデジタル・エコシステムに与える影響を評価することによってのみ達成することができる。現在の提案では、アーキテクチャに関する多くの核心的な疑問が委任された行為に委ねられており、包括的な評価をほとんど不可能にしている。規則はそれらの点を明確にし、設計によるプライバシー保護privacy by design、ユーザーによる選択、データの最小化を保証するための適切な保護措置を提供すべきである。私たちは、この規則の前提や、信頼できるデジタルIDと認証インフラの必要性を受け入れているが、このシステムを使用しないことが、Wallet Appをオプトアウトした市民やスマートフォンを所有していない市民に悪影響を及ぼすべきではない。私たちは、この論文でこれらの点を指摘し、規制を改善するためのセーフガード案が立法プロセスで採用されることを望んでいる。

2. すべての市民と住民のための一意で生涯使える身分証明書

Wallet Appの中核的な機能の1つである、実名(法律上の名前)を第三者に公開することでユーザーを識別するという機能は、第11条aにおいて、加盟国がすべての人を生涯にわたって維持される英数字の文字列で一意に識別することを義務付けることで相互に補完しあう関係になっている。すべての欧州市民と居住者のためのこの永続的で一意な識別子は、Wallet Appによって民間および公共の第三者と共有されることになる。ユーザーは、 App上のインタラクションで自分の本人確認identificationを許可しなければならないが、ユーザーは本人確認の場面で力関係での不均衡にさらされることが非常に多く、この機能は国内法または欧州法で本人確認が要求される場合に限定されてさえいるが、同意が自由に基づくものかどうかは疑わしいと言える。さらに、Wallet Appは、本人確認が法的に必要な場合とそうでない場合とをどのように区別できるのかが不明だ。例えば、ハンガリーの法律ではデモでの本人確認を義務付けていたり、オーストリアのソーシャルメディア法ではFacebookに本人確認を義務付けていたりするなど、加盟国によってこれらのケースは異なる。

一般的に言って、Facebookやその他の企業は、このような公式の一意で生涯使える識別子をユーザーのアイデンティティに追加するのを待っているだけだが、こうした方向に向かうようユーザーを騙す方法を見つけることになろう。このような一意の生涯識別子が、Facebookなどのデータ駆動力をさらに大々的に増大させることに役立つのを防ぐためにも、そもそもこのような識別子を作ってはならないのだ。

ソリューションの提案 第11条a項を削除する。

3. 政府発行のID情報の拡散とオンライン行動

規則案の第6b条1項によると、relying parties ⁴は、本拠地を置く加盟国の欧州システムへのアクセスを要求し、EU全体へのアクセスを得るための白紙委任状を得ることができる。これにより、どの企業も自社に最も有利なEU内の行政を選ぶことができるため、法廷地あさり[原告が自己に有利な裁判所で訴訟を提起すること]が可能になる。relying partiesとは、Walletにある ID 情報や属性にアクセスしたいすべての企業のことである。規則では、加盟国にいるrelying partiesの検証手順がどのように機能するかについて、正確には不明確である。第6b条第4項によると、欧州委員会は、この規則が発効してから6カ月後に、この重要な確認をどのように行うかを委任法令により決定することになっている。同規則は、eIDASシステムからrelying partyのアクセスを取り消す方法に関するメカニズムを提供していない。段落 1 の最後の文に基づくと、ID情報の処理の表明された目的が申請を拒否する十分な理由と見なせるかどうかさえ不明である。

各国のeIDAS規制当局は、relying partyが本規則を遵守していることを確認する責任を負っている。アイルランドの場合、これは環境・気候・通信省であり、独立した規制当局ではない。アイルランドデータ保護庁は欧州データ保護法を蝕んでいることで有名であり、所轄官庁が独立して説明責任を果たしていない場合、このリスクはeIDASの提案するシステムにも引き継がれる可能性がある。新しいeIDASの枠組みの設定は、私たちが自分のID情報を信託できる環境に必要なセーフガードを欠いているだけでなく、過去のEU法執行の誤りを積極的に繰り返しており、既知の行為者による新システムの乱用を招くことになる。

現在、Googleをはじめ、ターゲット広告をビジネスモデルとしている大手テクノロジー企業は、私たちのオンライン行動のほぼすべての段階を追跡し、すでに私たちの生活のあらゆる側面をプロファイルしている。多くの場合、彼らが確実に知らないことのひとつが、私たちの法律上の名前だ。政府によって認証されたID情報への安価でほとんど規制のないアクセスが提供されることによって、さらには超大型オンラインプラットフォームへのログイン方法としてWallet Appの提供が強制されることによって、EUは保護すべきものを銀の皿に載せて提供しているのだ。

ターゲット広告、銀行、金融スコアリング、そしてeコマースやメディアの分野において、政府が認証したID情報が拡散することに高いリスクがあると私たちは見ている。抱き合わせやペイ・オア・コンセント方式の禁止など、GDPRの施行における既存の欠点は、この問題を増幅させるだろう。eIDAS規則は、それが対処しようとする既存のエコシステムにおけるID情報の悪用に対する適切なセーフガードを成文化する必要がある。

ソリューションの提案 私たちは、この規制を、relying partiesによるWallet Appの悪用に対するセーフガードで改善する必要があると考えている。

この要求事項を踏まえ、第6条bを以下のように修正する必要がある。

relying partiesは、Wallet Appに依拠する具体的なユースケースを自国のeIDAS規制機関に登録する義務があり、eIDAS規制機関は事前にユースケースのブラックリストとホワイトリストと照合し、データ保護影響評価を要求することもできるようにすべきである。ある国のeIDAS規制当局によるこのような認可が、消費者保護やデータ保護団体から他の国のeIDAS規制当局によって異議を唱えられ、その結果、その国でこのユースケースが禁止される可能性がある。ブラックリストに掲載されるユースケースの例としては、広告、金融スコアリング、ソーシャルメディアプラットフォームの実名制などがある。データ保護影響評価の結果、データ対象者にとってリスクが高いと判断された場合、eIDAS規制当局にはこのユースケースをブラックリストに追加する権限を与えるべきである。

4. あらゆる本人確認identityや属性検証attribute verificationを一元的に監視

Wallet Appは、本人確認、年齢確認、その他の属性を確認する既存の手段に取って代わることを目的としている。この新しいシステムは、置き換えられる既存の手段よりもプライバシーやデータ保護の面で劣るものであってはならない。年齢認証の場合、ユーザーは必要以上の情報（名前、生年月日、発行国）を含むIDカードを渡す必要はなくなり、特定の問題が解決されることは認められる。しかし、この提案には、Wallet Appを使ったオンライン・オフラインのあらゆる本人確認や属性確認のプロセスを中央で監視するという現実的な危険性がある。EU Digital Covid証明書と同様、この規則案において、プライバシー・バイ・デザインの原則を法律に詳細に書き込む代わりに、欧州委員会が後の段階で委任法令を通じて重要なアーキテクチャ上の問題を一方的に決定する権限を持つことになる。私たちは、データ保護、プライバシー、サイバーセキュリティの安全策を、欧州委員会に委ねるのではなく、法律の中で直接詳述するよう、共同立法者に促す。Wallet Appによって処理されるすべての識別および属性検証プロセスの観測不可能性は、規制の中で セーフガードとされる必要がある。私たちがEU Digital Covid証明書の議論の中でこの点を指摘した後⁵そのような保護措置が追加された。⁶

既存の自己主権型電子IDシステムself-sovereign eID systemsは、ゼロ知識およびリンク不能のパラダイムで動作し、設計上、識別または認証のプロセスの集中的な監視を防止している。did:peer、DIDComm、OpenID Connect SIOP、BBS+ Signatures などの技術は、プライバシー保全システムを構築するために使用することができる。⁷ これらは、中央集権的なアクターやブロックチェーンを必要とせず、本人確認および属性の確立と交換を可能にする方法においてプライバシーを保護するデジタルインフラを構築するために使用することができる。欧州委員会の提案には、そうした保証が欠けている。Wallet Appの多くのアーキテクチャに関する疑問の曖昧さは、Wallet Appの使用に関する行動データを処理し、このデータを第三者と結びつける法的根拠を確立する第6条a項第7号の法文の抜け穴を塞がずに補強するものである。

現在の枠組みでは、中央集権的な主体が、集団のあらゆる識別と属性確認を巨視的なレベルで監視することができる。例えば、この規則では、Wallet Appの提供者（政府）が、非常に大規模なオンラインプラットフォーム（Facebook、Google）でのすべてのログイン、オンラインおよびオフラインでの特定の商品（アルコール、タバコなど）購入時の年齢確認や、そのユーザーのみが対象となるサービス――確認が必要な特定の属性（障害、年齢など）が対象となるサービス――に関する情報を取得できるようにするものだ。Wallet Appはユビキタス化を目指し、社会のあらゆる場所で広く採用されるため、eIDASの提案がプライバシーやデータ保護の権利に与える悪影響は増幅される一方である。

ソリューションの提案

EU Digital Covid証明書と同様に、規制はWallet Appにデザインによるプライバシーの保護策を規定しなければならない。したがって、第6条a（7）の再構築を提案する。

“ユーザがEuropean Digital Identity Wallet” の完全な管理を行うものとする。 European DigitalIdentity Wallet の発行者は、[Walletサービスの提供に必要でない]Walletの使用に関する情報を収集してはならず、また、ユーザが明示的に要求した場合を除き、 European Digital Identity Wallet の使用に保存された、または関連する人物識別データおよびその他の個人データを、[この発行者が提供する他のサービスまたはWalletサービスの提供に必要のない]第三者のサービスからの個人データと共に組み合わせてはならない。欧州デジタル ID Walletの提供に関連する個人データは、物理的及び論理的に他の保有データから分離して保管されるものとする。 “(括弧内は削除すべき文言)

さらに、条文におけるWallet Appの技術仕様は、プライバシー・バイ・デザインの原則が守られるようにする必要がある。この規則では、Walletの使用方法に関する監視からユーザーを保護するために、Wallet Appでのユーザーとのやりとりを監視できないようにする必要がある。第6a条第11項に基づく委任法令は、Walletが実際にどのように機能すべきかを定義する権限を欧州委員会に与えているため、これらの改正が必要だ。委任法令は、新しい技術開発に照らして仕様を更新することに限定されるべきだが、技術のプライバシーへの影響を根本的に定義する設計原則は、あらかじめ規則に明記されている必要がある。デジタル ID Walletが機能するためにこのような情報を必要としないように実装されることを確かなものにするために、「Walletサービスの提供に必要な」情報への言及を完全に削除することが必要である。既存の（自己主権的な）eIDスキームは、このような実装が可能であることを実証している。

5. バイオメトリクスとスマートフォンのセキュリティ

Walletソフトウェアのセキュリティは、第6条cに基づき、加盟国によって指定された監査法人によって証明され、一般には公開されず、他の国にのみ公開される。Walletソフトウェアが満たすべき具体的な基準は、欧州委員会が委任契約に基づいてこの規則を制定してから6ヶ月後に再び定義される。

説明文11によれば、Wallet Appは、ユーザーを認証するためにバイオメトリクスに頼ることもでき、同Recitalは、認証情報をクラウドに保存することも可能であるとしている。説明文21は、GoogleやAppleのようなコアプラットフォームプロバイダーが、本人確認などの付帯サービスと相互運用できるように義務付けるデジタル市場法Digital Markets Actの規定を参照しており、この規定によって、Wallet Appは、最新のスマートフォンに搭載されている指紋や顔認識パターンなどの生体情報を格納する安全なセキュア・エンクレーブ・ハードウェア要素⁸にアクセスすることができると述べられている。技術的な実装次第では、スマートフォンのセキュリティが損なわれ、クラウドストレージや政府が管理する Appに生体情報が流出する可能性があり、非常に厄介なことになる。Wallet Appの提供者に与えられたこれらの広範な権限がプライバシーやセキュリティに与える影響を評価することは非常に難しく、この点で、規制の草案は高いリスクがある。

Wallet Appの技術仕様が不明であることと同様に、スマートフォンのセキュリティの大きな違いにも、規制は目をつぶっている。Wallet Appは、当然ながら、それが動作するスマートフォンのセキュリティに依存する。低所得のユーザーは、最新のデバイスを所有することが少なく、多くの場合、ベンダーからセキュリティアップデートを受け取ることさえできない。また、技術に疎いユーザーは、端末のOSを最新に保ったり、正しく設定したりすることに長けていないだろう。すでにスマートフォンへのサイバー攻撃は増加しており、Wallet Appによって、これらのデバイスは個人情報を盗むための興味深いターゲットとなっている。すでにアナログ／対面式の政府サービスとの価格差が生じており、eIDAS 認証の身分証明手段に依存する電子政府サービスよりも高価になるため、現在の eIDAS 提案ではデジタル格差が悪化することになる。 ⁹

ソリューションの提案

現在の枠組みのセキュリティ問題を解決する唯一の方法は、共同立法プロセスco-legislative processが終了した5カ月後にこの作業を行うという欧州委員会を過信せず、Wallet Appのプライバシーとセキュリティに関する技術要件とアーキテクチャ上のセーフガードを規則でさらに規定し、今からこの点について幅広い議論を行うことである。スマートフォンのセキュリティレベルが異なる場合の包括的な解決策として、eIDAS規制に、（適切なセキュリティレベルの）スマートフォンを所有していないことを理由にWallet Appを使用しないことを決めた市民または居住者に対する差別を撤廃することを義務づけることを含めることが考えられる。

6. すべてのブラウザにルート証明書を強制することでウェブセキュリティが破壊される

欧州委員会の提案の第 45 条によると、ウェブブラウザのプロバイダーは、加盟国のルート認証局（CA）を自社製品に含めることが義務づけられる予定だ。認証局は、暗号化されたhttps のウェブトラフィックのセキュリティとウェブサイトの信頼性を支えている。ウェブブラウザのプロバイダは、この信頼できるリストにどの認証局を含めるかを厳しく規定しており、市民のウェブトラフィックを監視する目的で、各国の認証局を含めるように政府から圧力を受けることがよくある。ここで国のCAを含めるという前例を作ると、ウェブのセキュリティインフラが深刻に損なわれ、暗号化されたウェブトラフィックへの更なる監視が可能になり、その後に、反民主主義の傾向が強まることになりかねない。¹⁰

ソリューションの提案

規則910/2014の第45条の当初案を維持し、新たな規則の新しい文言を削除する。

7. あらゆる属性チェックの前の強制的な本人確認

第 6a 条(4)(d)の現在の文言は、電子的な属性証明には、relying partyによる利用者の事前認証が必要であることを示唆している。これは、例えば年齢確認では個人の本名や生年月日を公開しない選択的開示による基本的なプライバシーの保護と矛盾している。説明 29 では、このような選択的開示は規則の明確な目標であり、個人に関する追加情報を明らかにしないという利点がある。

第3条5項では、認証authenticationを本人確認identificationの概念と混同しており、オンラインまたはオフラインのあらゆるユースケースにおいて、Wallet Appで自身に関する属性を証明する個人全員を追跡することを事実上認めている。¹¹

ソリューションの提案

属性の真実性の証明は、relying partyに対して利用者の事前の認証または識別を義務付けるべきではなく、また、仮名識別子pseudonymous identificatorを用いるべきでもない。

8. 安価な電子証明による二次効果

過去数年間、国や欧州のレベルで、ソーシャルメディアや動画共有プラットフォームの利用者に対して、実名の義務や強制的な本人確認を確立する試みがいくつか見られた。¹² これらの試みは、オンライン上でユーザーを公式に識別するための単純なコストが、広範囲に適用するには非現実的なため、しばしば失敗に終わっている。Wallet App が欧州のインターネット上のユーザー識別の価格を実質的にゼロに下げれるとなると、この状況は変わるだろう。

ユーザーから検証済みの本人確認情報を取得することは、すでに収集されている個人データを充実させることになるので、多くのアクターがユーザーからこの情報を取得するインセンティブを持つことになる。現在の慣行では、利用者は簡単に騙されて情報を提供することに同意してしまい、必要な関心や理解を持たない利用者が多いことが分かっている。その結果、ターゲット広告と身元確認が組み合わされるようになる可能性がある。

9. 本提案を支える原動力

Covid-19のパンデミックは、eIDAS改革のきっかけとなった。ロックダウンの中で、電子政府サービスと電子商取引の実用的な必要性が大多数の人に明らかになった。さらに、欧州委員会に2014年のeIDAS規制の改革を要求しているNIS2指令との相互依存関係もある。全体として、この提案は欧州委員会によって急がされているように見える。この提案の背後にある経済的利害には、例えば信託サービスプロバイダーTrust Service Providersが含まれる。彼らはこの規制によってビジネスケースを拡大し、自分たちの重要性を高めたいと考えている。自然人向けのWallet Appは無料で提供されなければならないが、法人向けにはソフトウェアを提供するための手数料を支払うことが可能である。

広く使われているeIDシステムは、そのようなシステムに参入しようと考えている多くの後続の産業を生み出す。銀行部門は、顧客の身元確認（KYC）要件に準拠するためのコストを削減したいと考えている顕著な部門だ。金融部門には、金融プロファイリング（流動性スコア、詐欺検出など）のターゲットに焦点を当てたいと考えている他のアクターもいる。EUのいくつかの国では、モバイルプロバイダーが同様のKYC要件を有しており、このような技術から利益を得ることができる。いくつかの国では、メディア企業がeIDデータを活用した非常に高度なターゲティングに基づく広告を提供したいと考えている。最後に、eコマース部門は、この技術を導入してコストを削減し、長期的にコンプライアンスを向上させたいと考えている。

出典：EDRi, EPICENTER.WORKS, elDAS Policy Paper, 25 January 2022 https://epicenter.works/sites/default/files/eidas-policy_paper-ewedri_0.pdf

Footnotes:

¹

See https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2021%3A281%3AFIN&qid=1622704576563

²

これは、デジタルサービス法規則案第25条第1項を参照している。

³

訳注：Delegated acts「委任法令」委任法令（Delegated Act）とは、欧州議会が欧州委員会に対して細則設定権限を委任した形で制定されるEU規則。通常の立法手続を踏む立法行為ではないが、「非立法行為」と言われ、法的拘束力がある。https://sustainablejapan.jp/2019/02/14/eu-biomass-sustainability-criteria/37296 Commission「委員会」が立法の法令の条文に基づき、一定要件の基に採択する法令でその委任法令の為の権限には次の制限がある。委任法令は、法の本質的な要素を変える事はできない。立法法令が権限委任の目的・内容・適用範囲・期間を定めなければならない。Parliament「議会」とCouncil「理事会」は委任を取り消し、又は委任法令に反対する事ができる。専門委員会により、立法法令の要件を詳細化して法令化されている。https://yutako.hateblo.jp/entry/2019/11/07/000000

⁴

訳注：relying party 顧客にWallet Appを使用させ特定の属性を識別または証明させる企業や組織を指す。

⁵

https://en.epicenter.works/document/3425 および https://epicenter.works/content/eu-parliament-adopts-the-covid-pass-risks-for-data-protection-and-new-forms-of を参照。

⁶

規則 (EU) 2021/953 の第 4 条第 2 項および https://epicenter.works/content/five-reasons-to-claim-victory-on–eu-digital-covid-certificate を参照。

⁷

https://identity.foundation/peer-did-method-spec/, https://identity.foundation/didcomm-messaging/spec/, https://openid.net/specs/openid-connect-self-issued-v2-1_0.html, https://w3c-ccg.github.io/ldp-bbs2020/ を参照

⁸

訳注：セキュア・エンクレイブ 以下はApple社による解説。本ペーパーでいうセキュア・エンクレイブがApple社のものを指しているかどうかは未確認である。文脈からすると、iPhoneで実装されているような生体情報保護の仕組みたあるとしても、Wallet Appは、この保護をすり抜けて生体情報などにアクセス可能ということかもしれない。 「デバイスのチップには、Secure Enclave と呼ばれる先進的なセキュリティアーキテクチャが導入されています。これはパスコードと指紋のデータを保護するために開発されたアーキテクチャです。Touch ID は実際の指紋の画像を記録するのではなく、指紋の数学的表現だけを保存します。保存されているこのデータから、実際の指紋画像を逆行分析で入手することはできません。

指紋データは暗号化され、デバイスに保管され、Secure Enclave だけが利用可能なキーで保護されています。指紋が登録済みの指紋データと一致するかどうかを検証する目的で、唯一 Secure Enclave だけが指紋データを利用します。デバイス上の OS も、デバイスで実行されるどのアプリケーションも、このデータにアクセスすることはできません。指紋データが Apple のサーバに保存されたり、iCloud やその他の場所にバックアップされたり、ほかの指紋データベースとの照合に使われたりすることはありません。 」https://support.apple.com/ja-jp/HT204587

⁹

https://www.wien.gv.at/english/e-government/transportation/parking/residents/parking-permit.html

¹⁰

https://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security およびhttps://blog.mozilla.org/netpolicy/files/2021/11/eIDAS-Position-paper-Mozilla-.pdf をご参照。

¹¹

2.3章参照。 https://brusselsprivacyhub.eu/publications/the-european-commission-proposal-amending-the-eidas-regulation

¹²

https://www.politico.eu/article/austrian-conservatives-want-to-end-online-anonymity-and-journalists-are-worried/ を参照。 https://netzpolitik.org/2021/tkg-novelle-seehofer-will-personalausweis-pflicht-fuer-e-mail-und-messenger-einfuehren/ and https://netzpolitik.org/2021/digitale-dienste-gesetz-eu-koennte-anonyme-uploads-auf-pornoseiten-verbieten/

出典：https://epicenter.works/sites/default/files/eidas-policy_paper-ewedri_0.pdf

Created: 2022-11-05 土 20:53