現在EUでは電子IDの仕様をめぐって活発な議論が展開されている。最大の争点は、いかにして、網羅的な監視にむすびつくような一意的かつ恒久的な個人識別の仕組みに歯止めをかけ、サービスの受け手が不必要な個人情報を提供することなく必要なサービスを受けられるとともに、デジタルの個人認証を利用しない(できない)人たちとの差別をまねかないためにはどうしたらいいか、といった点だろう。現状は、人権やプライバシーを後回しにして、個人情報を政府や企業が網羅的に利用できるようにしようとする方向に傾きつつあるものの、これを阻止する方向での努力が積み重ねられている。以下は、Epicenterのサイトに掲載された網羅的な監視へと向う傾向への警鐘を含む現状の検討についての分析である。なお、電子ID全体に関する包括的な問題については、このペーパーを参照してください。(小倉利丸)

チェコ本理事会議長による第5次EIDAS妥協案についての分析
投稿者: hanness 投稿日時: 2022年10月21日 – 3:08pm

概要

第3次妥協案で初めて明らかになったチェコ議長国の傾向は現在も続いている。産業界の利益が市民の基本的権利に対する懸念よりも優先されている。以前、欧州委員会とフランス議長国によって導入された保護措置がさらに損なわれていることがわかった。ITRE委員会の交渉では、報告者による最後の妥協案でデータ保護のセーフガードが強化されているが、これは正反対の傾向であり、三者会談はより困難になるだろう。データ保護問題に関して排他的な権限を持つLIBEの意見が採択されたことで、議会におけるこの積極的な傾向は明白となった。しかし、チェコ議長国での文書の軌跡は、市民の観点から重要な問題についての妥協点を見つけることをますます困難にしている。

略語の一覧は以下をご覧ください。

ユースケースの規制

EUIDウォレットは、公的機関や民間企業に対して、オンライン・オフラインを問わず自然人や法人を識別、認証、属性確認するための汎用テクノロジーを提供する強力なツールである。しかし、この新しいシステムには、政府が発行する身分情報、機密性の高い健康データ、法的に署名するための機能などが含まれるため、悪用、詐欺、なりすましなどのシナリオが多く存在する可能性がある。したがって、フランスの議長国が、最初の妥協案から、relying partiesに対して、自らのユースケースを6b条に従ってそれぞれの設立メンバー国に登録することを義務付けたことは、データ保護コミュニティから称賛された。重要なのは、このセーフガードは、EUIDウォレット内の制限によって第6条a(5)(e)で強制され、relying partiesが加盟国によって承認された登録にしたがってユーザーから情報を求めることだけを可能にしたことだ。理事会のこの考えは、議会のほぼすべての委員会で取り上げられた。このセーフガードのおかげで、ホテルのチェックインでは家族構成や財務データを細かく聞くことはできず、酒売りやバウンサーはフルネームや 生年月日を聞く代わりに選択的開示によって18歳以上であることを確認しなければならず、雇用者やロシアの国境警備員はユーザーのEUIDウォレット内のすべての認証情報のコピーを要求できないようになっている。

チェコ議長国は、第6条bのこの重要なセーフガードを少しずつ完全に削除している。現在の文章では、relying partiesの登録があるかどうかさえ、各加盟国や潜在的な分野別法令に委ねられている。これは、新しいeIDシステムの基本が、relying partiesのチェックは任意であり、relying partiesの名前に絞った一方的な通知がルールとなる、ワイルド・ウェスト体制の方向に移行することを意味する。重大なのは、議会がこれとは逆のアプローチをとっていることだ。報告者の報告書では、EUIDウォレットの違法または不正使用があった場合、加盟国は第6条b（2）においてrelying partiesの登録を取り消す権利を与えている。とはいえ、relying partiesの登録から一方的な通知に切り替わるということは、必ずしもrelying partiesの所与の名称が（すべての加盟国によって）チェックされない可能性があることも意味する。利用者が政府認証情報を共有することに鑑みると、これはアンバランスな印象を受ける。欧州委員会がこの10年の終わりまでに80％の普及を目標としていることを考えると、数億人の市民をユーザーとして想定することができる。これは、巧妙なサイバー攻撃にとって十分に魅力的な攻撃対象である。特に、eIDAS改革の成功は市民の信頼に大きく依存するため、不正行為を防止し、不正行為者を排除するためのセーフガードは、後から付いてくるオプション機能であってはならない。

チェコ議長国は、加盟国に登録するMember Stateの要件を引き下げる目的で、EUIDウォレットの第3次妥協案で「（ハイブリッド）オフライン使用」と「完全なオフライン使用」という概念を導入した。現在の第五次妥協案では、「オフラインモード」だけが残されている。前回の分析で述べたように、この「オフライン」操作モードは、EUIDウォレットによって定義されたように、リモート・システムにアクセスするために必要なものでは ないということだ。この定義には重大な欠陥がある。なぜなら、個人情報の関連処理は relying party側で行われ、ユーザーから情報を取得した時点でサーバー接続があったかどうかに関係なく発生しうるからである。この特別な運用モードは規制要件が低いため、このようなシナリオにおけるウォレットの機能を次のように限定した場合には意味がある：1）ゼロ知識属性認証、2）取消可能仮名認証、3）組み合わせてもGDPR第4条1項の個人データとして認定できない属性の選択的開示、以上である。したがって、EUIDウォレットの利用をデータ保護に影響を与えない機能に限定するrelying partiesの参入障壁が低くなることは歓迎さ れよう。 これは、EUIDウォレットの普及を助けると同時に、relying partiesがデータミニマリズムとプライバシー・バイ・デザインの原則に従う強いインセンティブを達成することになる。例えば、物理的な商取引における年齢確認では、店のオーナーや中小企業の参入障壁はできるだけ低くあるべきで、relying partiesの登録は必要ないかもしれない。しかし、今回の提案は、すでに弱体化したセーフガードのシステムに、規制の抜け穴を作るだけだ。

観測不能とプライバシー・バイ・デザイン

ウォレットの成功のための中心的な問題は、ユーザーが自分のデータを誰が見るかについてコントロールできるかどうかということだ。欧州委員会の提案は、市民が日常生活の中でウォレットをどのように使っているかというデータを、発行者が保有する他のすべてのデータから論理的・物理的に分離して保管することを義務づけることで、この問題を認識している。欧州議会は、eIDシステムのアーキテクチャを、ユーザーの行動に関するそのようなデータがそもそも存在しないようにすることで、プライバシー・バイ・デザインというGDPRの要件を満たし、よりプライバシーに配慮した立場をとっている。この観測不能の保証レベルは、EUのデジタルCOVID証明書規則（EU）2021/953の例を踏襲している。チェコ議長国のもとでは、逆の展開が見られた。この機密データの物理的分離の要件は破棄され、ユーザー行動の一望監視を防ぐためのさらなる努力は行われていない。システムに対する信頼は、ユーザーが信頼できるプライバシー保証のレベルに大きく依存する。完全に観測可能な集中型システムは、年に数回しか行われないまれな電子政府とのやりとりでは受け入れられると考えられるかもしれない。しかし、VLOPでのオンライン認証、公共交通機関のチケット、ホテルの部屋の鍵、フィットネスクラブの会員証、健康・金融情報などのユースケースを持つEUIDウォレットは、観測不可能という最高の保証を与えることができないため、人々の大部分は、一望監視の悪夢とみなすことになるだろう。

採択されたLIBE版とITREで交渉中のテキストは、属性の電子証明の発行者にも観測不可能の原則を適用し、その属性がどのように使用されているかの知識を得ることを防いでいる。このセーフガードによって防がれる例としては、卒業生が卒業証書を提示したすべての場所を大学が記録する場合が挙げられる。同様に、デフォルトとしてゼロ知識証明の要件は、LIBEで採択された規定で見出すことができる。ITREも、ユーザーが明示的に同意した以外の情報を取得できないようにすることを、relying partiesに対する技術的要件として現在取り組んでいる。

チェコ議長国は、選択的開示の定義について、Recital 29の改善に取り組んでいる。同様に、第3条の「認証authentication」の定義が明確化されたことも歓迎する。

一意な識別

チェコ議長国は、EUの全市民を一意にかつ恒常的に識別する義務から生じる基本的権利の懸念を軽減するよう試みている。このような義務は、ドイツでは憲法上の重大な懸念を引き起こし、オランダとオーストリアでは既存の管理慣行に反している。この識別子は、相互作用やrelying parties間でユーザーを追跡し、プロファイリングするために悪用される可能性がある。これらの識別子の使用は、もともと合法的なKYCシナリオに限定されており、チェコ議長国による最初の妥協案では、その範囲を曖昧で未定義の「管理慣行」にまで拡大しようとした。第4次妥協案では、この危険な範囲拡大が削除され、現在は再び合法的なKYCシナリオに範囲が限定されています。最も重要なことは チェコ議長国は、記録照合という形で一意的かつ持続的な識別の代替手段を提供しているが、妥協案の第 11a 条によれば、少なくとも 1 つの一意的かつ持続的な識別が義務付けられている。Recital 17aでは、セクター固有の識別子（この識別子により、ほとんどのオンラインサービスにおいてユーザー行動の相関が可能となるため、ソーシャルメディアKYCが存在する法域ではプライバシー上の弊害を引き起こす可能性がある）、またはrelying parties固有の識別子（「pairwise pseudonimity」ともいう）（これは望ましい選択肢である）を選択肢に入れることができるとしている。このような識別子を送信する必要がある全ての KYC シナリオは、依拠当事者固有の識別 子に限定することが望ましく、これにより、relying parties間でのユーザーの追跡を効果的に防止することができる。

第11条a(2a)と説明17aは、加盟国が高いデータ保護を確保し、プロファイリングのリスクを防止するための組織的・技術的措置を提供する義務を課すものである。最後の義務は、加盟国が現行の枠組みで履行することは不可能である。なぜなら、一意の永続的な識別子は、relying partyが、相互作用を横断して、また潜在的にはグローバルに、relying partiesを横断してユーザーの行動を追跡し相関させることを本質的に可能にするからである。この数理的確実性に対する技術的な保護策はない。解決策としては、特定の識別子を使用するシナリオを詳細に設定すること、例えば、民間企業ではpairwise pseudonimityと記録照合にのみリレーすることなどが考えられる。

第12条4項d号のPIDの最小限のデータセットに一意の永続的な識別子を含めるという義務の意味するところが不明確である。第6条aは、第11条aが適用されない非KYCシナリオにおけるこの識別子の露出に関する明確な規定を含むべきである。プライバシー・バイ・デザインの原則に従い、法的なKYCシナリオ以外では、relying partiesと固有かつ永続的な識別子を交換すべきではなく、代替手段として、relying partiesごとに異なるようにPIDから識別子を導出すべきである（pairwise pseudonimity）、それにより少なくともpairwise pseudonimity間での利用者の追跡が防止される。

無差別化

2021年6月のeIDAS改革の発表以来、EUIDウォレットの使用は市民の自発的なものでなければならないと約束されてきた。しかし、この市民への約束が実際に守られるような措置は取られていない。欧州議会の4つの委員会はすべて、EUIDウォレットを使用しない人々を保護するための無差別規定を採択したか、現在議論しているところである。高齢者、ホームレス、スマートフォンを持っていない人、EUIDウォレットを安全に操作するためのデジタルリテラシーがない人は、そうでなければ疎外されることになる。

サービス、特に行政サービス、司法、労働市場、ビジネスを行う自由へのアクセスは、欧州デジタルIDウォレットを使用しない人のために制限されたり妨げられたりしないものとする。必須サービスが提供され、それへのアクセスが European Digital Identity Wallet の使用を必要とする場合、サービス提供者は簡単にアクセスできる代替手段を提供しなければならない。さらに、いくつかの議会委員会が、第 45 条 a に、紙ベースの属性証明の受け入れの保証を明記しています。

QWACから生じるWebセキュリティの懸念

QWACが、ウェブ・ブラウザにTSPからの証明書を強制的に含めることから生じるセキュリティ上の懸念に言及されているが、解決には至っていない。この問題は、拘束力のないRecital 32で言及されているだけで、妥協案の第5版では、TSPの潜在的なセキュリティ侵害に対処するためにウェブブラウザが利用できる救済手段を、個々の証明書だけに制限している。これは、TSPでのセキュリティ侵害のシナリオにおいて、ウェブブラウザにとって法的不確実性を意味し、ウェブブラウザがユーザを安全に保つ可能性を著しく損ねることになる。さらに、TSPの証明書が公的機関によるトラフィック傍受に悪用されるという問題も未解決のままである。報告者がITREへの報告書において第45条の完全削除を決定したことを考えると、理事会が専門家から提起されたセキュリティ上の懸念を無視し、正当な苦情に対する救済策を提示しないことは賢明ではないように思われる。

次のステップ

第5次妥協案が19日に配布された。2022年10月19日、チェコ議長国により第5次妥協案が配布された。この文書は、2022年10月25日に議論される予定である。2022年10月25日に議論され、2022年10月27日の理事会でも議論される可能性がある。2022年10月27日の本理事会でも議論される可能性がある。2022年12月6日にGeneral Approachで合意し、2022年にベルギー理事会議長の下で三者協議に入ること。 2022年12月6日にGeneral Approachで合意し、2022年にベルギー理事会議長の下で試行交渉に入ること。 2023年にベルギー理事会議長国としてトライアル交渉に入ること。ITRE委員会は2022年11月に投票し、欧州議会では2022年12月/2023年1月に第1読会ポジションを採択するために予定されている。EUID Walletは、早ければ2024年に稼動すると予想される。

略語
eID… 電子ID
KYC… Know Your Customer（顧客を知る)
PID… 第12条4項(d)に定義される個人識別情報(Person Identification Data)
TSP… Trust Service Provider（トラストサービスプロバイダ
QWACs… Qualified Website Authentication Certificates（認定ウェブサイト認証証明書）…
EUIDウォレット…欧州デジタルIDウォレット
GDPR… 一般データ保護規則（Regulation (EU) 2016/679を意味する。
VLOPs…Very Large Online Platforms、DSA規則第25条1項に定義される。

https://en.epicenter.works/content/analysis-of-5th-eidas-compromise-from-czech-council-presidency

訳注

relying party: 依拠者、依拠当事者などとも訳される。身分証明などの提示を求めて、サービスを提供する組織をいう。下記も参照

https://www.w3.org/TR/webauthn/#relying-party