(PI)IDシステムの分析:ペルーのDNIe

Howdy! How can we help you?

Categories
< Back
You are here:
Print

(PI)IDシステムの分析:ペルーのDNIe

Created On2023年7月3日
Last Updated On2023年7月3日
bytoshi
Views31


ケーススタディ
投稿日
2023年2月17日

この記事は、プライバシー・インターナショナルが、一般に入手可能な情報およびパートナーであるHiperderechoの調査に基づいて執筆した。

概要

身分証明書(Documento Nacional de Identidad:DNI)は、行政、司法、民事、商業など、個人の身元を確認する必要があるあらゆる場面で、ペルー国が認める個人IDカードである。DNIはまた、所持者に選挙権を与える。

DNIの発行・監督機関は、Registro Nacional de Identificación y Estado Civil(RENIEC)である。

オリジナルのDNIは1997年に導入されたが、2013年から電子版(DNIe)が徐々に置き換わっている。新しいカードには、以前のカードと同じ情報が印刷されているが、さらに、同じデータとそれ以上を保存するチップが搭載されている。

このカードには、光学的に変化するインクで印刷されたペルーの地図、ホログラム、マイクロテキスト、組みひも飾りなど、一連の物理的セキュリティ機能と統合されている。このカードには、4つのソフトウェア・アプリケーションも組み込まれている。1つ目のID eMRTD ICAO、2つ目のデジタル署名 PKI、3つ目のFingerprint Match-on-Card による生体情報認証、そしてデータ・ストレージとCounter devicesを含むジェネリック・タイプ・ルームである。

カードは義務であり、8年ごとに失効し、市民は更新と詳細情報の更新を求められる。60歳を超えると、市民はIDを更新する必要がなくなる。投票するためにはカードの提示が必要で、投票所ではそれ以外の方法は認められない。

2001年以降、ペルーの身分証明書プログラムには、子ども用のDNIも含まれている。これは、子どもがさまざまな公共サービスを利用できるよう、登録することを義務づけるものである。このイニシアチブは、主に社会プログラムからの排除を避けるということで正当化されているが、特に子どものDNI登録の格差が最も大きい貧しい農村部では、逆の効果をもたらし、制度的排除を助長する可能性がある。

インフラの構成

ペルーのIDシステムはデジタルID登録に依存しており、RENIECはその物理的バックアップをリマとアレキパの集中アーカイブに保管している。世界銀行によると、これらの巨大なデータベースは一元的に配備されているが、これらのID登録簿に保存されている情報のプライバシーやセキュリティを保護するための明確な規範や指針はまだ存在しない

マイクロチップの特徴

  • 将来のアプリケーションやコンテンツの組み込みを可能にするJavaカード・オペレーティング・システム。
  • RSA鍵管理と証明書によるデジタル署名のための暗号化能力。
  • 144KbのEEPROMメモリー。
  • 国際標準Common CriteriaレベルEAL4 +またはFIPS 140-2に準拠したセキュリティ。
  • Basic Access Control(BAC):チップのコンテンツへの不正アクセスを防止。
  • Active Authentication(AA)、1024ビットのRSAキーにより、チップの真正性を保証し、その複製を防止。
  • アプリケーション PKI、ICAO eMRTD、Match On Card(MOC)。
  • 補足ソフトウェア: ミドルウェア、クライアント・アプリケーション用SDK、Java Card SDK

含まれる証明書

  • ペルー国家認証機関the National Certification Entity of the Peruvian State ECERNEPのルート証明書
  • ペルー国家認証機関 the Certification Entity of the Peruvian State ECEPのデジタル証明書
  • 市民のデジタル証明書

電子IDに表示される情報

キャプション:ペルーの電子DNIの例。出典:https://dnielectronico.pe/dni-electronico-caracteristicas-principales/

従来のDNIと同様に、DNI-eには以下の情報が含まれる:

  • CUI番号(固有識別コード)
  • 第一姓(父方の姓)
  • 第二姓(母方の姓)
  • その他の名前
  • 性別
  • 市民資格
  • 生年月日
  • 出生地(県・郡コード)
  • 発行日
  • 有効期限
  • 投票グループ – これはRENIECによってすべての有権者に割り当てられる。投票グループが割り当てられていないIDカード保持者は、裁判能力を持たない。
  • 臓器提供
  • 写真
  • 署名
  • 右手の人さし指フィンガープリント
  • 居住する県、市、区
  • 住所

バイオメトリクス

両手人差し指のフィンガープリントと顔写真の収集が義務付けられている。フィンガープリントの破損や欠落がある場合は、その旨を記載した証明書をRENIECから取得する必要がある。

認証と重複排除

ペルーの ID システムは、所持者の身元を確認するために、顔写真、フィンガープリント、署名という 3 つの主な情報源に依存している。

RENIEC の ID レジストリ部門は、更新、重複排除、認証、およびクリアランスの機能を果たす責任を負う。重複排除を実行し、システム内の新規登録が一意かつ真正であることを保証するために、RENIEC は以下を実行する

  • 自動フィンガープリント識別:入力フィンガープリントをデータベースに保存されている数百万の他のフィンガープリントと比較する。
  • 指紋学上のチェック(署名記録から)
  • 顔認識チェック。

公式文書によれば、フィンガープリントの重複排除を行う「Match-on-Card」アプリケーションは、応答時間、偽陽性率、偽陰性率の点で最良の結果が得られるよう、理想的なパラメータで構成されている。

文脈上、これらのパラメータは、バイオメトリックの一意性を保証することと、適切な時間枠内でそうしたことができるようにすることとの間のバランスを達成するために、バイオメトリック比較における信頼レベルを増減させるために使用される。バイオメトリクス照合は常に、ベースラインとして一定の信頼区域内で行われる。つまり、照合を行う機関は、「これが本人であることは絶対確実である」ではなく、「これが本人であることはX%確実である」と主張しうるにすぎない。

キャプション 確信度が照合演習にどのように影響するか。

私たちは、以前にもバイオメトリクス識別のためのパラメーターを微調整することが、識別という最終目標に手を加える可能性のある数字のゲームであると書いたことがある。このトピックについて、また、インドにおけるAadhaarに関する私たちの分析を読むことで、大規模な集団は、ナショナルアイデンティティの文脈において、バイオメトリックの一意性を保証するのは事実上不可能だということについて、より詳しく知ることができる。

関与の原則

RENIECは、ペルーの電子DNI(この種のものとしてはラテンアメリカで初めて)を、同国がデジタル・アジェンダに掲げられている以下のような戦略を達成するのに役立つコンポーネントの1つとして開発した:

  • 協力、開発、統合、そして社会により良いサービスを提供するために、国家機関間の相互運用性を促進する。
  • あらゆる手段でアクセス可能な情報、手続き、公共サービスを人々に提供する。
  • 国家運営のガバナンスと透明性に貢献する手段として、情報へのタイムリーなアクセスと市民参加を確保するためのメカニズムを開発し、実施する。
  • 情報セキュリティを向上させるメカニズムを導入する。
  • 公務員と社会の双方が電子政府サービスにアクセスし、効果的に使用する能力を向上させる。
  • 電子政府の展開に必要な規制を整備する。

キャプション ペルーDNI-eのさまざまな用途。

使用している国々

ペルー

悪用の例

社会保護受給者の識別

社会保護サービスのための身分証明情報の使用に関する透明性を確保しつつ、データ保護基準の遵守のバランスをとることは、微妙なプロセスである。ペルーでは、社会保護プログラムを担当する当局が身分証明書データベースにアクセスし、サービス提供のために DNI の提示など特定の身分証明書を要求している。受給資格と登録基準は、収入、自宅住所、その他の個人的条件(障害、暴力の被害者、子どもの数など)とともにに、身分証明データに基づいている。一般的に、これらのデータベースには、汚名や差別につながりかねない、あるいは受益者を個人的なセキュリティ問題のリスクにさらしかねないデリケートな個人情報が含まれているため、厳格な機密保持基準が守られるべきである。透明性のために定期的に受給者リストを公表している社会プログラムによって、真逆なことが起きており、これが前述の差別につながりうるものになっている。

政府や企業への身分証明データの売却

さらに、Hiperderechoの調査によると、RENIECは、そのナショナルIDシステム内で本人確認のために収集した個人データへのアクセス権を、さまざまな第三者に売却している(下記参照)。RENIEC が保持する DNI 保持者の情報は 3 つのレベルに分類され、それぞれアクセス費用が異なるが、 完全に入手不可能だというものはない。

IDデータへのアクセスレベルの説明表
表はHiperderecho社のパートナーからの調査に基づく。

各機関とペルー国の人々の個人データの間にペイウォールを設置しても、この包括的で機密性の高いデータに対して必要な保護措置は保証されていない。特に、このデータがその人の学歴や障害など、強い差別的な可能性を持っている場合はなおさらだ。

支払い以外に、このようなデータにアクセスするための正式な~~要件~~メカニズムは、公的機関や民間機関がRENIECと、その業務内容が人々のデータにアクセスする正当な理由があることを説明し、同時に情報の機密を守り、第三者に転売したり配布したりしないことを約束する協定に署名することである。この同意書の他に、RENIECが不正使用を監視・防止するために実際にできることはほとんどないと思われる。

プラットフォームの脆弱性

私たちのパートナーであるHiperderechoがレポートしたように、2018年にRENIECが保健省のために開発したシステムに脆弱性があった。この脆弱性により、誰でもペルー市民のID写真をダウンロードできることができた。また、DNIに使用される番号は連番であるため、攻撃者が自動化ツールを作成し、Hiperderecho社のパートナーが「ペルーで最も完全な写真アルバム」と記載されたものを基本的にダウンロードすることも可能だった。

「投票グループ」の排除の可能性

ペルー市民が投票する権利から明らかに影響を受け排除されているもうひとつの要因は、「投票に適している」とみなされた市民に「投票グループ」が割り当てられ、国家の目から投票に適さないすべての市民が排除されている点だ。投票グループはRENIECによって割り当てられるが、個人はその状況によっては除外されることがある。個人が投票グループを割り当てられないようにするプロセスのひとつが、司法による阻止interdiction[禁治産命令]である。一旦阻止がなされると、例えば障害者の場合によく見られるように、当該人物は市民的権利から締め出され、法的能力を欠くとみなされ、代理人が任命される。阻止は、障害者が国家給付を受けるための法的根拠のひとつである。そのため、障害者が必要な給付(年金や支援)を受けるために政府にそのステータスを申告するか、選挙権を継続するためにステータスを申告しないかの選択を迫られるケースが発生している。一旦阻止がなされれば、即座に多くの権利が無効となる。これは誰も強制されるべきでない本質的に排除的な選択でありだ。

デジタルIDは、発展やインクルージョンを助けるものとして推進されているにもかかわらず、その実際の実装には、上記のような個人に非常に現実的で衝撃的な悪影響をもたらしかねない欠点がないというわけではない。身分証明書、金融データ、バイオグラフィック・データ(教育レベルや投票グループの割り当てなど)を結びつけることは、違反した場合に、福祉プログラムからの除外、クレジットへのアクセス、投票からの除外など、個人に深刻なリスクをもたらす可能性がある。これに加えて、十分な情報を与えた上で利用者から明示的な同意を得ることなく、公的機関であれ民間であれ、あらゆる種類の機関と身分証明データを共有することは、不平等の抑制に役立つどころか、むしろ不平等を永続させる方向で動作する可能性もある。

https://privacyinternational.org/case-study/5034/id-systems-analysed-dnie-peru

Tags:
Table of Contents