欧州連合は、デジタル政策に関する最新の意欲的な取り組みの1つとして「信頼できる安全な欧州のe-ID(デジタルID)」のフレームワークの構築を提案した。これは、すべての市民、居住者、企業が公共サービスや商業サービスを利用する際に、EU内のどこからでも自分の身分を証明するために、公的なデジタルIDをより簡単に使用できるようにしたいとして、現地時間6月3日に発表された。
EUには、すでに電子認証システムに関する規則(eIDAS)があり、2014年に発効している。しかし、今回のe-IDに関する欧州委員会の提案の意図は、e-IDを展開することでeIDASの限界や不十分な点(普及率の低さやモバイルサポートの不足など)に対処することにある。
また、e-IDフレームワークにデジタルウォレットを組み込むことも目指している。つまり、ユーザーはモバイル機器にウォレットアプリをダウンロードして電子文書を保存し、銀行口座の開設やローンの申し込みなど、ID確認が必要な特定の取引で、電子文書を選択的に共有できるようにするものだ。その他の機能(電子署名など)も、こういったe-IDデジタルウォレットによってサポートされることを想定している。
欧州委員会は、e-IDに統合すれば便利になると考えられる他の例として、レンタカーやホテルへのチェックインなどを挙げている。また、EUの議員らは、市民が地方税の申告をしたりEU内の大学へ入学したりする場合の利便性を挙げ、各国のデジタルIDの認証に完全な相互運用性を持たせることを提案している。
一部のEU加盟国では、すでに国の電子IDを提供しているが、国境をまたぐ相互運用性には問題がある。欧州委員会によると、全加盟国の主要な公共サービスプロバイダーのうち、国境を越えた認証を許可している電子IDシステムは、わずか14%だが、そういった認証は増加しているという。
全EUで利用可能な「e-ID」は、理論的には、欧州の人々が自国以外で旅行したり生活したりする際に、本人確認を含めて商業的サービスや公的サービスへのアクセスが容易になり、EU全体にわたって単一市場としてのデジタル活動を促進する。
EUの議員らは、もし全欧州の公的デジタルIDについて統一的なフレームワークを作ることができれば、そこにデジタルパズルの戦略的なピースを「手に入れる」機会があると考えているようだ。消費者に(少なくとも一部の状況で必要な)物理的な公的IDや、特定のサービスの利用で必要な書類を持ち歩かずに済む、より便利な新しい手段を提供するだけではない。商業的なデジタルIDシステムでは提供できないであろう、自分のデータのどの部分を誰が見るかをユーザーが完全にコントロールできる「信頼された安全な」IDシステムというハイレベルな確約を提供しようとしている。欧州委員会は同日の発表で、それを「欧州の選択」と称している。
もちろん、すでにいくつかの大手テック企業は、自社のサービスにアクセスするための認証情報を使ってサードパーティのデジタルサービスにもサインインできる機能をユーザーに提供している。しかし、ほとんどの場合、ユーザーは、認証情報を管理するデータマイニングの大手プラットフォーム企業に個人情報を送る新たなルートを開くことになり、Facebook(フェイスブック)などは、そのユーザーのインターネット上の行動について知っていることをさらに具体的に把握することになる。
欧州委員会のステートメントでは「欧州の新しいデジタルIDウォレットによって、欧州のすべての人々が、個人的なIDを使用したり、個人データを不必要に共有したりすることなく、オンラインサービスにアクセスできるようになる。このソリューションでは、自分が共有するデータを完全に自分でコントロールできる」と、提案するe-IDフレームワークのビジョンを述べている。
同委員会はまた、このシステムが「信頼できる安全なIDサービス」に関連した誓約に基づく「広範な新サービス」の提供を支援することによって、欧州企業に大きな利益をもたらす可能性があることを示唆している。また、デジタルサービスに対する欧州市民の信頼を高めることは、欧州委員会がデジタル政策に取り組む際の重要な柱であり、オンラインサービスの普及率を高めるためには不可欠な方策だと主張する。
しかし、このe-ID構想を「意欲的」といったのは、実現性に対する危惧を、リスペクトを込めて表現したものだ。
まず、普及という厄介な問題がある。つまり、欧州の人々に(A)e-IDが知れ渡り(B)実際に使ってもらうためには(C)e-IDをサポートする十分なプラットフォームを用意し(D)強固な安全性を確保した上で、必要とされる機能を持つウォレットを開発するプロバイダーの参加も必要だ。それに加え、恐らく(E)ウェブブラウザーに、e-IDを統合させ効率よくアクセスできるよう、説得または強要する必要もあるだろう。
別の方法、つまりブラウザーのUIに組み込まれない場合は、普及に向けた他のステップがより面倒になることは間違いない。
しかし、委員会のプレスリリースは、そういった詳細にはほとんど触れておらず、次のようにしか書かれていない。「非常に大規模なプラットフォームでは、ユーザーの要求に応じて欧州のデジタルIDウォレットの使用を受け入れることが求められる」。
それにもかかわらず、提案は全体として「ウェブサイト認証のための適格証明書」の議論に費やされている。これはサービスの信頼性を確保するためであり、eIDASで採用されたアプローチを拡張したものだ。e-IDでは、ウェブサイトの運営者に認証を与えることでユーザーの信頼性をさらに高めようと、委員会が、熱心に取り入れようとしている(提案では、ウェブサイトが認証を受けることは任意としているが)。
この提案の要点は、必要とされる信頼を得るために、ウェブブラウザがそういった証明書をサポートし、表示する必要があるということだ。つまり、このEUの要求に対応するために、サードパーティは、既存のウェブインフラストラクチャとの相互運用性確保のために非常に微妙な作業が必要となる(すでに複数のブラウザメーカーがこの作業に重大な懸念を表明しているようだ)。
セキュリティとプライバシーの研究者であるLukasz Olejnik(ルーカス・オレイニク)博士は「この規制は、ウェブブラウザに新たなタイプの『信頼証明書』の受け入れを強いる可能性がある」と、委員会の提案に関するTechCrunchとの対話で述べている。そして次のように語る。
「この方式では、ウェブブラウザがそういった証明書を尊重し、何らかの方法で表示するようにウェブブラウザのユーザーインターフェイスを変更するという要件がともなう。このようなものが実際に信頼を向上させるかどうかは疑問だ。もしこれが『フェイクニュース』と戦うための仕組みだとしたら、厄介な問題だ。一方で、ウェブブラウザのベンダーが、セキュリティとプライバシーのモデルの修正を求められれば、これは新たな前例となる」。
欧州委員会のe-ID構想が投じるもう1つの大きな疑問は、想定されている認証済みデジタルIDウォレットが、ユーザーデータをどのように保存し、最も重要なことだが、どのように保護するのかということだ。初期段階である現時点では、この点について、決定すべきことが数多くある。
例えば、この規制の備考には、加盟国は「革新的なソリューションを管理された安全な環境でテストするための共同サンドボックスを設定し、特にソリューションの機能性、個人データの保護、セキュリティ、相互運用性を向上させ、テクニカルリファレンスや法的要件の将来の更新を通知する」ことが奨励される、という記述がある。
また、さまざまなアプローチが検討されているようだ。備考11では、デジタルウォレットへのアクセスに生体認証を使用することが議論されている(同時に、十分なセキュリティ確保の必要性に加え、権利に対する潜在的なリスクについても言及されている)。
欧州のデジタルIDウォレットでは、認証に使用される個人データについて、そのデータがローカルに保存されているか、クラウドベースのソリューションに保存されているかにかかわらず、さまざまなリスクレベルを考慮して、最高レベルのセキュリティを確保する必要がある。バイオメトリクスを用いた認証は、特に他の認証要素と組み合わせて使用すると、高いレベルの信頼性を確保できる識別方法の1つだ。バイオメトリクスは個人の固有の特性を表すため、バイオメトリクスを使用する処理については、人の権利と自由に及ぼす恐れのあるリスクに対応し、規則2016/679に準拠する組織的なセキュリティ対策が必要となる。
つまるところ、統一された(そして求心力のある)欧州のe-IDという欧州委員会の高尚で壮大なアイデアの根幹には、安全で信頼できる欧州のデジタルIDというビジョンを実現するために解決すべき複雑な要件が山積している。そして、ほとんどのウェブ利用者に無視されたり利用されなかったりといったことだけではなく、高度な技術的要件や、困難(広範な普及の実現が求められていることなど)が立ちふさがっていることは明らかだ。
成功を阻むものは、確かに手強いようだ。
それでもなお、議員らは、パンデミックによってデジタルサービスの導入が加速したことを受け、eIDASの欠点に対処し「EU全域で効果的かつユーザーフレンドリーなデジタルサービスを提供する」という目標の達成が急務であると主張し、努力を続けている。
同日の規制案に加え、議員らは加盟国に対して「2022年9月までに共通のツールボックスを構築し、必要な準備作業を直ちに開始すること」を求める提言を発表した。そして、2022年10月に、合意されたツールボックスを公開し、その後(合意された技術的フレームワークに基づく)パイロットプロジェクトを開始することを目標としている。
同委員会は「このツールボックスには、技術的なアーキテクチャー、標準規格、ベストプラクティスのためのガイドラインが含まれる必要がある」と付け加えているが、厄介な問題をいくつも抱えていることには触れていない。
それでもなお委員会は、2030年までにEU市民の80%がe-IDソリューションを使用することを目指すと書いているが、全面的な展開までのタイムフレームとして約10年の歳月を見込んでいることは、この課題の大きさを如実に表している。
さらに長い目で見れば、EUはデジタル主権を獲得して、外資系大手テック企業に踊らされないようにしたいと考えている。そして「EUブランド」として自律的に運営される欧州のデジタルIDは、この戦略的目標に確実に合致するものだ。
関連記事
・EUが大手テック企業の「新型コロナ偽情報対応は不十分」と指摘
・大手テック企業に対する反トラスト調査の手を強めるドイツ競争規制当局がGoogle News Showcaseの徹底調査開始
・フェイスブックの広告データ利用について英国と欧州の規制当局が競争規則違反の疑いで調査開始
カテゴリー:パブリック / ダイバーシティ
タグ:EU、ヨーロッパ、デジタルID、プライバシー
画像クレジット:Yuichiro Chino / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
