EUが推進するデジタル身分証明システム「デジタルIDウォレット」はGoogleやAppleの独占を強化するとの指摘

EUではスマートフォンなどのデバイスを使い、人々のデジタルID・住所・年齢・資格情報などを保存・管理する「デジタルIDウォレット」の導入を進めています。そんなデジタルIDウォレットが、EUが非難しているはずの「GoogleやAppleといった巨大テクノロジー企業の独占」を強化してしまうと、テクノロジーや社会について研究しているWaag Futurelabが指摘しました。
Waag | European digital ID wallets are a gift to Google and Apple
https://waag.org/en/article/european-digital-id-wallets-are-gift-google-and-apple/
EUのデジタルIDウォレットは、EU市民の属性情報や資格情報を保存・管理し、オンラインおよび対面での安全かつ確実な身分証明を可能にするものです。EU市民はデジタルIDウォレットを利用して政府系のサービスにアクセスしたり、オンラインで年齢確認を行ったりできるとされています。
ところがWaag Futurelabは、デジタルIDウォレットには「GoogleやAppleのセキュリティサービスに依存している」という問題があると指摘。GoogleのセキュリティサービスであるGoogle Play Integrity APIを例に挙げて、Googleのサービスに依存することの問題点について説明しています。

Google Play Integrity APIはGoogleが開発者向けに無料で提供しているソフトウェアです。開発者はこのAPIを使うことで、特定のアプリが「正規の認証済みAndroidデバイス」上で動作しているかどうかを確認し、モバイルデバイスの信頼性を検証可能。これにより、ボットによる不正行為や銀行アプリにおける詐欺行為、ゲームアプリにおけるチート行為などを軽減できるとのこと。
しかし、Google Play Integrity APIは検証の過程で、デバイスがGoogleのライセンスを受けたAndroidバージョンを実行しているかどうかも確認し、ライセンスを受けていない代替OSを潜在的なセキュリティリスクとして扱います。また、アプリについてもGoogle Playストア経由でインストールされたものかどうかを確認しているほか、ユーザーにGoogleアカウントでのサインインを要求するように設計されています。
Waag Futurelabは、Google Play Integrity APIのこうした挙動は大企業の独占を防ぐEUのデジタル市場法(DMA)に違反していると指摘。また、AndroidのHardware Attestation APIを使用すればGoogleサービスの使用やポリシーの順守を強制せずに、ハードウェアベースのセキュリティチェックを提供できるとしています。
それにもかかわらず、オランダやイタリアのデジタルIDウォレット開発者らはGoogle Play Integrity APIを実装しています。そのため、Androidの代替OSであるe/OSやGrapheneOSのユーザーは、デジタルIDウォレットにアクセスできなくなってしまう可能性があるとのこと。
Waag Futurelabは、デジタルIDウォレットでGoogle Play Integrity APIを使用することは、開放性・包括性・技術主権といった価値観に基づいたデジタル公共インフラ構築を目指すEUの野心と矛盾しており、相互運用性が重要なデジタルIDウォレットの規制にも反していると指摘。「デジタルIDウォレットは重要な公共サービスにアクセスするための公共インフラです。そのため、さまざまなデバイスやOS間で相互運用性を維持し、ベンダーロックインから解放されるべきです」と主張しています。

デジタルIDウォレットにまつわる問題の一部は、ウォレット設計のガバナンスの欠如にあるとのこと。EUはデジタルIDウォレットに関するアーキテクチャ参照フレームワークを提供しており、この中ではGoogle Play Integrity APIの使用を義務づけてこそいないものの、推奨しているそうです。そのため、スイスなど一部の国ではHardware Attestation APIを使用している一方、オランダやイタリアはGoogle Play Integrity APIを使用するという一貫性を欠いた状態になっています。
Waag Futurelabは、「EUがデジタル自律性を真剣に追求するのであれば、アーキテクチャ参照フレームワークからGoogleとAppleの認証を完全に排除し、オープンなハードウェアベースの認証メカニズムを義務付けるべきです。スイスのような国々は、Google Play Integrityの利用が正当化されないこと、そして他の解決策が存在することを示しています」と述べました。
・関連記事
子どもを保護するためのEUの年齢確認アプリはGoogleがライセンスしたAndroid OSやアプリしか認めない可能性 - GIGAZINE
EUのオープンソース年齢確認アプリはたった2分でハッキング可能でプライバシーとセキュリティ上の問題が発覚、EU当局者も「まだデモ段階」と言わざるを得ない事態に - GIGAZINE
SNS利用の最低年齢を一律16歳とする提案を欧州議会が採択 - GIGAZINE
「子どもの安全を守るため」のオンライン年齢確認ツールが普及しているが実際には「成人」も監視対象となっている - GIGAZINE
1つのIDであらゆるサイトにログインできるスイスの「電子ID法案」が国民投票で否決される、「プライバシーは政府が管理して」とスイス国民が訴える理由とは? - GIGAZINE
身分証明書アプリをニューヨーク州が導入、モバイル免許証は全米12例目 - GIGAZINE
Googleが5000億円超の制裁金を独占禁止法違反でEUから科される - GIGAZINE
Appleによる「App Storeに対する独占禁止法執行命令の一時停止を求める要請」が却下される - GIGAZINE
・関連コンテンツ
in ソフトウェア, スマホ, Posted by log1h_ik
You can read the machine translated English article Some argue that the EU's digital ide….







