スイスのデジタルID法 見切り発車か見直しか
デジタルID(eID)は、官民を問わず様々なサービスへのアクセスを一本化しデジタル世界への扉を開く鍵として、かねてから導入が待たれている。しかし、スイス政府の提案するモデルは問題が多いとして、来月7日の国民投票で可否が問われることになった。
私たちは日ごろからインターネットでたくさんの「ID」、つまりログイン情報を持ち、それらを用いて電子商取引やメール、ソーシャルメディアといったサービスにアクセスする。しかし、こうしたクレデンシャル(認証情報)の保護や証明の基盤となる法律は整備されていない。デジタルID推進派は、デジタルIDを管理・規制することで、ネット上に秩序をもたらしセキュリティーを強化できると主張する。
ジュネーブ大学のジャン・アンリ・モラン教授(情報システム学)は「電子デジタル身分証はあらゆる実用局面や政府・国民間のインタラクションの土台となるもの」と説明する。例えばデジタルIDでアクセスできるサービスには、オンライン納税やeヘルス(IT技術を活用したヘルスケア)などがある。
同教授をはじめとするスイスや欧州の多くの専門家は、行政のデジタル化を大きく前進させるためにも、デジタルIDの導入は優先事項だと考えている。
欧州連合(EU)はこの分野における先駆者だ。2014年には電子取引における信頼性やセキュリティーの保護、またサービス間の連携強化を目的とした法的規則で、電子本人確認に関する統一基準を定めたeIDAS(イーアイダス)外部リンクが成立し、2016年7月に施行された。今日ではごく一部を除き、ほぼ全ての欧州国家がデジタルIDに対応している。
一方、スイスは国が認証・管理するデジタルIDをいまだに持たない。スイス郵便やスイス連邦鉄道、さらにはスイス最大手の銀行や保険会社などが関わった官民ベンチャー企業「スイス・サイングループ」が2010年、「SwissID」を導入したが、空振りに終わった。しかし、スイスで公式デジタルIDプロバイダーの地位を目指すという同社の姿勢は今も変わっていない。
2018年に議会を通過し来月7日に国民投票にかけられる新法「電子的な身分証明サービスに関する連邦法(eID法)」外部リンクは、事実上、民間企業がいわゆるアイデンティティープロバイダー(IdPs)となり、電子ID発行を請け負うという内容だ。
これに対しデジタルIDは国が発行すべきだとする複数の市民グループが委員会を立ち上げ外部リンク、民営管理に異を唱えた。もしも国民投票で法案反対派が敗れた場合、国のデジタルIDシステム運営や国民の個人情報管理は、連邦当局が正式に民間委託することになり、スイス・サイングループなど民間企業が追い求めてきた千載一遇のチャンスが生まれる。国はデータを提供するに過ぎない外部リンク。
チャンスは一度だけ?
同法はデジタルサービス規制に向けた第一歩であり、もし否決されればスイスはチャンスを逃すという見方もある。
ベルン大学で教鞭を執るデジタル持続可能性研究所長のマティアス・シュトゥルマー氏は、グーグルやフェイスブックも非公式IDプロバイダーの地位を狙っていること、また、これらの企業が複数サイトへの単一ログインIDの提供を既に行っていることを指摘する。
「だが、ルール不在の状態では、広告その他の商業サービスにメタデータ(付帯情報)を使うなど、企業が我々のアイデンティティーを勝手に利用することができる」という。エンドユーザーへの付加価値は、経済の側が選んで提供するサービスを通じてもたらされる。だからこそ、業界がデジタルIDプロジェクトを受け入れ支援することは極めて重要だと同氏は話す。
連邦保険庁デジタルヘルス部門責任者のジャンレト・グロンド氏も、新法は大きな改善をもたらすという意見だ。eヘルス分野なら、政府が管理・承認したデジタルIDを介して患者のデジタルファイルにアクセスすることが可能になる。
グロンド氏は「医療データはセキュリティーに対する要求レベルが非常に高い分野。だからこそ法律で認証・保護されたデジタルIDは不可欠だ」と述べ、同法により電子カルテのみならずモバイルアプリなど医療機能に新しいエコシステムが誕生する可能性も示唆する。
チューリヒ応用科学大学(ZHAW)のケビン・アンデルマット研究員は、スイス北部シャフハウゼン州が導入したデジタルIDシステムの評価に携わった経験を持つが、デジタルIDを適切な時間と品質で独自開発するためのITキャパシティーやリソースを持つ政府はほぼ皆無だと指摘する。政府が民間企業と共同で技術を開発したり公共調達により完成品を購入したりしているのはそのためだ。
同氏は官民連携方式が一般的にはきわめて有望だとして「民間企業には特定のノウハウや必要とされる最先端技術が備わっており、市場や顧客との距離も近い」と論ずる。その一方で、今回は信用が深く関わってくるケースであることから、政府が完全国家主導型のデジタルID案も示していれば、レファレンダムはおそらく避けられていたとみる。
「国民投票でこの法案が否決された場合、代替案ができるまでには何年もかかるだろう」(アンデルマット氏)
問答無用のデジタルID?
前出のモラン・ジュネーブ大教授は、たとえスイスが他の欧州諸国に遅れていたとしても、電子認証に関しては拙速な解決策で失われた時間の埋め合わせをすべきでないと主張する。同氏は連邦議会が可決したeID法に断固反対の立場を取っており、国民投票で廃案となることを望んでいる。
「デジタルIDは公の手に委ねられるべきであり、銀行や保険会社など民間企業による不透明なコンソーシアムが管理すべきものではない。IDが単なる商売に矮小化される恐れがある。ここはひとまず待って、人々の信頼を勝ち得るに十分な、責任ある持続可能なソリューションを目指す方が良い」
モラン教授は、エストニアのデジタルIDは完全に公的管理され最先端かつ安全とされているが、スイスにもまだこうした欧州先行国を参考にしつつ追いつくチャンスはあると考える。そして、スイスのeID法はすでに古くなりセキュリティーが万全ではない点も指摘する。例えばユーザーのデータを6カ月間プロバイダーのサーバーに保存するという規定は、データの不正使用が禁止されているとはいえ、この期間を設けることでユーザーのプライバシーへの配慮が薄れ、データの不正操作や漏洩、サイバー攻撃といった被害を受けやすくなると説明する。
また、「この法律はデータ保護原則や技術、さらには他国との相互運用性の面でも最新とはいえず、もし可決されればスイスの後進性に拍車がかかるだろう」という。そのような考えから、同法を廃案にした上で、スイスが誇る多数の優秀な科学者や社会学者らを集め、人とプライバシーの保護に重点を置いた真に革新的で進歩的なシステムを考案する方が得策だと話した。
穴だらけのシステム
「スイス・カオスコンピュータクラブ」外部リンク (CCC-CH)に所属し市民社会への貢献をうたう「民衆派」ハッカーらも、現在の法案によるデジタルIDシステムは脆弱だと警告している。
CCC-CH理事で社会学者・神経情報学者のエルナーニ・マルケス氏は「私たちはこの法律を気に入っていない。システムアーキテクチャー的には中央集権型で、サイバー攻撃に非常に弱い。セキュリティーとプライバシーのリスクがメリットを上回る」と話す。同氏によると、単一ログインの中央集権型アーキテクチャーでは攻撃も集中的に行われるため、1つの脅威でシステム全体に危険が及び機能不全に陥る可能性がある。その結果、ユーザーはデータの損失や漏洩、盗難といった危険にさらされる。
解決策は実用主義?
セキュリティーやプライバシーに問題があるにもかかわらず、スイスはなぜこのシステムを選んだのか。IT・クラウドサービス企業CAOSのフロリアン・フォースター最高経営責任者(CEO)は、ネット上のあらゆるサービスと簡単に統合できてもプライバシー保護的には脆弱なプロトコルを使うソリューションが採用された背景には、IDプロバイダー企業によるロビー活動があったと考える。「法律を起草した議会がデジタル化についての専門知識を欠いていたり、しかるべき専門家とオープンな議論を持つ機会が無かったりしたのも災いした」
ベルン大学のシュトゥルマー氏は「スイス政府案は完璧ではないかもしれないが、実際的かつ強力に規制された官民連携のアプローチだ。うまく機能するだろう」とみている。
同氏ら賛成派は、たとえ新法が欠陥含みであっても、完璧な解決策が登場するまで待っている時間はないと訴える。複雑化、脆弱化の一途をたどるネットの世界では、今行動しなければ意味がないという。
「スイスは競争の真っ只中にある。新しい法律の制定を数年も待つ余裕はない」とシュトゥルマー氏。「認証市場は競争が激烈だ。スイス流デジタルIDはメタデータを商業目的で使用することができないという点で、大手テック企業のIDプラットフォームより優れている」
(英語からの翻訳・フュレマン直美 )
JTI基準に準拠
swissinfo.chの記者との意見交換は、こちらからアクセスしてください。
他のトピックを議論したい、あるいは記事の誤記に関しては、japanese@swissinfo.ch までご連絡ください。