欧州のデジタルIDウォレットとGoogleおよびAppleへの依存
欧州のデジタルIDウォレットとGoogleおよびAppleへの依存
欧州連合(EU)が進めるデジタルIDウォレットの推進は、GoogleおよびAppleへのシステム的な依存を生み出しています。独自のハードウェア・アテステーション(証明)とアプリストアのエコシステムに依存することで、EUはデジタル主権という自らの目標を損なうリスクがあり、オープンソースのオペレーティングシステムを好むユーザーやスマートフォンを所有していないユーザーにとっての障壁を生み出す可能性があります。
独自の証明サービスへの依存
欧州のデジタルIDウォレットの実装は、デバイスの整合性を検証するために、独自のセキュリティ・フレームワーク、具体的には Google Play Services と Play Integrity API に依存することがよくあります。これにより、米国を拠点とする企業が、欧州市民のデバイスの妥当性を保証しなければ、政府サービスにアクセスできないという技術的なボトルネックが生じます。
プライバシー重視のオペレーティングシステム、例えば GrapheneOS などを使用しているユーザーは、イタリアの IO アプリを含む公式のウォレットアプリが、Google Play Services を必要とするために、これらのプラットフォームへのサポートを拒否していると報告しています。この依存関係は、セキュリティやプライバシーの理由で Google エコシステムから離脱したユーザーを事実上排除することになります。
デジタル主権との矛盾
国家のアイデンティティ管理のインフラを、欧州外の民間企業に管理させることは、EUが掲げるデジタル主権という目標と根本的な矛盾を生じさせます。批判的な意見を持つ人々は、このアーキテクチャが、EUのアイデンティティ・システムの核となる機能において、EUを2つの米国企業に依存させることになると主張しています。
"A European digital ID system that is entirely dependent on 2 US companies. Wasn't there some talk about the pressing need for European digital sovereignty recently?"
さらに、一部の人々は、このリモート・アテステーションへの依存が、政府に対して、どのオペレーティングシステムが許容されるかを決定する権限を与えることになると主張しています。これは、将来的にOS開発者に対して、情報機関のためのバックドアを実装するよう圧力をかけることにつながる可能性があります。
アクセスとデジタル・インクルージョンの障壁
デジタル・アイデンティティのためにスマートフォンアプリを必須とすることは、重大なアクセシビリティの格差を生み出します。アプリベースのIDが義務化されると、高齢者や、スマートフォンを購入できる余裕がない、あるいは所有しないことを選択した人々を差別することになるのではないかという懸念があります。
ドイツでは、スマートフォンを持たない人々を差別しないために、鉄道(DB)がオフラインのチケットを提供することが義務付けられた法的判例が存在します。EUDI ウォレットがスマートフォン・エコシステムに厳格に紐付けられたままの場合、同様の法的課題が予想されます。
提案されている技術的代替案
技術的な専門家やプライバシー擁護派は、現在の独自の依存モデルに代わる、いくつかの代替案を提案しています。
Hardware Tokens: 政府が発行する、汎用オペレーティングシステムを必要とせずに、暗号プリミティブとデバイスに紐付けられた鍵を提供する、特化型のハードウェア・トークン。
Local-First Open Standards: ローカルファーストなオープン標準(例えば、再構築された OpenID4VP など)への移行。このモデルでは、政府が証明書を発行し、ユーザーがそれをサポートされているあらゆるクライアントアプリ(公式、オープンソース、または独自のもの)に読み込み、オープンなプロトコルを使用して選択的にデータを共有します。
Web-Based IDs: Google と Apple の制限的な「安全」サービスへの依存を低減するために、ウェブベースのアイデンティティ・ソリューションを実装すること。
Zero-Knowledge Proofs (ZKP): 匿名での年齢確認やデータ共有のために ZKP スキームやブラインド署名を利用すること。これにより、アイデンティティの検証に汎用OSの必要性が排除されます。
市場独占への規制の役割
ビッグテックの権力を抑制することを目的とした規制そのものが、意図せずして独占を強化してしまうという、より広範範な懸念があります。複雑な規制への実装コストが高ければ、、多くの場合、小規模なオープンソースのプレイヤーが遵守できず、市場シェアを維持するためのリソースを持つ巨大企業だけが残ることになります。