EUの年齢認証アプリ、デスクトップ対応の計画なし

 (github.com/eu-digital-identity-wallet)
2 ポイント 投稿者 GN⁺ 2025-09-25 | 1件のコメント | WhatsAppで共有
  • EUデジタルIDウォレットプロジェクトはモバイルプラットフォーム(Android/iOS)のみに注力しており、デスクトップ対応は検討していない
  • スマートフォンを持たない人や、さまざまなOS利用者など多くの市民がサービスから排除される
  • 頻繁な年齢認証の要求とプライバシー保護の問題により、使い勝手が低下
  • この方式はGoogle・Appleへの依存、競争制限、デジタル主権の弱体化などの主要な懸念を引き起こす
  • オープンソース、ブラウザー拡張、汎用標準ベースの代替案の必要性が提起されている

概要と核心的な問題

  • 本件は、EUデジタルIDウォレット(eu-digital-identity-wallet)の年齢認証システムの使い勝手に対する懸念を提起するもの
  • 現行案が**モバイルアプリ(AndroidおよびiOS)**に集中しているため、スマートフォンを持たない人やPC利用者、代替OS利用者が実質的に排除される問題を示している

主なユーザビリティ上の問題

  • すべての市民がスマートフォンを所有していると想定しているが、高齢者などスマートフォンを持たないケースは依然として存在する
  • Web利用時、特にプライベートブラウジングや匿名モードでは毎回年齢認証を求められ、Webアクセシビリティが大きく低下する
  • 自動処理のためのブラウザー拡張も議論されたが、信頼性と個人情報保護の面で限界がある
  • 技術実装コストが大きく、特定のプログラミング言語やエコシステムに依存する恐れがあるため、スタートアップなど小規模な主体の参加障壁が高まる

EU側およびコミュニティの反応

  • EUプロジェクトは、「特定の年齢制限コンテンツへのアクセス時、利用者は信頼でき、かつプライバシーが保証される方法で本人確認を行う必要がある」と明記している
  • **モバイル(Android/iOS)**が全利用者と実利用事例の大半を占めるため、デスクトップ対応は現在のスコープに含まれていない
  • データ保護法(DSA)への適合のための1つの参考実装例にすぎず、他の代替ソリューションの実装も可能だと説明している
  • 今後、プラットフォーム拡大や多様な貢献を検討する予定だとしている

反論と追加の懸念

  • 一部の欧州諸国では、10世帯に1世帯以上がスマートフォンを持っていない状態にある
  • Google・Appleが提供する標準OS以外にも、さまざまなOSやデバイス(Linux、Windows、Sailfishなど)が市場に存在するにもかかわらず、既存方式はこれらを排除している
  • 公共基盤のIDインフラが特定企業(Google、Apple)の独占的な構造に依存し、利用者の選択肢と将来の市場競争を損なう
  • 公共インフラとしてプラットフォーム独立性、ベンダーニュートラル性を確保すべきであり、スマートカード、FIDO2ハードウェアトークン、EU独自の認証フレームワークなどの代替が必要とされる

技術的・政策的な代替案の提案

  • W3C Credential Management API などの標準ベースで、ブラウザー・OS・オープンソース拡張などを通じた汎用的なアプローチが提案されている
  • デジタルIDシステムをモバイルに集中させることは物理的な身分証の代替には適しているが、オンライン認証ではWebベースと拡張可能性の確保が不可欠である
  • 規制推進により、EU市民が特定の米国企業に従属する構造になることを懸念する声が多く上がっている

結論と要求事項

  • 中核インフラである**デジタルID(年齢認証など)**には、汎用性、ベンダーニュートラル性、プラットフォーム独立性の確保が不可欠である
  • 多様なハードウェア、OS、ブラウザー、オープンAPIベースの代替ソリューションの開発と導入の必要性が強調されている
  • EUの本プロジェクトは1つの例示にすぎず、オープンソース・他社実装の許容と、デスクトップやその他プラットフォームへの拡張が必須課題である

関連記事

1件のコメント

 
GN⁺ 2025-09-25
Hacker Newsの意見

  • 現在このプロジェクトはモバイルプラットフォーム、つまりAndroidとiOSに焦点を当てており、この2つのプラットフォームで大半のユーザーをカバーできるという理由です。デスクトップ対応は現時点の計画に含まれていません。この状況は「まさか君たち、スマホ持ってないの?」という問いに近いと感じますが、もっと大きな規模で起きている現象です。私の住む場所でもスマホは最小限にしか使っていません。技術業界で働いていても同じです。しかし、だんだん不便になっているのがとても心配です。社会の一員として認められるにはスマホを使わなければならない雰囲気になりつつあります。特に複数の国で年齢認証が進められており、Androidの「サイドローディング」封鎖の話まで出ているので、2026年末ごろには政府公認スマートフォンがないと人として扱われなくなるのではと不安です。YouTubeリンク 参照

    • より多くの人に、簡単で安価なスマートフォンを通じて現代社会へのアクセス性を高める意図でこうしたプロジェクトが進められていますが、その結果として社会の階層化が深まっています。私の兄も本当に技術が嫌いで古い折りたたみ式携帯しか使いませんが、そのせいで生じるさまざまな問題には驚かされます。デスクトップ向けサイトがしきりにアプリのインストールを要求し、まともに動かないケースが最悪です。

    • 最近のアプリ強制利用のニュースについて話したいです。Ryanairは11月から搭乗券の印刷を廃止し、必ずアプリでのみ搭乗券を提供するとしています。モバイルブラウザでRyanairのサイトを開いてもQRコードは表示されず、アプリを必ず使わなければなりません。ニュースリンク

    • すべての人を「首輪」のように追跡可能にすることが核心です。陰謀論者はマイクロチップの埋め込みを心配しますが、実際の現代社会では、それよりはるかに抵抗感の少ない方法で統制が進んでいます。無限の自由と機会があるように見えて、実際には自由を制限する手段こそがそれです。Gilles Deleuzeの『管理社会に関する追伸』を引用するなら、統制システムは各要素(動物や人間)の位置をリアルタイムで追跡し、デジタル通行証やカードのように見えますが、実際にはコンピュータが私たちの位置と行動をすべて監視しています。論文リンク

    • 年齢認証は自由度の低いデスクトップには適用されないので、むしろ良いことだと思います。少なくともデスクトップに限っては、まだ自由があります。

  • 今回の要件が十分な検討なしに進められている好例だと思います。彼らの説明によれば、デスクトップアプリは年齢認証の対象範囲にそもそも含まれていません。だとすれば、今後はウェブサービスの代わりにデスクトップアプリケーションが復活するのではと期待したくなります。しかし今や大人のほうがより多くの不便を強いられています。もう一つの問題は、この政策が新しいスマホOSの開発そのものを妨げてしまうことです。もしオンラインウォレット認証が不可能なら、誰が新しいスマホOSを作りたいと思うのでしょうか。

    • すでに現実はそうなっています。銀行アプリや政府のeIDアプリはGoogleかAppleの端末でしか使えません。

    • この政策からは、まるで「PCは古くさいので重要ではないと思っている」という感覚を強く受けます。

    • この事例は政策が未熟なまま進められた例ではなく、実際には政策推進者が何を望んでいるのかを誤解している例だと思います。彼らの本当の目標は、そのコンテンツ自体を遮断することです。単に成人向け制限という包装をしているだけです。つまりアクセスそのものを妨げることが目的なのです。

    • 実際には「このデスクトップアプリを使うにはスマートフォンが必要です」が正解ということです。

    • 「デスクトップアプリケーション」の復活を期待しても無駄です。法律上必要になるので、デスクトップアプリであっても結局はスマートフォンとの連携が必要になります。

  • このプロジェクトはTHE digital walletではなく初期プロトタイプであることを、もう一度強調したいです。インフラはアテステーションではなく、ダブルブラインドZKP(Zero-Knowledge Proof)の導入を志向しています。この方式は既存の公開鍵システムよりもプライバシー保護に優れています。プラットフォーム間の互換性もあります。もし詳しくなければ説明すると、このシステムでは認証機関は属性(年齢、免許など)に関する主張以外は何も知りませんし、EUも、どの属性がいつ認証されたか、誰が試みたかを知ることはできません。

    • 「人々がこのプロジェクトを誤解している」と考えるかもしれませんが、実際には発行者の区別が不可能な方式を模索しているだけで、現時点では標準的な暗号技術に基づくリンク可能なソリューションを採用しています。そのため、認証機関(加盟国政府)と認証要求者(ウェブサイト)が協力すれば、ユーザーの匿名性は簡単に破れます。SD-JWTと署名がどちらも共有されるため、発行者と認証要求者は識別子を見ることができます。結局このプロジェクトは、年齢認証が技術的に可能だと示すショーケースです。プライバシー技術が後から導入されるかもしれませんが、場当たり的な対策が最も恒久的な解決策になることはよくあります。現在の設計では発行者識別があまりにも容易なので、プライバシー対策がさらに悪化しかねません。参考リンク

    • ZKP(Zero-Knowledge-Proof)に関する文書があるのか気になります。

    • 「このプロジェクトはTHE digital walletではなくthe walletだ」という言い方がどういう意味なのか、少し混乱します。

  • ハードウェアアテステーションの本質を説明するなら、本当に鋭い諸刃の剣です。最大の問題は、認証ハードウェアとクライアントアプリが同一メーカーの同一デバイス上にあることです。メーカーは顧客のプライバシーより自社の収益を優先しがちです。今のpro-attestationの潮流があまりにも強いので、私たちが持っている「オープン」な瞬間を大切にしたいです。

    • 「諸刃の剣」という比喩は、長所と短所があるという意味だと理解していますが、自分の持っているハードウェアを好きなように使えなくすることの利点が何なのか、よく分かりません。

    • 最も不可解なのは、なぜEUが米国の2つの民間企業に支配されたハードウェアアテステーションを、サービスアクセスの必須条件にしようとしているのか理解できないことです。EU規制の精神そのものが、消費者保護、独占防止、市民の基本的権利を中心に据えるものです。最近ではデジタル主権まで強調しています。それなのに、これはあらゆる原則に真正面から反しています。顧客に損害を与え(事実上GDPRの正反対です)、独占的大企業だけが利益を得て、情報へのアクセスについて米国企業が市民資格の審査を左右する結果につながります。EUの精神そのものに完全に反していると感じます。

    • この状況が、むしろ新しい種類のハードウェアにとっての機会になるかもしれないという、希望混じりの期待もあります。

    • Private Access Token(PAT)がどのように収益化のためにプライバシーを損なうのか気になります。

  • 結局、私たちに残された唯一の選択はそのサービスを使わないことだと思います。しかし現実には、人々は不便を受け入れたがらないので、集団的行動は起こらない気がします。デスクトップユーザーだけを排除するサービスを皆が無視すれば可能かもしれません。真の解決策は「足で投票する」消費者行動です。しかし大多数は、自分のデータや権利がどう使われるかを気にせず、不便でもそのまま受け入れてしまうことが多いです。毎年新しいスマホを買わなければならない? OK。巨大IT企業にすべての通信データを預ける? OK。国家機関ではない民間企業による監視もそのまま受け入れる。技術的・社会的問題を論じた瞬間に関心を失う人が多すぎます。一般の人にどうやってデジタル権利への関心を持ってもらうか、それが最大の課題です。

    • こうした論争は、すでにずっと前に敗北した戦いのように感じます。インターネットの自由は今後も徐々に侵食されていくと予想しています。人々が目を覚ますころには、もう手遅れである可能性が高いでしょう。それでも楽観的に言えば、連合型(federated)サービスが主流になって、こうした状況への歯止めになってほしいです。

    • これが第一段階だと思います。次の段階は、あらゆるサービスに対して義務的な本人確認が必須になることです。受け入れるか、サービス自体を使えなくなるか、そのどちらかしか残らなくなるでしょう。

    • たいていの人は、あるフォームでOKボタンを押した結果が、現実世界の家族、仕事、日常生活などに実際の悪影響を及ぼすという、はっきりした因果関係の事例を自分で経験しない限り気にしません。そうでなければ、すべては抽象的な不安材料としてしか見なされません。

  • DSA(デジタルサービス法)を確認したところ、年齢認証に関する言及は3か所しかありません。第71項と第28条では、未成年者のプライバシーと安全を特に保護すべきだとしつつ、個人識別データの追加処理は禁止しています。第35条でのみ「大規模オンラインプラットフォーム」は年齢認証を導入する可能性が示唆されています。第57項では中小企業は規制対象外であることが明記されています。現状では、大規模プラットフォーム以外に年齢認証の義務はありません。委員会が空気を作ろうとしてはいますが、法的にはまだ強制ではない点を強調しておきます。ガイドラインコメンタリー も参照しました。

    • デジタルIDウォレットはDSAの一部ではなく、「身分をスマホに移す」プロジェクトです。計画どおりなら、身分証、運転免許証、卒業証書、列車の切符、決済まで、すべてこうしたアプリで処理できるようになります。属性認証なので、たとえば自分の住民番号を公開せずに運転資格を証明することもできます。しかし、こうしたインフラが導入された瞬間、政府はコスト削減や児童保護、テロ対策などを名目に、さまざまな義務を追加してくるだろうと思います。最終的には、より多くの事業者に強制認証が広がる危険があります。プロジェクトリンク

  • 「EU age verification app not planning desktop support」という見出しは誤解を招くと思います。まるでデスクトップでは年齢認証が不可能であるかのように見えるからです。実際にはさまざまな解決策が可能です。このアプリはそのうちの「一例」にすぎません。なので「EU age verification example app not planning desktop support」のほうが適切な見出しだと思います。実装方法には同意しませんが、批判は正確であるべきです。

  • 陰謀論的に見えるかもしれませんが、Googleがサイドローディングを潰そうとしている理由はまさにこれだと思います。モバイルだけが、現時点で強制的なソフトウェアインストールとリモート認証を現実的に実施できるプラットフォームです。サイドローディングを塞げば、今後Google(あるいはiOSではApple)がすべてのアプリストアやブラウザに政府認証APIの適用を強制できるようになるかもしれません。

    • Googleがこうした認証関連法を歓迎する理由は、自社のビジネスモデルと一致しているからです。広告を売るうえでは、ユーザーが本物の人間であることが重要なので、認証には意味があります。Xのような他のソーシャルメディアにも同様の動機があります。

  • 「こうした政策のせいで、ウェブを私的に閲覧したい人にとってウェブ全体が使えない空間になる」。これは事故ではなく、彼らの「意図」です。イギリスやドイツで、ソーシャルメディアでの発言を理由に逮捕された事例を見れば分かります。

  • こうした政策はばかげていて納得できません。

    • 実際には十分に理解可能な政策です。自由を重視するLinuxのようなOSのユーザーを快く思わず、彼らを二級市民として扱うのが目的だからです。関連事例 参照

    • 誰に聞くか次第です。Googleは開発者認証やiOSのサイドローディング障壁を通じて、ユーザーが何を使うかを統制したいのです。デスクトップには自由が多すぎるので、むしろこうした政策はデスクトップ利用を抑え、閉鎖的なエコシステムへの依存を強める役割を果たします。