1 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • 議論開始時点の技術仕様READMEには、Google Play Integrity APIApple App Attestation を用いたアプリ・端末検証が記されており、これを年齢確認の前提にすると、米国のプラットフォーム事業者と特定のモバイルOSへの依存を招くとして反対意見が出た
  • 特定ベンダーの証明を要求すると、Google・Appleのソフトウェアがない端末、代替Androidディストリビューション、スマートフォンを持たない利用者が排除され、誰でも利用でき、利用者が制御でき、複数のOS・ウォレットと連携するという アクセシビリティ・相互運用性の原則 と衝突する
  • 代替案として Yivi、標準Androidハードウェア証明、Digital Credentials APIベースのWebアプリ、国家IDプロバイダがワンタイムチャレンジに署名する方式、Unified Attestation などが挙げられたが、Yivi と Unified Attestation に対しても、それぞれ中央発行者・外部生体認証サービス、または別の証明事業者に信頼が集中するという反論が出た
  • イタリアのデジタルウォレットでは Play Integrity 関連の多数の問題と、Googleアカウント・正式ROM依存の問題が事例として示され、攻撃者は証明を回避したり、別人にQRコードを代わりにスキャンさせたりできるため、正規利用者だけを制限しかねない という実効性への批判も続いた
  • 政府サービスは特定企業の技術ではなく、誰でも実装できる オープン標準 を基盤にすべきだという要求が中心であり、提示された議論には Google・Apple の証明統合に関する公式決定や最終的な解決結果は示されていない

提案されたアプリ・端末検証と主な反対論

  • 議論開始時点のREADMEには、「Google Play Integrity API と Apple App Attestation に基づくアプリおよび端末検証」が次の段階として記されていた
  • 年齢確認をこれらのサービスに結びつけると、EUの米国テック企業への依存と、米国のインターネット支配力がさらに強まるという懸念が出発点だった
  • デジタル主権 のためには、外部の第三者サービスへの依存自体を避けるべきであり、依存が追加されるたびに潜在的なセキュリティ問題の生態系も一緒に生まれる、という意見が出た
  • その後、ある参加者は当該文言はREADMEからすでに消えていると答えたが、変更の経緯や公式決定は提示本文にない
  • この議論は2025年7月31日に Issue #18 から Discussion に転換されており、本文には最終採用・撤回の結果はない

アクセシビリティ・利用者の制御・相互運用性

  • 特定のOSとベンダーに縛られた年齢確認は、組織が掲げる次の原則と衝突するという批判を受けた
    • 利用を望むすべての人に提供すること
    • 利用者が制御すること
  • 技術仕様の 相互運用性 原則は、さまざまな端末OS、ウォレットアプリ、オンラインサービス間の円滑な統合を求めているため、Android・iOS のベンダー別証明に依存する設計とは合わないという指摘が出た
  • Google や Apple のソフトウェアを使わない利用者、Google非依存の携帯電話利用者が多い南欧地域、代替ROM・microG利用者、スマートフォンを持たない人は利用できなくなる可能性がある
  • Nokia 3310 やノートPCだけを使う人でもアクセスできるのか、スマートフォン・Googleアカウント・充電された端末を市民サービス利用の条件にしてよいのか、といった疑問が続いた
  • コードをオープンソースで公開しても、すべての参加者が証明を強制すれば、改変フォークは実サービスで認められず、実質的なフォーク可能性 が失われるという批判もあった

既存実装と Play Integrity の事例

  • Google依存なしで政府の年齢確認に使えるオランダのIDアプリ Yivi が代替事例として挙げられた
    • 旧称は IRMA で、F-Droid のようなオープンソースアプリストアでも提供されている
    • 一部の対応プラットフォームでは政府の年齢確認に使えるため、Play Integrity は必須ではない根拠として示された
  • ただし、Yivi の NFC パスポート登録も 依存のない構造ではない
    • 生の NFC データグループを中央発行者サーバーへ送信する
    • DG1 の完全な MRZ と DG2 の顔画像が必須で、サーバーが氏名・文書番号・国籍・生年月日・性別を解析する
    • 顔照合には Regula の第三者APIを使用する
    • データが一時的に処理され、発行者をセルフホストできるとしても、端末証明とは別形態の中央集権的な信頼集中だという反論が出た
  • イタリアのデジタルウォレットでは、Play Integrity に関する実際の問題が多数ひも付けられている
  • EUDI Android ウォレットでも、Google Play Integrity 要件をなくす、または Google Mobile Services ライセンスを強制しない 標準Androidハードウェア証明API を使おうという別議論が関連付けられた

アプリなしで実装する代替案

  • 別個のネイティブアプリが本当に必要なのか、現実的な脅威モデルは何かから検討すべきだという意見が出た
  • Digital Credentials API を活用したモダンなWebアプリとして実装し、「サービスごとにアプリをインストールする」構造を避けようという案が提案された
  • 国家IDプロバイダがワンタイムのランダムチャレンジに署名するブラウザベース方式も具体的に提案された
    1. 利用者が年齢制限サイトにアクセスする
    2. WebサイトがEU訪問者であることを検知する
    3. ランダム文字列入りのファイルを配布する
    4. 利用者を政府の年齢確認サイトへ案内する
    5. 利用者が国家IDプロバイダでログインし、ファイルをアップロードする
    6. 政府サービスがチャレンジに署名してブラウザへ返す
    7. 利用者が元のサイトへ署名済みファイルをアップロードする
    8. Webサイトが信頼する機関の署名かどうかを検証する
  • チャレンジは ワンタイム なので、署名済み結果を長期保護する必要はなく、SSH や WebAuthn 認証に似た構造だという説明が添えられた
  • EUが管理するWebサイトで国家資格情報を使う 別提案 #18 も代替案として言及された

Unified Attestation と信頼集中の問題

  • ドイツの Volla Systeme GmbH による Unified Attestation が、Google Play Integrity の無料オープンソース代替として提案された
    • 単一のバックエンドが短寿命の整合性トークンを発行する
    • アプリサーバーはトークンをオフラインで検証する
    • 権限を持つ Android システムサービスがトークンを要求する
    • Play Integrity と並行利用でき、アプリ側・サーバー側の統合が単純だと紹介された
  • これに対する反論は、Unified Attestation も Google の代わりに別の企業群へ同じ権限を渡すだけであり、中央証明主体 という根本問題を解決しない、というものだった
  • 特定企業の技術を別企業の技術に置き換えるのではなく、誰でも実装・統合できるオープン標準を政府システムの基盤にすべきだという要求が続いた

ハードウェア証明とオープンソースの衝突

  • Play Integrity は正式ROM、Google Play Services、ベンダー承認済み端末を事実上要求し、利用者が所有するハードウェアとソフトウェアを直接制御する権利を弱める、という批判を受けた
  • アプリのソースが自由に公開されていても、改変ビルドが証明を通過できなければ、再現可能ビルドとフォーク の実用性は制限される
  • ドイツ実装は再現可能ビルドを提供しない方針に見えるという 関連作業項目 が共有された
  • こうした方向性は OWASP MASVS Resilience ガイドラインの影響を受けた可能性があるという意見とともに、OWASP/masvs#757 の批判的議論も関連付けられた
  • 政府サービスを特定の技術・OS・アプリストアに固定すると、長期的に抜け出しにくくなり、かつての韓国における IE6 依存に似た固定化を生む可能性がある、という比較も出た

セキュリティ上の実効性と回避可能性

  • ハードウェア証明が防ごうとする脅威が、実際にどれほど現実的なのか不明だという疑問が提起された
  • 自動本人確認サービスや攻撃者を想定しても、証明回避手法はパッチ後に再び現れる可能性があり、正規利用者にだけ制約を課しかねない という批判が出た
  • 未成年が制限サイトへアクセスしようとする場合、他人にQRコードを代わりにスキャンしてもらえるため、端末証明ではこれを解決できないという事例が示された
  • 検証済みアカウントの売買や代理認証も、証明の有無に関係なく発生しうるという懸念が出た
  • 技術的に回避する人は回避できる一方で、Google・Apple端末やスマートフォンを望まない合法的利用者だけを排除するなら、そのセキュリティ対策はむしろ導入しない方がよいという意見が続いた

年齢確認そのものへの反対

  • 一部の参加者は、Play Integrity の採用を超えて、厳格なオンライン年齢確認そのもの が有用ではないと見ている
  • スマートフォンにすでに存在するクライアント側フィルタを保護者が活用するよう促す 別議論 が関連付けられた
  • 強制的な年齢確認が、若者を Tor や他の回避手段へ追いやる可能性があるという懸念も出た
  • プライバシー・アクセシビリティ・コンピューティング制御に大きな害を与えながら一つの問題だけを解決しようとするなら、そもそも実装すべきではないという意見が示された
  • 提示された議論の範囲では、年齢確認アプリ、端末証明方式、Google・Apple 統合の有無に関する 公式な最終結論は確認されていない

1件のコメント

 
GN⁺ 4 시간 전
Hacker Newsの意見
  • EUの巨大なデジタル主権論議で、肝心な問題が見過ごされている。EU機関は最終的に米国クラウドから移行すべきだという方向性を受け入れ始めているが、コストが莫大なため、以前に戻りたいという空気もなお残っている
    一方でモバイルプラットフォームにはほとんど関心が向けられていない。デスクトップにおけるLinuxのような代替もなく、既存の代替にも資金を出さず、EUでAndroid端末を販売するならファームウェアを公開し、代替OSのインストールを認めるよう強制しようという議論すらない。バックエンド側では主権の意味をある程度理解してきたが、エンドユーザーデバイスが生むデジタル従属については、はるかに多くの啓発が必要に見える

    • 完全に事実というわけではない。サポート可能なモバイルOSを作ろうとしている自由ソフトウェアプロジェクト2件に関わる人たちを知っているが、以前と違って今は資金提供を受けている
      主権型AIの方がモバイルOSより重要だとするAI企業のロビー活動とは今も競争しなければならないが、関心は高まっている。LinuxベースのAndroid代替自体はそれほど難しくないかもしれないが、ハードウェアメーカーに専用端末を作るよう説得するのが難しい。政府がまずセキュリティ用途の公共端末として推進すべきだろう
    • JollaやSailfishのようなプロジェクトに資金提供することもできる
    • モバイルはユーザーインターフェースとユーザー体験の面で、月面着陸や世界の七不思議に近い成果だ。複製が不可能という意味ではないが、実際に使い物になるモバイルプラットフォームを作るには、その途方もない難度を正しく尊重する必要がある
    • AOSPが代替になり得るのではないか
    • これはすべて政治的な動きだ。いわゆるEU主権の強化は、実際には加盟国の権限と統制権をEUへさらに移し、国家主権を弱めようとするものに近い
      デジタルIDウォレットも、加盟国がIDインフラの統制権を失い、EUがそれを掌握することになる。国家レベルの主権はほとんど残らなくなる
  • 技術的に全員へ年齢確認を強制する方法を考える罠にはまってはいけない。まず問うべきは、なぜこれを全員に強要するのかということであり、私もあなたもそれに同意したことはない

    • 政治家たちは子どもを守るために必要だと言っているのだから、それは事実なのだろうし、反対すれば子どもと民主主義にとって危険で、代替案もない、というわけだ
      政治家が市民の発言権なしに周囲の世界全体を変え続ける統治構造には深刻な問題がある。この措置はインターネットと社会への大きな脅威であるにもかかわらず、実質的な議論や抵抗なしに進められている。まともな民主主義なら、このように機能してはならない
    • この2週間、新しい手続きのせいで、私を含む多くの人がTwitterの利用をブロックされた。すべてのリンクをシークレットタブで開くか、億万長者に生体情報を渡すしかない。Twitterを離れるなら集団でやってこそ効果があり、一人では解決できない
      https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
    • 欧州市民が選んだ代表者たちは同意した。採決結果は賛成483票、反対92票だった
    • EUは、誰も同意しておらず、現実的な民主的影響力も行使しにくいことを非常に多く行っている。私は英国に住んでいてBrexitには強く反対しているが、英国がEUに残っていたとしても、European Commissionの密室で起きていることにどう影響を与えられたのか分からなかっただろう
      現在の英国のLabourとConservativeもこうした問題では制御不能だが、少なくとも理論上は政策に影響を与える方法を知っている
    • 私も完全に同意するが、こうした権力構造において市民の同意が重要だったことはほとんどない
  • GitHub Issueの論旨には全面的に同意するが、政府が発行する年齢確認アプリそのものを懐疑的にだけ見る必要はない。現在の方式ははるかに悪い
    13歳の息子がRobloxのゲームを作っているが、数カ月前から友だちとゲームを共有するには年齢確認が必要になった。Robloxでは、怪しげな米国企業に顔の3D形状を渡さなければならず、その企業は後で削除すると約束するだけだ。子どもの生体情報やパスポートを、勝手に販売し得る米国テック企業に渡したくない
    むしろ、プライバシー保護が保証され、データを販売するビジネス上の動機がなく、Robloxのような企業にどんな情報が渡るのか確認できる政府アプリの方がよい。政府が米国テック企業より信頼できることが前提の話だが、現在のEUと多くの加盟国はそうだと思う。オランダのコロナ追跡アプリのように、プライバシー保護をうまく実装した公共アプリもすでにある

    • 家族全員が年齢確認をするとき、同じ年長者である私を使っている。今まで一度も失敗しておらず、データの信頼性も曖昧にできる
    • 政府発行か企業発行かのどちらかしか選べないというのは誤った二分法だ。年齢確認を求めるゲームを拒否する方法もあり、我が家のティーンエイジャーには実際にRobloxをそのように禁止した
    • 米国企業による年齢確認がもたらすプライバシー問題には共感するが、政府の個人情報登録簿も歴史的に危険だった
      第二次世界大戦当時、オランダの住民登録簿は宗教を詳細に記録しており、占領下の西欧で最も高い、約75%のオランダ系ユダヤ人が殺害される一因となった。1942年、米国Census Bureauは守秘義務があったにもかかわらず、日系米国人の地区別情報を提供し、その後の研究では氏名と住所まで共有していたことが明らかになった。ルワンダではベルギー植民地政府が1930年代の身分証明書にフツ族とツチ族を記録し、60年後の虐殺時の検問所で重要な道具となった
      今の欧州が安全に見えても、特定の目的で収集した情報は時代が変わればまったく別の目的に使われ得る。将来の政権がどの民族、信念、行動、個人史を標的にするかは分からず、私たちが記録を許したあらゆるデータが彼らの手に渡る。欧州各国政府もほんの数十年前にこうしたことをしており、現在の平和な時代は歴史的には例外的で、多くの人にとって一時的である可能性が高い
    • こういう形で同意を人工的に作り出すこともできそうだ
    • 政府とRobloxの両方に同時に怒ってよい。Robloxの代わりに、PICO-8、Löve、Godot、Rpgmaker、Game makerなどで作ったゲームを自由に共有できる
      ダークパターンと閉鎖型エコシステムでいっぱいのRobloxを、あえて使う必要はない
  • 関連資料として、2025年7月27日の「Googleが承認していないすべてのAndroidシステムをブロックするEUの年齢確認アプリ」がある
    https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
    また、2025年9月24日には「デスクトップ対応を計画していないEUの年齢確認アプリ」も取り上げられた
    https://news.ycombinator.com/item?id=45359074

  • 使うべきではないし、検討すらすべきではない。このシステムを使わないという意思を、可能なあらゆる方法で示し、友人にもそう勧めるべきだ
    彼らは主権を語りながら、正反対の行動をしている。EUを全面的に支持していたとしても、Commissionを投票で止められないなら、行動で拒否の意思を示すべきだ

  • スマートフォンを使えない高齢者のデジタル疎外を心配していた姿勢が、ここ数年で消えてしまったのは滑稽だ

    • スマートフォンを単に好まない若年層も存在する
    • この法律の焦点は青少年にあり、監視を正常なものとして学習させようという意図ではないかと疑わしい
      携帯電話を持っていない、または使い方が分からず、助けてくれる人もいない高齢者は急速に減っていくだろう。私が見た範囲では、主に第二次世界大戦を記憶している世代と重なる
    • 高齢者は自分がソーシャルメディアを使わないので影響を受けないと思うかもしれないが、対象は高齢者だけではない。インターネットサービスにアクセスするために、米国であれ欧州であれ、モバイルであれデスクトップであれ、特定のプラットフォームの使用を強制されること自体が根本的に間違っている
    • そもそもデジタル活動をまったくしていないなら、デジタルIDを管理する必要もないので、この問題はそうした高齢者とはあまり関係がない
    • 「子どもを守らなければならない」というロビー活動は、人々を欺くための名目にすぎない。最初から子どもが目的なのではなく、権威主義的なシステムを強制するための都合のよい口実だった
  • 十分に検討されていない規制は、趣旨が良くても悪くても予期しない結果を生み得る。今でも訪問するウェブサイトごとにCookieに関する法的な同意を繰り返さなければならず、今では気にせず適当なボタンを押すようになっている

    • Consent-O-Maticは設定に応じて一般的なCookieダイアログの大半を自動処理し、他のブラウザでも使える
      https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
      複数のデバイスや携帯電話で使っているが、かなりうまく動作し、Cookieポップアップをほとんど見ない
    • ユーザー設定は毎回変わるわけではないのに、なぜブラウザがCookieポップアップを自動処理できないのか分からない。あまりにも面倒な作業なので自動化すべきだ
    • プライバシーを保護しているふりをしながら、企業寄りの政策も維持しようとすると起きる問題だ。規制はCookieバナー自体を義務化したのではなく、追跡しないか、バナーを表示するよう求めた
      監視資本主義で金を稼ぐ企業は、当然バナーを選ぶ。追跡を全面禁止することもできたが、事業に悪影響があるという理由でそうしなかった
  • Androidを使っていようがiOSを使っていようが、ほぼすべてのインターネットサービスにアクセスするために特定のプラットフォームを強制的に使わされるのは正しくない

    • これが唯一の年齢確認手段である場合にだけ問題になる。他の方法も引き続き提供しつつ、99.9999999%の人にとってはるかに便利になるなら、導入しない理由はない
  • この方式が、障害者、高齢者、特定の宗教的信念を保護する法律とどう両立するのか疑問だ。政府業務は、代理人や紙を含め、必ず別の手段を提供する複数方式で運用されてきたが、これはあまりにも過酷なアプローチだ

  • 年齢確認の実装を強制されるサービスは、今後はそもそも使わない方向に傾いている

    • 病気のときに医師にかかったり、給与を受け取る銀行口座を開設したり、鉄道・航空券を購入したりする際にも必要になるかもしれない
      ソーシャルメディアより心配なのは、こうしたデジタル認証が必須サービスに及ぼす影響だ。単に使わないという態度では解決できない
    • 法律を変えて、Googleストアアプリがなければ社会から排除するような形で、米国企業の利用を強制することもあり得る。年齢検出はすべての人を監視する究極の道具なので、これが実際の目的である可能性が高い
      子どもたちは最初から目的ではなく、人々の注意をそらすための口実として利用されているだけだ