欧州の「年齢確認」 「アプリ」は、すべての人にAndroidまたはiOSの利用を強いる
(github.com/eu-digital-identity-wallet)- 議論開始時点の技術仕様READMEには、Google Play Integrity API と Apple App Attestation を用いたアプリ・端末検証が記されており、これを年齢確認の前提にすると、米国のプラットフォーム事業者と特定のモバイルOSへの依存を招くとして反対意見が出た
- 特定ベンダーの証明を要求すると、Google・Appleのソフトウェアがない端末、代替Androidディストリビューション、スマートフォンを持たない利用者が排除され、誰でも利用でき、利用者が制御でき、複数のOS・ウォレットと連携するという アクセシビリティ・相互運用性の原則 と衝突する
- 代替案として Yivi、標準Androidハードウェア証明、Digital Credentials APIベースのWebアプリ、国家IDプロバイダがワンタイムチャレンジに署名する方式、Unified Attestation などが挙げられたが、Yivi と Unified Attestation に対しても、それぞれ中央発行者・外部生体認証サービス、または別の証明事業者に信頼が集中するという反論が出た
- イタリアのデジタルウォレットでは Play Integrity 関連の多数の問題と、Googleアカウント・正式ROM依存の問題が事例として示され、攻撃者は証明を回避したり、別人にQRコードを代わりにスキャンさせたりできるため、正規利用者だけを制限しかねない という実効性への批判も続いた
- 政府サービスは特定企業の技術ではなく、誰でも実装できる オープン標準 を基盤にすべきだという要求が中心であり、提示された議論には Google・Apple の証明統合に関する公式決定や最終的な解決結果は示されていない
提案されたアプリ・端末検証と主な反対論
- 議論開始時点のREADMEには、「Google Play Integrity API と Apple App Attestation に基づくアプリおよび端末検証」が次の段階として記されていた
- 年齢確認をこれらのサービスに結びつけると、EUの米国テック企業への依存と、米国のインターネット支配力がさらに強まるという懸念が出発点だった
- デジタル主権 のためには、外部の第三者サービスへの依存自体を避けるべきであり、依存が追加されるたびに潜在的なセキュリティ問題の生態系も一緒に生まれる、という意見が出た
- その後、ある参加者は当該文言はREADMEからすでに消えていると答えたが、変更の経緯や公式決定は提示本文にない
- この議論は2025年7月31日に Issue #18 から Discussion に転換されており、本文には最終採用・撤回の結果はない
アクセシビリティ・利用者の制御・相互運用性
- 特定のOSとベンダーに縛られた年齢確認は、組織が掲げる次の原則と衝突するという批判を受けた
- 利用を望むすべての人に提供すること
- 利用者が制御すること
- 技術仕様の 相互運用性 原則は、さまざまな端末OS、ウォレットアプリ、オンラインサービス間の円滑な統合を求めているため、Android・iOS のベンダー別証明に依存する設計とは合わないという指摘が出た
- Google や Apple のソフトウェアを使わない利用者、Google非依存の携帯電話利用者が多い南欧地域、代替ROM・microG利用者、スマートフォンを持たない人は利用できなくなる可能性がある
- Nokia 3310 やノートPCだけを使う人でもアクセスできるのか、スマートフォン・Googleアカウント・充電された端末を市民サービス利用の条件にしてよいのか、といった疑問が続いた
- コードをオープンソースで公開しても、すべての参加者が証明を強制すれば、改変フォークは実サービスで認められず、実質的なフォーク可能性 が失われるという批判もあった
既存実装と Play Integrity の事例
- Google依存なしで政府の年齢確認に使えるオランダのIDアプリ Yivi が代替事例として挙げられた
- 旧称は IRMA で、F-Droid のようなオープンソースアプリストアでも提供されている
- 一部の対応プラットフォームでは政府の年齢確認に使えるため、Play Integrity は必須ではない根拠として示された
- ただし、Yivi の NFC パスポート登録も 依存のない構造ではない
- 生の NFC データグループを中央発行者サーバーへ送信する
- DG1 の完全な MRZ と DG2 の顔画像が必須で、サーバーが氏名・文書番号・国籍・生年月日・性別を解析する
- 顔照合には Regula の第三者APIを使用する
- データが一時的に処理され、発行者をセルフホストできるとしても、端末証明とは別形態の中央集権的な信頼集中だという反論が出た
- イタリアのデジタルウォレットでは、Play Integrity に関する実際の問題が多数ひも付けられている
- EUDI Android ウォレットでも、Google Play Integrity 要件をなくす、または Google Mobile Services ライセンスを強制しない 標準Androidハードウェア証明API を使おうという別議論が関連付けられた
アプリなしで実装する代替案
- 別個のネイティブアプリが本当に必要なのか、現実的な脅威モデルは何かから検討すべきだという意見が出た
- Digital Credentials API を活用したモダンなWebアプリとして実装し、「サービスごとにアプリをインストールする」構造を避けようという案が提案された
- 国家IDプロバイダがワンタイムのランダムチャレンジに署名するブラウザベース方式も具体的に提案された
- 利用者が年齢制限サイトにアクセスする
- WebサイトがEU訪問者であることを検知する
- ランダム文字列入りのファイルを配布する
- 利用者を政府の年齢確認サイトへ案内する
- 利用者が国家IDプロバイダでログインし、ファイルをアップロードする
- 政府サービスがチャレンジに署名してブラウザへ返す
- 利用者が元のサイトへ署名済みファイルをアップロードする
- Webサイトが信頼する機関の署名かどうかを検証する
- チャレンジは ワンタイム なので、署名済み結果を長期保護する必要はなく、SSH や WebAuthn 認証に似た構造だという説明が添えられた
- EUが管理するWebサイトで国家資格情報を使う 別提案 #18 も代替案として言及された
Unified Attestation と信頼集中の問題
- ドイツの Volla Systeme GmbH による Unified Attestation が、Google Play Integrity の無料オープンソース代替として提案された
- 単一のバックエンドが短寿命の整合性トークンを発行する
- アプリサーバーはトークンをオフラインで検証する
- 権限を持つ Android システムサービスがトークンを要求する
- Play Integrity と並行利用でき、アプリ側・サーバー側の統合が単純だと紹介された
- これに対する反論は、Unified Attestation も Google の代わりに別の企業群へ同じ権限を渡すだけであり、中央証明主体 という根本問題を解決しない、というものだった
- 特定企業の技術を別企業の技術に置き換えるのではなく、誰でも実装・統合できるオープン標準を政府システムの基盤にすべきだという要求が続いた
ハードウェア証明とオープンソースの衝突
- Play Integrity は正式ROM、Google Play Services、ベンダー承認済み端末を事実上要求し、利用者が所有するハードウェアとソフトウェアを直接制御する権利を弱める、という批判を受けた
- アプリのソースが自由に公開されていても、改変ビルドが証明を通過できなければ、再現可能ビルドとフォーク の実用性は制限される
- ドイツ実装は再現可能ビルドを提供しない方針に見えるという 関連作業項目 が共有された
- こうした方向性は OWASP MASVS Resilience ガイドラインの影響を受けた可能性があるという意見とともに、OWASP/masvs#757 の批判的議論も関連付けられた
- 政府サービスを特定の技術・OS・アプリストアに固定すると、長期的に抜け出しにくくなり、かつての韓国における IE6 依存に似た固定化を生む可能性がある、という比較も出た
セキュリティ上の実効性と回避可能性
- ハードウェア証明が防ごうとする脅威が、実際にどれほど現実的なのか不明だという疑問が提起された
- 自動本人確認サービスや攻撃者を想定しても、証明回避手法はパッチ後に再び現れる可能性があり、正規利用者にだけ制約を課しかねない という批判が出た
- 未成年が制限サイトへアクセスしようとする場合、他人にQRコードを代わりにスキャンしてもらえるため、端末証明ではこれを解決できないという事例が示された
- 検証済みアカウントの売買や代理認証も、証明の有無に関係なく発生しうるという懸念が出た
- 技術的に回避する人は回避できる一方で、Google・Apple端末やスマートフォンを望まない合法的利用者だけを排除するなら、そのセキュリティ対策はむしろ導入しない方がよいという意見が続いた
年齢確認そのものへの反対
- 一部の参加者は、Play Integrity の採用を超えて、厳格なオンライン年齢確認そのもの が有用ではないと見ている
- スマートフォンにすでに存在するクライアント側フィルタを保護者が活用するよう促す 別議論 が関連付けられた
- 強制的な年齢確認が、若者を Tor や他の回避手段へ追いやる可能性があるという懸念も出た
- プライバシー・アクセシビリティ・コンピューティング制御に大きな害を与えながら一つの問題だけを解決しようとするなら、そもそも実装すべきではないという意見が示された
- 提示された議論の範囲では、年齢確認アプリ、端末証明方式、Google・Apple 統合の有無に関する 公式な最終結論は確認されていない
1件のコメント
Hacker Newsの意見
EUの巨大なデジタル主権論議で、肝心な問題が見過ごされている。EU機関は最終的に米国クラウドから移行すべきだという方向性を受け入れ始めているが、コストが莫大なため、以前に戻りたいという空気もなお残っている
一方でモバイルプラットフォームにはほとんど関心が向けられていない。デスクトップにおけるLinuxのような代替もなく、既存の代替にも資金を出さず、EUでAndroid端末を販売するならファームウェアを公開し、代替OSのインストールを認めるよう強制しようという議論すらない。バックエンド側では主権の意味をある程度理解してきたが、エンドユーザーデバイスが生むデジタル従属については、はるかに多くの啓発が必要に見える
主権型AIの方がモバイルOSより重要だとするAI企業のロビー活動とは今も競争しなければならないが、関心は高まっている。LinuxベースのAndroid代替自体はそれほど難しくないかもしれないが、ハードウェアメーカーに専用端末を作るよう説得するのが難しい。政府がまずセキュリティ用途の公共端末として推進すべきだろう
デジタルIDウォレットも、加盟国がIDインフラの統制権を失い、EUがそれを掌握することになる。国家レベルの主権はほとんど残らなくなる
技術的に全員へ年齢確認を強制する方法を考える罠にはまってはいけない。まず問うべきは、なぜこれを全員に強要するのかということであり、私もあなたもそれに同意したことはない
政治家が市民の発言権なしに周囲の世界全体を変え続ける統治構造には深刻な問題がある。この措置はインターネットと社会への大きな脅威であるにもかかわらず、実質的な議論や抵抗なしに進められている。まともな民主主義なら、このように機能してはならない
https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
現在の英国のLabourとConservativeもこうした問題では制御不能だが、少なくとも理論上は政策に影響を与える方法を知っている
GitHub Issueの論旨には全面的に同意するが、政府が発行する年齢確認アプリそのものを懐疑的にだけ見る必要はない。現在の方式ははるかに悪い
13歳の息子がRobloxのゲームを作っているが、数カ月前から友だちとゲームを共有するには年齢確認が必要になった。Robloxでは、怪しげな米国企業に顔の3D形状を渡さなければならず、その企業は後で削除すると約束するだけだ。子どもの生体情報やパスポートを、勝手に販売し得る米国テック企業に渡したくない
むしろ、プライバシー保護が保証され、データを販売するビジネス上の動機がなく、Robloxのような企業にどんな情報が渡るのか確認できる政府アプリの方がよい。政府が米国テック企業より信頼できることが前提の話だが、現在のEUと多くの加盟国はそうだと思う。オランダのコロナ追跡アプリのように、プライバシー保護をうまく実装した公共アプリもすでにある
第二次世界大戦当時、オランダの住民登録簿は宗教を詳細に記録しており、占領下の西欧で最も高い、約75%のオランダ系ユダヤ人が殺害される一因となった。1942年、米国Census Bureauは守秘義務があったにもかかわらず、日系米国人の地区別情報を提供し、その後の研究では氏名と住所まで共有していたことが明らかになった。ルワンダではベルギー植民地政府が1930年代の身分証明書にフツ族とツチ族を記録し、60年後の虐殺時の検問所で重要な道具となった
今の欧州が安全に見えても、特定の目的で収集した情報は時代が変わればまったく別の目的に使われ得る。将来の政権がどの民族、信念、行動、個人史を標的にするかは分からず、私たちが記録を許したあらゆるデータが彼らの手に渡る。欧州各国政府もほんの数十年前にこうしたことをしており、現在の平和な時代は歴史的には例外的で、多くの人にとって一時的である可能性が高い
ダークパターンと閉鎖型エコシステムでいっぱいのRobloxを、あえて使う必要はない
関連資料として、2025年7月27日の「Googleが承認していないすべてのAndroidシステムをブロックするEUの年齢確認アプリ」がある
https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
また、2025年9月24日には「デスクトップ対応を計画していないEUの年齢確認アプリ」も取り上げられた
https://news.ycombinator.com/item?id=45359074
使うべきではないし、検討すらすべきではない。このシステムを使わないという意思を、可能なあらゆる方法で示し、友人にもそう勧めるべきだ
彼らは主権を語りながら、正反対の行動をしている。EUを全面的に支持していたとしても、Commissionを投票で止められないなら、行動で拒否の意思を示すべきだ
スマートフォンを使えない高齢者のデジタル疎外を心配していた姿勢が、ここ数年で消えてしまったのは滑稽だ
携帯電話を持っていない、または使い方が分からず、助けてくれる人もいない高齢者は急速に減っていくだろう。私が見た範囲では、主に第二次世界大戦を記憶している世代と重なる
十分に検討されていない規制は、趣旨が良くても悪くても予期しない結果を生み得る。今でも訪問するウェブサイトごとにCookieに関する法的な同意を繰り返さなければならず、今では気にせず適当なボタンを押すようになっている
https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
複数のデバイスや携帯電話で使っているが、かなりうまく動作し、Cookieポップアップをほとんど見ない
監視資本主義で金を稼ぐ企業は、当然バナーを選ぶ。追跡を全面禁止することもできたが、事業に悪影響があるという理由でそうしなかった
Androidを使っていようがiOSを使っていようが、ほぼすべてのインターネットサービスにアクセスするために特定のプラットフォームを強制的に使わされるのは正しくない
この方式が、障害者、高齢者、特定の宗教的信念を保護する法律とどう両立するのか疑問だ。政府業務は、代理人や紙を含め、必ず別の手段を提供する複数方式で運用されてきたが、これはあまりにも過酷なアプローチだ
年齢確認の実装を強制されるサービスは、今後はそもそも使わない方向に傾いている
ソーシャルメディアより心配なのは、こうしたデジタル認証が必須サービスに及ぼす影響だ。単に使わないという態度では解決できない
子どもたちは最初から目的ではなく、人々の注意をそらすための口実として利用されているだけだ