ハクソク

世界を動かす技術を、日本語で。

「プライバシーを保護する年齢確認」は無意味だ

284日前原文(pluralistic.net)

概要

  • 「プライバシー保護型年齢認証」技術の限界 を、発明者自身が明言
  • 専門家不在の政策決定 や、技術的に不可能な要求の問題提起
  • ゼロ知識証明(ZKP)などの最新暗号技術 の誤解と政治利用
  • 現実的な運用障壁や経済的コスト の指摘
  • 政策立案における専門的知見の重要性 を強調

「プライバシー保護型年齢認証」は幻想

  • 技術者自身 が「プライバシー保護型年齢認証」には 実現不可能な側面 があると断言
  • 政治家や政策立案者 が技術的な限界を理解せずに 不可能な技術を要求 する構図
  • Big Tech企業の誤情報 や、専門家不信の蔓延
  • 暗号技術 (特にゼロ知識証明やCamenisch-Lysyanskayaプロトコル)への 過剰な期待
  • Steve Bellovin による論文「Privacy-Preserving Age Verification—and Its Limitations」の要点
    • 年齢推定の既存技術 (行動分析や顔認証)の精度不足
    • ゼロ知識証明を用いた年齢証明 の理論的可能性と 現実的な障壁

実装上の「克服不能な障害」

  • IDプロバイダ(IDP)導入の難しさ
    • 唯一のID取得の困難さ(貧困層・高齢者・障害者・地方居住者など)
    • 複数ID認証 を認めると、 システムの根本的な脆弱性 が発生
  • ユーザー利用環境の課題
    • 共有パソコンや公共端末 での認証が困難
    • オンライン証明書ストアの導入は コスト増大 に直結
  • 経済的・運用コスト
    • サイト運営者負担による コスト削減圧力システム劣化
    • 地域ごとのIDP認証による 国際的な利用障壁

政策決定と技術の乖離

  • 専門家機関の弱体化 による 非現実的政策 の増加
  • 「NERD HARDER!」 (もっと技術者が頑張れ)という 無責任な掛け声
  • 技術的に 不可能なことを「可能」と信じる 政治家の存在
  • 社会問題の解決を「存在しない技術」に依存 する危険性

まとめ:専門知見の尊重と現実的な政策

  • 技術的限界の無視 は、 プライバシー侵害やセキュリティリスク に直結
  • 現実的な政策立案 には、 独立した専門家機関の知見 が不可欠
  • 暗号技術の可能性と限界 の正しい理解
  • 「プライバシー保護型年齢認証」 の現状は、 幻想に過ぎない という警鐘

Hackerたちの意見

なんか混乱してる。著者が暗号のバックドアとZKPを同じカテゴリに入れて「もっとオタクになれ」って言ってるけど、なんで?アイデンティティプロバイダーは持てるし、いくつかのヨーロッパの国ではそうしてる。サブクレデンシャルもあるし、ここでオタクになれるよね。確かに、インターネット全般(オフラインでも)で強いアイデンティティが必要ないっていう強いイデオロギー的な議論はあるけど、それは技術的な議論じゃないよ。

でもそうなんだよ。あのヨーロッパの国々では、IDPと認証機関は同じ存在なんだ。だからプライバシーの技術的要件は消えてしまって、政府は誰がどのポルノサイトに年齢を証明しているかを常に知っていることになる。

これらの「匿名性」技術は、笑っちゃうくらい無価値だよ。確かにZKPは、被験者が誰かを特定することが不可能だって数学的証明を提供するかもしれないけど、ポルノサイトとオンライン食料品にトラッキングクッキーやフィンガープリンティングスクリプトを埋め込めば、ジョン・ドウがどんな風に夜を過ごしているかの反証不可能な暗号証拠ができちゃうんだ。

アイデンティティプロバイダーでプライマリークレデンシャルを設定するのは、アメリカ市民が投票登録するプロセスとどう違うの?差別の機会や責任の問題は、そこでも同じように当てはまると思うんだけど。

この議論をする人たちは、投票IDルールが差別的だとも主張するだろうね。

「みんながIDを持つことを確保する」っていうのは、絶対に取り組むべき別の問題だと思う。新しいIDスキームがない状態でも、銀行にアクセスしようとする人たちが苦労しているのをすでに見ているし。郵便局でIDを取得できるし、図書館など他の政府の施設でもIDを取得できるようにすべきかもね。

Redditとか使うのに投票登録が必要だったら、みんな文句言いまくるだろうね。それに、投票者ID法は確かに物議を醸してるよ。

私には、コリー・ドクトロウが完璧を求めていて、年齢確認が完璧にできないから、年齢確認自体をやるべきじゃないって言ってるように見える。それじゃあ、みんなが試みるのを止められないし、結局は全体的に悪いシステムになっちゃうと思う。個人的には、これはテクノロジー理想主義者のよくある落とし穴だと思う。mdl標準のような技術は、ユーザーのアイデンティティを明かさずに年齢を証明できる。コリーが指摘しているように、子供が誰かのIDをスワイプして使うことはまだ可能だよね。実用的な解決策は、十分に良いものがあると思う。AndroidやiOS、親たちが協力して盗まれたIDの問題に対処できるはず。もしmdlがデバイスのOSによって管理される形で実装されれば、監査可能性が生まれる。親は子供にIDアプリを見せてもらうことができて、子供のデバイスにあるIDの一覧が表示される。もし親がそこにあるべきじゃないIDを見たら、そのことについて話し合うことができる。こういう風に、法律は親が子供のオンライン体験を形作る力を与えるものになるんだ。これはただのストローマン的な例だけど、もっと良い解決策があるかもしれない。他の反対意見も、同じように実用的に解決できると思う。多くの人にとってはこれで十分だろうし、子供をポルノから遠ざけるのはいいことだと思う。個人的には、「十分に良い」解決策を考えることで、「子供を救え」という口実の裏に隠れている悪者たちを排除できると思う。でも、実際の問題に対する解決策を否定することで、正しいことをしようとしている善意の人たちの中に悪者が隠れることを許してしまうんだ。

政府がやるべきことは、違反者に罰金を送ることだけで、業界は1つ以上の解決策を実施せざるを得なくなるよ。政府は年齢をどう確認するかなんて気にしてない、未成年者に売らないことだけが重要なんだ。

テクノ理想主義者の一般的な落とし穴 一般的な落とし穴?それが、テクノ理想主義者がネットでうるさいのに、政治的にはどこでも尊敬されない理由だよ。政治的に影響力を持ちたいなら、少なくとも問題が何か、またはどう見られているかを認めて、実際の解決策を提示しないとダメだ。「いや、0.1%の例外があるからそれは無理」なんてのは通用しない。「Appleは中国がどうするかに関係なく、すべての設計図をオンラインに公開すべきだ」も通用しない。「インターネットは今のままで素晴らしいし、君の政治的な懸念は無効だ」も通用しない。

MDL標準は、君が思っていることをやっているわけじゃないよ。

そうだね、Doctorowは良いIDPシステムが複雑だって主張してるけど、最初から最後まで不可能だと言ってるみたい。インターネットには、オンラインで何かを確認できないことから生じる本当の、長年の問題があるように思える。最も明白な例として、ウェブサイトの管理者はトロールや犯罪者を永久に禁止することができない(新しい名前で再登録するだけだから)。Doctorowは、今のインターネットとIDPシステムを採用することへの反対をどうやって両立させているのか、ちょっと疑問に思うね。

実際にこの法案を通したのは、最後の保守党政権だってことを彼らは間違えてるね。

私には、コリー・ドクトロウが完璧を求めているように見える。年齢確認が完璧にできないから、年齢確認自体をしないべきだと言っている。できないんじゃなくて、すべきじゃないってこと。今の解決策はどれもひどくて、簡単に騙せるか、大規模な監視システムになってる。どちらの選択肢も選ぶべきじゃない。お金がかかるだけで何も得られないか、国のポルノ視聴データベースが必ずみんなを脅迫するために使われることになるから。私たちは(下手に)技術を使って社会問題を解決しようとしている。もし、重大な欠点なしに技術を使って解決策を見つけられないなら、そもそも技術を使って問題を解決するべきじゃないかもしれない。

ドイツでは、PIN付きのIDカードとNFC、政府のアプリがあるんだ。ウェブサイトの運営者はこの機能を使うためのリクエストができる。そしたら、政府から許可されたフィールドが含まれた証明書をもらえるんだ。ウェブサイトはその証明書を送信して、ユーザーからデータをリクエストできる。アプリが開いて、送信するデータのカテゴリが表示される。IDカードをスマホにかざして、PINを入力すると、証明書がIDカードにアップロードされて確認される。もし有効なら、IDが証明書に指定されたデータを返すんだ。そうすると、ウェブサイトに送信されるデータが表示されるから、同意するかしないかを選べる。今のところ、これは政府のウェブサイトにログインするためだけに使われてる。この方法だと、政府はどのサイトを訪れているか分からないし、年齢だけをウェブサイトに送ることになる。

それはもっと制限が厳しいよ。年齢確認では、その人が年齢制限を超えているかどうかだけが返ってくる、つまりブール値の応答なんだ。だから、その観点から見るとeIDはかなりうまく機能してると思う。必要最低限の情報を提供しているからね。これに関しての大きな問題は、実名ポリシーを強制するために使われることだと思う。

Doctorowの主張を「プライバシーを守る年齢確認は、コモンローのアングロ世界ではクソだ」と修正したい。君の言う通り、民法の管轄区域ではすでにこれが解決されている:ドイツ、エストニア、他にも多くの国が、すべての人の登録が中央機関に利用可能で、機能するための暗号インフラを持っている。イギリス、カナダ、アメリカなどに欠けているのはその最初の部分なんだ!ドイツに住んでいると信じられないかもしれないけど、実際にはそういう国々には大きなマスタリストが存在しないんだ。たくさんの(本当にたくさんの)リストがあって、いろんなIDで悪くリンクされている。税務登録、年金登録、運転免許登録、ビザ登録などがその大きなものの一部だ。そんなものがあれば、もっとシンプルになるのに、でもここからそこまでの政治的な問題は基本的に不可能なんだ。

これだと政府はどのサイトを訪れているか分からないんだね。うーん、説明からはそうは見えないけど。政府はどのサイトがリクエストを送ったかを知ってるし、あなたの身分に結びついたカードを認証するんじゃないの?

こんなのを世界中で実施するなんて無理だよ。

確かに、ほとんどのヨーロッパの国では技術的には可能だと思うけど(みんな何らかの生体認証IDを持ってるから)、ポルノを見るためにプライベートタブを開くたびにそれをしなきゃいけないの?ブラウザのクッキーをクリアするのに、毎回そのプロセスを繰り返さなきゃいけないの?国民IDを第三の要素として使って、"センシティブ"なコンテンツを見るために2FAを3FAに拡張したいの?

面白いね。紛失したり盗まれたカードの取り消しは、年齢確認の匿名設計とどう関わるの?もし19歳の若者が自分のカードとPINを15歳に売って、紛失したと報告して交換してもらったら、'紛失'したカードを年齢証明として使えないようにする仕組みはあるのかな?

こういう仕組みの問題は、かなり近いものを考え出すのは簡単だけど、肝心な詳細が欠けていることが多いってことだね。 - 政府にどのウェブサイトを訪れているか知られたくない。だから、政府のウェブサイトやアプリを通じてのリダイレクトや転送は無理だね。 - ウェブサイトがリクエストを相関させるのを避けたい。そうすると、クロスウェブサイトトラッキングが可能になっちゃうから。ウェブサイトAからのリクエストデータは、ウェブサイトBには全く役に立たないべきだ。これでほとんどの通常の証明書スキームは無理になる。 - ウェブサイトが複数のデータリクエストを相関させるのを避けたい。そうすると、ウェブサイトはスーパークッキーを作成できるから。リクエストは完全に独立しているべきで、同じユーザーからの2つのリクエストは、異なる2人のユーザーからのリクエストと区別できないようにするべきだ。 - 政府とウェブサイトが協力してもプライバシーを失いたくない。2つが協力してもリクエストは匿名のままでなければならない。そうでないと、プライバシーの合理的な仮定はできないから。これでほとんどの巧妙な一時コードのスキームは無理になる。 - リクエストはユニークで時間制限があるべきだ。応答を再生することは、同じウェブサイトでも別のウェブサイトでもできないようにするべきだ。 - 必要以上のデータを送信したくない。ウェブサイトがあなたが18歳以上かどうかを知りたい場合、booleanフラグだけを受け取るべきだ。これらの特性のいくつかを得るのは簡単だけど、すべてを同時に得るのはほぼ不可能だよ。そして最悪なのは、私はおそらくいくつかの要件を忘れてしまったことだ!

年齢とIPアドレスがあれば、ほとんどのインターネットユーザーを一意に特定できると思う。

興味がある人は、技術的な実装についてBSI TR-03124 eID-ClientとBSI TR-03130 eID-Serverを調べてみて。英語で利用可能だよ。

IDカードには、身元を明かさずにサイトにログインできる素晴らしい機能もあるし、2つのサイトのデータベースを統合しても、2人のユーザーが同じ自然人として識別されることはないんだよね。https://www.personalausweisportal.de/Webs/PA/EN/business/tec... ただ、この機能を使ってログインできるウェブサイトは見たことないけどね ;-)

ウェブ系の人でSSLを理解してるなら、プライバシーを守る年齢確認はアナロジーで説明できるよ。これは中央機関、たぶん政府機関が必要なシステムで、証明書発行機関に似てる。君はその機関で認証されていて、個人情報を持ってる。でも、外部からは名前じゃなくて、無個人的な識別子で認識される。機関はその識別子を「18歳以上」という主張に結びつけた証明書を発行する。18歳以上か知りたいサイトとやり取りする時、その証明書を提示するんだ。サイトはそれが権威によって署名されていて、18歳以上という主張があることを確認できる。誰か他の人の証明書をそのサイトに渡すことはできない。なぜなら、君が提示している抽象的なアイデンティティに結びついている必要があるから(個人情報は含まれていない;UUIDみたいなもの)。さらに、証明書は特定のデバイスに結びつけられることもある。証明書にはプライベートキーがあって、それを使ってその証明書を所有していることを証明できる;少なくとも、その証明書が発行されたデバイスの認証されたオペレーターであることを証明できる。そんな感じだね。重要な詳細が間違ってるかもしれないけど、要するに、君に関する情報を持っている仲介業者が、個人情報を明かさずに「18歳以上」と証明できるってこと。理論上は、年齢確認で良いプライバシーが実現できるはずだけど、完璧な年齢確認は無理だろうね。人々はそれを回避する方法を見つけるから。大人が自分を18歳以上と証明して、デバイスをティーンエイジャーに渡すこともできるし、そういう操作はある程度スケールできるだろうし。もちろん、どんな暗号システムも、未成年者が大人が操作しているデバイスの画面を見ている可能性を排除することはできないからね。

(個人情報は含まれてないし、なんかUUIDみたいなものだよ)今や、すべてのウェブサイトには、どこでもあなたを追跡するための回避不可能で非常に信頼性の高いフィンガープリンティングの仕組みがあるんだ。アイデンティティ泥棒だけが、その機関が守ろうとしているデータに興味を持つわけじゃない。ウェブサイト間でアカウントをリンクさせるだけで、情報を悪用したい人には十分なんだから。

彼がリンクしている論文を読む方がいいかもね: https://www.cs.columbia.edu/~smb/papers/age-verify.pdf これがみんなにとって実装が難しいことを示していると思う。でも、AppleとGoogleの携帯電話の実装が完成すれば、いくつかの国ではほとんどの人をカバーできるだろうし、 cheatsやworkaroundsが必要な人たちも長い尾を引くことになるだろうね。友達がいなかったら、チートするのも大変だよ。

イギリスみたいな法律には大きな問題があると思う。無駄な問題を解決しようとして、大規模なインフラやプライバシーの問題を引き起こすから。ティーンエイジャーは昔からポルノを見てるし、親のポルノ雑誌を盗むのはほとんどお決まりのネタだよね。これが社会に大きな問題を引き起こしたとは思えない。提案された解決策は、ティーンが親の身分証明書を一時的に盗んでポルノアカウントを作るだけだし、もっと革新的な方法があれば、その情報をオンラインで買うことだってできるだろうし。クラスメートにポルノアカウントへのアクセスを売ることもあるだろうしね。それに、そんな手間をかけなくても、イギリスではポルノ雑誌を手に入れるのはまだまだ簡単だよ。だから、これはただの悪法だと思う。解決したい問題を本当に止めることはできないし、高くて侵入的だし。たとえプライバシーを守る年齢確認が完璧でも、アクセスの穴はたくさんあるしね。さらに、他の国が存在するってことも忘れちゃいけない。メインストリームのサイトは対策を講じるけど、シーランドのポルノサイトはどうするの?イギリスが中国のファイアウォールみたいなものを作りたくない限り、この問題は解決しないよ。それに、今やVPNはストリーミングのおかげで常識になってるし。悪法、悪影響、無意味な戦いだね。

どこにでも持ち歩けて、持っていることに対する stigma がないデバイスがあって、それが考えうるあらゆるジャンルのポルノに無制限にアクセスできるのは、90年代のポルノ雑誌をたまに茂みで見つけるのとは全然比べられないから、これが昔から続いているとは言えないよね。

これが実際に社会的な大問題を引き起こしたとは思わない。全ての女性を貶め、抑圧するだけだ。

2025年になっても、保守派のせいで人々のポルノへのアクセスについて議論してるなんて、信じられない。技術が実際に世界を改善するためにどう使えるかを議論すべきなのに。みんなが見たいものを見られるようにさせてあげればいいのに、ほんと。地球上にはもっと重要な問題があるんだから。

あなたの言いたいことは分かるけど、技術的な解決策がないとは思えないんだ。これに似た技術で何ができるか気になるな: https://huggingface.co/spaces/zama-fhe/encrypted_sentiment_a... それかこれ https://en.m.wikipedia.org/wiki/Zero-knowledge_proof 具体的な解決策を示したわけじゃないけど、技術的な解決策が存在するかもしれないって思わせる。とにかく、私はコントロールフリークの側にはいないけど、この問題は面白いと思う。

この問題の根本的な問題は、基本的に道徳に関する法律だってこと。時間が経つにつれて、社会は単にその害を防ぐために必要な執行メカニズムが、実際にはそれ以上のダメージをもたらす犯罪のクラスがあることを発見してきた。例えば、不倫。ほとんどの人は配偶者を裏切るのは道徳的に間違っていると同意するだろう。文明国が不倫に関する法律を持たなくなった理由は、犯罪を支持する人が多いからではなく、政府がその法律を実行するために市民に対して必要なコントロールのレベルが忌まわしいからだ。国家は不貞の定義を定め(人間の性が複雑だから、これだけでも大変)、人々のプライベートな生活を監視するために国家の仕組みを使い、告発による虐待を防ぐための法的な仕組みを提供しなければならない。そして、何のために?人々の気持ちが少し傷つかないように?その労力に見合う価値はない。年齢制限も同じこと。年齢確認はプライバシーの侵害、脅迫、検閲などの大きな可能性を生み出し、外国のコンテンツをブロックするために大規模な国家検閲の仕組みが必要になる。そして、何のために?小さなティミーがバス停でヌード雑誌を取引するのを強制するため?親が子供に「ダメ」って言う手間を省くため?全然価値がないよ。

でも、権力者たちがこれを理解するのにどれくらい時間がかかるんだろう(また)?

それはちょっと理屈をこねてる感じだね。人々がプライバシーや政府の管理を心配しているから、 adultery(不貞)がもはや犯罪じゃないっていう証拠はあんまりないと思う。人々がより世俗的になったから、不貞は罪と見なされるようになったし、現代の国々は宗教法と世俗法を分けるようになったんだよね。

不貞が犯罪じゃないってことは、その執行メカニズムを超えた問題だよ。

予防的な執行が本当に不可能な法律を持つことは、国家にとって全く正当だと思う。例えば、殺人を防ぐために全員を監視することはできないけど、殺人に対する法律がないのは嫌だよね。不貞(通常は報酬なしの個人間のp2p活動)と、従業員がたくさんいて複数の大きな収益源を持つビジネス(例えばポルノハブ)の活動には、たくさんの違いがあると思う。後者を規制するのは、合理的で実現可能だと思う。この特定の問題(電子機器を通じてポルノへのアクセスが大幅に増えたことによる子供への害)については、18歳未満にタバコを売ることに似てると思う。問題に対処する価値はあるよ!でも、君と同じように、提案されている年齢確認法は実際の問題を解決するにはあまり良くないと思う。

他の人たちは、AIを使って顔の写真を分析することで年齢を推定できると言ってるけど、これはいろんな理由でバカなアイデアだよ。特に、バイオメトリックな年齢推定は、例えば16歳や17歳と18歳を区別するのが信頼性が低いことで有名だからね。17歳と18歳を区別するのが信頼性が低いなんて関係ないよ。この技術は、子供たちがポルノにさらされるのを減らすためのものなんだから。パスポートを発行するみたいなもんじゃないし、ある程度のポジティブな効果があればいいと思う。実際、俺もRedditで顔写真を使ったことがあるけど、まあまあうまくいったよ。ただ、俺は61歳だから、カットオフにはあまり近くないけどね。