ハクソク

世界を動かす技術を、日本語で。

EUの年齢確認アプリ、デスクトップサポートの計画なし

243日前原文(github.com)

概要

  • スマートフォン非所有者への配慮不足が問題点
  • オンライン年齢確認の現実的な課題指摘
  • プライベートブラウジング時のユーザビリティ低下
  • 実装コストと中小企業への影響懸念
  • EU技術政策への信頼低下の背景

オンライン年齢確認ソリューションのユーザビリティ課題

  • スマートフォン所有前提 の設計による高齢者・非スマホユーザーの排除
    • 例: 従来型携帯電話 利用者のオンライン手続き困難
  • 年齢確認手段の 多様性不足 によるアクセシビリティ低下
  • ウェブ閲覧時の GDPRチェックボックス による体験の分断
    • プライベートブラウジングインコグニートモード 利用時に毎回認証が必要
  • PC利用者 や匿名性重視ユーザーへの不便さ
    • 複数ニュースサイト比較時など、 都度認証 が大きな負担

プライバシーとユーザビリティの両立案

  • ブラウザ拡張機能 による年齢認証自動化の提案
    • プライバシー重視 の実装が前提
    • ただし、 信頼性・セキュリティ の懸念が残る
  • インコグニート利用時 だけでなく、通常ブラウジングにも影響
  • 一括認証セッション管理 による利便性向上の必要性

実装コストと中小企業への影響

  • 導入コスト増大 によるスタートアップ・中小企業への負担
    • 開発言語やエコシステムの制約 (例:Javaのみ対応)による柔軟性低下
  • 大企業小規模事業者 間の格差拡大リスク
  • EUによる技術政策への 信頼喪失
    • Peppolアクセス・ポイント 導入時の経験からの不信感
    • 開発自由度コスト効率 の低下

今後の改善提案

  • 多様な認証手段 の導入(例:SMS、郵送書類、店舗認証)
  • プライバシーユーザビリティ を両立する設計思想
  • 中小企業支援策技術選択の自由度 確保
  • ユーザー層ごとのニーズ を反映した政策立案

Hackerたちの意見

これって、要件がちゃんと考えられてない良い例だよね。> デスクトップサポートは現在プロジェクトの範囲外です。これから言えるのは、彼らの定義によれば、デスクトップアプリは年齢確認の範囲外ってことだよね。ってことは、すべてがウェブサービスじゃなくて、デスクトップアプリが復活する可能性があるのかな?夢見ちゃうよね。まあ、それまでは「言われた通りにやる」大人たちが、ずっと不便を強いられることになるんだろうな。追記:これによって、新しいスマホOSの開発も完全に無効化されるよね。オンラインで何かするためにウォレットを確認できないのに、誰がわざわざやるんだろう。

デスクトップアプリが復活する可能性があるのかな...? いや、法律でまだ必要だから、デスクトップアプリはスマホとの何らかのやり取りが必要になるよ。

これって「PCは過去の遺物だと思ってた」って感じだね、悲しいことに。

アプリが利用できないからって、年齢確認が不要ってわけじゃないよ。スマホからアカウントを確認したり、年齢確認セッションに連れて行くQRコードをスキャンする必要があるかもしれない。確認が終われば、デスクトップから続けられるって感じ。そうじゃなかったら、スピードメーターがないからって速度制限に縛られないってことになっちゃうよね。

これにより、新しい電話のOSの開発が完全に無効化されるだろう。オンラインで何かをするためにウォレットを確認できないのに、誰がわざわざやると思う?今もそうなってるけど、銀行のアプリや政府のeIDアプリはGoogleやAppleのデバイス以外では動かない。

子供たちが、現代のスマホで古いデスクトッププラットフォームのエミュレーターを簡単に動かせることを理解したら、待っててね。

いやむしろ、「このデスクトップアプリを使うにはスマホが必要です」ってことだね。

これがハードウェア認証の本質だね:両刃の剣、しかも鋭い。最大の問題は、認証ハードウェアとアプリクライアントが同じデバイスで、同じメーカーが作ってるってこと。しかも、そのメーカーは顧客を収益化することとプライバシーを守ることの間に微妙な利害の対立があるんだよね。私見だけど、賛成派の力が強すぎて、今はまだオープンなものが残ってるうちにその瞬間を大事にすべきだと思う。

でも、これは新しい種類のハードウェアにとってはチャンスかもしれないね(願望モード)。

プライベートアクセス・トークン(PAT)が、収益化の名のもとにプライバシーを侵害するのはどういうこと?

ここでの狂った質問は、なぜEUがサービスにアクセスするために二つのアメリカの民間企業が管理するハードウェア認証を義務付けるのかってことだよね。それって、消費者を守ったり、独占を防いだり、一般の人が生活できるようにするEUの法律や規制の精神に完全に反してると思う。最近は「デジタル主権」に焦点を当ててるし。これって、すべての目標に対して五つの反対があるようなもんだよね?顧客を害し(GDPRの真逆とも言える)、既存の独占を強化し、情報にアクセスするために市民を二つの民間企業の奴隷に強いる。そして、その上で、誰が有効な人間かを判断する仲裁者としてアメリカに自ら降伏するなんて。これってEUの精神に完全に反してるから、真剣じゃなかったら笑えるレベルだよね。

DSAをやっと見てみたけど、年齢確認に関しては3箇所しか触れられてないんだよね。 - Recital 71では、未成年者のプライバシーとセキュリティは特に保護されるべきだってぼんやり言ってるけど、彼らを特定するために余分な個人データを処理しちゃダメって。 - Article 28では、プラットフォームは「未成年者のプライバシー、安全性、セキュリティを高いレベルで提供すべき」って言ってるけど、やっぱり余分な個人データを処理しちゃダメって。さらに、委員会が「ガイドラインを出すかもしれない」って言ってるけど、年齢確認を実施すべきだなんて言ってない。 - Article 35では、「大規模なオンラインプラットフォーム」は年齢確認を実施するかもしれないって。あと、recital 57では、オンラインプラットフォームの規制はマイクロ/小規模企業には適用されないって書いてある(どこかに定義がある)。全体的に見て、今のところ年齢確認を強制されてるのは大手のオンラインサービスだけだと思う。委員会のいろんな投稿を見た感じ、彼らはこの状況をそう見せようとしてるけど、法的には今はそうなってない。 EDIT: 言及されてたガイドラインを見つけたよ[0]、年齢確認の部分についてのいい解説もある[1]。

デジタルIDウォレットはDSAの一部じゃなくて、基本的にはあなたのスマホにIDを持たせるための取り組みだよ: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A... 計画通りに実施されれば、IDカードや運転免許証、卒業証書、電車のチケット、さらには支払いの管理も完全にデジタルで扱えるようになる。年齢確認以外にも、属性ベースの認証を使えば、社会保障番号(相当)を明かさずに特定の車両を運転する許可があることをデジタルで証明できる。ちょっと皮肉を交えれば、こういうオプションのインフラが導入された瞬間に、「コスト削減」のためにこのデジタルモデルを強制する新しい法律が作られて、「子供を守る/テロと戦う」ためにもっと多くのビジネスに年齢確認を強制することになるだろうね。

結局、みんなでできることは一つだけかもしれないけど、みんなが快適すぎて不快なことを受け入れないから、絶対に実行しないだろうね。クソみたいなサービスを使わないようにすること。デスクトップユーザーを特定したり、不利に扱うビジネスには、あまり顧客がいなくなるように。足で投票するってやつだ。普通のユーザーが自分の権利を使ってディストピアを避けたり、自分の行動に関連する問題を考えたりすることには、ほとんど希望がないよ。今でもどこでも見られるけど、大多数の人は無知で、与えられた骨をそのまま受け入れるだけ。毎年新しいスマホを買わなきゃいけないの?OK。国家機関じゃなくて、データを売ったり悪用したりする私企業によるデジタル監視を受け入れなきゃいけないの?OK。大手企業に全ての通信データを渡すの?OK。…ほとんどの人にとっては、技術的な意味や社会への影響を考えたくもないから、ただの「デジタルレイプを自動的に受け入れる」状態なんだよね。技術的な理解を超えてるから、こういう話になるとバスを降りちゃう。これが問題なんだ。普通の人に自分のデジタル権利に気づいて興味を持たせるにはどうすればいいのか。

これ、悲しいけど長い間失われた戦いのように感じる。インターネットの自由は今後も侵食され続けるだろうし、ほとんどの人が気にする頃には手遅れになってると思う。楽観的な頭は、連携サービスが常識になって、こんなクソに立ち向かうことを期待してるけど。

これは最初のステップに過ぎないって考えるべきだね。次は、すべてのサービスに対して身分証明が必須になるだろうし、受け入れるか、全くサービスを使わないかの二択になるだけだよ。

「EU年齢確認アプリ、デスクトップサポートの計画なし」ってタイトルは誤解を招くと思う。デスクトップでEUの年齢確認をサポートする方法がないみたいな印象を与えちゃうから。コメントでも触れられてるけど: > このプロジェクトは、未成年者の保護に関するDSAの特定の要件を満たすと考えられている解決策の一例であることにも注意が必要です。他の要件を満たす解決策の使用を妨げるものではありません。だから、もっと適切なタイトルは「EU年齢確認の例アプリ、デスクトップサポートの計画なし」かもしれない(誤解しないで、実装には賛成じゃないけど、批判する際には正確さが重要だと思う)。

明らかに問題があるのに、これをGithubで公開するのはちょっと皮肉だね。EUの技術的独立は順調に進んでるみたい。

この投稿は誤解を招くよ。プロジェクトはただの例に過ぎないから、他の認証方法がサポートされないわけじゃないんだ。

欧州委員会に契約されたランダムな開発者と議論するのは、政治的な解決策にはならないよ。

システムの初版が最も人気のあるプラットフォームだけをサポートするのは、非常に合理的だと思う。特にオープンソースだから、熱心な人たちが後でニッチなプラットフォームに移植するのを止めるものはないしね。

「これではプライベートにウェブを閲覧したい人には使えない。」これは偶然じゃないよ。意図的だよ。イギリスやドイツでのSNS投稿による逮捕を見てみて。

「獣の数字」ってのは数字じゃなくて、GoogleかAppleのスマホなんだね。誰が知ってた?