概要
- 欧州各国がデジタルIDウォレット導入を進める中、GoogleやAppleの安全性サービス依存が問題視。
- Google Play Integrity APIやAppleのManaged Device Attestationが公共インフラに組み込まれている現状。
- これにより、技術的独立性やオープン性が損なわれ、特定企業への依存が強化。
- 代替手段が存在するにもかかわらず、多くの国がGoogleエコシステムを採用。
- 公共インフラの設計と運用における透明性・説明責任・市民参加の重要性が指摘。
欧州のデジタルIDウォレットとGoogle・Apple依存問題
-
欧州各国政府が デジタルIDウォレット を導入し、国民が公共サービスや年齢確認をオンラインで利用可能に
-
これらウォレットの安全性確保のため、 Google Play Integrity API や Apple Managed Device Attestation などの「リモートアテステーション」技術を活用
-
これにより、アプリが改ざんされていないか、正規のハードウェア上で動作しているかを確認
- Google Play Integrity API は、Google認定デバイス上での動作やPlayストア経由のインストールを強制
- 非Google認定のAndroid OS(例:e/OS、GrapheneOS) 利用者は、IDウォレット利用から排除される可能性
- 端末の自由度や多様性が損なわれ、Googleへの依存が強化
公共インフラにおける民間企業依存のリスク
- デジタルIDウォレットは、 公共インフラ として重要な役割を担う
- 政府サービスや重要な書類へのアクセス手段
- 全ての市民が利用可能であるべき基盤サービス
- GoogleやAppleの安全性サービスをインフラに組み込むことで、 技術的主権 や オープン性、 相互運用性 が損なわれる
- EUの Digital Markets Act(DMA) にも違反の疑い
- 公共インフラが特定ベンダーのエコシステムにロックインされる懸念
代替案と各国の対応状況
- Google Play Integrity APIの代替として Android Hardware Attestation API などオープンな選択肢が存在
- ハードウェアベースのセキュリティチェックを提供
- Googleエコシステムへの依存を回避可能
- EUは「Architecture Reference Framework」でGoogleアテステーションを推奨するが、義務ではない
- イタリアやオランダ は厳密にGoogle Play Integrity APIを採用
- スイス はデータ保護や技術的独立性を理由にGoogle技術を排除し、Androidのアテステーション機構を使用
- 各国の対応が分かれ、 EU全体で一貫性が欠如
公共インフラ設計の課題と市民参加の重要性
- デジタルウォレット設計には、 より深い技術スタックレベルでの相互運用性確保 が必要
- 公共インフラの設計・運用は 市民参加 や 説明責任 が不可欠
- ドイツやスイスのオープンな議論フォーラム(例:gitlab.opencode.de, github.com/orgs/swiyu-admin-ch)で技術者・市民が懸念を表明
- しかし、これらの議論は技術者層に限定される傾向
ユーザー・市民・ジャーナリストへのアクション提案
- 代替OSユーザー は、自国のEUDI Wallet開発者にGoogle/Apple依存排除を要望
- 市民 は、選出議員にIDウォレットの独立性確保を訴える
- ジャーナリスト は、政治・設計プロセスの追跡と報道を継続
- 例:オランダのSolvinity事件のような動向に注目
- 関連情報はEUDI Wallet公式ウェブページやDutch Ministry of Foreign AffairsのEDIサイトで確認可能
結論:欧州のデジタル主権と公共インフラの未来
- デジタルIDウォレットは、 公共性・技術的独立性・オープン性 の確保が不可欠
- GoogleやAppleなど民間企業への依存を排除し、 オープンで相互運用可能な技術基盤 の採用が求められる
- 公共インフラの設計・運用には、 透明性・説明責任・市民参加 が不可欠
- 欧州が本気でデジタル主権を目指すなら、 Google/Appleアテステーションの完全排除とオープンな代替技術の義務化 が必要