ペーパーレスで安全な電子投票、実現なるか－長期プロジェクト

　「現在スイスで使用されているシステムでは、有権者が自分の１票の行方を確認する術が全くない。システムを信用するしかない」と言うのはベルン専門大学の情報社会安全研究所（RISIS）のロルフ・ヘニ教授（情報学）。

　また、同研究所のエリック・デュブイ所長は次のように話す。「安全性には力を入れてきたが、初期のシステムには『認証』という重要な要素が欠けているため、自分の一票が本当に自分の意思通り反映されているかを確認する手段がない。我々はその重要性をもう何年も強調している」

「賛成」が「反対」にすり替わってしまったら

　電子投票の構造を簡単に説明すると、票を処理する中枢コンピューターと、有権者が持つ個人利用のPCから成る。中枢コンピューターがハッカーの攻撃を受けて集計結果が操作されたり、有権者のPCがマルウェア（悪意のあるソフト）に感染し、投票の内容が変更されたりする危険性も理論上はありうる。マルウェアは、たとえば有権者が「賛成」と入力しても、有権者に気づかれず中枢コンピューターには「反対」と認識されるように情報を操作できてしまう。

　選挙や投票が行われるときは、大抵、強い利害がからんでいる。ある利益団体が保護されていない何千台ものPCを感染させ、投票結果を操作する恐れもある。このようなリスクが存在することを科学者たちは１０年以上も訴え続けてきた。

　オンラインショッピングの受注確認書のように、投票内容の確認書が中枢コンピューターから有権者に送られれば「認証」の問題は簡単にクリアできるように思われるが、「それでは投票の秘密性が保障されない。投票内容がシステムに分かってはいけない。システム管理者も同様。だから色々と複雑になる」とヘニ教授は言う。

プロジェクトは正しい方向へ

　スイスでは、２０１４年に第二世代の電子投票が段階的に導入される予定。投票用紙に加え、有権者には新しく「賛成」と「反対」に対応する、それぞれ異なる４桁のコード番号が送られる。番号は全て個別だ。

　有権者が投票を行うと、システムから「認証コード」が返信される。このコード番号と投票用紙のコード番号を比較し、一致しているか確認できる。第三者の情報操作があればすぐに分かる仕組みだ。

　「プロジェクトは正しい方向に進んでいる」とデュブイ所長は言う。「情報操作が簡単に見つかるので、マルウェアを使う意味がなくなる。ここが今日のシステムとの大きな違いだ。現状では、情報操作が発覚しないというリスクがある」

透明な投票箱

　ただし、この方法を使っても、やはり中枢コンピューターのデータの安全性確保は難しい。票の正しいカウントに手間がかかることにも変わりはない。また、印刷の段階でコード番号が偽造されるなど、ミスが発生する可能性も否定できない。安全性を向上するには、認証コードに加え「データの公開、特に暗号化された票を公開する必要がある」とデュブイ所長とヘニ教授は提案する。

　しかし有権者の投票内容をさかのぼって追跡できる、という危険性がまだ残る。つまり、投票の秘密性が守られないという点だ。この問題を解決するために、フランスで使用されている透明な投票箱が参考にされた。「初めは投票箱が空で、票が入ると箱が振られ投票用紙が混ざる。こうなると誰がどのように投票したか識別できなくなる」とデュブイ所長は言う。

　これを電子の世界に置き換えると「暗号化された投票内容（データ）を公開する。ただしそのデータを解読する前に投票者の身元が分からないようにデータを匿名化する」ということになる。「データは何度も暗号化される。こうした票は、元の票と外見的には一致しないが、内容は変わらない。これは数学的に証明できる」とヘニ教授は言う。「この方法は、科学的にも安全性が保障され、現在有効で１００％信頼できると認められている。このやり方なら票の秘密性も守られる」

　だが、このようにデータを混合・攪拌するシステムは「複雑極まる」とヘニ教授は認めている。「学生自治会の選挙の際、この方法を試してみたが、まだ改良が必要だ。店で既製品を買うように、できあいの解決策が簡単に見つかるわけではない。ノルウェーも最近、データを混合するシステムの試験運用を行ったようだ」

　デュブイ所長は、このシステムの必要性が政治的にも認められれば、２、３年後にはスイスで導入できると見込んでいる。

完全なペーパーレスは困難

　いかに情報化、電子化を行っても最終的には郵便手段が必要になる、とヘニ教授は言う。電子メールは安全上の理由から使用できないため、コード番号は書面で有権者に届けられる。

　この問題をクリアすべく、科学者らは長年にわたり第三世代の電子投票の開発に取り組んできた。それは別個の装置を使用する方法だ。

　「PCやスマートフォンは１００％は信用できない。情報操作されている危険性が常にあるためだ。これは避けられない問題」とヘニ教授は言う。情報社会安全研究所の研究者らはこの問題を解決するため、連邦内閣事務所の委託で２年前に新システムの開発に取り組んだ。このシステムでは、情報が全て電子化され、郵便手段を使わないので手間もコストも掛らない。

　この方法に必要なデバイスは、銀行がオンラインバンキング用に顧客に提供するパスワード生成機器と似たような装置。「要らない機能はできるだけ省いた。インターネットにもつながらない、プログラムも操作できない、シンプルで費用の掛からない装置だ」

　この装置で票（PC画面の選挙コード）を取り込み、USBケーブルや無線を介してPCに送る。次にデータはPCから中枢コンピューターに送られる。全工程で、データは暗号化されている。また、装置を使用するにはパスワードが必要だ。

紙幣と同様の信頼性が必要

　「このような装置を使ってもらうには、スイス紙幣に匹敵するほどの信頼性を得る必要がある。また、連邦内閣事務所の保証が付いている装置だけ、使用が許されるべきだ」とデュブイ所長。だが次のようにも言う。「問題はまだ幾つかあるが、不可能ではない。まだ研究を積まなければならないだろう。このシステムを導入する政治的な意思がどれだけ強いか、という点も関わってくる。いくつかの機能を組み合わせることも可能だ」

　具体的には、装置を配布する物流システム、装置の製造・配布・維持管理費用といった問題に加え、パスワードや装置の紛失、電池切れなどの課題もある。

投票もオンラインバンキングも両方こなす装置を作れないか、とデュブイ所長は考えている。どうせなら、誰もがいつも持ち歩いているスマートフォンに組み込んではどうだろう？

　「二つ目の暗号利用モード（暗号化システム）として、プログラムが変更できないものをスマートフォンに組み込む。これは技術的には無理な話ではない」とヘニ教授は言う。一つ目の暗号利用モードでは、アプリやソフトで変更できるために、マルウェアの標的になるが、もう一つのモードならプログラムが変更できないので安全だ。マルウェアが入り込む余地がない。

　しかし、これはあくまでも理想論で、実現化は難しいとデュブイ所長は言う。「メーカーは世界市場しか念頭にない。スイスは小さすぎて相手にもされないだろう」

（独語からの翻訳　シュミット一恵）