年齢確認法は監視の裏口になる！？プライバシーを脅かす新たな動き

https://www.lung.org/research/trends-in-lung-disease/tobacco...>長期的に見て、1965年には大人の喫煙率は42.6％だったのが2022年には11.6％まで下がった。子どもの喫煙率も1997年の36.4％から2021年には3.8％にまで減ってる。これって良い方向に進んでると思う。

この減少を特定の法律に結びつけるのはどうかと思うけど、公共教育やがんの影響が明らかになったことも影響してるんじゃない？

人々がキャンディフレーバーのUSB充電式デバイスで喫煙できると言われたら、また吸うようになっちゃった。教育なんてあんまり効果がなかったと思う。

微妙な違いがあるけど、みんな公共の場を通らないとどこにも行けないから、親が子どもを連れていても安心できるように“公序良俗”が必要ってことだよ。

＞あなたはそのメタファーをちょっと真に受けすぎだよ。もしかしたらそのメタファー自体に問題があるかも？GPは公共の場はデフォルトで大人専用だと言ってるけど、親が指摘したように、公共の場は子どもや働く人にとって安全な場所ってことを理解すべきだよ。この法律の正当性はこのメタファーに基づいていて、公共の場の仕組みをGPは理解してないみたい。

＞”アナタは8歳の子供を無人のニューヨークシティで放置しますか？”
自分が8歳の時はミュンヘンを一人で歩いてたけど、ドイツだから安全ってのもあるね。大企業のオフィスの近くでメンタルヘルスに問題のある人たちがいても、問題にならないから。

＞”ホームレスの人たちが公共の場で何かをしているのはどう人々に害を及ぼすの？”
それって実際にどうやって害があるの？

ゴミのポイ捨ては共有の場を汚す。

＞”警察にやってほしくないことリスト”
- 子供は8時には寝るべき。
- バックヤードで火をつけちゃダメ。
- ナイフを持って走っちゃダメ。
こういう理由で個人の監視が必要だなんて頭おかしいでしょ。

＞”やるべきこと？”
文化の話が極端になってるよ。8時に子供を寝かせなきゃって強制されるわけじゃないし、そっとしておいてよ。

＞”やるべきだ” vs “やるべきじゃない”
確かに彼のポイントはその通り。

違うね。そういう考え方が間違い。
果たして、本当に合意がある事象が良い社会かどうか、実装が問題じゃなく、まずそのことが許容されるべきじゃないんだよ。

＞”見られた場合だけ逮捕される”
通りすがりでいちいち警察が確認するわけじゃないから、そこは安心して。

これって滑りやすい坂理論が本当に間違いじゃない例だよね。普通は軽いステップが大きなステップを支えるってだけで、あんまり深く考えずに反応してる人が多い気がする。

個人的には、滑りやすい坂は、ほんとに小さいステップだけがシンボリックに大きなステップを助けるときに成り立つと思う。でも年齢確認がIDベースで使われると、政府に個人の年齢制限コンテンツの履歴を見られるのが問題。

問題なのはIDベースの年齢確認に使われる仕組みで、必要以上のデータを集められること。プライバシーを守りつつ実装する方法だってあるはずなのに、みんな妥協しようとはしないよね。

＞この内容を完全にプライバシー保護的に実装するのは難しいけど、よりマシな方法はある。しかも、本人確認ができなきゃ悪用されるだけで、プライバシーの失敗が起こるよね。

完全なプライバシ保護は無理だと思うな。政府が情報を得たがるから、完全に安全な保管庫じゃないし。でも、近い方法は取れるかも。IDを示して簡単なUSBデバイスを使えば、身元は記録されないし。

みんなが難しくしようとするのはなんで？ハードウェアも暗号化も必要ない。IDを見せたらパスワードをもらえて、全員同じだから誰とも結びつかない。

人を特定せずに確認することはできるよ。特定のコードをサービスに渡せば、自分がその権利を持っていると証明できるんだ。

その場合、資格を発行する相手に身元を知らせる必要があって、特定できる。でも政府が関与している場合、その情報は追跡されるんだ。

身元を確認する相手には、年齢を証明する相手には見せないってこともできる。盲目的な署名を使えば、IDを確認する人が確認できる。

新しい複雑な妥協策を導入することは意味がないと思う。ユニークな署名があっても、いちいち新しい署名を取らないといけないし、それ自体が不便だよね。

Wってサイトが大人の証明を求めるとして、Cって年齢確認サービスを使って、トークンTをもらってCに見せる流れが気になるよね。CがTにサインして、またWにそのサインを返すと、両者がトークンを知っちゃうリスクがある。それを防ぐためには、盲目的なサインが必要なんだ。たとえば、トークンを変換してCに送ってサインしてもらうことで、個人情報が漏れないようにするんだ。

それはタイミング攻撃の問題もあるよね。例えばBobがNotBob99ってアカウントを使ってサインインしたとして、何度も署名をリクエストすると、最初はわからないけど回数が増えるごとに特定されていくかも。だから、タイミングも考慮しないといけないね。

説明ありがとう。タイミング攻撃についても触れてくれて、すごく助かったよ！

運転免許証をスキャンさせるとか、本名や住所がバレるのは本当にいやだなぁ。年齢確認でそんなことする必要ないよ。

＞”基本的な暗号技術でプライバシーを守れる実装はできるはず”っていうのは、その通りだと思うよ。ブouncerに見せるように、IDのデータを持たない運用の方が安心できるよね。

その実装って具体的に何がある？機器を無断使用されないようにする対策が必要なんだよね。

年齢確認がすべてに繋がるわけじゃなくて、可能性について考える必要があると思う。

XとYの年齢確認の要件について話してるんだけど、Xが年齢確認を必要として、Yも同じような流れになるのは納得できる。でも、法の抜け穴って言ってる人もいるよね。EFFの意見も理解できるけど、年齢確認がどれだけ悪用されるかについては触れてないのが不思議なんだ。

今、学校でレトリックが教えられなくなってるのは残念。AIの時代にこそレトリックは大事で、AIがそれをシミュレートしようとしてる。論理的な議論も大切だけど、確実性がない時にどう判断するか考えると、レトリックの必要性を感じるよ。

アメリカの現代的な正式なディベートを見たら、教えられなくなったことを喜ぶかもよ。元ディベーターがこの活動を嫌う理由がよく分かる。詳しくは、>「https://en.m.wikipedia.org/wiki/Spreading_(debate)」を見てみて。

滑りやすい坂の誤謬って、単にそのスタイルだけでなく、因果関係が正当化されない時に使われるものだよ。結論が正しいかどうかは別問題で、誤謬の評価はその主張を支える証拠に依存するんだから。

XをするとYが起きやすくなる。Yは悪いから、Xをするのは良くない。これは誤謬じゃなくて、前提をしっかり確認すればいいだけの議論なんだ。これを誤謬扱いするのは、議論を封じるためだと思う。

そう、それが誤謬の誤謬だね。論理的誤謬に見えるからって、その主張が間違ってるとは限らないよ。

それに、’ad hominem’も時には重要だよ。法律を作る人の個人的な信念やインセンティブは、彼らが出す一般的な議論以上に大切だと思う。

’ad hominem’は面白い。抽象的な議論にはあまり関係ないけど、具体的で感情的なものほどフィルターとして効果的だよ。身近な悪い人の考えを思い浮かべると、その考えに長く浸かると同じようになっちゃうリスクがわかると思う。

これはあまり正しくないよ。滑りやすい坂の誤謬は不透明なジャンプを繋げて起こり得ない結果を作ること。’ad hominem’は、利害対立を指摘する場合にのみ有効で、議論そのものを攻撃するべきなんだ。

相手はそれを望んでる。法律自体はOKに見えるけど、次にどう使われるのか分からない情報が限られてる状態なんだ。

その通りだね。滑り坂を進めようとしてる奴らを指摘するのに間違いはないよ。

滑り坂を進めれば、1日中滑ってられる。でも自分を滑らせれば、一生滑ることになるよ。

その通り。論理的な存在には誤謬だけど、人間は論理的な存在じゃないからね。

論理的な関係が確実な時だけに誤謬って言われるだけだよ。不確実さや確率が関与すると、滑り坂はベイズの法則を平易に表現しているだけなんだ。

＞それは論理的関係が確実だときだけ誤謬です。違うよ。滑り坂は非公式な誤謬で、論理的な関係が確実なわけじゃなくて、証拠に基づく議論に適用されるんだ。要するに、前提から結果に至るまでの流れが不十分に正当化されてるだけなんだよ。

まあ、そんなことどうでもいいけど、”誤謬”って呼ぶのは、原則よりも衝動を追う人たちには役に立たないよ。

でも法律は人間が作ったもので、人間だけのものじゃないし、論理的であるべきだよ。

私たちの州発行のeIDカードには、信頼できる相手に匿名で年齢確認する機能があるはず。本来は、リクエストを州発行の証明書で署名してIDカードに送り、カードがリクエストの正当性を確認し、法的年齢の署名付き確認を返すって仕組み。個人情報は共有しないよ。広範囲な年齢制限には賛成しないけど、プライバシーを守る年齢確認の良い技術的解決策だと思う。

流れに問題があるよ。確認をリクエストする側が直接確認機関（州）とやり取りすると、リクエストする第三者の身元が漏れちゃう。匿名性を保つための正しい流れは、リクエスト側がユーザーにチャレンジトークンを出して、そのトークンのヘッダーにはリクエストのタイプ（１８歳以上？）が記載され、ボディは完全にランダムにすることだよ。ユーザーはこのトークンを使って検証を受けて、署名されたトークンをリクエスト者に返すんだ。これで州はチャレンジの発行者の身元を知らないよ。これは発行者がランダム性をきちんと保持する信頼が必要だけどね。

年齢確認をするリクエストが”誰でもできる”ことと”州ライセンスを持つ者のみができる”ことのトレードオフだと思う。私のIDカードが無線で成人かどうかを誰にでも知らせるのは嫌だね。

何かをリクエストする側がランダムなバイトを保存して、サインする側に接続してユーザーとサービスを結びつけるのを防ぐものは何なの？

＞“個人情報は共有されない。”この言葉の裏には実際に州ごとの署名のためのキーが使われてるから、法的に居住する州はわかっちゃうよね。Appleみたいに任意の年齢を確認できるリクエストがあったら、少しのリクエストで年齢が判明する。でも、訪問ごとに毎回確認が必要なら結局誕生日もわかっちゃうし、確認する側がデータを渡したり、特定のIDを使ったりするなら、必然的に訪問先が漏れちゃう。さらに言うと、年齢確認がいらない国や地域もあるから、未成年者は簡単にVPN使ってチェックを避けられる所にも疑問が残る。

＞“任意の年齢をチェックできるなら…”もしレート制限がうまく働くとして、チェックが自主的で失敗しにくい前提なら、被害者から多くの情報を得るのは難しいだろうね。Appleには信頼できないな、だって彼らは国家じゃないし、別の利害を持ってるから。

年齢はバイナリサーチで簡単にわかるよ。1から100の間にいるみんなが対象なら、最大でも7回のリクエストでいけちゃう。プライバシーを守るなら、アプリじゃなくてユーザーが政府のAPIから確認トークンをリクエストして、”18歳以上”だけを示すものにすべき。それが一度限りのものであれば、異なるサイト間で関連付けられなくて、プライバシーが守れるよ。

＞“結局、何のためにやるの？”法律全般について同じような疑問が出てきちゃうんじゃない？法律は必ずしも完璧ではないし、シートベルトの法律だって、結局着ない人もいるしね。

＞“シートベルトを着けなければ罰せられる。”その通り！でも年齢確認を逃れるためにVPNを使っても、サイトじゃなくてユーザーが法律的に罰せられるわけじゃない。未成年者の訪問に対する影響は薄くて、VPNやプロキシのハードルが低いから、技術に詳しくない大人に規制をかけるのは社会全体にとってマイナスだよね。効果のない法律は良くない。

＞“結局、全ての若者がVPNを使って…”あなたが言ってるのは、若者がVPNを使って他の州のポルノサイトにアクセスできるってことだよね。法営の地域Jでは年齢確認が必要なのに、他の地域にリダイレクトすれば、その規則を守る必要がないってこと。そんな状況だと、立法者はVPNも年齢確認を求めるようになる気がする。

＞“そのオフエンスの取り締まりは実際に難しい。”その通りで、大抵の事例は見つからずに終わっちゃうんだよね。

ちょっと気になったんだけど、1)これはどこの国/eIDなの？ 2)誕生日の情報を送るの？それとも、ある年齢以上であることのゼロ知識証明を行って、誕生日がある値以上であることを伝えるの？

カリフォルニアなど一部の州では、これができるデジタルIDがあるよ。特定の年齢以上であることを示すだけで、誕生日は送られないんだ。このページの途中にApple Walletでのプロセスを示した動画があるよ。https://learn.wallet.apple/id/（”21歳以上”って表示されるのがわかる）。