欧州議会は、加盟国の法執行機関が(ある程度の制限付きで)アクセスできる 1 つの大規模な集中型生体認証データベースを作成することを決議しました。
EU共通アイデンティティリポジトリ(CIR)
この新しいデータベースは「共通アイデンティティ・リポジトリ(CIR)」と呼ばれ、EU加盟国3億5000万人の市民記録を統合することを目的としています。CIRには、氏名、生年月日、パスポート番号などの市民情報に加え、指紋や顔スキャンなどの生体認証データが含まれています。これらのデータはすべて、EU加盟27か国の法執行機関に公開されます。
このデータベースの目的は、国境警備官を含む法執行官の業務を簡素化することです。現在、法執行官は個人に関する情報を探す際に、各国のデータベースを調べなければなりません。EU当局によると、この情報は、シェンゲン情報システム、ユーロダック、ビザ情報システム(VIS)、そして3つの新システム、第三国国民向け欧州犯罪記録システム(ECRIS-TCN)、出入国管理システム(EES)、欧州渡航情報認証システム(ETIAS)といった他のデータベースから取得される予定です。
欧州議会と欧州理事会は、データに対する「適切な保護措置」を実施すると約束したが、現時点では詳細は明らかにされていない。欧州理事会が欧州議会で可決された法律を承認した場合、すべての加盟国は2年以内にこれを実施しなければならない。
1つの大規模なハッキング可能なデータベース
指紋リーダーを搭載したスマートフォンでは、指紋データのハッシュが各ユーザーのデバイスにローカルに保存されます。これにより、攻撃者が全員の指紋データを入手し、それを犯罪目的で自由に再利用することがはるかに困難になります。
対照的に、政府の生体認証データベースは、指紋を暗号化したものではなく、正確な画像を保存する傾向があります。そのため、データベースをハッキングした者がその指紋データを再利用することが非常に容易になります。さらに、データは個々のデバイスではなく、大規模な中央データベースに保存されます。このデータベースはセキュリティが脆弱で、簡単にハッキングされ、数百万人分の生体認証データが一挙に漏洩する可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
こうしたことは以前にも起こっており、例えば、米国政府独自の職員指紋データベース、中国の顔認識データベース、そして同じく11億人のインド人の生体認証情報を含むインドのAadhaar IDデータベースなどがある。
したがって、疑問はおそらく、EU の新しい中央データベースも漏洩するかどうかではなく、いつ漏洩するか、そして、この件に関してあまり発言権を持たない EU 加盟国の国民にどのような影響が及ぶか、ということだろう。
EUのプライバシー担当長官が法律を批判
もう一つの問題は、欧州司法裁判所と欧州人権裁判所が過去に、特にデータ保護が適切に保証されていない場合、市民に関する過度なデータ収集を要求する法律に反対する判決を下していることである。EU市民がそのようなデータをコントロールできないことは、EU機関にとって新たな法的問題となる可能性がある。
EU加盟国各データ保護当局の長で構成される第29条作業部会は、これまでCIRを複数の点から批判してきた。その批判には、生体認証データの集中化(IDカードなどへの分散化ではなく)、EU市民のデータとEUを通過するだけの非EU市民のデータの混在、移民管理とテロ対策の境界の曖昧化、警察によるCIRの過剰な利用など、同作業部会が執筆した文書で指摘されている多くの問題が含まれる。しかしながら、欧州議会はこれらの問題を考慮せず、CIR/相互運用性に関する法案を可決したようだ。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
