EUデジタルIDウォレットはなぜGoogleとAppleに依存するのか:デジタル主権の逆説
EUデジタルIDウォレットはなぜGoogleとAppleに依存するのか:デジタル主権の逆説
欧州はビッグテックの独占に対抗するという名目で、自国市民の身元インフラを自ら築こうとしている。ところがそのインフラが機能するには、Google と Apple の検証サービスを通過しなければならない。主権を宣言したプロジェクトが、なぜその主権の対象に依存するに至るのか。
導入 — 主権プロジェクトの心臓部で見つかった矛盾
2026 年 6 月 30 日 (KST)、オランダの技術・社会研究機関 Waag Futurelab が公開した一本の分析記事が Hacker News のトップに上がり、694 点を集めコメント 299 件が付いた。タイトルは直截だ。「欧州のデジタル身元ウォレットは Google と Apple への贈り物だ (European digital ID wallets are a gift to Google and Apple)」。欧州連合が eIDAS 2.0 規則の下で配布する EUDI (European Digital Identity) ウォレットに関する記事である。
EUDI ウォレットは小さなアプリではない。市民が政府サービスにアクセスし、オンラインで年齢を証明し、ログインと公文書を管理する通り道だ。欧州が自国市民のデジタル身元を自ら管理すると宣言した中核の公共インフラである。その宣言の底には 「ビッグテックのゲートキーピングから脱する」 という政治的意志が敷かれている。GDPR、デジタル市場法 (DMA)、デジタル主権の言説はすべて同じ方向を指す。
ところが Waag の分析が突いたのは、その心臓部の矛盾だった。ウォレットアプリが安全な端末で実行されているかを検証するために、オランダとイタリアの実装は Google の Play Integrity API と Apple の Managed Device Attestation を採用した。主権を宣言したプロジェクトが、まさにその主権の対象である米国ビッグテックの独占的な検証システムに依存する構造が、その心臓に埋め込まれていた。本稿はその矛盾の技術的構造と政治的含意を順に読み解く。
リモート認証という見えない関門
まず技術を理解する必要がある。問題の中心にはリモート認証 (remote attestation) という概念がある。リモート認証とは、ある端末が 「信頼できる状態」 にあるかを、遠隔のサーバーが確認する手続きだ。身元ウォレットのように高い価値を持つ資格情報を扱うアプリは、正当な理由を持つ。ウォレットアプリが改造されたハードウェアや細工された OS の上で動いているなら、その上に保存された身元情報は窃取されたり偽造されたりしうる。だからサーバーは、アプリを実行する端末が改ざんされていないことを証明してもらいたい。ここまでは正当なセキュリティ要求である。
問題は、その証明を誰が、どの方式で行うかだ。Google の Play Integrity API と Apple の Managed Device Attestation は、各社が独占的に統制するリモート認証の方式である。アプリは Google や Apple のサーバーに 「この端末は正規品か」 と問い合わせ、その会社が発行した署名済みの判定を受け取り、自らのバックエンドに渡す。判定の基準とロジックは、完全にその会社の手にある。
Waag が核心的に指摘する箇所がここだ。「Google の Play Integrity API は単なるセキュリティ機能ではない。それは Android エコシステムに対する Google の統制を強化する装置だ」。Play Integrity は端末が Google のライセンスした Android を実行しているかを確認し、そうでない代替を危険として扱う。判定の権威ある出所として Google Play ストアを用い、多くの場合 Google アカウント認証を要求する。すなわちこの API を通過するには、事実上 Google のエコシステムの中にいなければならない。セキュリティ検証という外皮の下で実際に強化されるのは、エコシステムのロックインである。
この構造の最も鋭い帰結は排除だ。プライバシーを重んじて Google サービスを取り除いた OS — /e/OS、GrapheneOS のような de-Googled Android — を使う市民は、Play Integrity を通過できない。これらの OS は多くの場合、元の Android よりセキュリティが強い方向に設計されているにもかかわらず、Google が定義した 「正規 Android」 の基準を満たさないという理由で危険に分類される。その結果、彼らは政府の身元ウォレットにアクセスできない。
これは見慣れないメカニズムではない。ルート化した Android スマホで銀行アプリや Netflix が動作を拒否する、まさにその現象が Play Integrity だ。これまでは民間アプリの個別ポリシーの問題だった。だがその同じ関門が政府身元インフラの入口に置かれた瞬間、問題の性格が変わる。私企業のアプリが使えないことと、市民が政府サービスにアクセスできないことは、まったく次元の異なる排除だ。リモート認証は見えないところで作動する隘路である。その隘路のスイッチを握るのが欧州政府ではなくカリフォルニアの二社だという事実が、この案件の重心である。
主権の逆説 — 政府がプラットフォーム政策の執行者になるとき
技術構造が生む政治的帰結は、一つの逆説に要約される。ビッグテックの独占に対抗すると宣言した欧州の政府たちが、まさにそのビッグテックの独占的システムを自国の公共インフラの中に埋め込んでいる、ということだ。
この逆説の重さは、欧州が自ら掲げた目標と対照したときに露わになる。EUDI プロジェクトの公式の言葉は 「開放性、包摂性、技術主権のような公共的価値に基づくデジタル公共インフラ」 を志向する。ところがそのインフラのアクセス制御を Google と Apple の判定に委ねた瞬間、三つの価値がすべて損なわれる。開放性は閉鎖的な判定ロジックに従属し、包摂性は de-Googled OS の利用者を排除し、技術主権は外国私企業のインフラに依存することになる。宣言された価値と実装された構造が正面から衝突する。
より深い問題は、政府の役割そのものが逆転する点にある。身元ウォレットが Play Integrity を要求するよう設計されると、市民が政府サービスにアクセスできるか否かを Google の政策が決める。Google がどの端末を 「危険」 に分類するか、どの条件で判定を出すかを変えれば、欧州政府のサービスアクセス方針がそれに従って自動的に変わる。この構造で政府は事実上、企業プラットフォーム政策の執行者になる。市民と政府の間に私企業の判定レイヤーが割り込み、政府はその判定を自らの名で強制する役割を担う。公権力の正当性が民間ゲートキーパーの判断に従属するのだ。
この逆説がなぜ止められなかったのかを問えば、ガバナンスの失敗に行き着く。EU のアーキテクチャ参照フレームワーク (Architecture Reference Framework) は、Google・Apple の認証方式を推奨 (recommend) するにとどまり、義務化 (mandate) しない。ここで決定的な語彙の問題が生じる。「推奨」 は複数の読み方ができる言葉だ。スイスはこの推奨をデータ保護の観点から検討した末、独占的な認証方式を拒否した。一方、他の国々は同じ推奨を事実上の要求事項として扱った。フレームワークが明確な基準の代わりに緩い推奨を出した結果、各国の実装がばらばらに分かれ、最も手軽な経路 — Google と Apple がすでに提供する既製の API をそのまま採用する経路 — へ多数が流れた。
これは技術決定が政治決定の空白を埋めた事例だ。上位の政策が 「何を守るべきか」 を明確に規定しなければ、現場の開発者は 「何が最も速く動くか」 を基準に選ぶ。そして最も速く動くのは、常にビッグテックがすでに敷いてあるインフラだ。主権はこうして実装レイヤーで静かに漏れ出す。言説の層でいくら主権を唱えても、どの API を呼ぶかを決めるコード一行で、その主権が決まる。
スイスという反例、そして日本の問い — それは必然ではなく選択だった
Google の方式が技術的に不可避のものだったなら、この議論はすべてトレードオフの問題として終わっただろう。安全な身元インフラのためにやむを得ず引き受ける代償だ、と。しかし反例が存在する。そして反例の存在は、これが必然ではなく選択だったことを証明する。
Android には Hardware Attestation API という別の方式がある。この方式は端末のハードウェアセキュリティ要素 (secure element) に根ざした暗号学的証明を提供する。すなわち端末が改ざんされていないハードウェアの上で動いていることをハードウェアレベルで証明しつつ、Google のエコシステム政策 — Google Play サービスの存在、Google アカウント認証、「正規 Android」 か否か — は強制しない。セキュリティという目的を達しつつ、エコシステムのロックインは作らない道だ。スイスは自国の電子身元プロジェクトでこのアプローチを採用した。データ保護を根拠に独占的認証を拒否し、ハードウェアベースの証明へ舵を切った。
スイスの選択が持つ論証的な重みは大きい。それは Google の Play Integrity が身元ウォレットのセキュリティのための唯一の解ではないことを、実際の実装で立証する。同じセキュリティ要求を満たす開放的な代替がすでに存在し、一つの国がそれを現に選んだ。ならばオランダとイタリアの選択は、技術の限界ではなく政策の怠慢から出たものになる。
ここで日本の事情に目を向けると、この問いは他人事ではない。日本はマイナンバーカードを軸にデジタル身元を構築し、Android と iPhone の双方でスマホ用電子証明書を提供している。券面情報や電子証明書をスマホに搭載し、コンビニ交付やオンライン申請の本人確認に用いる仕組みだ。デジタル庁が主導するこの構想も、スマホという端末の完全性をどう検証するかという同じ問いに直面する。iPhone 側では Apple のプラットフォーム API に、Android 側では Google のプラットフォーム API に依存する構造は、欧州とまったく同じ設計上の分岐点を抱える。日本の議論はまだ端末対応機種の拡大や券面搭載の利便性に集中しがちだが、その裏で 「どの認証方式に依存するか」 という主権的な問いが同じ形で潜んでいる。欧州の EUDI が突きつけた矛盾は、マイナンバーカードのスマホ搭載を進める日本にとっても先行事例として読むべきものだ。
ここで de jure と de facto の間隙が鮮明になる。法と言説の層 (de jure) で欧州は GDPR、DMA、デジタル主権を掲げ、ビッグテックの統制に対抗する。しかし実際の実装の層 (de facto) では、そのビッグテックのインフラに依存する。この間隙は欧州のデジタル政策全般で反復されるパターンであり、EUDI ウォレットはそのパターンが最も鋭く現れた事例だ。そして日本も同じ間隙に足を踏み入れうる。本当の主権は声明ではなく、実装の選択で決まる。
もちろん緊張は実在する。高い価値の身元資格情報は端末の完全性を真剣に検証せねばならず、その要求を軽んじることはできない。問題はセキュリティか開放性かの二者択一ではない。スイスが示したように両立させる道があるのに、手軽な閉鎖的経路を選んだことが問題だ。Waag の結論はそれゆえ明快である。意味あるデジタル主権は、開放的なハードウェアベースの認証を義務化し、参照フレームワークから独占的な代替を除去することを要求する。推奨を義務へ変える一行の政策が、主権を言説から実装へ引き下ろす鍵だ。
結論 — 主権は実装レイヤーで決まる
EUDI ウォレットの事例が指すのは、単なる API 選択のミスではない。それは主権という概念がどこで実際に成立し、どこで崩れるのかに関する具体的な教訓だ。欧州は言説の層で最も強力なデジタル主権プログラムを持った。しかしそのプログラムの心臓に当たる身元インフラの入口を、自らが対抗すると宣言した二社の判定に明け渡した。
この事例が重いのは、それが例外ではなく構造だからだ。上位の政策が緩い推奨にとどまる限り、実装レイヤーは常に最も抵抗の少ない経路 — ビッグテックがすでに敷いた関門 — へ流れる。リモート認証はその関門が見えないところで作動する代表的な地点であり、銀行アプリを塞いでいたそのスイッチが、いまや政府サービスの入口に置かれた。スイスの反例が証明するように別の道はあった。残る問いは、欧州がその別の道を義務にする政治的意志を持つかだ。そして同じ問いは、マイナンバーカードをスマホへ広げる日本にも向けられる。主権は声明ではなく、どの API を呼ぶかを決めるコード一行で決まる。その一行を誰が書くのかが、次の時代のデジタル主権の実体である。
出典: