Open in app

Sign in

Write

Sign in

ICP ブロックチェーンのヨーロッパにおけるデジタル主権への第一歩

Yuta KW
DFINITY 公認翻訳|日本語版
Published in
Dec 28, 2023

一般的に、ブロックチェーンの固有の変更不可能性とそれに保存された公に利用可能なデータが、GDPR(一般データ保護規則)とブロックチェーン技術との非互換性を引き起こすと考えられています。インターネットコンピューターは、EUサブネットのリリースによってその課題に取り組み、GDPRに準拠したアプリケーションを可能にします。

著作者: Angela Harp

2018年5月18日に一般データ保護規則(GDPR)が施行され、組織は所在地にかかわらず、ヨーロッパ市民の個人データを保護することが求められています。イギリスも同年に同等のデータ保護法を導入しました。GDPRは世界でもっとも厳格な消費者プライバシーとデータセキュリティの法律の一つです。GDPR違反者は制裁や厳しい罰金の対象となり、最高で2000万ユーロまたは世界売上高の4%のいずれか高い方が科されます。しかしながら、これらの法律を遵守することは簡単ではありません。ヨーロッパは、米国のクラウドプロバイダーによって支配されるリモートコンピューティングやデータストレージサービスに大きく依存しています。Synergy Research Groupによると、Amazon Web Services(AWS)、Microsoft、およびGoogleは世界のクラウド市場で合わせて65%のシェアを占めています。

当然ながら、ヨーロッパではデジタル主権とその地域が自らのデータと技術を制御する能力についてますます懸念が広がっています。米国のクラウドプロバイダーはGDPRに対応したウェブサービスやアプリケーションを提供しており、Bring Your Own Key(BYOK)を含む、企業がデータを暗号化し、暗号鍵の制御と管理を保持するための暗号鍵管理システムを提供しています。しかし、このようなGDPRに対応した選択肢があるにもかかわらず、データ保護法の対立が依然として発生する可能性があります。なぜなら、米国の法律は情報機関や法執行機関に広範なデータアクセス権を与えているためです。そしてBYOKプランの場合、一部の企業は暗号鍵をクラウドサービスプロバイダー(CSP)のインフラにアップロードすることがあり、これにより企業は鍵の制御を喪失することになります。

EU テック企業が解決策なのか?

ヨーロッパでデジタル主権を実現するには、ヨーロッパ法の下にあるデジタルインフラの確立が必要です。これにより、その地域が自らのデータと技術を制御できるようになります。Evrocなどのプロジェクトは、スウェーデンにおけるパイロットデータセンターや、米国のテック巨大企業に対抗するヨーロッパの選択肢として位置づけられたクラウドコンピューティング企業Ionosなど、ヨーロッパ初の主権ハイパースケールクラウドの構築に向けて進んでいます。しかし、大規模な構築には、米国の対抗企業に追いつくために、データセンター、サーバー、ストレージシステム、およびネットワーキング機器を含むかなりの量のインフラが必要とされます。これらの新興プロジェクトが資金調達や拡張性、クラウドの有効性に関連する技術へのアクセスなど、潜在的なリソース制約を克服するかどうかはまだ見定める必要があります。さらに、AWSのような米国の巨大企業もEU主権クラウド市場に参入しようとしており、EU内に拠点を設ける計画を進めています。

しかし、結局のところ、それは依然として中央集権的なクラウドコンピューティングであり、個人データは依然としてわずかな大手CSP(クラウドサービスプロバイダー)の管理下に置かれます。ブロックチェーンのような技術は、組織に中央集権的なクラウドの独占に対する選択肢を提供する可能性があります。

ブロックチェーン — 新しい未来

前述した中央集権的な解決策は、共通の弱点を持っています。それは単一の企業によって制御され、その依存関係に関連することです。ブロックチェーン技術は、信頼の不要性を導入することで単一企業への依存を解決するために生み出されました。そして、多くの点でそれははるかに安全なプラットフォームであることが証明されています。たとえば、ビットコインネットワークは一度もハッキングされたことがありません。

しかし、一見すると、ブロックチェーン技術とGDPRは互換性がないように見えます。一般的な認識では、ブロックチェーン上のデータは不変的であり、中央集権の干渉なしに世界中のコンピュータに分散しています。具体的には、プライバシーとGDPRとの間で以下の主要な領域で競合しています:

  • データの訂正権:ブロックチェーンにデータを追加することは簡単ですが(ただし、非常に費用がかかります)、ブロックチェーンの固有の不変的な属性のためにデータを変更することは不可能です。
  • 忘れられる権利:ブロックチェーンから情報を削除することはできません。ブロックチェーンの不変性の同じ問題が、データをチェーンから削除できないという問題を引き起こし、GDPRの遵守が不可能になります。
  • データの企業利用の防止:データが誤っているかまたは違法に収集されている場合、GDPRはこれらのデータの企業利用を防止する権利を提供します。
  • 明確な責任:データの管理者および処理者は誰でしょうか?法律は、データの管理者(データの保管者)がほとんどの法的な遵守に責任を負うべきだと規定していますが、ブロックチェーンインフラはコントロールや責任が一個人や企業にあるわけではない多数の関係者が存在します。

これらの障壁は乗り越えるのが難しいように見えます。ただし、ブロックチェーンの利点を損なうことなく分散性を犠牲にせず、ブロックチェーンとGDPRが調和して共存できるようなハイブリッドブロックチェーンアーキテクチャが可能かもしれません。

The Internet Computer — GDPRに対応したブロックチェーン

ほとんどのブロックチェーンでは、バリデーター(検証者)は世界中のどこからでもネットワークに参加できます。これ自体が、ほとんどのブロックチェーンがGDPRに適したビジネスアプリケーションの対象と考えられない理由の一つです。インターネットコンピューターは大きく異なります。それは相互作用するサブネットブロックチェーンとノードメンバーシップによって形成され、サブネットへの割り当ては分散型自治組織(DAO)によって制御されます。各サブネットは個別に構成でき、新しいシャーディング技術により、サブネットブロックチェーンは独自の状態とデータを持ちながらも、シームレスにお互いと通信できます。このようなインフラストラクチャーにより、インターネットコンピューターDAOは、特定の地理的領域内に存在するノードで構成されたサブネットを形成できます。具体的には、EU地域のサブネットを作成し、ヨーロッパ圏内で稼働するノードマシンを単独でホストできます。

上記の課題に関して、インターネットコンピューターには解決策があります。以下は、EUサブネットがブロックチェーンとGDPRの互換性の痛点を解決する方法です:

  • データの訂正権:従来のブロックチェーンではステート(状態)が公開されていますが、インターネットコンピューターはブロックチェーンの全履歴を保存せず、そのステートは公開されません。現在のステートのみが保持され、dappsは保存されたデータを完全に制御しています。
  • 忘れられる権利:Dappsはデータを削除および訂正できます。インターネットコンピューター上のスマートコントラクトはカスタマイズ可能であり、そのような機能を可能にしているからです。
  • データの企業利用の防止:Dappsはデータの管理者であり、柔軟なスマートコントラクトソフトウェアを介してアクセス制御をカスタマイズできます。
  • 明確な責任:ネットワークの分散性を維持するために、各ノードプロバイダーはトークン保有者によってNetwork Nervous System(NNS)を介して検証および投票されます。これは、インターネットコンピューターを統治するDAOであり、ネットワークの運用と進化を監視する分散型アルゴリズム権限を有しています。NNSは新しいノードプロバイダーをネットワークに追加する責任があり、また、それらをサブネットに割り当てる際にはコミュニティメンバーの投票に基づいています。

トラスト要素

なぜ従来のCSPよりもEUサブネットとそのノードマシンに個人データを信頼するのでしょうか?そして、ネットワークはEUサブネットのGDPR遵守を維持する信頼性がどのように確保されるのでしょうか?

上記で述べたように、インターネットコンピューターを統治するNNS DAOのメンバーによって各ノードプロバイダーが投票されます。さらに、インターネットコンピューターの技術ロードマップには、GDPRのガイドラインに従ってDapp開発者がユーザーデータのプライバシーとセキュリティを確保できるようにするための新機能が2つ含まれています。

第一に挙げられるのは「Verifiably Encrypted Threshold Key Derivation(vetKeys)」です。これにより、開発者は簡単にエンドツーエンドの暗号化機能をアプリケーションに追加でき、機密データがブロックチェーンエコシステム内で保護されることを確実にします。vetKeysは閾値復号を可能にし、つまり、複数のノードマシンにわたって復号機能が分散され、セキュリティを強化し単一障害点を防ぎます。言い換えれば、一つの実体も完全な復号鍵を保持しておらず、不正アクセスのリスクを軽減します。vetKeysのパブリックデモが最近開発者向けに公開され、インターネットコンピューター上でプライバシーを保護するアプリケーションの最初のベータバージョンをテストおよび構築するための機会が提供されました。暗号化されたファイル共有や医療処方箋を含むデジタルドキュメントのための身元証明システムなど、これらのアプリケーションの探求が既に進行中です。

さらなる取り組みとして、AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) を使用して境界ノード仮想マシン (VM) を保護する機能を導入する計画があります。この機能により、信頼モデルにおいてVMがハイパーバイザから分離され、遠隔またはゲストのattestationが可能となり、これにはゲストVMが実行されている信頼できる実行環境の信頼性(良好な状態)を検証するために使用できる暗号的な手段が含まれます。素人に分かりやすく言うと、これは基本的にEUサブネット内のノードマシン上のすべてのデータが保護されることを意味します。

AMD SEV-SNPは、インターネットコンピューターの近い将来のロードマップにある保留中のアイテムです。その実装は、より安全なインフラストラクチャを確実に作り上げ、インターネットコンピューターをGDPRに対応したアプリケーションとサービスを構築する理想的な選択肢にするために重要です。EU特有の境界ノードをEUサブネットに割り当てるための追加の手段は、さらなるセキュリティレイヤーを提供する可能性があります。

デジタル主権の実現

vetKeysがアプリケーションレベルでのデータ暗号化を提供し、AMD SEV-SNPがプロトコルレベルでのデータ保護を提供することで、EUサブネットは改ざん防止になります。これにより、企業は他のブロックチェーンでは考えられないようなアプリケーションを開発できるだけでなく、企業やエンドユーザーはインターネットコンピューターのプライバシー保護機能と分散化の双方の利点を享受でき、同時にEUの規制範囲内にとどまることができます。最初のヨーロッパのサブネットは、スイス、ドイツ、フランス、ベルギー、スウェーデンを含むヨーロッパ諸国のノードマシンが新たに実装されました。

これは、開発者や組織が今日から絶対的なデジタル主権を持ちつつ、分散型でGDPRに対応したサービスやアプリケーションを構築し、展開するための強固な基盤を提供しています。EUサブネットは、GDPRに準拠した分散型の健康管理や学生記録システム、データ漏洩や不正アクセスを緩和するためのプライバシー強化対策を施した分散型ファイナンス(DeFi)やeコマースアプリケーション、セキュアな文書共有のための多主体の起源ワークフローなど、様々な産業での利用ケースの可能性を開きます。

セルフカストディに向けて

GDPRコンプライアンスを達成するためにブロックチェーン技術を使用することは、データ保護規制とブロックチェーンが提供する利点の間でバランスを取るために、規制当局、技術者、法律の専門家たちの密接な連携が求められる、継続的な探索と研究の分野です。しかし、おそらく本当の問題は、現在ユーザーが自分のデータをコントロールしていないという基本的な事実ですが、その代わりにほとんどが米国のクラウドプロバイダーに管理を委任していることです。ますます多くのプライベートデータが電子的に保存される世界では、このデータを保管する企業は、場所に関係なく信頼され、その保護に対して責任を負う必要があります。GDPRは素晴らしい第一歩であり、ユーザーコンセントの取得に厳格な規制を設けています。ただし、それでも企業をユーザーデータの「管理者」として維持しています(所有者でなくても)。

問題は、我々ユーザーがデジタル主権に対して準備ができているかどうかです。自分自身の個人データを完全に制御することは重大な責任を伴います。疑いの余地はありません、資産や個人情報の自己保持への推進は、主要なマインドセットの変革を伴いますが、その採用をサポートする技術は既に存在しています。例えば、Zero Knowledge Proof(ZKP)技術は、個人に関する何かを証明する一方で個人データを明らかにしないようにするものです。

インターネットコンピュータに関しては、既にInternet Identity(II)が搭載されています。これは、WebAuthnやFIDOなどのパブリックスタンダードとチェーンキー暗号を組み合わせた認証システムで、ユーザーは機密情報を明かさずに自身に関する何かを証明できます。この強力な機能は、デジタル主権がユーザーがデータを完全に所有することを意味するWeb3のビジョンを具現化しています。最終的には、インターネットコンピュータはユーザーの制御、分散化、細かいDappの透明性と更新可能性をサポートし、これらはすべて、ブロックチェーン技術上で将来のGDPRに準拠した環境を構築するための不可欠な基盤です。

Internet Computerの詳細はこちら: internetcomputer.org

Internet Computer の 公式 Twitter: @dfinity

Internet Computer の 公認 日本語翻訳 Twitter: @ICP_JPCM

Dfinity
The Internet Computer
Blokchain
Column

--

--

DFINITY 公認翻訳|日本語版
DFINITY 公認翻訳|日本語版

Published in DFINITY 公認翻訳|日本語版

4 Followers
Last published Jan 23, 2024

DFINITY Foundation Community Grant によって支援されている公認翻訳のアカウントです。DFINITY Foundation が発信する情報を翻訳し皆様へお届けします。

Yuta KW
Yuta KW

Written by Yuta KW

24 Followers
23 Following

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams