top of page
  • 執筆者の写真ICP Japan

インターネット・コンピュータ・ブロックチェーン(ICP)はヨーロッパのデジタル主権に向けた第一歩を踏み出す

ブロックチェーンの本質的な不変性と、そこに保存されている公開データにより、GDPR とブロックチェーン技術は両立しないというのが一般的な認識です。Internet Computer は、GDPR 準拠のアプリケーションを可能にする機能である EU サブネットをリリースすることで、この認識に異議を唱えています。


---

2018年5月18日より一般データ保護規則(GDPR)が施行され、所在地に関わらず組織は欧州市民の個人データを保護することが義務付けられています。英国も同年、同等のデータ保護法を制定してこれに追随しました。組織にとって、GDPRは世界で最も厳格な消費者プライバシーおよびデータセキュリティ法の1つです。GDPRに違反すると、制裁措置または厳しい罰金が科せられ、最大で2,000万ユーロまたは世界収益の4%のいずれか高い方の金額が科せられます。ただし、これらの法律を遵守するのはそれほど簡単ではありません。ヨーロッパは、米国のクラウドプロバイダーが独占するリモートコンピューティングおよびデータストレージサービスに大きく依存しています。Synergy Research Groupによると、Amazon Web Services(AWS)、Microsoft、Googleの3社で世界のクラウド市場の65%のシェアを占めています。


当然のことながら、ヨーロッパではデジタル主権と、地域が独自のデータとテクノロジーを管理する能力について懸念が高まっています。米国のクラウド プロバイダーは、企業がデータを暗号化し、暗号化キーの制御と管理を維持できるようにする暗号化キー管理システムである Bring Your Own Key (BYOK) を含む、GDPR 準拠の Web サービスとアプリケーションを許可し、提供しています。このような GDPR 準拠のオプションがあるにもかかわらず、米国の法律では諜報機関と法執行機関にデータにアクセスする広範な権限が与えられているため、データ保護法間の衝突が依然として発生する可能性があります。また、BYOK プランの場合、暗号化キーをクラウド サービス プロバイダー (CSP) インフラストラクチャにアップロードするプランもあり、これにより企業はキーを制御できなくなります。


EUのテクノロジー大手が答えか?

---

欧州でデジタル主権を達成するには、欧州法の管轄下に完全にデジタルインフラを構築し、同地域が自らのデータと技術を管理できるようにする必要がある。スウェーデンの試験的データセンターであるEvrocや、米国のハイテク大手に代わる欧州の選択肢と位置付けられるクラウドコンピューティング企業Ionosなどのプロジェクトは、欧州初の主権ハイパースケールクラウドの構築に向けて進んでいる。しかし、大規模な構築には、米国の同等企業に追いつくために、データセンター、サーバー、ストレージシステム、ネットワーク機器など、かなりの量のインフラが必要になる。これらの新興プロジェクトが、資金や、クラウドの拡張性と有効性を実現するために必要な技術へのアクセスなど、潜在的なリソースの制限を克服できるかどうかはまだ分からない。さらに、AWSなどの米国の大手企業は、EUの主権クラウドゲームに参加しようとしており、EUに店舗を構える計画を立てている


しかし、結局のところ、それは依然として集中型のクラウド コンピューティングであり、個人データは依然として少数の大手 CSP によって管理されることになります。ブロックチェーンのようなテクノロジーは、組織に集中型のクラウド独占に代わる選択肢を提供する可能性があります。


ブロックチェーン — 有望な代替手段

---

上で述べた集中型ソリューションにはすべて、1 つの大きな弱点があります。つまり、単一の当事者によって制御され、その依存性に関連する欠点があるということです。ブロックチェーン技術は、信頼性のなさを導入することで、単一の当事者への依存を解決するために発明されました。そして、多くの点で、はるかに安全なプラットフォームであることが証明されています。考えてみてください。ビットコイン ネットワークは、これまで一度もハッキングされたことがありません。


しかし、一見すると、ブロックチェーン技術と GDPR は互換性がないように見えます。ブロックチェーン上のデータは不変であり、中央集権的な権限なく世界中のコンピューターに分散されているというのが一般的な認識です。具体的には、次の主要な領域でプライバシーと GDPR に矛盾します。


  • データを修正する権利: ブロックチェーンにデータを追加するのは簡単ですが、多くの場合非常にコストがかかります。また、ブロックチェーンの固有の不変性により、データを変更することは不可能になります。

  • 忘れられる権利: ブロックチェーンは何も忘れません。ブロックチェーンの不変性と同じ問題により、チェーンからデータを削除できないという問題が発生し、GDPR への準拠が不可能になります。

  • 企業によるデータの使用の防止: データが間違っているか違法に収集された場合、GDPR により企業によるこのデータの使用を防止できます。

  • 明確な責任:データ管理者と処理者は誰ですか? 法律では、データ管理者 (データの保管者) がほとんどの法令遵守の責任を負うと規定されていますが、ブロックチェーン インフラストラクチャには多数の利害関係者がおり、1 つのエンティティが管理したり責任を負ったりすることはありません。


これらのハードルは、乗り越えるには高すぎるように思えます。しかし、分散化を犠牲にすることなく許可型ブロックチェーンの利点を維持するハイブリッド ブロックチェーン アーキテクチャにより、ブロックチェーンと GDPR が調和して共存できるようになります。


インターネットコンピュータ — GDPR 対応ブロックチェーン

---

ほとんどのブロックチェーンでは、バリデーターは世界中のどこからでもネットワークに参加できます。これ自体が、ほとんどのブロックチェーンが GDPR 準拠のビジネス アプリケーションの対象にならないことを妨げています。インターネット コンピュータは大きく異なります。サブネット ブロックチェーンとノード メンバーシップの相互作用によって形成され、サブネットへの割り当ては分散型自律組織 (DAO) によって制御されます。各サブネットは個別に構成でき、新しいシャーディング技術により、サブネット ブロックチェーンは独自の状態とデータを持ちながら、互いにシームレスに通信することができます。このようなインフラストラクチャにより、インターネット コンピュータ DAO は、1 つの地理的領域内にあるノードでサブネットを形成できます。特に、ヨーロッパの土壌でのみ実行されるノード マシンをホストする EU 地域サブネットを作成できます。


そして、上記のハードルのリストに関しては、インターネット コンピュータは高くジャンプすることができます。EU サブネットがブロックチェーンと GDPR の互換性の問題点を次のように解決します。


  • データを修正する権利: 従来のブロックチェーンでは状態が公開されていますが、インターネット コンピューターはブロックチェーンの全履歴を保存せず、その状態は公開されません。現在の状態のみが保持され、dapps は保存されたデータを完全に制御します。

  • 忘れられる権利: インターネット コンピューター上のスマート コントラクトはカスタマイズ可能で、そのような機能を許可しているため、Dapps はデータを削除および修正できます。

  • 企業によるデータの使用を防止: Dapps はデータ コントローラーであり、柔軟なスマート コントラクト ソフトウェアを介してアクセス制御をカスタマイズできます。

  • 明確な責任:ネットワークの分散化を維持するために、各ノード プロバイダーは、インターネット コンピューターを管理する DAO であるNetwork Nervous System (NNS)を介してトークン所有者によって検証され、投票されます。NNS は、ネットワークの運用と進化を監視する分散アルゴリズム機関です。新しいノード プロバイダーをネットワークに受け入れるだけでなく、コミュニティ メンバーの投票に基づいてサブネットに割り当てる責任があります。


信頼の要素

---

では、従来の CSP ではなく、EU サブネットとその個人データを保管するノード マシンを信頼するのはなぜでしょうか。また、EU サブネットの GDPR コンプライアンスを維持するためにネットワークを信頼するにはどうすればよいでしょうか。


前述のように、各ノードプロバイダーは、インターネット コンピュータを管理する NNS DAO のメンバーによって投票で選出されます。さらに、インターネット コンピュータの技術ロードマップには、dapp 開発者が GDPR のガイドラインに従ってユーザー データのプライバシーとセキュリティを確保できるようにする 2 つの新機能が含まれています。


1 つ目は、検証可能に暗号化されたしきい値キー導出 (vetKeys)です。これにより、開発者はエンドツーエンドの暗号化機能をアプリケーションに簡単に追加でき、機密データがブロックチェーン エコシステム内で保護されたままになります。vetKeys はしきい値復号化を可能にします。つまり、復号化機能はサブネット内の複数のノード マシンに分散され、セキュリティが強化され、単一障害点が防止されます。言い換えると、完全な復号化キーを 1 つのエンティティが保持することはないため、不正アクセスのリスクが軽減されます。vetKeys のパブリック デモが最近リリースされ、開発者はインターネット コンピューター上でプライバシー保護アプリケーションの最初のベータ バージョンをテストおよび構築できます。暗号化されたファイル共有や、医療処方箋を含むデジタル文書の個人証明システムなどのアプリケーションは、すでに検討されています。


さらなる取り組みとして、AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP)を使用して境界ノード仮想マシン (VM) を保護する機能を導入します。この機能は、信頼モデルで VM をハイパーバイザーから分離し、ゲスト VM が実行されている信頼された実行環境の信頼性 (良好な状態) を検証するために使用できる暗号化手段を含むリモートまたはゲスト認証を可能にします。簡単に言えば、これは基本的に、EU サブネット内のノード マシン上のすべてのデータが保護されることを意味します。


AMD SEV-SNP は、近い将来のインターネット コンピュータ ロードマップで保留中の項目です。その実装は、インターネット コンピュータが GDPR 準拠のアプリケーションとサービスの構築に最適な選択肢となる、さらに安全なインフラストラクチャにとって重要です。EU 固有の境界ノードを EU サブネットに割り当てる追加措置により、さらに別のセキュリティ レイヤーを提供できる可能性があります。


デジタル主権の実現

---

vetKeys はアプリケーション レベルでデータ暗号化を提供し、AMD SEV-SNP はプロトコル レベルでデータ保護を提供するため、EU サブネットは改ざん不可能になります。これにより、企業は他のブロックチェーンでは考えられないようなアプリケーションを開発できる可能性が広がるだけでなく、企業とエンド ユーザーは、EU 規制の範囲内で、インターネット コンピューターのプライバシー保護機能と分散化の両方のメリットを享受できます。最初のヨーロッパ サブネットは、スイス、ドイツ、フランス、ベルギー、スウェーデンを含むヨーロッパ諸国のノード マシンのみで新たに実装されました。



これにより、開発者や組織がヨーロッパで絶対的なデジタル主権を持ち、GDPR に準拠した分散型サービスやアプリケーションの構築と展開を今日から開始するための強力な基盤が築かれます。EU サブネットは、GDPR に準拠した分散型医療または学生記録システム、データ侵害や不正アクセスを軽減するためのプライバシー対策を強化した分散型金融 (DeFi) または電子商取引アプリケーション、安全なドキュメント共有のためのマルチエンティティの来歴ワークフローなどのアプリケーションを使用して、さまざまな業界でのユースケースの可能性を開きます。


自己管理に向けての取り組み

---

ブロックチェーン技術を使用して GDPR に準拠することは、データ保護規制とブロックチェーンが提供するメリットのバランスをとるために、規制当局、技術者、法律専門家の緊密な協力を必要とする、現在進行中の調査および研究分野です。しかし、おそらく本当の問題は、ユーザーが現在自分のデータを管理しておらず、主に米国を拠点とするクラウド プロバイダーに管理を委任しているという根本的な事実です。ますます多くの個人データが電子的に保存される世界では、場所に関係なく、このデータを保存している企業は信頼され、データを保護する責任を負う必要があります。GDPR は、データの使用に対するユーザーの同意を得るための厳格な規制を定めているため、素晴らしい第一歩です。ただし、企業は、所有者ではないとしても、ユーザー データの「管理者」のままです。


問題は、ユーザーとして私たちはデジタル主権の準備ができているかどうかです。自分の個人データを完全に管理するには、重大な責任が伴います。資産と個人情報を自分で管理するという方向に進むには、間違いなく大きな考え方の転換が必要ですが、導入をサポートするテクノロジーはすでに存在しています。たとえば、ゼロ知識証明 (ZKP) テクノロジーは、個人データを明かすことなく、個人に関する何かを証明できるようにします。


インターネット コンピュータについては、すでにインターネット アイデンティティ (II) が搭載されています。これは、WebAuthn や FIDO などの公開標準とチェーン キー暗号化を組み合わせた認証システムで、ユーザーは機密情報を公開せずに自分自身について何かを証明できます。この強力な機能は、デジタル主権によってユーザーが自分のデータの完全な所有権を持つという Web3 ビジョンを体現しています。最終的に、インターネット コンピュータは、ユーザー コントロール、分散化、きめ細かい dapp の透明性、更新可能性をサポートします。これらはすべて、ブロックチェーン テクノロジーで将来の GDPR 準拠の環境を構築するための不可欠な構成要素です。


参考文献:

新しい EU サブネット上に構築:


閲覧数:13回0件のコメント

Комментарии


bottom of page