電子投票
出典: フリー百科事典『ウィキペディア(Wikipedia)』
電子投票(でんしとうひょう)とは、票を入れる行為を電子化した投票(方式)のこと、あるいはそのような投票を行うことをいう。投票所における投票で電子機器を用いて行う投票のほか、インターネットなどのネットワークを介しての投票などが含まれる。
目次 |
[編集] 概説
電子投票として理解される投票方法は広く、いくつかの種類に分類することが可能である。これには、
- 投票所でマークシートやパンチカードを用いて投票する方法(集計における電子投票)
- 投票所で電子機器の「タッチパネル」や「押しボタン」を押して投票する方法(投票行為に関する電子投票)
- インターネットを用いて遠隔地から投票する方法(ネットワークを利用する電子投票)
などがある。
また、投票がなされる対象に着目して、公職に関わる選挙、株主総会など法律に沿った決議、私的団体における内部規律方法としての決議、その他のアンケートなど、の別が可能である。それぞれ、記名投票であるかどうか、投票者が限定されているかどうか、などに違いが見られる。
現在、日本の公職選挙で用いられることがある電子投票は、上記の投票行為における電子投票だけであり、条例を定めた地方選挙において採用されている例がある。これを規律する関連法規は、いわゆる電子投票法(地方公共団体の議会の議員及び長の選挙に係る電磁的記録式投票機を用いて行う投票方法等の特例に関する法律)である。
日本における株主総会における議決権の行使については、2002年の商法改正により、インターネットを利用した投票が可能となっている。
以下では、公職選挙での、投票行為に関する電子投票について説明する。
[編集] 利点と欠点
安全性以外の利点と欠点とを述べる。安全性については後述の「物理的な投票との安全性比較」を参照。
[編集] 利点
- 開票が迅速化し、選挙結果を迅速かつ正確に知ることができる
- 疑問票や無効票がなくなり、有権者の意思が正確に反映される
- 自書が困難な選挙人の投票が容易になるなど、バリアフリーへの配慮ができる
- 開票所の職員数や人件費の削減につながる
- 投票用紙など、紙資源の消費を減らせる
[編集] 欠点
- レンタル費用、導入コストなどが紙の投票に比べ高額
- 機器の安定性に不安がある
- 多数の候補者がいる場合、一画面に表示できず、有利、不利が生じる。
[編集] 安全性
ここでは暗号理論における安全性について書く。
[編集] 安全性の定義
2つの要件満たす事が数学的に保証されているとき、電子投票方式は安全であるという:
- (Anonymity) どの投票者が誰に投票したのかは誰にも分からない。
- (Public Verifiability) 投票結果が正しく集計された事が、集計後いつでも誰でも確認できる。
さらに加えて次の性質が要求される事もある:
- (Reciept Freeness) 自分がどの候補に投票したのかを投票後他人に証明する事はできない。
- 投票者が棄権したのかそれとも投票したのかは投票者当人以外には誰にも分からない。
Reciept Freenessから、他人が自分の投票内容を強制する事はできない、という性質が従う。(たとえ強制したとしても、本当に強制された通りに投票したのかを確認する方法がないから)。ただし投票時に監視すれば投票内容を強制する事ができる。
「電子投票では棄権したのかどうかを隠す事はできない」、「電子投票では不在者投票が難しい」と解説したものがあるがこれは誤りである。すでにそのような方法は複数提案されている。
[編集] 安全な方式
2006年現在、安全性が数学的に証明されいる方式は以下の2種類の方式とその亜種しかない。
- ミックスネット方式
- 準同型暗号を用いた方式
(ブラインド署名を用いても電子投票を実現できるが、この方式の場合匿名通信路を使って通信を行わなければ安全ではない。 また投票者全員でマルチパーティ計算を行う事でも原理的には電子投票を実現できるが、この方式は投票者の人数が多い場合には非現実的な計算を必要とする上、そもそも投票者全員で通信するのは現実的ではないのでここでは省略する)。
他の多くの方式は、一見安全そうに見えても、数学的に安全性が保証されている分けではない。 現在各地で行われている電子投票方式はミックスネット方式でも準同型暗号を用いた方式なく、数学的安全性が保証されていない。
[編集] 安全でない方式の特徴
上述の2つ以外の方式では、次のような安全性上の問題があるものが多い:
- 一人の権限者を絶対的に信頼している。権限者が不正をしたり権限者のマシンがウィルスに侵されたりした場合には安全でなくなる。
- 結託耐性がない。すなわち、複数人の権限者を仮定しているものの、権限者達のうち数人が結託した場合には安全でなくなる。
- プログラムの詳細を秘匿する事で初めて安全性が保証される。プログラムの仕様が漏洩した場合には安全ではなくなる。(つまりKerkhoffの原則を満足していない。「仕様が公開されていても安全であるべし」という、近代的セキュリティ研究の最低限の要件を満たしていない)。逆コンパイルされる事を考慮していない。
- 中のデータを読む事ができない特殊な装置(耐タンパー装置)の存在を仮定して、初めて安全性が保証される。
[編集] 安全性の限界
前述のミックスネット方式や準同型暗号を用いた方式であっても、次の場合には安全ではなくなる。
- 全ての権限者が結託した場合。(全ての権限者のマシンがクラックされた場合も同様)。
- 遠い将来コンピュータの性能が向上して、暗号が解かれた場合。
全ての権限者が結託したとしても安全な方式を作るのは原理的に不可能である。物理的な投票の場合も同様で、全ての集計人と全ての監視者が結託すれば容易に投票結果を偽る事ができる。
加えて、上述の「安全性」は犯罪に対する安全性であって、災害に対する安全性ではない。パソコンのクラッシュや紛失によるデータの消失は別途対策を立てて防ぐ必要がある。
[編集] 方式の詳細
[編集] ミックスネット
ミックスネットではミキサーと呼ばれる権限者が複数存在する。 ミキサー達は投票の匿名性を保証する役割りを担っている。
各投票者は自分の投票内容を暗号化して第一のミキサーに暗号文を送信する。 なりすましをふせぐ為、各投票者は暗号文に対する署名をも送信する。
第一のミキサーは署名文の正当性をチェックし、暗号文だけを切り取る。 以後各ミキサーが順に各投票者の暗号化された投票文を並べ替える。 この際ミキサーは同時に、暗号文を別の形に変形(再暗号化)する事で並べ替えを行う前と後との対応を隠し、 しかも同時に、暗号文を部分的に復号(部分復号)する。 この一連の操作(並べ替え・再暗号化・部分復号)をミックスという。 各ミキサーは自分がどのようにミックスしたのを秘密にする。
全てのミキサーがミックスを終えると、暗号文が完全に復号され、投票内容が読めるようになる。 これらの投票内容を集計し、集計結果を公表する。
ミックスを行う事で最初に投票された暗号文と最後に出力される投票内容との対応づけが できなくなるので、投票の匿名性が保証される。
ただし全てのミキサーが結託した場合は例外で、ミキサー達は自分達がどのようにミックスしたのかを 教えあう事で、誰が誰に投票したのかを知る事ができてしまう。
しかし上に説明した方法だけでは投票結果の正しさを保証できない。 各ミキサーには、入力された(暗号化された)投票文を捨てて別の(暗号化された)投票文を挿入する事が 可能だからである。
そこで次にミックスネットではいかにして投票結果の正しさを保証しているのかを説明する。 投票結果の正しさを保証する為、ミックスネットでは各ミキサーには、ミックスの操作の他に、 (ミックスの正当性を保証する)ゼロ知識証明文というものを出力する事が要求されている。
ゼロ知識証明文とは次の一見相反する性質を満たすものである:
- ゼロ知識証明文を見る(検証する)事で、ミキサーが正しくミックスした事を誰でも確認できる。
- ゼロ知識証明文からは、どのようにミックスしたのかに関する情報は漏れない。
ゼロ知識証明文を検証する事でミックスの正当性を誰でも検証できるので、 ミキサーは投票結果を偽る事ができない。 よって投票の正当性が保証される。
なお、匿名性の場合とは異なり、全てのミキサーが結託したとしても投票の正当性が保証される。
[編集] 準同型暗号を用いた方式
(加法)準同型暗号とは、整数aの暗号文と整数bの暗号文とから、(a,bを知らなくとも)、 整数a+bの暗号文を作成できる暗号方式の事である。
話を簡単にする為、信任投票を例にとって電子投票方式を説明する。 この電子投票方式でも権限者が複数人いる。
各投票者は、候補者を信任するなら1の暗号文を、そうでなければ0の暗号文を計算し、 暗号文と暗号文に対する署名文とを第一の権限者に送信する。
投票者達の暗号文をE(a), E(b),...,E(z)とする。 第一の権限者は署名文を検証した後、全ての暗号文を「足し合わせ」、 暗号文E(a+...+z)を計算する。 a+...+zが信任した投票者の人数である事に注意されたい。
以後各権限者が順にE(a+...+z)を部分復号する。 この際、部分復号の正当性を保証するゼロ知識証明文をも計算し、 ゼロ知識証明文を公開する。
全ての権限者が部分復号を終えると、E(a+...+z)が完全に復号され、 a+...+zが復元される。
[編集] 物理的な投票との安全性比較
- 電子投票固有の利点
- Public Verifiabilityを満たしている。すなわち、投票結果が正しく集計された事が、集計後いつでも誰でも確認できる。(物理的な投票の場合は、「集計者が全員結託して票をごまかしたかも知れない」という不安を拭いさる事はできない)。
- 棄権したかどうかが誰にも分からない。(物理的な投票の場合は、投票所に入場する際自分が誰であるのかを申請するので、棄権したかどうかが分かる)。
- 安全性が数学的に定式化されている為、安全性を評価しやすい。
- 電子投票固有の欠点
- 遠い将来コンピュータの性能が向上した場合、暗号が解かれてしまうかも知れない。
- 全ての権限者のマシンがクラックされると安全ではない。(一台でもクラックされていないマシンがあれば安全性を保証できる)。
- 投票通りの動作がされているかの確認方法がない(ブラックボックスである)。注:「検証アルゴリズム」と呼ばれているもののソースコードを公開すれば、コンピュータの知識がある人には確認できる。検証アルゴリズムのソースコードだけを公開すればよく、他のアルゴリズムのソースコードは公開する必要は無い。
- 物理的な投票固有の欠点
- 投票用紙保管中に投票用紙を盗み見られるかも知れない。(法律により投票用紙を何年も保管しておかねばならない)。電子投票の場合は暗号化されているのでこの問題は生じない。
- 一部の権限者(集計人)が何らかの不正をするかも知れない。
- 誰が誰に投票したのかを知る為に、集計者が投票用紙にこっそりしるしをつけるかも知れない。
- 集計人が監視者の目を盗んで投票箱に投票用紙をこっそり加えたり抜いたりするかもしれない。
- 集計人一人と監視者全員が結託すれば、投票箱に投票用紙をこっそり加えたり抜いたりできる。
- 物理的な投票と電子投票の両方に共通した欠点
- 全ての権限者が結託すると誰が誰に投票したのか分かる。
- 不慮の事故により投票内容が消失するかも知れない。
自宅からの投票を許可した場合には、物理的な投票であれ電子投票であれ、加えて次の問題が生じる:
-
- 誰かが投票者を脅して投票内容を強制するかもしれない。自宅からの投票だと誰も投票者を監視していないので、強制を防げない。
[編集] 日本の公職選挙における電子投票に関する経緯
- 2002年2月1日:電磁記録投票法(条例を定めた自治体で行われる地方選挙に限定)施行
- 2002年6月23日:岡山県新見市長・市議選において、全国初の電子投票の実施
- 2002年2月2日:広島県市長選(安芸区のみ)において電子投票を実施(2例目)
- 2003年4月27日:宮城県白石市議選において電子投票を実施(3例目)
- 2003年7月6日:福井県鯖江市議選において電子投票を実施(4例目)
- 2003年7月20日:岐阜県可児市議選において電子投票時を実施(5例目)(機器のトラブル発生→後に裁判所より選挙無効の判決)
- 2003年8月3日:福島県大玉村議選において電子投票を実施(6例目)
- 2003年11月9日:神奈川県海老名市長・市議選において電子投票を実施(7例目)(機器のトラブル発生)
- 2004年1月18日:青森県六戸町議選において電子投票を実施(8例目)
- 2004年2月8日:京都府京都市長選(東山区)において電子投票を実施(9例目)
- 2004年7月11日:総務省が白石市と京都市(東山区)において電子投票による参院選模擬投票を実施
- 2004年9月2日:福井県鯖江市がコストを理由に電子投票条例を廃止(条例の廃止は全国初)
- 2004年10月24日:岡山県知事選(新見市のみ)において電子投票を実施(10例目、新見市としては2回目)(知事選での実施は全国初)
- 2004年10月31日:白石市長選において電子投票を実施(11例目、白石市としては2回目)(機器のトラブル発生)
- 2004年11月28日:三重県四日市市長選・市議補選において電子投票を実施(12例目)(有権者数は22万人を超え過去最大)
- 2005年3月31日:新・新見市が発足したが、旧新見市の電子投票条例は引き継がれず、消滅。これに伴い、岡山県の電子投票条例も廃止された。
- 2005年6月12日:青森県六戸町長選において電子投票を実施(13例目)
- 2006年3月28日:広島市安芸区の電子投票条例を財政難を理由にわずか2年で廃止を決定した。
