社内SEは出来ない理由しか言わないという記事をみて心が痛いので、最近よく見る選挙のインターネット投票をできない理由を語ってみよう。
投票制度には二つの要件があります。一つは匿名性。誰が誰に投票したのかは分からない事が求められます。二つ目は信憑性。投票内容が改竄や成り済ましなど不正が行えない事が求められます。インターネット投票の実現が難しい理由は、信憑性と匿名性を両立する良い方法が無いからです。
信憑性を保持するための最も単純な方法は、投票内容に電子署名を付与することです。ですが電子署名は投票者個人に結びついているため、誰が誰に投票したのか明確に記録されてしまいます。匿名性は完全に失われます。
信憑性を保持する為の方法として古くから行われてきた方法に監査ログがあります。データベースへのあらゆる操作を時系列にそって保存したログファイルです。データには誰が投票したのかの記録を残さず、かつ監査ログで改竄を検知すると言うことは出来ます。ですが、全ての操作を保存しているが故に、ログを丁寧に分析すると結局誰が誰に投票したのか分かってしまう可能性が高いです。匿名性は不完全なものになります。
電子署名も監査ログも無し。データ上は誰が投票したのか紐付けないとなると、サーバー管理者は容易に改竄できてしまいます。匿名性を維持できても、信憑性がありません。これでは投票として成立しませんよね。
現状の技術でインターネット投票を成立させるには、投票の匿名性を諦め、記名投票にするしかありません。先行してインターネット投票を実施しているエストニアのシステムも各個人に発行された公開鍵暗号をもちいた電子署名によるもので、匿名性のないものになっています。
よく言われる「拘束して無理矢理投票させる場合があるから」とかは、拘束している時点で刑事罰の対象です。またエストニアのインターネット投票では投票期間中は何度でも変更投票を可能とすることで、強要のリスクを軽減しています。