LIVE ADA-- MCAP-- TVL-- STAKE-- EPOCH--
SIPO
HOMEDeep Dive › 📡Deep Dive|有権者名簿2.2億人分は、なぜ「買えて」しまうのか
Deep Dive

📡Deep Dive|有権者名簿2.2億人分は、なぜ「買えて」しまうのか

2026-07-17SIPO

米国で、有権者データをめぐる開示が政治の中心に来ています。ホワイトハウスは、中国が2億2000万人分の米有権者ファイルを不正に取得したと発表しました。ただし、この件を追いかけていくと、事件そのものよりも設計の問題に行き着きます。有権者名簿は、そもそも公開されるように作られている——だから、買えてしまうのです。そして解決策として提示されているのは「もっと多くの個人情報を提示させる」方向でした。ちょうど同じ問いに、Midnight が反対側から答えようとしています。SPO の視点から、この二つの設計思想を並べて整理します。

買えるものを、盗まれたと呼べるか

まず、公表された数字を並べます。ホワイトハウスは、2020年の選挙サイクル以降に中国が史上最大規模の選挙データ侵害を行い、2億2000万人分の有権者ファイルを不正に取得したとしました。氏名・住所・電話番号・支持政党といった、有権者登録に必要な情報が揃う組み合わせです。

ところが、同時に公開された透明性報告は、中国がアクセスしたのは18州の有権者名簿データだと記しています。さらに、その根拠となった情報が述べているのは、中国が7州から2020年の有権者データを購入したという内容で、これは完全に合法な取得だったと報じられています。

2億2000万、18州、7州。数字の規模が違うだけではありません。行為の性質が違います。「盗まれた」と「買われた」は、別の出来事です。

そして、ここが本題です。米国の多くの州は、有権者データのうち公開情報にあたる部分を、公然と、特に問題視されることもなく販売しています。自由にダウンロードできる州もあります。つまり、外国が大量の有権者データを保有している状態は、それ自体では違法性を意味しません。名簿は、公開されるように設計されているからです。

黒塗りが残したもの

公開された文書には黒塗りが多く残りました。安全保障の法律・政策を扱う Just Security の分析は、文書の限界をこう指摘しています。

“too heavily redacted to show how the claim involving 220 million voter files was derived, how the data was obtained, how much came from protected election systems rather than public or commercial sources, or what China ultimately did with it”

2億2000万という数字がどう算出されたのか。データがどう取得されたのか。そのうちどれだけが公開・商用ソースではなく、保護された選挙システム由来なのか。中国が最終的にそれを何に使ったのか。いずれも文書からは分かりません。同分析は、今回の公開資料には新しい統合的な情報評価が含まれていないとも述べています。

一方、情報機関はこれまで、高い確度で北京は選挙結果に影響を与えようとしておらず、集計システムを含む選挙インフラへの干渉も行わなかったと結論しています。2021年の情報コミュニティ評価は、有権者登録・投票・集計・結果報告を変更しようとした外国主体の兆候はない、としていました。

票は動いていない。しかし名簿は流通している。この二つが同時に成り立つのが、いまの状態です。

「もっと出せ」という解法

この状況に対して政権が求めているのが、SAVE America Act です。連邦選挙での有権者登録に市民権の証明書類を、投票に写真付き身分証を義務づける法案で、下院は2月11日に218対213で可決しましたが、上院では60票に届いていません。

ここで、設計の問題がはっきりします。名簿から個人情報が流出したことへの対策が、個人にさらに多くの書類を提示させることだからです。

資格を確かめるために、原本を出す。出された原本は、どこかに記録される。記録は名簿になる。名簿は、また流通しうる。同じ構造が一段深くなるだけで、抜ける経路は塞がりません。票を1票も動かさずに選挙へ関与する経路——なりすまし登録や、支持政党の分かる名簿を使った標的型の働きかけ——は、名簿がある限り残ります。

原本を渡さずに、資格を示す

まったく逆側から同じ問いに取り組んでいるのが、Cardano のパートナーチェーンである Midnight です。公式サイトは、想定するユースケースの一つをこう書いています。

“Prove accreditation status, eligibility or identity without resubmitting personal documents for each interaction.”

認定状況・資格・身元を、やり取りのたびに個人書類を再提出することなく証明する。SAVE America Act が求めているものと、正面から対になる文です。片方は「毎回、書類を出させる」。もう片方は「書類を出さずに、資格の真偽だけを渡す」。

この考え方を、Midnight は次のように説明しています。

“Protect all user data and disclose only what’s necessary, when it is necessary. Enabled using ZK technology.”

すべてのユーザーデータを保護し、必要なものを、必要なときにだけ開示する。ゼロ知識証明を使って実現する、としています。開発者向けドキュメントでも、共有されるのは利用者が開示すると選んだ情報だけであり(”Share only the information users choose to disclose”)、機微なデータを明かすことなく正しさを検証する(”Verify correctness without revealing sensitive data”)と記載されています。

選択的開示(selective disclosure)と呼ばれる考え方です。「18歳以上か」を確かめるために生年月日を渡す必要はなく、「18歳以上である」という真偽だけを検証可能な形で渡せばよい。原本は手元に残ります。

名簿を守るのか、名簿を要らなくするのか

ここまで来ると、二つの設計思想の違いが見えてきます。

一方は名簿型です。資格を判定するために、属性の原本を集中的に集めて管理します。判定は正確にできますが、集めた時点で守るべきものが生まれ、公開性を要求される制度なら、それは買えるものになります。守り続けるコストは、永久に発生します。

もう一方は証明型です。資格の真偽だけを検証し、原本は渡しません。守るべきものが、そもそも中央に積み上がりません。

今回の一件が可視化したのは、名簿型の限界です。2億2000万人分が流出したことより、その大半が合法に取得できたことのほうが重い。守りを固めても、設計上「公開される」ものは公開されます。

Midnight のコミュニティ調査には、これと響き合う結果が出ていました。データのマネタイズに関心を持つ回答者の27%が、同時にシールドされた取引も求めていたというものです。プライバシーは、活用を妨げる制約ではなく、活用の前提条件だという読み方が示されています。名簿を守るか要らなくするかという問いは、選挙に限った話ではありません。

まだ実装されていないもの

ここは正確に書いておく必要があります。

Midnight は選挙システムを作っていません。今回の件に対する解決策として、何かを提示したわけでもありません。ZK による身元証明も、まだ実験と構築の段階にあります。Catalyst の提案には、開発者がアプリに「Verify with Midnight」を追加できるオープンソースの Identity SDK として Midnight Shield が挙がっており、ZK を使ったプライバシー保護型の電子投票の試作も提案として存在しますが、いずれも実運用の実績を語れる段階ではありません。

選択的開示の具体的な実装メカニズムについても、公式ドキュメントのトップページでは詳述されていません。「できると書いてある」ことと「動いている」ことの間には、まだ距離があります。

ですから本稿は、ZK なら選挙が守れる、という話ではありません。そうではなく、公共インフラの設計思想がいま二つに割れていて、その片側を実装しようとしているチェーンが Cardano のエコシステムにある、という位置関係の話です。

SPO 視点——公共財としてのプライバシー設計

SPO や DRep としてこの件を見るとき、注目したいのは技術の優劣ではありません。制度が「どちらの前提で作られるか」が、これから何年も効いてくるという点です。

選挙、社会保障、金融の本人確認。いずれも「資格の確認」が必要な公共の仕組みで、そのほとんどが名簿型で作られてきました。名簿型は、作りやすく、監査しやすく、そして漏れます。漏れたあとの対策が「もっと出させる」になりやすいのも、今回見たとおりです。

証明型が公共インフラの選択肢に入るには、実装の実績と、監査可能性と、規制当局が納得する説明が要ります。Midnight がプログラム可能なコンプライアンスを掲げているのは、そこを避けて通れないと理解しているからでしょう。プライバシーを守ることと、規制に応えることを、対立させない設計が要求されています。

Cardano がオンチェーンのガバナンスで積み上げてきたのは、検証可能な形で意思決定を運ぶ作法でした。プライバシー設計も同じ土俵にあります。誰が何を見られるのかを、検証可能な形で決められるか。その問いは、いま米国の有権者名簿の上で、はるかに大きなスケールで問われています。

次に見るもの

短期では、機密解除文書の黒塗りが解除され、2億2000万という数字の算出根拠が示されるかどうか。情報機関が大統領の解釈を追認するか、距離を置くか。上院で SAVE America Act の日程が実際に動くか。

長期では、こちらのほうが重要かもしれません。「資格の証明に原本の提出を要求しない」という設計が、実証実験の外に出るのはいつか。Midnight Shield のような Identity SDK が、実際に運用されるアプリで使われ始めるかどうか。

データが外国の手にあることと、選挙が動かされたことは、同じではありません。ただ、名簿がある限り前者は繰り返されます。名簿を守り続けるのか、名簿を要らなくするのか——選ぶ時期に来ているのは、たぶん米国だけではありません。

一次ソース・参照