アメリカ連邦選挙支援委員会(Election Assistance Committee)から、電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)のバージョン2.0案が公開され、昨年2月から5月までのパブリックコメントの期間をへて、今後、正式に採択されるとみられる。
VVSG 2.0は、これまでのVVSGとは異なり、「VVSG 2.0原則及びガイドライン(VVSG 2.0 Principles and Guidelines)」、「射程と構造(Scope and Structure)」、「憲章(Charter)」、「VVSGの将来の到達目標ホワイトペーパー(Future VVSG Development Goals & White Paper)」という4種類に分割されているのが特色である。
「VVSG 2.0原則及びガイドライン」は従来のVVSGの本体に当たる部分であるが、VVSGが分割されたために、従来のVVSGよりも大幅に分量が小さくなっている。
「憲章」は、VVSGの目的や用語の定義、プロジェクトの参加者、タイムラインなどを定めており、VVSGのプロジェクトの基本的な事項を確認するものとなっている。
「射程と構造」は、VVSG 2.0において何を規定するかの範囲を定めると共に、VVSG 2.0の具体的なユースケースや選挙マネジメントシステムにおける役割について規定している。
「VVSGの将来の到達目標ホワイトペーパー」は、VVSGの到達目標について規定するものである。
今回は、「VVSG 2.0原則及びガイドライン」の仮訳を掲載しておく。なお仮訳であるので、訳文の誤りや文言の不統一がありえることをお断りしておく。
任意投票システムガイドライン2.0
VVSG 2.0は、これまでのVVSGとは異なり、「VVSG 2.0原則及びガイドライン(VVSG 2.0 Principles and Guidelines)」、「射程と構造(Scope and Structure)」、「憲章(Charter)」、「VVSGの将来の到達目標ホワイトペーパー(Future VVSG Development Goals & White Paper)」という4種類に分割されているのが特色である。
「VVSG 2.0原則及びガイドライン」は従来のVVSGの本体に当たる部分であるが、VVSGが分割されたために、従来のVVSGよりも大幅に分量が小さくなっている。
「憲章」は、VVSGの目的や用語の定義、プロジェクトの参加者、タイムラインなどを定めており、VVSGのプロジェクトの基本的な事項を確認するものとなっている。
「射程と構造」は、VVSG 2.0において何を規定するかの範囲を定めると共に、VVSG 2.0の具体的なユースケースや選挙マネジメントシステムにおける役割について規定している。
「VVSGの将来の到達目標ホワイトペーパー」は、VVSGの到達目標について規定するものである。
今回は、「VVSG 2.0原則及びガイドライン」の仮訳を掲載しておく。なお仮訳であるので、訳文の誤りや文言の不統一がありえることをお断りしておく。
任意投票システムガイドライン2.0
原則とガイドライン
原則1:高品質のデザイン
投票システムは、選挙過程を正確、完全かつ確実に実施されるよう設計される。
1.1 投票システムは、一般的に認められる選挙過程の仕様を用いて設計されている。
1.2 投票システムは、実世界における運用条件の下で正しく機能するように設計される。
1.3 投票システムの設計は、試験者が、特定された仕様を正確に実装してシステムとそうではないシステムを明確に区別できるような評価方法をサポートする。
原則2:高品質の実践
投票システムは、質の高いベストプラクティスを用いて実装される。
2.1 投票システムおよびそのソフトウェアは、信頼できる資料とソフトウェア開発のベストプラクティスを用いて実装される。
2.2 投票システムは、幅広く障害を持つ人とそうではない人を含めた有権者と選挙管理従事者を含めたユーザー中心の設計方法のベストプラクティスを用いて実装される。
2.3 投票システムの論理は明確で、有意であり、適切に構成される。
2.4 投票システム構造はモジュール式で、スケーラブルであり、堅牢なものとする。
2.5 投票システムは、システムプロセスおよびデータの完全性をサポートする。
2.6 投票システムは、エラーを確実に処理し、故障から可及的に回復する。
2.7 投票システムは、予想される物理的環境において確実に機能する。
原則3:透明性
投票システムおよび投票プロセスは、透明性を提供するよう設計される。
3.1 投票システムの設計、操作、アクセシビリティ機能、セキュリティ対策、およびその他の機能を説明する文書は、読んで理解することができりものとする。
3.2 投票にシステムに関連する物理的およびデジタルの両方の過程及び処理は、容易に監査できるものとする。
3.3 公衆は、選挙の全期間を通じて投票システムの運用を理解し、検証することができる。
原則4:相互運用性
投票システムは、外部システムへのインターフェイス、内部コンポーネントへのインターフェイス、データ、および周辺機器の相互運用性をサポートするように設計される。
4.1 インポート、エクスポート、または他の方法で報告される投票システムデータは、相互運用可能なフォーマットとする。
4.2 公的に利用可能な標準フォーマットが入手可能な場合には、その他のデータの種類に対して使用する。
4.3 幅広く使用されているハードウェア・インタフェースおよび通信プロトコルを使用する。
4.4 市販既製品は、VVSG要件を充足する場合には使用できる。
原則5:同一かつ一貫した有権者のアクセス
すべての有権者は、その能力にかかわりなく、差別なしに投票システムにアクセスし使用することができる。
5.1 有権者は選挙プロセス全体を通じてすべての投票方法において一貫した経験を有する。
5.2 投票者は、すべての投票方法において同一の情報と選択肢を受け取る。
原則6:有権者のプライバシー
有権者は、個人的にかつ独立して、投票に印を付け、検証し、投票することができる。
6.1 投票プロセスは、有権者の投票用紙との相互作用、投票の型、及び投票方向の選択のプライバシーを保護する。
6.2 有権者は、他者からの支援を受けることなく、投票用紙または関連する投票記録に印を付け、検証し、投票することができる。
原則7:意図された通りに印を付けられ、確認され、投票されること
投票と投票の選択は、知覚可能、操作可能、理解可能な方法で提示され、すべての投票者が印を付け、検証し、投票できるものとする。
7.1 投票システムにおける投票用紙のデフォルトの表示設定は、最も幅広く有権者に対応できるものとし、有権者はその必要性に応じて設定を変更できるものとする。
7.2 有権者と選挙管理従事者はすべてのコントロールを正確に利用することができるものとし、有権者はすべての投票用紙の変化を直接コントロールする。
7.3 有権者は、説明、システムからのメッセージ、エラーメッセージを含むすべての提示情報を理解することができる。
原則8:堅牢、安全、使用可能性、アクセス可能性
投票システムおよび投票プロセスは、強固で、安全で、利用可能で、アクセス可能なものを提供する。
8.1 投票システムのハードウェアおよび付属品は、ユーザーを有害な状態から保護する。
8.2 投票システムは、アクセシビリティに関して現在受け入れられている連邦基準を満たす。
8.3 投票システムは、障害のある者とない者を含む広範な有権者によって、有効性、効率性及び十分性を検証される。
8.4 投票システムは、選挙管理従事者によりユーザビリティを評価される。
原則9:監査可能性
投票システムは監査可能であり、証拠に基づいた選挙を可能とする。
9.1 投票システムのソフトウェアまたはハードウェアにエラーまたは障害が発生した場合、選挙結果に対して検知できない変化を起こしてはならない。
9.2 投票システムは、選挙結果が正しいかどうかをチェックし、可能な範囲で不正行為の根本原因を特定する機能を提供する、ただちに利用可能な記録を作成する。
9.3 投票システムの記録は、意図的な改ざんや偶発的なエラーが存在する場合でも回復力があるものとする。
9.4 投票システムは効率的な監査をサポートする。
原則10:投票の秘密
投票システムは、有権者の投票選択の秘密を保護します。
10.1 投票の秘密は、投票プロセス全体にわたって維持される。
10.2 投票システムには、投票者の身元を投票者の意図、選択、または選択に関連付けるために使用できる投票者に関する記録、通知、情報その他の選挙情報を含んだり生成したりしないものとする。
原則11:アクセス制御
投票システムは、機密機能へのアクセスを許可する前に、管理者、ユーザー、デバイス、およびサービスを認証する。
11.1 アクセス権限、アカウント、アクティビティ、および承認は、定期的に記録、監視、およびレビューされ、必要に応じて変更される。
11.2 投票システムは、特定の機能及びデータに対するユーザー、役割、及びプロセスのアクセスを、各エンティティが許可されたアクセスを保持するものに制限する。
11.3 投票システムは、強力で構成可能な認証メカニズムをサポートして、承認されたユーザーのIDを検証し、重要な操作のための多要素認証メカニズムを備える。
11. デフォルトのアクセス制御ポリシーは、特権を最小にすることと義務の分離という原則を実施する。
11.5 投票システム資産への論理的アクセスは、不要になった場合は取り消される。
12:物理的セキュリティ
投票システムは、投票システムのハードウェアを改ざんする試みを防止または検出する。
12.1 投票システムは、不正な物理アクセスを検出するメカニズムをサポートする。
12.2 投票システムは、投票操作に不可欠な物理ポートとアクセスポイントのみを公開する。
13:データ保護
投票システムは、機密データを不正なアクセス、変更、または削除から保護する。
13.1 投票システムは、構成データ、不正投票記録、送信データ、または監査記録への不正アクセスまたは操作を防止する。
13.2 電子集計レポートのソースと完全性は検証可能なものとする。
13.3 すべての暗号化アルゴリズムは公開され、十分に検討され、標準化されるもとする。
13.4 投票システムは、すべてのネットワークを介して送信される機密データの完全性、信頼性、および機密性を保護する。
14:システムの完全性
投票システムは、意図的であろうと偶発的であろうと、システムの不正な操作から解放され、意図した機能を損なわない方法で実行する。
14.1 投票システムは、複数のコントロール層を使用して、セキュリティ障害または脆弱性に対する冗長性を提供する。
14.2 投票システムは、不必要なコード、データパス、物理ポートを削減し、他の技術的制御を使用することにより、攻撃対象を制限する。
14.3 投票システムは、ソフトウェア、ファームウェア、およびその他の重要なコンポーネントの完全性を維持および検証する。
14.4 ソフトウェアの更新は、インストールする前に管理者によって承認される。
15:検知と監視
投票システムは、異常な動作または悪意のある動作を検知するメカニズムを提供する。
15.1 投票システム機器は、自動処理に適した形式で保存されるイベントログ作成メカニズムを通じて重要なアクティビティを記録する。
15.2 投票システムは、発生したすべてのエラーメッセージを生成、保存、および報告する。
15.3 投票システムは、マルウェアから保護するメカニズムを採用する。
15.4 ネットワーク機能を備えた投票システムは、現在のベストプラクティスに見合った、ネットワークベースの攻撃に対する適切で精査された現代的な防御を採用する。
原則1:高品質のデザイン
投票システムは、選挙過程を正確、完全かつ確実に実施されるよう設計される。
1.1 投票システムは、一般的に認められる選挙過程の仕様を用いて設計されている。
1.2 投票システムは、実世界における運用条件の下で正しく機能するように設計される。
1.3 投票システムの設計は、試験者が、特定された仕様を正確に実装してシステムとそうではないシステムを明確に区別できるような評価方法をサポートする。
原則2:高品質の実践
投票システムは、質の高いベストプラクティスを用いて実装される。
2.1 投票システムおよびそのソフトウェアは、信頼できる資料とソフトウェア開発のベストプラクティスを用いて実装される。
2.2 投票システムは、幅広く障害を持つ人とそうではない人を含めた有権者と選挙管理従事者を含めたユーザー中心の設計方法のベストプラクティスを用いて実装される。
2.3 投票システムの論理は明確で、有意であり、適切に構成される。
2.4 投票システム構造はモジュール式で、スケーラブルであり、堅牢なものとする。
2.5 投票システムは、システムプロセスおよびデータの完全性をサポートする。
2.6 投票システムは、エラーを確実に処理し、故障から可及的に回復する。
2.7 投票システムは、予想される物理的環境において確実に機能する。
原則3:透明性
投票システムおよび投票プロセスは、透明性を提供するよう設計される。
3.1 投票システムの設計、操作、アクセシビリティ機能、セキュリティ対策、およびその他の機能を説明する文書は、読んで理解することができりものとする。
3.2 投票にシステムに関連する物理的およびデジタルの両方の過程及び処理は、容易に監査できるものとする。
3.3 公衆は、選挙の全期間を通じて投票システムの運用を理解し、検証することができる。
原則4:相互運用性
投票システムは、外部システムへのインターフェイス、内部コンポーネントへのインターフェイス、データ、および周辺機器の相互運用性をサポートするように設計される。
4.1 インポート、エクスポート、または他の方法で報告される投票システムデータは、相互運用可能なフォーマットとする。
4.2 公的に利用可能な標準フォーマットが入手可能な場合には、その他のデータの種類に対して使用する。
4.3 幅広く使用されているハードウェア・インタフェースおよび通信プロトコルを使用する。
4.4 市販既製品は、VVSG要件を充足する場合には使用できる。
原則5:同一かつ一貫した有権者のアクセス
すべての有権者は、その能力にかかわりなく、差別なしに投票システムにアクセスし使用することができる。
5.1 有権者は選挙プロセス全体を通じてすべての投票方法において一貫した経験を有する。
5.2 投票者は、すべての投票方法において同一の情報と選択肢を受け取る。
原則6:有権者のプライバシー
有権者は、個人的にかつ独立して、投票に印を付け、検証し、投票することができる。
6.1 投票プロセスは、有権者の投票用紙との相互作用、投票の型、及び投票方向の選択のプライバシーを保護する。
6.2 有権者は、他者からの支援を受けることなく、投票用紙または関連する投票記録に印を付け、検証し、投票することができる。
原則7:意図された通りに印を付けられ、確認され、投票されること
投票と投票の選択は、知覚可能、操作可能、理解可能な方法で提示され、すべての投票者が印を付け、検証し、投票できるものとする。
7.1 投票システムにおける投票用紙のデフォルトの表示設定は、最も幅広く有権者に対応できるものとし、有権者はその必要性に応じて設定を変更できるものとする。
7.2 有権者と選挙管理従事者はすべてのコントロールを正確に利用することができるものとし、有権者はすべての投票用紙の変化を直接コントロールする。
7.3 有権者は、説明、システムからのメッセージ、エラーメッセージを含むすべての提示情報を理解することができる。
原則8:堅牢、安全、使用可能性、アクセス可能性
投票システムおよび投票プロセスは、強固で、安全で、利用可能で、アクセス可能なものを提供する。
8.1 投票システムのハードウェアおよび付属品は、ユーザーを有害な状態から保護する。
8.2 投票システムは、アクセシビリティに関して現在受け入れられている連邦基準を満たす。
8.3 投票システムは、障害のある者とない者を含む広範な有権者によって、有効性、効率性及び十分性を検証される。
8.4 投票システムは、選挙管理従事者によりユーザビリティを評価される。
原則9:監査可能性
投票システムは監査可能であり、証拠に基づいた選挙を可能とする。
9.1 投票システムのソフトウェアまたはハードウェアにエラーまたは障害が発生した場合、選挙結果に対して検知できない変化を起こしてはならない。
9.2 投票システムは、選挙結果が正しいかどうかをチェックし、可能な範囲で不正行為の根本原因を特定する機能を提供する、ただちに利用可能な記録を作成する。
9.3 投票システムの記録は、意図的な改ざんや偶発的なエラーが存在する場合でも回復力があるものとする。
9.4 投票システムは効率的な監査をサポートする。
原則10:投票の秘密
投票システムは、有権者の投票選択の秘密を保護します。
10.1 投票の秘密は、投票プロセス全体にわたって維持される。
10.2 投票システムには、投票者の身元を投票者の意図、選択、または選択に関連付けるために使用できる投票者に関する記録、通知、情報その他の選挙情報を含んだり生成したりしないものとする。
原則11:アクセス制御
投票システムは、機密機能へのアクセスを許可する前に、管理者、ユーザー、デバイス、およびサービスを認証する。
11.1 アクセス権限、アカウント、アクティビティ、および承認は、定期的に記録、監視、およびレビューされ、必要に応じて変更される。
11.2 投票システムは、特定の機能及びデータに対するユーザー、役割、及びプロセスのアクセスを、各エンティティが許可されたアクセスを保持するものに制限する。
11.3 投票システムは、強力で構成可能な認証メカニズムをサポートして、承認されたユーザーのIDを検証し、重要な操作のための多要素認証メカニズムを備える。
11. デフォルトのアクセス制御ポリシーは、特権を最小にすることと義務の分離という原則を実施する。
11.5 投票システム資産への論理的アクセスは、不要になった場合は取り消される。
12:物理的セキュリティ
投票システムは、投票システムのハードウェアを改ざんする試みを防止または検出する。
12.1 投票システムは、不正な物理アクセスを検出するメカニズムをサポートする。
12.2 投票システムは、投票操作に不可欠な物理ポートとアクセスポイントのみを公開する。
13:データ保護
投票システムは、機密データを不正なアクセス、変更、または削除から保護する。
13.1 投票システムは、構成データ、不正投票記録、送信データ、または監査記録への不正アクセスまたは操作を防止する。
13.2 電子集計レポートのソースと完全性は検証可能なものとする。
13.3 すべての暗号化アルゴリズムは公開され、十分に検討され、標準化されるもとする。
13.4 投票システムは、すべてのネットワークを介して送信される機密データの完全性、信頼性、および機密性を保護する。
14:システムの完全性
投票システムは、意図的であろうと偶発的であろうと、システムの不正な操作から解放され、意図した機能を損なわない方法で実行する。
14.1 投票システムは、複数のコントロール層を使用して、セキュリティ障害または脆弱性に対する冗長性を提供する。
14.2 投票システムは、不必要なコード、データパス、物理ポートを削減し、他の技術的制御を使用することにより、攻撃対象を制限する。
14.3 投票システムは、ソフトウェア、ファームウェア、およびその他の重要なコンポーネントの完全性を維持および検証する。
14.4 ソフトウェアの更新は、インストールする前に管理者によって承認される。
15:検知と監視
投票システムは、異常な動作または悪意のある動作を検知するメカニズムを提供する。
15.1 投票システム機器は、自動処理に適した形式で保存されるイベントログ作成メカニズムを通じて重要なアクティビティを記録する。
15.2 投票システムは、発生したすべてのエラーメッセージを生成、保存、および報告する。
15.3 投票システムは、マルウェアから保護するメカニズムを採用する。
15.4 ネットワーク機能を備えた投票システムは、現在のベストプラクティスに見合った、ネットワークベースの攻撃に対する適切で精査された現代的な防御を採用する。
