要約

  • 投票の秘密とは、選挙記録から特定のメンバーの候補者選択が明らかになってはならないという意味である。有権者の資格、法人としての権限、代理投票の集中、システム管理、インシデント、総投票数、認証の根拠について秘密にすることは要求されない。
  • RIR の選挙は普通選挙ではなく組織的な投票を扱うが、選挙セキュリティ研究で特定されたおなじみの特性、すなわち選択の機密性、アクセス制御、データ保護、監査可能性、回復力のある記録、監視、独立した検証が必要である。
  • APNIC は監査のためにメンバーの身元と投票資格を記録しつつ、投票の秘密を宣言している。RIPE NCC はサードパーティの投票プラットフォームと個別のアクセスコードを使用している。LACNIC は有権者による監査と異議申立ての段階を設けている。AFRINIC の2025年の紛争は、公開による不完全な突き合わせの代償を示している。
  • 二層設計により、特定された権限元帳と匿名の投票領域が分離される。一方向の資格トークンにより、日常的なスタッフ、候補者、一般の人がメンバーと選択を結びつけることなく、有効な投票が1回可能になる。
  • 公開証拠には、ルール、有権者総数、設定とテストの証明、役割の割り当て、利益相反の開示、インシデントの要約、突き合わせ、集計結果、独立した認証を含めるべきである。制限付き証拠は、認可された監査人とレビュー担当者が管理されたアクセスの下で利用できるようにすべきである。

秘密は選択を守るものであり、運営を守るものではない

秘密投票は、有権者が雇用主、候補者、債権者、政府、主催者に自分の選択を証明する必要なく投票できるようにするために存在する。脅迫や票の購入の強制力を低下させる。また、選挙後に敗れた側が組織のリソースを支配する可能性がある場合に、政治的自律性を守る。

選挙管理者は時にこの原則を選択の範囲をはるかに超えて拡大する。誰が有権者であるか、権限がどのように確認されたか、一人の人物がどれだけの代理投票を保持しているか、誰がサービスを設定したか、資格情報がなぜ拒否されたかを開示しない。その結果、投票の秘密が強化されるわけではない。選挙を運営した人々を信頼することなしには評価できない選挙になる。

境界は簡単に述べることができる。特定の有権者と候補者選択を結びつける情報は高度に保護される。資格のある投票だけが集計に入ったこと、承認された全ての投票が意図通りに数えられたこと、誰も結果を変更できなかったことを証明するために必要な情報は記録され、適切なレベルで開示されるべきである。

一部の記録は境界付近にある。投票履歴は、どのように投票したかではなく、組織が投票したことを明らかにする。非常に小規模な選挙区では、詳細な時刻や投票パターンを公開すると推測が可能になる。代理委任者のリストと、その委任者が公にキャンペーンをしていることを組み合わせると、ありそうな選択が露呈する可能性がある。したがって、良い開示は、一律の拒否ではなく、集計、遅延、アクセス制御を用いる。

この区別は地域インターネットレジストリにとって重要である。なぜなら、メンバーは組織だからだ。ある企業は自分の参加を秘密にする正当な理由があるかもしれないが、別の企業は任命した代表者が行動したことの確認を求めるかもしれない。レジストリは、監査可能な法人の権限の証跡を維持しつつ、秘密の選択を保護しなければならない。

公開インフラとは、公開投票のことではない。それは、ルール、管理、総合的な運用を検証できるシステムであり、制限付き証拠を独立したレビュー担当者が利用できる状態にすることだ。秘密は有権者の政治的決定に属する。それが管理者の一般的な特権になってはならない。

身元と選択は意図的に分離されなければならない

全てのメンバー選挙は身元確認から始まる。レジストリは、組織が有資格であること、必要な場合に良好な状態であること、権限を与えられた人物が代表していることを知る必要がある。電子投票には、アカウント、多要素認証、身元確認が必要になるかもしれない。紙の投票には、名簿と机上の資格情報が必要かもしれない。

投票は身元確認の決定が終わった後にのみ開始されるべきである。身元確認されたシステムは、一回限りの資格またはトークンを発行する。投票サービスはこれを受け入れ、メンバー身元なしで選択を記録し、再利用を防ぐ。突き合わせにより、発行、使用、失効、未使用の資格が一致することが証明される。日常的なスタッフは、トークンと選択を結びつけるテーブルを持つべきではない。

この分離は、プライバシー通知の中の約束ではなく、アーキテクチャ上の決定である。ログは静かにこれを無効にすることができる。正確なタイムスタンプ、ネットワークアドレス、一意の投票シーケンス、ブラウザの詳細は、二つのデータベースの相関を可能にするかもしれない。管理者は、セキュリティ上必要なものだけを収集し、可能な限り時間を粗くするか分離し、特権ユーザーが投票を再構築できるかどうかをテストすべきである。

APNIC のオンライン投票規約は、必要な緊張関係を示している。このサービスは、監査のためにメンバー、提出する人物、投票数を記録しつつ、全ての投票が秘密であることを明言している。堅牢な評価は、その特定された監査記録がどこで終わり、候補者選択がその外にあるかどうかを問う。

RIPE NCC の投票ガイドは、サードパーティサービス、一意のリンク、二つのコードを説明している。公開された手順は、メンバーがアクセスを理解するのに役立つ。独立した保証は、セキュリティの秘密を暴露することなく、身元、コード、投票記録の分離をさらに説明すべきである。

いかなる電子システムも、「匿名投票」という言葉だけに頼ることはできない。関連する問いは、どのような記録が存在し、誰がそれにアクセスでき、どのように相関させることができ、どれだけの期間保持され、監査人が何をテストしたかである。意図的な分離により、組織は資格について厳格であり、同時に秘密についても同様に厳格であり続けることができる。

監査可能性と秘密は両立する特性である

米国国立標準技術研究所(NIST)の投票システムの望ましい特性に関する議論は、監査可能性、投票の秘密、強制への抵抗、ユーザビリティ、アクセシビリティを関連する設計目標として扱っている。そのセキュリティ目標も同様に、証拠に基づく選挙と、特定の有権者の意図を明らかにしない記録とを組み合わせている。

この組み合わせが重要なのは、公共の議論がしばしば誤った二者択一を提示するからだ。詳細な証拠を公開して有権者を暴露するか、有権者を保護してブラックボックスを受け入れるかである。現代の監査設計はまさにその選択を避けるために存在する。人物と選択の間の秘密の関連とは独立した記録を通じて、プロセスと結果を検証する。

RIR にとって、監査可能性とは候補者の合計を再集計すること以上の意味を持つ。監査人は、有資格のメンバー集団、権限を与えられた代表者、該当する権利ごとに1つの資格、正しい投票重み、重複の防止の成功、正確な設定、完全なインシデント処理、数学的に一貫した集計を確認できなければならない。いずれも、メンバーの候補者選択を公開する必要はない。

秘密は監査を生き延びなければならない。監査人は各テストに必要な最小限の特定されたデータのみを受け取るべきである。完全な権限元帳が必要な場合、候補者選択は別の管理された領域にとどまるべきである。報告書は小グループを集計すべきである。監査作業文書には保持および削除のルールが必要である。

証拠は暗号的、文書的、手続き的、物理的であり得る。技術的な証明が法人の権限を解決するとか、署名された議事録がソフトウェアが正しく動作したことを証明するなどと仮定すべきではない。独立した検証は、異なる故障モードを持つ複数の記録から引き出す。

組織はその信頼モデルを明示すべきである。どの行為者が資格を変更できるか?誰が投票設定を変更できるか?誰が復号または集計の権限を持つか?一人の人物が重要な操作を実行できるか?例えば、NIST のかつての伝送要件は、公衆網を介した重要な投票処理には二人による認可を含んでいる。具体的な管理策は異なるかもしれないが、特権の集中は可視化されなければならない。

監査可能性は秘密を弱めない。適切に設計されれば、秘密が守られつつ結果が正しかったことの証拠を提供する。

権限元帳は検査可能であるべきだ

いかなる秘密投票よりも前に、権限元帳が存在する。それには、有資格メンバー、投票重み、指定された連絡先、代理投票、資格状況の変更、発行された資格が含まれる。ここでの誤りは、合法的な有権者を排除したり、無権限の者を入れたりする可能性がある。したがって、元帳は選挙の一部であり、一時的に再利用される通常のメンバー管理ではない。

一般公開は、個人の電話番号、身分証明書、口座詳細を暴露する必要はない。組織は、ルール、有資格組織の総数、除外カテゴリー、適切な組織レベルでの暫定名簿、修正メカニズムを公開することができる。各メンバーは自分の資格状況と代表者を非公開で確認すべきである。

LACNIC の2026年臨時選挙カレンダーは、有権者名簿を公開し、投票のかなり前に異議申立てを認めた。この順序は誤りの検出を分散させる。メンバーは修正が可能な間に欠落を特定できる。選挙管理委員会は、投票開始前に回答について説明責任を負うようになる。

AFRINIC の代替2025年選挙も暫定および最終の有権者名簿段階を設けた。これは6月の選挙をめぐる紛争後の重要な改善だった。しかし、基準、変更ログ、または除外の理由が不明確なままなら、公開だけでは不十分である。最終名簿には、暫定版からの追加、削除、修正を示す合計数を添えるべきである。

監査人は、権限の証拠、タイムスタンプ、スタッフの行動を含む完全な制限付き元帳を必要とする。サンプリングにより、登録された法人役員が指名する権限を持っていたか、取消しが適用されたか、一人の自然人が複数の組織を支配していなかったか、遅い変更が共通ルールに従ったかどうかをテストすべきである。

候補者は、単に選挙に立候補しているからといって、非公開のメンバー連絡先データを受け取るべきではない。彼らは集計された有権者情報と、統治ルールで認可された公開の組織名簿を受け取ることができる。キャンペーンアクセスと監査アクセスは異なる目的である。

検査可能な権限元帳は、秘密投票が合法な有権者から始まるという確信をメンバーに与える。これなしでは、完璧な投票サービスが誤った有権者を忠実に数えても意味がない。

設定は公共の利益に関わる記録である

電子投票には重要な設定が含まれる:候補者名と順序、議席、最大選択数、投票重み、棄権オプション、開始・終了時刻、同点ルール、不完全投票の取り扱い。設定エラーは、ソフトウェアが技術的に安全であっても、全ての投票に影響を与えうる。

承認された投票仕様は、投票開始前に少なくとも二人の権限を与えられた役員、そして理想的には独立した選挙担当者が署名すべきである。候補者は、セキュリティ資格情報を見ることなく、表記、資格、議席割り当てを確認できる。サンプル投票用紙は、誤りを修正するのに十分早く公開されるべきである。

投票前テストには、通常ケースと境界ケースを含めるべきである:一つの選択、最大選択、過剰投票の試み、棄権、加重投票、失効トークン、重複使用、タイムゾーンの境界、中断。報告書は、悪用可能な詳細を開示することなく、テストと結果を述べることができる。ハッシュや署名による証明は、承認された正確な設定を特定できる。

テスト後の変更には、新しいバージョン、理由、承認、再テストが必要である。黙って修正することは許されない。保証と本番の投票とのリンクを破壊するからである。投票が開始されている場合、独立した担当者は、その変更が既に投票された投票に影響するかどうか、再開または再実施が必要かどうかを判断しなければならない。

候補者の順序は明示的なポリシーに値する。アルファベット順、ランダム化、ローテーション順はいずれも、発表され一貫して適用されるなら防御可能である。管理者は、候補者を見た後で非公式に配置を選んではならない。同じことが経歴、写真、リンクにも当てはまる。

終了時刻も設定に属する。公示、ポータルのカウントダウン、プロバイダーの時計は一致しなければならない。延長する場合は、三者全てを変更し、記録を保持しなければならない。サポートスタッフは、終了後に選択された投票を受け付ける隠された能力を持つべきではない。

設定の証拠を公開しても、誰かがどう投票したかは分からない。それは、システムが実際に尋ねた質問を示す。説明責任のある選挙では、公開結果は公開承認された投票定義に遡れなければならない。

役割の分離は保証よりも価値がある

選挙には、メンバーサービススタッフ、選挙管理委員会、候補者、理事会または受任者、法律顧問、技術プロバイダー、開票担当者、監査人が関与する。どの行為者も、資格、投票設定、集計、異議申立て解決を単独で支配しなければ、信頼は高まる。

役割の分離は、コンテストの前に公開されるべきである。メンバーサービスは連絡先記録を維持できるが、候補者の紛争を決定すべきではない。選挙管理委員会は資格と手続きを監督できるが、秘密の集計を変更してはならない。プロバイダーはサービスを運用できるが、自らのコンプライアンスを認証してはならない。レビュー担当者は、異議申立ての対象となっている候補者や役員に報告してはならない。

利益相反は個別に開示する必要がある。委員会のメンバーは、メンバー組織で働いていたり、候補者を知っていたり、紛争に関与していたりするかもしれない。利益相反は必ずしも排除を必要とせず、忌避で十分な場合がある。記録には、関係、決定、代替者を明記すべきである。

候補者と現職の理事は管理権限を持つべきではない。選挙運動を行うスタッフは選挙業務から外されるべきであり、ルールは公式の立場での選挙運動が許されるかどうかを定義すべきである。本番アクセスを持つプロバイダーの人員は監査人に特定され、変更ログの対象となるべきである。

二人による管理は、重要な行為に有用である:自動スケジュール外での投票の開始または終了、設定の変更、集計のエクスポート、結果の復号、物理的な投票箱の取り扱い。誤りと不正行為の両方を制限する。証拠は、両方の役割による署名または暗号的に記録された行動である。

全員が専門的に行動したという公共の保証は、この設計に取って代わることはできない。善良な人々も間違いを犯し、組織は後日紛争に直面する。分離は、裏付けのない疑惑を説得力のないものにすることで、役員を守る。また、どの領域が失敗し得たかを調査が特定できるようにする。

一般の人は個人のセキュリティ詳細を知る必要はない。機関、責任、利益相反、承認、独立したチェックを知るべきである。秘密投票は、それを取り巻く権限が目に見えて分割されているときに最も強力である。

インシデントは非難にならずに公開されるべきだ

全ての選挙には異常がある:バウンスしたメッセージ、認証の失敗、疑わしい権限文書、停止、投票用紙が届かないと主張する有権者、ルールに異議を唱える候補者。それらを隠すことは噂を招く。検証されていない疑惑を公表することは、人々と選挙に損害を与え得る。

インシデント登録簿は中間の道を提供する。各エントリは時刻、カテゴリ、影響を受けた段階、保存措置、意思決定者、状況、救済策を記録する。公開版は身元を集計または墨消しする。深刻なインシデントは、事実が確定した後に、より詳細な報告書を受け取る。

重要性が対応を導くべきである。投票前に修正された失敗した電子メールは、結果に影響を与えないかもしれない。あるメンバーに受け入れられた資格情報は、有効性の決定が必要であり、既に使用されていた場合は、影響を評価するプライバシーを保護する方法が必要である。多くの有権者に影響を与えるサービス停止は延長を正当化するかもしれない。全ての投票に影響する設定の欠陥は、余裕に関係なく再実施を必要とするかもしれない。

AFRINIC の2025年6月選挙は、権限文書をめぐる紛争の後に停止され、後に無効とされた。公式のコミュニケーションは特に委任状と調査に言及したが、初めに、疑わしい資格情報とそれに関連する投票、および議席レベルの重要性の完全な数を公表しなかった。突き合わせの欠如は、競合する物語がその空白を占めるのを許した。

公開インシデント報告は、疑惑、確認された事実、所見、救済策を区別すべきである。偽造の可能性に関する警察の調査は、発表された様式に関する選挙職員の解釈とは異なる。裁判所の権限は開票担当者のそれとは異なる。それらを「不正」という言葉で一括りにすることは責任を不明瞭にする。

保存は修辞よりも前に来る。手段、権限記録、アクセスログ、投票状況、証人のメモ、関連する通信を確保すること。合法的な例外的なプロセスが必要とし、保護措置が存在する場合を除き、秘密の選択を結びつけてはならない。影響を受けたメンバーとレビュー担当者に通知すること。

選挙が信頼を得るのは、インシデント・ゼロを主張することによってではなく、インシデントが既知のルールの下で検出、限定、解決可能であることを示すことによってである。

突き合わせは選択を明かさずに完全性を証明する

終了時に、合計は権限元帳と集計を結びつけるべきである。有資格メンバーと投票重みから始める。登録された代表者、確認済みの代理投票、発行された資格、失効した資格、使用された資格、未使用の資格、拒否された試行、受け入れられた投票を示す。次に、有効票、白紙または棄権、ルールに基づく無効票を示す。

等式は釣り合うべきである。もし1,000の資格が有効で600票が受け入れられたなら、400は証明可能に未使用か、他の方法で説明されるべきである。加重システムでは、メンバー数と投票ユニット数の両方が必要である。複数議席の選挙では、候補者の総票数が投票数と異なる理由を説明すべきである。

APNIC は、そのオンライン規約の下で、提出された投票の受領番号を含む投票検証ページを公開している。LACNIC は、暫定結果の後に有権者に監査期間を与えている。これらのメカニズムは、参加者が選択を開示せずに、含まれていることを確認できるようにする。受領設計は強制に抵抗しなければならない。それは参加や包含を証明できても、候補者選択を証明してはならない。

突き合わせは認証前に完了し、独立してレビューされるべきである。差異は、例えば失効した資格がまだ発行エクスポートで数えられているなど、無害かもしれない。それにもかかわらず解決されなければならない。決定的な差よりも大きい説明のつかない差異は明らかに重要である。より小さな差異でも、修正を必要とする管理上の失敗を明らかにするかもしれない。

公開報告書は合計と方法を提供できる。監査人は一意性をテストするために詳細な識別子を受け取る。候補者は定義された段階を観察するか、署名された報告書を受け取ることができるが、個人的な資格情報や投票レベルの記録を権限なく検査すべきではない。

紙の選挙でも同じ論理が使われる:印刷された投票用紙、発行、無効、未使用、投じられ、数えられたもの。封印の適用と解除。箱の移動。電子の用語は、同等の保管がログ、鍵、エクスポートに存在することを覆い隠してはならない。

突き合わせは、秘密の選択群と公開結果との間の橋渡しである。これなしでは、結果は単にオペレーターが主張する数字にすぎない。これがあれば、誰も各メンバーがどのように選んだかを見ることができなくても、メンバーはその数字が認可された有権者から生じたことを知ることができる。

検証は投票受領証になってはならない

有権者は、自分の投票が到着したという証明を当然求める。システムは受領番号を提供したり、参加者が含まれていることを確認できるようにするかもしれない。その証明が、別の人間が検証できる方法で選択された候補者を明らかにするならば、設計は危険になる。

候補者固有の受領証を要求できる強制者は、脅迫や支払いを強制できる。法人の委任者は、代表者に服従を示すよう強制できる。そのような場合、秘密投票は、影響力を持たない部外者に対してのみ存在することになる。

安全な検証は通常、限られた質問に答える:認可された資格が使用されたこと、提出された暗号化投票が公開セットに現れること、集計に全ての有効な記録が含まれていること、独立した証明が計算を検証すること。それによって有権者が一意の平文の選択を明らかにすることを可能にしてはならない。

エンドツーエンドの検証可能性は洗練されたアプローチを提供するが、複雑さは選挙に見合っていなければならない。メンバーには使いやすい指示、独立した実装レビュー、検証失敗時の回復が必要である。ごく少数の有権者しか理解しない機能は、誤った保証を生み出す可能性がある。

より単純な商用プラットフォームが使用される場合、レジストリは受領証が何を証明するのかを正確に述べるべきである。「あなたの投票は記録されました」は、セッションが完了したことを意味するかもしれず、最終集計に含まれたことを意味するとは限らない。プロバイダーと監査人は段階を定義すべきである。曖昧な成功メッセージは証拠ではない。

検証記録はプライバシーレビューが必要である。全ての受領番号を公開することは、発行順序やタイムスタンプを通じてメンバー身元にリンクできない場合にのみ有用である。ランダム化、バッチ処理、分離は相関を減らすことができる。小規模選挙では、より強力な抑制が必要かもしれない。

正しい目標は、移転可能性のない信頼である。有権者は欠落を検出してレビューを求めることができる一方で、第三者は同じ証拠を使って選択を知ったり強制したりすることができない。この境界は、暗号化の言葉から想定するのではなく、明示的にテストされるべきである。

公開証拠は階層化されるべきである

全ての選挙記録がウェブサイトに掲載されるわけではない。階層化された開示モデルは、個人データとセキュリティを保護しつつ、説明責任を維持する。公開層には、統治ルール、カレンダー、有権者総数、候補者一覧、役割割り当て、利益相反、プロバイダー身元、テスト証明、インシデント要約、突き合わせ、集計結果、苦情、認証を含めるべきである。

メンバー層では、組織の資格、認可された有権者、代理投票状況、投票参加状況、修正履歴を示すべきである。候補者選択を表示してはならない。アクセスはメンバーの通常の安全なチャネルを使用すべきである。

監査人層には、特定された権限記録、詳細ログ、設定、特権的行動、プロバイダー証拠、サンプリングされた通信、インシデントファイルを含めることができる。アクセスは制限され、記録され、時間制限がある。監査人は、所見と制限を公に報告する。

裁定者層は、特定の紛争のために追加の資料を必要とするかもしれない。これには個人文書や封印された技術的証拠が含まれる。各当事者は、公正さが必要とするものだけを受け取り、必要に応じて保護命令や秘密保持契約を結ぶ。候補者の好奇心はアクセスの根拠ではない。

プロバイダーは契約に基づいてセキュリティ上機密の資料を保持するが、レジストリは関係が終了した場合でも証拠が利用可能であることを保証しなければならない。データの場所、保持、削除、漏洩通知は投票前に合意されるべきである。

階層化は二つのよくある失敗を避ける。全面的な公開は有権者とシステムを暴露し得る。全面的な機密性は、役員を自らのパフォーマンスの唯一の判定者にし得る。目的がアクセスを決定する。

開示計画はデータが存在する前に承認されるべきである。紛争後に決定することは、選択的な透明性を招く。メンバーは、どの事実が公開され、どの個人情報が収集され、誰が制限付き記録を検査できるかを知るべきである。

公開インフラが説明責任を果たすのは、証拠が適切なレビュー担当者に渡るからであり、全てのバイトが公開されているからではない。

独立した認証には理由を付した声明が必要である

認証は、結果表の下にある儀礼的な署名ではない。それは、認可されたルールが適用され、重要なインシデントが解決され、発表された候補者が就任できるという決定である。認証者はその根拠を述べるべきである。

理由を付した証明書は、選挙、統治文書、有資格および参加の合計、投票期間、システムまたは方法、突き合わせ、実施された監査、受け取った苦情、未解決の制限、最終決定を特定する。異議申立てが残っている間は、結果が暫定的であるかどうかを述べるべきである。

独立性は相対的であり、開示されるべきである。理事会によって任命された選挙管理委員会は、保護された任務の下で依然として独立して行動できる。商用プロバイダーはスタッフからは独立しているが、自らのサービスを守る利益がある。レジストリから支払われる監査人は、選任、範囲、報告権が妨害を防ぐなら、信頼できる。

認証者はアクセスが必要である。オブザーバーと称しながら、権限記録やプロバイダーのログを拒否された役割は、強力な保証を提供できない。報告書は、利用できなかった証拠、実施されなかったテスト、表明への依存を述べるべきである。限界についての率直さは、作業に裏付けられていない絶対的な宣言よりも価値がある。

苦情は解決されるか、明示的に留保されるべきである。もし係争中の問題が結果を変えることができなければ、認証者は重要性を説明できる。もし変えることができれば、最終的な任命を待つか、合法的な条件付きメカニズムが適用されるべきである。組織は、レビュー前に勝者を発表することで緊急性を作り出してはならない。

LACNIC が暫定結果と苦情に依存する後の認証日付を用いていることは、適切な手順を示している。それは、集計に関する公開情報を維持しつつ、認可された監査が終了するのを可能にする。

認証は、技術的および管理的記録を組織の権限に変換する。それは理事会決議と同じ透明性に値する。誰が、どのような権限の下で、どのような証拠に基づいて、どのような制限付きで決定したのかが問われるべきである。

ベンダーは組織の責任を吸収しない

サードパーティの投票サービスは、分離と専門知識を向上させることができる。APNIC は BigPulse を使用してきた。RIPE NCC は Assembly Voting を使用している。AFRINIC は2025年の選挙で外部プロバイダーを使用した。ベンダーは、選択へのスタッフアクセスを減らし、テスト済みのインフラを提供できるかもしれない。

アウトソーシングはレジストリの憲法上の責任を移転しない。協会はプロバイダーを選択し、投票用紙を設定し、資格を供給し、有権者と通信し、結果を受け入れる。それは、これらの行為を守るために、サービスを十分に理解し監査しなければならない。

契約は、機密性、データ最小化、特権アクセス、下請業者、システム変更、インシデント通知、可用性、ログ、独立テスト、証拠エクスポート、保持、削除、異議申立てへの協力をカバーすべきである。プロバイダーの独自技術の主張は、結果の保証を妨げてはならない。

レジストリは、プロバイダー名、適切なレベルでの選択理由、取得した保証を公開すべきである。セキュリティ上機密の報告書は要約できる。既知の制限は選挙を形作るべきである。プラットフォームが失効や強力な分離をサポートできないなら、ルールはそれを説明しなければならず、能力を暗示してはならない。

ベンダースタッフの利益相反とアクセスも問題になる。どの担当者がメンバー身元を閲覧し、資格情報をリセットし、設定を変更し、結果をエクスポートできるか?重要な行動は二重管理されているか?アクセスはログに記録され、ベンダーチーム外の誰かによってレビューされているか?

継続性計画はプロバイダーの障害に対処すべきである。レジストリは、設定と権限データの検証済みバックアップ、投票延長のルール、重複を作成せずに投じられた投票を保存する方法を必要とする。選挙中にサービスを切り替えることは、独立した指示を必要とする極端な行為である。

馴染み深いブランドは公開証拠ではない。ベンダーの関与は、より大きな組織設計の中の一つの管理策である。メンバーは自分のレジストリ理事会を選出するのであって、ソフトウェア会社を選ぶのではない。レジストリは、委譲する全ての権限について説明責任を負い続ける。

遠隔投票は脅威の表面と証拠の表面を拡大する

電子アクセスはリスクを生み出す:アカウント乗っ取り、フィッシング、マルウェア、サービス拒否、内部者の特権、身元と選択の相関。それはまた、非公式な紙のプロセスでは利用できない証拠も生み出す:署名された設定、アクセスログ、重複防止、システム監視、正確な突き合わせ。

NIST 選挙インフラプロファイルは、有権者登録と投票システムにわたるリスク管理を通じて選挙技術を枠付ける。RIR は国家選挙基準をそのままコピーする必要はないが、機能は関連している:資産とリスクを特定し、アクセスとデータを保護し、異常を検出し、定義された権限の下で対応し、証拠を保存しながら回復すること。

メンバーアカウントは、選挙前により強力な保護を受けるべきであり、開始時の緊急登録ではない。多要素認証、連絡先確認、フィッシング警告は日常的に行われるべきである。選挙メッセージは予測可能なドメインを使用し、メンバーがポータルを通じてリンクを確認できるようにすべきである。

監視は有権者監視になってはならない。セキュリティチームは、候補者選択を分析することなく、繰り返しの失敗、不可能なアクセス、サービス攻撃を検出できる。ネットワークアドレスとデバイスデータは制限され、必要な間だけ保持されるべきである。プライバシー評価はバランスを説明すべきである。

インシデント対応は秘密投票を保存すべきである。資格情報のリセットは以前の投票を明らかにしたり変更したりしてはならない。バックアップからの復元は二重カウントを防がなければならない。管理者が変更を加える前に、ログは完全性管理の下でコピーされるべきである。

サイバーセキュリティ報告書は、しばしば正当な理由で非公開のままになる。公開要約は依然として、考慮された脅威、適用された管理、完了したテスト、検出されたインシデント、受け入れられた残留リスクを述べることができる。沈黙はセキュリティではない。

遠隔投票は、数人の出席者によって観察された紙の箱よりも厳格な証拠をサポートすることができる。その利点を実現するには、監査用にログを設計しつつ、それらを使って投票を再構築することを防ぐ必要がある。

レジストリ選挙のための二層監査モデル

第一層は権限と運用である。それは特定され、制限される。メンバー資格、法人の権限、投票重み、代理集中、トークン発行、アクセス制御、設定、インシデント、一回限りの使用を検証する。監査人は、全ての資格を合法な発生源から匿名の受け入れ境界まで追跡できる。

第二層は投票と結果である。それは匿名であり、独立して検証可能である。受け入れられた投票が不変であること、全てが含まれていること、集計ルールが正しいこと、公開された合計が保護された記録と一致することを確認する。それは投票からメンバーへの通常の逆戻りを許さない。

両層は、恒久的な身元選択テーブルではなく、突き合わせを通じて出会う。合計、暗号コミットメント、または制御されたトークンチェックは、使用された全ての資格が1つの投票に対応することを示す。例外は、影響を受けていない選択を暴露することなく、境界で調査される。

公開報告はモデルを反映する。権限報告は有権者総数、検証カテゴリ、集中を開示する。結果報告は投票率、有効票、候補者合計、監査結果を開示する。インシデント報告は、どの層が影響を受けたか、クロスオーバーリスクが存在したかどうかを述べる。

ガバナンスは両方を取り囲む。公開された役割が、誰が各層にアクセスできるかを定義する。利益相反と重要な行動は記録される。独立したレビュー担当者が苦情を聞く。認証は、両層とそれらの突き合わせが定義されたテストに合格したことを述べる。

このモデルは紙の投票にも電子投票と同様に機能する。権限デスクは有権者をチェックし、印を記録することなく検証済みの紙を発行する。箱と数は匿名の投票を保護する。発行、無効、未使用、数えられた紙は突き合わせられる。技術は手段を変えるが、原則は変わらない。

このモデルは救済策も明確にする。単独の権限エラーは一つの資格に影響するかもしれない。投票層の整合性の失敗は全体の集計に影響するかもしれない。層間の壊れたリンクは範囲を不確かにするかもしれない。救済策は政治的圧力ではなく、影響を受けた領域と重要性に従うべきである。

二層は秘密と説明責任を味方にする。強力な権限証拠は無効なアクセスを締め出す。強力な投票分離は有効な選択を秘密に保つ。独立した突き合わせは、一般市民に結果を信頼する理由を与える。

小規模選挙区ではより強力な推論制御が必要である

レジストリ選挙は、しばしば公的選挙よりもはるかに小規模である。結果は地域、メンバー階層、投票方法、代理投票状況別に報告されるかもしれない。なぜなら、これらのカテゴリがガバナンスにとって重要だからである。追加の内訳はそれぞれ、秘密の選択を推測しやすくする可能性があり、特にカテゴリに1つか2つの組織しか含まれない場合にそうである。

したがって、開示は構成リスクについてテストされるべきである。ある国で1つのメンバーが投票したこと、そのメンバーが公に選挙運動をしている代理投票を任命したこと、候補者の合計が一致する加重された量だけ変化したことを一般市民が知っていると仮定する。これらの事実のどれも単独では選択を明らかにしないが、合わせるとそうなるかもしれない。正確なタイムスタンプも、参加者がいつ投票したかを発表するときに同じ問題を引き起こす可能性がある。

公開報告計画では、最小セルサイズを設定し、稀なカテゴリを結合し、機密性の高い参加詳細を遅延させるべきである。加重システムでは、特徴的な資格が指紋のように作用する可能性があるため、特別な注意が必要である。受領証はランダムで順不同であるべきである。インシデント報告では、あるカテゴリの唯一のメンバーが、その投票を暗示するような形で、ある手段を支持または拒否したと述べることを避けるべきである。

制限付き監査人は、依然として全データを検査できる。公開集計は説明責任ではなく、推論を制限する。監査人は地域および階層の計算を確認し、抑制が一貫して適用されたことをチェックし、公式のリリースが再識別への信頼できる経路を作成したかどうかを報告する。

候補者にも制限が必要である。キャンペーンは、投票率を動員するためにまだ投票していないメンバーのリストを欲しがるかもしれない。小規模な法人有権者集団では、その情報は圧力を生み、後の報告と組み合わせると、政治的行動を暴露する可能性がある。投票率の更新が公開される場合は、広範で、予定されており、誰でも利用可能であるべきである。個々の参加状況は、メンバーと選挙事務局に属する。

組織自体が自分の選択を発表するかもしれない。自発的な政治的発言は、システムが生成した証明とは異なる。レジストリは、雇用主や主催者がそのような開示を強制できる受領証を設計してはならない。また、公的な支持を実際の投票を暴露することへの同意として扱ってはならない。

推論レビューは、何も公開しないことの論拠ではない。完全な沈黙は、メンバーが集中と参加をテストできなくする。それは計画的な統計のための論拠である。正当性を支えるものを開示し、特定の組織を選択に結びつけるものを抑制し、独立したレビュー担当者に抑制解除された証拠を検査させる。

小規模選挙はこの境界をより困難にするのであって、より容易にするのではない。そのインフラは、誰もがまだ投票の中で心変わりできるくらい十分に秘密でありながら、検証するのに十分に公開されていなければならない。

公開はまた、累積リスクを意識すべきである。投票前にリリースされた無害な名簿は、後日、詳細なインシデント報告とプロバイダーのタイムスタンプと組み合わさると、識別可能になる可能性がある。誰かが、各項目を単独で承認するのではなく、開示の計画された全シーケンスをレビューすべきである。新しい事実が明らかになったとき、以前のリリースは公共の記憶から取り下げることができないので、後の報告はより広範な集計を必要とするかもしれない。認証者は、基礎となる証拠が検査され一貫していると認められたことを、依然として述べることができる。この慣行は、ある段階での透明性が別の段階での秘密を破ることを許さずに、継続的な公開説明の価値を維持する。

同じレビューは、契約者とオブザーバーによってリリースされた情報もカバーすべきである。レジストリが慎重に集計する一方で、プロバイダーが正確なサービス統計を公開したり、目撃者が誰が投票机に立ったかを示す写真を投稿したりするかもしれない。契約とオブザーバー指示は、正当な報告を妨げずに秘密境界を定義すべきである。偶発的な開示が発生した場合、当局は推論リスクを評価し、必要に応じて影響を受けたメンバーに通知し、後のリリースを調整すべきである。投票の秘密は、選択を保持するデータベースだけでなく、選挙環境全体によって維持される。したがって、調整された開示管理は、精査を排除する理由ではなく、インフラの説明責任の一部である。

信頼を任意にするのに十分な公開を

メンバーは常に、選挙職員、プロバイダー、監査人にある程度の信頼を置く。どんな報告書も、全ての有権者が全てのシステムを個人的に検査できるようにするわけではない。良いガバナンスは、盲目的な信頼の量を減らし、残りの依存を明示的にする。

投票前に、ルール、有権者プロセス、カレンダー、投票定義、役割、利益相反、プロバイダー、プライバシー通知、監査計画、苦情経路を公開すること。投票中に、サービス状況と重要なインシデントを公開すること。(ただし、ルールが認可していない限り、選挙運動を歪める可能性のある投票率情報は公開しない。)終了後には、突き合わせ、暫定結果、監査所見、苦情、理由を付した認証を公開すること。

各メンバーに資格と参加の非公開確認を与えること。監査人に完全な証拠への管理されたアクセスを与えること。候補者、スタッフ、ベンダーが、合法的な例外的権限なしに選択データに渡ることを防ぐこと。全ての例外的なアクセスを記録すること。

AFRINIC の2025年の紛争は、この区別がなぜ重要であるかを示している。秘密は、どれだけの権限文書が疑われたか、それに関連する資格がどれだけ発行されたか、なぜ広範な無効が比例的だったかについて沈黙することを要求しなかった。これらの事実を公開しても、候補者の選択を開示することにはならなかっただろう。それらの欠如は、組織的な保証をより困難にした。

この原則は RIR システム全体に当てはまる。APNIC の特定された監査フィールドと秘密投票、RIPE NCC のサードパーティアクセス手続き、LACNIC の検証間隔、公開された選挙セキュリティ基準は、全て実行可能なコンポーネントを提供している。レジストリは、国家選挙を運営しているふりをすることなく、それらを協会法とメンバー投票に適合させることができる。

秘密投票は暗室ではない。それは、明かりのついた組織の中を移動する保護された選択である。明かりは、ドア、警備員、記録、移転、インシデント、および結果を宣言する権限を明らかにすべきである。どの秘密の印がどのメンバーに属したかを決して明らかにしてはならない。

その意味でインフラが公開されているとき、信頼は、管理者が有権者に求める好意ではなく、証拠によって支持された結論になる。それこそが、秘密投票が果たすべき正当性である。