サマリー

  • 選挙監査可能性とは、受理された各票が、資格を有する会員から権限を与えられた代表者を通じて投じられたことを証明するものであり、すべての本人確認書類、電子メールアドレス、投票内容を公開することではない。
  • プライバシーは、資格ルール、関連会員による支配、候補者の利益相反、例外的な資格変更、あるいは結果に対して実施された独立した保証を隠蔽するために持ち出される場合、説明責任の問題となる。
  • 防御可能な設計は、会員登録簿、代表権限、投票用資格情報、暗号化された投票用紙、監査証拠を分離し、各層に目的制限、短期間の保持期間、アクセスログを設ける。
  • 会員は公開されたルールと集計結果を受け取り、真に独立した監査人は、選挙人名簿、資格情報の発行、投票の完全性、申告された利益相反を検証するのに十分な、範囲を限定された記録を受け取る。

誤った選択

選挙をめぐる紛争では、しばしば二つの絶対的な要求が生じる。一方は、投票者名簿、所有記録、代表者名、そしてすべての資格情報を追跡可能にするのに十分な詳細を求める。もう一方は、プライバシーと投票の秘密を盾に、意味のある情報は一切公開できないと主張する。いずれの立場も、もっともな懸念から出発している。しかし、そのどちらも、会員が統治するレジストリにとって持続可能な憲章を提供するものではない。

団体の選挙は、単にソフトウェアが集計結果を出力したというだけで信頼に足るものではない。会員は、選挙人名簿が定款に基づいて定義され、資格情報が適切な人物に届けられ、関連口座が規則で否定されている権利を受け取らず、委任状が有効であり、開票結果が受理された票を反映しているという確証を必要とする。これらの事実には、記録と検証が必要である。

一方で、無差別な開示は害をもたらす。会員ファイルには、個人の住所、署名、法人抄本、本人確認書類、直接の連絡先、係争中あるいは制裁対象の事業体に関する情報が含まれている場合がある。これらの記録を公開すれば、人々を詐欺、嫌がらせ、政治的な報復に晒すおそれがある。また、法的義務に違反し、会員がデータを正確に保つ意欲を失わせる可能性もある。

投票の秘密は、さらにもう一つの保護層を加える。秘密投票は、候補者、雇用主、政府、団体の役員が、個人がどのように投票したかを確認することを防ぐ。それは独立した判断を保護し、強制のリスクを低減する。指名された選択を再構築する監査は、たとえすべての票数が数学的に正しくとも、選挙そのものを損なうだろう。

したがって、設計上の課題は分離にある。資格は、選択を暴露することなく検証できる。権限は、本人確認書類を公開せずに確認できる。共通支配は、あらゆる私的な関係の地図を公開することなく審査できる。集計結果の所見は、詳細な証拠が適切に制約された監査人のみに提供される一方で、公共の信頼を支えることができる。

プライバシーと監査可能性は、いずれも正確に定義されれば、相反する価値ではない。プライバシーは不必要な収集、アクセス、開示を制限する。監査可能性は、権限を与えられた審査者が、保存された証拠に対して重要な主張を検証できるようにする。どちらも欠いたシステムは恣意的である。一方しか備えていないシステムは、不透明であるか、危険なほどに露出している。

選挙が証明すべきこと

出発点は、文書の一覧ではなく、一連の主張の一覧である。第一に、各投票権は、関連する基準日において、統治規則に基づき資格を有する会員に対応していなければならない。第二に、資格情報を受け取る、または使用する人物は、当該会員のために行動する権限を与えられていなければならない。第三に、複数の口座や関連する取り決めに付随する投票権は、一貫して適用されなければならない。

第四に、登録および資格情報の変更は、公表された期限までに締め切られ、定義された例外にのみ従わなければならない。第五に、各資格情報は、意図されたとおりにのみ使用可能であり、投票方法が許容する以上の回数、受理されてはならない。第六に、有効な投票は正確に算入され、無効または期限後の提出は公表された規則に従って処理されなければならない。

第七に、委任状および代理には、追跡可能な権限の連鎖がなければならない。第八に、候補者、理事会メンバー、スタッフ、ベンダー、監査人は、選挙運営に関連する利益相反を開示または管理しなければならない。第九に、投票システムは秘密を保持し、単一の通常の運営者が身元と選択を結びつけられないようにしなければならない。

最後に、公表された結果は、監査された集計および明示された投票方法と一致しなければならない。選挙が優先順位付けやその他の単純でない集計を用いる場合、その実装とタイブレーク規則が説明可能でなければならない。会員は正当性の主張を理解するためにあらゆる暗号の詳細を知る必要はないが、その方法がベンダーだけに知られた秘密であってはならない。

これらの主張は、最小限の証拠を特定する。登録簿のスナップショットは資格を支える。権限記録は代表を支える。資格情報発行ログは一意性を支える。匿名化された投票記録と検証可能な集計は結果を支える。利益相反の申告は独立性を支える。いずれの主張も、申請者のパスポートを掲示したり、指名された投票者と選択を結びつけたりする必要はない。

主張を定義することは、保持期間の規律にもつながる。団体は、選挙を証明し、法的義務を果たし、時宜にかなった異議を解決するために必要なものを保持すべきであり、保管コストが安いという理由だけで、すべての中間出力を無期限に保存すべきではない。監査可能性は、意味が明確なままの精査された証拠に依存するのであり、個人データの無秩序な倉庫に依存するのではない。

選挙上のアイデンティティの層

「投票者の身元」は一つの事実ではない。少なくとも五つのアイデンティティが存在しうる。法的会員は、団体への加入を認められた個人または組織である。登録上の連絡先は、会員詳細を維持する権限を与えられた人物である。会合代表者は、参加するために登録された人物である。資格情報保持者は、投票アクセスが発行される人物またはアドレスである。受益者または支配当事者は、一つまたは複数の法的会員の背後に位置する場合がある。

これらのアイデンティティは一致することもあるが、多くの場合一致しない。企業は従業員を登録担当に指名し、外部アドバイザーを出席させることがある。公的機関は、選挙や大臣交代の後に代表者を変更することがある。企業グループには複数の法的会員が含まれる場合がある。個人会員は直接行動することもある。一つの電子メールフィールドをアイデンティティ全体として扱うことは、セキュリティとガバナンスの両方に誤りを生む。

データモデルは、これらの区別を保持すべきである。会員レコードは法的地位を確立する。権限レコードは、誰が代表者を任命でき、どの期間に任命できるかを定める。登録は会合の役割を記録する。資格情報発行は、送付先と状態を記録する。別途の支配審査は、適用される関連会員ルールの下で必要な結論と証拠のみを記録する。

役割の分離は、訂正をより安全にする。送付先住所の変更は、会員の法的アイデンティティを書き換える必要はない。代表者の撤回は、会員資格を終了させる必要はない。法人抄本の更新は、過去の投票参加を暴露する必要はない。各アクションは、それが変更する層に対してログを残すことができる。

また、プライバシー通知も改善される。団体は、会員資格のために法人証拠が、管理のために連絡先詳細が、投票のために認証データが、保証のために限定的なログが、なぜ必要なのかを説明できる。会員は、どの情報が必須で、誰がそれを受け取り、いつ削除されるのかを知ることができる。データが「サービス」のために使われるという単一の曖昧な声明は、情報に基づく信頼を支えない。

監査人は、これらの層の地図を必要とする。そうでなければ、すべての資格情報に電子メールアドレスが存在することを検証できても、複数のアドレスが一人の権限のない人物によって管理されていたことを見落とすかもしれない。逆に、機関がどの狭いフィールドが各主張を立証するのかを示せないがために、過剰な身元情報を要求するかもしれない。

会員登録簿は投票用紙ではない

団体は、法的および管理上の理由から、会員の登録簿を必要とする。その登録簿へのアクセスの範囲は、準拠法、定款、および適用されるデータ保護義務に従う。アクセスルールにかかわらず、登録簿はデフォルトで公開される投票者名簿として扱われるべきではない。

会員資格の地位は、会員が特定の会合に登録したこと、資格情報を受け取ったこと、または投票したことを証明しない。これらの段階を混同する公開リストは、棄権または参加を誤って示唆するおそれがある。敏感な法域では、指名された代表者が物議を醸す選挙に登録したことさえ明らかにされれば、リスクを生む可能性がある。

選挙には、日付入りの資格スナップショットが必要である。そのスナップショットは、会員識別子、資格状態、関連する口座ルール、登録状態、解決済みの例外を記録すべきである。個人の連絡先詳細は、あらゆるファイルにコピーされるのではなく、管理された識別子を通じて参照できる。スナップショットは、後の変更に対して封印され、訂正は理由を付した追加として記録されるべきである。

会員は、スナップショットから集計統計を受け取ることができる:総資格会員数、登録者数、発行資格情報数、受理投票数、期限後登録、例外的変更。有用かつ安全な場合、数値は広域地域または会員タイプ別に分割できる。小さなセルは、算術によって個人を識別することを避けるため、抑制または結合されるべきである。

候補者は、一般大衆よりも強い保証を必要とするかもしれないが、無制限のアクセスではない。候補者のオブザーバーは、定義された統制を目撃し、墨消しされた例外記録を検討し、監査人の所見を受け取ることができる。彼らは守秘義務条項に署名すべきであり、投票者に圧力をかけたりプロファイリングしたりするために使用できるリストを決して入手すべきではない。

この区別は、民主的な参加を保護する。団体は、公開の出席調書を作成することなく、登録簿と選挙人名簿が整合していることを証明できる。また、透明性とは投票した、しなかった全員の名前を明らかにすることだという、広く浸透した危険な前提を正すこともできる。

共通支配と協調する会員

複数の法的会員が所有権、経営陣、資金、代表者を共有する場合、選挙の説明責任はより困難になる。一部の構造は通常のものである:企業グループは異なる国で別個のネットワークを運営することがあり、公的機関は異なる法的アイデンティティを持つことがある。他の構造は、影響力を最大化するために作成または再編成されるかもしれない。プライバシーは、その区別を無視するための包括的な理由にはなりえない。

統治規則は、まず何が問題になるかを明示しなければならない。グループの所有権にかかわらず、各法的会員は一票を有するのか?複数の LIR 口座を持つ一会員は一票を保持するのか?委任状には制限があるのか?最近加入した会員は異なる扱いを受けるのか?監査人は、会員が決して採用しなかった共通支配の制限を推論することはできない。

支配が資格に影響を与える場合、団体はそのルールを適用するために必要な最小限の証拠を収集すべきである。法人登記簿、所有権申告、権限ある署名者の記録、制裁スクリーニングが関連するかもしれない。機関は、所有権、運営上の提携、共通の代表、単なる商業的関係を区別すべきである。弁護士や上流プロバイダーを共有することは、必ずしも支配を確立するものではない。

機微な所有権情報は公開される必要はない。資格を有する審査者がそれを調査し、結論、根拠、日付、確信度を記録し、未解決のケースにフラグを立てることができる。公開報告では、潜在的な関連会員クラスターがいくつ審査され、何件の資格が変更され、異議申し立てがなされた決定があったかを述べることができる。

候補者は、開示されていない支配の証拠を提起するチャンネルを必要とする。異議申し立ては、国籍や個人的な関係についての噂ではなく、事実を特定すべきである。中立的な審査者がその主張を検証し、対象者を不必要な露出から保護すべきである。新規会員を威嚇するために設計された軽薄な異議申し立ては、行動規範の下で結果を伴うべきである。

対称性が不可欠である。企業グループ、国家関連事業体、大学コンソーシアム、非営利ネットワークは、憲法上のルールが適用される場合同じ支配テストに直面すべきである。政治的に不人気なセクターを選択的に精査することは、支配防止策を選挙上の差別に変えることになる。

代表権限と委任状リスク

法的会員は人間の行動を通じてのみ投票できる。団体は、登録する、委任状を指名する、あるいは資格情報を受け取る人物に権限があることを知らなければならない。これは狭い命題だが、弱い権限管理は、元従業員、コンサルタント、または侵害された口座が会員に成り代わって発言することを許すおそれがある。

権限は、維持された連絡先階層、署名入りの任命書、検証された法人チャンネル、または会員の法的形態に適した他の方法を通じて確立されるべきである。ルールは、個人、企業、公的機関、および標準的な文書が異なる法域の組織を考慮すべきである。同等の保証が、同一の書類よりも重要である。

選挙間近の変更は、投票の方向を変えうるため、追加の審査に値する。新しい電子メールアドレス、代表者の交代、または委任状は、要求者、検証者、証拠、理由のタイムスタンプ付き記録を作成すべきである。古い資格情報は、新しいものが有効になる前に失効させるべきである。理事会候補者や選挙運動支持者は、投票権者に関わる例外的な変更を承認すべきではない。

委任状ルールは、数量、タイミング、形式、撤回について明示的であるべきである。委任状所持者は、定款が許すのであれば合法的に複数の指図を携行できるが、集中は強制と運用リスクを生みうる。委任状数の集計開示と異常に大きな保有は、投票選択を明らかにすることなく精査を可能にする。

団体は投票指図の収集を避けるべきである。会員は委任状所持者にどのように投票するかを伝えることができるが、選挙管理者はその内容を権限の検証のために必要としない。それを保管することは秘密を弱め、攻撃対象を魅力的なものにする。管理者が知る必要があるのは、任命が有効であることだけであり、その背後にある政治的合意ではない。

選挙後、争われた権限は、開票前に確定された記録に照らして審査されるべきである。上級職員による非公式な記憶では不十分である。明確な連鎖が、会員、代表者、結果を保護すると同時に、定義された法的行為の証拠に個人データを限定する。

投票の秘密は障害ではなく統制である

監査可能性を求める一部の要求は、審査者が各会員を各選択に結びつけなければならないと想定している。それは誤りである。秘密投票システムは、身元を投票から分離する前に資格を確立するように設計されている。監査は、その分離を破るのではなく、検証すべきである。

資格情報発行時、システムは資格を有する会員が一つの有効な投票手段を受け取ったことを記録できる。投票提出時、システムは資格が使用されたことをマークする一方で、選択を、もはや会員身元を保持しないストアに移すことができる。暗号的または組織的な統制により、単一の管理者がリンクを利用できないようにすることができる。

正確な設計は投票プラットフォームに依存するが、原則は安定している:投票者を認証し、投票用紙を匿名化し、投票箱を保護し、その後監視の下で集計する。ログは、選択を再現することなく状態変化を実証すべきである。管理インターフェースは、単に便宜のために、指名された投票用紙を表示すべきではない。

秘密はまた、メタデータへの注意を必要とする。提出時刻、IP アドレス、ブラウザフィンガープリント、稀なランキングパターンは、名前が除去されていても再識別を可能にしうる。選挙は、文書化された脅威によって正当化されるセキュリティデータのみを収集し、それへのアクセスを制限すべきである。公開は、公の声明と照合できない集計値を用いるべきである。

会員は、強制者に選択を証明する譲渡可能な受領証を受け取ることなく、自分の投票が含まれているという確証を必要とする。確認は、受付成功を示すことができ、あるいは検証メカニズムは匿名化された集合への包含を証明できる。それは、雇用主によって売られたり要求されたりする証拠になるべきではない。

監査人は、資格情報から受付への移行のサンプルをテストし、匿名化された投票用紙から別途集計を再計算できる。この二つを結びつけられないことは、監査の欠落ではなく、健全な設計の兆候である。重要な調整は、数値的かつ手続き的である:発行、失効、使用、受理、集計された状態は、ルールの下でバランスが取れていなければならない。

候補者の利益相反と選挙運動の知識

候補者は、選挙の完全性について正当な利害を有する一方で、選挙人名簿を変更しうる決定について直接の利益相反を有する。彼らは、選挙戦のかなり前に一般的なルールの形成を支援し、公表された保証への平等なアクセスを受けるべきである。自らの選挙運動中に、個別の資格、資格情報、プライバシー紛争を解決すべきではない。

現職候補者は、理事会の地位がスタッフ、法的助言、または秘密報告書へのアクセスを提供しうるため、特別なリスクを呈する。ガバナンスの取り決めは、運営上の選挙情報がすべての候補者に平等な条件で届くようにすべきである。理事会の監督は、関連期間中、非候補者または独立した選挙機能に委任できる。

選挙運動は、ルールとデータの根拠が許す場合、公開された会員連絡先を合法的に使用できる。レジストリサービスのために収集された管理用連絡先データは、自動的に選挙運動のメーリングリストになるべきではない。会員は、候補者がどの連絡チャンネルを受け取るのか、どのような条件で、どのようなオプトアウトまたは目的制限があるのかを知るべきである。

スタッフとベンダーは、候補者、重要な会員グループ、選挙運動アドバイザーとの関係を開示すべきである。利益相反は、常に排除を要求するとは限らず、忌避、監督、または再割り当てを要求することがある。記録は、取られた措置を示すべきである。全員が専門的に行動したという一般的な保証は、僅差の結果の後では弱すぎる。

候補者が指名したオブザーバーは、そのアクセスが対称的かつ限定的である場合、信頼を高めることができる。彼らは、選挙人名簿の封印、テストセレモニー、集計検証、例外審査を目撃することができる。彼らは、個人文書や生の投票選好を見るべきではない。彼らの報告書は、統制が遵守されたかどうかを、競合する投票者データの情報源になることなく記すことができる。

選挙運動のプライバシーも重要である。候補者は脅迫を受けたり、指名資料の中で個人情報を開示したりするかもしれない。団体は、適任性、所属、利益相反に関連する情報を公開する一方で、不必要な自宅住所、身分証明番号、家族データは避けるべきである。選挙の透明性は、個人の全面的な露出ではなく、公的責任に関わる。

最小開示の保証設計

実践的な設計は、目的別のストアから始まる。会員ストアは、法的アイデンティティ、地位、サービス記録を保持する。権限ストアは、代表者と任命証拠を保持する。選挙登録簿は、資格属性と基準日時点の状態を保持する。資格情報サービスは、配送と使用状態を把握する。投票箱は、通常の身元フィールドなしで選択を保持する。監査保管庫は、署名済みスナップショット、ログ、レポートを保存する。

アクセスは機能に従うべきである。会員スタッフは、法的記録は必要だが、投票内容は不要である。選挙ベンダーは、検証された資格情報は必要だが、完全なデューデリジェンスファイルは不要である。集計機能は、投票用紙は必要だが、連絡先詳細は不要である。監査人は、各主張に必要な証拠へのスコープ付き読み取りアクセスを受け取る。管理者は、単に技術的に便利だからといって広範なアクセスを取得すべきではない。

識別子は、ストア間で変換できる。会員番号は、投票箱に現れる必要はない。選挙固有のランダム識別子が調整を支援できる。マッピングは厳重に管理されるべきであり、資格情報検証後に可逆的マッピングが不要であれば、保持すべきではない。技術的な詳細は、直感で匿名と宣伝するのではなく、再識別リスクについてテストされるべきである。

すべてのエクスポートは、所有者、目的、作成時刻、アクセスログ、削除日を持つべきである。電子メールや個人ストレージにコピーされたスプレッドシートは、アーキテクチャを台無しにする。機微な審査は、墨消しツールと無制限のダウンロードがない管理された環境で行われるべきである。緊急アクセスは記録され、審査されるべきである。

保持期間は異なりうる。会員登録簿は、会員資格と法的義務が要求する限り存続する。代表権限記録は、定義された履歴期間を必要とするかもしれない。投票の身元分離は、保証が許す限り速やかに不可逆的になるべきである。集計結果と署名済み監査報告書は、恒久的な機関記録の一部として残ることができる。

この設計はリスクゼロを約束するものではない。身元、権限、選択を結合できる人数とシステムの数を減らすのである。また、責任を可視化する:後の審査で、誰がどの層に、なぜアクセスしたかを特定できる。プライバシーは、質問を拒否する理由ではなく、ガバナンスの設計された特性となる。

狭い権限を持つ独立監査

独立性は、単に外部の企業を雇うことで達成されるものではない。監査人の任命、支払い、範囲、専門知識、利益相反、報告権限が、会員がその作業に依拠できるかどうかを決定する。投票システムを構築したベンダーも、有用な技術的保証を提供できるかもしれないが、自らのパフォーマンスの唯一の判定者であってはならない。

権限は、選挙人名簿のスナップショット、基準日後の変更、資格情報の発行と失効、委任状管理、投票箱の完全性、集計の再現、インシデント処理、公表結果との調整を網羅すべきである。範囲外の質問を明示すべきである。共通支配や会員加入が除外されている場合、会員は監査がすべての投票者が実質的に独立していることを証明したと言われてはならない。

監査人は、各主張をテストするのに適合する最小限の個人データを受け取るべきである。安全な設定で完全な証拠を検査し、仮名識別子を用いてサンプルを選択し、ソース文書を保持することなく例外を記録することができる。契約条件は、再利用を禁止し、侵害通知を要求し、異議が終了した後に削除義務を定めるべきである。

選定は政治的依存を避けるべきである。非候補者の理事会委員会、会員が承認した方針、または持ち回りの複数名パネルが調達を監督できる。候補者は、答えを選ぶことなく、提案されたテスト質問を提出できるべきである。候補者、理事会メンバー、スタッフ、またはベンダーとの重要な事前関係は開示されるべきである。

最終報告書は、判断を支えるのに十分な実質を備えた公開部分を必要とする。テストされたルール、母集団とサンプル、例外、未解決の制限、集計の調整、監査人の結論を述べるべきである。秘密の附属書には、開示がセキュリティや個人データを暴露する詳細を含めることができる。「問題は見つからなかった」という方法や範囲のない報告は保証ではない。

独立性には、不同意を報告する権利も含まれる。経営陣は事実誤認を訂正できるべきだが、限定意見を抑制することはできない。会員は、監査人が完全なアクセスを持っていたか、要求された証拠が入手不能であったかを知るべきである。限界についての透明性は、絶対的な証明書よりも信頼できる。

例外はプライバシーが権力を隠しうる場である

ほとんどの選挙記録は日常的である。最大のガバナンスリスクは、しばしば例外に宿る:期限後に受理された登録、転送された資格情報、復活した会員資格、免除された権限文書、通常の締切後に訂正された委任状。関係者に関するプライバシーは必要だが、例外を不可視にしてはならない。

各例外は、公表されたカテゴリ、事実上の理由、承認した役割、利益相反チェック、タイムスタンプを持つべきである。根底にある個人の証拠は制限されたままでよい。選挙登録簿は、審査者が必要とする以上を明らかにすることなく、変更が発生したことを示すべきである。「その他」カテゴリの繰り返しの使用は、ルールが曖昧すぎることの警告である。

候補者は、可能であれば投票終了前に例外の集計値を受け取り、その後完全な監査済みサマリーを受け取るべきである。突然の説明できない増加は、投票者の名前を挙げることなく疑問視されうる。例外が結果の差に実質的に影響する場合、監査人はその法的および数値的な取り扱いをより詳細に説明すべきである。

一貫性の審査が不可欠である。同等の申し立ては、同等の救済を受けるべきである。ある会員が検証済みの電話で失われた資格情報を交換できるのに、別の会員がスタッフがその法域に不慣れであるというだけの理由で拒否されるべきではない。合理的な区別は正当だが、文書化されていない差異は正当ではない。

緊急ルールは事前に採択されるべきである。サービス停止、紛争、制裁、自然災害、ベンダーの障害は、代替の期限やチャンネルを正当化するかもしれない。それらのルールを作動させる権限は、選挙運動から分離されるべきであり、その範囲は混乱よりも広くあるべきではない。選挙後の報告書は、何が変更されたかを述べるべきである。

プライバシーは、例外の対象を露出から保護する。それは、意思決定者を説明責任から保護するものではない。この区別が最小開示監査の核心である:権限と一貫性を精査し、正当性のテストに何も加えない個人的状況を保留する。

投票者を露出させない公開報告

公開選挙報告書は、憲法上の事実から始めるべきである:基準日における資格会員数、登録投票者数、発行・失効・交換された資格情報数、受理された投票数、無効または期限後の試行数、委任状、投票率、最終結果。定義は選挙間で一貫して維持し、傾向が意味を持つようにすべきである。

次に、保証について記述すべきである。誰が選挙を管理したのか?誰が監査したのか?どのシステムとルールがテストされたのか?インシデント、例外、限定事項、未解決の苦情はあったか?監査人は集計を再現したか?アクセスは完全だったか?これらの回答により、会員はクリーンな選挙と、単に磨かれた発表とを区別できる。

プライバシーを保護する内訳は、アクセスを明らかにしうる。地域、広域セクター、登録チャンネル、または初回参加は、カテゴリが十分に大きく、合法的なデータに基づいている場合に報告できる。報告書は、小さなグループを組み合わせることで読者が個人を特定できるようなクロス集計を避けるべきである。

公表のタイミングも重要である。基本的な投票率と結果の情報は速やかに表示されるべきである。より完全な監査は審査後に続くかもしれないが、スケジュールは発表されるべきである。異議申し立てが未解決の場合、報告書はその状況と、結果がルールの下で認定されているかどうかを述べるべきである。

歴史的な比較可能性は、異常を明らかにすることができる。登録、委任状集中、資格情報交換、例外率の突然の変化は説明に値する。それらは不正を証明するものではない。安定した系列は、会員に、さもなければ噂になっていたであろう質問のための事実に基づく根拠を与える。

報告書は、指名された棄権者リストを含んだり、参加メタデータから政治的選好を推測したりしてはならない。候補者は、誰がどのように投票したかの証拠を受け取ることなく、支持者に感謝することができる。機関は、管理と結果を説明することによって、また、団体の市民を選挙運動の監視に晒すことなく、説明責任を示す。

アクセス、訂正、異議申し立てに関する会員の権利

会員は、安全なチャンネルを通じて、自身の法的アイデンティティ、代表権限、登録状態、資格情報の状態を確認できるべきである。公表された期限前に不正確な点を訂正し、変更が受理されたときに確認を受け取ることができるべきである。この個人の可視性は、広範な開示なしに多くの紛争を防ぐ。

訂正ルールは、事務的なデータを実質的な資格から区別する必要がある。名前の綴り間違いは、加入を再開することなく修正できる。新しい法人格、争われた権限、支配関係は、より完全な審査を必要とするかもしれない。システムは、会員に推測させるのではなく、結果と予想される時間を説明すべきである。

選挙異議申し立ては、申し立てられた違反ルール、裏付け事実、要求される救済を特定すべきである。期限は、問題を発見するのに十分長く、証拠と最終性を保存するのに十分短くあるべきである。審査者は、候補者および異議の対象となった元の決定から独立しているべきである。

異議の対象者は、通知と、セキュリティを損なわない場合には応答の機会に値する。秘密証拠は保護された取り扱いを必要とするかもしれない。結果は、当事者に理由を伝え、問題が一般的な信頼に影響する場合には公開のサマリーを提供すべきである。

救済は比例的であるべきである。投票前に発見された資格情報の誤りは訂正できる。無効票は、秘密とルールが許すのであれば除外できる。結果に影響する体系的な失敗は、再実施を必要とするかもしれない。すべてのプライバシー侵害が集計を変えるわけではないが、深刻な開示は依然として通知、封じ込め、ガバナンス改革を必要としうる。

会員はまた、過剰な収集やアクセスについて苦情を申し立てる経路を持つべきである。選挙の完全性は、本人確認書類を無関係な分析に使用したり、連絡先リストを選挙運動のために保持したりすることを正当化できない。説明責任は双方向に走る:投票者は資格ルールを遵守しなければならず、団体は証拠が提供された際の制限を尊重しなければならない。

両方の価値を試す脅威

資格情報の盗難は明らかな脅威である。攻撃者は電子メールを侵害したり、代表者になりすましたり、古い連絡先を悪用するかもしれない。強力な認証、変更通知、失効、代替復旧がリスクを低減する。復旧は、実際に権限を証明するかどうかを評価せずに、さらに多くの身元データを収集することを避けなければならない。

内部関係者のアクセスも同様に重要である。スタッフやベンダー要員は、選挙人名簿をエクスポートしたり、資格情報を転送したり、メタデータを検査できるかもしれない。最小権限、二重承認、改ざん防止ログ、選挙後のアクセス審査は、悪用をより困難にし、検出可能にする。先任順位は、記録されないバイパスを提供すべきではない。

強制は、雇用主、政府、ビジネスパートナー、候補者からもたらされうる。秘密投票と非譲渡性の確認は、検証可能性を低下させる。集中した委任状の取り決めと公開投票者名簿は、それを増大させる。行動規範は圧力を禁止し、秘密の報告チャンネルを提供すべきである。

偽情報は不透明性を悪用する。何千人もの無資格投票者が加入を認められたという虚偽の主張は、法的な説明よりも速く拡散しうる。準備された集計データ、独立監査人、迅速なインシデントコミュニケーションにより、機関は個人ファイルを投げ出すことなく回答できる。

データ侵害は、異なる正当性の失敗を生み出す。露出した本人確認書類や代表者リストは、たとえ票数が正しいままであっても、会員に害を及ぼしうる。インシデント計画は、選挙の有効性とプライバシーへの影響を分離し、両方を調査し、一方が生き残ったからといって他方を過小評価してはならない。

最後に、過剰収集それ自体が脅威である。すべての IP アドレス、デバイス信号、連絡履歴、所有権文書を保持するシステムは、抗いがたい権力の集中を生み出す。セキュリティは脅威モデルと必要性に基づくべきであり、より多くのデータが常により多くの保証を生むという信念に基づくべきではない。

すべての選挙の前のテスト

登録開始前に、団体は資格日、権限方法、委任状ルール、例外カテゴリ、監査範囲、保持スケジュール、候補者アクセスルールを承認すべきである。その後の変更は稀であり、理由付けられ、可視的であるべきである。安定したルールは、特定の会員に関してプライバシーの判断が即興で行われるのを防ぐ。

リハーサルでは、異なる法的形態と法域のサンプル会員をテストすべきである。新しい代表者、失効した連絡先、複数口座、委任状任命、資格情報の喪失、アクセシビリティのニーズをカバーすべきである。目的は、実際の投票がそれらに依存する前に、不平等な負担を見つけることである。

選挙チームは、会員登録簿と選挙登録簿を調整し、すべての除外を文書化すべきである。第二の審査者がサンプルとすべての例外をテストすべきである。候補者の利益相反は、管理者、ベンダー、監査人に対してチェックされるべきである。アクセス許可は、資格情報が発行される直前にレビューされるべきである。

投票中、監視はシステムの健全性、重複使用の試み、不正な変更、事前に定義された脅威に焦点を当てるべきである。それは政治的プロファイリングになるべきではない。あらゆる緊急アクションは、不変の記録を保持し、二重承認を受けるべきである。

終了時、投票箱は封印され、集計は再現され、資格情報の状態は調整されるべきである。オブザーバーと監査人は、手続きが遵守されたかどうかを記録すべきである。公表された合計は、検証なしに手動で再入力されるのではなく、同じ認定結果から生成されるべきである。

その後、個人データは計画された保持状態に移行すべきである。一時的なエクスポートは削除され、アクセスは除去され、インシデントは審査され、保証報告書が公開されるべきである。教訓は次の選挙を改善できるが、遡及的な変更は、完了したばかりの選挙の証拠を書き換えてはならない。

正当なプライバシーの基準

プライバシーは、人々を不必要な露出から保護しながら、制度的権力を審査可能なままにする場合に正当である。職員が、誰が資格を得たか、誰が例外を承認したか、集計が独立してテストされたかを説明するのを避けるために「データ保護」と言うことができる場合、それは正当ではない。

監査可能性は、定義された選挙の主張を、比例的な証拠でテストする場合に正当である。候補者が、支持者と反対者をマッピングするために、本人確認書類、所有権調書、または指名された参加記録を要求する場合、それは正当ではない。

この区別は、四つの質問で表現できる。何の事実が証明されなければならないか?それを証明する最小限のデータは何か?誰が真にアクセスを必要とするか?対象を露出させることなく、どのような公開結論が発表できるか?機関が四つすべてに答えられない場合、その設計は過少監査か過剰露出のいずれかである。

そうすれば、信頼は補完的なアクターに依拠する。会員スタッフは正確な法的地位を維持する。選挙管理者は固定ルールの下で資格情報を発行・失効させる。投票システムは身元を選択から分離する。監査人は結合と分離をテストする。会員と候補者は、強制のツールを入手することなく、権力に異議を唱えるのに十分な情報を受け取る。

この構造はまた、僅差の選挙戦の後の不可能な要求から団体を保護する。記憶を信頼するよう会員に求めるのではなく、封印されたスナップショット、ログ、理由、独立した報告書を提出することができる。信頼できる代替手段がすでに存在するため、侵襲的な開示を拒否することができる。

結果は秘密ではない。それは規律ある可視性である。ルール、合計、例外パターン、監査範囲、結論は公開される。個人証拠は管理された審査の下で利用可能である。投票は秘密のままである。アクセスそれ自体がログに記録され、説明責任を負う。

ガラスの選挙人団でもブラックボックスでもなく

完全に透明な選挙人団は、意味のある意味で民主的ではないだろう。すべての代表者、資格情報、投票選択が追跡可能であれば、強力な組織は服従に報い、異議を罰することができる。参加は監視コストを伴うだろう。形式的な透明性は政治的自由を破壊するだろう。

完全に不透明な選挙人団は、反対の理由で失敗するだろう。会員は、登録簿が有効な投票者を認めたか、支配された口座を増殖させたか、遅れた代替を優遇したか、正確に集計したかを知ることができないだろう。投票の秘密は、行政裁量の隠れ蓑になるだろう。

防御可能な中間点は、漠然とした妥協ではない。それは、目的制限、データ分離、独立したアクセス、集計報告、合理的な異議申し立ての特定のアーキテクチャである。各層は、別のアクターが必要とするものを明らかにし、濫用を生み出しうるものを保留する。

RIPE NCC にとって、賭け金は一つの選挙を超える。レジストリは、会員と資源保有者に対し、正確な記録を維持し、法的証拠を提出し、共有された技術システムを信頼するよう求める。もしその自身のガバナンスがプライバシーを隠蔽として扱い、監査を露出として扱うならば、それは登録が依存する規範を弱める。

会員は、投票後に三つのことを言えるべきである:私の組織の権限は正しく記録された;私たちがどのように投票したかは誰にも証明できない;そして独立した審査者が結果を検証するのに十分な証拠を持っていた。候補者は、標的リストを入手することなく例外に異議を唱えることができるべきである。一般大衆は、個人ファイルを見ることなく、機関の保証を理解できるべきである。

それが正当性の閾値である。資格、権限、一意性、利益相反、票数を検証する。ルール、規模、例外、結論を公開する。個人証拠は説明責任を負う審査者に制限する。身元と選択の間のリンクを断つ。正当化された目的にもはや役立たないものは削除する。

会員プライバシーと選挙監査可能性は、異なる露出を統治するため、両立可能である。プライバシーは投票者と会員を保護する。監査は、審査不可能な権力から団体を保護する。成熟したレジストリ選挙は、設計によって両方を行う。ガラスの選挙人団もブラックボックスも残さない。

そのバランスは、選挙のたびに新たに示されなければならない。