オープンソース投票システムはパンチカードを駆逐できるか?

Joe Churchは、カナダの寒空の下、マイナーな、対抗馬もいない地元候補に一票を投じようと歩いていた。このとき、IT業界のベテランである彼は、カナダのコンピュータ・ギークらしいアイデアを思いついた。代替となる電子投票システムの開発を開始したのだ。

Churchが経営するオンタリオの新興企業CanVoteは、この、128ビット暗号化を備えたLinuxベースのインターネット/電話投票システムを使い、昨年11月の地方選挙において、11の地方自治体の95000人近い有権者にWeb投票または電話投票という選択肢を提供することに成功した。

「まずテクノロジ、ではなく、まず顧客、だった」とChurchは語る。ここでいう顧客とは地方政府のことだ。「時間も予算もあまり多くなく、電話とインターネットをどのように利用すればいいか模索していた。紙の投票に逆戻りするのだけは避けたかった。これまでとは違う、より良いものを求めていたんだ」

電子投票システムの採用に際して、まず商用ソフトウェアや大規模な投票システムベンダを検討したが、Churchによれば、既製品には目的に合ったものがなく、大企業が提供するサービスには予算が足りないということがすぐに明らかになったのだという。

そこで、セキュリティ、安定性、柔軟性に定評のあるLinuxオペレーティング環境が、うってつけの選択肢として浮上した。CanVoteのソリューションには、これに加えてオープンソースのデータベースが利用されている。

「Linuxは開発者に優しく、また、小規模な開発にも向いている」と彼は述べている。

投票システムや投票ソフトウェアでは通常、セキュリティが最重要事項となるが、Churchによると、地元住民たちは、投票に間に合うように完成させることのほうを優先したという。

「彼らが重要視したことが、Linuxでは実現できたのだ」とChurchは言う。「2年も3年もかけて研究するわけにいかなかった。選挙は目前に迫っていて、それに間に合わせる必要があったからだ。手っ取り早く形にしなければならなかった」

そして彼らが完成させたのは、Linux投票システムの核として音声応答(IVR:Interactive Voice Response)システムを利用したものだった。これは、紙の受付票を発行しなかったが、地方選挙で有権者の52%がこのシステムで投票を行った。投票率としては高いほうだ。

Churchは、オンタリオ州の地方選挙で要求される複雑さやセキュリティは、指導力が要求され、複数の候補者が複数の選挙戦を繰り広げる米国の選挙とは比べ物にならないほど低いということをすぐに認識した。「カナダの選挙は、はるかに注目度が低い。セキュリティの問題は、アメリカに比べればないも同然だ。たとえば、仮に市長が選出されなかったとしても、誰も気にしないだろう」

カナダ(場合によってははほかの国)でのより大規模な選挙に対応する計画について語ってくれたChurchは、CanVoteはオープンソース・ソフトウェアの利用を今後も続けていくと明言した。「できる限り、プロプライエタリ・ソフトウェアを利用せずにやっていくつもりだ」

これは正しいアプローチだろう。DieboldやAccentureなどのベンダが提供しているプロプライエタリな投票ソフトウェアは、米国において、セキュリティに不備があるとして手厳しい批判を受けている。一方、オープンソースのシステムは、Churchが携わった昨年11月の地方選挙のみならず、2001年に初めて採用されたオーストラリアでも成功を収め、高官によれば、近々また実施されるということだ。

オープンソースを選んだオーストラリア

カリフォルニア大学バークレー校で助教授を務める、投票ソフトウェアの専門家David Wagnerによると、オーストラリア方式(政府が十数社のベンダから企画を集め、その後単一のオープンソース・ソリューションを選択した)が、電子投票の今後の主流になっていくだろうということだ。

オーストラリアも、米国と同様、2000年の米国大統領選挙にも匹敵するほどの接戦が繰り広げられた1998年の国政選挙の際、選挙のお粗末なインフラストラクチャに気付かされたのである。

オーストラリア首都特別地域は1999年、オープンソースの投票ソフトウェアを採用した。政府は、オーストラリア選挙管理委員会と共同開発し、2001年10月の立法議会選挙で試用されたeVACSと呼ばれるシステムのコードを提供した地元企業Software Improvements社を選んだ。eVACSは今後の選挙で利用される。システムコストは15万ドル以下で、契約が締結された日から投票日までの27週間という短期間で作成された。オーストラリアの準州選挙の投票総数19万1829のうち、1万6559票(全体の8.6%)が電子的に投票され、このすべてが、投票用紙による投票と共に電子的にカウントされた。

Software Improvements社の常務Carol Boughtonは、国際化され、選挙のあらゆるシステムやシナリオに対応しているeVACSシステムは、政府選挙用に開発されてはいるが、団体や委員会の選挙にも利用できると語る。このシステムは縮小版のDebian Series 1 OS(行える操作が制限されている)で動作し、PostgreSQL 7.1データベースを使用している。

Boughtonによると、このシステムには、選挙、投票、データ入力(紙による投票分)、開票、報告の一連の流れをセットアップするモジュールが含まれている。投票受付票は発行されない。

Boughtonは電子メールで、「投票ソフトウェアは標準的なPCで動作するが、Intel 386以上のアーキテクチャを持ち、外部から隔離された各投票所のLANに接続された機器であればどれでも動作する」と語っている。「投票用の端末は基本的に、投票サーバによって制御されるダム端末だ」

投票所での中間開票は可能だが、各地区に散らばったすべての投票所を総合した結果は、開票用の別のスタンドアロン・サーバで計算されるという。

さらに、eVACSサーバ・ハードウェアは、起動時に自動的に初期化されるという。Boughtonは、UCバークレーのWagnerの意見に同意し、このシステム全体における最も重要な側面は、その透明性にあると述べている。

そして「2番目に重要なのが、必要な操作以外は行えないよう、OSを制限する機能――つまり、セキュリティ機能だ。3番目の側面は、クライアントがソースコードを持っていることで、メンテナンスやサポートの年間ライセンス料を払い続ける必要がないという点だ」と語った。

UCバークレーのWagnerは、eVACSソフトウェアをオープンソースにしたことの見返りはすでに得られているだろうという。「システムは、1つのバグも取り逃がさない外部のセキュリティ専門家によって調査されており、それによって、修正が必要なバグが1つ見つかっている」

クローズドソースの電子投票への警鐘

Wagnerは、SERVE(Secure Electronic Registration and Voting Experiment)という名で知られている米国の電子投票システムを批判したレポートの執筆者の1人である。SERVEは今年11月の大統領選挙で使用される予定だったが、Wagnerと、ローレンス・リバモア国立研究所とジョンズ・ホプキンス大学の研究者らによるセキュリティ警告を受けて採用取りやめになった。Wagnerほか3名の投票ソフトウェア専門家が出した結論によって、米国国防総省とVoter Assistance Programは、2億2000万ドルをかけ、Accentureを中心とした複数のベンダに開発させたプロプライエタリ投票システムSERVEを放棄することになった。国防総省の広報Glen Floodは当初、海外に赴任または居住している有権者のためにこのシステムを弁護していたが、このシステムを採用するためにはシステムのセキュリティ面をもっと充実させる必要があると述べた。

「SERVEをあきらめてしまったのは本当に残念だ」とWagnerは述べている。「正しい決断ではあるが、海外在住者にとっては大きな問題だ」

彼ら研究者がSERVE批判の中心的な根拠としたのは、インターネットと、ウィルス感染の可能性や不正アクセスを検出できない危険性であったが、システムのコードがAccentureやほかのベンダから開示されていないことも、重要な問題だった。認可や認定の過程で十分な精査を行えないためだ。

Wagnerは、投票ソフトウェアがパンチカードに代わる電子的な手段として確立されるための2つの重要な要素のうちの1つとして透明性を挙げている。

「問題がある場合、第三者がそれを見つけられる可能性がある」とWagnerは言う。

彼によれば、信頼性の高い投票システムとなるためのもう1つの重要な要素は、再集計の必要が生じた場合に利用する、証明可能な紙の受付票である。

また、二大政党の両方がソースコードとシステムにアクセスできるようにして、公正さを実感させれば、オープンソースのアプローチが米国でも採用可能だと示唆する。「民主党と共和党の両方が見れるようにすれば、投票ソフトウェアを信頼する理由ができるだろう」

Wagnerは、オープンソースとは、その場限りのグループが趣味で開発したソフトウェアなどではなく、コードが公開されていることであると訂正する必要があったが、コードを一般公開することは、信頼できる投票システムに欠かせない要件だという。

「投票ソフトウェアが人々の信頼を得ることができれば、多くのメリットが生まれる。投票では、透明性が特に重要視される。プロプライエタリなシステムではそこまでの信頼を得ることはできない。選挙のすべてをたった1つの企業に任せるということでは、不安を覚えるのも無理はない」

米国でオープンソースの選挙は実現するか

しかし現在のところ、共和党も民主党も、2004年選挙用のクラッキング・チームを召集する必要はなさそうだ。フロリダ州民をはじめ、紙による選挙で裏切られたことのある有権者たちはオープンソースの選挙を採用する意義を声高に主張しているが、選挙システムの認定プロセスにかかる時間を考えると、そのようなシステムは次回の大統領選挙には間に合わないだろう。

各州が選挙を滞りなく行えるよう協力するために2002年に編成された、連邦選挙補助委員会の4人の委員のうちの1人、Paul DeGregorioは、この委員会と連邦立法委員会が国立標準技術研究所とその他の科学者の協力の下で判断する問題のうち、オープンソース・ソフトウェアの役割についての問題は第一位に来るだろうと語っている。

DeGregorioは、専門家の話を聞いて考えをまとめるまでは、オープンソースとクローズドソースが選挙で果たす役割についての予測は立てられないとしながらも、「これが重要な問題になることは間違いない」と言っている。「選挙システムと、選挙システムのセキュリティについて考える際、これは必ず検討しなければならない問題だ」

Linus Torvaldsがオンタリオ州の州知事になったり、Eric Raymondがオーストラリアで大量の票を集めたりしない限り、米国政府はオープンソースへの懐疑的な姿勢を改めることはないだろう。

しかし、UCバークレーのWagnerは(彼のSERVEリサーチ・チームは、その報告書の中で、インターネットとプロプライエタリ・コードの脆弱性は「設計変更やバグフィックスによって解決できるものではない」としている)、ソースコードの公開と、投票者を確認できる監査証跡の導入で、電子投票は実現に近づくと主張する。

「解決策がないわけではないのだ」とWagnerは言う。「実現する方法はあるのに、その方法が使われていないだけだ」

Wagnerは、次回の大統領選では、電子投票を行う人数がこれまでで最大(5000万人が対象になると予測されている)になることを指摘しつつも、新しいテクノロジが登場すると、「古きよき時代」のパンチカードを懐かしむ風潮が出てくるかもしれないと考えている。

「ここ4年間は、電子投票への一番の過渡期だった。これから使っていくにしたがって、みな慣れていくだろう」

しかし、投票の大半が、受付票も発行されないタッチスクリーン技術で処理されることで、今度の11月の選挙ではまた問題が起きるだろうとWagnerは予想している。

「心配するにはそれなりの理由がある。タッチスクリーン方式では、もし争議があった場合にも再集計ができないのだ。紙での投票なら、調査する対象は少なくともある。形式はどうあれ、パンチカードはもう使えない。これは果たして改善なのかどうか、私にはわからない」