政府主導の感染者追跡アプリについて知っておくべきこと

David Strom, 2020年5月28日

世界中で、感染者を追跡するスマートフォンアプリを展開・計画している国がいくつかあります。こうしたアプリは私たちのプライバシーにとって何を意味するのでしょうか?

米国含むいくつかの国では、新型コロナウイルス感染者との接触を追跡するスマートフォンアプリのリリースを計画しているか、またはすでに展開しています。このようなアプリは、地域の保健所が感染者とその濃厚接触者を把握し、感染の広がりに関する洞察が得られるように設計されています。

しかし、感染者追跡アプリには課題もあります。

第一に、このトラッキングデータはどのように収集され、誰がアクセスできるのか。当局はこの位置情報をどのくらいの期間保管するのか。プライバシーの侵害を防ぐためには何らかの対策が不可欠です。例えば、ほとんどのアプリは、ユーザーの携帯電話に収集したデータを保存するだけです。アメリカ自由人権協会は、これらのデータのすべてが正確でないことを懸念しており、白書でその他のプライバシー問題も提起しています。アプリはさまざまな暗号化プロトコルや暗号化レイヤーを活用していますが、中には他のものよりも優れているものも存在します。ここでの目的は、ユーザーデータを匿名化し、ハッカーを寄せ付けないようにすることです。完成前にリリースされたオランダのトラッキングアプリがハッキングされたという報道があったように、どんなシステムも100%安全ではありません。

第二に、十分な数の検査結果と接触者の追跡情報がなければ追跡データには意味がありません。米国など、多くの国では、誰が感染していて誰が感染していないかを把握するために必要な検査が十分に行われていません。ハーバード大学の論文では追跡が効果を発揮するためにはどれだけの検査が必要かについて調査されていますが、感染の広がりを本当に追跡するには、1日に数百万人程度の検査を実施する必要があることが明らかとなりました。そして、たとえこのハードルを越えたとしても、どのコミュニティが危険にさらされているかを保健機関が把握するために、さらにその人たちの接触者にフォローアップし、追跡する人手も必要です。

第三に、こうしたアプリの弱点は、GPSネットワークに依存している点です。正確な位置情報を取得することが実際には不可能であることを考えると、アプリの有用性を制限していると言えます。GPSアプリの誤作動で変な道に誘導されたことはありませんか?アプリの正確性を高めるためには、複数の人の位置情報、または近くのユーザーのBluetoothスキャンにより、他のデータとのクロスチェックが必要です。例えば、台湾では各ユーザーが保健所に電話をして、中央管理機関に対して自分の位置情報の履歴をクロスチェックし、接触があった場合には検査を要求しています。

最後に、スマホアプリを持っているからといって、すべての人がそのアプリを使用するとは限らないという点が挙げられます。中国など一部の国では、入国者全員にアプリのダウンロードと、携帯電話とパスポート情報の連携を要求しています。一方シンガポールでは、アプリを利用している人はごく一部に限られています。実際には、その国の文化、政府のあり方、政府によるウイルスの説明をどこまで信用できるかにかかっています。今挙げた点は、技術とは一切関係がありません。

ウィキペディアのこのページには、アプリが提供されている国がリストアップされています。インドでは、さまざまな州政府機関から複数のアプリが提供されています。また、中国イスラエル、ノルウェー、ガーナ、チェコ共和国オーストラリアでもアプリが展開されています。

しかし、状況は急速に変化しています。現在、オープンソースまたはクローズドソースの手法を組み合わせた、4つのソリューションが開発中です。

  • Google/AlphabetとAppleの共同プロジェクト:最もよく知られていますが、これは実際のアプリというよりはフレームワークです。イギリスでは、このフレームワークをベースにしたアプリをテストする準備が整っています。両ベンダーは、これらのプロトコルが、今夏以降のAndroidとiOSのリリースに組み込まれると述べています。
  • EU向けオープンソースアプリ「DP-3T」:Github上でApache/Pythonのリファレンス実装を開発しました。AndroidとiOS用のサンプルアプリも提供されています。
  • EU向けクローズドソースアプリ「PEPP-PT」:8カ国130の組織からのサポートを得ていますが、当アプリはまだ利用できません。
  • BlueTrace/OpenTraceシンガポールが開発したオープンソースのコードで、Trace Togetherと呼ばれるトレーシングアプリの一部です。これは3月下旬に提供開始されたもので、オーストラリアのアプリの基礎となっています。 シンガポール政府は情報を取得し、中央管理機関にデータを保存しており、これはPEPPの設計でも使用されています。

ユーザーである私たちは、どうすればいいのでしょうか?

第一に、アプリが何をしているのか、どのように侵害される可能性があるのかを理解しましょう。追跡アプリをインストールする際にはアプリの権限を確認し、あなたの携帯電話からどのような情報が収集されているのかを把握するようにしましょう。

第二に、アプリは本当に開発者が主張するように「プライバシー強化」されているのかを確認しましょう。韓国が成功している理由の一つは、個人情報を一切保持せず、確認された患者の位置情報の履歴だけを掲載しているためです。韓国の事例から学べることはたくさんありますが、最善の解決策は位置情報を公開することなく、アメリカ自由人権協会が提案しているように「自分の行動を確認するために記憶を遡る」方法を持っておくことでしょう。

最後に、プライバシーを重視しないアプリをインストールしないようにしてください。今後スマートフォンのOSが更新される際、「接触者追跡」の設定をオフにすることを忘れないようにしましょう。

この記事は2020年4月5日に公開されたWhat you need to know about government contact tracing appsの抄訳です。

関連記事