新型コロナ感染防止で、プライバシー保護と追跡アプリがせめぎ合い——自由の国フランスの葛藤を考える

SHARE:
CC BY 2.0: Photo by Nik Anderson

多くの国が新型コロナウイルスの感染を追跡するアプリの開発を進めている中、フランスは公衆衛生と大規模な監視の両立を図ろうとする取り組みで広がりをみせている技術的、倫理的な議論の矢面に立たされている。

フランス政府は、国民から収集したデータを集中させるアプリ「StopCovid」のフレームワークを採用した。プライバシー擁護団体はこの手法を激しく非難し、プライバシーを熱心に擁護しているという政治家たちを偽善者と断じた。StopCovid の問題は Apple に対する非難にも飛び火した。Apple はこれまでのところ、自社端末にこの種の機能を導入することには反対してきた。

政府も諦めていない。データを匿名化することで集中型のアプローチでもプライバシーを保護できるのと同時にウイルスの感染拡大に対して全体的な安全性が向上し、知見も得られると主張している。さらに根本的な話として、データの公共利用に関する決定を行うのは民間企業ではなく、有権者によって選ばれた主体であるべきだとフランス政府は強調している。

感染拡大への対処にデータは重要な不可欠のツールとみられている中、フランスで熱を帯びる論争は、公衆衛生とプライバシーの保護の両立をいかに図るかという世界的な議論の縮図となっている。このアプリが信頼を獲得するには、有効性を確保できる程度まで利用者が増加しなくてはならないという点では、関係者の見方は一致している。

国民の理解と技術的な設計という観点で言えば、今回の新型コロナウイルスだけでなく将来のウイルス感染拡大に対処するのに相反する要素(公衆衛生とプライバシー)の両立を図ろうとしている政府にとって、このアプリは一つの試金石となるだろう。

フランスのデジタル大臣 Cédric O 氏は政府によるアプリ開発を擁護する記事の中で、「どのような技術であれ、リスクがゼロの技術は存在しません」と述べている

絶対確実なソリューションなどありえません。何らかの欠陥はあるものです。
(中略)

StopCovid は平時のアプリではないのです。このようなプロジェクトは、新型コロナウイルスの感染拡大が引き起こした今の状況ならではのものです。

<関連記事>

データの集中

これまでに、複数の国で同様のウイルス感染追跡アプリが導入されてきた。データを集中させるべきか、ユーザの位置を追跡するべきかといった諸々の問題に対しては、幅広い手法が採用されている。ごく最近では Apple と Google の提携が発表され、Android と iOS の利用端末を問わないアプリを第三者が製作することを可能にする接触者追跡 API を開発することになった。

ヨーロッパでは、将来におけるこのアプリの運用に際して2つの相反する見方が示された。一つは、データを中央サーバに保存し、そこで感染のマッチングを行う方法。もう一つは、データをユーザのスマートフォンにとどめ、そこでマッチングを行う方法だ。いずれも、GPS や他の位置追跡手法を使用することはない。

フランスでは最近、この技術に関する詳細、プライバシーとの相反、セキュリティ上のリスクなどが新聞で報じられ、テレビのニュースでも話題となっており、この問題が国民にとっていかに重要な問題であるかを物語っている。

政府は、汎欧州プライバシー保護近接追跡(PEPP-PT)という団体が開発した集中型のフレームワークを採用することとした。当初はドイツの研究者たちによって始められたこの取り組みは、最終的に ROBERTROBust and privacy-presERving proximity Tracing protocol)とよばれる追跡フレームワークに結実した。

フランスの研究所 Inria の CEO Bruno Sportisse 氏は4月中旬に ROBERT について語っており、データ追跡に関するフレームワークは例外なく、プライバシーとセキュリティで何らかの相反を抱えているという。

また、一方のアプローチを「集中型」、他方を「分散型」と名付けるのは誤りだと話している。どのようなシステムであれ、ある程度の情報は端末で処理されるほか、ある程度は共通サーバを経由するからだ。ROBERTについて言えば、全てのユーザはオプトインしなくてはならない。そして中央サーバに送られる情報は、実名や個人情報ではなく暗号化された識別子を使って保存される。

このアプリケーションは「追跡アプリ」ではありません。使用しているのは Bluetooth だけで、通信規格 GSM やジオロケーションデータは使っていません。

ましてや監視アプリでもありません。自明なことですが、政府は言うまでもなく誰であっても、ウイルス検査で陽性と判定された人のリストや、交流した人のリストにアクセスできるようには作られていません。(Sportisse 氏)

フランスの StopCovid アプリは、研究所のほか大学、民間企業から成る組織の知恵を活用した ROBERT のフレームワークで設計されている。関係する組織は Inria、ANSSI、Capgemini、Dassault Systèmes、Inserm、Lunabee Studio、Orange、Withings、フランスの公衆衛生当局である。StopCovid アプリの試験版の公開は5月下旬が予定されているため、それまでにフランス議会での審議と承認が行われる。承認がなされ、試験が成功したという前提の下では、アプリの配布は6月上旬になるだろう。

このアプリを特効薬としてプロモートする者はいないが、今月に入って都市封鎖が徐々に解除されつつある中、ツールの一つとして重視されるようになっている。

Cédric O 氏も、StopCovid が国民の監視を意図するものではなく、アプリのダウンロードと起動は強制ではないことを強調している。内容を問わず情報の共有はオプトインを基に厳格になされる。

オプトインした人は新型コロナウイルスに感染した場合にその情報を伝えることができる。するとアプリは感染者の近くにいる全てのユーザに通知を行う仕組みだ。その場合、通知を受けた人が医療機関を受診するかはアプリのユーザ次第である。誰が感染者であるかの情報は提供されない。またアプリには、感染者が特定できるような情報は含まれない。

今回のフランスモデルに関しては、独立系のプライバシー保護機関である国家情報自由委員会(CNIL)より、EU の一般データ保護規則(GDPR)の規定に沿ったプライバシー対策が十分取られているとして暫定的な承認を取得している。フランス国家電子会議の諮問機関も当座の承認を与えているが、実際にアプリを検証できるようになるまでは最終的な意見の提出を保留するとしている。

Cédric O 氏は全体的なプライバシーの懸念について、次のように記している。

StopCovid プロジェクトは何かをするための足掛かりではありません。全てが一時的な措置です。データは数日経つと消去されます。感染拡大期以外にアプリを使用する意図はありません。

データの分散化

ROBERT に対抗するフレームワークとして、DP-PPT(Decentralized Privacy-Preserving Proximity Tracing)という分散型の接触者追跡プロトコルがある。このフレームワークを開発したのはヨーロッパにある研究機関出身の研究者連合で、Apple や Google が開発を進めているAPIと同期させることができる。

Apple と Google が提携する以前、新型コロナウイルス追跡アプリは iPhone の動作でさまざまな問題を抱えていた。例えば、Apple では一般的に、他の電話との接続を確認するのに Bluetooth が連続して信号を送らないようにしている。最新版 Android 端末も Bluetooth に一定の制限はかけているものの、接触者追跡アプリで最大の障壁となっていたのは iPhone だった。

スイス連邦工科大学ローザンヌ工科大学(EPFL)のコンピュータ・コミュニケーションサイエンス学部長で、DP-PPT チームの一員でもある James Larus 氏は、次のように話している。

Android のスマートフォンならどちらのアプリも問題なく実行できます。問題は Apple のスマートフォンです。

シンガポール政府は、アプリをフォアグラウンドで動作させるようにして、電話をロックのかからない状態にすることで Apple 問題に対処する次善策を開発した。だが、バッテリーの消耗が激しいほかプライバシー上の懸念もあって利用は低調、効果を上げるに至っていない。

接触者に関連するデータがユーザの電話に残っている間、Appleはこの問題に対処していくことにして、基本的には政府に対し分散型ソリューションを採用させるようにした。集中型アプリの場合、ウイルス感染者の接触者情報が中央サーバにアップロードされる。それが分散型 Apple-Google 版アプリの場合、感染したことをアプリに報告すると、サーバは暗号処理された接触者情報をデータベースにアップロードすることになる。

他方、アプリは同時にこのデータベースをユーザのスマートフォンにダウンロードする。データベース内の感染レポートの記録とユーザの最近の接触者がマッチしたことをアプリが検知すると、ユーザに対して通知がなされる。このアプローチと ROBERT のフレームワークとの主な違いは、匿名化された ID が中央サーバに常時保存されることがないことである。

現実的な違いは、データの保存場所とマッチングの行われる場所に関する問題です。これこそが本当の違いでしょう。ただ結局のところ、アプリの機能は同じです。(Larus 氏)

いずれのフレームワークについてもある種の暗号化に依存しているため、潜在的なセキュリティリスクは残る。フランスの場合、システムを統制している政府機関がアプリとネットワークに十分なセキュリティを施していることに対する信頼を得なくてはならない。

しかし分散化アプローチでも、ユーザがウイルスに感染した場合、他人の携帯電話に自分の暗号化情報が保存されてしまうリスクがある。システムが全ユーザの携帯電話で同じくらい安全になるにはこの方法しかない。

これこそ、フランス政府が分散型アプローチを採用しなかった理由の一つである。フランスのセキュリティ機関である国家情報システムセキュリティ庁(ANSSI)は、暗号化された識別子が他人の携帯電話に広まるという理由で分散型モデルはリスクが高いという決定を下した。

ANSSI は書簡の中で次のように記している。

プライバシーと人権を保護する観点で、あらゆる分散型アプリには重大なリスクがある。

各個人の相互作用グラフ(ソーシャルグラフ)を収集することによって、大規模な監視が可能となる。それが携帯電話の OS レベルで実現され得る。OS メーカーだけでなく国家機関でさえも、選択するアプローチによっては程度の差こそあれ、いとも簡単にソーシャルグラフが作成できてしまう。

フランス対 Apple

今月はフランスの集団がアプリの完成に向けた作業を急ぐ中、Apple とフランス政府の間で一つの大きな問題が行き詰まりをみせていた。イギリスではフランスと同じ考え方に基づいたウイルス感染追跡アプリを採用したのに対し、ドイツでは方向転換をして分散型アプリを志向した。

フランスのアプリ製作にも協力している Orange の CEO Stéphane Richard 氏は、StopCovid アプリのコンソーシアムと Apple の交渉の行方について楽観的な見通しを示した。彼はロイターに次のように語っている

毎日のように会合が行われています。まだ合意に達していませんが(中略)Appleとは精力的に議論しており、状況は悪くありません。

しかしフランス政府は長引く苛立ちを隠せない。Cédric O 氏は5月5日、ビジネステレビ BFM でのインタビューで次のように述べた

Apple は iPhone でのアプリ動作の向上で協力できることがあったはずです。ところが Apple は協力を望まなかったのです。

Cédric O 氏は他にも、Appleとの論争が意味しているのは「OSの寡占的な市場特性」という厳しい見方を示した。国が大企業の犠牲になっているというのだ。

フランス政府の観点で言えば、健全な政策とは国の責任すなわち主権です。資質をもって、そして欠陥はありながらもフランスの国民を守るのに最善だと考える方法を選ぶのは行政なのです。提案している2社がアメリカの企業という理由で両社の API を受け入れないわけではありません。(中略)

現在の仕様では、技術的な選択が制約となっているから受け入れないのです。つまり iOS 搭載の携帯電話が完全に動作するのは、分散型ソリューションだけです。(Cédric O 氏)

Cédric O 氏はさらに、「大企業の選択による制約を受けることなく、現状と同じくらい革新的かつ効率的に」、フランスは主権を守れるようにしなくてはならないと述べた。

こうした技術的、政治的な論争で見落とされているのは、どのアプリが本当に効果的であるかを把握している人が誰もいないという現実だ。その背景には、技術がまだ証明されていないことが一部関係している。また、十分な数のダウンロードが確保されるかも明らかでない。疫学者の大まかな見通しによると、有効な追跡システムになるには人口の6割がアプリを利用する必要がある。

それでも、一定の影響を及ぼすためには、アプリと国の医療インフラを接続する必要があるとスイスのLarus氏は話している。ユーザが通知を受け取った際、追加情報がほしいとき誰に連絡すればよいか、検査を予約するにはどうすればよいかなどその時点で取るべき行動を知っておく必要がある。

同じく医師、病院、StopCovid アプリのコールセンター、検査機関も、感染者の近くにいるとの通知を受けた人から連絡を受けた際に定められた指針に従う準備ができていなくてはならない。対象者がすぐに検査を受けたり、症状を診察してもらえたりする体制になっているか、政策当局者は決定をしなくてはならない。

この問題には多くの人々が関わるほか、政治的な意思決定が求められています。それは非常に難しい決定であるほか、内政、その国に特有の問題です。ある国で採用された単一アプリのバックエンドを別の国に単純に落とし込むことにはならないでしょう。(Larus 氏)

とはいえ、Larus 氏からすると、アプリを取り巻く問題はきわめて技術的であるとはいえ、この問題がフランスや欧州各国で真剣に受け止められているのは喜ばしいことであるという。現在の感染流行を抑制するためには、現世代の接触者追跡アプリに関するプライバシー、セキュリティ、設計、指針の間にある相反を正していくことが重要になるだろう。

だが、今なされる決定が将来の接触者追跡アプリの基盤になるとみられる。来るべきウイルス感染アプリが広く受け入れられ、その価値を証明できるのなら、次のウイルス感染拡大が発生したときに手間暇のかかる指針の策定や技術的な論争を避けることができるだろう。

次の機会は必ずあると Larus 氏は述べている。

同じことを繰り返すとしたら、次は素早くできるでしょうか? 再び迅速な行動ができるようにするためのアプリシッティング用コードはあるでしょうか? 次は一から始めなくても済むように、健全なシステムへの統合は維持されているでしょうか? 今回の危機を乗り越えた後も、今蓄積しつつある専門知識、ナレッジは重要なものになるでしよう。

【via VentureBeat】 @VentureBeat

【原文】

----------[AD]----------