米国当局が進める新型コロナの接触者追跡の必要性とプライバシー保護の重要性

米国での新型コロナウイルス(COVID-19)の感染者数の増加に伴い、当局は、検査数が限られている状況下で、感染の拡大を追跡し制御する方法を切実に求めている。

4月10日、感染者とその濃厚接触者を追跡することで感染の拡大を監視するAndroidとiOS向けの任意の匿名連絡先追跡ネットワークを、Google(グーグル)とApple(アップル)が共同開発することを発表した。このモバイルアプリを公衆衛生当局からダウンロードすると、ネットワークを使用している感染者に接近すると通知される仕組みだ。システムはGPSではなくBluetooth Low Energy(BLE)送信を使用するため、位置情報は追跡されず、追跡データは集中型のデータベースではなく各自のスマートフォンに保存される。これはすべて、利用者のプライバシー保護を考慮した点だ。

関連記事:アップルとグーグルが新型コロナ感染チェック用モバイルアプリを共同開発、プライバシー保護も確約

しかし、多数の他の新型コロナウイルス対策ではプライバシーは十分に考慮されていない。その理由は、位置情報を追跡し、多くは中央集中型データストレージを採用しているためだ。

Googleは、ロケーション履歴の設定をオンにしている人のスマートフォンから匿名で集計されたデータを元に地域別の時系列動向を示す「Community Mobility Reports(コミュニティ・モビリティ・レポート)」を公開すると発表した。Facebookや他の企業は、COVID-19モビリティ・データ・ネットワークの一環として、世界中の疫学者に携帯電話から匿名化して集計されたデータを提供している。

Centers for Disease Control(CDC:疾病管理センター)は、モバイル広告会社からのロケーションデータに基づいて、米国市民の移動を匿名で追跡している。プライバシー擁護者は、このような追跡メカニズムはプライバシーを侵害するもので不安要素があるとしているが、このデータによると、公共の場には依然として大勢の人が集まっていることがわかる。この結果は、政策の決定には役立つが、懸念があることには変わりはない。

感染拡大をより効果的に予防するための政府の取り組みは賞賛に値するが、データの使用方法には特定の条件と制限が必要だ。これを怠ると、国は重大な問題に直面するだろう。政府はこの目に見えない敵と戦うために対策を講じる必要があるが、データの保護と使用に関する条件も必要だ。特に次の5つを保証する必要がある。

一時性

9月11日の同時多発テロ事件の6週間後に可決された愛国者法は、米国民を偵察する前例のない権限を政府に与えた。当時これはやむを得ないことだったかもしれないが、政府は現在も、何百万もの通話とテキストメッセージの収集を継続している。GoogleやFacebookのような企業が政府とデータを共有する場合、共有の期間とその共有データの保持期間には、明確に限定された期間が必要になる。

市民的自由権

9月11日の攻撃後、NYPD(ニューヨーク市警察)などの法執行機関は、地元のイスラム教徒住民の違法な監視活動を行った。このプログラムは、第二次世界大戦での日系米国人強制収容や、公民権運動で人種差別の解消を求めたアフリカ系米国人に対するFBIの監視に比較された。

現在のパンデミックを、市民的自由権が失われていく例に加えてはならない。現在、そして将来にも、我々を守るために共有されるデータが、監視や差別のために使われることになってはならない。

透明性

ロケーションデータなどの機密データを政府と共有する企業には、一般の人が理解できるような、タイムリーで詳細な透明性レポートの提出が義務付けられる必要がある。

限定的使用と目的の明確化

OECD(経済協力開発機構)のFair Information Practice Principles(FIPP:公正情報行動原則)には、データ処理活動に特定された目的以外に個人データを使用してはならないことが明記されている。にもかかわらず、二次的な目的のためにロケーションデータを共有している企業のメディア報道規制措置は後を絶たない。今回も、ウイルスの感染防止のために収集および使用されるロケーションデータは、その特定の目的以外に使用されてはならない。

データセキュリティ

市民を保護するという政府の善意は、即ち機密データを保護することにはならない。むしろ、パンデミック中にサイバー犯罪が増加する可能性の方が高い。政府は、適切な管理上、技術上、物理的な安全対策が講じられていることを市民に保証しなければならない。

米国当局者が対策を模索するなか、どの前例からの教訓やデータ保護の種類が実際に議論されているかは明らかにされていない。これには、ニュースで報道されている内容に頼るしかない。米国人の追跡に対テロ戦争ツールを使用したデータマイニング企業のPalantir(パランティア)は、感染の追跡に関するデータ収集についてCDCと協議中である。

法執行機関、民間企業、独裁政権に自社ソフトウェアを販売したことで厳しく批判された顔認識企業のClearview AI(クリアビュー・エーアイ)は、データ主導型のインサイトを使用して感染を追跡することについて州政府機関と討議している。また、Unacast(ユナキャスト)は、市民のロケーションデータに基づいて、各州の社会的距離戦略の評価格付けを行っている。

自由の鐘を鳴らす

米国は現実的な道を探す必要がある。さまざまな営利団体によって収集、使用、共有されているロケーションデータは、実際には異なるタイプに分かれる。そのため、まず最も重要なデータと、その主要なパートナーを特定する必要がある。医師、研究者、学者、倫理学者、法律専門家が、これらのテクノロジー企業との対話に積極的に参加する必要がある。

また、ロケーションデータを共有する場合は、プライバシー保護技術も使用されなければならない。この最新の例はAppleとGoogleの共同開発だ。その他には、Private Kit:Safe Pathsとマサチューセッツ工科大学のSafeTraceプラットフォームがある。これも、匿名化、分散化、暗号化された手段で、ユーザーが自発的にデータを共有するものだ。

ここでの課題は、契約、技術、管理によるコントロールを追加しなければ、匿名化されたデータ(個人を特定する可能性のないデータ)が本当に匿名であることを実際に保証することが困難な点にある。さらに、ユーザーが自発的に自分の位置と健康状態を送信することでプラットフォームが成り立つため、普及率が十分に伸びず、結果に偏りが生じ、不正確になるだろう。

それなら、公衆衛生の名の下、スマートフォンを持つすべての米国市民にロケーションデータの共有を義務付けるよう、政府に任せるべきだろうか? 何が起ころうとも今まで以上に、地方、州、連邦政府当局は、さまざまなデータ共有案の検討には米国市民を第一にして考慮することが不可欠である。

Heather Federman    寄稿者プロフィール

Heather Federman(ヘザー・フェダマン)は、ニューヨークを拠点とする企業、BigIDのプライバシー&ポリシー担当副社長で、プライバシー法を専門とする弁護士である。同社は、AIを使用して組織が顧客のプライバシー管理を強化できるようにする。これは、個人データを正確に追跡し、機密情報へのアクセスを管理し、プライバシー規制を遵守することで行われる。以前は、メイシーズとアメリカンエクスプレスでプライバシーの責任者を務めた。

画像クレジット: Thomas Tolstrup / Getty Images

[原文へ]

(翻訳: Dragonfly)

関連記事
新型コロナの検査と追跡調査はAppleとGoogleの協力が不可欠
AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?