フランス政府が接触者追跡アプリのソースコードの一部を公開

フランス国立情報学自動制御研究所であるInriaは、フランス政府の接触者追跡アプリ「StopCovid」を動かすプログラムのソースコードの一部をリリースした。いくつかのGitLabリポジトリに分け、Mozilla Public License 2.0に基づいて利用できるようになっている。フランス政府は、すべてをオープンソースにすると発表していたが、実際にはそれよりも多少複雑な状況になりそうだ。

Inriaが発表資料に書いているように、このプロジェクトは現在3つの部分に分かれている。インフラに関する重要度の高い要素は、GitLabリポジトリとして利用できるようにはならない。その代わりInriaは、セキュリティ実装に関するドキュメントのみをリリースする予定としている。それも、ANSIAと、フランスのデータ保護に関する監視機関CNILが、この面でもある程度の透明性を確保することを促したからだ。

2番目の部分は公にリリースされる予定となっている。ただしInriaは、外部からの貢献は求めない。デベロッパー用語で言えば、プルやマージのリクエストには応じない。ここに含まれるのは、主にユーザーインタフェースに関するもので、接触者追跡プロトコルとは直接のやり取りのない部分となる。

3番目の部分は、接触者追跡プロトコルと、その実装を含んでいる。これについては、Inria自身と、StopCovidに取り組んでいる企業や研究チームのコミュニティが、外部からの貢献を求めている。プライバシーとセキュリティに関して、プロトコル自体を改善するためだ。

フランスでは、ROBERTと呼ばれる集約型の接触者追跡プロトコルを推進している。InriaとFraunhoferが、その仕様をリリースした際に、私は同プロトコルの長所と短所を分析した

それは、Apple(アップル)とGoogle(グーグル)による接触者追跡APIとはかなり異なっている。ROBERTは、中央のサーバーを使用して永続的なIDを割り当て、その永続的なIDに関連付けられた複数の一時的なIDも割り当てる。スマートフォンは、周囲にいる他のアプリユーザーの一時的なIDを収集しておく。誰かが新型コロナウイルスに対して陽性であると診断された場合、サーバーは、その人が接触を持った人たちに関連付けられたすべての一時的なIDを受信する。もし、ユーザーの一時的なIDの1つ以上にフラグが付けられると、そのユーザーは通知を受け取ることになる。

このような匿名のシステムを選択するということは、その実装が完璧なものであると、政府を信頼する必要が生じることを意味する。たとえば、サーバーと通信する際、アプリがありとあらゆる情報を送信するように作られていれば、サーバー側で永続的なIDに実名を関連付けることも可能になってしまうからだ。

Inriaによれば、すべてがうまくいった場合、StopCovidは6月上旬にもリリース可能であるという。フランスのデジタル大臣であるセドリックO(Cédric O)氏は、テレビのインタビューで、政府としては6月2日にStopCovidをリリースしたいと考えていることを表明した。

関連記事:Hundreds of French academics sign letter asking for safeguards on contact tracing

新型コロナウイルス 関連アップデート

原文へ

(翻訳:Fumihiko Shibata)

新型コロナ接触者追跡アプリの拡大流用に警鐘、「中央集中型」支持の英国でも

英国政府による新型コロナウイルス接触者追跡アプリの開発計画について、その透明性と拡大流用に関する懸念を表明する公開書簡に、英国のコンピュータセキュリティ専門家とプライバシー専門家が多数署名した。

2020年4月初めに世界中の300名近くの学者が署名した同様の公開書簡に続き、177名の学者の署名を集めたこの書簡は、接触者追跡テクノロジーの使用に対する慎重な姿勢を促し、接触者追跡アプリを導入する政府には、プライバシーを保護する技術やシステムを使用するよう呼びかけた。

英国の学者らはこの書簡の中で、3月初旬からデジタル接触者追跡アプリの開発を行ってきたNHSX(英国国民保険サービスのデジタル戦略を担当する組織)に言及して「公衆衛生におけるデジタルソリューションの有効性は、関係する全分野の専門家による深い分析を経て判断するべきであり、関係するリスクが妥当であると言うだけの価値があることを証明する十分な根拠が必要だ」と述べた。

また「報道によると、NHSXは感染者とその接触者全員の非匿名IDを中央集中型データベースに記録するアプローチを検討している。このようなシステムはいずれ(本来の目的から逸脱した拡大流用により)監視システムとして利用される可能性がある」とも述べている。

NHSXのCEOであるMatthew Gould(マシュー・グールド)氏は米国時間4月28日、英国議会の科学技術委員会に出席して証拠を提出していた。グールド氏は、間もなく導入されるアプリに採用される「中央集中型手法」は限定的なものであり、プライバシー保護にとって分散型は安全、中央集中型は危険という「二分思考は誤っている」と主張して、NHSXのアプローチを弁護した。

データの中央集中型管理が必要であるとNHSXが考える理由を説明するために、いくつかのシナリオを紹介した。しかし英国の学者らによる今回の書簡は「公衆衛生当局がどの程度のデータを必要とするかという点については、グループ間で意見が真っ向から対立するのを見てきた」として、中央集中型管理が必要であるという主張に疑問を投げかけた。

「使用目的の達成に必要な最小限のデータのみを収集する、という通常のデータ保護原則を適用するべきだと考える。このテクノロジーにはプライバシー侵害につながる特性や関係するリスクがあることを考えると、アプリを信頼してもらうには、このアプローチが単に手っ取り早い方法だとか『あれば便利だ』とかいうのではなく、本当に必要な手段であることを示す証拠を、公衆衛生当局が公式に提示しなければならない」とこの書簡は続いている。

欧州ではここ数週間、政府主導の新型コロナウイルス接触者追跡アプリのアーキテクチャ選択をめぐって激しい議論が行われている。分散型アプローチを支持する国もあれば、中央集中型アプローチを支持する国もある。一部の国ではAppleに対して、ライバル企業のAndroidメーカーであるGoogleと政府が共同で開発している新型コロナウイルス接触者追跡アプリとの互換性を持つクロスプラットフォームAPIを採用するよう圧力をかけている

欧州で開発が進められている政府主導の接触者追跡アプリのほとんどは、Bluetooth近接通信を使用して感染リスクを計算するように設計されている。スマートフォンのユーザーがお互いに接近すると、仮名化されたIDがデバイス間で交換される。しかし、そのIDが中央管理サーバーに保存されると、サーバーを管理する当局がIDから個人を再特定できるようになるため、国家による監視システムが構築されるリスクがある、とプライバシー専門家は懸念している。

中央集中型のシステムに代わるものとして、デバイスに保存されるIDを使ったピアツーピア通信による分散型システムが提案されている。感染リスクもデバイス上で計算され、プッシュ通知を他のデバイスに送信する時だけリレーサーバーが使用されるため、ソーシャルグラフを示すデータが組織的に公開されることはない。

しかし、このような分散型構造でも、感染が確認された人のIDを他の人のデバイスに通知する必要があるため、デバイスレベルでデータが傍受され、個人が再特定される可能性は存在する。

欧州では今のところ、政府主導の接触者追跡アプリに分散型アプローチを採用することが主流になっているといっていいだろう。注目すべきことに、初めは中央集中型アプローチを支持していたドイツ政府も後になって、エストニア、スペイン、スイスなどと同じように分散型アプローチへと方向転換した。その結果、現時点で中央集中型システムを支持している主要国はフランスと英国だけになった。

フランスでもこの問題について、専門家による議論が続いている。フランスでは4月末、中央集中型と分散型それぞれのアーキテクチャについて懸念を表明する書簡に数名の学者が署名した。学者らは、どのような追跡ツールを使用するにしても、「生じうるリスクが妥当であることを示す重要な証拠を示す必要がある」と主張している。

英国の場合、NHSXが開発する追跡アプリに関する重大な懸念は、政府によるソーシャルグラフデータの中央集中型収集と個人の再特定だけではない。その仕様や機能の拡大流用も重大な懸念となっている。

グールド氏は先日、追跡アプリは今後も流用されるだろうと述べ、その際に使用されるバージョンでは位置情報などの追加データを任意で提供するようユーザーに依頼する可能性があると付け加えた。さらに、NHSXは追跡アプリの使用は任意だとしているが、複数の機能がアプリに実装されると、同意の意味合いが薄まり、拡大流用がアプリ使用の強制につながるのではないか、という疑問が生じる可能性がある。

別の懸念は、英国スパイ機関の表向きの顔であるGCHQ(政府通信本部)も、追跡アプリのアーキテクチャ選定に関わってきたという点だ。さらに、グールド氏は昨日の科学技術委員会で、中央集中型アーキテクチャ採用の決定にNCSC(英国国家サイバーセキュリティセンター)が関与してきたかと問われた際に、答えをはぐらかした。

この面でもさらに別の懸念が予想される。HSJ誌は米国時間4月29日、Matt Hancock(マット・ハンコック)保健相が最近、英国諜報機関に新たな権限を与えたと報じた。これにより諜報機関は、新型コロナウイルスのパンデミック中に、医療サービスのネットワークや情報システムの「セキュリティ」に関するものであればどんな情報でも、その開示をNHSに要請できるようになる。

データベース好きのスパイ機関がそのような権限を手にしている状況で、プライバシー侵害への不安感が和らぐわけがない。

英国のデータ規制当局が追跡アプリの設計プロセスにどの程度深く関与してきたのか、という点も気になる。先にICO(英国情報コミッショナー事務局)の執行役員であるSimon McDougall(シモン・マクドガル)氏が、自分は追跡アプリの計画書を見たことがない、と公の討論会の場で発言したことが報じられたが、実はICOは4月24日に「高い透明性とガバナンスを確保できるようNHSXを支援している」との声明を出していた。

また、グールド氏は先日の科学技術委員会で、追跡アプリが流用される際にはその都度、NHSXがデータ保護影響評価(DPIA)を公開すると述べた。しかし、DPIAが公開されたことはまだない。

グールド氏はさらに、追跡アプリは「技術的には」今後数週間のうちに使用できるようになると述べたが、アプリのコードを公表して外部レビューを行う時期については明言できなかった。

英国の学者らは今回の書簡の中で、DPIAを追跡アプリの導入直前に公開するのではなく「今すぐ」公開するようNHSXに要請した。そうすることで、追跡アプリの使用が及ぼす影響について公に議論できるようにし、政府が実装したと主張する安全対策とプライバシー保護対策を国民が自ら精査できるようにするためだ。

英国の学者らは、システムのユーザー(感染を自ら報告する人を除く)を非匿名化してユーザーのソーシャルグラフを特定可能にするいかなるデータベースも作成しないことを公式に誓言するよう、NHSXに要請した。

学者らはまた、新型コロナウイルスのパンデミックの収束後に、NHXSが「拡大流用を回避する」べく追跡アプリをどのように段階的に停止するつもりなのか、詳しい説明をNHSXに求めた。

データベースの件についてTechCrunchがNHSXの広報担当者に尋ねると、それは英国保健省やNCSCが決めるべき問題だという回答が返ってきた。これでは、政府がアプリユーザーのデータを拡大流用してプライバシーが侵害されるのでは、という不安感が和らぐことはない。

TechCrunchはNHSXに対して、追跡アプリのDPIAの公開時期についても問い合わせたが、この記事の執筆時点でまだ回答は得られていない。

アップデート:NHSXのスポークスパーソンから以下のような返答を得ている。

我々はデータ保護に関する取り決めを追って公開します。また、このパンデミックの驚異が去った後には、この接触者追跡アプリはただちに停止される予定です。その際、ユーザーから共有されたデータは削除しますが、法と倫理を鑑みつつ、将来のウイルス研究に役立つデータは保存されます。

また、これに続いてスポークスパーソンは以下のコメントを追加した。

ユーザーからの許可を得た場合を除き、ユーザーデータは常に匿名化された状態で保存されます。また、匿名化解除のためにデータを照合できる他のデータベースは存在しません。

関連記事:新型コロナの接触者追跡とはどのようなものか?

Category:セキュリティ

Tags:新型コロナウイルス 接触者追跡

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Dragonfly)

AppleとGoogleが新型コロナ暴露通知アプリのサンプルコード、UI、詳細なポリシーを公開

Apple(アップル)とGoogle(グーグル)は、最初のバージョンのExposure Notification(暴露通知)APIの開発者向けに、さらなるリソースの提供を開始した。このAPIは、両社が制作した開発ツールだ。アップルとグーグルは、公的保健機関が新型コロナウイルス(COVID-19)の感染が診断された患者との接触の可能性を個人に知らせる、クロスプラットフォームの通知手段の開発に取り組んでいる。

第1バージョンのExposure Notification APIは、Contact Tracing(接触者追跡)APIと呼ばれていたものを、その実際の用途と目的を正確に表現しようとAppleとGoogleが名称を変更したものだが、iOSとXcodeのベータ版アップデートとともに先週公開された。そして米国時間5月4日、開発例となるUIアセット、iOSとAndroidのサンプルコードなどを含む開発者向けの新しいサンプルリソースがアップルとグーグルから公開された。これらは、公的保健機関がアプリ開発をすぐに始められるよう、開発の出発点としてデザインされている。

同時にアップルとグーグルは、新しいポリシーも発表した。これには、このAPIを使ったアプリの使用が承認されるように開発者が留意すべき、以下のような要件が含まれている。

  • これは公式な政府の保健当局によって作成され、または同局が使用するためものであり、その使用は新型コロナウイルス感染症対応に限定される。
    実際に使用する前に、当APIの実際の使用についてユーザーの同意を求めなければならない。
  • テストの陽性結果などの情報を、アプリを運営をする公的保健当局が公表する以前に、本人の同意を求めなければならない。
  • 暴露通知に必要な最低限の情報のみを収集し、新型コロナウイルス感染症対応のためのみにそれを利用すること。すなわちこれらのアプリが広告やその他の目的にその情報を利用することを明示的に禁ずるものである。
  • アプリは、特定の地理位置情報データを提供するデバイスの位置情報へのアクセス、およびアクセスの許可を求めることができない。公的保健当局から既に公開されている位置情報を利用するアプリについては今後も提供を続けるが、それらの情報を利用するいかなるアプリも、新しいExposure Notification APIへのアクセスをグーグルとアップルは認めない。
  • 効率性を高めるために細分化を避けるようデザインされているため、1つの国にアプリは1つと定めるが、国が地域や州などに分割されている場合、アップルとグーグルは当該保健当局と積極的に話し合い、最善の方法を探ることとする。これは基本的に国が州ごとに異なるアプリを使用したいとアップルに申し出た場合、アップルは複数アプリを許可し、その国のストアに掲載されるようにすることを意味する。また、これらは州ごとの暴露通知メカニズムが他州にまたがり連携できるか否かという点において、柔軟に対応する。

両社は、2020年5月末の一般消費者に向けた公開バージョンのAPIのリリースに先立ち、ソフトウェアおよびソフトウェア開発キットのアップデートのペースを今のまま保持するとも話している。アップルとグーグルは、APIの消費者向けリリースの時期を「5月中旬」に予定している。最終的な予定として、2020年末までには、システムレベルの機能として暴露通知をリリースするという。

以下の写真で、両社のサンプルUIリソースを見ることができる。これらは、アプリが完成した場合の通告方法、設定画面、その他の外観の案を示すものだ。もちろん、公衆衛生当局(または開発を請け負った者)が作るアプリごとに多少の違いは生じるだろう。

  1. 04-COVID-19-Exposure-Notifications-Settings-Android

    暴露通告の設定
  2. 02-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Positive-Result-Android

    公的保健機関サンプルアプリの陽性報告の流れ
  3. 02-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Positive-Result-iOS

    公的保健機関サンプルアプリの陽性報告の流れ
  4. 03-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Exposure-Notifications-Android

    公的保健機関サンプルアプリの暴露通告の流れ
  5. 03-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Exposure-Notifications-iOS

    公的保健機関サンプルアプリの暴露通告の流れ
  6. 04-COVID-19-Exposure-Notifications-Settings-iOS

    暴露通告の設定
  7. 01-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Onboarding-Android

    公的保健機関サンプルアプリの登録画面
  8. 01-COVID-19-Exposure-Notifications-Sample-Public-Health-Authority-App-Onboarding-iOS

    公的保健機関サンプルアプリの登録画面

アップルとグーグルは、独自に接触者追跡アプリの開発に取り組み、それを機能させるためにiOSとAndroidの特定の部分にアクセスしたいという数多くの公的保健当局からの要請に応えて、この前例のない共同事業に乗り出した。両社は、ユーザーの身元がわからないように、また地理的位置情報衛星のサービスが受けられない屋内を含むあらゆる環境でもシステムが確実に機能するように、地理的位置情報データではなく、Bluetooth識別子を使うという基準のもとで協力し合うことを決めている。

保健当局は、自分が受けたテストの結果に紐付けられた一意のコードの入力をユーザーに求めるようにもできる。それによりユーザーは、陽性の診断が、自己判断や保健当局が新型コロナウイルス感染症診断用として認可していないテストに基づくものではなく、公式なテストで認められたものであることが確認できる。

グーグルとアップルが提示したサンプルの参照アプリケーションは、一般ユーザー向けに公開されることはない。あくまでも開発者限定だ。だが両社とも、新型コロナウイルス感染症に適時に対応するアプリの開発者の努力を支援するために、完全なソースコードを含んだ参照アプリケーション全体を開発者に提供している。

新型コロナウイルス 関連アップデート

[原文へ]
(翻訳:金井哲夫)

米国当局が進める新型コロナの接触者追跡の必要性とプライバシー保護の重要性

米国での新型コロナウイルス(COVID-19)の感染者数の増加に伴い、当局は、検査数が限られている状況下で、感染の拡大を追跡し制御する方法を切実に求めている。

4月10日、感染者とその濃厚接触者を追跡することで感染の拡大を監視するAndroidとiOS向けの任意の匿名連絡先追跡ネットワークを、Google(グーグル)とApple(アップル)が共同開発することを発表した。このモバイルアプリを公衆衛生当局からダウンロードすると、ネットワークを使用している感染者に接近すると通知される仕組みだ。システムはGPSではなくBluetooth Low Energy(BLE)送信を使用するため、位置情報は追跡されず、追跡データは集中型のデータベースではなく各自のスマートフォンに保存される。これはすべて、利用者のプライバシー保護を考慮した点だ。

関連記事:アップルとグーグルが新型コロナ感染チェック用モバイルアプリを共同開発、プライバシー保護も確約

しかし、多数の他の新型コロナウイルス対策ではプライバシーは十分に考慮されていない。その理由は、位置情報を追跡し、多くは中央集中型データストレージを採用しているためだ。

Googleは、ロケーション履歴の設定をオンにしている人のスマートフォンから匿名で集計されたデータを元に地域別の時系列動向を示す「Community Mobility Reports(コミュニティ・モビリティ・レポート)」を公開すると発表した。Facebookや他の企業は、COVID-19モビリティ・データ・ネットワークの一環として、世界中の疫学者に携帯電話から匿名化して集計されたデータを提供している。

Centers for Disease Control(CDC:疾病管理センター)は、モバイル広告会社からのロケーションデータに基づいて、米国市民の移動を匿名で追跡している。プライバシー擁護者は、このような追跡メカニズムはプライバシーを侵害するもので不安要素があるとしているが、このデータによると、公共の場には依然として大勢の人が集まっていることがわかる。この結果は、政策の決定には役立つが、懸念があることには変わりはない。

感染拡大をより効果的に予防するための政府の取り組みは賞賛に値するが、データの使用方法には特定の条件と制限が必要だ。これを怠ると、国は重大な問題に直面するだろう。政府はこの目に見えない敵と戦うために対策を講じる必要があるが、データの保護と使用に関する条件も必要だ。特に次の5つを保証する必要がある。

一時性

9月11日の同時多発テロ事件の6週間後に可決された愛国者法は、米国民を偵察する前例のない権限を政府に与えた。当時これはやむを得ないことだったかもしれないが、政府は現在も、何百万もの通話とテキストメッセージの収集を継続している。GoogleやFacebookのような企業が政府とデータを共有する場合、共有の期間とその共有データの保持期間には、明確に限定された期間が必要になる。

市民的自由権

9月11日の攻撃後、NYPD(ニューヨーク市警察)などの法執行機関は、地元のイスラム教徒住民の違法な監視活動を行った。このプログラムは、第二次世界大戦での日系米国人強制収容や、公民権運動で人種差別の解消を求めたアフリカ系米国人に対するFBIの監視に比較された。

現在のパンデミックを、市民的自由権が失われていく例に加えてはならない。現在、そして将来にも、我々を守るために共有されるデータが、監視や差別のために使われることになってはならない。

透明性

ロケーションデータなどの機密データを政府と共有する企業には、一般の人が理解できるような、タイムリーで詳細な透明性レポートの提出が義務付けられる必要がある。

限定的使用と目的の明確化

OECD(経済協力開発機構)のFair Information Practice Principles(FIPP:公正情報行動原則)には、データ処理活動に特定された目的以外に個人データを使用してはならないことが明記されている。にもかかわらず、二次的な目的のためにロケーションデータを共有している企業のメディア報道規制措置は後を絶たない。今回も、ウイルスの感染防止のために収集および使用されるロケーションデータは、その特定の目的以外に使用されてはならない。

データセキュリティ

市民を保護するという政府の善意は、即ち機密データを保護することにはならない。むしろ、パンデミック中にサイバー犯罪が増加する可能性の方が高い。政府は、適切な管理上、技術上、物理的な安全対策が講じられていることを市民に保証しなければならない。

米国当局者が対策を模索するなか、どの前例からの教訓やデータ保護の種類が実際に議論されているかは明らかにされていない。これには、ニュースで報道されている内容に頼るしかない。米国人の追跡に対テロ戦争ツールを使用したデータマイニング企業のPalantir(パランティア)は、感染の追跡に関するデータ収集についてCDCと協議中である。

法執行機関、民間企業、独裁政権に自社ソフトウェアを販売したことで厳しく批判された顔認識企業のClearview AI(クリアビュー・エーアイ)は、データ主導型のインサイトを使用して感染を追跡することについて州政府機関と討議している。また、Unacast(ユナキャスト)は、市民のロケーションデータに基づいて、各州の社会的距離戦略の評価格付けを行っている。

自由の鐘を鳴らす

米国は現実的な道を探す必要がある。さまざまな営利団体によって収集、使用、共有されているロケーションデータは、実際には異なるタイプに分かれる。そのため、まず最も重要なデータと、その主要なパートナーを特定する必要がある。医師、研究者、学者、倫理学者、法律専門家が、これらのテクノロジー企業との対話に積極的に参加する必要がある。

また、ロケーションデータを共有する場合は、プライバシー保護技術も使用されなければならない。この最新の例はAppleとGoogleの共同開発だ。その他には、Private Kit:Safe Pathsとマサチューセッツ工科大学のSafeTraceプラットフォームがある。これも、匿名化、分散化、暗号化された手段で、ユーザーが自発的にデータを共有するものだ。

ここでの課題は、契約、技術、管理によるコントロールを追加しなければ、匿名化されたデータ(個人を特定する可能性のないデータ)が本当に匿名であることを実際に保証することが困難な点にある。さらに、ユーザーが自発的に自分の位置と健康状態を送信することでプラットフォームが成り立つため、普及率が十分に伸びず、結果に偏りが生じ、不正確になるだろう。

それなら、公衆衛生の名の下、スマートフォンを持つすべての米国市民にロケーションデータの共有を義務付けるよう、政府に任せるべきだろうか? 何が起ころうとも今まで以上に、地方、州、連邦政府当局は、さまざまなデータ共有案の検討には米国市民を第一にして考慮することが不可欠である。

Heather Federman    寄稿者プロフィール

Heather Federman(ヘザー・フェダマン)は、ニューヨークを拠点とする企業、BigIDのプライバシー&ポリシー担当副社長で、プライバシー法を専門とする弁護士である。同社は、AIを使用して組織が顧客のプライバシー管理を強化できるようにする。これは、個人データを正確に追跡し、機密情報へのアクセスを管理し、プライバシー規制を遵守することで行われる。以前は、メイシーズとアメリカンエクスプレスでプライバシーの責任者を務めた。

画像クレジット: Thomas Tolstrup / Getty Images

[原文へ]

(翻訳: Dragonfly)

関連記事
新型コロナの検査と追跡調査はAppleとGoogleの協力が不可欠
AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

接触者追跡とはどのようなものか?

コロナウィルスの蔓延を遅らせるために私たちが使える最良のツールの1つは、既に耳にしたことはあると思うが、接触者追跡(contact tracing)だ。しかし、接触者追跡とは正確には何であり、誰がどのようにして行うものなのだろうか、そしてそれについて心配する必要はあるのだろうか?

手短に言うなら、接触者追跡とは、潜在的な接触可能性に基いて他の人よりもリスクの高い人を予防的に発見し、可能であれば通知し、もし必要ならば隔離することによって、ウィルスの蔓延防止に役立てようとするものだ。これは実証済みの技術であり、スマートフォンはそれをさらに効果的にするのに役立つ ―— ただし、プライバシーおよびその他の懸念を払拭できる場合に限るのだが。

接触者追跡は人間の記憶に頼るものから機械の記憶へと移行

医療システムが伝染病の性質の理解を深める中で、これまでも接触者追跡は何らかの形で行われてきた。感染症と診断された人は、その人から感染した可能性のある人を特定するために、あるいはその人自身が感染した場所を特定するために、過去数週間に誰と接触したかを尋ねられる。

しかしごく最近まで、この手続きは非常にストレスの高い状況に置かれてしまった人が思い出す記憶に大きく依存してきた。そもそも当人はそのような状況に置かれるまでは、おそらく自身の動きや他人とのやり取りに特別な注意を払っていなかった筈なのだ。

この結果、接触者のリストは役に立つことは間違いないものの、完璧からは程遠いものとなる。そうした人びとが追跡できて、さらにその先の接触者も同様に追跡できれば、綿棒の1本も血液の1滴も使うことなく、感染可能性のネットワークを構築できるようになり、命を救ったり、重要な資源をより適切に割り当てることができるようになる。

新型コロナウイルス 関連アップデート
現代のテクノロジーなどを動員することで、今はすべてが変わったと思っているかもしれないが、実際のところ、現在病院で行われている接触者追跡はほとんどすべてが人間の記憶に頼るものだ。100年前から使っているものと変わりはない。

確かに、過去10年の間に私たちの周りに組み立てられた巨大なデジタル監視装置は、この種の接触者追跡を簡単に達成できるようになっているように思えるが、実際には、クリックしたり購入したりする可能性のあるものを追跡する用途以外には、びっくりするくらい役に立たないのだ。

都市全体に広がる多数のカメラとソーシャルメディアによって暗黙的に収集された位置データから、感染したひとの1週間の動きをつなぎ合わせることができたら、それは役に立つかもしれないが、そうしたシステムが悪用される可能性を考えると、それがそれほど簡単に実現できないことには感謝しなければならないだろう。他の、それほど悲惨ではない状況下でも、デジタルレコードから人物の正確な動きや接触を追跡する機能は、よくても不気味な存在であり、おそらくは犯罪的な匂いがする。

しかし、悪辣なデータ収集者があなたの動きや興味を利用して、あなたの知識や同意なしに広告であなたをターゲットにする場合と、世界的なパンデミックの流れを変えるために、日常的テクノロジーの中で禁じられていた機能を、人びと自身が情報を得た上で限定的な方法で利用することを選択する場合とでは、全く事情が異なる。そして、それこそが、現代のデジタル接触者追跡が目的とするものだ。

Bluetoothビーコン

現代のすべての携帯電話は、無線電波を使用して、携帯基地局、Wi-Fiルーター、そして他の電話と、お互いにデータを交換する。これらの送信だけでは、誰かがどこにいるのか、または誰が近くにいるのかを知るにはあまり良い方法とは言えない。Wi-Fi信号が確実に伝わるのは30から60メートルほどで、携帯の電波の場合は数キロほどだ。その一方、Bluetoothは設計上短距離(良好な受信が可能なのは約10メートル)であることが想定されていて、信号が急速に減衰するため、遠くからの迷子の接続を捕捉する可能性は低い。

私たちは皆、ワイヤレスイヤフォンが電話から音楽を受信するためにBluetoothを使っていることを知っているが、実際その用途は非常に大きな部分を占めている。しかし設計上、Bluetoothは常に、他のBluetooth対応デバイスを探して接触を試みている。このことによって、車はあなたが乗車したことを認識したり、スマートフォンは近くのスマートホームデバイスを検出できたりするのだ。

Bluetoothチップはまた、近くを通る他の電話やデバイスと、あなたが知らないうちに簡単な交信を行っている。そして相手が認識されない場合には、それぞれのメモリからできるだけ早くお互いを削除する。しかし、もし削除が行われなかったとしたらどうだろう?

世界中でテストされ展開されているタイプの接触者追跡機能は、現在、あなたの携帯電話がすでに、常時送受信しているものと非常によく似たBluetooth信号を使用している。違いは、接触した他のデバイスを、自動的に忘れないということだけだ。

システムが正常に機能していると仮定すると、ある人が新型コロナウィルス感染症(COVID-19)で病院に来たときに行われることは、基本的には手作業による接触者追跡のデジタル強化バージョンだ。人間の間違う可能性のある記憶を照会する代わりに、はるかに信頼性の高い電話の記録が照会される。それは最近接続できるほど十分に近づいた他の携帯電話を忠実に記録しているからだ(後で説明するように匿名で)。

それらのデバイス(そして、それがデバイスであって、人間ではないことに注意することが重要だが)は、現在COVID-19と診断された人の近くに最近いたことを、数秒以内に警告されることになる。受け取る警告には、影響を受けた人物が次に何ができるかに関する情報が含まれている。たとえば、アプリをダウンロードする、スクリーニングのために電話をかける、あるいは検査のために近くの場所を見つけるといった情報だ。

こうした接触者追跡手段は、その容易さ、迅速さ、および包括性によって、ウイルスの蔓延を阻止するのに役立つ優れた機会を与えてくれる。だとしたら、私たちは何故既にそれを利用していないのだろう?

成功と潜在的な不安

実際、上記の方法(またはそれに非常によく似た方法)を使用したデジタル接触者追跡は、米国やヨーロッパよりも早々とウィルスの攻撃を受けた東アジアで多数のユーザー相手に実装されていて、明らかに良い効果を見せている

シンガポールでは、TraceTogetherという名前のアプリが、政府によって接触者追跡の公式手段として推奨されている。韓国では、診断が下されたことがわかっている人々を追跡するための、いくつかのアプリが自発的に採用された。台湾は、高度に集中化されたヘルスケアシステムのデータを、数年前のSARSの発生中に稼働を始めた接触者追跡システムと突き合わせることができた。また中国本土では、WeChatやAlipayなどの普及率が極めて高いサービスを通じて、さまざまな追跡手順が実装されている。

関連記事:Outrunning COVID-19 twice

これらのプログラムはまだ進行中で、その有効性について結論を出すのは時期尚早だが、少なくとも伝わってくる話によれば、対応を改善しウイルスの拡散を制限することができたように思われる。

しかし、東アジアは米国とは非常に異なる場所だ。無数の理由から、台湾のシナリオをそのままここに(またはヨーロッパやアフリカなどに)適用することはできない。また、政府や民間企業の意図に懐疑的な人々にこの種の追跡に応じてもらうためには、プライバシーやセキュリティなどへ対する、もっともな疑問に対して答えを出しておく必要がある。

現在、米国ではいくつかの取り組みが行われている。現在のところ最大のものは、競合同士であるAppleとGoogleのコラボレーションだ。両社は携帯電話のオペレーティングシステムに追加できる、クロスプラットフォームの接触者追跡方法を提案している。

彼らが提案したシステムは、上記のようにBluetoothを使用するものだが、重要な点はそれを個人の身元と紐付けることはないということだ。携帯電話には独自に一時的なID番号が与えられ、他のデバイスと接触した際に、その番号が交換される。これらのID番号のリストは収集されてローカルに保存され、クラウドなどとは同期されない。そして、番号自身も頻繁に変化するため、どの番号もデバイスまたは場所に紐付けることはできない。

もしある人がウィルスに感染していると診断された場合、そしてそのときのみに、(人ではなく)病院が、接触者追跡アプリをアクティブ化することを許され、アプリがその患者の携帯電話に保存されているすべてのID番号に、通知を送信する。通知には、COVID-19と診断された人の近くに最近いたことが示される。繰り返すが、これは電話によって生成されたID番号であり、個人情報には関連付けられていない。前述のように、通知を受けた人びとは、妥当と思われる行動をとることができる。

MITも非常によく似たやり方で機能するシステムを開発しており、一部の州では居住者の間で推奨を始めたと伝えられている。

当然のことながら、この単純で分散化された、一見安全なシステムにも欠点がある、Markupのこの記事が良いまとめを提供しているので、以下にそれらを更に要約して示すことにする。

  • それはオプトイン方式である。 もちろん、これは長所でもあり短所でもあるが、多くの人が参加しないことを選択する可能性もあることを意味し、最近の接触リストの包括性を制限してしまうかもしれない。
  • 悪意のある干渉に対して脆弱である。 特にBluetoothは安全ではない。つまり、充分に能力のある攻撃者がいる場合、このやり方を悪用できる方法が複数有りえることを意味している。たとえば、Bluetooth信号を収集して模倣したり、市内を走り回ってその携帯電話を多数の携帯電話に「接触」させることができる。
  • 偽陽性や偽陰性につながる可能性がある。 プライバシーを維持するために、他者に送信される通知には最小限の情報しか含まれていないため、彼らはいつ、どのようにして接触したのか疑問に思うことになる。「4日前にこの人の隣に5分間ほど立った」とか、「ブロードウェイでこの人のそばをジョギングして走り抜けた」といった詳細は与えられないからだ。詳細が与えられないことで、人びとがパニックに陥って理由もなくERに駆け込んだり、警告を完全に無視したりする可能性がある。
  • 匿名性はかなり高いが、真に匿名なものはない。 システムは最小限のデータで動作するように見えるが、誰かがそれを手に入れれば、そのデータは依然として悪意のある目的に使用される可能性がある。大量のデータの非匿名化は、事実上現在データサイエンスの研究対象領域であり、こうした記録は、どれほど匿名のように見えたとしても、他のデータと相互参照して感染者を浮かび上がらせたり、プライバシーを侵害させたりする可能性がある。
  • データがどう扱われるかが明確ではない。 このデータは後に保健当局に提供されるのだろうか?広告主に販売されるのだろうか?研究者はそれにアクセスできるのだろうか、またどのように吟味されるのだろうか?このような質問には、十分に答えることはできるものの、現時点では少々謎が残されている。

接触者追跡は、コロナウィルスの蔓延を抑制するための取り組みの重要な部分である。自分の住む地域でどのような手段やプラットフォームが採用されるにせよ(おそらく州ごと、そしてひょっとすると都市ごとに違うやり方になるかもしれないが)、その効果を最大限に発揮させるためには、できるだけ多くの人が参加することが重要だ。

もちろんリスクはあるが、そのリスクは比較的軽微であり、対する利点はそうしたリスクを桁違いに上回るように見える。オプトインすべき時が来たときに、それを行う決断をすべきなのは、コミュニティ全体への配慮からだ。

画像クレジット: Bryce Durbin / TechCrunch

原文へ
(翻訳:sako)

AppleとGoogleの新型コロナ追跡システムQ&A

先週、Apple(アップル)とGoogle(グーグル)は、新型コロナウイルス陽性者との接触を確認するためのオプトイン、分散方式の追跡ツールを共同開発することを発表した。

このシステムは本人が許可した場合にのみ作動するオプトイン方式で、Bluetoothを使ってランダム化匿名化された識別子を近くの端末に送信する。ユーザーは自分の匿名化されたデータをアップロードすることが可能で、そこから他の端末に広域発信される。近くの端末との距離と滞在時間に基づき、ユーザーにはウイルスに感染した人と接触した可能性があることが告げられる(個人を特定する情報は知らされない)。

これはMITの研究者らが考案したやはりBluetoothを使って匿名で感染の可能性を他の人に知らせるシステムに似ている。MITのシステムもApple、Googleの新たな取組と同様、位置情報データの利用は回避している。

接触者追跡は一部の国々ではある程度効果が証明されており、当局が感染の中心地を見つけるのに役立っている。しかしプライバシー団体とセキュリティー専門家は、ウイルス感染拡大と戦う個人の権利がプライバシーに優先されることに懸念を抱いている。AppleとGoogleは、このサービスはプライバシーを重視していると言っている。同システムは位置情報データを使わず、乱数化された識別子は15分毎に変更されて追跡を防いでおり、収集されたデータはすべて端末上で処理され、ユーザーが意図的にシェアしない限り端末から外に出ることはない。

しかしセキュリティーやプライバシーの専門家は、システムの潜在的欠陥をすぐに指摘した。元FTC(連邦通信委員会)のチーフ・テクノロジスト、Ashkan Soltani氏は、偽陽性だけでなく偽陰性の可能性を警告している。暗号化メッセージングアプリ、Signal(シグナル)のファウンダー、Moxie Marlinspike氏も、システムが不正利用される可能性に懸念を表明した。

TechCrunchは、AppleとGoogleの代表者とのリモート会見に参加した。記者は両社の新型コロナウイルス追跡の取り組みについて質問する機会を得た。

質疑の内容は以下の通り:

iOS、Androidのどのバージョンで新機能を使えるのか?

Appleは最大限の数のiOS端末にアップデートを提供すると答えた。iPhoneとiPadの3/4以上が最新バージョンのiOS 13を搭載しておりアップデートを受けることができる。GoogleはAndroidの中核部分であるGoogle Play Servicesをアップデートし、最近アップデートされた端末だけでなく、Android 6.0以降を搭載する全Android端末で接触者追跡システムが動作すると答えた。

この追跡システムはいつから使えるのか?

AppleとGoogleはソフトウェアアップデートを5月中旬から配布して接触者追跡の支援を開始すると言った。公共保健機関は自らの専用アプリに接触者追跡APIを組み込み、ユーザーはそのアプリをAppleとGoogleのアプリストアからダウンロードできる。二社は近々、接触者追跡機能をiOSとAndroidに組み込む予定であり、ユーザーはアプリをインストールする必要もなくなると言った。そうなればもっと多くの人たちがこのシステムを使うようになる、と両社は語った。

ただし、接触者追跡機能がOSのシステムレベルに組み込まれた場合でも、陽性者とのマッチングが検出された場合に接触者追跡プロセスの追加情報や次にすべきことなどを知るためには、地域向けの公衆衛生アプリをダウンロードする必要がある。

このAPIを他の誰かが使う可能性はあるか?

両社によると、接触者追跡APIのアクセスが許されるのは公共衛生当局のみである。

この限定APIの利用は、個人の健康情報を医師など資格を持つ医療専門家にのみ提供するのと同じ精神で制限される。APIの利用は認定された公共保健機関のみに制限され、国または地域でその組織を指定する責任のある政府によって認定される。何をもって正当な公共衛生機関と認めるかについては対立が生じる可能性があり場合によっては国と州当局の間でも一致しないかもしれないので、AppleとGoogleはプラットフォーム運営者として微妙な立場に立たされる可能性がある。

なんらかのデータが中央データベースに保存されることはあるのか?

Appleによるとデータはユーザーの端末上で処理され、そのデータは世界中の保健機関が運営するサーバーを「中継」され、中央に集約されることはない。テックの巨人たちは、データが分散化されることで政府が監視することははるかに困難担っていると言っている。

それはAppleとGoogleと公共保健機関はデータをアクセスできるという意味か?

AppleとGoogleは、完全に機密なシステムは存在しないことを認めた。「ハックされない」ものはない、ということはサイバーセキュリティーでは広く知られている概念だ。サーバーが侵入を受ける可能性はあり、データがなくなることもありうる。ただし、データを分散化することで、悪意をもってデータをアクセスすることははるかに困難になっている、と両社は言った。

人々が虚偽の報告をするのをどうやって防ぐのか?

両社は診断の検証について複数の公共保健機関と共同で作業していると語った。AppleとGoogleは、ユーザーにはシステムを信用してほしい、システムが信頼できることもユーザーに知ってほしい、と語った。

確認された新型コロナウイルス感染をどうやって識別するのか?

AppleとGoogleは、陽性の検査結果は症例を識別する最善の方法だが、必ずしも唯一の方法ではないと指摘する。実際、医療専門家の診断にウイルスの存在を具体的に示す陽性検査結果は必須ではない。理論的には、公共保健機関が判断基準を下げ、たとえば症状発現に基づく診断のみを必要とすることもありうる。

両テック巨人ともに、接触者追跡が効果を発揮するためには、集団内で高度な症例識別が行われる必要があることを認めているが、他の感染識別方法が地域の保健機関によって十分信頼できると判断されれば、高度な症例識別が必ずしも広範囲の検査を意味するものではない、という可能性も残している。

このシステムを信頼すべきか?

簡単な答えはない。AppleとGoogleは何もないよりはまし、というシステムを作ったように見えるが、これはユーザーの信頼を相当に必要とするシステムだ。あなたはAppleとGoogleが、彼ら自身あるいは政府による不正使用にも耐えうるシステムを作ったと信じる必要がある。信用しないのであれば、使う必要はない。

画像クレジット:Bryce Durbin/TechCrunch

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Nob Takahashi / facebook