英国政府による新型コロナウイルス接触者追跡アプリの開発計画について、その透明性と拡大流用に関する懸念を表明する公開書簡に、英国のコンピュータセキュリティ専門家とプライバシー専門家が多数署名した。
2020年4月初めに世界中の300名近くの学者が署名した同様の公開書簡に続き、177名の学者の署名を集めたこの書簡は、接触者追跡テクノロジーの使用に対する慎重な姿勢を促し、接触者追跡アプリを導入する政府には、プライバシーを保護する技術やシステムを使用するよう呼びかけた。
英国の学者らはこの書簡の中で、3月初旬からデジタル接触者追跡アプリの開発を行ってきたNHSX(英国国民保険サービスのデジタル戦略を担当する組織)に言及して「公衆衛生におけるデジタルソリューションの有効性は、関係する全分野の専門家による深い分析を経て判断するべきであり、関係するリスクが妥当であると言うだけの価値があることを証明する十分な根拠が必要だ」と述べた。
また「報道によると、NHSXは感染者とその接触者全員の非匿名IDを中央集中型データベースに記録するアプローチを検討している。このようなシステムはいずれ(本来の目的から逸脱した拡大流用により)監視システムとして利用される可能性がある」とも述べている。
NHSXのCEOであるMatthew Gould(マシュー・グールド)氏は米国時間4月28日、英国議会の科学技術委員会に出席して証拠を提出していた。グールド氏は、間もなく導入されるアプリに採用される「中央集中型手法」は限定的なものであり、プライバシー保護にとって分散型は安全、中央集中型は危険という「二分思考は誤っている」と主張して、NHSXのアプローチを弁護した。
データの中央集中型管理が必要であるとNHSXが考える理由を説明するために、いくつかのシナリオを紹介した。しかし英国の学者らによる今回の書簡は「公衆衛生当局がどの程度のデータを必要とするかという点については、グループ間で意見が真っ向から対立するのを見てきた」として、中央集中型管理が必要であるという主張に疑問を投げかけた。
「使用目的の達成に必要な最小限のデータのみを収集する、という通常のデータ保護原則を適用するべきだと考える。このテクノロジーにはプライバシー侵害につながる特性や関係するリスクがあることを考えると、アプリを信頼してもらうには、このアプローチが単に手っ取り早い方法だとか『あれば便利だ』とかいうのではなく、本当に必要な手段であることを示す証拠を、公衆衛生当局が公式に提示しなければならない」とこの書簡は続いている。
欧州ではここ数週間、政府主導の新型コロナウイルス接触者追跡アプリのアーキテクチャ選択をめぐって激しい議論が行われている。分散型アプローチを支持する国もあれば、中央集中型アプローチを支持する国もある。一部の国ではAppleに対して、ライバル企業のAndroidメーカーであるGoogleと政府が共同で開発している新型コロナウイルス接触者追跡アプリとの互換性を持つクロスプラットフォームAPIを採用するよう圧力をかけている。
欧州で開発が進められている政府主導の接触者追跡アプリのほとんどは、Bluetooth近接通信を使用して感染リスクを計算するように設計されている。スマートフォンのユーザーがお互いに接近すると、仮名化されたIDがデバイス間で交換される。しかし、そのIDが中央管理サーバーに保存されると、サーバーを管理する当局がIDから個人を再特定できるようになるため、国家による監視システムが構築されるリスクがある、とプライバシー専門家は懸念している。
中央集中型のシステムに代わるものとして、デバイスに保存されるIDを使ったピアツーピア通信による分散型システムが提案されている。感染リスクもデバイス上で計算され、プッシュ通知を他のデバイスに送信する時だけリレーサーバーが使用されるため、ソーシャルグラフを示すデータが組織的に公開されることはない。
しかし、このような分散型構造でも、感染が確認された人のIDを他の人のデバイスに通知する必要があるため、デバイスレベルでデータが傍受され、個人が再特定される可能性は存在する。
欧州では今のところ、政府主導の接触者追跡アプリに分散型アプローチを採用することが主流になっているといっていいだろう。注目すべきことに、初めは中央集中型アプローチを支持していたドイツ政府も後になって、エストニア、スペイン、スイスなどと同じように分散型アプローチへと方向転換した。その結果、現時点で中央集中型システムを支持している主要国はフランスと英国だけになった。
フランスでもこの問題について、専門家による議論が続いている。フランスでは4月末、中央集中型と分散型それぞれのアーキテクチャについて懸念を表明する書簡に数名の学者が署名した。学者らは、どのような追跡ツールを使用するにしても、「生じうるリスクが妥当であることを示す重要な証拠を示す必要がある」と主張している。
英国の場合、NHSXが開発する追跡アプリに関する重大な懸念は、政府によるソーシャルグラフデータの中央集中型収集と個人の再特定だけではない。その仕様や機能の拡大流用も重大な懸念となっている。
グールド氏は先日、追跡アプリは今後も流用されるだろうと述べ、その際に使用されるバージョンでは位置情報などの追加データを任意で提供するようユーザーに依頼する可能性があると付け加えた。さらに、NHSXは追跡アプリの使用は任意だとしているが、複数の機能がアプリに実装されると、同意の意味合いが薄まり、拡大流用がアプリ使用の強制につながるのではないか、という疑問が生じる可能性がある。
別の懸念は、英国スパイ機関の表向きの顔であるGCHQ(政府通信本部)も、追跡アプリのアーキテクチャ選定に関わってきたという点だ。さらに、グールド氏は昨日の科学技術委員会で、中央集中型アーキテクチャ採用の決定にNCSC(英国国家サイバーセキュリティセンター)が関与してきたかと問われた際に、答えをはぐらかした。
この面でもさらに別の懸念が予想される。HSJ誌は米国時間4月29日、Matt Hancock(マット・ハンコック)保健相が最近、英国諜報機関に新たな権限を与えたと報じた。これにより諜報機関は、新型コロナウイルスのパンデミック中に、医療サービスのネットワークや情報システムの「セキュリティ」に関するものであればどんな情報でも、その開示をNHSに要請できるようになる。
データベース好きのスパイ機関がそのような権限を手にしている状況で、プライバシー侵害への不安感が和らぐわけがない。
英国のデータ規制当局が追跡アプリの設計プロセスにどの程度深く関与してきたのか、という点も気になる。先にICO(英国情報コミッショナー事務局)の執行役員であるSimon McDougall(シモン・マクドガル)氏が、自分は追跡アプリの計画書を見たことがない、と公の討論会の場で発言したことが報じられたが、実はICOは4月24日に「高い透明性とガバナンスを確保できるようNHSXを支援している」との声明を出していた。
また、グールド氏は先日の科学技術委員会で、追跡アプリが流用される際にはその都度、NHSXがデータ保護影響評価(DPIA)を公開すると述べた。しかし、DPIAが公開されたことはまだない。
グールド氏はさらに、追跡アプリは「技術的には」今後数週間のうちに使用できるようになると述べたが、アプリのコードを公表して外部レビューを行う時期については明言できなかった。
英国の学者らは今回の書簡の中で、DPIAを追跡アプリの導入直前に公開するのではなく「今すぐ」公開するようNHSXに要請した。そうすることで、追跡アプリの使用が及ぼす影響について公に議論できるようにし、政府が実装したと主張する安全対策とプライバシー保護対策を国民が自ら精査できるようにするためだ。
英国の学者らは、システムのユーザー(感染を自ら報告する人を除く)を非匿名化してユーザーのソーシャルグラフを特定可能にするいかなるデータベースも作成しないことを公式に誓言するよう、NHSXに要請した。
学者らはまた、新型コロナウイルスのパンデミックの収束後に、NHXSが「拡大流用を回避する」べく追跡アプリをどのように段階的に停止するつもりなのか、詳しい説明をNHSXに求めた。
データベースの件についてTechCrunchがNHSXの広報担当者に尋ねると、それは英国保健省やNCSCが決めるべき問題だという回答が返ってきた。これでは、政府がアプリユーザーのデータを拡大流用してプライバシーが侵害されるのでは、という不安感が和らぐことはない。
TechCrunchはNHSXに対して、追跡アプリのDPIAの公開時期についても問い合わせたが、この記事の執筆時点でまだ回答は得られていない。
アップデート:NHSXのスポークスパーソンから以下のような返答を得ている。
我々はデータ保護に関する取り決めを追って公開します。また、このパンデミックの驚異が去った後には、この接触者追跡アプリはただちに停止される予定です。その際、ユーザーから共有されたデータは削除しますが、法と倫理を鑑みつつ、将来のウイルス研究に役立つデータは保存されます。
また、これに続いてスポークスパーソンは以下のコメントを追加した。
ユーザーからの許可を得た場合を除き、ユーザーデータは常に匿名化された状態で保存されます。また、匿名化解除のためにデータを照合できる他のデータベースは存在しません。
Category:セキュリティ
[原文へ]
(翻訳:Dragonfly)