フランス人研究者ら、接触追跡に関してプライバシー保護を求める書簡に署名

471人の暗号技術とセキュリティのフランス人研究者らが、接触追跡アプリが持つ潜在的リスクへの認識を高めるための書簡に署名をした。フランス議会では明日、ロックダウンの解除後に関するすべてのことが議論されるが、その議題には接触追跡アプリ「StopCovid」も含まれている。

署名を行った研究者のうち77名がフランスの研究機関、Inria(フランス国立情報学自動制御研究所)に在籍している。Inriaは、政府が後ろ盾となっている接触追跡アプリ「ROBERT」が使用する接触追跡プロトコルの開発に携わっている機関である。この書簡を確認すると、InriaがROBERTに対して問題意識を持っていることがわかる。

書簡には、「こうしたアプリはすべて、プライバシーや個人の権利の保護に関する重大なリスクを引き起こす。この大量監視は、個人のインタラクショングラフ、つまりソーシャルグラフを収集することで実行可能である。これはスマートフォンのオペレーティングシステムレベルで行われる可能性がある。アプローチによって多少の差異はあるものの、オペレーティングシステムメーカーや政府がこのソーシャルグラフを簡単に再構築することが可能である」と記載されている。

この書簡には、接触追跡プロトコルの中央集中型実装と分散型実装に関する徹底的な分析にも触れている。この分析には、「DP-3Tプロトコル」やROBERTを弱体化させる攻撃のシナリオが複数含まれている。

明日開催される議会での討論に先立ち、研究者らは「デジタルソリューションがもたらす健康上の利点について、専門家による徹底的な分析が必要不可欠である。引き起こされるリスクを妥当なものだとするには、重要な証拠がなければならない」と表明している。

さらに彼らは、すべての技術的選択を文書化し正当性を証明する、データ収集を最小限に留める、人々はリスクを認識し接触追跡アプリを使用するかどうか選択する権利を認める、などあらゆるレベルにおいてさらなる透明化を図ることを求めている。

欧州では、数週間前から複数の研究者グループが異なるプロトコルの開発に取り組んでいる。具体例を挙げると、DP-3Tはスマートフォンを利用して社会的交流を算出する分散型プロトコルの開発に取り組んでいる。ユーザーのデバイスに一時的なIDが保存され、ユーザーが中継サーバーにそのIDを共有することを承認すると、それがアプリユーザーのコミュニティーに送信される。

PEPP-PTは、中央サーバーで接触を照会するのにスードニマイゼーション(仮名化)を使用する中央集中型プロトコルをサポートしている。国家機関が中央サーバーを管理しているため、プロトコルが適切に実装されなければ国家による監視につながる可能性がある。ROBERTはフランスおよびドイツの研究者により設計されたPEPP-PTの一種である。

フランス政府は接触追跡アプリの利点について常に慎重な姿勢を見せているが、その実装方法についてはあまり議論されていない。フランス政府から正式な支援を受けているInriaとFraunhoferは先週、ROBERTプロトコルの仕様書を発表した。

多くの人々(私も含め)は、政府が一般市民にだまって不正な行為をしないと信じる必要があるため、設計について選択の幅が与えられることを要求している。中央集中型のアプローチでは、政府が人々の交流や健康に関する大量のデータを持つことになるため、エンドユーザーからの多大な信頼が必要となる。ROBERTでは確かにスードニマイゼーションが施されているが、その仕様書に記載されているにも関わらず、アノニマイゼーション(匿名化)は施されていない。

さらにROBERTは、AppleとGoogleが開発中の接触追跡APIを使用しない。フランスのデジタル経済大臣Cédric O氏はブルームバーグ社によるインタビューの中で、Appleに対しBluetooth制限を解除するよう求めていることを明らかにした。AppleとGoogleは分散方式で実装されるAPIを提供しているため、フランス政府からの圧力に屈するメリットはほとんどない。

4月26日、ドイツ政府は当初検討していた中央集中型アーキテクチャのプランを中止し分散型アプローチを取ることを発表。依然として中央集中型アプローチを支持するフランスおよびイギリスと袂を分かつ形となった。

フランスのデータ保護監視機関CNILはROBERTに関する慎重な分析を発表し、その中で当該プロトコルがGDPRに準拠している可能性があると述べた。しかしCNILは、StopCovidを確実に理解するには、プロトコルの実装に関するより詳細な情報が必要だとしている。

また、欧州データ保護監督庁(European Data Protection Supervisor:EDPS)もフランス議会が直面するこの議論は非常に重要であるとし、ツイッターで「この議論は直近の未来だけでなく、今後数年にわたり影響を及ぼすだろう」と述べている

[原文へ]

(翻訳:Drangonfly)

“新型コロナウイルス

欧州が新型コロナ対策の接触トレース技術におけるプライバシー保護でAppleとGoogleにAPI変更要求

新型コロナウイルス(COVID-19)の感染リスクを測るため、Bluetoothベースで接近度を追跡するいわゆる「プライバシー保護」規格を、EUの科学者や技術専門家が協同して開発している。またこの構想に基づき、彼らはAppleとGoogleに対して両社のAPI変更を要求している。

4月1日に発表されたPEPP-PT(汎欧州プライバシー保護接近度追跡)は、国境を越えたデジタル介入の足並みを揃えるために、接触追跡アプリの開発者に対して、スマートフォンユーザーのデータを標準化された方法で処理することを求めるものだ。また、新型コロナウイルスの流行が原因で勢いを増しつつある位置追跡ツールによる過度なプライバシー侵害のリスクを減らすことを目的としている。

米国時間4月17日、7カ国の国営アプリにPEPP-PTのアプローチを採用されることが明らかとなった。さらに40カ国の追加参加について話し合いが設けられている(アップデート参加が明らかとなったスイススペインは、同国はその実施を集権化することについて否定している)。

PEPP-PTのHans-Christian Boos(ハンス・クリスチャン・ボース)氏は「現在、多数の政府と話し合っているところです。一部の国は、国内のアプリをPEPP-PTの原則とプロトコルに基づいて製作すると公言しています」とウェブ会見の中で語っている。

「既に、7カ国が本構想に同調することが決定しています。また、参加に向けた話し合いを40カ国と様々なレベルで行っています」と同氏はいう。

ボース氏は、これら政府の一覧を公表すると述べたが、本記事の執筆段階では、まだ目にする機会は得られていない。私たちはPEPP-PTのPR会社へ情報提供を既に申し入れており、入手次第、本記事を更新する予定である。

また彼は「欧州の複数の国を巻き込むという今回の手法はうまくいきました」とも述べる。「政府はこれまでになかった素早さで決定を下しています。参加に向けて40カ国以上が話し合う今、私たちが扱う対象はもはや欧州だけに止まりません。プライバシーの保護をモデル化する、そして議題の中心に挙げることが私たちが強調したいことであり、この構想を他の地域にも広げられると確信しています」。

同会見に参加したイタリア政府の技術革新およびデジタル変革省でCTOを努めるPaolo de Rosa(パオロ・デ・ローザ)氏も、イタリアのアプリがPEPP-PTに基づき作成されることを認めている。

ローザ氏は「我が国は近日中にアプリを完成させます。もちろんこのモデルに基づいたものです」とだけ述べ、それ以外の詳細は控えている。

PEPP-PTの中核を成す「プライバシー保護」方針は、位置情報データを収集しないシステムアーキテクチャを使用していることに基づいている。その代わり互いに接近するデバイスは、匿名化されたIDを共有する。感染リスクが発生しと後にシステムが判定した場合、この匿名IDを使用して各個人へ通知が送られる。個人の接触情報がアップロードされるのは診断結果が出た後で、その後にそれまでに接触した他のデバイスへと通知が送られる。

PEPP-PTのスポークスマン兼コーディネーターを務めるボース氏は、2020年4月初頭に行なったTechCrunchの取材で、TechCrunchに対してプロジェクトが中央管理型と分散型の両方のアプローチに対応することを伝えている。前者では、IDは信頼できるサーバー(公衆衛生担当の政府機関が管理するサーバーなど)へアップロードされる。後者では、IDは各デバイスで管理され、そこで感染リスクも計算される。バックエンドサーバーは、情報をデバイスへ送信する役割のみを受け持つ。

この分散型システムにおいてAppleとGoogleは協調してサポートを行うとされている。このことが発表されたのはPEPP-PTの発表直後のこと。この2社のサポートにより、近日公開予定のAPIとシステム全体に利用されているBluetoothベースの接近度トラッキングによって、感染者の接触者トレーシングが可能となる。

世界人口の大多数を今回の構想に巻き込むために必要なのは、このわずか2社の協力を取り付けることだけだ。両社の参加によって、テクノロジーを利用した方法で新型コロナウイルスに対抗するという分散型の接触者トレーシング構想は大きく前進することとなった。

先日欧州議会で可決された決議案も、分散型の接触者トレーシングを後押しするものだ。

欧州議会は加盟国に対して「人々がセキュリティとプライバシー保護の両方のための基本的なプロトコルを確認できるように。また、アプリケーションのコード自体を公開し、政府が主張するような形で本当にアプリケーションが運用されているかを確認できるように、接触者トレーシングアプリの機能を完全に透明化する」よう働きかけている(委員会も、分散化を望んでいることを以前に示唆している)。

しかし、少なくとも7カ国の政府(およびPEPP-PTの主張によればその他多数)を含むPEPP-PTの支援者は、「プライバシー保護」の中央管理手法をあきらめていない。支援者の一部は、これを「疑似分散型」と呼んでいる。ボース氏は本日、AppleとGoogleの間で、両社のアプローチを変更できるかどうかの話し合いが行われていることを発表した。

現時点のAndroidとiOSでは、接触追跡アプリが分散型インフラを使用しない場合、バックグラウンドでBluetooth追跡を実行することはできない。これは、プラットフォーム側で一般のアプリがBluetoothへアクセスする方法を制限しているためである。つまり、そうしたアプリのユーザーが接近度追跡を機能させるためには、アプリを常に開いてアクティブにしておかなければいけないことを意味する。これではバッテリーの駆動時間が短くなってしまう。

また、Apple-Googleの共同モデルで採用されたリレーサーバーモデルが原因で、接触追跡データを中央管理に置くと(意図的な)制限もかかる。

「AppleとGoogleが歩み寄り、OSのレイヤーを開放してくれたことに感謝します。言い換えれば、Bluetooth測定と暗号化処理、およびそうしたタスクのバックグラウンド実行を常に安定して実行させるというOSの真の機能が使えるようになりました。モバイルエコシステムの巨人2社と、彼らが提供したプロトコルに注目してみれば、特に各国の政府側の観点から、話し合える余地は大いにあります」とボース氏はいう。

「PEPP-PTからも、いくつか話し合いたい点があります。私たちは選択肢を求めています。また、モデルの実装についても選択肢が必要です。両社のプロトコルの上へさらに中央管理型または分散型のプロトコルを作成しなければならないのであれば、どちらの利点も活かせずに終わるでしょう。話し合うべき内容は多くあります。しかし、彼らの決断とは別に、ハイテク業界で働く人々の多くはAppleとGoogleがこうした話し合いで非常にオープンな態度をとることを知っています。今はまだ、対立する時期ではありません。話し合いは継続しており、何らかの合意が得られる見通しです」。

AppleとGoogleへPEPP-PTが依頼した変更が具体的に何なのかは、はっきりしていない。私たちはウェブ会見の最中に詳細を訪ねたが、回答を得られなかった。しかし当グループと政府の後援者はテクノロジーの巨人の姿勢を崩し、Bluetoothの接触情報を中央の管理によってグラフ化し、全国の新型コロナウイルス対策組織へ配信しやすくすることを目指している。

現時点でAppleとGoogleのAPIは、サーバーレベルで接触情報のマッチングをブロックするよう設計されている。しかし、政府(またはその他の組織)が制約を回避して一部のデータを中央管理する方法は、まだ残されている可能性がある。

私たちはPEPP-PTがいう話し合いについて、AppleとGoogleに問い合わせた。本記事の執筆時点では、どちらの回答も得られていない。

イタリアと同様に、ドイツとフランスの政府も、PEPP-PTを支持して国営アプリを作成すると示唆している。これはつまり、もしAPIを変更する圧力が効かない場合は、かつてのAppleとFBIの対立と同じように、EUの巨大な加盟国たちとテクノロジーの巨人との対決が始まる可能性があることになる。

今回のエピソードでもう1つ重要な点は、PEPP-PTが依然としてプライバシーとセキュリティの専門家から激しい批判を浴び続けていることである。さらには、他の組織が開発中の「DP-3T」と呼ばれる分散型接触トレーシングプロトコルに言及した文章がPEPP-PTのウェブサイト上から削除されたことで、この批判はさらに勢いを増している。

また、CoindeskはPEPP-PTのウェブサイト上の記述が何も発表がないまま編集されていたことを指摘した。

DP-3Tの支援者は、PEPP-PTがいまだにレビュー用のコードやプロトコルを公開していないことを繰り返し問い詰めており、PEPP-PTを「トロイの木馬」とまで揶揄している。

PEPP-PT構想に参加し、かつDP-3Tを設計したETH ZürichのKenneth Paterson(ケネス・パターソン)博士は私たちの問い合わせに対して、連合が「Gapple(Google + Apple)」からどのような約束を取り付けようとしているのかについて明らかにしなかった。

彼はメールのやりとりでこう答えている。「彼らがシステムがどんな仕組みで動作するのか未だ明言していないため、(AppleとGoogleのシステムに対する変更について)何を求めているのか、私には何もいえません」。

4月17日にボース氏は、PEPP-PTのウェブサイトからDP-3Tへの言及が削除されたのは間違いだったと表明した。彼はこの事態を「コミュニケーションの失敗」が原因だとしている。彼はまた、PEPP-PTは規格化された技術を組み合わせた中に、DP-3Tの分散型プロトコルを含めることに今でも興味がある、と述べている。このため既に不明瞭な両組織の違いは、また新たに線引きされ続ける見通しである(また、プレスからボース氏へのメールは現在、Hering Schuppener社によってふるい分けされているのも興味深い点である。同社は、危機管理のPRを含む広報サービスを販売するコミュニケーション企業である)。

ボース氏はDP-3Tの排除に関して「遺憾に思います」と述べる。「実際は、一般社会に普及しているのと同じレベルで、様々な選択肢を用意したいと考えていました。それらの選択肢は今でも存在しており、その仕事に従事する同僚やその他の方々には深く感謝しています」。

「暗号化技術のコミュニティではこの話題の議論が活発に続いており、プロトコルを改善するのはいつでも望ましいため、私たちもそうした議論を奨励しています。私たちが見失ってはならないのは、ここで話し合うべきなのは暗号化についてではなく、伝染病の対策である点です。基盤となる転送レイヤーでプライバシーが守られる限り、政府はどんな選択肢もとれるためそれで十分でしょう」。

ボース氏はまた、PEPP-PTは米国時間4月18日午後に、ついに何らかの技術文書を公開すると語った。最初の発表から3週間後、しかも金曜の晩に発表することを選択したことになった。その後、7ページの「高レベル概要」文書がGitHubのこのリンクへ掲載された。しかし、レビュー用のコードにはほど遠い内容である(アップデート:このリンクはその後消去された)。また同時に、彼はジャーナリスト達に対して、細かい技術にこだわるのではなく新型コロナウイルスと戦う「大局」に注目するよう依頼している。

米国時間4月17日のウェブ会見では、PEPP-PTを支援する科学者の一部が、感染リスクを追跡する代替としてBluetoothがどの程度有効なのか、テストする方法を語ってくれた。

オックスフォード大学のビッグデータ研究所でナフィールド医学科教授および病原体力学のシニアグループリーダーを務めるChristophe Fraser(クリストフ・フレーザー)氏は、伝染を追跡するためにBluetoothの接近度データを使用する基本原理を説明し、次のように述べている。

「私たちが開発しているアルゴリズムは、各個人が互いに接近して過ごした累積時間に注目しています。目標は、スマートフォンの接近度データから、伝染の可能性を予測することです。理想的なシステムは、感染リスクが最も高い人々で必要な隔離を減らし、また感染のリスクがない人々へは、例え接近があったことが記録されていても、通知することはありません。

もちろん、それだけでは完全なプロセスとは言えません。しかし、この画期的なアプローチの重要な点は、情報や通知の正確度を検証できるようになることです。そのため、誰が通知を受け取り、そのうちどれだけの人が感染したのか、実際に把握できなければなりません。また、接触したと特定された人々のうち、どれだけの人がまだ感染していないのかも把握する必要があります。各システムに応じて様々な方法で検証を行うことは可能ですが、この手順を外すことはできません」。

フレーザー氏の話を踏まえると、デジタル介入の効果を評価することが不可欠となるはずだ。評価を発表することで、公共衛生の管轄機関が接触情報のグラフへより広範にアクセスできるようになる。ここでDP-3Tの分散型プロトコルでは、アプリのユーザーが疫学者や研究グループへ自発的にデータを共有することを明白に選べることに注目する必要がある。共有すれば、研究者は感染者と有リスクのユーザーとの交流を記録したグラフを再構築できる(言い換えれば、接近度グラフへアクセスできる)。

またフレーザー氏は次のようにも語っている。「数百万人に影響を与える隔離要請などの介入を行うのであれば、通知を出した時点での最大限の科学的な根拠、または入手可能な限りの証拠を提供することが本当に重要となります。それらの証拠を集める中で、ウイルスの感染についての理解が深まっていきます。実際、アプリの検証を行えばより深まるため、情報のフィードバックを受け取ることは不可欠でしょう」。

ボース氏によれば、現在テストや参照用に使用されているPEPP-PTに沿って作成されたアプリは、いずれも国家レベルの公衆衛生機関とはつながっていない。ただし、彼はイタリア企業の衛生システムへ接続してテストを実施する試験的なケースを挙げている。

彼は「バックエンドとアプリケーションのビルダーを提供しました。またプロトコルとサンプルコードを提供し、測定科学の内容など、多くの情報を提供しています。AndroidとiOSで、既に稼働しているアプリケーションが存在します。国家の衛生システムへ統合されていないだけです」と語っている。

PEPP-PTのウェブサイトは、Vodafoneなど構想を支援する数々の企業「会員」を掲載している。また取り組みを主導していると伝えられる、ドイツのFraunhofer Heinrich Hertz通信研究所(HHI)など、数カ所の研究機関も掲載されている。

HHIの取締役であるThomas Wiegand(トーマス・ウィーガンド)氏も、4月17日の会見に参加していた。注目すべきことに、彼はDP-3Tのホワイトペーパーの著者の1人でもある。しかし、GitHubの文書履歴によれば、4月10日に彼はREADME(前文)と著者一覧から削除されている。この変更に対しては何の説明も行われていない。

記者会見でウィーガンド氏は、暗号化とデジタル権利について活動する多数のコミュニティから反感を得るであろうと発言した。彼は、新型コロナウイルス接触追跡に用いる暗号化システムについての議論を「余興」とし、彼が欧州の「開かれた公共の話し合い」と呼ぶものが「欧州人である私たちをこの危機から救う可能性をなくすであろう」だという懸念を表明した。

彼はまたこう述べている。「私は単に、この問題の困難さを皆に理解してもらいたいだけです。暗号化はシステムを構成する12のブロックの1つにしか過ぎません。つまり、いったい何のためにここで集まっているか、皆さんに振り返っていただき、見直して欲しいのです。私たちはこのウイルスに勝利しなければなりません。さもなければ、もう一度ロックダウンが繰り返され、より深刻な問題が生まれるでしょう。皆さん全員にそれを考えていただきたいと思います。一丸となって協力すれば、ウイルスに勝てる可能性はあります」。

ウェブ会見では、利用されたZoomのチャットが人種差別的なスパム発言で乱されたことで、さらに不穏な空気が漂うことになった。ボース氏は会見を開始する直前に「技術に明るい人々から、Zoomはセキュリティに不安があるため使用するべきではないと聞きました。セキュリティとプライバシーについての構想を発表する場には合わないツールでした」と話した。

「残念ながら、同僚らの多くがこのツールだけを使っていることがわかったので、Zoomが改善するのを待つか、別のツールを使用する必要があります。もちろんZoomへデータをリークするのは私たちの意図することではないですから」。

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Dragonfly)