接触者追跡アプリのセキュリティー欠陥を指摘されたインド政府が「設計通り」と回答

インド政府は、国が作った接触者追跡アプリ、Aargya Setuが9000万ユーザーの位置データを取得し、地域内の新型コロナウイルス検査陽性者の密度を見られるようにしているのは「意図的」であると語った。

同国政府はフランス在住のセキュリティー研究者、Baptiste Robert氏がデザイン欠陥およびプライバシー問題であると指摘したことを受けて声明を発表した。

ユーザーの位置情報を取得していることは常に公表していると政府は言っているが、AppleとGoogleの共同プロジェクトなど、同様のテクノロジーと比べてセキュリティー保護が不十分であると専門家は指摘している。

Aarogya Setuのプライバシー・ポリシーによると、アプリはユーザーが登録した時に位置情報データを取得するだけでなく、「連続的に位置データを取得し、ユーザーがいた場所のデータを15分毎に端末に記録している。新型コロナウイルス検査が陽性だった場合、あるいは感染している可能性を示す兆候があると自己申告した場合、アプリはこのデータをユーザーのデジタルIDとともにサーバーにアップロードする。

位置データの収集は、たとえデベロッパーや運用者の善意であっても複雑な問題である。月曜日(米国時間5/4)にGoogle(グーグル)とApple(アップル)は、両者が共同開発した新型コロナウイルス追跡アプリの位置追跡機能の利用を禁止した。

デベロッパーの中には、感染爆発の動きや多発地域の確認のために位置データのアクセスが必要であると主張する向きもあるが、プライバシー擁護団体は、もしこのデータが暴露されると感染した人たちが排斥される恐れがあると警告している。

Robert氏がもうひとつ懸念しているのは、先月始めに公開されたAarogya Setuのユーザーは誰でも、半径500メートルから10 km以内にいる新型コロナ感染の疑いがあるか感染が確認された人たちの分布を見られることだ。同氏はTechCrunchに、自分が書いたスクリプトで、世界で2番目に人口の多いこの国のありとあらゆる場所について同様のデータを見ることができた、と語った。

3月後半に国全体の都市封鎖を行った同国政府は、せめて可視半径を500メートル以内にすべきだったとRobert氏は話した。

これに対してインド政府は、システムはデータを大量取得するスクリプトを防ぐよう設計されていると発表し、「この方法で複数の緯度経度データを取得することは、何人かの人たちにそれぞれが住む場所の新型コロナ統計データを尋ねるのと変わらない」と語った。

「この情報はすべて全地域について公開されており、いかなる個人情報や秘密情報にも抵触しない」と開発チームは語っている。

一部の人たちは、このような何千人もの死者がでる危機の中では、こうした「不具合」は取るに足らない問題であり、アプリははるかに大きな目的を果たしていると主張する。しかし、わずか35日間に9000万人のアクティブユーザーを集めたAarogya Setuは、その間にさまざまな反発を買ってきた。今月始めにインド政府は、政府および民間企業の従業員は全員、スマートフォンにこのアプリをインストールしなければならない、と発表した。

火曜日(米国時間5/5)に、デリー郊外で64万人以上が住むノイダ市では、当局がスマートフォンにAarogya Setuアプリをインストールしていない者は罰金あるいは懲役刑に処すると発表した。
新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。