欧州のプライバシー専門家グループがBluetoothベースの新型コロナウイルス(COVID-19)の接触追跡のための分散型システムを提案した。このシステムは、データを集中管理するために局所に取り組むアプリよりも、より強力に不正使用や悪用からデータを保護することができると、グループは主張している。
グループが分散型プライバシー保護近接追跡(DP-PPT)と名付けたこのプロトコルは、スイス連邦工科大学チューリッヒ校、ベルギーのルーヴェンカトリック大学をはじめとする、欧州全土の7つ以上の研究機関の学者約25名によって設計された。
グループは、こちらでDP-PPTアプローチについて記載したホワイトペーパーを公開している。
このホワイトペーパーで重要なのは、この設計には、短期間のBluetooth識別子(ホワイトペーパーではEphIDと呼ぶ)を生成および共有するデバイスに基づいた、ユーザーのデバイス上における接触追跡とリスクに対するローカル処理が伴うという点である。
データをデバイスにプッシュするためには、バックエンドサーバーを使用する。つまり、感染者が新型コロナウイルス感染症と診断されると、保健当局が感染者のデバイスから感染期間中のEphIDの簡易表示をアップロードすることを認可する。アップロードされたデータは他のユーザーのデバイスに送信され、リスクの有無がローカルで計算され、適宜ユーザーに通知される。
この設計では、プールされたデータによってプライバシーリスクをもたらすような匿名化IDの集約を必要としない。そのため、システムを信頼してこのプロトコルを使用する接触追跡アプリを自発的にダウンロードするようにEU市民を説得することも容易になるだろう。これは、国家による個人レベルの監視には転用し難い設計であるからだ。
グループでは、ローカルで交換されたデータを盗聴したり、アプリを逆コンパイル/再コンパイルして要素を改変するなど、技術に精通するユーザーによって発生し得るその他の脅威についても議論している。包括的な論点は、「監視の忍び込み」(つまり、国家が公衆衛生上の危機に乗じて市民レベルの追跡インフラストラクチャを確立・維持するのではないかということ)につながる危険性のあるデータの中央集中型システムと比較して、こうしたリスクはより小さく管理しやすいということだ。
DP-PPTは、使用目的が限定され、公衆衛生上の危機の終結後は廃止することを考慮に入れて設計されている。
EPFL(スイス連邦工科大学ローザンヌ校)のCarmela Troncoso(カルメラ・トロンコソ)教授は次のように記している。「DP-PPTプロトコルは、プライバシーが保護された近接追跡アプローチが可能であり、国または組織がリスクと不正使用を支持する手法を受け入れる必要がないということを示しています。法律によって厳密な必要性と妥当性が求められ、近接追跡の基盤として社会的サポートがある状況では、この分散型設計で、不正使用されることのない近接追跡の実行手段を提供できるのです」。
ここ数週間、欧州各国の政府が、新型コロナウイルスを追跡するさまざまな目的でユーザーデータを引き渡すようデータ管理者に迫っている。また、研究者が新型コロナウイルスに対抗するうえで役立つという症状報告アプリなど、民間企業によって複数のアプリが市場に投入されている。大手テクノロジー企業は、公的医療目的と主張してインターネットユーザーの永続的な追跡を再度パッケージ化するためのPRの機会をうかがっているものの、実際の用途は不明瞭だ。
通信会社によるメタデータの取得は、市民の追跡ではなく、新型コロナウイルス感染症の蔓延のモデル化を目的としていると、ECが発言
欧州委員会は、新型コロナウイルス感染症のパンデミックによって引き起こされた公衆衛生上の緊急事態への対処の一環として、集約されたユーザーの位置情報を共有するようヨーロッパの通信会社に求めている。「欧州委員会は、集約され匿名化された携帯電話の位置データの提供について携帯電話事業者との議論を開始した」と本日発表した。
新型コロナウイルスに関する次の大きな技術推進は、接触追跡アプリである可能性が高い。接触追跡アプリは、近接追跡Bluetoothテクノロジーを活用して、感染者と感染していない人々との間の接触をマッピングするアプリだ。
これは、何らかの形式で接触追跡を実施しなければ、人々の動きを抑制することでなんとか低下させた感染率が、経済活動や社会活動が再開された後、再び上昇するリスクがあるからである。ただし、接触追跡アプリが政策立案者や技術者の望み通り、新型コロナウイルス感染症の封じ込めに有効であるかどうかについてはまだ疑問が残る。
ただし、現時点で明確なのは、設計上プライバシーを考慮して慎重に設計されたプロトコルがなければ、接触追跡アプリによってプライバシー、すなわち、人々の居場所など、やっとのことで手に入れた人権に対するリスクが実際に生じるということだ。
新型コロナウイルス感染症との闘いという大義名分で権利を踏みにじることは、正当でもなく、その必要もないというのが、DP-PPTプロトコルを支持するグループの真意だ。
ユニバーシティ・カレッジ・ロンドンのMichael Veale(マイケル・ビール)博士は次のように述べている。「集中化に伴う大きな懸念事項の1つは、システムが拡張可能であり、国家が誰と誰が近しい関係にあるというソーシャルグラフを再構築できるため、それに基づいてプロファイリングやその他の規制に展開できるという点である。このデータは、公衆衛生以外の目的で法執行機関や情報機関によって勝手に使用される可能性があるのです」。博士は分散型設計の支持者でもある。
「一部の国ではこれに対して有効な法的保護措置を講じることができるかもしれませんが、欧州に集中型プロトコルを導入することで、近隣諸国は相互運用を余儀なくされ、分散型システムではなく集中型システムを使用せざるを得なくなります。逆の状況も当てはまります。分散型システムでは、他の国々がプライバシー保護アプローチを確実に使用することで、世界全体で新型コロナウイルス感染症のBluetoothに基づく追跡を監視目的で不正使用することに対する厳しい技術的制限が課されます」。
博士は近接データの集中化について次のように付け加えた。「集中化はまったく不要です。設計によるデータ保護では、目的に必要なデータのみを使用するように、データを最小限に抑えることを義務付けています。データの収集や集中化は、Bluetoothの接触追跡には技術的にまったく不要なのです」。
4月上旬、TechCrunchではドイツのフラウンホーファーHHI研究所が指揮する、技術者と科学者で構成される別の団体によるもう1つのEUにおける取り組みに関する記事を公開した。その記事では、汎欧州プライバシー保護近接追跡(PEPP-PT)という名称の、新型コロナウイルス感染症接触追跡に関する「プライバシー保護」標準の取り組みについて報告した。
記事を公開した時点では、このアプローチについて、匿名化IDの処理で集中型モデルのみに用途が固定されるかどうかは明らかになっていなかった。今回TechCrunchに語ってくれた、PEPP-PTプロジェクトの共同創始者の1人であるHans-Christian Boos(ハンス・クリスチャン・ブース)氏は、標準化の取り組みにおいて、接触追跡の処理で集中型アプローチと分散型アプローチの両方をサポートすることを認めた。
この取り組みは、EUのプライバシーコミュニティの一部から分散型アプローチではなく集中型アプローチにとって有利になると批判されている。批評家たちは、ユーザーのプライバシーを保護するという主要な主張が損なわれると強く反発している。しかしながら、ブース氏によると、この取り組みは世界中におけるデータの取り込みを最大化するために、実際に両方のアプローチに対応している。
また、ブース氏はデータが集中化されているか分散化されているかにかかわらず、相互運用可能であると述べている(ブース氏は、集中化シナリオでは、PEPP-PTを監督するために設立された非営利団体が(資金調達については懸案中であるものの)、集中型サーバー自体を管理できることが望まれる。これは、人権のための体制が整っていない地域などでのデータ集中化によるリスクをさらに軽減させるためのステップであると述べている)。
「集中化と分散化、両方の選択肢があります」と、ブース氏はTechCrunchに語った。「ニーズに応じて両方のソリューションを提供し、提供したソリューションを運用していきます。しかしながら、私がお伝えしたいのは、どちらのソリューションにもそれぞれメリットがあるということです。暗号学のコミュニティからは分散化を望む声が多く、一方医療コミュニティからは、感染者に関する情報を所有する人が多くなり過ぎることを懸念するため、分散化に反対する声が多くあります」。
「分散型システムでは、感染者の匿名IDをあらゆる人にブロードキャストすることになるという基本的な問題があります。そのため、一部の国の医療関連の法律では完全に禁止されています。暗号化手法を導入しているとはいえ、IDをあちこちにブロードキャストすることになります。これは、接触の有無を特定する唯一の手段が、ローカルの携帯電話であるからです」とブース氏は続ける。
「これは、分散型ソリューションの欠点です。その他の点は申し分ありません。集中型ソリューションには、単一の運用者が匿名化IDへのアクセス権を持つという欠点があります(ユーザーはその運用者を信頼するかしないかを選択できます)。これは、匿名化IDがブロードキャストされている場合とほとんど変わらないといえます。そのため、問題は、1人の関係者に匿名化IDへのアクセス権を持たせるのか、このアクセス権を全員に持たせるのかということになります。これは、最終的にはネットワーク経由で匿名化IDをブロードキャストすることになるため、なりすましにつながることがあるためです」。
「誰かが集中型サービスをハッキングできる可能性があると仮定すると、その誰かはサービスが経由しているルーターもハッキングできるということも考慮する必要があります。問題点は同じなのです」とブース氏は付け加えた。
「そのため、私たちはどちらのソリューションも提供します。どちらかを信奉しているというわけではありません。どちらのソリューションでも適切なプライバシーを提供しています。問題点は、どちらについてもどの程度信頼するか決めなければならない、ということです。データをブロードキャストする対象の大勢のユーザーか、サーバー運用者か、どちらをより信頼すべきでしょうか。または、ルーターがハッキングされる可能性があるという事実か、サーバーがハッキングされる可能性があるという事実か、どちらを信頼すべきでしょうか。どちらを信頼することもあり得ます。両方とも至極もっともな選択肢です。暗号化コミュニティの人々の間では、宗教染みた議論であるともいえます。ただし、暗号化で求められる内容と医療で求められる内容の間でバランスを取らなければなりません。そして、私たちはどちらを選択すべきかを決定できないため、両方のソリューションを提供することにしました」。
「私は選択肢は必要であると考えています。国際基準の策定を目指しているのであれば、宗教じみた争いは排除しなければならないためです」。
また、ブース氏は、このプロジェクトの目的は、各データへのアクセスに基づいてリスクを比較し、リスク評価を実施するためにそれぞれのプロトコル(集中型と分散型)を研究することだとも述べている。
「データ保護の観点からすると、当該データは完全に匿名化されています。これは、位置情報、時間、電話番号、MACアドレス、SIM番号のうち、どれも付属していないためです。明らかにされている唯一の要素は接触、つまり、2つの匿名ID間に問題となる接触があったということです。わかるのはそれだけです」と、ブース氏は述べている。「コンピュータサイエンティストやハッカーに対して問いたいのは、彼らに接触に関するリストやグラフを提供した場合、それからどのような情報を得られるのか、という点です。グラフでは、情報は相互に結ばれた数字にすぎません。問題はどのようにしてグラフから何らかの情報を導き出すのかということです。コンピュータサイエンティストやハッカーは今それに取り組んでいます。どのような結果が得られるか見守りたいと思います」。
「この議論については正当性を主張しようとする人が大勢います。これは正当性に関する議論ではありません。正当なことを実行することに関するものです。つまり、私たちは、このイニシアチブで適切な選択肢であればどんなものでも提供します。また、集中型にも分散型にも欠点がある場合は、それを公表します。そして、できる限り、その欠点について確証を得たり、それについて研究したりしていきます。各システムの特性を公表し、人々が地域のニーズに合ったタイプのシステムを選択できるようにします」とブース氏は付け加えた。
「一方のシステムが運用可能で、もう一方が完全に不可能であると判明したら、運用が不可能な方を廃止します。これまでのところどちらも「プライバシー保護」という観点から運用可能であるため、両方とも提供する予定です。ハッキングや、メタ情報の取得が可能であり、許容できないリスクが明らかになったため、運用不可能であると判明したシステムについては、完全に廃止して提供を止めます」。
ブース氏が「課題」と述べていた相互運用性については、氏によると各IDを計算する仕組みについて最終的な調整段階に入った。ただし、ブース氏は相互運用性については引き続き取り組みが進行中であり、相互運用性は必要不可欠な要素だと強調した。
「相互運用性がなければ、システム全体が意味を成さなくなります」とブース氏は述べる。「なぜまだこの相互運用性を得ることができないのかは課題といえますが、私たちはこの課題を解決しつつあり、まちがいなくうまくいくでしょう。相互運用性を機能させるためのアイデアはたくさんあるのです」
「すべての国が相互運用を行わないとすれば、もう一度国境を越えて連携する機会は訪れないでしょう」とブース氏は付け加えた。「ある国にデータを共有しない複数のアプリケーションがある場合、感染追跡の実現に必要となる大規模な参加者を集めることはできないでしょう。また、プライバシーに対する正しい取り組みについて単一の場で十分に議論しないと、そうした正しい取り組みはまったく浸透しないでしょうし、他人の電話番号や位置情報を使用する人々も少なからず現れるでしょう」。
PEPP-PTの連合グループはまだプロトコルやコードを公表していない。つまり、参加を望む外部の専門家が、レビューを行うために必要なデータを入手できていない。そうした専門家は、規格案に関連する具体的な設計上の選択肢について、情報提供を受けたうえでフィードバックを行うことができる。
ブース氏によると、連合グループはMozillaライセンスに基づき、4月上旬にコードをオープンソース化するとした。また、プロジェクトへの「あらゆる適切な提案」について大歓迎だと述べている。
ブーズ氏は次のように語っている。「現在、ベータメンバーのみがコードにアクセスできるのは、ベータメンバーがコードを最新バージョンに更新すると約束したためです。コードの最初のリリースの公開時までに、データプライバシーの検証とセキュリティの検証を確実に実施したいと考えています(こうした検証はオープンソースシステムでは省略されることがあるのです)。そうすることで、大幅な変更が発生しないという確信を持つことができます」。
プライバシーの専門家は、このプロトコルに関する透明性の欠如を懸念している。このような懸念により、詳細が決まっていないサポートを保留するよう開発者に求めている。また、EU各国の政府が介入し、中央集中型モデルに向けた取り組みを推進して、基本設計やデフォルト設定に組み込まれるべきEUの中核的なデータ保護原則から逸脱しようとしているのではないかという憶測さえあった。
SedaG @sedyst ·2020年4月6日
このすぐには理解できないメッセージは、PEPP-PTコンソーシアムには透明性が欠如しているということを意味しています。また、(複数の)政府がこのプロセスに介入して集中型モデルに向けた取り組みを推進しているか、介入している場合はどの程度介入しているのかということについて述べています。
非常に憂慮すべき展開です。
Michael Veale @mikarv
新型コロナウイルス感染症のBluetoothによる近接追跡に関する重要事項「PEPP-PT」プロトコルは確定されていません。分散型プライバシー設計(DP-3T)は、恣意的な利用や機能クリープを防止します。集中型ではこれらを防止できません。
分散型に対する明示的な条件付きサポートがない限り、PEPP-PTを支持しないようにしましょう。
Mireille Hildebrandt @mireillemoret 2020年4月6日 午後9時40分
私はこれを読んで、PEPP-PTでは「ユーザー」(政府、プラットフォーム)が望む内容に応じて、さまざまな構成を実現できる、という意味に解釈しました。そこがDPbDDとは異なっていますね。それに、パートナーは誰であるのか、どのようなNDAが関係するのか、どのようなダウンストリームデータフローを使用するのかという疑問に対する答えも得られませんでした。
現状では、EUで長年使用されてきたデータ保護法は、データの最小化などの原則に基づいている。もう1つの主要な要件は透明性である。また、4月上旬、EUの主要なプライバシー規制当局であるEDPSは、新型コロナウイルス感染症接触追跡アプリに関する開発を監視しているとTechCrunchに語った。
「EDPSは、新型コロナウイルス感染症のパンデミックと戦うための技術とデジタルアプリケーションの開発をサポートし、他国のデータ保護監督当局と連携してこれらの開発を注意深く監視しています。パンデミックと戦う上で保健当局が必要だと考えている個人データの処理について、GDPRは障害にはならないという見解を堅持しています」と広報担当者は語った。
「新型コロナウイルス感染症のパンデミックに対する戦いにおいて、すべての技術開発者が現在取り組んでいる有効な対策は、最初からデータ保護を実装している必要があります(例:設計原則によるデータ保護を適用する)。EDPSおよびデータ保護コミュニティは、この共同の取り組みで技術開発者を支援する準備ができています。データ保護機関の指針については次の資料を参照してください。EDPB Guidelines 4/2019 on Article 25 Data Protection by Design and by Default、およびEDPS Preliminary Opinion on Privacy by Design」。
また、私たちは、欧州委員会が新型コロナウイルスに関連して多数のアプリやツールが突如出現したことに注目しており、その有効性と欧州データ標準への準拠について注視していることも把握している。
ただし、欧州委員会は同時に、デジタル化、データ、AIを中核とする、欧州圏の産業戦略の再促進の一環としてビッグデータアジェンダを推進してきた。さらに、4月6日付のEuroactivの報道によると、欧州理事会からリークされた文書には、EU加盟国と欧州委員会がデジタルドメインのすべての領域で今後の政策を通知するために、「新型コロナウイルス感染症のパンデミックから得た経験を徹底的に分析する」と記載されていた。
そのため、EUにおいてさえ、新型コロナウイルス危機との接触リスクに関するデータが強く求められており、個人のプライバシー権を損なう恐れのある方向に開発が推し進められている。このため、国家によるデータの奪取を防ぐため、接触追跡を分散化しようとしている一定のプライバシー推進派から激しい反発が生じている。
欧州はデータの再利用を促進し、「高リスク」AIを規制する計画を立てている
欧州連合(EU)の議員は、あらゆる産業やセクターでデジタル化を推進し、欧州連合委員長のUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)氏が「デジタル時代に適合した欧州」と掲げた課題を実現するため、欧州圏の新しいデジタル戦略に対する一連の提案を初めて立案した。また、これは、中国や米国に対する地域的な優位性を高めるための戦略として、新世代のデータ主導型サービスを強化するという目的で、ヨーロッパの大規模データセットのプールにある障壁を取り除くことに熱心な、欧州連合の「AIの奪い合い」とも言える。
ブース氏は、ベストプラクティスと見なされている「データの最小化」は、最終的には誰により大きな信頼を寄せるかという考え方に他ならないと述べている。「分散型アプローチおよび集中型アプローチについては、どちらもデータを最小化しているという意見があるかもしれませんが、1つのポイントでデータの最小化が行われていても、分散型システム全体でデータの最小化が実施されていることにはなりません」とブース氏は示唆する。
「問題は誰を信頼するのかということです。誰により大きな信頼を置くのか、これこそが本当の問題です。重要なデータは匿名化された接触のリストではなく、感染確定のデータであると理解しています」
「こうした問題の多くは、分散化と集中化の間で昔から行われてきた、宗教染みた議論において討論されてきました」とブース氏は付け加えた。「一般的に、ITは、分散化ツールと集中化ツールで揺れています。つまり、全面的な分散型または全面的な集中型のどちらか一方に決定することができないのです。どちらも完璧なソリューションではないためです。ただし、今回のケースでは、分散化と集中化の両方が有効なセキュリティオプションを提供すると考えています。また、どちらのアプローチも医療データを使用して実現が求められていることと、実現してはならないことに関して異なる意味を持っています。決定は全員に委ねられています」。
「私たちに求められているのは、両方のオプションを選択可能にすることです。また、ある機能についてその仕組み、相違点、リスクに関してじっくりと議論を交わし、単なる推測ではなく、適切な調査を行う必要があります」。
PEPP-PTの議論に誰が関与しているかという点について、プロジェクトの直接の参加者以外に政府と保健省が参加しているのは、「医療プロセスにPEPP-PTを組み込む必要がある」という実務的な理由からだと、ブース氏は述べた。「多くの国が、現在、公式の追跡アプリを作成しており、当然ながら、そのようなアプリはPEPP-PTに接続する必要があります」とブース氏は言う。
「また、私たちは各国の医療システムがどのようなものであれ、医療システムの関係者と話し合います。これは、医療システムとの最終的な境界にPEPP-PTを組み込み、検査と連動させる必要があるためです。感染症に関する法律とも連動させ、人々が、プライバシーや連絡先情報をさらすことなく地域の疾病対策予防センターと連絡を取ることができるようにする必要もあります。こうした点についても議論が交わされています」。
早期(ベータ)アクセス権を持つ開発者は、すでにシステムの簡易検査を実施している。PEPP-PT技術を利用する第一陣のアプリが一般的に出回る時期について尋ねると、ブース氏は、数週間以内でまもなくであると示唆した。
「そういったアプリのほとんどでは追跡レイヤーにPEPP-PTを導入するだけで済みます。医療プロセスとPEPP-PTを接続する方法を理解できるように十分な情報をすでに提供しています。アプリのリリースまでに長くかかるとは思いません」とブース氏は述べる。また、このプロジェクトでは、すぐに稼働させることのできる開発者リソースのない国を支援するために追跡参照アプリも提供している。
「ユーザーエンゲージメントでは、単なる追跡以上のことを行う必要があります。たとえば、疾病対策予防センターからの情報を含める必要があります。しかし、プロジェクトとして(より簡単)にこうしたこと開始するためにアプリのスケルトン実装を提供します」とブース氏は述べた。
さらに、ブース氏はこのように続けている。「先週以降私たちに電子メールを送信してくれたすべての人々が自分のアプリにPEPP-PTを導入してくれれば(幅広く導入してもらえる見込みです)、半数が導入してくれれば、滑り出しは非常に順調といえます。各国からの大量な人の流入と、従業員の復帰を特に望む企業の存在といった要因により、とりわけ、国際的なやり取りと相互運用性を実現するシステムの導入を求める声が強くあります」。
接触追跡アプリが、新型コロナウイルス(インフルエンザよりも感染性がはるかに高いことが判明している)の蔓延の制御に役立つかどうか、という広い観点に立って、ブース氏は次のように述べている「感染を隔離することが重要であるということがあまり議論になりません。この病気の問題点は、すでに感染していても無症状であることです。つまり、その人の体温を測定してそれで終わり、というわけにはいかないのです。過去の行動を調査しなければなりません。そして、デジタルを活用することなく、この調査を正確に実施できるとは思えません」。
「多くの病気が示しているように、感染の連鎖を隔離する必要があるという理論が全面的に真実であるならば(ただし、それぞれの病気は異なるため、100%の保証はないが、すべてのデータが隔離の必要性を示しています)、隔離こそがまちがいなく実行すべきことです。現在これほど多くの感染者がいるので、この議論には納得がいきます。世界は密接かつ相互につながっているため、世界各地で同じようなロックダウンが実施されることになるのでしょうか」。
「これこそが、R0値(1名の感染者から感染する可能性のある人数)が公表された時に、このようなアプリが市場に出回ることが納得できる唯一の理由です。R0値が1を下回ると、その国の感染件数が適切なレベルまで減ったことになります。また、感染症の関係者の言葉を借りれば、これは、病気を軽減するアプローチではなく、病気を封じ込めるアプローチ(今私たちが行っているような)に戻ることを意味するのだと思います」。
「接触連鎖評価のアプローチを使用することで、検査の優先順位が高まります。ただし、現在、人々は優先順位が正しいのかということではなく、検査のリソースに対して疑問を感じています」と、ブース氏は付け加えた。「検査と追跡は相互に独立しています。どちらも必要です。接触を追跡しても、検査を実施できないとしたら、追跡はいったい何の役に立つでしょうか。そのため、検査インフラストラクチャ『も』間違いなく必要です」。
画像クレジット:Rost-9D / Getty Images
[原文へ]
(翻訳: Dragonfly)