以下の文章は、電子フロンティア財団の「How to Protect Privacy When Aggregating Location Data to Fight COVID-19」という記事を翻訳したものである。
政府、民間企業、NGOといった組織がCOVID-19パンデミックとの戦いを続ける中、公衆衛生の取り組みに位置情報――主にGPSや携帯電話の基地局データから得られる位置情報――を役立てようという要請が高まっている。なかでも、人びとがどの場所を訪れているか、移動時間が短縮しているかといった個人の移動に関する集約データを分析しようという声が強い。たしかに、分析を行うことで、自宅待機命令やソーシャル・ディスタンスなどの有効性を判断することもできるだろう。集約された位置情報を利用したプロジェクトでは、各州の住民のソーシャル・ディスタンスを評価したり、春休みから戻ってきた人びとの移動パターンを可視化している。最近では、Googleが「COVID-19 Community Mobility Reports」の継続的な公表をアナウンスし、Googleが保有する位置情報データを利用して、食料品店、公園、公共交通機関など、地域レベルの移動の変化を明らかにしている。
世界各国の政府がすでに行っているが、集約された位置情報から公衆衛生の動向を探ることは、個々人の位置情報を接触者の追跡に利用することに比べれば、プライバシーや表現の自由、集会の自由といった市民的自由の制限に及ぼすリスクを遥かに低減する。だが、「集約された〈aggregated〉」位置情報データにも落とし穴がある。本稿ではこの落とし穴について議論し、COVID-19との闘いのなかで集約された位置情報データを使用しようとする人びとのために、ハイレベルなベストプラクティスを解説したい。
「集約された」とは何を意味するか
最も基本的なレベルとして、「集約された〈aggregated〉」位置情報は、「匿名化された〈anonymized〉」または「非識別化された〈deidentified〉」位置情報とは異なる。個人の位置情報というものは、事実上、非識別化することはできないのだ。たとえば、ある人物がどこにいてどこに行ったかという情報だけでも、再識別は可能である。あるオフィスビルと一軒家を頻繁に行き来するという個人特有の行動パターンがわかれば、他の識別可能な情報から識別できてしまう。2013年の研究では、研究者がランダムに選択された2つの時間と場所のデータポイントのみを使用して、50%の人を一意に特徴づけることに成功している。
一方、個人のプライバシーを保護する集約化は、潜在的には有用でありうる。位置情報データの集約は、個々人の位置情報履歴の詳細なタイムラインを追うのではなく、行動をカウントする。集約化された位置情報データからわかるのは、たとえば過去1ヶ月間に何人の人が特定の都市にいたのか、あるいは、過去1ヶ月の各時間帯に何人の人がその都市の特定エリアに移動したのかといったことだ。こうした位置情報データの集約がプライバシーを向上させるかどうかは、採用されるスキームの詳細に左右される。たとえば、どれくらいのタイムスケールでデータを集約するのか、各カウントはどれほどの面積をカバーするのか、カウントが少なすぎると判断された場合にデータセットから除外されるのはいつになるのか、などである。
たとえばFacebookは、「Data for Good」プロジェクトの一環として、データセットに統計的なノイズを注入する差分プライバシーテクニックを採用している。このプロジェクトではFacebokユーザの位置情報を集約し、COVID-19をはじめとする自然災害への対応や感染拡大との闘いに従事するNGOや研究者、政府と共有している。
意思決定に役立つが再識別はできない、という個人の位置情報の集約は幻想に過ぎない。両者はトレード・オフの関係にある。公共政策の問題として、COVID-19であれ他の問題であれ、意思決定のインプットのために集約された位置情報データセットを作成のであれば、ユーザのプライバシーを犠牲にしないことが肝要である。
集約された位置情報データを利用したCOVID-19対策をどう評価するか
集約化により個人の生活に密接に関連した情報の暴露リスクが低減されることを考えれば、COVID-19対策としての位置情報データの利用は、個別化された追跡〈tracking〉に比べればさほど気がかりなものではない。もちろん、集約パラメータの選択は、その領域の専門家によって行わなければならない。だが多くの専門家は、上述したFacebookやGoogleの事例のように、民間企業で働き、収集したデータへのアクセス権限を持っている。たとえ彼らが正しい選択をしたとしても、そのデータが第三者に共有されることを考えれば、市民がその選択を審査できなくてはならない。意思決定者が有用で粒度の細かい集約データセットを求めてくることもあり、集約を行う専門家は、しばしばプライバシーの性質を減じるように圧力を受けている。また企業は集約された位置情報データを共有する計画を進める前に、外部の専門家に相談すべきでもある。任意のデータ共有スキームがプライバシーを十分に保護しているかについて公衆の意見を得ることは、そうした圧力を生み出すバイアスを減じるのにも役立つだろう。
したがって、ユーザの位置情報を集約してレポートを作成する企業は、その方法論を完全な形で公開し、そのレポートが何の目的で、誰と共有されるのかを明らかにしなくてはならない。特定のデータを特定の「パートナー」とのみ共有する場合には、データを他の目的で使用しないこと、集約されたデータから個人を再識別しないことに同意を得なくてはならない。また、Googleがそうしているように、企業はCOVID-19と闘う緊急性が薄まったときには、データの使用を終了することを宣誓すべきである。
いかなるデータ共有であろうと、ユーザの同意は極めて重要である。各人がデータの収集方法に同意したのか、またその使用に同意したのか。同意は具体的で、インフォームド・コンセント、オプトイン、任意のものでなくてはならない。通常、ユーザは自分のデータが新たに使用されるたびにオプトインするかどうかを選択できなければならないが、スピードが求められるCOVID-19対策のなかで、以前に取得した位置情報を集約するための同意確認を得ていては公衆衛生上の要請に追いつけない可能性があることも理解できる。だからこそ、ユーザがいつでも自分のデータをチェックし、削除できるようにすることが特に重要になる。このことは、こうした情報収集に真に同意している人たちすべてに当てはまる。こうした同意基準は、広告やアプリ内の隠しトラッキングにより位置情報を収集するデータブローカーなどの事業者が満たすことはできない。だが、COVID-19対策に利用されている集約された位置情報データの多くは、こうした汚染されたソースから得られている。少なくともデータブローカーは、無料の広告であろうとも、位置情報データの収集・保存によって得られた公衆衛生上の知見から利益を得るべきではないし、こうした情報提供によって、彼らのビジネス慣行を「COVID洗浄」することも許されない。データブローカーのデータ保管は非倫理的であり、消費者データプライバシー法の改正で制限されるべきものである。
最後に、スマートフォンから収集される位置情報には限界があり、それ自体にバイアスがかかっていることを忘れてはならない。成人の8割がスマートフォンを所有する米国であっても、スマートフォンの所有率は相対的豊かさの代名詞となっている。スマートフォンを所有していない人はすでに社会から阻害されていて、そうした人たちはデータには現れない。位置情報の集約データだけに基づいて公共政策を決定すると、最もサービスを必要としている層のニーズを見逃してしまうことにもなりかねない。スマートフォンを所有していたとしても、大規模データというだけで権威性や網羅性を過信してしまうと、為政者はリソースの少ない人たちのニーズを見落とし、誤った結論を導き出すことにもなりうる。たとえば、ある地域では他の地域に比べて人々の移動頻度が高いというデータは、一見するとその地域の人々がソーシャル・ディスタンスを軽視しているかのように見える。だが、その地域に十分なサービスが提供されていないために、食料品や医療・医薬品などの必要不可欠なサービスを得るために長距離を移動しなくてはならないということもありうるのだ。
一般論として、位置情報の集約データの共有を検討する組織には、まず第一にデータを提供することになるユーザから同意を得ること、詳細については慎重に検討すること、最高レベルの一般性に基づいて集約化すること、データを公開する前にそのプランを公表すること、集約化されていない「非識別化された/匿名化された」位置情報の共有は厳に慎むことを遵守していただきたい。
Publication Date: April 06, 2020
Translation: heatwave_p2p
Material of Header Image: NESA by Makers
