以下の文章は、電子フロンティア財団の「The Challenge of Proximity Apps For COVID-19 Contact Tracing」という記事を翻訳したものである。
COVID-19との闘いが続く中、スマートフォンの接近情報の使用を求める声が世界中で多様化し、高まっている。とりわけ、公衆衛生の専門家らは、スマートフォンが迅速かつ広範囲にわたる接触の追跡、つまり感染者が世界を移動する際に誰と接触したかを追跡するという喫緊の課題を解決できると主張している。このアプローチの支持者は、スマートフォンが多くの人たちに利用されていて、すでにユーザの移動や現実世界でのやり取りの追跡に使用されていると指摘する。
だが、スマートフォンの追跡がこの問題を解決するとは限らず、個人のプライバシーや自由を脅かすリスクも大いにある。たとえば、GPSや基地局情報を利用した位置情報追跡では、感染拡大の要因となっている物理的接触を正確に把握することは難しく、接触追跡には不向きである。一方、2台のスマートフォンがウィルス感染に十分なほどに接近したのかをBluetoothの信号強度に基づいて判断する接触追跡アプリケーションが開発者の間で急速に注目を集めている。このアプローチでは、あるユーザが感染するとアプリが記録した接触情報に基づいて他のユーザに通知される。通知を受けたユーザは、自己検疫を行い、検査を要請することになる。まさに今日、GoogleとAppleは、この原則に基づいた共同アプリケーション・プログラミング・インターフェース(API)を発表し、5月にiOS・Androidでロールアウトする予定であるという。また、すでに同様のアプリケーションが多数公開、ローンチを予定している。
COVID-19という未曾有の事態への社会的反応として登場してきたこれらアプリは、プライバシー、有効性、公衆衛生向上を目的としたテクノロジーに対する責任あるエンジニアリングという難問を投げかけている。何よりも、我々はこの危機を克服するのであれ、こうした難問に答えるのであれ、いかなるアプリケーションも――どれほどよく設計されたものであっても――過信してはならない。接触追跡アプリは、効果的な治療法、個人の保護具、迅速な検査などの不足を補うものではないのだ。
COVID-19は世界的危機であり、数百万の人々の命を脅かし、生活を根底から覆し兼ねない脅威である。だが歴史が示すように、非常時に行われた自由の制限は、危機そのものよりも長い期間継続する。技術的なセーフガード(安全装置)を施した洗練された接触追跡アプリであれば、位置追跡によって生じやすいプライバシーの落とし穴を避けられるかもしれない。また、開発者・政府は、接触追跡アプリの使用に一定の制限をかける法律・ポリシーを整備しなくてはならない。何よりも、アプリ使用の選択権は個々のユーザにあるべきであり、リスクと制限をユーザ自身に知らせ、必要なセーフガードがあることを伝えねばならない。セーフガードのいくつかを以下に説明する。
接触追跡アプリはどのように機能するのか
Bluetoothベースの接触追跡アプリは複数の提案がなされているが、おおよそ共通したアプローチを取っている。アプリは近接した他のスマートフォンから検出できるようにユニークな識別子をBluetoothでブロードキャストする。AppleとGoogleのAPIをはじめとする多数の提案では、第三者による追跡リスクを低減するプライバシー保護策として、それぞれのスマートフォンの識別子を頻繁にローテーションしている。
アプリを起動した2人のユーザが接近すると、それぞれのアプリがBluetoothの信号強度からお互いの距離を推測する。アプリ間の距離が約6フィート(2メートル)未満であると推測された場合に、アプリは識別子を交換する。各アプリは相手の識別子との遭遇を記録していく。ユーザが感染リスクが生じるほどの接近があったという情報だけが必要であるため、アプリはユーザの位置情報を必要としない。
アプリのユーザがCOVID-19に感染していることがわかれば、他のユーザに感染リスクがあったことが通知される。この通知方法はアプリによって違いがある。
一部のアプリでは、中央当局がユーザのデバイス情報に特権的にアクセスできる。たとえばシンガポール政府向けに開発されたTraceTogetherは、全てのユーザに連絡先情報を提供するよう求めている。このモデルでは、当局はアプリの識別子と連絡先情報が紐付づけられたデータベースを保持することになる。ユーザが陽性であった場合、アプリは過去2週間に接触したすべての識別子のリストをアップロードする。中央当局は、データベース内の識別子を調べ、感染の可能性のあるユーザに電話やメールで連絡を取る。このモデルでは、多くのユーザ情報が政府の手に渡り、ユーザ自身にはコントロールできない。個人の人間関係が広範囲に追跡可能になるという容認しえないリスクを生み出すものであり、公衆衛生機関が採用すべきものではない。
他のモデルでは、アプリ使用者の情報をあまり保存しないデータベースが採用されている。たとえば、当局が実際の連絡先情報を保管する必要はなく、感染したユーザが接触情報を中央データベース(接触した可能性のあるすべてのユーザの匿名識別子を保管している)にアップロードできる、という形を取る。感染していないユーザのデバイスは、自分の識別子を使って当局に定期的に pingを発信できる。当局はそれぞれのpingに対して、ユーザが感染者と接触したかどうかを返す。基本的なセーフガードさえが整っていれば、このモデルはユーザのプライバシーをより保護してくれるものになるだろう。残念ながら、このモデルでも当局が感染者の実際の身元を把握できてしまうかもしれない。暗号ミキシングなどの洗練されたセーフガードがあれば、システムはより強力にプライバシーを保証することができるだろう。
さらに進んで、データベース全体を公開するという提案もある。たとえば、4月10日に公表されたAppleとGoogleの提案では、感染した個人に関連づけられた鍵のリストを、近接するアプリ使用者にブロードキャストするとしている。このモデルでは、中央当局への依存は低減できるが、感染状態を共有するユーザには新たなリスクが生じることになる。ユーザがそのリスクを許容するか、リスクを低減する施策が必要だ。
一部のアプリでは、他のアプリ使用者に警告を出す前に、衛生当局などの機関が当該人物の感染を証明しなければならない。他のモデルでは、ユーザに感染状況の自己申告を許しているが、それゆえに偽陽性の問題が生じ、アプリの有効性自体が損なわれる可能性がある。
つまるところ、接近追跡アプリのアイデアのいくつかは有効性は期待できそうではあるものの、一方で多くの未解決の問題があるということである。
接触追跡アプリは有効なのか
従来の接触追跡は。かなりの労力を必要とするものの、かなり詳細な追跡が可能である。公衆衛生従事者は感染者に聞き取りを行い、移動や濃厚接触した人を把握する。当人だけでなく、家族や知人への聞き取りも含まれる。その後、感染者との接触があった人たちに連絡を取り、必要に応じて支援や治療を提供したり、ときには聞き取りを行って接触の連鎖をさらにたどることもある。だが、これをパンデミックの最中に大規模に実施するのは困難だ。加えて、人間の記憶は間違いやすいため、聞き取りから得られた情報が実際と大きくズレていたり、勘違いだったりすることもある。
どのような接触追跡アプリであろうと、公衆衛生従事者による直接介入の代わりにはならない。また現在のように、多くの人が隔離されているためにコミュニティ内での感染が極めて多く、ウィルス追跡に有効な検査が十分に行われていない状況にあっては、アプリがCOVID-19の接触追跡に役立つかは疑わしい。検査を受けていない感染者が多数存在していて、そのかなりの割合が無症状である場合、接触追跡アプリは大半の感染リスクを警告できない。さらに、迅速かつ広範に実施可能な検査がなければ、症状が現れた人でさえ、通知プロセスを開始するための確認ができない。そして、誰もがすでに家外の人との接近を避けるよう求められているのだ。
だが、多くの人が自宅退避する必要がなくなるほどにコミュニティ内の感染が少なくなり、COVID-19を迅速かつ大規模に診断できる検査が実施されるようになると、アプリによる接触追跡が役立つかもしれない。
従来の接触追跡は、対象者が識別できる接触にのみ有効である。COVID-19は感染力が高く、短時間の接触であっても人から人へと広がっていく可能性がある。食料品店の店員と客、公共交通機関の乗客2人のちょっとしたやり取りだけで感染する可能性もある。多くの人は、出会った人全員の接触情報を収集することはないが、アプリは自動的にそれができる。そのため、従来の接触追跡を補完することができるかもしれない。
だが、アプリは歩道をすれ違う2者の接触を、ルームメイトや恋愛パートナーの接触と同じように扱う。感染リスクは後者のほうがはるかに高い。(プライバシー、セキュリティリスクを伴うことにはなるが)現実世界でアプリをテストしなければ、壁で区切られた2者、信号待ちで隣り合った車同士の接続をアプリが記録しないとは断言できない。また、アプリはユーザが保護具を着用しているかどうかを考慮しておらず、特別な感染予防対策を講じている医療従事者や食料品店の従業員に、感染リスクを連続して過剰に通知する可能性もある。Bluetoothの接近計算の技術的制約が、公衆衛生上の判断にどのように影響するのかは不透明だ。感染者と一定時間、6フィート(約1.8m)以内にいなかったかもしれない個人にも、いささか過剰気味に通知するほうがよいのだろうか。それとも、通知されたユーザが感染を確信できるように、アプリには高い閾値を設定すべきなのだろうか。
2者間の接触が記録されるのは、両者がアプリをインストールし、Bluetoothが有効にしているときだけである。これは、接触追跡アプリが効果を発揮するためのもう1つの必要条件――十分な数の人々にアプリを使用してもらえるか――を浮き彫りにする。AppleとGoogleのAPIは、衛生当局と開発者に共通の機能と保護を提供するアプリをビルドしてもらうために共通プラットフォームを提供することで、この問題に対処しようとしている。両社は、より直接的に相互運用し、インストールを加速させる独自アプリの構築も目指している。しかしそれでも、世界人口の大部分(米国人口の大部分を含む)が、最新バージョンのiOSやAndroidを搭載したスマートフォンを所有していない可能性がある。すでに社会の隅に追いやられてきた人たちを見逃さないようにするためには、検査や従来の接触追跡などの、試行錯誤を繰り返してきた公衆衛生対策を継続的して採用する必要があるということだ。
完璧なアプリをコーディングしたとしても、パンデミックを沈静化できるわけではない。困難な社会問題が魔法のテクノロジーでたちどころに解決するということもない。その実現に必要なスマートフォンやインフラに、誰もがアクセスできるわけではないのだから。
最後に、誰がいつ、自己隔離を終了してよいかという重要な決定を下すために、検証されていないアプリの謳い文句に過度に頼ってはならない。この種のアプリへの信用は、開発から多層的なテストや品質保証に至るまで長い時間をかけて培われていく。たとえそうした信用を培っていても、新しいアプリにバグが有ることも珍しいことではない。不完全な接触追跡アプリは、偽陽性、偽陰性、あるいはその両方を持ち合わせている可能性がある。
接触追跡アプリは自由に過剰な害を与えるか
いかなる接触追跡アプリであろうと、テクノロジーの利用者に新たなリスクをもたらす。他のユーザとの接触情報のログは、ユーザが誰と関係しているか、何をしていたかを推測するために利用されかねない。接触情報開示の懸念は、公共の場での表現活動への参加を萎縮させることになる。弱い立場に立たされている人びとは、しばしば監視技術によって不均衡な負担を強いられているが、接触追跡においても同様のことが起こりうる。そして、接触データや医療診断や、外国政府やID窃盗者のような敵対者に盗まれる恐れもある。
確かに、一般的に利用されている技術であっても同様のリスクを生み出すものはある。FitbitであれPokemon Goであれ、多くのアプリが位置情報を追跡・報告している。携帯電話を持っているだけで、基地局の三角測量で追跡されるリスクがある。店舗でもBluetoothを使って顧客の足取りを盗み出されるかもしれない。多くのユーザはGoogleの位置情報サービスなどを「オプトイン」していて、どこに行ったかを詳細に記録させている。Facebookは顔識別技術を使用して写真からデータを抽出したり、接触情報をアカウントにリンクしたり、デジタルインタラクションをマイニングしたりと、無数の信号を用いて人と人の関連性を定量化しようとしている。プライバシー保護を謳うSignalのようなサービスでさえ、メタデータを通じて関連性を明らかにすることができる。
したがって、提案されている接触追跡は既存の追跡手法に連なるものであり、全く新しい脅威のベクトルではない。だが、接触追跡APIやその世界的な展開という規模を考えると、気密性の高い衛生情報・接触情報の収集はさらに多くのユーザに新たなリスクをもたらすことになる。
もちろん、この危機的状況という文脈も踏まえなくてはならない。私たちはいま、これまでにないパンデミックに直面している。数万もの人びとが亡くなり、何億もの人びとが外出しないよう指示されている。ワクチンの開発には12ヶ月〜18ヶ月かかることが予想されている。こうした状況は、接触追跡アプリのプロジェクトに緊急性を与えているが、同時に、危機が去ったあとも新たな追跡技術が継続的に用いられる可能性があることを考えなくてはならない。つまり、接近アプリの開発者は、緊急時であろうとも基本的人権を犠牲にすることなく、私たちが大切にするプライバシーと自由を守る技術の開発を確実にしなければならない。十分なセーフガードを提供することは、このリスクを軽減するのに役立つ。リスクを理解し、インフォームドコンセントを得るためには、ソースコードの公開を含め、アプリとAPIがどのように動作するかについて完全な透明性が求められる。
接触追跡アプリには十分なセーフガードがあるのか
アプリ開発者は以下の必須のセーフガードを提供し、ユーザはセーフガードを要求することを強く推奨したい。
同意
他者との物理的相互作用を追跡するすべてのアプリは、インフォームドコンセント、自発的同意、オプトインによる同意を基本要件としなければならない。さらに、アプリの使用を選択し、感染を知った人びとが、接触ログを共有するかどうかを選択できなくてはならない。政府はいかなる接触アプリの使用も強制してはならない。また、政府サービスへのアクセスと引き換えにアプリを使用を求めるような非公式の圧力があってはならない。同様に、民間企業・団体が物理的空間にアクセスしたり、その他利益を得るためにアプリを利用してはならない。
また、個人には接触追跡アプリをオフにする選択権が与えられなければならない。接触追跡に同意するユーザであっても、医療機関を訪れたり、政治組織に関わるといったセンシティブな活動に従事する場合には、接触追跡に同意しない可能性がある。この種の情報は、従来の接触追跡の聞き取りにおいても提供を留保することができる。デジタル接触追跡は、従来の聞き取り以上に立ち入ったものであってはならない。接触アプリをオフにしたり、任意のタイミングでオンに戻せることを知っていれば、接触アプリの導入者を増やせるかもしれない(これは公衆衛生によって望ましいことだ)。
接触追跡アプリの義務化は、魅力的に思えるかもしれないが、個人の自律性への干渉は容認できない。公衆衛生には、公衆衛生当局と国民との信頼が必須であり、監視への懸念は個人が検査や治療を避ける要因ともなりうる。これは特に、歴史的に公衆衛生の名目で強制を迫られてきた、阻害されたコミュニティでは深刻な懸念である。政府によっては、市民の同意を無視することもあるかもしれない。だがそうであっても、開発者にはそのような政府に協力しないよう強く求めたい。
最小化
接触追跡アプリは、収集する情報を最小限に抑えなくてはならない。これはおそらく、Bluetoothの信号強度とデバイスの種類、相手の携帯電話のユニークな(ローテーションする)マーカーによって測定される2人のユーザが接近した記録ということになるだろう。アプリは位置情報を収集すべきではなく、タイムスタンプ情報も収集すべきではない。公衆衛生当局が接触追跡に時間情報が必要だと考えていたとしても、日付以外の情報は収集すべきではない。
システムは、最小限の時間単位で情報を保持すべきである(たとえば月単位ではなく、週・日単位)。公衆衛生当局は、接近データが接触追跡に意味を持つ時間増分を定義すべきである。関連性がなくなったデータは、全て自動的に削除されなければならない。
匿名識別子のデータベースを維持・公開する中央機関は、匿名識別子と実在の人物を結びつける可能性のあるメタデータ(たとえばIPアドレスなど)を収集・保存してはならない。
アプリは、接触追跡の目的に適った情報だけ収集しなくてはならない。さらに(a) 接触追跡アプリと、(b)アプリメーカーが収集する他の情報(たとえば集約化された位置データや個人の健康記録)とを組み合わせることはあってはならない。
最後に、収集された情報は、可能な限りアプリ開発者や公衆衛生機関のサーバではなく、ユーザ自身のデバイスに保存されるべきである。ここにエンジニアリング上の課題がある。だが、ユーザが接触したデバイスのリストは、ユーザ自身のデバイス上にあるべきであり、ユーザが感染者に接触したかどうかのチェックはローカルで行われるべきである。
情報セキュリティ
携帯電話のバックグラウンドで実行されるアプリが他のユーザとの接触を記録する場合、大きな情報セキュリティリスクが生じることになる。このリスクは、攻撃の対象となる箇所と収集される情報量を絞り込むことで低減できる。開発者はコードをオープンソース化し、第三者による監査と侵入テストを受けるとともに、セキュリティ対策の詳細についても公表すべきだろう。
敵対者が接触追跡システムの有効性を危うくしたり、アプリの使用者の情報を取得できないようにするために、さらなるエンジニアリングが必要になるかもしれない。これには、個人がトロールやサービス拒否〈Denial of Service 〉といった形態での虚偽の感染報告を防ぐこと、また、メタデータをモニターする十分なリソースを持つ敵対者が、アプリ使用者を識別したり、他者との接触を記録するのを確実に防ぐことなどが含まれる。
「匿名」識別子はリンク可能であってはならない。携帯電話で使用されている識別子を定期的にローテーションするというところから始めてもよいが、複数の識別子が同一ユーザのものであることが敵対者の知るところとなれば、その活動を実在の人物に結びつけられるリスクが大幅に増大する。我々が理解する範囲では、AppleとGoogleの提案は、陽性が出たユーザに、24時間にわたって、すべての識別子を結びつけるキーをアップロードするよう求める(この点についてAppleとGoogleに説明を求めている)。そうであれば、追跡者は広範囲に渡ってBluetoothリーダーのネットワークにアクセスすることで、ローテーションする識別子を収集し、感染者の移動を時系列で追跡できてしまう。つまり、識別子をローテーションするというセーフガードが破られてしまうのである。そのため、識別子のローテーションは、複数の識別子が同一人物のものであるとはわからないようにして、中央当局のデータベースにアップロードしなければならない。そのためには、あるユーザのトークンを他のユーザのデータと混ぜてアップロードしたり、時間をずらして分散化させるといったテクニックが必要になるかもしれない。
最後に、政府は開発者が設定した制限を緩和するようなアプリの修正を強制してくるかもしれない。透明性を確保することでこうしたリスクを軽減できるが、このようなアプリをビルド・デプロイにはついてまわるリスクであることに変わりはない。だからこそ製品の用途に明確な線引を行い、サンバーナーディーノ事件でAppleがそうしたように、設計への政府の口出しに抵抗することを宣言するよう開発者に求めたい。
透明性
この種のアプリを開発する組織は、一体何をしているのか、どのやっているのか、なぜそうしているのかについてのレポートを公開しなければならない。また、上述のプライバシーと情報セキュリティの問題に対応したポリシーとともに、オープンソースコードも公開しなければならない。こうしたポリシーには、アプリが収集する情報の目的外利用を行わないこと、法律で認められた範囲であっても政府による干渉を受けないことを宣誓しなくてはならない。アプリケーション・ポリシーとして記載されている場合、それが遵守されなければ消費者保護法違反になる。
バイアスへの対処
上述したように、接触追跡アプリは、最新のテクノロジーにアクセスできない人たちを排除するものでもある。また、テクノロジー企業や政府にニーズをすくい上げてもらいやすい層ばかりが優遇されることにもなりかねない。開発者や政府が第三者の介入を排除すべくアプリに依存することで、直接的・間接的に弱い立場の人びとを排除することがないようにしなければならない。
一方、こうしたアプリは、医療・サービスに携わる労働者に、さらに多くの偽陽性をもたらす可能性がある。この点が、接触追跡アプリを仕事や集会、政府給付から人びとを排除するための口実として用いられてはならないもう1つの理由である。
有効期限
COVID-19危機が過ぎ去れば、この感染症と戦うために作られたアプリも役目を終える。だが、危機の収束を定義するのは難しい問題でもあるため、開発者はユーザがいつでもオプトアウトできるようにしなければならない。また、アプリ自体に時間制限を設定したり、ユーザが情報提供を継続するかどうかも定期的に確認することも検討すべきだろう。さらに、AppleやGoogleのような大手プロバイダがこれらアプリの背後にいることを考えれば、彼らが将来、どのような状況下で同様の製品をビルドするのか(あるいはしないのか)を明確にさせなければならない。
テクノロジーは複雑な問題に取り組む社会の努力を増幅させる力を持っている。このパンデミックでもすでに多数の優秀な人材にインスピレーションを与えてきた。しかし我々はまた、政府や民間企業が有害な追跡技術をデプロイしたがっていることもよく理解している。何よりも、私たちはCOVID-19と戦っている最中でさえ、「危機」という言葉が、監視によって自由を制限する新たな、より巧妙な手段を構築するための魔法のお守りにならないように警戒し続けなければならない。
The Challenge of Proximity Apps For COVID-19 Contact Tracing | Electronic Frontier Foundation
Publication Date: April 10, 2020
Translation: heatwave_p2p
Header Image: Gian Cescon