以下の文章は、電子フロンティア財団の「Apple and Google’s COVID-19 Exposure Notification API: Questions and Answers」という記事を翻訳したものである。
AppleとGoogleは、COVID-19接触トレーシングをテクノロジーで支援すべく、AndroidとiOSの相互運用システムの構築に向けて前例のない協働的取り組みを進めている。
両社のプランは、Bluetoothの信号強度を利用した接近ベースのモバイルアプリによって人力の接触トレーシングを補完するという、最近話題の提案の1つである。AppleとGoogleがモバイルオペレーティング分野を2社で寡占していることを考えれば、この計画がもたらす影響は極めて大きい。AppleとGoogleの技術はおおよそ分散化されていて、ユーザの端末上のデータの大半を中央データベースに送ることはない。だが後述するように、この種のアプリにはいくつかの避けがたいプライバシー上のトレードオフが存在する。AppleとGoogleはプライバシーの曝露を防ぐためにさらに多くの対策を講じなければならない。とはいえ、彼らのモデルはBluetoothによる接近トラッキングのプライバシーリスクを軽減するよう設計されており、中央サーバに依存する他の戦略よりは好ましいといえる。
接近トラッキングアプリは、COVID-19に対する公衆衛生上の施策のほんの一部に過ぎない。このようなかたちでのBluetooth技術の使用は検証されておらず、万人にユニバーサルとは言えないスマートフォンアプリとして設計されていることも考慮しなくてはならない。AppleとGoogleの新たなシステム上に構築されるアプリは、自己隔離の現状をたちどころに改善する「魔法の弾丸」のような技術的解決をもたらすものではない。この計画の有効性は、数多くのトレードオフと、一般市民に広く利用してもらうための十分な信頼を基盤とする。それゆえ、プライバシー保護の不備により信頼が損ねられれば、アプリの有効性そのものが損ねられることになるだろう。
どのように機能するのか
AppleとGoogleは本日より、開発者がBluetoothベースの接近トラッキングアプリを構築できるようにiPhone / Androidのインフラストラクチャの展開を一部開始した。この種のアプリをダウンロードすると、アプリはBluetoothチップを使用して他のデバイスを検出するための微小なpingを送信し続ける。通常、こうしたpingは外付けスピーカーやワイヤレスマウスを探索するために使われている。COVID-19の接近トラッキングアプリの場合、この目的のためにBluetoothの使用をオプトインしている近くの人のデバイスを探索するために用いられることになる。相手の携帯電話も同様にpingを発信していて、お互いに受信し合う。アプリはBluetoothの信号強度を利用して2つの携帯電話間の距離を推定する。CDCのガイダンスにある6フィート(約1.8m)以内に接近したと推定された場合、両者のアプリが接触イベントを記録する。
現在、本質的には同じ目的だが有効性、セキュリティ、プライバシー保護がそれぞれに異なる提案がなされている。本稿では、AppleとGoogleの提案(version 1.1)を中心に扱う。
携帯電話はそれぞれに、「一時的な曝露鍵」〈temporary exposure key〉という特別目的の秘密鍵を毎日生成する。そのキーを使用して「ローリング接近識別子」(RPIDs:rolling proximity identifiers)というランダムな識別番号を生成する。Bluetoothが有効になっていれば、少なくとも5分ごとにpingが送信される。各pingには、10~20分ごとに変更される携帯電話のRPIDが含まれる。短期間に変更されるのは、これは外部の追跡者がpingを使用して人の位置を受動的に追跡するリスクを軽減するためだ。オペレーティングシステムは、一時的な曝露鍵をすべて保存し、過去2週間に接触したすべてのRPIDをログに記録する。
アプリの使用者が感染を知った場合、一時的な曝露鍵を公衆衛生当局に通知る許可を与えることができる。誤った通知によりシステムが混乱するのを避けるため、公衆衛生当局はユーザが鍵をアップロードする前に本当にそのユーザが感染しているかどうかを確認しなければならない。アップロードされると、ユーザの一時的な曝露鍵は「診断鍵」〈diagnosis keys〉として扱われる。診断鍵は公開レジストリに保存され、アプリを使用するすべてのユーザにアクセスできるようになる。
診断鍵には、感染したユーザのデバイスに関連づけられたRPIDのフルセットを再生成するための情報すべてが含まれている。アプリはレジストリに接続して、ユーザが接触したRPIDと確認されたCOVID-19感染者のRPIDを比較する。アプリ内でRPIDの一致が確認された場合、利用者には感染リスクが通知される。
このプログラムは2段階に分けて展開される予定になっている。第1段階として、GoogleとAppleはそれぞれのプラットフォームに新たなAPIを構築している。このAPIには、iPhoneとAndroidの双方で接近トラッキングスキームを有効にするための基本的機能が含まれている。他の開発者は、このAPIを実行するアプリを構築することになる。APIの仕様ドラフトはすでに公開されており、今週中には開発者が利用できるようになるかもしれない。第2段階では、両社は接近トラッキングを「オペレーティングシステムレベルで導入し、幅広く採用してもらうよう取り組んでいく」と述べている。だが、この第2段階についてはそれほど詳しくは語られていない。
効果はあるのか
さまざまな技術的・社会的課題が、自動化された接近トラッキングの前に立ちはだかっている。第一に、これらのアプリは「携帯電話=人間」と仮定している。だが米国でさえ、携帯電話がユニバーサルであるとはとても言えない状況にある。高齢者や低所得世帯のスマートフォン所有率は低く、COVID-19の感染リスクが最も高い人たちが排除されてしまう可能性がある。また古い携帯電話では、Bluetoothを利用した接近トラッキングに必要なテクノロジーをサポートしていない。さらに携帯電話は電源を切ったり、自宅に置いておいたり、バッテリーが切れたり、機内モードに設定することもある。つまり、多くの人に採用しうる接近トラッキングシステムでさえ、日々数百万人の接触を見逃す可能性をはらんでいるのだ。
第二に、接近トラッキングアプリには、「私の近くに強いBluetooth信号がある」から「2人の人間が疫学的な接触を経験している」への大きな飛躍がある。そもそもBluetooth技術はそのような用途のために作られたものではない。強風が吹くなかでマスクをした二人が歩道ですれ違ったり、窓を開けた2台の車が渋滞中に隣り合わせになっただけでも、アプリが接触を記録することがありうる。完全防備の看護師と患者の接触を、キスをする二人と同じように扱うことすらあるだろう。また、Bluetoothは人体のような水分濃度が高い物体があると途切れることがあり、状況によっては2者が感染リスクのある距離に接近していたとしても接続を確立できない可能性もある。2つのデバイス間の距離を正確に推定するのは非常に難しいのだ。
第三に、AppleとGoogleの現時点での提案では、携帯電話が信号を発信する頻度を5分に1回としている。そのため最適な条件下であっても、その時間的間隔で両者が接近していないと、2台の携帯電話には接触は記録されない可能性がある。
第四に、人口の大多数がアプリを使用しなければならない。シンガポール政府が開発したアプリは、数週間が経過してもインストール率は約20%であった。モバイルプラットフォームの寡占企業であるAppleとGoogleは、新たなソフトウェアを大規模に展開・推奨することにかけては最も適任ではあるのだろう。だがそうはいっても、多くの人がインストールするには時間がかかるかもしれないし、すべての人がインストールすることもありえないだろう。
プライバシー保護とセキュリティは十分か
実際のところ、接近トラッキングアプリがどれほど有効なのかは誰にもわからない。さらに、プライバシーとセキュリティに対する極めて現実的なリスクと、その潜在的な効果とを天秤にかけなくてはならない。
まず、Apple-Googleが提案しているように、診断鍵の公開データベースをユーザのデバイス上のRPIDと照合する接近トラッキングシステムは、遭遇した人のなかで誰が感染したかを特定できる余地が残されている。たとえば、友人と会ったあとに、その友人が感染したことを報告した場合、自分のデバイスの接触ログからその人が病気にかかっていることを知ることができる。極端に言えば、悪意ある者がRPIDを一斉に収集し、顔識別その他の技術を使ってIDを紐付ければ、感染者のデータベースを作成できてしまう。EUのPEPP-PTやフランス、ドイツのROBERTといった提案では、中央サーバで照合を行うことにより、この種の攻撃を防ぐか、少なくとも難しくはしている(訳注:現在、ドイツは集中型アプローチから分散型アプローチに転換している)。だがこの場合は、プライバシーに関してより深刻なリスクを抱えることになる。
第二に、AppleとGoogleが感染したユーザに数分ごとのRPIDではなく、1日に1度の診断キーを公開するという選択をしたことで、感染者はリンケージ攻撃にさらされることになる。悪意ある者が潤沢な資金を持っている場合、公共空間に静的なBluetoothビーコンを設置したり、数千のユーザにアプリをインストールさせることで、さまざまな場所からRPIDを一度に収集できてしまう。追跡者はさまざまな時間や場所で大量のRPIDを収集することになるが、このRPIDだけでは追跡者は観測をリンクすることはできない。
だが、ユーザがその日の診断鍵を公開レジストリにアップロードすると、追跡者はそれを使ってその個人のRPIDをすべてリンクすることができる。
これにより、ユーザがどこで仕事をしていて、どこに住んでいて、どこで時間を過ごしているかといった生活のマップを作成できるようになる。こうしたマップは各人の固有性が高いため、アップロードされた診断鍵に該当する人物を特定するためにも利用できる。さらに、その個人の自宅住所や勤務先、協会、中絶クリニック、ゲイバー、楽物乱用サポートグループといった絵センシティブな場所への移動まで露わになってしまう。位置トラッキングのリスクはBluetoothアプリに特有のものではなく、こうした攻撃が可能な機関であれば、すでに基地局や外部データブローカーから同様の情報を取得するといった別の方法を採用しているだろう。とはいえ、Bluetoothの接近トラッキングに関連したリスクは、可能な限り低減されるべきである。
単一の診断鍵を使用してRPIDを生成する時間的間隔を短くすれば、曝露データベースのダウンロードサイズを増大させることにはなるが、このリスクを軽減できる。MITのPACTのような類似のプロジェクトでは、1日ごとの鍵ではなく、1時間ごとの鍵の生成を提案している。
第三に、警察が接近アプリのデータへのアクセスを求める可能性がある。各ユーザの携帯電話は、他者の携帯電話への物理的接近、つまりは関係の親密さを示す情報を数週間にわたって保存し続ける。2者の携帯電話から接触アプリのデータにアクセスできれば、何日に何人がお互いの接触を記録したかを把握できるようになる。このリスクは、おそらくすべての接近トラッキングプロトコルに共通する。このリスクを軽減するには、ユーザがアプリを一時的にオフにしたり、特定期間の接触データを削除できるようにしなければならない。また、他の大きなプライバシー脅威と同様に、強力な暗号化とパスワードで緩和されるべきである。
AppleとGoogleのプロトコルは、他の攻撃を受ける可能性もある。たとえば、RPIDを送信したデバイスが実際にRPIDを生成したデバイスであるかどうかを確認する方法は現在のところなく、トロールが他者からRPIDを収集して自分のRPIDとして再送信する可能性もある。人通りの多い街頭に設置されたBluetoothビーコンのネットワークが、観測したRPIDをすべて再送信したらどうなるかを想像してみてほしい。「悪意を持って」設置されたビーコンのそばを通るすべての人が、他のすべてのビーコンに近接したすべての他者のRPIDを記録することになってしまう。このようにして偽陽性が増加してしまえば、接触トレーシングアプリの信頼どころか、公衆衛生システム全体の信頼を損ねることにもなりかねない。
アプリ開発者は何をすべきか
AppleとGoogleの第一段階はAPIであり、この新たなAPIを使った実際のアプリの開発は彼ら以外の者に委ねられている。AppleとGoogleは「公衆衛生当局」がアプリを作成することを意図しているとしているが、衛生当局の多くはそのための技術的リソースを持ち合わせてはおらず、民間企業と提携することになるだろう。インターフェース上にアプリを構築するに際しては、プライバシーとセキュリティを確実に守るために、多くのことを正しく行わなくてはならない。
悪意を持ったアプリ開発者は、AppleとGoogleが慎重に構築したプライバシー保護を破壊しようとするかもしれない。たとえば、データはユーザ自身のデバイスに保存されることになっているが、APIにアクセスできるアプリであれば、そのすべてをリモートサーバにアップロードすることもできる。また、1日ごとの秘密鍵をモバイル広告IDやその他識別子にリンクし、当該ユーザに関連する履歴を利用してユーザをプロファイリングすることもできる。さらに、アプリを「トロイの木馬」として、より侵入的なトラッキングに同意するようユーザをそそのかすことも考えられる。
では、責任あるアプリ開発者は何をすればよいのか。まず第一に、開発者は自らが構築しているプロトコルを尊重しなくてはならない。データをユーザ自身のデバイスに保存するApple・Googleの「分散型」モデルの上に、より多くのデータを中央機関と共有する「中央集権型」プロトコルを接ぎ木してはならない。また、絶対的な必要性のないデータをインターネットで共有してもいけない。
開発者は、アプリが収集するデータや、その収集を停止する方法について、ユーザに率直に伝えるべきである。ユーザはいつでもRPIDの共有を停止・開始できなくてはならない。また、受信したRPIDのリストを閲覧し、その接触履歴の一部または全部を削除できるようにすべきである。
同様に、開発者にとって重要なのは、何をすべきでないかである。現在直面しているのは公衆衛生の危機であって、スタートアップを成長させるチャンスではない。開発者は、アプリの利用にあたってアカウントにサインアップを強制すべきではなく、不必要な機能を搭載した接触トレーシングアプリをリリースすべきでもない。そのアプリは接触トレーシングのためだけに機能し、別のサービスにユーザを誘導するものであってはならない。
言うまでもなく、接触トレーシングアプリは広告(とそれに付随する搾取的なデータ収集)とは切り離されていなければならない。同様に、サードパーティとデータを共有する分析ライブラリを使用してもいけない。一般に、開発者は技術的にもポリシーの面でも、強力かつ透明性の高いセーフガードを設け、このデータの利用をCOVID-19対策のために限定すべきである。
このシステムは、すべて信頼の上に成り立つ。アプリがユーザの最善の利益のために機能していると信頼できなければ、ユーザがそのアプリを使用することはない。したがって、開発者は自らのアプリがどのように機能し、どのようなリスクがあるかについて可能な限り透明性を持たせなければならない。開発者は、技術に精通したユーザや中立の技術者が自身の仕事をチェックできるように、ソースコードとドキュメントを公開すべきである。そして、アプリが実際に主張通りに動作をしていることをできる限り確信できるように、専門家にセキュリティ監査や侵入テストを依頼すべきだろう。
このすべてには時間がかかるだろう。うまくいかないこともたくさんあるだろうし、とにかく急ぐあまりずさんなソフトウェアでも許容してしまうかもしれない。だが公衆衛生当局と開発者は、一歩引いた目線で物事を正しく進めるようにしなければならない。AppleとGoogleのAPIの公開直後にリリースされるアプリには特段の警戒が必要である。
AppleとGoogleは何をすべきか
第一段階では、AppleとGoogleは、APIは「公衆衛生当局のアプリによる接触トレーシングにのみ使用できる」としており、そのアプリは「公衆衛生当局と連携して管理され、プライバシー要件を満たし、ユーザデータを保護するために設計された特定基準に基づいて承認を受ける」という。AppleとGoogleには、これらの基準がどのようなものであるかについて透明性と具体性が求められる。両社はこれらの基準を通じて、アプリが他にどのようなパーミッションを持つのかをコントロールできる。たとえば、COVID-19接近トラッキングアプリがモバイル広告IDやその他デバイス識別子にアクセスできないようにできる。また、APIを使用するアプリにはユーザが接触ログの一部を遡って削除できるメカニズムを要求するなど、より詳細なポリシーを規定することもできる。またAppleとGoogleのアプリストア承認基準に関連する制限も同様に適用されなければならない。AppleとGoogleが友好関係を保ちたい政府や企業に例外を設ければ、インフォームド・コンセントに不可欠な信頼を損ねることになる。
第二段階では、両社はAndroidとiOSに接近トラッキング技術を直接組み込む。AppleとGoogleはこれにより、アプリをインストールしていないユーザであっても、感染者との接触が検出された場合に公衆衛生アプリをダウンロードするようユーザに促せるようになると提案している。上述したアプリ開発者の推奨事項は、すべてAppleとGoogleにも適用される。重要なのは、彼らが約束する「オプトイン」は、どのような接近トラッキングであろうとも、それを有効にする前にユーザ自身から具体的なインフォームドコンセントを得なければならない、ということだ。オプトインしたユーザがのちにオプトアウトしたり、デバイスが収集したデータの表示・削除を容易にできるようにしなければならない。接近トラッキングの目的で収集されたデータとその他すべてのデータの間には高い技術的障壁が設けられなければならない。また、中立のセキュリティアナリストがチェックできるように、実装をオープンソース化すべきである。
最後に、このプログラムはCOVID-19危機が収束した時点で終了しなければならない。接近トラッキングアプリは、季節性インフルエンザの発生をトラッキングしたり、犯罪の目撃者を発見するなどの他の目的に転用してはならない。AppleとGoogleは、「この曝露通知システムが不要になった場合、地域単位で無効化できる」としている。これは重要な機能であり、AppleとGoogleはこのプログラムをいつ終了させるのか、いつOSからAPIを削除するのかについて、明確で具体的な計画を立てなければならない。「危機の収束」をどう定義するのか、具体的にどのような基準を求めるのか、どの公衆衛生当局がガイドラインを策定するのかを含めて公表すべきである。
COVID-19に対する即効性のある技術的ソリューションというものは存在しない。いかなるアプリであれ、以前の生活を取り戻してくれることはないのだ。アプリによる接触トレーシングには深刻な制約があり、どれほど有効なかもまだわからない。AppleとGoogleがこの壮大な社会実験の先頭に立つのであれば、彼らはプライバシーリスクを最小限に抑えるかたちで実施しなければならない。そして、それを成功に導きたいのであれば、市民の信頼を獲得し、それを維持しなければならないのだ。
Publication Date: April 28, 2020
Translation: heatwave_p2p
Material of Header Image: Luca Bravo