接触追跡(コンタクトトレーシング)アプリは、新型コロナウイルス感染症の拡大を防ぐための重要な対策であり、スマートフォンを活用したこの技術は面倒なプロセスを自動化することができます。一方で、この技術は乱用の恐れを心配するプライバシー擁護者からの批判に直面しています。エフセキュアのプライバシーの専門家でありグローバルテクニカルディレクターのTomi Tuominen (トミ・トゥオミネン) は、これは技術的な問題ではなく、プロセスの問題であると主張しています。このサイバーセキュリティサウナのエピソード40では、Janne Kauhanen(ヤンネ・カウハネン)とTomiが、接触追跡アプリはプライバシーを尊重するうえでどのように機能すべきかについて議論しました。
ALL EPISODES | FOLLOW US ON TWITTER
Janne Kauhanen:Tomi、このポッドキャストへようこそ。
Tomi Tuominen:ありがとうございます。
まず、一言で接触追跡アプリと言っても、さまざまな種類がありますよね。それらの機能や、ユーザデータの保存方法はアプリによって大きく異なり、プライバシーに影響を与える可能性があります。それでは、これらのアプリの主な相違点を分析することから始めましょう。ロケーションベースと近接ベースの概念について説明してもらえますか?
まず、本当の意味で接触追跡アプリと見なすことができるものはすべて、ロケーションベースではありません。その理由は、ロケーションベースとは、つまり、GPSおよびWi-Fiベースの検知といったロケーショントラッキング機能のことを指しており、今回の使用目的においては実用的ではありません。
接触追跡の概念は、大まかに3つの異なる枠組みに分類することができます。最初の枠組みは集中型で、PEPP-PT(汎欧州プライバシー保護近接追跡)と呼ばれるイニシアチブが該当します。この概念では、このすべてのビーコンデータまたは追跡データを収集する集中型リポジトリが存在します。
2番目の枠組みは、強力に分散化されたシステムで、DP-3Tと呼ばれる分散型プライバシー保護近接追跡を指します。この概念は、基本的にCOVID19感染者と接触したか否かの情報が保存される場所が一か所に限定されており、その情報が格納される唯一の場所がその人のデバイスになります。
3番目は、AppleとGoogleによる接触追跡プロジェクトです。これは、基本的にレゴがいっぱい入ったバッグのようなもので、分散型モデルに使用できるツールを提供します。したがって、私たちがこれから実際に目にすることになるソリューションは、ほとんどが分散型モデルを使用することになるでしょう。しかし、何らかの形で集中化された要素も必要になります。なぜなら、医療従事者のニーズは一般的な個人とは異なるからです。
なるほど。接触追跡に対する異なるプローチについて話していただきましたが、これらの取組みの間では、どのようなコンセンサスが得られているのですか?たとえば、機能面ではどうですか?
かなり共通した理解やアプローチがあると思われます。つまり、2人の人間の距離が十分近いかどうかを測定するためには、ある種の無線通信を使用することになります。今回の場合、その技術はBluetoothビーコンになるでしょう。これは、もし仮に私があなたに出会って、たとえば、3メートル以内の近さで10~15分一緒に過ごした場合、私たちの互いのデバイスには、実際に接触した証としてワンタイムトークンが記録されるというアイデアです。そして、そのトークンはランダム化されます。そして、私が次に出会う人は異なるトークンが記録されることになります。
これはプライバシー保護トークンと呼ばれるものです。その時点では、トークンはローカルのデバイス上にのみ保存されます。したがって、他の誰も取得することはできません。後で必要が生じた場合、つまり私かあなたがウイルスに感染した場合は話が変わります。つまり、どちらかが感染したことをお互いに知らせるメカニズムが必要になります。もちろんその場合、メッセージは双方向に伝える必要があります。私はあなたに知らせることができ、そしてあなたは私に知らせることができなければならないからです。
一元化されたストレージが重要になるのはこのためです。ランダム化されたトークンを実際の人に結び付ける方法を登録する必要があります。
エフセキュア のグローバルテクニカルディレクター、Tomi Tuominen
トークンは、正確にはどのように結び付けられるのですか?接触情報についての話をするために、私に電話がかかってくるのでしょうか、それとも、特定の識別子を介してトークンが私のアプリに結び付けられ、アプリでアラートを受け取るのですか?
それは非常に良い質問ですね。これこそが、私が最初に申したように、基本的にプロセスの問題であるという意味になります。確かに、これを解決するには技術が必要です。しかし、基本に立ち戻るとどうでしょうか。ここで、少しの間想像してみてください。私がウイルスに感染したと仮定します。私は、地元の医療機関に行きPRC検査を受け、結果が陽性だった場合は過去14日間に近接しトークンが保存された人々に医療機関から通知する方法が必要になります。しかし、その時点で医療機関が知っているのは私の識別子だけです。
これが、私が申し上げたプロセスの問題です。使用されるトークンは、可能な限りランダム化してプライバシーを保護することができます。しかし、医療従事者が実際の人に連絡する方法は必要になります。これは今後の課題になります。
おそらくそれは国レベルで解決されるでしょうし、各国の現在の政治体制を反映したものになると思われます。そして、これはアプリケーションレベルの問題なのです。
はいそうですね。そのような状況では、必ずしも協力を期待することはできないと思います。誰もが陽性と診断されたことを他の人に知らせたいと思うわけではありませんよね。
それは非常に良い質問です。少なくともフィンランドでは、これは常にオプトインベース、すなわち事前に同意を得たうえで行われるという非常に強力なコンセンサスがあります。そして、それは素晴らしいことですが、同時に大変困ったことでもあると思います。私たちは自分たちの権利を守ることができますが、このアプリケーションを使用する人口の規模が十分でない場合、この取組みはほとんど用をなさなくなります。
しかし、これはギブアンドテイクではありませんか?事前に同意するのは自由で、このアプリをインストールするのも自由ですね。しかし、一度選択すると、これらは規制になり代償も発生します。アラートを受け取ることができるということは、その代償としてアラートを出さざるを得なくなりますから。
この議論は全体としてかなり面白いと思います。今や人々は、年齢にも拠りますが、Facebook、Instagram、LinkedIn、Snapchat、TikTokに何でも投稿しています。「やはり、私は接触追跡アプリケーションをインストールするつもりはない。」などと投稿する人も現れるでしょう。
おそらく、このアプリはこれまでで最も調査・研究されたものになるでしょう。また、これはオープンソースであるべきという明確な見解の一致があるようです。つまり、スキルのある人なら誰でも実際にソースコードを見て、それがどのように機能するかを確認できるのです。
また、私たちが着目しているのは、AppleとGoogleは極めて賢い決断をしたということです。最初からAppleとGoogleは、各国は特別に権利を得たApp Storeでアプリケーションを1つだけ持つことができ、しかもオプトイン機能付きになるだろうと言っていました。これは実際には非常に賢明な行動です。なぜなら、それは基本的に、国ごとに公式アプリケーションが1つだけ存在することを意味するからです。つまり、そのアプリケーションを精査し、彼らが約束したことを実際に実行しているか容易に確認することができるのです。
それは良いことですね。それでは、実際に信頼のおける接触追跡アプリに対して交わされている議論の中で、特に話題になっている他の原則はありますか?
そうですね。これは本質的には、ある種の制限付き監視とも言えますよね?だからこそ、第一にそれは合法的でなければならず、必然性がなければならず、そしてバランスがとれている必要があります。
この場合、私が個人的に解釈していることは、私たちが闘いを挑んでいるこのパンデミックこそが今回のユースケースであるということです。私は現在のエストニアや他の数ヵ国を大いに支持しているわけではありません。彼らは、基本的には公共交通機関などに警告することができるハイブマインド(個性が失われた集団意識)体制としての理想論を語っています。私はそれに強く反対します。なぜなら、これは解決するのが難しい問題だからです。今回の限定されたユースケースにおいても解決は困難です。また、この問題にさらに他の国を巻き込むと、ますます複雑になります。
また、この監視と偵察に対するあらゆる種類の拡張機能には、何らかの期限条項が必要です。すなわち、接触追跡を実行できる期間の限定です。私はこの期間を無限にするほどこのプロジェクトの支持しているわけではありません。しかし、決して彼らを信じていないわけではありません。それは別の話です。なんとしてでも制限する必要があると思います。始まりがあれば終わりがあります。そうしないと、永遠に基本的な権利を放棄してしまうことになります。
その通りですね。しかし、今は私のデータを14日間保存するシステムについて話しをしていますよね。データは私のスマホにあって、いつでもインストールしたりアンインストールしたりできるので、期限条項が無くともそれで十分ではありませんか?アンインストールしてから14日後に、データは消えますから。
実際には、アンインストールすればデータは直ちに消えてしまいます。
そうですか。それならなおさら良いですね。
そのとおりです。分散型モデルを想定すると、この14日間は、デバイスがデータを保存する最大期間です。
あなたにとってもこれで十分でしょう。
個人的には、このアプリケーションよりもはるかに大きなリスクがあると思っています。
なるほど。
つまり、全体を俯瞰するとリスクが見えてきます。私は実利を重んじる人間です。たとえば、あなたのスマホに地元の天気をチェックするアプリケーションがインストールされているとすると、気象プロバイダーがあなたの位置データをサードパーティに販売するケースがあると思います。そして、それは決してあなたが気象アプリケーションに想定していることではないことで、それが問題なのです。
第一に、私は個人的にはAppleとGoogleがこのプロジェクトに相応しい企業だと思っています。彼らは適正に実施する方法を知っており、リソースも十分にあります。また、より実践的な観点からすると、スマートフォンやそれに類するデバイスに関しては、この2社でマーケットシェアの大半を占めています。そして、これが適正に機能することを期待しているのであれば、2社の協業は必須です。そして、彼らは非常に透明性がありオープンです。
また、先に述べたように、国家のソリューションはそのほとんどがオープンソースでしょう。そして、オープンソースは実際にこのようなユースケースに必要な透明性を提供すると思います。私はこれについてはまったく心配していません。
基本的に、暴露通知APIや現在開発中の追跡APIは、某日に2つのデバイスが半径3メートル以内に10分~15分間接近したことを知らせてくれます。保存される情報はそれだけです。もちろん、ほとんどの場合、このデータを拡張したり充実させることは可能ですが、保存されるのは要約されたデータだけです。そして私たちは通常、私生活においてはそれ以上の情報を共有していると思います。だから、私はそれほど心配していません。
また、注目に値するのは、あなたやあなたが接触した誰かが感染しない限り、そのデータはどこにも送信されないという点です。
わかりました。それでは次に、これらのアプリケーションに関連して、接触についての全体的な概念について話し合いましょう。たとえば、Bluetoothはどこまで到達しますか?そして、その全ての到達範囲を対象にするのでしょうか、それとも、良くは知りませんが、Bluetoothが構造物を貫通する10メートル範囲内に制限するのでしょうか?あるいは、最初の3メートルだけを考えていますか?
私の理解が正しいとすると、基本的にBluetoothチップが消費するエネルギー量を測定しています。したがって上限が設定されており、外部アンテナを備えていない限り、Bluetooth信号がどこまで飛ぶかはよく理解されています。もちろん、壁や金属構造物などの影響を受けますが、合理的な平均値を得ることができると思います。
そして、私が理解している限りにおいて、これはシンガポールが10年前にすでに把握したことです。彼らは、さまざまなBluetoothチップがどのように動作するかについて、正規化された測定を開始しました。そして、基準値を設定することができ、そのデータを無料で開放しました。そのため、たとえばBluetoothチップが特定量のエネルギーまたは電圧を消費している場合、他人が2〜3メートル以内にいることがわかるようになりました。そしてもちろん、この情報は今回の非常事態においては極めて高い価値があります。
したがって、平均として捉えると、そのデータはかなり信頼できると思います。よく聞かれる質問は、ひとりの男性がいる部屋の隣の部屋に私が座っている場合でも、システムはお互いを認識するか、というものですが、大丈夫、認識します。
なるほど。私たちの間に壁があっても大丈夫ですね。あるいは、隣の車でもよいですね。
はい、その通りです。だだし、そこには誤検知が発生する余地があります。しかし、少なくとも日付を見れば、その日に誰かと接触したことがあるのか、それともただ車の中で座っていただけだったのかは分かるはずです。
そして当然ながらこのことは、私たちに次の質問を投げかけます。個人として、誤検知であることがわかった場合、その情報をエスカレートすることができますか?通知できる人はいますか?しかし、全体像からすれば、これらは、はずれ値と見なされるでしょう。その点に関しては、かなりうまく処理できるでしょう。私はそれほど心配していません。
それでは次に、共有される情報の種類について話しましょう。詳細レベルについてはどうなると思いますか?たとえば、火曜日に感染者と接触したのか、火曜日の9時半に感染者と接触したのか?
おそらく、これについては国によって違いがあるでしょう。私の知る限り、Apple/Google APIは、日付だけを共有しているはずです。
わかりました。そうすると、たとえ望んでいても、それよりも詳細にすることはできないということでしょうか?
これは良い質問です。医療専門家としては、詳細情報は非常に有益かもしれません。そして、おそらくこれから議論が交わされることでしょう。それで良いのです。詳細情報は、私たちが得られても必ずしも必要とするものではありません。そして、尋ねる人によって得られる答えも変わるでしょう。
しかし、もし皆が接触を控えているなら、そもそも1日に接触する人の数はかなり少ないでしょう。
確かにそうですが、例外があります。バスや電車、地下鉄などに乗車している場合は、もちろん状況はかなり異なります。
はい。あなたは、その場合に応じたアプローチを取っている一部の政府や地方自治体と議論していますね。ある国ではプライバシーの取り組みが他の国々よりも進んでいるでしょう。これに起因して、アプローチに何か違いが見られますか?それによって線引きされることがありますか?プライバシー志向の強い国は、より良い方策を講じていますか?如何ですか?
多くの国がすでに考え方を変えてきており、ドイツはその代表的な例です。もともとは、「ドイツは、自分たちで構築します。」という立場を取っていました。そして、AppleとGoogleがソリューションを発表したとき、彼らは完全に意見を変えました。もともとドイツは集中型ソリューションを導入することを計画していました。ところが、AppleとGoogle連合が発足すると、彼らは「なるほど、この分散型モデルの方が優れていると思われる。」として、そのモデルに切り替えました。
これは多くの点で非常に政治的な判断であるように思われ、EUの国々やヨーロッパ大陸でさえ追随していないようです。したがって、さまざまな地域によりさまざまな方法で解決しているのです。
彼らが取ったアプローチのなかで、特にあなたが気に入った地域はありますか?
この場合、悪魔は細部に宿っています。つまり、あらゆる細部に落とし穴が潜んでいます。完全に機能するソリューションはまだ存在していませんが、これに関しては、非常に優れたいくつかの取り組みがあります。フィンランドでは、現在パイロットテストが進行中です。どのようにして医療従事者が通知をアクティブにするか、誰が検査を行うのか、人々に通知する権限を誰に与えるかなどをどのように実装されるかが重要になります。そして、成功を阻む壁は山ほどあります。
アプリケーションは超一流であり、全体のエコシステムが完璧であっても、医療専門家が想定とはまったく異なる行動をした場合、すべての人の期待を裏切る結果になる可能性があります。私は、そのようなことが起こるとは思っていません。ただ私が言えることは、今は、誰もが自分が正しいと思うことをやっているのです。
たとえば、スウェーデンを見ると、COVID-19に対する全体的なアプローチは、フィンランドとは対照的でまったく異なっています。しかし彼らのアプローチの方が優れているかどうかは誰にもわかりません。数年経てば、そのアプローチが良かったかどうか明らかになるでしょう。今は、皆が統計データだけを見て、これは恐ろしいし数字だとか、これは良い数字だと言っています。しかし、数年後には、どのアプローチが最良であったのかを目の当たりにすることになります。
まったくその通りですね。アプリ自体の話に戻りましょう。実際に有効な結果を得るには、人口の約60%がこれらのアプリの1つをインストールする必要があると研究者たちは言っています。そこまで普及しない場合でも、これらのアプリに価値はありますか?
それは非常に良い質問ですね。実際、私が主に心配しているのがそのことです。これは単純に数学の話だからです。つまり、アプリを使用する人が多いほど、そのメリットは大きくなります。
すべての人のためですね。
まさにそうです。そして、このために膨大な時間と資金が投入されていますが、誰もそれを使おうとしないような事態が起こることをかなり心配しています。結局のところ、それは0か1かの問題ではないと思います。つまり、アプリを使用している人がたったの数人しかいなくとも、誰もいないよりはましでしょう。そうは言っても、それはこのプロジェクトにとって本当に脅威だと思います。
これの人間的な側面はどうでしょうか?感染症の症状が出ている人の近くにいるという通知を受け取ったときに、その人の世話をするために、このアプリでできることはありますか?たとえば英国で、ある女性が、COVID-19の感染者の近くにいたことを通知されたとき、「手を洗う」などの一般的なアドバイスしかもらえなかったことに失望したとします。そして、彼女は「私は感染してしまったわ。どうすれば良いのかしら?」と狼狽したらどうでしょう。
おそらく国によって反応はかなり異なるでしょうしたがって、知っておくべき重要なことは、接触追跡APIが組み込まれたiOS13.5もオプトインであり、ユーザは自分で機能を有効にする必要があります。しかし、たとえばフィンランドでは、今のところ有効にすることすらできません。しかし、それでもやはりこの機能はレゴが入ったバッグにすぎません。ビルディングブロックの形で提供されています。そして国が提供するアプリケーションとして、何がどのように実行されるのかを決定しなければなりません。それに従って構築されたプロセスが必要になります。おそらく、アプリケーション自体は非常にシンプルで、UIも非常にシンプルですが、逆にその周りのプロセスは非常に複雑になりますね。
たとえば、アプリはユーザを外部リソースにガイドし、ユーザはそこにアクセスしてさらに情報を取得します。
あるいは、接触追跡がパズル全体の1つのピースにすぎない場合もあります。ある国では、他の国よりもはるかに多くのPCR検査を行っています。また、ある国はほとんどの国民がマスクをしています。ある国は、他の国よりも多くの国民が社会的距離を保っています。本当に国によってさまざまです。その全体像を把握する必要があります。アプリケーションは方程式の一部にすぎません。そして、その国の医療制度の実情も反映した使用方法になると思います。そして、それによって効果も異なります。
なるほど。あなたはハッカーとして、常に侵害する方法や物事を悪用する方法について考えていますね。接触追跡アプリにはどのような悪用のされ方がありますか?このアプリを悪用する人々は何を企んでいますか?
すでに説明したように、国によって大きな違いがあります。しかし、従来型の脆弱性を突く攻撃やエクスプロイトがこれらのアプリを標的にすることに関しては、私はそれほど心配していません。このアプリはその点を極めて厳格に検査しているからです。正直なところ、このアプリケーションは、おそらく地球上で最も安全で安心できるものでしょう。しかし、それを中心に構築されたプロセスについては、特にプライバシーへの影響の可能性を心配しています。
たとえば、政府関係者が行使できる権限を悪用した場合、医療機関は感染している特定の人物をマークし、その情報を何らかの方法で使用することができてしまうのでは?この種の乱用に対する予防策が必要だと思います。私は市民として、自分の権利が侵害された時は、政府機関に通知できる必要があると思います。そして、その苦情を処理できる担当者がそこにいるべきです。
これは、プライバシーや基本的権利に何らかの影響を与えていることへの統制と同じことです。もし政府による検閲などがある場合は、その周りに人権侵害の可能性を報告できるプロセスが必要です。自動化はしなくても良いでしょう。アプリケーションに「私は悪用されたと思います」または「私のデータは悪用されました」の項目がありクリックするというやり方にはあまり賛成できません。しかし、権利や権力の乱用があった場合、それを確実に報告するための何らかのプロセスが必要だと思います。
それは理にかなっていますね。最後の質問になりました。あなたなら、このようなアプリをインストールしますか?フィンランドで開発しているようなアプリのことですが。
はい、インストールします。私たちは世界的なパンデミックと闘っています。社会や国にとって人々を救済するソリューションなら、どのようなものでも試す価値があると思います。確かに、どのようなものでも、とは言えないかもしれませんが、私たちにはしっかりとした基盤があります。ほんの少しでも役立つのであれば、利用する価値があると思います。
それでは、ここまでにしましょう。お陰様で接触追跡アプリの状況を理解することができました。Tomi、ありがとうございました。
ありがとうございました。お話しできて楽しかったです。
カテゴリ