「同意か、匿名化か」を超えて：接触追跡アプリが示唆する新しいデータガバナンスモデルの必要性

・　接触追跡アプリ（Contact Tracing App）*i は感染症の拡大状況を追跡する有効な方法であるが、適切なデータガバナンスが必須である。
・　データガバナンスにおいては、プライバシーをはじめとする個人の人権、データホルダーにとっての合理性及び公共の利益の実現 の3つの基本的な要素間のバランスに留意すべきである。
・　パンデミックのような深刻な社会課題へのバランスの取れたアプローチとして、社会的合意に基づく公益目的のデータアクセス（Authorized Public Purpose Access、APPA）という枠組みを提唱する。

個人の権利と社会全体のニーズとのバランス

COVID-19パンデミックに対する接触追跡アプリの使用は、プライバシーや人権への影響に関する議論を引き起こしている。接触追跡アプリはウイルスに対する強力な武器になる可能性があるが、行政側による監視ツールにもなりうる。そこで、プライバシーの保護をより重視するいくつかの民間企業の取組みがでてきた。それらの中には、グーグルとアップルが開発したApple-Google Exposure Notification Framework（AGF）*1 がある。民間プラットフォームの利用は政府の監視からユーザーを保護するが、技術開発者を含めたデータホルダーが政府の代替的な立場にもなる。そこで、民間企業が収集したデータをどのように使用するかを社会的に監督する必要が生じる。AGFは同意に基づいて参加者を登録するが、それでは感染症の蔓延を抑止するには不十分なのではないかとも指摘されている。中国のように個人情報を積極的に活用してきた国では、相対的にウイルス拡散の抑制効果が高まっている。*2  個人の権利と社会全体のニーズとのバランスを取ることは、致命的なパンデミック時の重要な課題となっている。

接触確認アプリの３つのカテゴリー

接触追跡アプリは、その目的により3つのカテゴリーに分類される。*3 
① 感染者を隔離し、施設やその他のエリアへのアクセスを制限するためのツール
ユーザーの感染状況や感染者又は感染の可能性のある人との接触の程度に応じて集中管理する。このようなアプリは一般的に、個人の行動に対して行政当局が定める制限を実施するために使用され、行政当局が参加を義務付けている。例えば、施設への入構を制限する中国のアプリや、感染者を隔離する韓国のアプリがある。
② 公衆衛生当局が感染者との濃厚接触者を特定・追跡するために使用するように設計されたツールプライバシーを確保するために様々な規制及び技術的手段が採用されており、参加は任意であるものも多い。例として、位置データ（インド、アイスランド、ガーナ）又はBluetooth（シンガポール、オーストラリア、英国、フランス）を使用するアプリが含まれる。
③ 感染者との接触の可能性について通知することにより、個人の行動変容を促進するために設計されたツール濃厚接触者の個人情報は当局と共有されない。例えば、Bluetoothを用いて完全に匿名化されたデータ（ドイツ、スイス、エストニア）を使用するアプリや、位置情報データのみ（イスラエル）を使用するアプリが含まれる。

接触追跡アプリの目的、データ型、管理方法

分散型、同意ベースのアプローチはユーザーのプライバシーへの懸念を減らすものの、パンデミック拡大防止には効果が限定的となる。国民の60%以上の参加率が望ましいという報告もある 。*4 シンガポールのTraceTogetherは、世界でも屈指の、積極的にプロモーションを展開する接触追跡アプリだが、2020年8月現在で、普及率は37%にとどまり、オーストラリアのCOVIDsafeは普及率22%となっている。アプリの使用が任意であると、参加率が伸び悩む可能性が高い。プライバシー保護のために利用者の同意に過度に依存するアプローチでは、COVID-19のようなパンデミックに十分に対処できないと主張する専門家もいる 。*5 一方で、行政当局のデータ集約によるアプローチが「監視社会」につながるのではないかという懸念も高まっている 。*6

「同意か、または匿名化か」を超えて

これまで、接触者追跡の手法としては、同意と匿名化のいずれかもしくはその両方の組み合わせとして議論されてきた。つまり、接触追跡アプリでは、個人の明示的な同意を確保するか、個人を特定できる情報を収集した場合にはそのデータを削除する必要がある。しかし、それが本当に唯一の選択肢なのだろうか?　我々は、他の解決策もあり得ると考えている。最近の世界経済フォーラムのホワイトペーパーで示された社会的合意に基づく公益目的のデータアクセス（Authorized Public Purpose Access、APPA）の枠組みは、必ずしも明示的な個人の同意によらず、同意がない場合のデータの匿名化にも依存していない。それは、個人の権利、データホルダーにとっての合理性、及び公共の利益 という3つの重要な要素に注目し、要素間のバランスを取ることを目指している。

Authorized Public Purpose Access（APPA）の枠組み

APPAは、社会的合意がなされた特定の公的な目的のためであれば、必ずしも明示的な個人同意によることなく個人の人権を別の形で保障し、データへのアクセスを許可することで目的とする価値を実現するモデルである。すなわち、ガバナンスに関する重要な質問が「特定のデータを所有している」から「どのような状況で誰にデータアクセスを許可すべきか?」にシフトしている。

COVID-19対策においてデータ（人々の健康や動きなどに関する情報）にアクセスする「目的」は、ウイルスの拡散を抑制し、命を救うことである。より具体的な、公衆衛生上の目標及びアプローチは国によって異なるが、 APPAとして許容されるためには、より適切な具体性を持った「目的」が求められる。また、APPAとしては、目的が正統に 「承認」 されていること、つまり社会的コンセンサスの産物であり、一般の人々から信頼される組織によって監視されていることを前提としている。これらの条件が満たされて初めてガバナンスが適切と考えられる。

APPAがCOVID-19にどのように取り組むか

APPAに基づくデータガバナンスは、この枠組みを用いたツールによりどのようにデータがアクセスされるべきかを提案している。そのステップは以下のとおりである。
・　 個人情報を含むか否か確認する。特に、通常はプライバシー制限の対象となる機密性の高い個人情報が含まれているか。
・　同意の有無を確認する。データが個人的なものである場合、データ主体はその使用に同意しているか。それは適切な同意であるか。
・　APPAホワイトリストを確認する。特にアクセスが承認されている種類のデータ（例えば特別法により）は、指定された目的のために使用されているか。
・　 第三者によるレビューを確保する。独立倫理委員会又はその他の監督機関がAPPA判断規準の遵守を検証する。

この枠組みに基づくと、個人情報を含まない形での接触追跡アプリの使用は問題ない。しかし、個人の行動を追跡するアプリは、多くが個人情報を必要とする。そこで、データ主体の同意が求められる（ステップ2）。AGFを含む多くの接触追跡アプリは、この結果許容される。APPAの特徴的な枠組みはステップ3以降となる。ここまでの流れは、個人情報を管理するための既存の同意に基づくアプローチと大きな違いはない。しかし、同意に基づく対策では疾患の拡大を抑制するには不十分である。APPAの下では、目的が広く合意され、使用されるデータの種類が明確に定義されている限り、COVID-19を追跡するために必要な個人データへのアクセスが可能となるAPPA 「ホワイトリスト」は特別法や条例を制定して作成するのが良いかもしれない。（これは基本的に、公衆衛生緊急事態に対処するために2015年にプライバシー法を改正した韓国が取ったアプローチである）

APPAによるガバナンスの枠組み

APPAアプローチには第三者機関による監査も含まれる。データコモンズのような新しいデータ管理プラットフォームを利用し、第三者監査をすることによって個人の権利を保護できる可能性がある。重要な残された課題は、第三者機関をどこにどのように設立し、認証するか、そして彼らが監査するためにどのようにデータアクセス権を付与すべきかを具体的に決定することである。

現時点では、COVID-19のパンデミックが終息するまでの道筋は依然として不透明である。刻々と変化する状況において、幅広いステークホルダーとのより多くの議論を重ねることにより、APPAを現実のものとすることができる。この変化は容易ではなく、すべての利益のために問題を解決するための技術の使用を包含する新たな社会的合意を必要とするであろう。この新しい考え方は、プライバシーやその他の問題に関する懸念と、価値を創出し生活を改善する可能性とのバランスを取るものである。それでも、パンデミックは大きな変化がすぐに起こり、広範な協力が可能であることを示している。APPAはCOVID-19を征服するための救命努力を支援するだけでなく、新しい技術的マインドセットを活性化することもできる。このような変革は、個人の権利、データホルダーの合理性及び公共の利益をバランスさせるデータガバナンスの新時代を導く可能性があると我々は期待している。

世界経済フォーラム第四次産業革命日本センター
ヘルスケア・データ政策プロジェクト長　藤田卓仙
ヘルスケア・データ政策プロジェクトフェロー　岡本雅子

筆者紹介

*i 日本では、追跡の機能がないため接触確認アプリという名称となっている。また、Apple/Googleは曝露通知（Exposure Notification）という呼び方をしている。 

*1  https://phii.org/sites/default/files/DT4CT%20White%20Paper_6.30.20-v2.pdf

*2  https://covid19.who.int/

*3  https://cio.go.jp/node/2605?fbclid=IwAR0yT_hpstfcS843zUiMCuFc9bKbzjTui5fxQsJJwE6XULqUzjntyBgmdIo Document No.4 from the 1st Expert Meeting in May, 2020

*4  https://www.research.ox.ac.uk/Article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown

*5  https://www.technologyreview.com/2020/03/24/950361/coronavirus-is-forcing-a-trade-off-between-privacy-and-public-health/

*6  https://www.ft.com/content/005ab1a8-1691-4e7b-8e10-0d3d2614a276
https://www.mq.edu.au/__data/assets/pdf_file/0012/977493/Joint-Statement-on-Contact-Tracing.pdf