接触確認アプリ：ウェビナー＆参考資料

2020年6月8日 19:27

日経XTECH ウェビナーシリーズ「コロナとAI」Vol.2
「接触確認アプリ、本当に使う？～公益のための個人データ活用とは」
に参加するとともに関連する資料をまとめました。作成の目的は、i）個人的な振り返りと ii）8月頃から予定している「薬局」（南山堂）での月刊連載と連動したリンク集をつくるための練習です。要約・抜粋箇所は個人の関心に基づいております。

概要：
ヘルスデータの利活用―医療データと公益
　次世代医療基盤法、フィンランドにおける医療データ二次利用に係る法律
　個人の同意と匿名化
→ COVID-19対策においては同意と匿名化 vs 同意なし、匿名化せず（公益を重視する）という構図も見えてきた
　シンガポールにおけるTraceTogether（3/20公開）～Apple-Google Exposure Notification（曝露通知）Framework（AGF）まで
有識者検討会合における議論の内容（以下の資料参照）
　各国のアプリの位置づけ（個人動向が把握できる形での個人情報の取得～当局が濃厚接触者を特定しない個人向けのツール←日本はこれ）
　本邦で導入予定のアプリにおける利用開始時、陽性者自身による登録時の2段階で同意する様式

データガバナンス
　Data Free Flow with Trust（DFFT）
　　Cross Border Data Flows（CBDF）
　　Data for Common Purpose Initiative（DCPI）
　　Agile Governance
　ガバナンスギャップの3要素（後出のAPPA関連資料参照）
同意は唯一の適法化根拠ではない（GDPR Article 9なども踏まえ）
　現存する具体例―自然災害、パンデミック、がん登録
　→拡張可能性：
　　疾患レジストリ、市販後調査、児童虐待、医療データと生活ログ
　データ活用フローチャート（ホワイトリスト、アクセス権）
　IC 2.0（仮）「形式的な」同意から高齢者や認知症の方々なども包括する意思決定の新しい形

国際的な情報共有、相互運用
　どこまで国主導か、WHOの機能は
情報をどの範囲まで開示すべきか、知る権利との関係は？
民間の有する情報をどう扱うか
研究目的での緊急時の取り扱いに際し、倫理審査をどうするか

以下の資料＆講演から気になったこと＆回答（いただいたもののみ）：
・導入率の目標の高さ（スマートフォンの国民の個人保有率が 64.7％→最大で国民の６割以上が導入することを目指す）―実際にどの程度導入されれば有効に機能するのか
回答）6割程度の導入が必要という報告もあるが実際にそれは難しい。しかしながら、局所的に導入率を高めることはできるかもしれない（例：都市単位であったり、劇場、大学といった場所や組織）
―シンガポールでは（ある程度強制力があり、3月から運用していても）3割程度とのこと、場合によってはインセンティブについても考える必要がある

・本人の意思に基づく同意の取得（同意しなくてはいけない「空気」）と同意偏重による損失についてどのようにバランスを取るか
・代理登録の取り扱い

参考資料：

政府CIOポータル：
新型コロナウイルス感染症対策テックチーム Anti-Covid-19 Tech Team
テックチーム会合、接触確認アプリに関する有識者検討会合、接触確認アプリに関する仕様書等の公表に関するリンク

第１回接触確認アプリに関する有識者検討会合：
資料１：接触確認アプリに関する有識者検討会合について
以下は資料から抜粋―
・目的：「①自らの行動変容を確認できること、②自分が感染者と分かったときに、プライバシー保護と本人同意を前提に、濃厚接触者に通知し、濃厚接触者自ら国の新型コロナウイルス感染者等把握・管理支援システム（仮称）に登録できるようにすること」
・前提：「国民によるアプリの目的や利用方法の理解、受容性の確保の観点から、本会合で議論された内容については、政府としてブリーフィングを行うとともに、民間ベースでのオープンな情報発信を行う。」
資料４：接触確認アプリの導入に向けた取組について
以下は資料から要約―
・位置情報型（インド、イスラエル等）、個人特定型（中央サーバ処理型；シンガポール、オーストラリア）、匿名型（EU提案）（中央サーバ処理型（英国、フランスで検討中）とスマホ（個人）端末処理型（ドイツ、スイス、エストニア等で検討中←日本はこのタイプを想定））といった主要類型とその特徴
・他者との接触について個人の端末に識別子を記録→識別子そのものは周期的に変わり、記録された情報も一定期間経過後に削除される（個人を特定することはできない仕様）
・個人の陽性確認後に保健所でシステムに登録することで、当該個人と接触記録のある個人に通知
資料５：接触確認アプリの導入に係る各国の動向について
以下は資料から要約―
・プライバシーと公衆衛生のバランスについての各国比較
・資料4に従うと、日本の接触確認アプリは「通知を受けた接触者の行動変容による感染拡大防止の、個人向けのツール（プライバシーに配慮し、当局は濃厚接触者を特定しない）」
資料７：新型コロナウイルス感染症対策としてコンタクトトレーシング
アプリを活用するための個人情報保護委員会の考え方
以下は資料から抜粋―
・これらのアプリの利用は、個人に十分かつ具体的な内容の情報を伝えた上で、当該個人の任意の判断（同意）により行われるべきである。

第2回接触確認アプリに関する有識者検討会合：
資料１：接触確認アプリ及び関連システム仕様書（案）[概要]
以下は資料から抜粋―
・新型コロナウイルス感染症の陽性診断が確定した者（以下「陽性者」と記述）であることが判明した場合に、その本人の同意のもとで、その陽性者と一定期間内に接触が確認された者に対し通知を行う。
・アプリ間で交換される識別子は周期的に変更されるものであり、個人や端末を特定できない。
・接触の記録は全て端末で管理され、陽性者との接触の照合も各自の端末内で行う。
・通知サーバーでは、本人同意のもと、陽性者の識別子のみが管理され、個人の特定はできない。

接触確認アプリに関する仕様書等の公表：
資料１：接触確認アプリ及び関連システム仕様書
以下は資料から抜粋―
第1編：総論
・本アプリにおける接触者の定義は、陽性者との接触に関する情報が利用者本人に通知される者として、陽性者との接触により感染のおそれがある期間に、陽性者との間で概ね 1m 以内の距離で継続して 15 分以上の近接状態が続いたもの（案）（以下「接触確認者」と記述）と定義する。
・本アプリでは、個人のプライバシーに配慮し、名前、性別、住所、生年月日、位置情報、電話番号、メールアドレス等の特定の個人が直接識別される可能性のある情報は取得しない。
・Bluetooth を OS 上でコントロールすることで、他のアプリ利用中でもバックグラウンドで利用可能となることから、Apple と Google から提供される API（AGF）を利用して構築する。
・本アプリの開発スケジュールは、以下のとおりとする。調整事項については、開発スケジュールは未定である。
6 月中（予定）リリース ※調整事項を除いた機能のみ
・本アプリの開発及び運用は、厚生労働省がプロジェクトオーナーであり、受託者が実務を担う。
第2編：仕様（要件定義）
・同意の撤回時点までに、通知サーバーに送信されたデータは削除されない。
・未成年者及び成年被後見人など自ら登録の判断を行うことが困難なユー
ザーのための代理登録を可能にする。
・スマートフォンの国民の個人保有率が 64.7％（令和元年版情報通信白
書）であるので、最大で国民の６割以上が導入することを目指す想定で
基盤等の拡張性を確保する。
資料2：「接触確認アプリ及び関連システム仕様書」に対するプライバシー及びセキュリティ上の評価及びシステム運用留意事項
以下は資料から抜粋―
・本アプリ運営者は、個人に関する情報として、通知サーバーにおいて、感染者システムから発行される処理番号及び登録した陽性者の端末から送信される診断キーを取り扱う。
・行個法の適用について、処理番号は、同法の定める「要配慮個人情報」に該当するため、処理番号について行個法上の義務を負う。
・診断キーについては、原則として個人情報に該当しないと考えられる。
・個情法の適用については、委託先事業者において、処理番号から特定の個人を識別できる場合（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合を含む。）には、処理番号は（診断キーと処理番号を紐づける場合には診断キーも）、「要配慮個人情報」に該当することになり、委託先事業者が同法に基づく義務を負うこととなる。
・ユーザーの同意の取得―本アプリにおいて、ユーザーの重要な意思決定の局面は、①アプリの利用開始の決定、及び、②自らが陽性者と診断された場合に、その旨を感染者システムに登録し、自己の診断キーを他のユーザーに発信する決定であり、これらの場面において、ユーザーの正しい理解と自由な意思に基づく同意を取得するべきである。
・陽性者、接触者、その家族等が差別を受けないよう、本アプリのシステム全体の設計運用上、十分に配慮すること。
・表示自体についても、画面の色や構成を工夫して、陽性者又は接触者であることが他人から肩越しに見えること等のないように配慮を行うこと。