接触者追跡アプリの可能性

ショーンKY
私は個人情報保護や情報セキュリティの問題にある程度仕事で関与したことがありますが、専門家を自称したりするほどではありません。これらについては下記の方がエキスパートとして有名です。
・上原哲太郎(@tetsutalow
・徳丸浩(@ockeghem
・高木浩光(@HiromitsuTakagi)
・奥村貴史(@tweeting_drtaka
もし行政が作るのであれば、こういったエキスパートの監修があるとよいでしょう。

疫学上の要請

中澤港教授が、スマホを使った接触者追跡の有効性を説く論文を紹介し、中国などに比べプライバシーの権利意識が強い日本でもできないか、という提案をしていた。

アプリによる行動歴記録があれば、感染者と未感染者の接触歴・行動履歴を突き合わせ、同じ時間に同じ場所にいた人を濃厚接触者として推定して検査(疫学調査)を行うことができる。そしてもう一つ、(感染源不明の)感染者どうしの行動歴を比較して共通に接触した人や場を割り出す後ろ向き探索も可能であり、前者であれば発症前感染や無症候感染者の割り出しに、後者であればクラスター(スーパー・スプレッディング・イベント)の割り出しに使える。

人力の調査の場合どうしても限界があり、聞き取りをしても思い出せなかったり、集会の名簿が残っていなかったり、あるいは情報提供が拒否されたりする。例えば大阪のライブハウスでは店舗が店名公開に協力したためある程度カバーできたが、それでも来場者全員を検査することはできなかった。行動歴記録を自動的に残しておけばこれらの問題が緩和されるし、後ろ向き探索による共通の感染源の割り出しもスムーズになるだろう。

ただ、行動歴は個人情報であり同時にプライバシー情報でもある。夜の店のクラスタでは詳しい聞き取りが拒否され接触者調査は難航したが、プライバシー権は現代の人権であり、防疫のためといって簡単に侵害できるものではない。本稿では、疫学的な要請を満たしつつプライバシーを守る方法について少々考察する(私自身は2015年法改正以降に個人情報保護を要するプロジェクトに関わったことがあり、ある程度勘所が分かる、という程度の経験である)。

事前連絡先登録

まず、簡単な方から入ろう。事前に普段から濃厚接触している人(家族、友人、職場、行きつけの店等)の連絡先を登録しておき、感染が発覚したら保健所に提供するようにする機能は基本の機能として必要だろう。これがあれば聞き取り調査をせずともボタン一発で連絡ができ、速度が速まる。マスギャザリングイベントへの参加申告なども加えられればなおよい。

また、複数の感染者の連絡先情報を突き合わせることで、共通の接触者を割り出すこともできる。感染源不明の場合の共通感染源探索など単純な前向き探索以上のことにも役立つ。

連絡先情報は当然個人情報でありプライバシー情報なので扱いには細心の注意を要するが、SNSやスマホのOSのメーカーは実際集めており、あまつさえ電話帳上の知り合いをSNSでもフォローしようなどというおせっかいさえ焼いてくるので、少なくとも同意があれば法的に問題はないし、プライバシーに配慮して必要に応じて提出してもらう形式でも十分に役立つだろう。

アドホックネットワーク直接近接検出

また、接触者を直接検出する方法もあればよいだろう。近接した場所にある別のスマホを自動的に検出するプロトコルもある。例えばAirDropなどは同じWiFiにぶら下がったスマホを識別できるし、シンガポールのアプリではbluetoothを使った近接探知を行っている。これらの近接探知で識別情報を記録すれば接触歴の記録になる(識別情報の索引は保健所などが持つ必要があるが)。

同じWiFiにぶら下がる必要がありカバレッジが十分でないとか、個人が別の個人を識別しうる情報を持つという危険性があるので識別情報のスクランブル化などの対策は必要といった問題はあるが、スマホ内部に蓄積して必要に応じて提出すればよいという点でプライバシー上の利点がある。

既存の他のデータの提出

後述するように、韓国では電子決済の記録などを「徴用」することが可能であり、それが追跡について大きな強みになっている。日本の法律ではそれはもちろんできないのだが、任意に提出してもらうことは可能である。また、個人情報保護法で自分の記録はコントロールできなければならないため、請求すればその情報のコピーを得ることも可能である(収集側にその義務がある)。

これを利用し、例えばSuicaやおさいふケータイの利用履歴を感染者自信の権限で会社側に請求して集め、それを提出することは可能である。会社側に対して、利用者の請求に従って利用記録を落とす定型のAPIなどを用意してもらうという方法は考えうる。その際、何を買ったかなどのプライバシー情報を消して、買い物をした店舗の情報だけを抽出できると良いだろう。

「場」の情報・ビーコン

同じ時間に同じ場所にいた人を濃厚接触者として推定する場合、その場所の情報を記録する必要がある。GPSの位置情報はそれに有用ではあるが、複数階のビルでは階が区別できなかったり、生の位置情報ではプライバシーを侵害しすぎる場合がある。

その中間の形として、ピンポイントで場の情報だけを記録する方法が考えられる。例えば位置情報で自宅を出てから職場までの道のりをすべて記録したらかなりプライバシーに関わる情報になるが、それを抽象化してどの駅でどの電車に乗ったかという情報に落とし込めばプライバシーの問題はだいぶ解消する。

また、マスギャザリングイベントや列車では何らかの形でビーコンを設置し、参加者・乗客のアプリでビーコン受信を直接記録できたりすると、より精度の高い識別に役立つだろう。

GPS位置情報履歴

位置情報はぜひ使いたいが、プライバシーの兼ね合いで集めるハードルが高い。

まず、位置情報を集めることが可能か否かで言えば、可能である。「何の情報を」「何の目的で」「誰が閲覧する予定で」「いつ破棄するか」を明示したうえで合意を得れば集められる。例えばAndroidを使っていればGoogle Mapsがあなたの移動履歴を把握してどの店に何時に立ち寄ったか把握していることはご存じだろう。これと同じデータベースを作って人ごとに突き合せれば目的は成る。

しかし位置情報は、個人情報でありプライバシー情報であるから、扱いには注意が必要である。それを見れば住所や職場を特定することができ、他の公開データ等と突合すれば容易に個人が特定できる。また、どんな店で買い物したか、それこそ風俗店に行ったかなどの情報も一目でわかるため、プライバシー情報でもある。

韓国では感染者の行動歴を知ることで感染防止に役立つとしてこれを「匿名化」したうえで公開したが、位置情報からたやすく個人を特定され、同じ時間にラブホテルにいたことで不倫バレが疑われる事例が出るなど、プライバシーが著しく侵害される事件があった。

パニックに陥ったグミの住民は、「彼女のアパート名を教えろ」とコメント欄で迫った。この女性はこの後、「私の個人情報を広めないでください」、「傷ついた家族と友人に申し訳なく思うし、私も(身体的な痛みより)心理的につらすぎる」とフェイスブックに書き込んだ。
――「ラブホテルにいた」 新型ウイルス患者の情報、韓国は出しすぎる? BBC. 2020年03月5日

口頭質問で接触歴情報の提供を拒否するような人は、位置情報の提供もしたくないだろう。位置情報も接触歴もセンシティブで取り扱いには十分な注意が必要である。

プライバシー対策①必要最低限の情報収集

個人情報保護の基本として、「必要最低限しか情報を集めてはいけない」という方針がある(ビッグデータが騒がれ始めたときに必要以上に集めた会社が多発し、2015年改正で特筆する注意事項になった)。これに従えば、常時行動歴を監視するのではなく、必要に応じて行動歴を提出するようにするのが良いだろう。

例えば行きつけの店(特定のビル)や特定のイベントに感染者がいてその情報が公開できる場合、各アプリにその情報を配信したうえで該当する人(が持つスマホ)だけが応答するようにすれば、最低限の情報収集で済む。位置情報もクライアント側で地図情報などをもとに加工して駅や施設名などの情報を自動生成しておけばより容易にこの方法が使えるだろう。

位置情報の履歴を全部提出して突き合せをするにしても、感染者がいた市区町村などはどのみち公表されるため、行動歴を市区町村レベルや中域メッシュレベルまで抽象化したうえで、抽象性が保てる程度の範囲に絞り込んで提供してもらえば最小限で済む(メッシュの大きさも地域人口に合わせる等)。どのみち突き合せ探索時に1億2000万どうしの組み合わせを O(n²)オーダーで比較するのは大変なので事前の絞り込みを行うアルゴリズムは使うだろうから、自然と実装できるだろう。

プライバシー対策②情報のスクランブル化

接触者追跡で必要なのは、「同じ場所にいたか」「この人と接触したか」という情報である。従って、初期の段階では場所や人が一意に識別さえできれば、それが何かを特定する必要はない。例えば、ビーコンを使った直接近接記録の場合はビーコンの索引が公開されていない限りIDがどこの何かは分からないが、同じビーコンを同じ時間に受信していたなら接触者と推定できる。

またもっと汎用的な方法として、一意性は(ある程度)保存するが規則性を保存しない関数(ハッシュ関数や疑似乱数の漸化式を想定)を使う方法も考えられる。例えば「2020/4/6 キャバクラレッドローズ」を「Qg0hF8F8;]-2$EBXe)JHa」に変換し、行動歴に同じ「Qg0hF8F8;]-2$EBXe)JHa」を持つ人を探し出せば、それが何かを特定せずとも同じ時間に同じ場所にいたことを判定でき、プライバシーは大幅に改善する。

ただ細かいところで言えば、アプリの都合上、誰でもビーコンのデータベースを作れたり、平文とスクランブル文のペアを生成できることからスクランブル破りの難易度は大幅に下がるため、このあたりはセキュリティの専門家の意見を伺いたいところである。

プライバシー対策③トラッキングのスイッチ

個人情報保護の原則から言えば、ユーザはどのような情報を提供するかコントロール可能でなければならない。このため、プライバシー保護を考えればトラッキングはユーザの任意でオンオフできなければならない。

ただ、防疫的観点で言えば追跡情報が途切れるのは許容しにくいように思われる。復元不可能なスクランブル化情報のみ記録するなどの工夫で対処したい。生の位置情報の提出だけは拒み、位置情報を施設情報に変換したものやビーコン受信情報だけ求められれば応答する、といった選択式にするともう少しハードルは下がるのではなかろうか。

小まとめ

以上のように、(セキュリティホールなどの問題は置いておくとして)日本の現行法の枠内でもプライバシーを守りつつある程度アプリによる接触者追跡は可能になるだろう、というのが私の意見である。

ただ、個人情報保護では情報の横流しや目的外使用はできないため、省庁間のデータ共有や研究者へのデータ提供については、匿名化加工を行うなりなんなり(そして匿名化加工が相応に難しそうなデータであることも含め)もう1ステップ必要になることは留意が必要である。


他国の事情

アプリによる行動追跡は、アジア諸国で特に多く行われているものである。しかしこれらの国では、法律的な面でやや状況が異なる。

例えば韓国では、既存の電子決済記録を国が「徴用」するという強力な法律があり、訪れた店舗や使った交通機関などをアプリがなくても強力に把握できる。

[2015年のMERS流行の反省から、軽症者・無症者も含んで検査情報を積極的に公開している。]これには、当局が感染者の監視カメラ追跡、スマホ・自動車のGPS情報、クレジットカード決済記録、出入国情報など様々な詳細な個人情報にアクセスする権限を付与する法律の施行が含まれる。さらには当局はその個人情報の一部を公開することができ、友人や家族など濃厚接触者はだれでも検査を受けることができる。
――Special Report: Italy and South Korea virus outbreaks reveal disparity in deaths and tactics. March 12, 2020. Reuters

同様の日本語記事――新型コロナ感染者の移動ルートをマップに表示 緊急事態の韓国で使われる個人情報とIT技術 朝日新聞Globe 2020.03.05

シンガポールや台湾もアプリによる監視が行われるが、これには隔離が罰則付きの義務となっており法律で監視対象となっているという理由もある(参考までに、ゴーン逃亡事件では刑事裁判中の保釈時の監視方法が問題になったが、人による監視ではなくGPS監視装置による逃亡防止を使う国も少なくなく、監視を合法化する法律があるなら珍しいものではない)。

なお、シンガポールは追跡アプリをオープンソースで作っているそうなので、もし日本で作るとしてもオープンソースにして世界と共有できると良いだろう。

中国の個人情報・プライバシーについては言わずもがなであり、監視カメラ+顔データベースによる追跡さえ行われている。

アプリは、政府が国民を広範に監視することによって実現できるものだ。中国国民は、全土に設置された防犯カメラのネットワーク、顔認識ソフトウェア、および人工知能(AI)の組み合わせによる監視で、匿名性を確保することはほぼ不可能だ。
――中国政府、新型コロナ感染者との「濃厚接触」判定アプリ MIT technology review


これらの国の事情は決してすべてまねできるものではないが、日本の現在の法律でも一部は実行できるし、個人情報もプライバシーも守って実行することもできるので、やって損はないように思う。この行動自粛はあと2年程度は続く覚悟が必要で、今から作っても間に合うほどである。

こういった動きはヨーロッパでもあり、政府が作るアプリに対抗して民間のプライバシー重視のアプリを作ろうという動きがあるようだ。

この記事が気に入ったらサポートをしてみませんか?