各国のコロナ対策アプリはどのようにプライバシー対策を行なっているのか？

今コロナ対策として世界各地でアプリやサービスの開発が進んでいます。

一方でアプリを通じて個人データを提供する際に、個人のプライバシーの問題に関して一部疑問が上がっています。

AppleやGoogleなどがアプリ提供者として名乗りをあげる中で、個人のデータプライバシーをどのように扱うのかが大きなテーマになります。

コロナ濃厚接触をスマホで通知　AppleとGoogle

今回は各国で生まれているアプリとデータプライバシー対策を分析した上で、整理していきたいと思います。

プライバシーに関する意識の変化

前回の記事ではオンラインコミュニケーションサービスZoomとプライバシー問題に関して取り上げました。

データプライバシー問題からセキュリティ含めた個人データの取り扱いを指摘され、大きな問題に発展しています。

Zoomはわかりやすい例の一つですが、オンライン上での滞在時間や活動が増加するに伴って提供するデータのプライバシー問題は引き続き議論になる事が増えていくと考えられます。

Zoomの件ではZoomを通じて第三者に対してデータ提供が行われる際に十分に個人から十分に同意を得ていないという事で問題に発展しています

これはZoomに限らず各国政府や民間企業が開発するその他のアプリやサービスにも考えられるデータプライバシー課題で、実際に利用する際に改めて確認した上で考える必要があると思っています。

データプライバシーの境目と企業のプライバシー対策

ここではデータプライバシーという視点から各国が取り組むアプリを通じた対策とそのデータ管理の状況を整理していきたいと思います。

「データプライバシー」と言われても分かりづらく抽象的になってしまうので、先ずはプライバシーに関わるデータを誰がどのように処理しているかで分類して見たいと思います。

（注：どんなデータ=個人データの種類　提供の選択権=個人の同意を前提にしたデータ提供か、政府が半ば強制的に集めるか）

右上の青の場合は個人データを政府が主導で集めるケース、右下の濃いピンクの場合は政府が匿名データを集めるケース、左上でのオレンジの場合は自分の個人データを提供するか自分で判断できるケースで、最後は左下の緑で個人で匿名データを渡すかどうか選択できるケースです。

青の場合はプライバシーに関する権利が圧倒的に政府の力によって小さくなる場合で、よくあるケースは右下の匿名データを政府に提供するパターンです。

最近はオプトインと呼ばれる個人からの同意を事前を取得した上で、民間のアプリを通じてデータを取得するパターンが増えてきています。これは欧州だとGDPRによって定められている事と、カリフォルニア州でも法律が厳しくなってきている影響もあります。

（画像：筆者作成）

次に個人データの取り扱い状況に関して国ごとに目的別含めて分けています。

目的別には大きく国主導でデータを集めて強制的に感染抑制に当たる場合と、個人主導でソーシャルディスタンスを促進する場合の二つに分けられると考えられます。

データプライバシーの議論で問題になるのは右の個人主導から、左の国主導にデータが移る際に問題になる可能性があります。

個人の意思で自分のデータを提供したはずなのに、その個人データが意図とは異なる形で利用されたり、第三者に提供されるケースが発生した場合にはプライバシー問題に発展する可能性があります。

例えば、個人でアップルが提供するサービスに同意してアップルに個人データを提供したつもりが、国が勝手にアップルから個人データをもらいその個人データを分析に当てていたとすればデータプライバシー上大きな問題になります。

特に青のケースのように個人データをそのまま提供する場合は大きな問題になる可能性があるので各民間企業は匿名化したデータを政府に提供すると表明しています。

（画像：筆者作成）

ここを総じてデータプライバシー対策と各社は呼んでいます。

各国サービスのデータプライバシー対策

ここまで各国のサービスが行なっているデータプライバシー対策に関して紹介してきました。

ここからはサービスごとのプライバシー対策の比較を行なっていきたいと思います。

（画像：筆者作成）

ここで紹介しているアプリはほんの一部で、これ以外にも数多くのアプリが開発、及び構想されています。AppleストアやGoogleストアでは3月始め以降既に国や特定の機関によって承認されていないアプリ以外は承認できない状況になっています。

Apple is rejecting coronavirus apps that aren't from health organizations, app makers say

現在注目されているアプリは基本的には国や政府機関と協力して提供されるアプリが多く、直接国のサービスを受けられるような仕組みになっています。

Health Code（中国）

中国では発生源の武漢以外の地域でも様々なアプリや対策が行われています。

その中でも騰訊とアリババ、地方政府が連携してQRコードの色分けで感染者かどうかがアプリが有名です。

（動画：Chinese cities cooperating on health code systems）

QRコードは緑、黄、赤とランクが分けられており、それぞれ以下のメッセージを含んでいます。

緑：自由に移動ができる　黄：1週間の隔離が必要　赤：2週間の隔離が必要

スーパーマーケットなどを利用する際にも提供が必要になります。

複数のアプリ（韓国）

2015年に起こった中東呼吸器症候群（MERS）症例の教訓から韓国では早期にアプリやデータを活用した取り組みを実施しています。

当時発症から隔離まで10日間を要する事態となったため、その期間に接触が発生し一時国内では大きな話題になりました。

その後感染症対策を強化し、今回のコロナに際してもいち早く対策を行っています。

（動画：S. Korea's data-based 'smart' measures against COVID-19）

データプライバシーに関する法律の見直しも行われ、国として感染症が大きなリスクになると判断された際には個人データを民間から収集し、接触予防などにいち早く取り組む体制を整えています。

国内だけでなく、海外から国内に入国してくる人に対しては2日以内に2週間に一度アプリから状況を報告するように求め、報告後は直接政府の医療チームより連絡を行う仕組みを取り入れています。

このアプリは88%の入国者がダウンロードしていると政府は発表し、海外からの入国者対策として十分に機能しています。

HaMagen（イスラエル）

イスラエルでは“The Shield”（ヘブライ語でHaMagen）と呼ばれるアプリをイスラエル保健相が開発し、感染と診断される前から14日前までの移動状況をモバイル通信の位置情報データをもとに追跡する仕組みを始めています。

1.5 million Israelis using voluntary coronavirus monitoring app

4月1日時点で150万人（国民の17%）がダウンロードし、うち5万人のアプリユーザーが現在自主隔離を行なっています。

ヘブライ語だけでなく、フランス語や英語、アラビア語、ロシア語にも対応していてコードはオープンソースで書かれているため、別の国からも注目されている取り組みです。

PEPP-PT：Pan-European Privacy-Preserving Proximity Tracing（EU）

PEPP-PT（汎欧州プライバシー保護近接追跡）と呼ばれる取り組みは、スイスを含む欧州8カ国の研究者らが共同で始めた取り組みで開発したシステムを活用したコロナ対策アプリの設計を現在進めています。

特に個人データのプライバシーに関しては配慮を行なっており、ある一定の条件期間（テンポラリーで発行）で発行されるIDを活用し、特定の場所などと個人を紐付けない形で感染した事実のみを共有する仕組みを計画しています。

この仕組みを活用していくつか新しい取り組みが誕生してきています。

（動画：CORONITOR - SelfCare with HealthCare (PEPP-PT)）

CORONITORと呼ばれるサービスは医者が個人を診断する際に、個人がどの経路をたどってきたのか確認できるサービスです。

フランスの連帯・保健省では仕組みを導入して新しくサービス提供を行っていくことを大臣が推進しています。

France is officially working on ‘Stop Covid’ contact-tracing app – TechCrunch

フランスの個人情報保護当局（CNIL）はデータプライバシ問題で一部難色を示していますが、PEPP-PTの仕組みは中央でデータ管理するものと、分散型でデータ管理を行うDecentralized Privacy-Preserving Proximity Tracing (DP-PPT)の開発を並行して行っており、分散型のものはより個人データプライバシーに配慮した設計になっています。

Apple / Google（アメリカ）

アメリカ国内ではテクノロジー関連のプロジェクトが数多く動いている一方で、昨今の位置情報問題や個人データの取り扱いなどに対する視線はより厳しくなっています。（Facebook問題等）

そんな中、日本国内でも大きく話題になっていましたがアップルとグーグルが連携して新しい取り組みを発表しています。

アップルとグーグルが目指す「濃厚接触の追跡」は、こうして新型コロナウイルスの感染拡大を見つけ出す｜WIRED.jp

濃厚接触を回避するためにブルートゥースを活用して、個人間の接触したデータを記録しておく仕組みです。

（画像出典：アップルとグーグルが目指す「位置情報の追跡」は、こうして新型コロナウイルスへの濃厚接触を見つけ出す）

GPSと異なりブルートゥースの仕組みを活用することによって個人を特定しないことに今回は配慮した形で対策を行なっていますが、複数の情報を組み合わせることで特定されてしまう可能性は懸念点として残っています。

例えば、壁を隔てて別々の部屋に住んでいるケースでお互いにアプリを起動し、ブルートゥースを活用して感知できる範囲の場合には仮に匿名であった場合でも誰がどこに住んでいるという付帯情報を組み合わせて個人を特定できるケースがあります。

TraceTogether（シンガポール）

最後はシンガポール政府が開発しているTraceTogetherアプリです。

（動画：Singapore's new COVID-19 contact-tracing app TraceTogether: How it works）

日本でも紹介されることが多いこちらのアプリですが、データプライバシーに関しては厳重に配慮を行なっています。

4月に入った時点では100万近くのダウンロードを記録していますが、国民全体で見るとまだ割合としては限定的です。

BlueTrace protocolと呼ばれるオープンソースの仕組みを提供しておりプライバシー対策として以下のポイントを挙げています。

・電話番号だけに限る最小限のデータ収集

・デバイス上にデータを記録し、政府は接触記録のみを確認

・一時IDを定期的に更新することで第三者が個人を特定してデータ活用できない仕組み

・ユーザーからの削除請求があった場合は政府でのデータ削除を行う

シンガポールの取り組みは日本だけでなく、欧州などでも注目されておりデータプライバシーに配慮したオープンソース戦略は新しいモデルとして今後広がりを見せる可能性があります。

コロナ対策とデータプライバシーの共存

コロナ対策は直近で非常に重要な取り組みになります。

各国政府は民間企業と協力して新しい取り組みを次々に打ち出しています。一方で、個人データプライバシーへの配慮は避けて通ることができない問題であり、欧州ではデータ保護に関して政府も対象になる可能性があります。

もちろん前提としてコロナ対策のために適切にデータを収集し活用する必要はあるので、データプライバシーと利便性が共存する設計が求められるようになります。

コロナを期にデータプライバシーに関連した新しい取り組みやサービスが生まれてきており、引き続きデータプライバシーを前提としたサービスが当たり前の世の中へと変わっていくと考えられます。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

引き続きCOMEMO記事を読んで頂けると嬉しいです。

↓↓↓

記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!!

Facebookにログイン