デジタルコンタクトトレーシングとは
新型コロナ対策として、各国でコンタクトトレーシングが実施されています。コンタクトトレーシングは、直訳すると「接触追跡」ですが、感染者に対して事情聴取をして、濃厚接触者を割り出し、その人たちにも外出自粛を要請して、それ以上の感染拡大を抑えるという方法です。日本でも当初から実施されており、我が国はこの対策を有効に利用してきた国の一つかと思います。
これをスマートフォンを使用してデジタルで行おうというのが、デジタルコンタクトトレーシングです。コンタクトトレーシング・アプリとも言われています。
具体的には、
Bluetoothを使用して、定期的にスマホから信号を出し、同時に他の人から出された信号をスマホで受け取る。この記録を取り続け、仮に陽性者が出た場合には、その人から出た信号を持っている人を特定する、という方法です。
プライバシー法との関係
もうお気づきかと思いますが、信号を発信する人が特定されてしまうと、病歴というかなりセンシティブな情報に関するプライバシーの侵害になる、というのがこのスキームで克服すべき最大の課題となります。信号と人が直接にたどれる場合は陽性者が誰かが特定されてしまいますし、信号が位置データと紐づいている場合は、その人の日常の行動まで明らかになってしまいます。当然のことながら、このアプリが、EUのGDPR(一般データ保護規則)や各国のプライバシー法、個人情報保護法にのっとっているのかを吟味する必要があります。
各国での動き
このスキームが最初に普及したのは、シンガポールで、TraceTogetherというものです。
その後、3月ころからヨーロッパで、規格が提唱され始めました。当初席巻したのは、スイスを中心としたコンソーシアムが提唱したPEPP-PT(Pan-European Privacy-Preserving Proximity Tracing;汎欧州プライバシー保護近接追跡)というものです。これは、各人が受け取った信号を政府等が管理する中央のサーバーで一括に管理する、というアイディアでした。これは中央処理型と呼ばれています。
これに対しては、信号を中央で管理するため、陽性の偽情報の蔓延による混乱が生じにくいといったメリットもありますが、中央のサーバーに対して攻撃がしかけられたら、諸共に情報が抜き取られてしまうなどとして、批判があがりました。
そこで出てきたのが分散処理型のスキームです。代表的なものはPEPP-PTから派生したDecentralized Privacy-Preserving Proximity Tracing (DP-3T)です。その仕様は、Githubで公開されています(こちら)。
4月10日には、GoogleとAppleが、
第1段階として、コンタクトトレーシング・アプリのための共通APIを開発して、どちらのOSでもアプリが作動するようにし(5月中)、
第2段階として、自らのOSにデジタルコンタクトトレーシングができる機能をデフォルトで搭載する(数ヶ月以内)、
と公表しました。
この2社連合が採用したのは、分散処理型です。これによって、プライバシーもセキュリティも守る、としています。なお、第1段階については、既に4月中に開発されています。
その方法はDP-3Tに類似するものですが、
- 信号を送る元となる識別子を匿名化し、かつ、約15分ごとに変更する
- 受け取った信号は、各自のスマホでログを保存する
- 陽性者が出た場合は、陽性者が同意した場合に限って、その識別子(匿名)をアップロードし、他の人は各自のスマホ上でその識別子に紐づいた信号がないかを自動的に確認する
などという形でプライバシーを保護しようとしています(ここに挙げた措置は代表的なものです)。
ドイツのプロジェクト等でも分散処理型を中心に開発が進められている状況にあり、世界的には分散処理が優勢になったと言えそうです。
日本での動き
日本では、5月1日、個人情報保護委員会から、このようなアプリについての「考え方」が示されています(こちら)。5月8日には、当初は官民合同会議「テックチーム」の所管であったデジタルコンタクトトレーシングは、厚労省の所管となりました(記事はこちら)。そして、実際にアプリが急ピッチで開発されている状況にあります。
このスキームが有効に機能するかは、スマホの普及率、さらにはアプリの普及率に依存します。なお、このアプリを当初導入したシンガポールですら普及率は20%だといいます。米国では一部の自治体がこうしたアプリを使用し始めていますが、その普及率は1%前後ということです。コンタクトトレーシング・アプリが普及するかの大きなカギを握るのは、このスキームに対する信頼性、すなわち、適切なセキュリティ対策がとられてプライバシーがしっかり守られる仕組みを整えられるか、それをユーザーに説得的に説明できるか、にかかっていると言えます。
このアプリをめぐる各国の議論、GDPRとの関係、その他法律の適用関係、日本における展望について、弁護士の高橋郁夫先生、黒川真理子先生と共同してKindle本でまとめましたので、ご関心のある方はぜひお読みいただければと思います。