新型コロナウィルス感染症拡大防止策の一つとして、「コロナアプリ」が話題になっ ています。そんな中、カオス・コンピュータ・クラブ(Chaos Computer Club、以下 「CCC」)は、同アプリを技術的および社会的観点から評価するための基準として、 10の要件を公開しました。

ドイツの団体であるCCCは、30年以上に渡り、技術と社会の共生に関わる問題に取 り組んでいます。 メンバーには様々な分野のハッカー、研究者、思想家が名を連ね、プライバシー、分 散化、データの最小化といった倫理的原則の推進に努めるとともに、あらゆる形態の 監視や強制への反対活動を行っています。
CCCは、「コロナアプリ」に完全性を求めることなく、社会的および技術的に容認さ れるための「最低条件」として、最低限達成されねばならない要件を提言しています。

政治家や疫学者は、コロナウィルスの感染拡大を体系的に防止するための手段として、 「コンタクト・トレーシング(接触追跡)」技術の利用を検討しています。感染の連 鎖(リンク)をより迅速に追跡し、断つことができれば、人々の行動制限をより大幅 に緩和できるというのが基本的な考えです。こうした技術を利用すれば、感染者との 接触を早期に通知し、接触者自身がより早い段階で隔離に踏み切れるため、さらなる 感染が防げます。すなわち、「コロナアプリ」の目的は、利用者本人やその接触者本 人を守るのではなく、あくまでも「接触者のさらに接触者」を守ることで、感染のリ ンクを断ち切るというものです。

リスクを伴う「接触追跡」技術

このコンセプトを技術的に実装するために、多くの提案がなされています。超監視社 会につながるような恐ろしい提案から、完全に匿名化し、個人情報を特定せずに純粋 に感染の可能性のみを警告するような方法まで、様々な意見が出ています。

前提として、接触情報や健康に関するデータを収集する「コロナアプリ」構想は、非 常に大きな危険をはらんでいます。一方で、暗号化推進団体やプライバシー団体が数 十年かけて開発し、GDPR(EU一般データ保護規則)にも取り入れられた「プライ バシー・バイ・デザイン(Privacy by Design)」の考えや技術を幅広く応用すること が可能です。これらの技術を利用すれば、プライバシーの崩壊を回避しつつ、「接触 追跡」のポテンシャルを十分に活かすことができます。このように、技術的に可能で あるからこそ、やみくもにプライバシーを侵害する、または脅かすようなコンセプト は、到底許容できるものではありません。また、構想上または技術的に有効なコンセ プトであっても、残存リスクは継続的に注視し、公開の場で議論し、可能な限り最小 化されねばなりません。

以下に、このような技術を実装するにあたり、プライバシーを保護するために最低限 必要な社会的および技術的要件の概要を記します。CCCは、これらの最低条件を満 たさないアプリは不採用とするよう、明確に求めています。

I. 社会的要件

1. 疫学的意義と目的適合性

何より重要なのは、「接触追跡」によって、実際に、有意かつ検証可能な感染者数の 減少が見られなければ無意味だということです。この評価は疫学的になされなくては なりません。アプリを使った「接触追跡」が有効ではなく、目的に適していないこと が判明した場合には、実験を終了しなければなりません。

また、アプリ自体、および収集されたいかなるデータも、新型コロナウィルス感染拡 大防止以外の目的に利用してはなりません。あらゆる目的外使用を阻止および禁止す るために、可能な限りの技術的・法的措置を講じる必要があります。

2. 任意性と差別の排除

疫学的に有意な効果をあげるには、「接触追跡アプリ」が社会に広く浸透することが 前提となります。つまり、できるだけ多くの人々のスマートフォンにインストールさ れる必要があるということです。しかし、普及は強制的にではなく、あくまでもプラ イバシーに配慮した、信頼できるシステムを通じて達成されねばなりません。この意 味で、使用料を徴収したり、金銭的インセンティブによってインストールを促すよう な手法は禁じられるべきです。

アプリの使用を拒んだユーザーが、不利益を被ることはあってはなりません。上記の 徹底は、政府と立法府が責任を持って取り組むべき課題です。

アプリは自動的に、起動中であることを定期的に通知し、一時的な無効化や、長期的 なアンインストールが簡単にできる仕様でなくてはなりません。CCCは、外出制限 および接触制限を管理する目的での「位置追跡電子装置(電子足輪)」のような行動 制限措置の実施は容認できないものと考えます。

3. 基本的なプライバシー

そもそも、プライバシー保護の原則に依拠した説得力のあるコンセプトでなければ、 社会的受容は望めません。

この関連において、暗号化や匿名化といった、検証可能な技術的措置を適用すること で、ユーザーのプライバシー保護を確実にしなければなりません。組織的な措置、約 束、および「信頼」を根拠とするだけでは不十分です。データ流出に対する組織的お よび法的な抑止効果は、「緊急事態」の思考に染まり、感染症予防法のもとで人々の基本的権利をある程度度外視しようとする今日の社会においては、十分とは言えません。

また、監視技術の開発企業の参加は、「コロナウォッシュ(訳注:コロナ撲滅に貢献 しているように見せかけた便乗)」の疑いがあるため、CCCは原則として認めませ ん。大前提として、ユーザーは、第三者(個人または機関)に自身の情報を「信頼し て預ける」のではなく、適切に文書化および実証された高度なセキュリティ技術を享 受すべきです。

4. 透明性と検証可能性

希望者は誰でもソースコードの監査ができるように、アプリとインフラストラクチャ ーの完全なソースコードを、無償かつアクセス制限なしで利用できるようにすべきで す。また、「再現可能なビルド(reproducible builds)」技術を用いて、インストー ルしたアプリが監査済みソースコードで構築されたものかどうかを、ユーザーが確認 できるようにすべきです。

II. 技術的要件

5. 中央への依存の排除

全情報が集約される中央サーバーを用いずに、完全に匿名の「接触追跡」を行うこと は、技術的に可能です。また、ユーザーのプライバシーを十分に保護するために、中 央のインフラ事業者の信頼性や能力に委ねるという方法も、選択する必要はありませ ん。上記のような信頼に依拠するコンセプトは、疑わしいものとしてCCCは最初か ら認めていません。

さらに、例えば匿名のユーザーIDにIPアドレスが関連付けられていないかなど、中央 管理システムの安全性と信頼性に関しては、ユーザーが十分に点検できないという問 題点があります。したがって、プロセスの安全性および機密性を担保するための基準 は、暗号化・匿名化のコンセプトおよびソースコードの検証可能性のみに限定される 必要があります。

6. データの最小化

目的達成のために最低限必要なデータおよびメタデータ以外のデータが保存される ことはあってはなりません。すなわち、本項目は、個人間の接触および接触時間以外 のあらゆるデータ(例えば場所に関するデータ)の収集を禁じるものです。

例えば、携帯端末(ローカル)に滞在場所などのデータが収集された場合には、当該 データを第三者に渡したり、ましてや公開することを、ユーザーに強制および誘導す ることは許されません。また、不要になったデータは削除する必要があります。端末のローカル環境においても、機密データは安全に暗号化されなければなりません。

疫学研究の目的で、本来の接触追跡の目的を逸脱したデータ収集が任意で行われる場 合は、アプリ画面から別途明確な同意が取得されねばならず、また、この同意はいつ でも撤回可能でなければなりません。当該同意を使用の前提条件とすることは認めら れません。

7. 匿名性

各機器が収集する他の機器に関するデータは、ユーザーの脱匿名化(匿名化の解除) に適したものであってはなりません。また、各個人が必要に応じて引き渡す自身に関 するデータも、本人の脱匿名化に適したものであってはなりません。いかなる種類の 個人データも収集または推測されることなく利用できるシステムが必要です。本項目 は、ユーザーの明確な識別を禁じるものです。

無線技術(Bluetoothや超音波など)を利用して「接触追跡」を行う際のIDは、個人 を特定できるものであってはならず、頻繁に変更される必要があります。このような 理由から、デバイストークン、電話番号、使用されたIPアドレス、デバイスIDなどの 通信に伴うデータIDとの関連付けや、これらに基づく推測も禁じるものとします。

8. 移動および接触プロファイルを中央で構築することの禁止

意図的であるか否かに関わらず、移動プロファイル(位置情報追跡)または接触プロ ファイル(個人を特定できる頻繁な接触パターン)が構築されるシステムであっては なりません。したがって、GPSや位置情報記録を中央で管理する方法や、データを 電話番号、SNSアカウントなどと関連付けることは、原則として許容できません。

9. アンリンカビリティ(unlinkability)

ID生成における要求として、秘密鍵がないとリンク(紐づけ)できないように設計す る必要があります。すなわち、他のデータからIDが導き出されないようにするという ことです。また、感染が疑われる瞬間にどの方法でIDが通信されていたにせよ、収集 された「接触追跡」データが、長時間に渡り紐づけされ得る可能性は排除すべきです。

10. 通信の観察不能性

システム内でメッセージの送信が(例えば通信のメタデータを介して)認識された場 合にも、ある個人が感染しているか、または感染者と接触したかは判明しないように しなければなりません。これは、他のユーザーに対してのみならず、インフラ事業者 や通信事業者、または当該システムに侵入する攻撃者に対しても確実に守られる必要 があります。

参考: 10 requirements for the evaluation of “Contact Tracing” apps

  1. Download PDF