日本国は巨大プラットフォーマーに負けたのか?――Apple、GoogleのAPIを採用して作った新型コロナウイルス感染症(COVID-19)接触確認アプリは最適なのか、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が適度な距離を保って議論した。※本稿は2020年6月10日に収録したオンラインセミナーの内容に加筆修正を加えたものです
厚生労働省が2020年6月19日に公開した新型コロナウイルス感染症(COVID-19)接触確認アプリ「新型コロナ接触確認アプリ(COCOA)」。日本はApple、Googleを信じるしかないのか、日本独自の代替案はないのか――。
本稿は、公開直前の2020年6月10日に収録し、6月24日に配信したオンラインセミナー「@IT Security Live Week」の「プライバシーフリーク・カフェ リモート大作戦!」のイベントレポート完全版である。
プライバシーフリーク・カフェ(PFC)は、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。
山本一郎(以降、山本) 海外の事例だと、中国のトレーシングツール、プロセスはかなり強烈なものが回っているという報道だけはありますが、実態についてはきちんと説明がされていないよう思えるのですがいかがでしょうか。
高木浩光(以降、高木) 報道はいろいろ見ましたけれども。日ごろからある監視カメラだとか、クレジットカードの利用記録を活用するとか。
板倉陽一郎(以降、板倉) 地下鉄のトレーシングを見たら、QRコードが貼ってあって。貼れという法的な義務があるんでしょうけど、超ハイテクというよりはみんなでピッピッてやっている。義務付けはされているけれども、異様なテクノロジーを使っているというよりは、思い付くものを強制的にやらせているという感じでしたけれども。
山本 中国の場合は、社会システムとして統治のために動かしている仕組みを総動員して、やれることを全部やっていこうという力技で封じ込めているようにも見えますし。中国はそれこそAPI提供とは別の側面で、社会全体で国民情報を管理していくという中で、ある意味、全力でデータを取りに行って、全力で運用していくというところがあると思いますが。
高木 今回、このたぐいの話が持ち上がってすぐ、EUのEDPB(欧州データ保護会議)が声明を出しました。そこに書かれていたことは、あくまでも今回のCOVID-19対策のためにやるものだということ、期限を切ってやるべきであるとの指摘です。
懸念されているのは、これを機に国民監視システムが構築されて、その後も政治的に使っていく国が出かねないということ。ずるずるとやることにならないよう、しっかりと分けていかないといけません。日本政府は大丈夫だと思いますが、そこを意識しているかどうか。先ほども目的外利用の話をしましたけれども、有識者検討会合の評価書には、本件の目的以外に使わないこと、と書かれており、例として「刑事及び民事事件の証拠収集」のために使用しない、させないことと具体的に書いてありました。
ちょっと話を戻しますが、AppleとGoogleについて報道では、「巨大プラットフォーマーに負けた」とか、EUと米国プラットフォーマー事業者の対決みたいな報道もありましたね。EUの国々では、当初から独自にBluetoothを使ったシステムを作っていて、「集中型」で設計していたと。「集中型」というのは、公衆衛生当局に全部IDが送られて、どのIDとどのIDが接触したかのマッチングも政府側で処理して、連絡や通知をする仕組みだったわけです。
これに対するAppleとGoogleは「分散型」と呼ばれる方式で、IDはスマホにため込まれて、マッチングはスマホ内部で処理するというもの、政府のサーバには感染者が登録した際のIDだけが行くようにしたというものです。「集中型」には批判の声が相次いで、AppleとGoogleの方式に変更する国も出てきました。
それを報道するときに、「巨大プラットフォーマーの影響力」みたいな言い方がされていたのを見ましたけど、それは違うだろうと。つまり、ここ数年言われていた「巨大プラットフォーマー」うんぬんは、位置情報や閲覧履歴とかの個人データを保有していて市民のプライバシーの脅威だとの論調で、今回もその延長みたいな報道があったわけです。
しかし、むしろ逆だと。AppleとGoogleは、ストイックにCOVID-19対策のためだけにOSに手を入れたわけで、しかも期間限定と言っています。パンデミック(世界的大流行)が収まったらOSアップデートして機能を消す予定なわけですよ。本当にそのためだけにやっているのに、そんな報道のされ方をしてしまう。NHKも「プラットフォーマーへの批判も」という見出しでしたね。
山本 何かあったかなと逆に心配になっちゃいましたよ。
高木 報道は「巨大プラットフォーマー」と言いたいのでしょうけど、実際は万全に作られているので批判できない。ただ、先ほど触れた、内閣府副大臣の平議員の記事によると、日本ではもともとCode for Japanという非営利団体が、接触の回数を表示する機能を中心に作っていたといういきさつがありまして。
行動変容を促すために濃厚接触者数を表示する機能をメインにしようとしていたのですが、AppleとGoogleがその機能を提供しなかった。そこで日本政府は「その機能を入れてくれ」とAppleやGoogleに交渉していると説明されていました。そこを捉えて、AppleやGoogleの方が政府よりも強い、的な報道がされています。
山本 実際そういうのは、Bluetoothを使って、距離的なものを測りながらもノイズもたくさん出ると思います。信号待ちで隣に止まったバイクの運転手や、集合住宅で廊下を通るだけで濃厚接触と取られることもあり得る。それを考えていくと、やはり接触回数で行動変容を促すというのはさしたる効果はないのではないかと思ってしまいます。
高木 私が思うに、技術的に完全に実現できないから入れないのではないか――というのは、BluetoothのIDは誰でも発信できるんですよ。アプリに暗号鍵を入れてなりすませないようにしても、アプリに鍵が入っている以上はそういう対策は無理です。だから、妨害は常に起こり得るわけです。そうすると、妨害でBluetoothのIDがばんばんまかれていると、みんな接触したように見えてしまいます。このシステムは、感染者の登録の場面で陽性の診断が出た人しか登録できないようにすることで、妨害を回避しているのですね。
接触者数を表示する機能はそういう技術的不完全性もあるのでAppleやGoogleは採用しないのだと思います。彼らは世界最高峰のプライバシー配慮ができるエンジニア集団になっていますから、そういった事情を踏まえて、要望を受け入れないのではないかと思います。
山本 われを信じよ、という部分もありますね。怖いけど信じるしかない。
Copyright © ITmedia, Inc. All Rights Reserved.