NHSの新型コロナウイルス接触追跡アプリをめぐって大きな論争が巻き起こっている

世界が新型コロナウイルスによるロックダウン緩和に向け、接触追跡アプリの活用を検討する中、英国は異端児として位置づけられている。AppleとGoogleの共同プライバシー保護アプローチを放棄し、独自のシステムを採用した数少ない国の一つだ。そして、アプリの普及が進むにつれ、この結果は広範囲に及ぶ可能性がある。

NHSの新型コロナウイルス接触追跡アプリは、アップルとグーグルが提案した方法と似た仕組みで、Bluetoothを使用して人との距離を識別し、信号強度と近くにいた時間に応じて、コロナウイルス感染の可能性が高い場合は医師の診察や自主隔離を促す。

しかし、NHSのシステムと他国で開発されているシステムの間には根本的な違いがいくつか存在します。こうした違いから、法律およびセキュリティの専門家は、大規模監視の拡大、人権への影響、そして全体的な透明性の欠如について懸念を表明しています。同時に、技術文書には、計画されている新機能、なりすまし攻撃の潜在的なリスク、そしてこのアプリが他の開発アプリと連携できないことが示されています。中には、システムが全く機能しない可能性もあるという報告もあります。

NHSXのCEOであるマシュー・グールド氏は、ここ数週間、議員たちから厳しい質問攻めに遭っている。当局がワイト島で接触追跡アプリの試験運用を開始し、今後数週間で全国展開を開始する中で、監視が強化されている。

多くの質問は、ある重要な点に集中しています。それは、なぜ英国はAppleとGoogleが開発したAPIではなく、独自の接触追跡システムを採用することにしたのか、ということです。突き詰めれば、それはデータの問題です。英国は、アプリが収集する限られた量のデータを活用して、新型コロナウイルス感染症の発生状況を監視し、アプリ上に新たな機能を構築できると考えているのです。

AppleとGoogleのシステムとNHSが使用しているシステムには、根本的な違いが一つあります。英国は分散型システムではなく、中央集権型システムを支持しています。中央集権型システムでは、NHSが人々の行動に関するデータを収集できます（例えば、ユーザーはアプリを初めて開く際に、郵便番号の最初の部分を入力する必要があります）。

Bluetooth 方式自体は、名前や GPS 位置情報など、直接個人を特定できる情報は収集しませんが、アプリを使用するすべての電話に識別子 (InstallationID と呼ばれる) を割り当てます。

Bluetoothは周囲のスマートフォンにブロードキャスト信号（BroadcastValue）を送信し、Bluetooth信号強度と通信時間から、スマートフォン同士の距離を記録します。これらは近接イベントまたは接触と呼ばれます。誰かが症状を自己申告すると、この接触ログはNHS（英国国民保健サービス）が管理するサーバーに送信され、データベースに保存されます。AppleとGoogleのシステムにはこのデータベースがありません。分散型で、すべての近接イベントが個々のデバイスに保存されているからです。

政府は中央集権型システムを選択した目的を明確に説明していない。しかし、グールド氏はアプリで収集されるデータの活用計画について言及している。「プライバシーだけを最適化しようとするのであれば、分散型アプローチがデフォルトの選択肢になる可能性もある」と、グールド氏は最近の議会委員会公聴会で議員らに語った。重要なのは、英国が中央データベースの情報を用いて公衆衛生上の意思決定を支援するという点だ。グールド氏は、収集される近接イベント情報（発生時刻、信号強度、継続時間）と郵便番号データは、NHS（国民保健サービス）が新型コロナウイルス感染症の感染拡大状況を把握する上で役立つよう収集されていると説明した。

「中央集権的なアプローチによって、ウイルスに関する真摯な洞察をもたらし、私たちの役に立つ非常に重要なデータを収集できる可能性があると私たちは考えていました」とグールド氏は述べた。「その状況において、洞察の可能性を提供すると同時に、プライバシーの面での厳重な保護も提供するシステムを持つことが、適切なバランスだと考えました。」

当局はこのデータを用いて、どのような接触が最もリスクが高いか（1メートル離れた場所で5分間過ごすと2メートル離れた場所で15分間過ごすよりもリスクが高い）、接触パターン、そして他者との接触後に症状が現れるまでの時間などを解明したいと考えている。グールド氏によると、郵便番号データは、ある地域で多数の接触イベントが発生していることを示し、病院や医療システムに新たな感染者の増加の波に直面する可能性があると通知する可能性があるという。

イングランドのジョナサン・ヴァン＝タム副主席医務官は、収集された情報は疫学者に英国の対応策の根拠となるより多くのデータを提供するだろうと述べ、作成された「大規模な匿名データセット」は「AIと機械学習を用いて」公衆衛生上の問題を理解するために活用できると付け加えた。「集中化されたシステムがあれば、アプリ内での理解と意思決定をより容易に深めることができ、時間の経過とともに症状の精度を高めることができる」とグールド氏は述べた。当局は、アプリを動かすアルゴリズムを徐々に改良し、新型コロナウイルスの症状を自己申告した人と接触した人により正確に通知を送信できるようになることを期待している。

このデータがどれほど重要になり、英国の全体的な戦略にどのように貢献するのかは不明です。「政策決定を行うためには、傾向、特に脆弱なカテゴリー、地域差など、そしてこれらすべてが健康の歩みとどのように関連しているかについての迅速な洞察が必要です」と、デモンフォート大学のサイバーセキュリティ教授、エールケ・ボイテン氏は述べています。このアプリは、NHSと政府にとって、個人に提供するものとは異なる目的を果たしていると、ボイテン氏は指摘します。

数ヶ月、あるいは数年後のデータ利用についても懸念がある。グールド氏は、NHSシステムにアップロードされた連絡先データは技術的な理由により後から削除できないと述べている。また、コロナウイルス危機終息後も研究目的で保存される可能性がある。

データプライバシーとデータ保護の推進派は、中央集権型システムがもたらすメリットに懸念を抱いている。「分散型システムの方がプライバシー保護の面で優れていると確信しています」と、Mozillaのグローバルプライバシー、信頼、セキュリティ担当バイスプレジデントであるアラン・デイビッドソン氏は述べている。これは英国のデータ保護規制当局も支持する立場で、英国情報コミッショナーのエリザベス・デンハム氏は、分散型システムは理想的な白紙の状態である（PDF）と述べている。

「中央集権型システムは、最終的には政府に個人のソーシャルグラフへのアクセスを与えてしまう」とデイビッドソン氏は言う。個人のソーシャルグラフには、他者との人間関係やつながりが含まれる。「真の問題は、人々が求めている利益が、プライバシーリスクの増加に見合うだけの価値があるかどうかだ」

現時点では不明だ。ワイト島でのローンチにもかかわらず、英国政府は、このアプリに関連するプライバシー、人権などへのあらゆる影響を網羅したデータ保護影響評価（DPIA）をまだ公表していない。「私が政府に伝えたのは、透明性を確保し、DPIAとコードを公開し、専門家である規制当局である私たちに文書を提供して、批判的な立場で対応できるようにすることです。そして、公開された用途を遵守するよう求めています」とデナム氏は議員らに語った。

NHSXは、アプリの正式リリースに先立ち、アプリの完全なコードとプライバシーへの影響に関する文書を公開すると発表し、透明性の確保に尽力していると述べた。「専門家が何をいつ行うのかという問題がある」と、グラスゴー大学のアン・カー氏は述べている。カー氏はナフィールド生命倫理評議会の委員でもあり、アプリ開発に関する一連の未回答の質問を発表している。透明性の実現が遅すぎるという見方が一般的だ。

「パンデミックがどのように広がっているのか、資源をどう最大限に活用すべきか、そして疫学者が病気の蔓延状況を理解するために、集中管理型システムには一定の有用性がある」と、接触追跡アプリに関する詳細な法的意見を発表しているデータ権利団体AWOの弁護士兼ディレクター、ラビ・ナイク氏は言う。

彼は、英国のシステムに対する法的異議申し立てが行われるのは「避けられない」と考えている。ナイク氏は、中央集権型のシステムは有用ではあるものの、プライバシーから差別、そして自由な移動に至るまで、人権への干渉を受ける可能性が高くなると指摘する。「もし規模が大きければ、近接通知アプリは、人権への重大な干渉を可能にする非常に侵入的な監視システムよりもはるかに効果的でしょう。」

中央集権型アプリには多くのリスクが伴う。グールド氏は相互運用性について「懸念」していると述べた。現時点では、英国の中央集権型システムは、ドイツ、スイス、そして世界中の多くの国で開発されている分散型アプリと連携できない。英国のアプリを使って渡航する人が、渡航開始時と終了時に隔離される可能性も懸念される。

悪意のある人物によるこの技術の悪用についても懸念が高まっている。アプリの仕組みに関する技術論文（PDF）の中で、GCHQ傘下の国家サイバーセキュリティセンター（NCSC）のテクニカルディレクター、イアン・レヴィ氏は、攻撃者がシステムを弱体化させる方法は複数あると述べている。

これらには、少数の人としか交流しない人が、最終的にコロナウイルスに感染する原因となった人物を特定できる場合、他の人をフォローして近接イベントを作成し、誤った通知をトリガーする人、デバイスを使用して近接アラートを一箇所にブロードキャストし、一度に多数の人に影響を与える大量通知が含まれます。

NHSが集中型システムを選択した理由の一つは、こうした不正行為の特定を容易にするためです。近接イベントデータのデータベースを通じて、ある携帯電話、あるいはユーザーが他人のデバイスを操作するために使用されたかどうかを確認できるようになります。

NHSアプリは現在、位置情報データを収集していませんが、新機能が追加されないわけではありません。NHS関係者は、アプリはまだ開発の初期段階にあり、今後は他のシステムへの移行も検討していくと強調しています。セキュリティ研究者は、接触追跡アプリが「ミッションクリープ（目的の逸脱）」に陥る可能性があると懸念を表明しています。レヴィ氏の技術論文によると、将来的にはアプリ利用者からの症状報告の代わりに、「確認済み・認証済みの臨床検査」が使用される可能性があるとのことです。

グールド氏は議員らに対し、さらなる機能はユーザーの選択に基づいて提供されると述べた。ユーザーは、アプリがユーザー自身とその行動に関する追加データを収集することを許可する必要がある。「『忍び寄る』ことに対する最善の防御策は、透明性と、私たちが行うことがオープンであるという保証です」と彼は述べた。

グールド氏は、今後の展開についても示唆を与えている。「匿名の近接接触者だけでなく、接触が発生した場所の位置情報も提供していただければ、疫学的に非常に有益です」と彼は述べた。「そうすれば、特定の場所やセクターが、後に問題となる近接接触の特定の発生源であったことを把握できるようになります。」これはオプトイン制となるが、ユーザーはGPS経由でNHSアプリに自分の位置情報を知らせる必要がある。つまり、アプリは、ユーザーがセインズベリーの特定の店舗や特定の電車にいた際に、症状のある人と接触したことを認識できることになる。

中央集権型システムの大きなリスクの一つは、再識別のリスクです。これは、データを組み合わせることでユーザーが誰なのかを推測できることを意味します。「この種の大規模なソーシャルグラフには、一見無害に見えるデータでさえ分析され、特定の集団が特定されるリスクが伴います」と、レヴィ氏は技術分析の中で述べています。現在、保有されている情報はそれほど多くないため、再識別される可能性は低いと彼は述べています。

位置情報データやその他の情報がオプトインとして追加されると、状況は一変します。「グラフにデータが追加されたり、グラフと混在したりすると、リスクが生じます」とレヴィ氏は説明します。「例えば検査との連携など、他の臨床システムや記録システムへの接続はすべて、プライバシー保護ゲートウェイを介して行われます。これらの詳細は、機能設計が最終決定された時点で明らかになります。グラフノードへのデータ追加については、慎重な検討が必要です。」

マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。

WIREDによるコロナウイルス報道

😓 コロナウイルスはどのように始まり、次に何が起こるのでしょうか?

❓ 英国の雇用維持のための一時帰休制度について解説

💲 ユニバーサルベーシックインカムはコロナウイルス対策に役立つでしょうか?

🎲 自主隔離中のカップルに最適なビデオゲームとボードゲーム

👉 Twitter、Instagram、Facebook、LinkedInでWIREDをフォローしてください

この記事はWIRED UKで最初に公開されました。