州ベースの接触追跡アプリは混乱を招く可能性がある

世界各国の政府がここ数ヶ月、新型コロナウイルス感染症の接触追跡スマートフォンアプリを全国規模で導入している一方、米国はあえてそうしていない。米国内でのコロナウイルス感染者への曝露を検知するためのアプリは、州ごとに導入される見込みで、しかも、それらは統一される可能性は低い。

GoogleとAppleが先週、AndroidとiOS向けの接触通知APIを正式にリリースした際、その発表には、同社のBluetoothベースのシステムを統合するアプリをすでに構築しているアラバマ州、ノースダコタ州、サウスカロライナ州の3州からの声明が含まれていた。

しかし、疾病対策センター（CDC）も保健福祉省も、その他の米国連邦政府機関も、新型コロナウイルスの接触追跡アプリを全国規模でリリースする可能性はますます低くなっている。ドナルド・トランプ大統領の義理の息子、ジャレッド・クシュナー氏が率いるホワイトハウスの新型コロナウイルス感染症対策本部の審議に詳しい人物は、匿名を条件にWIREDの取材に対し、「接触追跡アプリのようなものを国家レベルで構築しようとする取り組みは、私の知る限りありません」と述べている。「検査と経済再開の計画と同様に、それは各州に押し付けられているのです」

タスクフォースのもう一人のアドバイザー、アンディ・スラヴィットはオバマ政権でメディケアとメディケイドの政策を主導し、クシュナー氏に提言したと報じられている。彼はWIREDに対し、接触追跡スマートフォンアプリはほぼ確実に州政府に委ねられるだろうと語った。「連邦政府は、接触追跡アプリを運用するための最善かつ最も効率的な方法を検討する責任を負いたがっているとは思えません」とスラヴィットは言う。「連邦政府が行っている他のあらゆることと同様であれば、州政府に責任を負わせようとするでしょう」。CDCとHHSは、全国規模のCOVID-19追跡・通知アプリの立ち上げ計画についてWIREDのコメント要請に回答しなかった。

「州レベル、あるいはウェスタン・パクトのような州連合体で行われる場合、問題はセキュリティと相互運用性になります」と、連邦取引委員会の元主任技術者で、新型コロナウイルス感染症の追跡・通知アプリの分析に携わってきたアシュカン・ソルタニ氏は語る。「各州がこれを統合しようとすると、商業組織が構築するリスクがあり、システムのバックエンドが安全でなかったり、信頼性に問題が生じたりするでしょう。」

接触追跡アプリによるプライバシー侵害の可能性は、すでに十分に実証されています。ノースダコタ州のアプリは、FoursquareやGoogleの広告システムとデータを共有していたことが判明しました。インドの接触追跡アプリは、GPS位置情報を偽装することで、新型コロナウイルス感染症（COVID-19）に感染したユーザーの一部の居場所を特定することができました。また、カタールの接触追跡システムの欠陥により、健康状態や位置情報を含む数十万人分のユーザーの個人情報が漏洩しました。

ソルタニ氏は、セキュリティとプライバシーの問題に関して、国レベルのアプリ一つ一つを監査するのではなく、州レベルの接触追跡システムや曝露通知システムそれぞれについて、個別に同様の問題について精査する必要があると述べている。そして、それぞれのシステムにおいて、その実装の細部にこそ問題が潜んでいるのだ。

例えば、GoogleとAppleのBluetoothベースのシステムは、アプリ開発者に比較的プライバシー保護に配慮したアプローチを提供しています。スマートフォンから位置情報を一切収集せず、新型コロナウイルス感染症（COVID-19）の陽性と診断されたことを自発的に申告していないユーザーのスマートフォンからは一切情報を収集しません。大多数のユーザーについては、アプリを運営する組織のサーバーに情報がアップロードされることはありません。

しかし、新型コロナウイルス感染症の患者がシステムを通じて陽性と自己申告すると、アプリは、過去2週間にスマートフォンがBluetooth経由で他のユーザーに送信した一連のローテーションコードをアップロードします。これらのコード自体は識別情報ではありませんが、アプリ開発者は、感染者の特定に利用される可能性のある新型コロナウイルス感染症患者のスマートフォンのIPアドレスを収集しないよう注意する必要があります。また、例えばサーバーへのサービス拒否攻撃を防ぐためなど、IPアドレスを収集する場合でも、データを長期間保存したり、漏洩させたりしないよう注意する必要があります。

こうした実装上の問題は、一部の州がGoogleとAppleが設計したシステムではなく、位置情報を集めるシステムを採用することを選択した場合、さらに深刻化する。ユタ州で導入された接触追跡アプリもそうである。そうなれば、数百万人の移動に関する機密情報を保護する責任が州政府機関に転嫁される可能性がある。「50もの州保健局が、連邦政府機関1つと同じくらい確実にこの業務を行えるとは到底思えません」と、接触追跡アプリと曝露通知アプリのセキュリティを分析してきたジョンズ・ホプキンス大学の暗号学者、マシュー・グリーン氏は述べている。

グリーン氏は、より根本的な問題として、州ごとに異なるシステムを採用することで、各州がそれぞれ異なる互換性のないシステムを使用する可能性が高まり、ユーザーが州境を越えた場合に新型コロナウイルス感染症への曝露イベントを見逃してしまう可能性があると主張している。「もし私がニューヨークにいて、ニュージャージー州から多くの人が流入してきたら、大きな問題になりそうです」とグリーン氏は付け加える。「これはネットワーク効果とは正反対です。」

グリーン氏は、2つの州のアプリがGoogleとAppleのプロトコルを両方使用すれば、相互運用性の問題はより管理しやすくなると指摘する。両州は、COVID-19陽性ユーザーがアップロードした固有のコードを共有するだけで、どちらの州でもBluetoothで接触した人に警告を発することができる。AppleとGoogleは、複数の州のアプリを同じバックエンドサーバーインフラ上で動作するように設計することも示唆している。

しかし、ユタ州のようにある州が位置情報ベースのシステムを採用し、他の州がBluetoothベースのシステムを採用している場合、あるいはある州がGoogleやAppleのような分散型のBluetoothベースのシステムを採用し、別の州がオーストラリアやシンガポールのような国が導入している中央集権型モデルを採用している場合、相互運用性は崩壊します。「分散型アプリの相互運用性を実現するのは非常に簡単です」と、スタンフォード大学教授で分散型曝露通知システムCovidWatchのエグゼクティブディレクターを務めるクリスティーナ・ホワイト氏は言います。「各州が異なることをしていて、一部は分散型、一部は中央集権型で、それぞれが異なるプロトコルを使用している場合、それは難しくなります。」

ボストンの通りを歩く男性

MIT発の非営利団体Pathcheckによるもう一つの接触追跡アプリプロジェクトは、現在12の州、あるいは複数の州にまたがる「管轄区域」（複数の州にまたがる地域）と、これらの地域への接触追跡アプリまたは曝露通知アプリの導入について協議中だと述べています。しかし、同グループの創設者の一人であるMIT教授ラメシュ・ラシュカー氏は、自身が話を聞いた機関のほとんどが、GoogleとAppleが開発したBluetoothベースのシステムよりも、位置情報ベースの接触追跡アプリに関心を示していると述べています。そして、標準規格が確立されるまでは相互運用性の問題が生じる可能性があるとラシュカー氏は認めています。「現時点では相互運用性に関して混乱が生じると予想していますが、より多くのソリューションを展開していく中で、問題は解決していくでしょう」とラシュカー氏は付け加えています。

いずれにせよ、接触追跡アプリと曝露通知アプリは、せいぜいアメリカ人が通常の生活に戻るのを助けるツールの一つに過ぎない。オバマ政権時代の保健医療担当大臣だったスラヴィット氏は、例えばこれらのアプリは、手作業による接触追跡と広範囲にわたる検査に大きく依存する全体像の「10～20%程度」に過ぎないと考えている。

しかし現在、米国には全国規模のアプリが存在しない。そのため、分断化は、新型コロナウイルス感染症の警報・追跡アプリの比較的控えめな役割でさえ、新たな障害となる恐れがある。州が標準規格で合意するか、システム間の相互運用性を確立するまでは、米国の地図上のあらゆる線が、本来であれば世界的なパンデミックの影響を緩和するのに役立つはずの技術に対する新たな制約となる可能性がある。

追加レポートはフレッド・ボーゲルスタインが担当しました。

WIREDのその他の素晴らしい記事