NHSアプリは匿名ではないが、あなたが誰であるかを判断するために追加の情報が必要になる。
ワイヤード
ワイト島では、NHSの接触追跡アプリが効果を上げている。イングランドの最高データ責任者によると、毎日約25人が携帯電話で新型コロナウイルス感染を報告し、検査を受けており、5万人以上がダウンロードしているという。
しかし、亀裂が生じ始めている。島のFacebookグループには、アプリが正しく動作しているのか、自分の古いスマートフォンで使えるのかと疑問を抱く人々が溢れている。人々はデータのプライバシーを懸念している。また、自動的にリスクスコアを付与するアルゴリズムや、アプリの本来の目的についても疑問が投げかけられている。
その結果、英国政府は、中央集権型のアプリから、AppleとGoogleが提案する分散型モデルへの移行を否定していない。「アプリを変更する必要があれば、変更します」と、コミュニティー担当大臣のロバート・ジェンリック氏は述べている。すでに2つ目の接触追跡アプリの開発が始まっている。
アプリに関する当初の技術的な疑問は、ほぼ解決しました。保健サービスの新たな技術部門であるNHSXは、5月7日にiOS版とAndroid版の両方のアプリのソースコードを公開しました。現時点ではフロントエンドのみが含まれており、NHSサーバーで何が行われているかというバックエンドの情報はまだ公開されていません。しかし、これにより、アプリがiPhoneで正常に動作しないのではないかという懸念はほぼ解消されました。
ソフトウェア会社Reincubateの分析によると、NHSの開発者はアプリの動作を保証するために巧妙なエンジニアリングを採用していることが明らかになった。ソースコードが公開される前、AppleはNHSが採用した手法は新しく実証されていないものの、重要な点として同社の利用規約には一切違反していないと述べていた。(AppleとGoogleを敬遠していたオーストラリアも、iOSデバイスを正常に動作させるのに苦労している。)
人々がアプリを利用するには、信頼が不可欠です。英国の中央集権型接触追跡アプリ(Bluetoothデータと郵便番号情報を統合して一つのデータベースに保存)の最大のリスクの一つは、利用者やその周囲にいた人物が特定されるリスクです。しかし、こうした懸念はどれほど現実的なのでしょうか?
このアプリ自体は、明らかに個人の身元を明らかにするような情報を収集しません。メールアドレスや氏名を提供する必要はなく、GPSデータも収集されず、スマートフォン内の多くのデータへのアクセスも要求されません。マット・ハンコック保健相は、このアプリは新型コロナウイルスの症状を訴える人の近くにいた人々に「匿名で」通知すると述べています。また、アプリが人々のデータをどのように取り扱うかを概説した法的文書であるデータ保護影響評価(DPIA)でも、このシステムは匿名であると言及されています。
しかし、データ保護法の下では、このアプリは匿名ではありません。GDPRと英国のデータ保護規則では、「個人データ」を個人を特定できるものと定義しています。GDPRでは、携帯電話に割り当てられた識別子も個人データとみなされる可能性があります(過去には、個人のIPアドレスが個人データとみなされたことがあります)。NHSアプリのBluetoothログシステムは位置情報やその他のデータを収集しませんが、アプリを使用するすべての携帯電話に識別子(InstallationIDと呼ばれる)を作成します。これは、個人の特定につながる可能性のある情報とみなされます。
「NHSXアプリは、主に匿名の個人データではなく仮名の個人データを処理するため、ユーザーの匿名性を維持していません」と、ユニバーシティ・カレッジ・ロンドンのデジタル権利と規制の講師であるマイケル・ヴィール氏は、NHSアプリの分析の中で述べている。「匿名情報とは、個人データではない情報のみです。」
この分析は査読を受けていないが、文書を読んだ複数のデータ保護専門家は、「匿名」の使用は誤りであることに同意している。アプリのDPIA(データ保護に関する法律)は、データが少なくとも法的な意味では匿名ではないことを認めている。仮名化された個人データが使用されるかどうかを問うセクションでは、開発者は「個別化」のプロセスが用いられ、携帯電話に付与されるIDは個人の身元を明らかにするために追加のデータを必要とすると述べている。DPIAは、完全に個人を特定できる個人データが使用されるかどうかを問うている。NHSは「いいえ」と回答し、「データは、ユーザーを直接特定できるような方法で処理されることはありません」と述べている。
「重要なのは、機能の拡張性です」とヴィール氏は言う。彼はDP-3T接触追跡プロジェクトに携わっており、代替となる分散型システムの構築に取り組んでいる。「中央集権型システムでは、パスポートブース、オイスターカードリーダー、CCTVカメラなど、身元確認が必要な場所にセンサーを設置することで、たとえアプリのアップデートがなくても、本人確認から常にわずかな距離を歩み寄ることができます。分散型アプリではそうではありません。」
ヴィール氏の分析では、NHSアプリが生成するインストールIDによって個人が特定される可能性のある3つの方法が示されている。1つ目は、オイスターカードリーダーなどの追加センサーを用いて、個人のIDとスマートフォンで使用されているアプリを照合する方法だ。2つ目は、ある人物が旅行中に、アカウントに異なる郵便番号が紐付けられたアプリを使用している多数の人物に遭遇する。その人物は、それらの地域の人々とのやり取りに基づいて、NHSデータベースに登録される。3つ目は、NHSが発行するインストールIDは、警察がフォレンジックツールを用いてスマートフォンから情報を削除することで抽出できる可能性があるとヴィール氏は述べている。
「確かに、ヴィール博士が提起した再識別リスクの一部は妥当性があるように思われます」と、法律事務所ミシュコン・デ・レイアのデータ保護アドバイザー、ジョン・ベインズ氏は述べています。「特に、ヴィール博士の分析は具体的な懸念を提起しており、特に『匿名』という用語の不正確で誤解を招く可能性のある使用については、国務長官が対処する義務があると感じています。」NHSの法的文書では、一貫して匿名ではなく仮名を使用するべきだと述べるあるサイバーセキュリティ専門家は、言及されている識別問題の一部には、インフラへの大幅な開発と投資が必要となり、別途法的問題が生じるだろうと付け加えています。また、アプリのドキュメントやソースコードの公開に理想よりも時間がかかったにもかかわらず、NHSは約束したことを概ね実行していると付け加えています。
「NHSXアプリのデータは、個人の身元を明らかにする『可能性がある』」とヴィール氏は述べている。「NHSXがこれを意図しているかどうかは、法的な観点からは重要な問題ではない。問題は、それが合理的に可能かどうかだ」。分析ではまた、新型コロナウイルスの症状を自己申告した人と接触した個人にシステムが通知を送信する方法について、「有効な法的根拠」がないとも述べている。アプリ内で通知を受け取った個人のステータスは、ウイルスに感染している可能性に基づいて、黄色または赤色に変化する。これは「自動処理」、つまり機械が個人に関する判断を下すことによって自動的に決定される。NHS DPIAには、NHSリスクスコアリングアルゴリズムへの言及が含まれているが、その詳細はまだ公表されていない。
保健省は、全国展開に先立ち、アプリで使用される用語を明確にするかどうかを問うコメント要請に応じなかった。英国国立サイバーセキュリティセンターのテクニカルディレクター、イアン・レヴィ氏は、アプリの分析の中で、「匿名」という言葉はセキュリティの観点からは使用できるものの、GDPRでは使用できないと主張した。しかし、レヴィ氏は、システムが現在修正している情報から個人が特定されるリスクについても否定している。
「再識別リスクを引き起こすほどのデータはここにはありません」とレヴィ氏は書いている。「グラフにデータが追加されたり、グラフと混ざったりするにつれて、リスクは高まります。」現在、英国のアプリは他のシステムとデータを連携させていません。しかし、将来的には変更される可能性があります。アプリの開発者は、今後さらに多くの機能を組み込む予定だと述べている。NHSXの責任者であるマシュー・グールド氏によると、これには位置情報データも含まれる可能性があるとのことですが、そのためにはユーザーの同意が必要になります。
新型コロナウイルスのアウトブレイクが発生する可能性のある地域を特定するために、現在のアプリを活用する計画がある。これは、AppleやGoogleが採用したモデルではなく、英国政府が選択した中央集権型のシステムを採用することでのみ可能となる。グールド氏は、アプリ利用者から提供される郵便番号データは、当局が新型コロナウイルス感染症の「ホットスポット」を特定し、そのデータを用いて対応策を調整するのに役立つと述べた。このアプリの仕組みや、地域的な傾向を把握することの潜在的なメリットに関する詳細な計画は、政府もNHSもまだ公表していない。
市民の自由を擁護する団体「プライバシー・インターナショナル」の事務局長であり、NHSアプリの倫理委員会にも所属するガス・ホーシン氏は、このアプリをめぐる議論は「プライバシー vs. パンデミック」ではないとツイートした。彼はこう述べている。「重要なのは、テクノロジーは難しいということです。そして、設計と導入においては難しい選択がなされました。それらは正しかったのでしょうか?もし間違っていたとしたら、私たちは方針を変えることができるのでしょうか?それとも、私たちはただ自分たちの素晴らしさと善意を誇示するだけなのでしょうか?」
「DPIAは、データが研究に価値があり、将来のある時点で他のデータセットにリンクされる可能性があることを明確に述べています」と、コンサルティング会社Protectureのプライバシーとデータ保護の専門家であるロウェナ・フィールディング氏は述べています。「DPIAでは、データのリンクや二次利用は適切なガバナンスと管理体制の下で行われると保証されていますが、この主張を額面通りに受け取ることはできません。明確な説明責任の線引き、リンクやエクスポートの要求を評価するプロセス、そして強力な保証監視によって裏付けられる必要があります。」
フィールディング氏は、アプリから個人が再識別されることの最大のリスクの一つは、純粋に技術的なものではなく、「人的リスク」だと付け加える。「アプリの目的と機能を拡大するよう求める政府からの圧力、あるいは将来の政府からの圧力、雇用主が継続雇用の条件としてアプリの使用を義務付けること、アプリの機能に関わる様々な第三者に対する不十分な管理などです」とフィールディング氏は述べる。「プライバシーの問題を抱えているにもかかわらず、集中型アーキテクチャを採用していることは、新型コロナウイルス感染症の接触追跡以外の目的でアプリを活用する意図(実際の計画ではないにせよ)があることを示唆しているように思われます。」
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
WIREDによるコロナウイルス報道
🏘️ 介護施設の破綻こそが真のコロナウイルススキャンダル
🔒 英国のコロナウイルスによるロックダウンについて解説
❓ 英国の雇用維持のための一時帰休制度について解説
💲 ユニバーサルベーシックインカムはコロナウイルス対策に役立つでしょうか?
👉 Twitter、Instagram、Facebook、LinkedInでWIREDをフォローしてください
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
