EUのプライバシー専門家が新型コロナ接触追跡において分散型アプローチを推進

欧州のプライバシー専門家グループがBluetoothベースの新型コロナウイルス（COVID-19）の接触追跡のための分散型システムを提案した。このシステムは、データを集中管理するために局所に取り組むアプリよりも、より強力に不正使用や悪用からデータを保護することができると、グループは主張している。

グループが分散型プライバシー保護近接追跡（DP-PPT）と名付けたこのプロトコルは、スイス連邦工科大学チューリッヒ校、ベルギーのルーヴェンカトリック大学をはじめとする、欧州全土の7つ以上の研究機関の学者約25名によって設計された。

グループは、こちらでDP-PPTアプローチについて記載したホワイトペーパーを公開している。

このホワイトペーパーで重要なのは、この設計には、短期間のBluetooth識別子（ホワイトペーパーではEphIDと呼ぶ）を生成および共有するデバイスに基づいた、ユーザーのデバイス上における接触追跡とリスクに対するローカル処理が伴うという点である。

データをデバイスにプッシュするためには、バックエンドサーバーを使用する。つまり、感染者が新型コロナウイルス感染症と診断されると、保健当局が感染者のデバイスから感染期間中のEphIDの簡易表示をアップロードすることを認可する。アップロードされたデータは他のユーザーのデバイスに送信され、リスクの有無がローカルで計算され、適宜ユーザーに通知される。

この設計では、プールされたデータによってプライバシーリスクをもたらすような匿名化IDの集約を必要としない。そのため、システムを信頼してこのプロトコルを使用する接触追跡アプリを自発的にダウンロードするようにEU市民を説得することも容易になるだろう。これは、国家による個人レベルの監視には転用し難い設計であるからだ。

グループでは、ローカルで交換されたデータを盗聴したり、アプリを逆コンパイル/再コンパイルして要素を改変するなど、技術に精通するユーザーによって発生し得るその他の脅威についても議論している。包括的な論点は、「監視の忍び込み」（つまり、国家が公衆衛生上の危機に乗じて市民レベルの追跡インフラストラクチャを確立・維持するのではないかということ）につながる危険性のあるデータの中央集中型システムと比較して、こうしたリスクはより小さく管理しやすいということだ。

DP-PPTは、使用目的が限定され、公衆衛生上の危機の終結後は廃止することを考慮に入れて設計されている。

EPFL（スイス連邦工科大学ローザンヌ校）のCarmela Troncoso（カルメラ・トロンコソ）教授は次のように記している。「DP-PPTプロトコルは、プライバシーが保護された近接追跡アプローチが可能であり、国または組織がリスクと不正使用を支持する手法を受け入れる必要がないということを示しています。法律によって厳密な必要性と妥当性が求められ、近接追跡の基盤として社会的サポートがある状況では、この分散型設計で、不正使用されることのない近接追跡の実行手段を提供できるのです」。

ここ数週間、欧州各国の政府が、新型コロナウイルスを追跡するさまざまな目的でユーザーデータを引き渡すようデータ管理者に迫っている。また、研究者が新型コロナウイルスに対抗するうえで役立つという症状報告アプリなど、民間企業によって複数のアプリが市場に投入されている。大手テクノロジー企業は、公的医療目的と主張してインターネットユーザーの永続的な追跡を再度パッケージ化するためのPRの機会をうかがっているものの、実際の用途は不明瞭だ。

通信会社によるメタデータの取得は、市民の追跡ではなく、新型コロナウイルス感染症の蔓延のモデル化を目的としていると、ECが発言

欧州委員会は、新型コロナウイルス感染症のパンデミックによって引き起こされた公衆衛生上の緊急事態への対処の一環として、集約されたユーザーの位置情報を共有するようヨーロッパの通信会社に求めている。「欧州委員会は、集約され匿名化された携帯電話の位置データの提供について携帯電話事業者との議論を開始した」と本日発表した。

新型コロナウイルスに関する次の大きな技術推進は、接触追跡アプリである可能性が高い。接触追跡アプリは、近接追跡Bluetoothテクノロジーを活用して、感染者と感染していない人々との間の接触をマッピングするアプリだ。

これは、何らかの形式で接触追跡を実施しなければ、人々の動きを抑制することでなんとか低下させた感染率が、経済活動や社会活動が再開された後、再び上昇するリスクがあるからである。ただし、接触追跡アプリが政策立案者や技術者の望み通り、新型コロナウイルス感染症の封じ込めに有効であるかどうかについてはまだ疑問が残る。

ただし、現時点で明確なのは、設計上プライバシーを考慮して慎重に設計されたプロトコルがなければ、接触追跡アプリによってプライバシー、すなわち、人々の居場所など、やっとのことで手に入れた人権に対するリスクが実際に生じるということだ。

新型コロナウイルス感染症との闘いという大義名分で権利を踏みにじることは、正当でもなく、その必要もないというのが、DP-PPTプロトコルを支持するグループの真意だ。

ユニバーシティ・カレッジ・ロンドンのMichael Veale（マイケル・ビール）博士は次のように述べている。「集中化に伴う大きな懸念事項の1つは、システムが拡張可能であり、国家が誰と誰が近しい関係にあるというソーシャルグラフを再構築できるため、それに基づいてプロファイリングやその他の規制に展開できるという点である。このデータは、公衆衛生以外の目的で法執行機関や情報機関によって勝手に使用される可能性があるのです」。博士は分散型設計の支持者でもある。

「一部の国ではこれに対して有効な法的保護措置を講じることができるかもしれませんが、欧州に集中型プロトコルを導入することで、近隣諸国は相互運用を余儀なくされ、分散型システムではなく集中型システムを使用せざるを得なくなります。逆の状況も当てはまります。分散型システムでは、他の国々がプライバシー保護アプローチを確実に使用することで、世界全体で新型コロナウイルス感染症のBluetoothに基づく追跡を監視目的で不正使用することに対する厳しい技術的制限が課されます」。

博士は近接データの集中化について次のように付け加えた。「集中化はまったく不要です。設計によるデータ保護では、目的に必要なデータのみを使用するように、データを最小限に抑えることを義務付けています。データの収集や集中化は、Bluetoothの接触追跡には技術的にまったく不要なのです」。

4月上旬、TechCrunchではドイツのフラウンホーファーHHI研究所が指揮する、技術者と科学者で構成される別の団体によるもう1つのEUにおける取り組みに関する記事を公開した。その記事では、汎欧州プライバシー保護近接追跡（PEPP-PT）という名称の、新型コロナウイルス感染症接触追跡に関する「プライバシー保護」標準の取り組みについて報告した。

記事を公開した時点では、このアプローチについて、匿名化IDの処理で集中型モデルのみに用途が固定されるかどうかは明らかになっていなかった。今回TechCrunchに語ってくれた、PEPP-PTプロジェクトの共同創始者の1人であるHans-Christian Boos（ハンス・クリスチャン・ブース）氏は、標準化の取り組みにおいて、接触追跡の処理で集中型アプローチと分散型アプローチの両方をサポートすることを認めた。

この取り組みは、EUのプライバシーコミュニティの一部から分散型アプローチではなく集中型アプローチにとって有利になると批判されている。批評家たちは、ユーザーのプライバシーを保護するという主要な主張が損なわれると強く反発している。しかしながら、ブース氏によると、この取り組みは世界中におけるデータの取り込みを最大化するために、実際に両方のアプローチに対応している。

また、ブース氏はデータが集中化されているか分散化されているかにかかわらず、相互運用可能であると述べている（ブース氏は、集中化シナリオでは、PEPP-PTを監督するために設立された非営利団体が（資金調達については懸案中であるものの）、集中型サーバー自体を管理できることが望まれる。これは、人権のための体制が整っていない地域などでのデータ集中化によるリスクをさらに軽減させるためのステップであると述べている）。

「集中化と分散化、両方の選択肢があります」と、ブース氏はTechCrunchに語った。「ニーズに応じて両方のソリューションを提供し、提供したソリューションを運用していきます。しかしながら、私がお伝えしたいのは、どちらのソリューションにもそれぞれメリットがあるということです。暗号学のコミュニティからは分散化を望む声が多く、一方医療コミュニティからは、感染者に関する情報を所有する人が多くなり過ぎることを懸念するため、分散化に反対する声が多くあります」。

「分散型システムでは、感染者の匿名IDをあらゆる人にブロードキャストすることになるという基本的な問題があります。そのため、一部の国の医療関連の法律では完全に禁止されています。暗号化手法を導入しているとはいえ、IDをあちこちにブロードキャストすることになります。これは、接触の有無を特定する唯一の手段が、ローカルの携帯電話であるからです」とブース氏は続ける。

「これは、分散型ソリューションの欠点です。その他の点は申し分ありません。集中型ソリューションには、単一の運用者が匿名化IDへのアクセス権を持つという欠点があります（ユーザーはその運用者を信頼するかしないかを選択できます）。これは、匿名化IDがブロードキャストされている場合とほとんど変わらないといえます。そのため、問題は、1人の関係者に匿名化IDへのアクセス権を持たせるのか、このアクセス権を全員に持たせるのかということになります。これは、最終的にはネットワーク経由で匿名化IDをブロードキャストすることになるため、なりすましにつながることがあるためです」。

「誰かが集中型サービスをハッキングできる可能性があると仮定すると、その誰かはサービスが経由しているルーターもハッキングできるということも考慮する必要があります。問題点は同じなのです」とブース氏は付け加えた。

「そのため、私たちはどちらのソリューションも提供します。どちらかを信奉しているというわけではありません。どちらのソリューションでも適切なプライバシーを提供しています。問題点は、どちらについてもどの程度信頼するか決めなければならない、ということです。データをブロードキャストする対象の大勢のユーザーか、サーバー運用者か、どちらをより信頼すべきでしょうか。または、ルーターがハッキングされる可能性があるという事実か、サーバーがハッキングされる可能性があるという事実か、どちらを信頼すべきでしょうか。どちらを信頼することもあり得ます。両方とも至極もっともな選択肢です。暗号化コミュニティの人々の間では、宗教染みた議論であるともいえます。ただし、暗号化で求められる内容と医療で求められる内容の間でバランスを取らなければなりません。そして、私たちはどちらを選択すべきかを決定できないため、両方のソリューションを提供することにしました」。

「私は選択肢は必要であると考えています。国際基準の策定を目指しているのであれば、宗教じみた争いは排除しなければならないためです」。

また、ブース氏は、このプロジェクトの目的は、各データへのアクセスに基づいてリスクを比較し、リスク評価を実施するためにそれぞれのプロトコル（集中型と分散型）を研究することだとも述べている。

「データ保護の観点からすると、当該データは完全に匿名化されています。これは、位置情報、時間、電話番号、MACアドレス、SIM番号のうち、どれも付属していないためです。明らかにされている唯一の要素は接触、つまり、2つの匿名ID間に問題となる接触があったということです。わかるのはそれだけです」と、ブース氏は述べている。「コンピュータサイエンティストやハッカーに対して問いたいのは、彼らに接触に関するリストやグラフを提供した場合、それからどのような情報を得られるのか、という点です。グラフでは、情報は相互に結ばれた数字にすぎません。問題はどのようにしてグラフから何らかの情報を導き出すのかということです。コンピュータサイエンティストやハッカーは今それに取り組んでいます。どのような結果が得られるか見守りたいと思います」。

「この議論については正当性を主張しようとする人が大勢います。これは正当性に関する議論ではありません。正当なことを実行することに関するものです。つまり、私たちは、このイニシアチブで適切な選択肢であればどんなものでも提供します。また、集中型にも分散型にも欠点がある場合は、それを公表します。そして、できる限り、その欠点について確証を得たり、それについて研究したりしていきます。各システムの特性を公表し、人々が地域のニーズに合ったタイプのシステムを選択できるようにします」とブース氏は付け加えた。

「一方のシステムが運用可能で、もう一方が完全に不可能であると判明したら、運用が不可能な方を廃止します。これまでのところどちらも「プライバシー保護」という観点から運用可能であるため、両方とも提供する予定です。ハッキングや、メタ情報の取得が可能であり、許容できないリスクが明らかになったため、運用不可能であると判明したシステムについては、完全に廃止して提供を止めます」。

ブース氏が「課題」と述べていた相互運用性については、氏によると各IDを計算する仕組みについて最終的な調整段階に入った。ただし、ブース氏は相互運用性については引き続き取り組みが進行中であり、相互運用性は必要不可欠な要素だと強調した。

「相互運用性がなければ、システム全体が意味を成さなくなります」とブース氏は述べる。「なぜまだこの相互運用性を得ることができないのかは課題といえますが、私たちはこの課題を解決しつつあり、まちがいなくうまくいくでしょう。相互運用性を機能させるためのアイデアはたくさんあるのです」

「すべての国が相互運用を行わないとすれば、もう一度国境を越えて連携する機会は訪れないでしょう」とブース氏は付け加えた。「ある国にデータを共有しない複数のアプリケーションがある場合、感染追跡の実現に必要となる大規模な参加者を集めることはできないでしょう。また、プライバシーに対する正しい取り組みについて単一の場で十分に議論しないと、そうした正しい取り組みはまったく浸透しないでしょうし、他人の電話番号や位置情報を使用する人々も少なからず現れるでしょう」。

PEPP-PTの連合グループはまだプロトコルやコードを公表していない。つまり、参加を望む外部の専門家が、レビューを行うために必要なデータを入手できていない。そうした専門家は、規格案に関連する具体的な設計上の選択肢について、情報提供を受けたうえでフィードバックを行うことができる。

ブース氏によると、連合グループはMozillaライセンスに基づき、４月上旬にコードをオープンソース化するとした。また、プロジェクトへの「あらゆる適切な提案」について大歓迎だと述べている。

ブーズ氏は次のように語っている。「現在、ベータメンバーのみがコードにアクセスできるのは、ベータメンバーがコードを最新バージョンに更新すると約束したためです。コードの最初のリリースの公開時までに、データプライバシーの検証とセキュリティの検証を確実に実施したいと考えています（こうした検証はオープンソースシステムでは省略されることがあるのです）。そうすることで、大幅な変更が発生しないという確信を持つことができます」。

プライバシーの専門家は、このプロトコルに関する透明性の欠如を懸念している。このような懸念により、詳細が決まっていないサポートを保留するよう開発者に求めている。また、EU各国の政府が介入し、中央集中型モデルに向けた取り組みを推進して、基本設計やデフォルト設定に組み込まれるべきEUの中核的なデータ保護原則から逸脱しようとしているのではないかという憶測さえあった。

2020-04-23 19:24:48