AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

次の記事

創業1年目で共同創業者が去り一人に、絶望の日々を抜け出し美容D2Cで再挑戦

先週、Apple(アップル)とGoogle(グーグル)は、新型コロナウイルス陽性者との接触を確認するためのオプトイン、分散方式の追跡ツールを共同開発することを発表した。

このシステムは本人が許可した場合にのみ作動するオプトイン方式で、Bluetoothを使ってランダム化匿名化された識別子を近くの端末に送信する。ユーザーは自分の匿名化されたデータをアップロードすることが可能で、そこから他の端末に広域発信される。近くの端末との距離と滞在時間に基づき、ユーザーにはウイルスに感染した人と接触した可能性があることが告げられる(個人を特定する情報は知らされない)。

これはMITの研究者らが考案したやはりBluetoothを使って匿名で感染の可能性を他の人に知らせるシステムに似ている。MITのシステムもApple、Googleの新たな取り組みと同様、位置情報データの利用は回避している。

接触者追跡は一部の国々ではある程度効果が証明されており、当局が感染の中心地を見つけるのに役立っている。しかしプライバシー団体とセキュリティー専門家は、ウイルス感染拡大と戦う個人の権利がプライバシーに優先されることに懸念を抱いている。AppleとGoogleは、このサービスはプライバシーを重視していると言っている。同システムは位置情報データを使わず、乱数化された識別子は15分毎に変更されて追跡を防いでおり、収集されたデータはすべて端末上で処理され、ユーザーが意図的にシェアしない限り端末から外に出ることはない。

しかしセキュリティーやプライバシーの専門家は、システムの潜在的欠陥をすぐに指摘した。元FTC(連邦通信委員会)のチーフテクノロジストであるAshkan Soltani(アシュカン・ソルタニ)氏は、偽陽性だけでなく偽陰性の可能性を警告している。暗号化メッセージングアプリ、Signal(シグナル)のファウンダーであるMoxie Marlinspike(モクシー・マーリンスパイク)氏も、システムが不正利用される可能性に懸念を表明した。

TechCrunchは、AppleとGoogleの代表者とのリモート会見に参加した。記者は両社の新型コロナウイルス追跡の取り組みについて質問する機会を得た。

質疑の内容は以下の通りだ。

iOS、Androidのどのバージョンで新機能を使えるのか?

Appleは最大限の数のiOS端末にアップデートを提供すると答えた。iPhoneとiPadの3/4以上が最新バージョンのiOS 13を搭載しておりアップデートを受けることができる。GoogleはAndroidの中核部分であるGoogle Play Servicesをアップデートし、最近アップデートされた端末だけでなく、Android 6.0以降を搭載する全Android端末で接触者追跡システムが動作すると答えた。

この追跡システムはいつから使えるのか?

AppleとGoogleはソフトウェアアップデートを5月中旬から配布して接触者追跡の支援を開始すると言っている。公共保健機関は自らの専用アプリに接触者追跡APIを組み込み、ユーザーはそのアプリをAppleとGoogleのアプリストアからダウンロードできる。二社は近々、接触者追跡機能をiOSとAndroidに組み込む予定であり、ユーザーはアプリをインストールする必要もなくなると言った。そうなればもっと多くの人たちがこのシステムを使うようになる、と両社は語った。

ただし、接触者追跡機能がOSのシステムレベルに組み込まれた場合でも、陽性者とのマッチングが検出された場合に接触者追跡プロセスの追加情報や次にすべきことなどを知るためには、地域向けの公衆衛生アプリをダウンロードする必要がある。

このAPIを他の誰かが使う可能性はあるか?

両社によると、接触者追跡APIのアクセスが許されるのは公共衛生当局のみである。

この限定APIの利用は、個人の健康情報を医師など資格を持つ医療専門家にのみ提供するのと同じ精神で制限される。APIの利用は認定された公共保健機関のみに制限され、国または地域でその組織を指定する責任のある政府によって認定される。何をもって正当な公共衛生機関と認めるかについては対立が生じる可能性があり場合によっては国と州当局の間でも一致しないかもしれないので、AppleとGoogleはプラットフォーム運営者として微妙な立場に立たされる可能性がある。

なんらかのデータが中央データベースに保存されることはあるのか?

Appleによるとデータはユーザーの端末上で処理され、そのデータは世界中の保健機関が運営するサーバーを「中継」され、中央に集約されることはない。テックの巨人たちは、データが分散化されることで政府が監視することははるかに困難になっていると言っている。

それはAppleとGoogleと公共保健機関はデータをアクセスできるという意味か?

AppleとGoogleは、完全に機密なシステムは存在しないことを認めた。「ハックされない」ものはない、ということはサイバーセキュリティーでは広く知られている概念だ。サーバーが侵入を受ける可能性はあり、データがなくなることもありうる。ただし、データを分散化することで、悪意をもってデータをアクセスすることははるかに困難になっている、と両社は言った。

人々が虚偽の報告をするのをどうやって防ぐのか?

両社は診断の検証について複数の公共保健機関と共同で作業していると語った。AppleとGoogleは、ユーザーにはシステムを信用して欲しい、システムが信頼できることもユーザーに知って欲しい、と語った。

確認された新型コロナウイルス感染をどうやって識別するのか?

AppleとGoogleは、陽性の検査結果は症例を識別する最善の方法だが、必ずしも唯一の方法ではないと指摘する。実際、医療専門家の診断にウイルスの存在を具体的に示す陽性検査結果は必須ではない。理論的には、公共保健機関が判断基準を下げ、例えば症状発現に基づく診断のみを必要とすることもありうる。

両テック巨人ともに、接触者追跡が効果を発揮するためには、集団内で高度な症例識別が行われる必要があることを認めているが、他の感染識別方法が地域の保健機関によって十分信頼できると判断されれば、高度な症例識別が必ずしも広範囲の検査を意味するものではない、という可能性も残している。

このシステムを信頼すべきか?

簡単な答えはない。AppleとGoogleは、何もないよりはましというシステムを作ったように見えるが、これは相当ユーザーの信頼を必要とするシステムだ。あなたはAppleとGoogleが、彼ら自身あるいは政府による不正使用にも耐えうるシステムを作ったと信じる必要がある。信用しないのであれば、使う必要はない。

画像クレジット:Bryce Durbin / TechCrunch

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Nob Takahashi / facebook