gihyo.jpサイトのロゴ

IT Cutting Edge ─世界を変えるテクノロジの最前線

第17回接触者追跡の最優先事項はプライバシーの確保 ―プリンストン大学フェルテン教授が語った新型コロナウイルス対策におけるテクノロジの役割と課題

2020-04-23

世界中で感染拡大が続く新型コロナウイルス「COVID-19」の脅威に対し、テクノロジは何ができるのか ―これはITの世界に身を置くすべての人が、すくなくとも今後数年に渡って向き合っていかなければならない課題でもあります。いやおうなしに放り込まれたウイルスとの闘いに多くの国々が疲弊する一方で、2000年代初頭にSARS禍を乗り越えた韓国や台湾が採用するスマートフォンをベースにした「接触者追跡(Contact Tracing⁠⁠」という手法がウイルスの感染抑制に大きな効果を示すとして、米国や欧州など感染者数/死者数の増加に悩む国々から注目されるようになってきました。

本稿ではこの接触者追跡をはじめ、COVID-19対策で採用すべきテクノロジとその課題について、コンピュータセキュリティ/プライバシーのエキスパートとして著名な米プリンストン大学のエド・フェルテン教授が4月16日(米国時間)に行ったウェビナー「COVID-19, Technology, Privacy, and Civil Liberties」の内容をもとに紹介します。

プリンストン大学が誇る初代FTCチーフテクノロジスト

日本ではあまり知られていませんが、フェルテン教授はオバマ政権時代の2011年から2012年にかけて、米国ではじめて連邦取引委員会(FTC:Federal Trade Commision)のチーフテクノロジストを務めた経験をもつコンピュータセキュリティと公共政策のエキスパートです。2015年から2017年にかけては米連邦政府の副CTO(Deputy Chief Technology Officer)にも就任しており、オバマ政権のデジタル政策を支えたキーパーソンのひとりでもあります。

フェルテン教授は現在、プリンストン大学ウッドローウィルソンスクールでコンピュータサイエンスと公共政策の教鞭を執っており、自身が設立ディレクターとして関わった同大学のCenter for Information Technology Policy(CITP:情報技術政策センター)では現在も執行委員のひとりとして、テクノロジをベースにしたさまざまな社会政策の立案および活動をサポートしています。今回のウェビナーはそのCITPによるオープンパブリックな活動の一環として開催されました。

エド・フェルテン(Edward W. Felten)プリンストン大学教授
エド・フェルテン(Edward W. Felten)プリンストン大学教授

No Magic Bullet ―COVID-19対策における基本ガイドライン

フェルテン教授はレクチャーの冒頭、COVID-19対策における前提条件として以下のポイントを掲げています。

  • 疫病は必ずピークを迎え、終息へと向かう。とくに屋内退避(shleter-in-place)の効果は大きい
  • ピーク後の戦略の基本は、規制の解除を徐々に、選択的に行いつつ、再度の感染爆発の検知と抑制に努めること。当面、ワクチンの入手は望めず、早くても2021年ごろ。そして残念ながら感染爆発はまた起こるので、そのたびに規制を強めたり弱めたりする必要がある
  • (ITに関わる人間にとっての)ゴールは感染ピーク後の世界(ウイルスとの共存を余儀なくされる世界)においてテクノロジが世の中や人々のサポートに正しく使われること。たとえば感染拡大する条件やリスク要因についての認識を深め、実施すべき規制をより正しく選択する、など

さらにフェルテン教授はCOVID-19という未知のウイルスに向き合うには「魔法の弾丸はない(No Magic Bullet)ことを留意しておかなくてはならない」と強調しています。決定打となる唯一の解決策は存在せず、したがって、不完全で欠点のあるいくつかのメソッドを組み合わせ、試行錯誤し続けていくという「可能性のエクササイズ」⁠フェルテン教授)に挑むしか現時点での選択肢は残されていません。だからこそ、そのエクササイズを効率的に行うためにもテクノロジの力が重要になってくるのです。

テクノロジによる3つのアプローチ

では具体的にテクノロジはどのようにしてCOVID-19の感染抑制に貢献できるのでしょうか。

COVID-19など感染症対策の数理モデルでは基本再生産数のR0(ひとりの感染者が感染させる平均人数)がもっとも重要なパラメータとなります。感染者数を減らすにはR0が1以下となるようにする必要がありますが、R0の値は時間の経過とともに変化するため、状況に応じて適切な対策を取らなくてはなりません。つまり、世界のどの国もR0米国ではR0=2.5程度をベースラインとした施策が取られているようです。

この数理モデルにしたがい、テクノロジにもまたR0「What Tech Can Do(テクノロジができること⁠⁠」として大きく3つのアプローチを紹介しています。

  1. モビリティ/接触モデリング … スマートフォンから収集したデータを使い、人々がどこに行き、どこでほかの人々に遭遇したかを把握するアグリゲートデータ/ヒートマップを生成する
  2. 免疫パスポート … ある個人がCOVID-19に対する免疫があることを証明する
  3. 接触者追跡 … ある個人がCOVID-19の症状を示した、あるいは検査で陽性反応が出た場合、想定される潜伏期間内に誰と接触をもったかを判明させる

1.のモビリティ/接触モデリングについては、Googleが4月から公開している「Community Mobility Reports」が具体例として挙げられます。このレポートはGoogleマップから匿名化して集約したデータを用い、日本を含む131カ国を対象に地域ごと(日本では県単位、米国は州→群単位)のデータが参照できるようになっており、特定の種類の場所や店舗の混雑状況、交通状況などの推移を見ながら、屋内退避命令や自粛要請といった施策の影響にもとづくインサイトを得やすくなっています。Googleに限らず、自社がスマートフォンから収集/集約したロケーションデータのみで生成するレポートやリスクモデリングは、Appleなどのモバイルプラットフォームプロバイダや通信事業者、あるいはFacebookなどの巨大ソーシャルメディア、さらにはモバイル広告事業者がとりやすいアプローチです。

しかしここで避けて通れないのがプライバシーの問題です。アグリゲートデータ、すなわち特定の事業者によるデータの集約にはプライバシーの保護に大きな懸念が生じます。匿名化し、集約したデータであっても場合によっては個人を特定できるケースもあります。このアグリゲートデータのプライバシーに関する疑念を払拭するために、GoogleがCommunity Mobility Reportsで実装している手法が「差分プライバシー(differential privacy⁠⁠」といわれるもので、アグリゲートデータにランダムなノイズ(ラプラスノイズ)を加えることで個人の特定を妨げつつ、全体の傾向はノイズを加える前とほとんど変わらない状態を維持しています。フェルテン教授は差分プライバシーが厳格に適用され、仮にある個人のデータが全体のアグリゲートデータから削除されたとしても、出力結果は統計的にほぼ同一となるように設計されているのであれば、モビリティ/接触モデリングは有効であるとしています。

Googleが公開している「Community Mobility Report」で米カリフォルニア州オレンジ群における3月下旬から4月中旬までモビリティデータを表示。このツールでは差分プライバシーが採用されており、統計から個人情報を特定することは難しいとされている
Googleが公開している「Community Mobility Report」で米カリフォルニア州オレンジ群における3月下旬から4月中旬までモビリティデータを表示。このツールでは差分プライバシーが採用されており、統計から個人情報を特定することは難しいとされている

2の免疫パスポートは最近、海外のメディアでも耳にすることが増えてきたキーワードで、ある個人がCOVID-19に対する免疫をもっている(すでに罹患し回復したことで抗体を獲得、またはワクチンを接種済み)ことをブロックチェーンなどの技術を用いてデジタル証明するしくみです。しかしフェルテン教授はさまざまな理由から免疫パスポートについて現時点では「悪手である」と結論づけています。免疫パスポートを所持できれば、外出や経済活動の制限も解かれ、社会生活が営みやすくなるため獲得のインセンティブは高くなりそうですが、フェルテン教授は「免疫を獲得する人が一定数に達する前に、死亡者の数が激増するとしています。COVID-19の場合、ひとりの人間が免疫を獲得するスピードの約200倍で死亡者が増えるとされているので、約3億3000万人の米国民の10%が免疫を獲得するころにはおよそ165万人が死亡する計算になります。近代国家がこの死亡者数に耐えることはおそらく無理でしょう。

また検査のエラー率(偽陽性)も免疫パスポートの推進には大きな阻害要因になります。仮に免疫獲得率を米国民の2%に想定し、免疫検査のエラー率が5%だった場合、実際には免疫をもっていないにもかかわらず「免疫を獲得した」と判定される人の割合は陽性判定者の72%、数にして1617万人も上り、とうてい許容できる誤差の範囲を超えています。⁠不正が起こらない制度づくりや、ガバナンスやルールの整備も重要。免疫パスポートは技術の成熟以前に現時点では問題が多すぎる」⁠フェルテン教授)

免疫パスポートは多くの課題があるが、人口が多いほどエラー率(偽陽性)が大きな壁となる。米国の場合、エラー率5%としても、免疫をもっていないのに「免疫あり(陽性⁠⁠」と判定される率は72%にものぼることに
免疫パスポートは多くの課題があるが、人口が多いほどエラー率(偽陽性)が大きな壁となる。米国の場合、エラー率5%としても、免疫をもっていないのに「免疫あり(陽性)」と判定される率は72%にものぼることに

そして現在、世界でもっとも注目を集めているアプローチが3の接触者追跡です。現在、接触者追跡の方法には人手によるインタビューを中心とするマニュアルアプローチと、テクノロジを活用して完全化と自動化を進めるアプローチがあり、米国が進めようとしているのは当然ながら後者です。その理由についてフェルテン教授は「ロケーションデータ(位置情報)は人間の記憶よりもずっと完璧で正確であり、感染者とたまたま同じ場所にいた無関係な第3者も特定しやすい」と指摘します。デジタル化されたロケーションデータには情報にノイズ(不正確な記憶、改竄/隠蔽など不正な操作)が入りにくいため、高い精度で接触者の特定と追跡が可能であり、しかも迅速なスピードでトレーシングが実現します。

テクノロジベースの接触者追跡のアプローチは現在、大きく4つのタイプに分類されています。

  • 接触者(exposed individuals:曝露者)に通知、手段はBluetoothなど近接センサーをベースにした直接検知(またはAPI経由⁠⁠ … 英国、EUが採用
  • 接触者に通知、手段はロケーション履歴のマッチング … いくつかの米国のプロジェクトが採用
  • 誰が接触者なのかを公的機関に通知、手段は近接センサーによる直接検知 … シンガポールが採用
  • 誰が接触者なのかを公的機関に通知、手段はロケーション履歴のマッチング … 韓国が採用
接触者追跡(コンタクトトレーシング)はロケーションデータをベースに感染者から接触者への感染をトレースしていく
接触者追跡(コンタクトトレーシング)はロケーションデータをベースに感染者から接触者への感染をトレースしていく

米国では「個人に通知/ロケーション履歴のマッチング」を採用している自治体が多いようです。ここでフェルテン教授は、いずれのアプローチを採用するにせよ、覚えておくべきポイントとして以下の2点を挙げています。

広範なアダプションこそが成功のカギ
どのアプローチであるにせよ、1つの方法を広く適用することにフォーカスする。仮に対象エリアの1/Nの人口に追跡アプリをインストールできたとしても、判明率は1/N^2である。Nの値をできるだけ小さくすることが重要。複数の手法やアプリを混在させてフラグメンテーションが生じれば、追跡効果は激減する
接触者追跡システムは基本的にユーザの"自発的"な意思によるアプリのインストールに依存している
たとえ米国内にあるすべてのスマートフォンにインストールされたとしても、可視性はせいぜい65%以下。だからこそアダプションを下げないようにする必要があり、そのためにはシステムのプライバシーが確保されていると示さなくてはいけない

ここでもっとも重要な視点が接触者追跡システムにおけるプライバシーです。フェルテン教授は「⁠⁠接触者追跡システム/アプリにおける)プライバシーが確保されているとユーザが認識すれば、より高いアダプション、より広いカバレッジが実現し、結果として(感染抑制など)よりよい衛生行政へとつながっていく。アプリのインストールがx%増えれば、システムがカバーできる範囲は2x%以上に拡がるからだ。我々はプライバシーと生活をトレードオフの関係にしてはならない。プライバシーこそが我々の生活を救う」と重ねてプライバシー確保の重要性を訴えていました。たとえパンデミックという状況下にあっても"はじめにプライバシーありき"をシステムに織り込んで構築しなければ、ユーザに使ってもらえるシステムにはならず、感染抑制につながらない - プライバシーの第一人者であり、連保政府のビッグデータ施策に深く関与してきた実績をもつフェルテン教授らしい言葉です。

フェルテン教授は続けて接触者追跡アプローチを実現する2つの手段 ―ロケーション履歴マッチングと近接センサー/API方式について、それぞれの現状と課題を解説しています。

ロケーション履歴マッチングとは?

まずロケーション履歴のマッチングについて。これは感染者と同じ場所にいた個人(接触者)をスマートフォンのロケーションデータから照合し、追跡するシステムです。同じ時間帯にいた接触者だけでなく、感染者が触れた物質の表面から感染する可能性も考慮し、感染者がその場所を訪問した後に同じ場所を訪れた人も接触者として追跡することが可能です。データはスマートフォンにインストールされたアプリによって収集されることが基本ですが、モバイルプラットフォーマーや通信事業者などが過去に収集したデータを使うこともあります。

ではロケーション履歴データを使った接触者追跡システムでプライバシーを確保するにはどんな方法がベストなのでしょうか。スマートフォンは個人と強く紐づいているデバイスであるため、そこから収集されるロケーション履歴データは個人の特定がしやすく、⁠改竄を含む)修正や編集は難しいという特徴があります。

こうしたデータをプライバシーに配慮しながら扱うための方法として、フェルテン教授は「Private Set Intersection(PSI⁠⁠」というプロトコルを紹介しています。"Intersection(共通集合)"という単語が含まれていることからもわかるように、PSIは比較対象となる2つのパーティ(集合)のデータを「セキュアマルチパーティコンピュテーション(secure multiparty computation、MPC⁠⁠」という暗号化技術を用いて演算を行い、互いに必要以上の情報を開示することなく、共通する要素に関する情報のみを積集合として取り出すプロトコルです。プライバシーの確保が問題になりやすい巨大なパーソナルデータ集合を用いるビッグデータ解析やマシンラーニングといったユースケースで使われてきたPSIですが、COVID-19の接触者を追跡するために使うロケーション履歴データも同様のパーソナルデータの集合であることから、PSIの活用が注目されるようになってきました。

もっともPSIは現在も研究中の技術であるため、⁠MPCによる暗号化は複数のパーティを扱う場合にスケールしにくい」⁠悪意ある(パーティの)参加者によるプロービングからの感染者推定を防げない」といった指摘もあり、ブラッシュアップの余地が多く残されています。プライバシー改善のアイデアとしてはほかにも

  • 単一の企業が集めたロケーションデータだけを使う→プライバシーは担保できてもカバレッジが限定されるため接触者特定の効率が低下する
  • 信頼されたパーティ(参加者)だけがデータを使う→誰を、どうやって信頼するのか? "信頼"のガイドラインは?
  • 小規模なコンソーシアムを作ってそこで感染者/接触者データを共有する→プライバシー確保の観点からは受け入れにくい

といったように、まさに「No Magic Bullet」といった状況であり、現状ではPSIのアップデートを含め、いくつかの方法を並行して試しながらロケーション履歴データのマッチングの精度スピードを挙げていくことが最善と思われます。

API方式 ―接触者追跡とプライバシー保護を両立させるGoogleとAppleの試み

もうひとつ、Bluetoothなどの近接デバイスやAPIを使う具体的なアプローチとしては、4月10日にGoogleとAppleが共同で発表したアナウンスメントが注目されています。

AppleとGoogle、新型コロナウイルス対策として濃厚接触の可能性を検出する技術で協力
AppleとGoogle、新型コロナウイルス対策として濃厚接触の可能性を検出する技術で協力

Bluetoothを接触者追跡に利用するアイデアのベースは「2つの異なるデバイス(スマートフォン)が近づいたとき、互いに通知しあい、その記録を残す」というものです。ある二人のAndroid/iOSユーザが互いに検知可能な距離に近づいたとき、Bluetoothのビーコンを通じてスマートフォンどうしが「proximity ID(proxID⁠⁠」と呼ばれる識別子を交換し、スマートフォン内に記録します。なお、proxIDは15分ごとに更新されるため、単独のproxIDから容易に個人を特定できないようになっています。

もし、あるユーザがCOVID-19の陽性判定を受けた場合、そのユーザは公衆衛生機関から配布された公式アプリ(※)に検査結果を任意で入力することが可能ですが、その際、そのユーザの過去14日間のビーコンの記録(proxIDとそれが記録された日時)が追跡キーとしてクラウド上にアップロードされ、感染者リストに追加されます。一方、このユーザと接触したユーザのスマートフォンに公式アプリがインストールされていれば、アプリが定期的にクラウド上の感染者リストをダウンロードし、キーの照合を行うため、リスト上のキーと、スマートフォンに保存されているproxIDがマッチした場合はユーザに対してすみやかに通知が行われます。

※)
フェルテン教授によれば、Google/Appleのプロジェクトで提供されるのは単独の"アプリ"ではなく、アプリを作成可能にするツールキットであり、すべてのデバイスにこのツールキットが配布されますが、両社はこのツールキットが利用できるアプリ(アプリ作成者)をきびしく制限するとしており、大学の研究機関や地域の保健衛生当局など、限られた機関だけしか当該アプリを作成することはできないようです。

GoogleとAppleはまず、AndroidおよびiOS端末間で相互運用を実現するAPIを5月にリリースし、それぞれのアプリストアから公式アプリ(公衆衛生機関がリリースするもののみ)をユーザがダウンロードできるようにしたのち、数カ月かけて同機能を実装したプラットフォームを構築し、Blutoothによる感染者/接触者の検知を向上させるとしています。当然ながらユーザのプライバシーとセキュリティに配慮するため、データの利用はオプトイン形式であることを前提にしています。なお、シンガポールもBluetoothを接触者追跡に利用していますが、Google/Appleが想定するシステムとは若干異なり、公的機関がすべてのユーザの追跡キーを把握し、照合確認ができるようです。

GoogleとAppleというモバイルプラットフォーマーが共同で展開するプロジェクトということもあり、この近接デバイス方式による接触者追跡システムには世界的な注目が集まっていますが、フェルテン教授はこのアプローチの基本的な問題として「陽性報告(アプリに入力しデータをアップロード)できるのは、COVID-19の陽性判定を受けた人だけであることを証明するのはとてもむずかしい」と指摘します。

また、proxIDが頻繁に変更されることや、追跡キーにはproxID以外の個人情報が含まれないことから、⁠近接デバイスシステムは)プライバシーリスクはない」としてしまうのは早計で、⁠たとえばアリスとボブが火曜日の12時にランチを取ったとする。このとき、双方のデバイスにお互いのproxIDが記録される。後日、ボブが陽性判定を受け、追跡キーがリストに追加されたのち、アリスが火曜日の12時に自分のスマートフォンに記録されたproxIDをリストから見つけ出せば、それがボブだとわかってしまう」⁠フェルテン教授)という事態も十分にありえます。フェルテン教授はそのほかにも考えられうる攻撃として

  • パパラッチアタック … 有名人をターゲットに、彼らの行動を追跡しproxIDをゲットする
  • 強制/恐喝 … 特定の人物から強制的にproxIDを表示/提供させる
  • デバイスのクローン … 大量のデバイスに同じproxIDを発信させるよう細工する
  • COVID-19版"爆弾"攻撃 … ⁠レストランやカフェ、店舗など)特定の場所から複数のデバイスからproxIDを発信させ、その後、陽性報告を行い、その場所を閉鎖に追い込む
  • 相関攻撃 … 接触した人の記録からproxIDと個人を紐づけ、陽性判定者の推定リストを作成し、マーケティングに利用する

などを挙げています。こうした脅威にどう対応していくのかは、Google/Appleや自治体、公衆衛生機関など、接触者追跡システムの構築にかかわるすべての組織にとって今後の大きな課題でしょう。

このように接触者追跡というアプローチは、デジタルによる効率化が大きく期待できる反面、リスクや解決しなければならない課題が多い手法でもあります。これらの課題は接触者追跡の普及を妨げてしまうのか - この問いにフェルテン教授は「私の見解では"No"だ。接触者追跡は公共政策が取りうるアプローチとしてすぐれており、判明しているいくつかのリスクは積極的に受け容れるべきものである」と答えていますが、続けて「だが、プライバシーリスクは最小限にすべきである」と強調していました。現在、COVID-19による感染者/死亡者の増加を比較的抑えている韓国やシンガポールは、接触者のリストを公的機関が把握しており、プライバシー確保よりも完全なトレースを重視していますが、そうした国々とは違う、プライバシーオリエンテッドな感染抑制のシステムを追求しようとする姿勢が非常に印象的です。

感染拡大を続けるCOVID-19ですが、フェルテン教授が指摘するようにこの問題に"魔法の弾丸"は存在しません。どの国もどの自治体も、いくつもの可能性のあるアプローチを組み合わせ、試行錯誤しながらもできるだけ迅速かつ柔軟に、そして長期戦を視野に入れながらR0政府や自治体が実施する取り組みは、どんなアプローチであれ市民から信頼されるものでなくてはなりません。信頼されないシステムは使われないシステムとなり、感染抑制をサポートする存在にはならないからです。オープンで透明性があり、なおかつプライバシーを前提にしたテクノロジを採用する - データドリブンな公共政策に深い知見と経験をもつフェルテン教授の主張は、デジタル化への取り組みが遅れている日本のCOVID-19対策においても学ぶべき点が多いように思えます。

おすすめ記事

記事・ニュース一覧