ページの本文へ

パーソナルデータの活用を伴うCOVID-19感染拡大防止対策とプライバシー保護の両立について―海外事例の紹介を中心に―

地田 圭太株式会社 日立コンサルティング シニアコンサルタント

大西 弘起株式会社 日立コンサルティング コンサルタント

2021年9月16日

1.はじめに

各国では、位置情報を活用した感染者の接触やその状況を追跡可能とするアプリケーション(以下、接触確認アプリ)を利用した住民の感染者との接触有無の把握など、パーソナルデータを活用したさまざまな新型コロナウイルス感染症(COVID-19)感染拡大防止対策を展開してきました。また、これらに加えて、行動制限や水際対策措置の緩和に向け、個人のワクチン接種記録やPCR検査・抗原検査の陰性結果などをデジタル形式で示す証明書(以下、COVID-19関連デジタル証明書)の導入などの動きも加速させています。しかし、こうした対策は、感染拡大防止において重要な役割を果たす一方で、個人の行動追跡を伴う場合についてはプライバシー保護の観点において懸念を覚える人も多いことから※1、人々に不安や嫌悪感を抱かせない配慮が求められます。そこで、本稿では、パーソナルデータを活用したCOVID-19対策を実施している各国が、どのようにプライバシー保護に取り組んでいるのかを紹介します。

※1:
日立製作所「第五回 ビッグデータで取り扱う生活者情報に関する意識調査」

2.パーソナルデータを活用した各国のCOVID-19対策

感染拡大が深刻化すると、パーソナルデータを使用した感染防止対策が各国で展開されていきました。その一つに、接触確認アプリがあります。日本では、厚生労働省が提供しているCOCOAがありますが、これは、PCR検査で陽性反応を示した人物と接触した可能性があるという事実のみをユーザーに報告するものです。誰と接触したか、どこで接触したかなどの情報は、プライバシーの保護に配慮して収集しないよう設計されています。
海外で供用されている接触確認アプリも、その仕組みはさまざまです。表1は、海外で使用されている接触確認アプリについて、接触把握の方法や取得する個人情報を整理したものです。これによると、中国やインドの場合は、位置情報などのデータを取得し、かつデータを中央サーバーに集めることで、ユーザーの行動や接触状況を容易に追跡できるように設計されています。英国※2やドイツの場合は、位置情報を取得せず、各利用者の端末内でデータを保存するという分散型です。このように、各国政府の方針により、取得するデータやその扱い方に違いがあります。

※2:
当初、中央サーバー型で開発を進めていたが、GAEN(後述)のAPIをベースとしたものに変更した。

表1 海外の接触確認アプリの仕組みなど

接触確認アプリの名称 ダウンロード数(人口比) 接触把握方法 取得する個人情報 陽性者データ管理
中国 通信行程卡(行程カード) 不明 自己申告
(位置情報、決済情報などは当局が把握可能)
電話番号など 中央サーバー型
インド Aarogya Setu(アーロギャ・セツ) 約2億(約20%) 位置情報、Bluetooth 位置情報、氏名、電話番号、性別、生年月日など 中央サーバー型
イスラエル HaMagen 約250万(約28%) 位置情報、Bluetooth(Ver.2.0以降) 位置情報 分散型
オーストラリア COVIDSafe 約700万(約28%) Bluetooth 氏名、電話番号、郵便番号、年齢層 中央サーバー型
シンガポール TraceTogether(TT) 約460万(約80%) Bluetooth 電話番号 中央サーバー型
フランス TousAntiCovid(トゥザンチコビッド)
注:StopCovidから改称
約1,700万(約25%) Bluetooth なし 中央サーバー型
英国、ドイツ、スイス、エストニア 英国 NHS COVID-19
ドイツ Corona-Warn-App
スイス SwissCovid
エストニア HOIA
英国 約2200万(約33%)
ドイツ 約2,800万(約33%)
スイス 約300万(約32%)
エストニア 約28万(21%)
Bluetooth なし 分散型

資料:新型コロナウイルス感染症対策テックチーム事務局(2020)「接触確認アプリの導入に係る各国の動向等について」を基に、各国の衛生当局やメディアの公表データを参照して日立コンサルティングが作成。

また、COVID-19感染時の重症化を防ぐワクチンの接種が進むにつれて、ワクチンを接種したことや、PCR検査の結果が陰性であることをスマートフォンなどで電子的に証明することができるCOVID-19関連デジタル証明書の開発も、各国で進んできました。今後、日本においてもCOVID-19関連デジタル証明書の導入が進み、飲食店や競技場などに入る際のほか、海外渡航の際に提示を求められるケースが発生すると考えられます。
このような接触確認アプリ、COVID-19関連デジタル証明書を使用する際は、利用者のパーソナルデータを収集することになります。また、収集するパーソナルデータの中には、行動履歴や健康状態など、センシティブな性質を有するものもあるため、取り扱いには注意しなければなりません。プライバシー保護の観点では、収集するデータは最小限とすること、収集したデータは運営者(政府)が保持するのではなく、できるかぎり利用者の端末にとどめること、さらに、漏えいや紛失を防ぐための安全管理が重要となります。それでは、各国の接触確認アプリ、COVID-19関連デジタル証明書の事例を取り上げ、プライバシー保護に関してどのような対策や議論が行われてきたか見ていきましょう。

3.接触確認アプリとプライバシー

接触確認アプリで採用されているプライバシー保護対策については、政府等、ステークホルダーにおいてさまざまな議論がされ、その運営主体でも実装において工夫が凝らされています。本項では、国際会議や海外メディアによって詳細な情報が公開されており、かつ、プライバシー保護の在り方を考えるうえで有用な事例として、イタリア、ポルトガル、スイス、ノルウェー、イスラエルを紹介します。なお、本稿は、主に次の二つの国際会議から収集した情報を基にしています。

✔ IPEN 2020 Contact Tracing Apps webinar (2020年10月21日開催)
✔ System Security Lab Web Seminar on Contact Tracing (2020年12月1日開催)

以降、イタリア、ポルトガル、スイスがアプリの開発にあたって、どのようなプライバシー保護対策を行ってきたかについて紹介します。

(1)イタリア

イタリアの接触確認アプリ「immuni(インムーニ)」は、GoogleとAppleが共同で開発した接触通知API(Application Programming Interface)「Google Apple Exposure Notification(以下、GAEN)」をベースに、アプリケーション開発事業者のBending Spoonsにより開発されました。このAPIは、AndroidまたはiOSが搭載されたスマートフォンがBluetoothで通信することにより端末の識別子を交換し、過去に感染者と接触していた場合には当該ユーザーに通知をするという仕組みです。GPSなどの位置情報やユーザー名を収集せず、端末の識別子のみを使用するため、感染者の特定が困難であることから、ユーザーのプライバシーを高いレベルで保護することができます。なお、日本のCOCOAは、接触確認アプリを独自開発する国向けのENS(Exposure Notifications System)というフレームワークを使ったものですが、これもGoogle、Appleによって開発・策定されているものです。
immuniの開発に際して、Bending Spoonsは、接触確認アプリの社会的な重要性を鑑み、利用状況やバグ、改善方法を把握することが必要であると考えました。これらは、あるユーザーが利用しているOSの状態などを詳しく収集するほど有用なデータが得られるのですが、同時に、プライバシー侵害のリスクが高まることとなります。そこで、自前でデータを取得する代わりに、Appleが提供するDeviceCheckというフレームワークを使用してデータを取得することにしました。DeviceCheckを使用すると、デバイスからのトークンを取得することができます。そのトークンがAppleの純正デバイスからのもので、かつ有効期限内である場合に限り、2ビットのデータと更新日時の情報を得ることができます。この2ビットのデータにより、デバイスが危険にさらされているか否かなどの状態を把握することができます。ユーザーが感染した場合、ユーザー自身が接触確認アプリのサーバーに感染した旨の情報を送付するのですが、その際、利用者のデバイスからの通信が何者かに監視されても秘匿性を保てるよう、パケットサイズの統一、通信タイミングのランダム化、ダミーデータの混入、通信順序の入れ替えといった対策を、開発時に施しているのです。

(2)ポルトガル

ポルトガルの接触確認アプリ「STAYAWAY COVID」は、GAENのAPIと分散型プライバシー保護近接追跡プロトコルであるDP-3T※3の技術を組み合わせて、INESC TEC※4により開発されました。DP-3Tは、スイス政府が立ち上げた開発プロジェクトによって2020年4月に実用化された技術ですが、ポルトガルは、接触確認アプリを素早く開発すべく、DP-3Tの導入をめざしていました。ただし、DP-3Tの技術を使用すると、GAENと同様、Bluetooth通信のみで感染者との接触を検知・通知できますが、接触確認は、アプリケーションがバックグラウンドの状態でも稼働し続けることが必要です。その場合は、アプリケーションレベルで稼働するDP-3T と比較し、OSレベルで稼働するGAENの方が適しているため、GAENの技術も組み合わせています。感染したことを示すアラートのみ中央(アプリケーションの運営者)のサーバーに送付され、ほかのユーザーと接触したことについての情報などは、ユーザーのスマートフォンのみに保存される分散型の仕組みです。
STAYAWAY COVIDの開発にあたっては、次の六つの原則が設定されました。6番目の原則で言及されているデータ保護影響評価(DPIA)も実施されました。

✔ 接触確認アプリの利用は、個人の任意性に基づくべきで、政府の圧力があってはならない。
✔ 運用はパンデミックが持続する期間中に限り、保健当局の施策を補完するものであること。
✔ 公衆衛生という単一の目的であること(リサーチという副次的な目的があってはならない)。
✔ データの収集、蓄積は最小限にすること。
✔ DP-3Tの非集中型モデルを用い、プライバシー保護とデータセキュリティの対策をすること。
✔ DPIAを実施し、データの収集の妥当性を評価してもらうこと。

DPIAを実施した結果、運用にあたって法的な根拠、枠組みを整えること、保健当局がデータコントローラーとしての役割を担うこと、国立サイバーセキュリティセンター(CNCS:Centro Nacional de Ciberseguranca)の監査を受けること、パイロット運用を行うことなどが指摘され、これらを踏まえて改良を重ね、2020年9月にSTAYAWAY COVIDがリリースされました。

※3:
正式名称はDecentralized Privacy-Preserving Proximity Tracing。
※4:
科学技術に関する研究開発を担い、産業界などのイノベーションの促進につなげることを使命とした非営利の研究機関。

(3)スイス

スイスの接触確認アプリ「SwissCovid」は、ポルトガルと同様、GAENとDP-3Tの技術を用いてBluetooth通信のみで感染者との接触を検知・通知する仕組みで、政府のCOVID-19タスクフォースにより開発されました。SwissCovid開発途中でプライバシー保護のための仕様変更が生じていますが、その一例が、アプリケーションの起動時に最新のCOVID-19関連のニュースを取得する機能の追加です。あるユーザーが感染したことを接触確認アプリで報告する場合、二つのサーバー(Covid Code server、Key server)との通信を同じタイミングで行いますが、一連の通信は秘匿性を確保しなければならないため、ランダムなタイミングで、本物の感染報告と同じサイズ、順序のダミー通信をする仕組みとなっています。ここで、ニュースの取得をアプリケーションの起動時と同じタイミングとした場合に問題が発生します。一般的には、起動から数分後など、一定時間が経過した後に感染報告の入力をしますが、その時間はユーザーにより異なると考えられ、アプリケーション側で正しく予測することはできません。そのため、起動かつニュースを取得してから本物の感染報告をするまでの時間と、ダミー通信をするまでの時間とで差異が生じてしまい、悪意ある者にダミー通信を見破られる可能性があります。その対策として、COVID-19関連のニュースの取得は、バックグラウンドで行い、アプリケーションの起動とひもづかない仕様に変更されました。

ここまで、接触確認アプリの開発やリリースにあたっての各国の技術や対策について述べてきましたが、問題なくリリースにこぎ着けられたケースばかりではありません。そこで、ノルウェーで発生したプライバシー保護に関する問題、位置情報を巡るイスラエルの議論について紹介します。

(4)ノルウェー

ノルウェーでは、ノルウェー公衆保健研究所(FHI: Norwegian Institute of Public Health)が接触確認アプリ「Smittestopp」を開発し、2020年4月よりテスト運用を行っていました。Smittestoppは、接触管理、GPSを利用した人流計測、感染症に関する研究の三つの目的を持ってデータを収集し、コードは第三者が監査していましたが、テスト運用開始後の同年6月、ノルウェーのデータ保護当局(DPA:Data Protection Authority)が警告を発しました。その理由は、データの収集に関して利用目的ごとの同意が付与できないこと、欧州データ保護委員会(EDPB:European Data Protection Board)が接触確認の目的ではGPSは不必要であるという見解を示していること、人流計測などの分析で匿名データを使用するとしていたが、GPS情報が含まれるため匿名とは言えないことなどです。これらを踏まえ、DPAは、公開書簡にてデータの取得最小化などの4項目の要求を行いました。その結果、SmittestoppはGAENのAPIを使用したバージョンで開発をやり直すこととなり、機能も接触確認のみに絞ることとなりました。

(5)イスラエル

イスラエルでは、「HaMagen」という接触確認アプリが運用されています。こちらは、分散型で接触確認を行いますが、位置情報を利用することがGAENなどを使用したアプリケーションとの違いです。イスラエルは、効果的な接触確認のためには、位置情報の利用が必要という立場を取っています。これは、GAENなどを使用したアプリケーションのように、接触した日にちを通知するのみでは、ユーザーに対して十分な説明ができず、感染者と接触したことについて確信を持たせることができないと考えているためです。なお、位置情報のみを用いた接触確認は精度が低いという問題があったため、2021年6月現在では、Bluetoothのデータを併用して正確性を向上させたVer. 2.0が使用されています。今後は、二次元コードを用いるシステムを検討しているとのことです。ユーザーが、利用施設の入り口などで二次元コードをスキャンすると、訪問した施設と日時がアプリに記録され、当該施設を同じ時間帯に利用した人が感染した場合、当該施設で感染者と接触した可能性がある旨の通知を接触確認アプリで受け取ります。二次元コードを用いることで、接触確認の精度の向上が期待できます。
このように、イスラエルでは、位置情報の使用が必要であるという考え方で、接触確認を行っています。位置情報の使用が正しいか、誤っているかということではなく、取得するデータの方針やプライバシー保護に関する考え方が、各国で異なっているのです。

4.COVID-19関連デジタル証明書とプライバシー

諸外国においては先行的にCOVID-19関連デジタル証明書の導入が進められています。すでにこれを用いた出入国におけるCOVID-19対策の運用を開始し、渡航制限の緩和がなされている国や地域もあります。それでは、実際に運用を開始している諸外国においては、どのようなプライバシー保護対応を行っているのでしょうか。

(1)EUデジタルCOVID証明書

EUでは、EU加盟国間で互換性のあるCOVID-19関連デジタル証明書として「EUデジタルCOVID証明書」※5の運用を2021年7月1日から開始しています。これは、発行国の公用語と英語で記載されており、スマートフォンなどで表示可能なほか、紙媒体でも発行することが可能となっています(無料で取得でき、基本的には証明書は国家機関が発行していますが、病院、テストセンター、保健所が発行することもあります)。また、このEUデジタルCOVID証明書には、個人の氏名や生年月日、証明書発行日、一意な識別番号などの基本情報、証明書発行機関(病院、検査機関、医療当局など)の情報と、証明書の真正性を検証できる発行元の電子署名付き二次元コードが包含されています(この電子署名は、バックエンドと呼ばれる各加盟国のサーバーの秘密鍵によって署名されます)。証明書には、ワクチン接種完了証明(ワクチンの種類と製造元、接種回数、接種日)、陰性結果証明(PCR検査や迅速抗原検査などの検査の種類、検査日時、検査場所)、回復証明(陽性判定の日付、証明の発行元、発行日、有効期間)の3種類があります。

※5:
当初は、欧州委員会の提案で「デジタル・グリーン証明書」とされていたが、その後、欧州議会が提案した「EUデジタルCOVID証明書」が採用され、提案時から名称を変更した経緯がある。

図1 EUデジタルCOVID証明書
図1 EUデジタルCOVID証明書

出典:The European Commission「EU Digital COVID Certificate Factsheet」

EU加盟国間を往来する際には、国ごとに対応が異なりますが、いずれかの証明書を保持することで、入国後の自主隔離やPCR検査などの措置が免除されるとのことです。移動先加盟国における当局がこれら証明書を検証する際は、「EUゲートウェイ」という、EU加盟国のバックエンドサーバーと接続し、EU全域ですべての証明書の電子署名を検証することができるシステムが活用されます。その証明書の真正性は、検証用のアプリケーションを用いて証明書の二次元コードを読み取ることで検証することができます。そして、これが緑色に点灯すれば、証明書は正しいものであると確認することができる、という仕組みになっています。この仕組みによって、EU加盟国間の往来においては、証明書保有者の個人データは移動先加盟国に送信されず、また、EUゲートウェイにデータが保管されることもなく、個人のプライバシーに配慮する形となっています。

図2 EUゲートウェイの概要
図2 EUゲートウェイの概要

出典:eHealth Network「Guidelines on Technical Specifications for Digital Green Certificates Volume 2 European Digital Green Certificate Gateway」 Version 1.3

(2)コモンパス(Common Pass)

民間での取り組みとして、世界経済フォーラムと連携するスイスの非営利組織「コモンズ・プロジェクト(TCP:The Commons Project)」が中心となり、37か国の民間企業も加わって、安全な出入国往来の実現を目的に世界共通のCOVID-19関連デジタル証明書として「コモンパス」が開発されました。これは、2020年8月という早い段階から、東アフリカ共同体(EAC:East African Community)の6か国において実証実験を開始していることや、2021年に入ってからは日本の航空会社においてもコモンパスを用いた実証実験が開始されている※6ことから、すでにご存じの方も多いかもしれません。このコモンパスは、個人の氏名や生年月日、パスポート番号と発行国、ワクチン接種証明、検査結果証明などの情報や、それらの情報を含んだ二次元コードが含まれており、スマートフォンだけでなく、紙媒体での利用も可能となっています。また、個人の明示的な同意を得たうえでのみデータの利用や共有がなされますが、個人を識別できる健康情報は、検査実施機関または個人の端末にのみ保存されます。
コモンパスは、次の仕組みなどによって構成されています。

✔ 検査やワクチン接種が認可された機関の登記データベース
✔ 国際的な互換性を担保した検査結果・ワクチン接種の情報コードと医療情報連携規格
✔ 個人のプライバシーを保護しつつ、検査結果・ワクチン接種履歴を本人のID(例:パスポート番号)とひもづける仕組み
✔ 各国の出入国基準をリアルタイムで把握するデータベース
✔ 出入国基準を満たしていることを検証するソフトウェア
✔ 各国の関連アプリケーションとAPI連携するための仕組み

これらの仕組みなどにより、個人の健康状態が受け入れ国の入国基準を満たしていることや、ワクチン接種証明・検査結果証明が信頼できる機関から発行されているかを検証します。実際には、基準を満たしている場合は「Yes」、そうでない場合は「No」で示します。加えて、コモンパスを用いた検証を実施する際、検証の根拠となる個人の健康情報は第三者に開示されることなく、個人のプライバシーに配慮した形で検証できるように設計されています。

※6:
全日本空輸株式会社2021年3月29日プレスリリースより

図3 コモンパスの画面
図3 コモンパスの画面

出典:The Commons Project「コモンパスの概要」(経済産業省)

(3)エクセルシオールパス(Excelsior Pass)

米国ニューヨーク州では、2021年3月26日から「エクセルシオールパス」と名付けられたCOVID-19関連デジタル証明書が利用されています。このエクセルシオールパスは、先に紹介した2件のようにコロナ禍における国家間の安全な往来を推進させることを目的としたものとは異なり、ワクチンを接種した人がイベント会場や文化施設などに入場するためのもので、ニューヨーク州のみでしか使えないようになっています。これを取得するためには、個人の氏名、生年月日、郵便番号、電話番号などの基本的な個人情報を提供する必要があります。証明書の種類は、ワクチン接種証明、PCR検査証明、抗原検査証明の3種類があり、電子署名付きの二次元コードが含まれています。こちらについても、紹介した2件と同様に、スマートフォンのほか、紙媒体での利用も可能となっており、検証用のアプリケーションを用いて二次元コードを読み取ることで、証明書の真正性を検証することができます。
エクセルシオールパスは、IBMが開発した「IBMデジタル・ヘルス・パス・ソリューション(IBM Digital Health Pass solution)」をベースに構築されており、ブロックチェーン技術を用いて個人の情報を保護しています。個人の情報は端末内に保存され、検証する際は、検証用のアプリケーション内に個人の情報が保存されることなく、検査結果やワクチン接種の記録などの証明書を検証できるように設計されており、個人のプライバシーが保護される形となっています。

5.おわりに

本稿では、諸外国の接触確認アプリ、COVID-19関連デジタル証明書を取り上げ、プライバシー保護に関する対策などについて紹介しました。COVID-19感染拡大の防止と、私たちの社会活動の継続との両立は重要な課題です。パーソナルデータを伴ったICTの活用は、課題解決に有効ではあるものの、パーソナルデータの提供主体たる個人のプライバシー保護への配慮が必要です。今後も、各国政府、研究機関、民間事業者などが協力し、プライバシー保護と効果的なCOVID-19感染防止対策を両立したソリューションの開発や普及が進むことを期待します。

本コラム執筆コンサルタント

地田 圭太 株式会社 日立コンサルティング シニアコンサルタント

大西 弘起 株式会社 日立コンサルティング コンサルタント

※記載内容(所属部署・役職を含む)は制作当時のものです。

Search日立コンサルティングのサイト内検索