美馬 正司株式会社 日立コンサルティング ディレクター
2020年5月11日
本コラムを執筆している時点(2020年4月)において、新型コロナウイルスはまだ収束の見込みがたっていません。このような感染症の拡大局面において、ITをもっと活用できないのか、と考える人は多いのではないでしょうか。これだけスマートフォンが普及し、普通に位置情報が使われており、AIの有効性がうたわれているなか、パーソナルデータを感染の予測や防止にもっと役立てられるのではないかと考えます。しかし、そこには一つの壁が存在します。それは人々のプライバシーで、個々人が自分の行動履歴や新型コロナウイルスへの罹患(りかん)の有無といった情報をどれだけ提供できるかが鍵となるのです。
皆さんは、そもそも法律上、個人情報の扱いが非常事態において例外として扱われているのはご存知でしょうか。
ご存じの方もいるかもしれませんが、わが国の「個人情報の保護に関する法律」(個人情報保護法)では第16条で目的外利用の禁止、第23条で第三者提供の禁止が示されており、収集する際に通知した範囲、あるいは同意を得た範囲を超えて利用したり、第三者提供したりすることはできません。しかしながら、いずれの条文にも以下の除外規定があります。
つまり、以下の場合、この禁止事項は適用されないということが示されています。
今回の新型コロナウイルス感染拡大の状況は、まさに上記に該当するとも考えられるのですが、実際には、上記に該当するかどうか、法律に基づく判断が行われているわけでありません。また、その基準についても以前から曖昧なままであると見ています。
それでは、現状、わが国におけるパーソナルデータの活用はどのようになっているのでしょうか。もちろん、政府においてもパーソナルデータの活用については、早期から検討がされていたと推察されますが、前述した法律に基づいて、例外的な措置として収集するということは現在行われていないのが実情です。その理由としては、新型コロナウイルスへの罹患有無や、人々の詳細な行動という、極めてプライバシー性の高いパーソナルデータを扱うことになるためだと考えられます。
現に、2020年3月31日に政府はプラットフォーム事業者、移動通信事業者に対して、位置情報について生のパーソナルデータではなく、統計データの提供の申し入れをしています。人の移動履歴は、政府にデータがあるわけではなく、Googleのようなプラットフォーム事業者や、携帯電話の「キャリア」と呼ばれる移動通信事業者がデータを集積しています。そこで、その提供を各事業者に依頼したのですが、生データの提供を依頼することはプライバシー保護上、難しいという判断がなされたのでしょう。政府はプラットフォーム事業者や移動通信事業者が保有する、移動履歴やサービスの利用履歴などを統計的に処理したデータの提供を受け、それを活用することで、以下の効果を期待しています。
実際に1番目については、Google、ヤフーなど、さまざまなところからデータが公開されており、都心への流入や飲食店、食料品店などの利用客が減少していることを明らかになっています。
また、このようなデータの活用を図るため、日本政府内に新型コロナウイルス感染症対策テックチームが立ち上がっています。ただし、4月23日に第2回が開催され、新型コロナに罹患した人の捕捉については、「実装に向けた論点を政府内で検討中」となっており、諸外国と比較すると動きが遅いのが気になります。
日本におけるIT活用の動きは諸外国よりも遅いと感じられますが、諸外国では、どのような取り組みがされているでしょうか。いくつかの国では政府自らがスマートフォンアプリを提供し、感染防止に活用している事例が存在します。
例えば、お隣の韓国では、新型コロナウイルスに罹患した人、あるいは濃厚接触者、自宅待機となった市民が、隔離エリアから離れないよう監視する「自主隔離安全性保護」というスマートフォンアプリを2020年3月6日から提供開始しています。このアプリは、GPSで市民の位置情報を捕捉しており、自宅待機者が隔離エリアから離れた場合、警告が発せられる仕組みになっています。アプリ利用は強制ではありませんが、インストールの割合は6割以上であり、外国からの入国者もインストールの対象となっているようです。
ポーランドでも新型コロナウイルスに罹患した人や濃厚接触者、隔離が必要な人にスマートフォンアプリのインストールを依頼し、行動の管理をしています。隔離対象となった人は、1日1回、このアプリを通じて撮影した自分の写真と位置情報を送信することが義務付けられています。また、写真が本人であることを顔認証で確認する機能もついているとのことです。これを怠ると、警官が状況確認に来るようで、違反者には最高で5,000ズウォティ(1ズウォティ=約26円/2020年4月現在)の罰金が科されるようです。
シンガポールでは、「Trace Together」というスマートフォンアプリが政府から提供されています。このアプリをインストールすると、同じアプリの利用者が半径2メートル以内に30分間以上いた場合、Bluetoothで検知し、濃厚接触の可能性があるとして記録されます。そして、新型コロナウイルスに罹患した利用者が、アプリに記録された行動履歴の提供に同意すれば、政府の担当者が、濃厚接触の可能性がある人たちに電話で連絡する仕組みのようで、GPSデータや個人情報などは収集していないのが特徴です。既に100万件以上ダウンロードされており、広く使われていると推察されます。なお、アプリ内の行動履歴の保管期限は21日間で、それより前の情報は自動的に削除されるようです。
また、民間での取り組みも進んでいます。2020年4月11日にGoogleとAppleが、スマートフォンを利用して新型コロナウイルスの濃厚接触を検出する仕組みを共同で提供することをアナウンスしたのはご存じの方も多いかもしれません。これはアプリそのものではなく、GoogleとAppleが相互運用の形でAPIを提供するもので、スマートフォンアプリは、このAPIを活用して政府機関等が提供することを想定しています。
仕組み的にはシンガポールのものに近く、2人もしくはそれ以上の人が一定時間、近距離にいるとBluetoothがそれを検知し、お互いの匿名化ビーコンのIDが交換されます。その後、ある人がコロナに罹患した場合、本人がコロナに罹患したことを登録すると、その人とIDを交換した人に、そのことが知らされる仕組みになります。
わが国でもLINEと連携して厚生労働省がアンケートするなど、アプリを活用した取り組みは見られますが、今後、GPS、あるいはBluetoothなどの近距離通信で取得した位置情報を含めたパーソナルデータの活用が期待されます。その際、統計的な活用だけでは限界があり、個人単位のパーソナルデータを用いる必要も出てくるのではないかと考えられます。その場合、諸外国の事例からも、本人の意思による同意に基づく提供というのは一つ重要なポイントになると考えられます。また、新型コロナウイルスに罹患した人や濃厚接触者が安心して自分の情報を提供できるように、個人のプライバシーが守られる技術的な仕組みの実装等も合わせて検討することが必要です。プライバシーに配慮したパーソナルデータの活用により、新型コロナウイルスの感染拡大防止が少しでも進むことを期待します。
追伸、このコラムを掲載する直前に日本政府の新型コロナウイルス感染症対策テックチームからGoogleとAppleのAPIを使って接触確認アプリを国から提供するという案が出されました。
これについてもいくつか論点が考えられますので、最後に付記します。
まず、プライバシーという観点では、ほとんど人と会っていない利用者ならアプリに接触の通知が来た時点で誰が感染したか容易に知りえることができるという問題があります。このような状況についてどのように対応するかの検討が必要でしょう。また、プライバシーとは関係ない話ではありますが、1mで15分以上という濃厚接触の基準とBluetoothで検知できる距離は必ずしも合致しておらず、広めに検知してしまうと考えられます。もちろん、可能性は広めにとっておいた方が良い気がしますが、「実は濃厚接触でなかった」というケースがどのくらいの割合で出るか、ある程度、感覚的に理解した上での利用が望まれるのではないでしょうか。加えて、罹患した情報の発信の信頼性をどのように担保するかという課題もあります。本当は罹患していないのに、罹患したと報告することで周りの人を惑わせる愉快犯も出てくる可能性もあります。他にも課題はありますが、パーソナルデータ活用が前に進んでいることは事実のようです。
美馬 正司 株式会社 日立コンサルティング ディレクター
2020年、新型コロナウイルスが猛威を振るうなか、ITをもっと活用できないか、と考える人は少なくないでしょう。スマートフォンが普及し、位置情報が普通に使われ、AIの有効性がうたわれている現在、感染の予測や防止にパーソナルデータを役立てることもできるでしょう。しかし、そこには一つの壁が存在します。それは人々のプライバシーです。非常時のIT活用では、個々人が自分の行動履歴や感染症への罹患(りかん)の有無といった情報をどれだけ提供できるかが鍵となるのです。
※記載内容(所属部署・役職を含む)は制作当時のものです。