コロナ拡大防止策「Contact Tracing」の仕組み

コロナ拡大防止策「Contact Tracing」の仕組み

2020年8月5日

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年4月23日 
  • タイトル:コロナ拡大防止策「Contact Tracing」の仕組み
  • 発表者:株式会社データサイン代表取締役 太田 祐一

AppleとGoogleが共同発表した技術仕様

2020年4月、AppleとGoogleが新型コロナウイルス感染拡大防止に向けて、「Contact Tracing(コンタクトトレーシング)」に関する新たな技術を共同発表しました。この技術は新型コロナウイルス感染症の陽性患者と過去2週間以内に濃厚接触した可能性があることをアプリ利用者に通知するものです。データサインの太田祐一は、その仕組みやプライバシー上の留意点について解説しました。

コンタクトトレーシングは、「接触確認」と一般に和訳されます。新型コロナウイルス感染症の陽性患者と濃厚接触した可能性のあるデバイス(スマートフォンやタブレット)のユーザーに、外出を控えるなどの行動変容を促すガイダンスを提供したり、場合によっては国の公衆衛生機関が連絡を取ったりするための技術です。

AppleとGoogleによる共同発表以前に、すでに各国の政府や団体によりこの技術を用いたアプリ開発が進められていました。その先駆けとされるのが、シンガポール政府によって開発されたアプリ「TraceTogether」です。

「シンガポールで開発されたアプリは当初、アプリ利用者の電話番号をキーとしてデータを一元的に管理する仕組みでした。政府の保健機関からの電話連絡が可能なので、感染症の治療や感染拡大防止に寄与する面も期待されますが、電話番号を利用するため自分が感染者であることが他者から特定されてしまうプライバシー侵害のリスクがありました」と太田は説明します。

この懸念に対して、iOSデバイスを提供するAppleと、Androidのデバイスを提供するGoogleが協力し、プライバシーに配慮しつつ、両社のデバイス間でデータの相互運用を可能とするAPIおよびプラットフォームの仕様を公開した、というのが共同発表の内容でした。TraceTogetherも、その後のバージョンアップでこちらの仕様を取り入れています。

プライバシーに配慮した接触確認アプリの仕組み

接触確認アプリは、データを送信する機能と、受信する機能から構成されます。これらの機能を有効にするには、利用者の同意が前提となります。

アプリの送信側の機能はさらに2つの役割に分けられます。1つは、デバイスごとに生成されるランダムなID(Rolling Proximity Identifier)を他のデバイスに対してブロードキャストする役割です。もう1つは新型コロナウイルス感染症の検査で陽性と判定された利用者の意思に基づく自己申告操作により、デバイス固有のキーのサブセットと送信日時をまとめた暗号データを、サーバー側に送信する役割です。

「Rolling Proximity Identifierは、暗号化されたデバイス固有のキーをさらに別の関数で二重に暗号化したものです。なお、サーバー側には電話番号など個人を特定できるデータは一切登録されないので、プライバシーが保護される仕組みと言われています」(太田)

送信側の1つめの役割である、デバイスごとに生成されるランダムなIDはおよそ10分ごとに変更されるため、受信側がこのIDに基づいてユーザーやその位置情報を特定することはできません。

受信側の機能も2つの役割に分けられます。1つは送信側のデバイスからブロードキャストされたランダムなIDを受信する機能です。利用者のデバイスと付近のデバイスが、刻々と変化するランダムな IDを、Bluetoothを介してやりとりします。このデータ交換の処理は、アプリが起動していなくてもバックグラウンドで実行されます。

受信側のもう1つの機能が、データ交換により得られたランダムなIDのリストを、サーバー側から通知される新型コロナウイルス感染症の検査で陽性と判定されたすべてのランダムなキーと照合することです。

「照合には、送信者が二重に暗号化した際の関数が用いられます。この関数は送受信機能を担うどのデバイスにも搭載されているので、サーバー側から送られてきたキーをIDに受信側デバイスで暗号化、すなわち再導出します」(太田)

照合の結果、一定期間内に濃厚接触があったことが検出されると受信側デバイスに通知が表示され、受信者と周囲の人々の安全を守るための公衆衛生機関によるガイダンスなどがアプリを通じて表示されます。

UUIDはなぜ必要?

気になるのは、Bluetoothの仕様上、送信側が受信側にブロードキャストする際に、ランダムなIDとともに、デバイス固有のUUID(Universally Unique Identifier)がセットになって配信されてしまう点です。

この点について太田は、「仕様上とはいえプライバシー上の観点では欠点だと思います。そのため、受信側でUUIDを保存しないように仕様に基づいて慎重に設計する必要があるでしょう」と述べます。

Googleのプレスリリースによると接触確認アプリを開発・提供するのはGoogleやAppleではなく、利用者が住む国や地域の公衆衛生機関のみです。また個人情報が他のユーザー、GoogleまたはAppleと共有されることはない、とあります。

とはいえ、接触確認アプリも万能ではありません。アプリ未使用感染者の接触を検知できない偽陰性および、接触自体が必ずしもその感染の原因を意味しない偽陽性などの誤差も考慮しておかなければなりません。

「感染症の情報源としては、人口の8割程度など高い利用率がなければ、期待した情報は得られないのではないでしょうか。利用者を増やすには、電話番号や住所など個人情報を入力させず、匿名で行動変容につながるガイダンスを得られるような配慮が大切です。なるべくGoogleとAppleの仕様を改変せずプレーンに利用することが、アプリ開発において必要だと考えています」と太田は述べました。

なお、国内では、「COCOA」と呼ばれる接触確認アプリが厚生労働省のサイトからダウンロード可能です。政府が掲げるGo To キャンペーン前日の2020年7月21日17:30時点では、781万件のダウンロード(iOS、Android両方の合計数)と公表されています。

お問合せ