第37回コロナ追跡アプリのリスクとメリット

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

集中型システムと分散型システムの違い

コロナ禍でドイツを含むいくつかの国では、もうすでにさまざまな「追跡アプリ（または接触確認アプリ）」を開発、もしくは実用化している。その目的は、新型コロナウイルスの感染拡大をできるだけ抑えること。追跡アプリには主に集中型と分散型の二つのアプローチがあるが、必ず必要となるデータは以下の四つだ。

❶ ユーザーと他の人との距離
❷ 他の人と接近した日時・期間
❸ 誰が新型コロナウイルスに感染したか
❹ 一人ひとりを追跡するためのID

ドイツではまず、集中型システムである「Pan-European Privacy-Preserving Proximity Tracing（PEPP-PT）」の採用が検討されてきた。しかし、集中型では中央サーバーが全データを処理するため、ハッカーに狙われやすく、データ侵害が起こりやすいなどの欠点がある。そこで、ドイツでは分散型システムの「Decentralized Privacy-PreservingProximity Tracing（DP-3T）」を採用することが5月に決まった。分散型では、端末側でIDを匿名化してデータを処理するため、中央サーバーで扱うデータ量が最小限となり、GDPR（EU一般データ保護規則）の観点からも安全性が高いといえる。

国民の56％が使わなければ意味がない?

ドイツで著名なホワイトハッカー集団である「Chaos Computer Club（ CCC）」は、追跡アプリに完全性を求めないと述べている。その代わり、アプリを容認するための「最低条件」として、最低限達成されねばならない要件を提言している。例えば、透明性と検証可能性などの社会的要件、データの最小化や匿名性などの技術的要件である。

オックスフォード大学のビッグデータ研究所の調査では、国民の56%が追跡アプリを使用しなければ、あまり効果が得られないのではないか、と報告されている。ところが、4月に2258人のドイツ人を対象に行われたアンケート調査によれば、追跡アプリを使いたいと回答した人は44%にとどまった。

もしユーザーを一定数獲得でき、追跡アプリが効果的に機能すれば、ウイルスの拡大を抑えることができるだろう。しかし、望ましい結果を得るには、データの取り扱いにハイリスクが伴うことも念頭に置いておこう。

ドイツでは6月16日から追跡アプリを配信している