Howdy! How can we help you?
(engagemedia)COVID-19のコンタクトトレーシング。私たちはプライバシー、権利、自由でどのような犠牲を払うのか?
以下は、engagemediaのブログの記事の翻訳です。engagemediaは主に、アジア太平洋地域の社会問題のドキュメンタリー映像の制作や配信を支援している非営利団体です。(小倉利丸)
Khairil Zhafri December 17, 2021 4:35 pm
接触者追跡アプリはCOVID-19の拡散を抑えるのに役立つのか?それとも、私たちに誤った安全感を与えると同時に、私たちのプライバシー、権利、自由を奪う、単なるセキュリティ・シアターなのでしょうか?
アジア太平洋地域のCOVID-19コンタクト・トレーシング・アプリのほとんどは、Bluetooth Low Energy(BLE)を介してデバイス間で交換されるデジタル・トークン、スキャンされるQRコードからのチェックイン・データ、またはその両方を利用しています。
これらのアプリは、至る所で利用されるようになるにつれ、ワクチン証明vaccine certificationなど、コンタクトトレースとは関係のない、あるいは必要のない機能が導入される傾向にあります。また、(インドネシアのように)プライバシー、セキュリティ、アクセシビリティに配慮することなく、公的機関が第三者による商用サービスとの統合を公然と推進している場合は、特に懸念されます。これらの追加機能は、より多くのモバイルデータを必要とし、より多くのデバイス容量を使用するため、格安スマートフォン(スマートフォン以外の機種は言うまでもありません)を使用するユーザーには不利益となります。
また、これらのアプリの中には(インドネシアのPeduliLindungiのように)、GPSを使って人々を追跡し、COVID-19の感染率が高い「レッドゾーン」にいるかどうかを表示するものもあります。また、これらのアプリに共通する機能として、COVID-19の評価ツールがあり、ユーザーを他の人に感染させるリスクが高い、中程度、低いと分類します。例えば、中国の「HealthCode」では、ユーザーのリスク状態を赤、黄、緑に指定する「トラフィックライト」システムを採用しています。また、COVID-19の日次統計や検査部位などの公衆衛生情報を提供しているものも多く、これらはすでに政府のウェブサイトで公開され、ニュースメディアでも取り上げられています。
表1 – 接触者追跡アプリの機能比較
コンタクトトレーシングアプリが実際に必要とする個人データとは?
コンタクトトレーシングアプリが機能するためには、基本的に3つのことだけすべきです。
1 ユーザーのBluetoothトークンやデバイスでスキャンされたQRコードの位置情報を保存するだけで十分です。
2 保存されたトークンやデータを分析して、妥当な期間内に感染者との密接な接触があったかどうかを調べる。
3 濃厚接触があった場合は、公衆衛生当局がユーザーに感染の可能性を通知し、COVID-19の検査を受けて自力で隔離できるようにする。
このアプリでは、保健当局がFTTIS(Find-Test-Trace-Isolate-Support)戦略を効果的に実施できるための個人を特定できる最小限の情報しか必要としません。ブルネイのBruHealthのプライバシーポリシーでは、個人情報、物理的な位置と移動、デバイスのシステムとネットワーク情報(IMEI、IMSI、SSID、BSSIDなど)を含む広範囲のデータを収集すると記載されています。このような過剰なデータ収集は、デジタルセキュリティや国家による監視に関わる重大な問題を引き起こす可能性があります。
表2:連絡先追跡アプリと個人データ保護
| 個人データ | 保護方針 | 国の個人データ保護法 状況 | |
| オーストラリア – COVIDSafe | 電話番号、名前、年齢層、郵便番号 | 目立つように表示 | Privacy Act 1988 |
| バングラデシュ – Corona Tracer BD | 電話番号、ID カード、ジオロケーション | 表示されない | 包括的な個人データ保護法なし |
| ブルネイ – BruHealth | 氏名、性別、生年月日、身分証明書または出生証明書の番号、住所、電話番号、電子メールアドレス、健康記録番号、身分証明書のコピー、写真、デバイスおよびネットワークの識別子 | アプリに関するウェブページ にリンクされていない | 包括的な個人情報保護法なし |
| インドネシア – Peduli Lindungi | 氏名、身分証明書番号、電話番号またはメールアドレス、ジオロケーション、健康記録 | ウェブ上では非常に目立つように表示されているが、アプリ内ではそうではない | 包括的な個人情報保護法案が立法化 |
| マレーシア – MySejahtera | 氏名、身分証明書またはパスポート番号、生年月日、出身国、電話番号、電子メール、性別、デバイス情報 | 目立つように表示 | 2010 年個人データ保護法、政府には適用されない |
| ミャンマー – Saw Saw Shar | 氏名、携帯電話番号、デバイスおよびネットワークの識別子 | ウェブサイトへのアクセスは不可能 | 包括的な個人データ保護法はない |
| フィリピン – Stay Safe PH | 氏名、年齢、性別、連絡先、写真、住所、電子メールアドレス | 目立つように表示 | 個人情報保護法 2012年 |
| シンガポール – TraceTogether | 名前、生年月日、電話番号、ID カードまたはパスポート番号 | 目立つように表示 | 2012 年個人データ保護法 |
| ベトナム – Bluezone | 名前、電話番号、住所 | よくある質問と利用規約として表示 | 個人データ保護令(2021年12月施行) |
連絡先追跡アプリは、本当にその通りに機能するのでしょうか?
考えてみてください。あなたの国でCOVID-19コンタクトトレーシングアプリがリリースされてから、実際に感染者と密接に接触していることを知らされたのは何回あったでしょうか?
パンデミックの影響が広範囲に及んでいることを考えると、過去18ヶ月間に数回以上、密接な接触があったことを知らされたと考えるのが妥当でしょう。マレーシアのような国ではそうではありません。マレーシアでは、低迷する経済を回復させるために、渡航制限のほとんどを解除し、企業の安全な再開を推進しています。ある議員は、マレーシアの契約トレースアプリ「MySejahtera」を「機能不全」と呼んでいます。これは、アプリの使用が義務付けられ、すべての政府機関や企業で普遍的に採用されているにもかかわらず、アプリを使って実際に行われている連絡先のトレースがほとんどないためです。
また、国によっては複数のコンタクトトレースアプリを持っているところもあります。オーストラリアでは、2020年4月に国が導入した「COVIDsafe」アプリは、州政府が義務化したQRベースのさまざまなアプリにほぼ置き換えられている。マレーシアではBluetoothベースの「MyTrace」を開発しましたが、QRベースの「MySejahtera」に切り替えて実質的に放棄しました。タイでは、国民がMor Chanaアプリに反発したため、政府はその使用を義務付けることを撤回しました。このような公共政策のリーダーシップの乱れは、FTTIS戦略全体の焦点、エネルギー、リソースを奪い、個々のユーザーの個人データ、健康、安全を二の次にする、政治的・商業的利益の競合を反映しています。
これらの連絡先追跡アプリの安全性は?
世界中の人々は、個人データがどのように収集、保存、処理されるかについて、より透明性を求めるべきです。アプリが実際にどのように機能し、どのような技術が使われているのかは、ユーザーに広く伝えられていません。ここでは、政府が使用させている連絡先追跡アプリについて、政府に問い合わせるべき質問をいくつか紹介します。
1 デバイスに保存されているデータ、ネットワークを介して転送されるデータ、または他の場所に保管されているデータは、暗号化されていないのか?何が暗号化されていて、何がされていないのか?暗号化はどのように行われているか?
2 誰がそのアプリを開発し、どのようにして選ばれたのか?誰がデータにアクセスできるのか?どのようなデータにアクセスできるのか?
3 アプリとそれをサポートするインフラストラクチャはどのくらいの期間データを保持するのか?アプリが廃止された場合、データはどうなるのか?
4 アプリはオープンソースか、第三者による監査・検証を受けているのか?
私たちは、これらのアプリにもっと反対すべきです。例えば、ブルネイの「BruHealth」やインドネシアの「PeduliLindungi」は、政府が収集の必要性を証明しておらず、適切なデータ保護が提供されていない健康記録を保存しています。今年9月、インドネシアのメディアは、PeduliLindungi社からジョコ大統領自身のワクチン証明書が流出し、電子文書にジョコ大統領の国民IDカード番号が記載されていたと報じました。現在までに、セキュリティの専門家から懸念が示されているにもかかわらず、この漏洩事件に対する明確な対応策や、アプリ上のユーザーデータを保護するための具体的な方策は示されていません。
FTTISのアプローチは公衆衛生管理を目的としており、適切な管理と保護措置を講じた上で、大量の連絡先を追跡するという正当な目的があります。しかし、国家によるあらゆる形態の監視には一線を引かなければなりません。1月、シンガポールの内務大臣は、警察がTraceTogetherのデータを犯罪捜査に使用する可能性があることを認めましたが、これは連絡先追跡アプリの目的からは明らかに逸脱しています。シンガポール議会は、世論の大きな反発を受けて、警察がこのアプリを殺人やテロなどの重大な犯罪の捜査に限定する法律を可決しました。このように、デフォルトで監視機能が組み込まれているのは、非常に危険な状態であり、十分な注意が必要です。マレーシアでは、同様の問題を提起した人権擁護者たちが、当局による迫害に直面しています。私たちは、政府の忍び寄る権威主義的な傾向に警戒し、訴えていくために、もっと努力しなければなりません。
Khairil ZhafriはEngageMediaのDigital Rights and Technology Managerです。彼についての詳細は、チームページをご覧ください。
出典:https://engagemedia.org/2021/contact-tracing/