「COCOA」導入で日本でも懸念　「コロナ追跡アプリ」の「個人情報リスク」＝八田浩輔

2020年7月13日

ドイツテレコムなどが開発した新型コロナウイルスの警戒アプリ（Bloomberg）

　新型コロナウイルスが猛威をふるった欧州は、流行の沈静化を受けて域内の移動の自由を取り戻しつつある。欧州連合（ＥＵ）は打撃を受けた観光業の再活性化に向け、感染者と接触した人を追跡するスマートフォン向けアプリの導入を推奨するが、一部の国では利用が進んでいない。

　プライバシーと公衆衛生とのバランスに揺れる欧州の現状を現地から報告する。

仏の利用者は３％弱

「文化の違いやウイルスに対する考え方の違いが関係しているのかもしれない」

　フランスのセドリック・オ・デジタル担当相は６月23日の記者会見で語った。フランス政府は、新型ウイルス感染者の濃厚接触者を効率的に見つけるためのアプリを６月初めに配信した。ところが３週間がたっても利用者は１５０万人と人口の３％に満たず、アプリを通じて陽性者との接触の可能性が通知されたのはわずか14件にとどまったという。

　一方、ドイツは同時期に１０００万人近くがダウンロードし、順調な滑り出しをみせていた。明暗が分かれた両国の差について「文化の違い」と強弁するオ氏の姿に、フランスが置かれた厳しい状況がにじんだ。

　５月半ばからロックダウンが段階的に緩和された欧州では、感染第２波への備えとして任意利用の接触確認アプリの導入が始まった。各国政府が国内向けに配信するアプリは名前こそ異なるが、近距離無線通信のブルートゥースを使う基本的な仕組みはほぼ共通している。

　利用者の同意を前提にアプリを入れたスマホ同士が一定の距離に近づき、一定時間が経過すると、接触者として情報が保存される。その後、利用者の感染が判明すると、２週間程度の間に接触した人の端末に通知が届く仕組みだ。名前や電話番号などの個人情報は必要なく、データから個人を特定することはできないとされる。

　各国で判断が割れたのがデータ管理の制度設計だ。ドイツやイタリアなど大部分の国では、接触データを利用者の端末内にとどめる「分散型」のアプローチを採用する中、フランスは匿名化されたデータを政府のサーバーで一元管理する「集中型」を選んだ。

　夏の観光シーズンを前に域内の自由移動を復活させた欧州では、国境を越えたアプリの互換性が不可欠だ。

　しかし、ＥＵ欧州委員会のベステアー副委員長（デジタル政策担当）は、フランスは集中型がネックとなり、当面の間は他の加盟国のアプリと相互運用ができないと明言した。フランスはなぜ独自路線を歩むことになったのか。

ＧＡＦＡに屈した欧州

ロックダウン（都市封鎖）が終わり、旅行客などが戻ってきたイタリア・ベネチアのサンマルコ広場（Bloomberg）

　ＥＵには個人データの流通を規制する要件を定めた法律「一般データ保護規則」（ＧＤＰＲ）がある。企業などが保有する個人データの厳格な管理を求め、違反時には巨額の制裁も科すことができる。

　プライバシー保護が最重要の課題となった接触確認アプリの開発でも、当初は欧州独自の統一規格を模索する動きがあった。ドイツ、フランス、イタリアなど８カ国の研究機関が発足させた共同プロジェクトでは、集中型を念頭に開発が進められた。

　しかし、集中型には当局が集団感染などを効率的に把握しやすい利点がある一方、サイバー攻撃へのリスクや国家による監視に道を開くとの批判があった。そこに米ＩＴ大手のアップルとグーグルが分散型アプリの開発で手を組むことが発表され、欧州は主導権を奪われる。ドイツを含む多くの国が方針を転換してアップル・グーグル方式に流れたのだ。

　欧州メディアはこれをアップル・グーグル連合の「勝利」だと報じた。ＥＵは近年、両社を含むＧＡＦＡと呼ばれる米巨大ＩＴ企業への対決姿勢を強めてきた経緯がある。「世界で最も厳しい」個人データ規制とされるＧＤＰＲは、巨大プラットフォーマーを狙い撃ちしたものとの評価もあったほどだ。

　アプリ開発を巡ってフランスは「パンデミックから市民を守るのは、企業ではなく政府だ」と集中型に固執し、両社に仕様変更を求めたが協力を得られず孤立した。

　ＥＵを離脱した英国も独自に開発した集中型アプリの提供を目指していたが、６月半ばに「技術的な障壁」を理由に白旗を揚げ、アップル・グーグルとの協力を表明。

　同じく集中型を採用したＥＵ非加盟国のノルウェーは、プライバシー上の懸念から６月にアプリの運用を停止し、収集したデータは全て削除すると発表した。感染が沈静化している状況でアプリを通じてデータ収集することは適切ではないとデータ保護当局が判断した結果だった。

二分する市民の評価

　一方、ベルギーではアプリが扱うデータを巡る法的な議論が続いており、本格的な導入には至っていない。政府はパンデミックを受けて２０００人の調査員を新たに採用し、感染者の接触経路を追跡する体制を強化。アプリはマンパワーによる追跡調査を補完するものという位置づけだ。

　市民の受け止め方は割れている。ベルギー紙『ヘット・ニウスブラット』が同国のゲント大学などの研究者と協力して実施した世論調査によると、アプリが実用化された場合、51％は「インストールする」と答えたが、39％は「インストールしたくない」と回答した。データの目的外利用や監視社会の常態化に対する市民の不信感は強く、回答者の78％がコロナ危機の対応で蓄積された個人データが「別の組織や企業に渡る可能性がある」と考えていた。

　ベルギーでは４月下旬、法学者や技術者など１００人の専門家が、「アプリには法的な側面だけでなく、倫理的、社会的、政治的、そして技術的な問題が含まれている」と警告する共同声明を発表した。

　課題として挙げたのが、アプリの効果が実証されていない点や、データを見ることができるのは誰かという透明性の視点、リスクの高い高齢者や障がい者、経済的な理由でスマホを持たない人が取り残される可能性などだ。声明に加わったルーベン・カトリック大学のアントン・ベッダー教授（ＩＴ倫理）は「ＧＤＰＲの枠組みに問題はない。いま試されているのは、（ＧＤＰＲを順守できるかという）コンプライアンスの問題だ」と指摘する。

（八田浩輔・毎日新聞ブリュッセル特派員)

（本誌初出　コロナ対策と個人情報の間で揺れる欧州の「追跡アプリ」＝八田浩輔　20200721）