経済・企業脱炭素・DX　技術革命

ワクチンパスポート初の国際規格　「ＧＶＥ」が目指す究極の情報保護

2021年11月1日

「データの安全性が確保できないワクチンパスオートを作るべきではない」という房氏　ＧＶＥ提供

独自取材　ワクチンパスポート初の国際規格「GVE」が目指す究極の情報保護＝大堀達也

　＜第2部　データの世紀＞

　新型コロナウイルスのワクチン接種証明書、いわゆる「ワクチンパスポート」を安全に運用する仕組みとして、日本のベンチャー企業GVE（東京都中央区）が開発した“ワクチンパスポートのアーキテクチャー（システム設計）”が、世界で初めて国際規格に沿ったものとして、事実上認められた。アーキテクチャーとは、技術や製品そのものではなく、システムの設計思想や構造などを指す、より大きな概念だ。

Ecma規格の活用例に

　GVEは、スイスに本社を置く大手銀行UBSグループでマネジャーを務めた元金融マンの房広治氏（GVE共同代表）を中心に設立されたフィンテック分野のスタートアップ。これまでにデジタル通貨プラットフォームの開発などを行ってきた。

　今年8月、電気通信分野の国際規格化団体Ecma（エクマ）インターナショナル（本部ジュネーブ）が、GVEの提案したワクチンパスポートのシステム設計を、Ecma規格に沿った「活用事例」として発表した。

　GVEのシステム設計が活用事例に採用されたのは、ワクチンパスポートのデータ改ざんを防ぎ、「真正性」、すなわち「接種記録が本物であることを証明する」仕組みにある。それを実現するのが、“デジタル化されたワクチンパスポートにおいて、個人データの漏えいを完全に防止するシステム設計”である。

英空港は水際対策で混乱

　ワクチンパスポートは現在、各国で導入が進んでいる段階だが、今のところ旅券（パスポート）のように世界共通でないことが、「国境を越える移動」に対応できない要因となっている。つまり、発行国が互いにパスポートを有効とするなどの取り決めを交わした国同士でしか使えない。例えば、A国のワクチンパスポートはB国では通用するが、C国では提示しても認めてもらえないといったケースが実際に起きている。

　より重要な点として、接種記録が本物であることを証明するものでなければならない。

　ワクチンパスポートの形態は、発行する国や自治体によってさまざまだ。紙のカードの場合もあれば、スマートフォンにインストールして使うアプリケーションの場合もある。

　紙のカードなら比較的容易に偽造できる。ワクチンの種類や接種日を「手書き」で記入するタイプの場合、簡単に偽造できてしまう。未接種者が「接種した」と偽って入国し、そこから感染が広がるケースも散見される。

　英国の空港では、入国審査官が欧州連合（EU）諸国からの訪英客が提示する紙製のワクチンパスポートに対して、本物か偽物かを判別できず、「水際対策が不可能」な状況だと報道された。

　偽造を防ぐには、医療機関で個人の接種記録をデジタルデータとして管理し、それをデジタル化されたワクチンパスポートとひも付ける仕組みが必要だ。

　デジタルである以上は、サイバー攻撃によるデータ漏えいを防ぐ仕組みも不可欠となる。接種記録という個人データが乱用されると危険だ。つまり、デジタル化とセキュリティーは一体として捉えなければならない。

　房氏は「デジタルのワクチンパスポートは欧州の一部の国で導入されているが、サイバー攻撃によるデータ漏えいの対策はどこも構築できていない」と警鐘を鳴らす。このままでは、2015年に起きた日本年金機構からの100万人規模の個人情報流出事件のようなケースが頻発する可能性がある。

「誰も着手していない」

　ワクチンパスポートの課題に早くから着目していたのが、自然科学分野における世界最古の学術団体「英国王立協会」だ。同協会は今年2月、ワクチンパスポートの「12のクライテリア（判断基準）」を発表した。

　その中でワクチンパスポートが満たさなければならない条件を列挙。変異株への有効性が分かるように接種日とワクチン種類を明記、国際規格化によりどの国でも使用可能、接種記録が改ざん不可能、他のアプリと互換性があるプラットフォーム設計、個人データを保護する安全性、国ごとの法律に準拠可能、国が低コストで導入可能──といった基準を打ち出した。

　王立協会と関係の深いオックスフォード大学で学び、同大の医学部教授とも交流のあった房氏は、「12のクライテリアの報告を受けたとき、当社（GVE）が開発したセキュリティーの技術がワクチンパスポートに使えると直感した」という。房氏はすぐに、GVEが「経営会議メンバー」企業として参加しているEcmaインターナショナルに対し、「ワクチンパスポートの国際規格に誰も着手していない。Ecmaで規格化すべきだ」と提案した。経営会議メンバーにはGVEのほかにグーグル、フェイスブック、IBM、マイクロソフトという米巨大IT企業も名を連ねる。

　1961年創設のEcmaは家電製品に関する規格や、「エクマ・スクリプト」と呼ばれるプログラム言語をはじめコンピューター関連規格を作成する団体だ。身近な例ではパソコンのキーボード配列を規格化した。

　Ecmaで規格化されると、その規格を、上位の規格化団体ISOが採用することでISO規格にもなり得る。直接、ISO規格を目指すのはハードルが高く、規格化までに数年単位の時間がかかる可能性がある。「まずはEcmaで規格化し、それをISOが採用するというルートが一番速いと考えた」（房氏）。

グーグルやIBMも認める

　通常Ecmaにおける規格化の提案は、年末など定期に開催されるEcma総会で行うことになっているが、ワクチンパスポートは緊急性の高さから、数カ月先の総会まで待つべき事案ではない。そこで房氏の提案を受けたEcma事務局長が、異例となる「投票による規格化」を決めた。つまりEcmaのメンバー企業から賛同を得ることができれば規格化するとした。

　具体的には、すでに規格化されている「Ecma417」という規格にGVEの提案するワクチンパスポートの機能を、「ユースケース（活用事例）」として盛り込む。

　このEcma417という規格は、「分散型リアルタイム・アクセスシステム」、すなわち、“インターネットを使って誰でも即時にデータを閲覧・共有・更新できるシステム”に関する規格だ。

　投票を行うのはEcmaを構成するメンバー企業。その中にはEcmaのオーディナリーメンバー（正規メンバー）企業のIBM、グーグル、マイクロソフト、フェイスブック（以上は経営会議メンバーも兼任）、ペイパル、日立製作所のほか、アソシエイトメンバー（準正規メンバー）企業も含まれる。後者は中国IT大手アリババ、テンセントや日本のリコーなど数十社からなる。Ecmaは、いわば世界をリードするテクノロジー企業による、「ハイテク分野の規格化をめぐる意思決定機関」と言っても過言でない。

“凄腕”技術者が協力

　そうそうたる面々の一角に日本のベンチャーのGVEが食い込んでいる理由は、元ソニーの技術者、日下部進氏がGVEのチーフセキュリティーオフィサー（CSO）を務めているからだ。日下部氏は、電子マネー「Suica（スイカ）」にも使われている近距離無線通信（NFC）規格「フェリカ」の開発者としてテクノロジーの世界で著名だ。Ecmaと関係の深い日下部氏が紹介する形で房氏率いるGVEもEcmaのメンバーになった。

　GVEがEcmaに提案したワクチンパスポートのシステム設計は、Ecmaのメンバー企業による投票の結果、8月9日に、Ecma417の活用事例として正式に採用されることが発表された。これに伴い、Ecma417も、それまでの第2版から第3版に刷新された。

不正アクセス遮断

　Ecma417は、ISOが20年11月23日に発表した、“24時間・365日稼働可能なオンラインシステム”に関する規格「ISO／IEC24643」そのもの、と言っていい（IECは電気・電子技術分野の規格化団体「国際電気標準会議」）。というのも、ISOは「24643規格は元々Ecma417規格である」との旨を明記しているからだ。これによって、GVEが提案したシステム設計は、事実上、ISO規格にも沿うものになった（図2）。

　GVEが開発した“ワクチンパスポートに高いセキュリティー機能を付加するシステム設計”が図3だ。

　最も重要なポイントがワクチンパスポート・サーバーにデータを記録する方法だ。記録の際、データの分割と暗号化を施す。異なる地域に設置されたストレージ（記憶装置）に“断片化したデータ”を記録する仕組みだ（分割処理）。一つのストレージが不正アクセスされ暗号が解読されても断片データだから元の情報には復元できない。「これがGVEのセキュリティー技術の“根幹”に当たる。現在、特許出願中だ」（房氏）。

　さまざまなサービスの共通プラットフォームになり得る点も注目だ。例えば、日本の省庁はサービスごとに異なるサーバーを使っているが、それらをGVEのプラットフォームにつなぐことで、既存のサーバーを交換することなくセキュリティーレベルを上げることができるという。システム一元化のためにサーバーを全部交換するといった必要がなく、コストがかからないのがメリットだ。