テクノロジー

ワクチンパスポート初の国際規格 「GVE」が目指す究極の情報保護

「データの安全性が確保できないワクチンパスオートを作るべきではない」という房氏 GVE提供
「データの安全性が確保できないワクチンパスオートを作るべきではない」という房氏 GVE提供

独自取材 ワクチンパスポート初の国際規格「GVE」が目指す究極の情報保護=大堀達也

 <第2部 データの世紀>

 新型コロナウイルスのワクチン接種証明書、いわゆる「ワクチンパスポート」を安全に運用する仕組みとして、日本のベンチャー企業GVE(東京都中央区)が開発した“ワクチンパスポートのアーキテクチャー(システム設計)”が、世界で初めて国際規格に沿ったものとして、事実上認められた。アーキテクチャーとは、技術や製品そのものではなく、システムの設計思想や構造などを指す、より大きな概念だ。

Ecma規格の活用例に

 GVEは、スイスに本社を置く大手銀行UBSグループでマネジャーを務めた元金融マンの房広治氏(GVE共同代表)を中心に設立されたフィンテック分野のスタートアップ。これまでにデジタル通貨プラットフォームの開発などを行ってきた。

 今年8月、電気通信分野の国際規格化団体Ecma(エクマ)インターナショナル(本部ジュネーブ)が、GVEの提案したワクチンパスポートのシステム設計を、Ecma規格に沿った「活用事例」として発表した。

 GVEのシステム設計が活用事例に採用されたのは、ワクチンパスポートのデータ改ざんを防ぎ、「真正性」、すなわち「接種記録が本物であることを証明する」仕組みにある。それを実現するのが、“デジタル化されたワクチンパスポートにおいて、個人データの漏えいを完全に防止するシステム設計”である。

英空港は水際対策で混乱

 ワクチンパスポートは現在、各国で導入が進んでいる段階だが、今のところ旅券(パスポート)のように世界共通でないことが、「国境を越える移動」に対応できない要因となっている。つまり、発行国が互いにパスポートを有効とするなどの取り決めを交わした国同士でしか使えない。例えば、A国のワクチンパスポートはB国では通用するが、C国では提示しても認めてもらえないといったケースが実際に起きている。

 より重要な点として、接種記録が本物であることを証明するものでなければならない。

 ワクチンパスポートの形態は、発行する国や自治体によってさまざまだ。紙のカードの場合もあれば、スマートフォンにインストールして使うアプリケーションの場合もある。

 紙のカードなら比較的容易に偽造できる。ワクチンの種類や接種日を「手書き」で記入するタイプの場合、簡単に偽造できてしまう。未接種者が「接種した」と偽って入国し、そこから感染が広がるケースも散見される。

 英国の空港では、入国審査官が欧州連合(EU)諸国からの訪英客が提示する紙製のワクチンパスポートに対して、本物か偽物かを判別できず、「水際対策が不可能」な状況だと報道された。

 偽造を防ぐには、医療機関で個人の接種記録をデジタルデータとして管理し、それをデジタル化されたワクチンパスポートとひも付ける仕組みが必要だ。

 デジタルである以上は、サイバー攻撃によるデータ漏えいを防ぐ仕組みも不可欠となる。接種記録という個人データが乱用されると危険だ。つまり、デジタル化とセキュリティーは一体として捉えなければならない。

 房氏は「デジタルのワクチンパスポートは欧州の一部の国で導入されているが、サイバー攻撃によるデータ漏えいの対策はどこも構築できていない」と警鐘を鳴らす。このままでは、2015年に起きた日本年金機構からの100万人規模の個人情報流出事件のようなケースが頻発する可能性がある。

「誰も着手していない」

 ワクチンパスポートの課題に早くから着目していたのが、自然科学分野における世界最古の学術団体「英国王立協会」だ。同協会は今年2月、ワクチンパスポートの「12のクライテリア(判断基準)」を発表した。

 その中でワクチンパスポートが満たさなければならない条件を列挙。変異株への有効性が分かるように接種日とワクチン種類を明記、国際規格化によりどの国でも使用可能、接種記録が改ざん不可能、他のアプリと互換性があるプラットフォーム設計、個人データを保護する安全性、国ごとの法律に準拠可能、国が低コストで導入可能──といった基準を打ち出した。

 王立協会と関係の深いオックスフォード大学で学び、同大の医学部教授とも交流のあった房氏は、「12のクライテリアの報告を受けたとき、当社(GVE)が開発したセキュリティーの技術がワクチンパスポートに使えると直感した」という。房氏はすぐに、GVEが「経営会議メンバー」企業として参加しているEcmaインターナショナルに対し、「ワクチンパスポートの国際規格に誰も着手していない。Ecmaで規格化すべきだ」と提案した。経営会議メンバーにはGVEのほかにグーグル、フェイスブック、IBM、マイクロソフトという米巨大IT企業も名を連ねる。

 1961年創設のEcmaは家電製品に関する規格や、「エクマ・スクリプト」と呼ばれるプログラム言語をはじめコンピューター関連規格を作成する団体だ。身近な例ではパソコンのキーボード配列を規格化した。

 Ecmaで規格化されると、その規格を、上位の規格化団体ISOが採用することでISO規格にもなり得る。直接、ISO規格を目指すのはハードルが高く、規格化までに数年単位の時間がかかる可能性がある。「まずはEcmaで規格化し、それをISOが採用するというルートが一番速いと考えた」(房氏)。

グーグルやIBMも認める

 通常Ecmaにおける規格化の提案は、年末など定期に開催されるEcma総会で行うことになっているが、ワクチンパスポートは緊急性の高さから、数カ月先の総会まで待つべき事案ではない。そこで房氏の提案を受けたEcma事務局長が、異例となる「投票による規格化」を決めた。つまりEcmaのメンバー企業から賛同を得ることができれば規格化するとした。

 具体的には、すでに規格化されている「Ecma417」という規格にGVEの提案するワクチンパスポートの機能を、「ユースケース(活用事例)」として盛り込む。

 このEcma417という規格は、「分散型リアルタイム・アクセスシステム」、すなわち、“インターネットを使って誰でも即時にデータを閲覧・共有・更新できるシステム”に関する規格だ。

 投票を行うのはEcmaを構成するメンバー企業。その中にはEcmaのオーディナリーメンバー(正規メンバー)企業のIBM、グーグル、マイクロソフト、フェイスブック(以上は経営会議メンバーも兼任)、ペイパル、日立製作所のほか、アソシエイトメンバー(準正規メンバー)企業も含まれる。後者は中国IT大手アリババ、テンセントや日本のリコーなど数十社からなる。Ecmaは、いわば世界をリードするテクノロジー企業による、「ハイテク分野の規格化をめぐる意思決定機関」と言っても過言でない。

“凄腕”技術者が協力

 そうそうたる面々の一角に日本のベンチャーのGVEが食い込んでいる理由は、元ソニーの技術者、日下部進氏がGVEのチーフセキュリティーオフィサー(CSO)を務めているからだ。日下部氏は、電子マネー「Suica(スイカ)」にも使われている近距離無線通信(NFC)規格「フェリカ」の開発者としてテクノロジーの世界で著名だ。Ecmaと関係の深い日下部氏が紹介する形で房氏率いるGVEもEcmaのメンバーになった。

 GVEがEcmaに提案したワクチンパスポートのシステム設計は、Ecmaのメンバー企業による投票の結果、8月9日に、Ecma417の活用事例として正式に採用されることが発表された。これに伴い、Ecma417も、それまでの第2版から第3版に刷新された。

不正アクセス遮断

 Ecma417は、ISOが20年11月23日に発表した、“24時間・365日稼働可能なオンラインシステム”に関する規格「ISO/IEC24643」そのもの、と言っていい(IECは電気・電子技術分野の規格化団体「国際電気標準会議」)。というのも、ISOは「24643規格は元々Ecma417規格である」との旨を明記しているからだ。これによって、GVEが提案したシステム設計は、事実上、ISO規格にも沿うものになった(図2)。

 GVEが開発した“ワクチンパスポートに高いセキュリティー機能を付加するシステム設計”が図3だ。

 最も重要なポイントがワクチンパスポート・サーバーにデータを記録する方法だ。記録の際、データの分割と暗号化を施す。異なる地域に設置されたストレージ(記憶装置)に“断片化したデータ”を記録する仕組みだ(分割処理)。一つのストレージが不正アクセスされ暗号が解読されても断片データだから元の情報には復元できない。「これがGVEのセキュリティー技術の“根幹”に当たる。現在、特許出願中だ」(房氏)。

 さまざまなサービスの共通プラットフォームになり得る点も注目だ。例えば、日本の省庁はサービスごとに異なるサーバーを使っているが、それらをGVEのプラットフォームにつなぐことで、既存のサーバーを交換することなくセキュリティーレベルを上げることができるという。システム一元化のためにサーバーを全部交換するといった必要がなく、コストがかからないのがメリットだ。

日本はどう動く?

 このシステム設計は、GVEが開発してきた中央銀行デジタル通貨(CBDC)のプラットフォームで培われた。同プラットフォームは、ワクチンパスポートとともにEcma417の活用事例に採用された。

 すでに、複数の新興国の中銀がCBDCの実現に向けてGVEの通貨プラットフォームの導入を検討している(本誌20年3月10日号・特集「中央銀行デジタル通貨 最前線」参照)。

 課題もある。房氏は「優れた技術でも、実際に国や自治体が導入してくれなければ意味がない」と話す。確かに、近く実用化が始まると見られる日本政府発行のワクチンパスポートも、今のところ、GVEのシステム設計を取り入れてはいない。

「今後も周知活動に力を入れていくが、国にデータの保護に対する理解を深めてもらうことが一番大事だ」(房氏)。

「ボーン・グローバル」

 2010年代から“ボーン・グローバル”と呼ばれるスタートアップの台頭が目立つ。生まれたとき(born)から世界市場(global)でビジネス展開することを目的とした新興企業だ。

 ライドシェアで世界を席巻した米ウーバー・テクノロジーズ、ドローンでトップメーカーとなった中国DJIなどはその代表格。原動力はインターネットの発達だ。

 だが、ネットは今、さらなる進化のために「データの安全性」を必要とする段階にある。世界中のテクノロジー企業が次の大市場とにらむ「究極のデータセキュリティー」。それを提供できれば、GVEは日本のボーン・グローバルの成功例となるかもしれない。

(大堀達也・編集部)

インタビュー

週刊エコノミスト最新号のご案内

週刊エコノミスト最新号

8月23日号

電力危機に勝つ企業12 原発、自由化、再エネの死角 オイルショックを思い出せ ■荒木 涼子/和田 肇15 電力逼迫を乗り越える 脱炭素化が促す経済成長 ■編集部16 風力 陸上は建て替え増える 洋上は落札基準を修正 ■土守 豪18 太陽光 注目のPPAモデル 再エネは新ビジネス時代へ ■本橋 恵一2 [目次を見る]

デジタル紙面ビューアーで読む

おすすめ情報

編集部からのおすすめ

最新の注目記事