英国は、NHSのCOVID-19接触追跡アプリのリリースに際して、世界的な合意と専門家の分析に耳を傾けず、新たなコロナウイルスの失策に陥りつつある。
英国政府は月曜日、ワイト島で試験運用中のiOSおよびAndroidスマートフォンアプリの仕組みと、他国が採用を決定したAppleとGoogleのアプリよりも優れたソリューションである理由について、詳細かつ明快な言葉で説明した。また、より技術的な説明も公開した。
英国民にとって残念なことに、この説明は首尾一貫しており、冷静で、理にかなっていて、もっともらしいものの、政府が当初、全国的なロックダウンの必要性を否定する手段として支持した、悲惨な「集団免疫」アプローチの繰り返しになりそうだ。この政策もまた、少数の非常に有能な医師や科学者によって、理にかなっており、うまく説明されていたが、たまたま彼らが間違っていたのだ。
現状はこうです。コロナウイルス接触追跡アプリには、大きく分けて2つのタイプがあります。中央集権型と分散型です。前者は、ユーザーのスマートフォンからデータを取得し、中央システムに保存します。そこで専門家がデータを最大限に活用し、必要に応じてユーザーにアドバイスを提供します。
AppleとGoogleが提唱する2つ目の分散型アプローチは、ユーザーが自身の情報をよりコントロールしやすく、第三者の介入なしに自動的に警告を発します。AppleとGoogleは、匿名化されたAPIを使用するアプリが位置情報サービスにアクセスして個人を追跡・特定することを、圧力にもかかわらず禁止しました。さらに、このインターフェースの使用は、国ごとに、または米国では州ごとに1つのアプリのみに許可すると発表しました。
どちらのタイプも、Bluetoothを使用して、ソフトウェアを実行している近くの携帯電話を検出します。そのため、誰かがコロナウイルスに感染した場合、その患者の携帯電話から6フィート(約1.8メートル)以内に数分以上いた場合に警告が送信されます。
私たちにお任せください
国立サイバーセキュリティセンター(NCSC)のテクニカルディレクター、イアン・レヴィ博士は自身の投稿で、スマートフォンのソフトウェアから収集されたすべてのデータに医療専門家がアクセスできるようにすることが、ウイルスを撃退するための良いアイデアである理由を説得力のある言葉で説明した。
「保健当局はリスクモデルを使ってどの接触者が最もリスクが高いかを判断し、何らかの措置を取るよう通知することができる」と彼は指摘し、「重要なのは、保健当局が病気がどのように広がっているかを理解するのに役立つ匿名データと、分析を行うための匿名の接触グラフを持っていることだ」と付け加えた。
「つまり、保健当局は、ある匿名の人物が人々に非常に感染力が高い可能性があることを発見できるのです。システムはその人物が誰なのかは把握できませんが、その人物との接触はよりリスクが高いと評価され、特定の接触による感染リスクを適切に調整できるのです。」
英国のCOVID-19接触追跡アプリのデータは危機終息後も「研究」のために保存される可能性があると議員に伝えられた
続きを読む
彼はこの点を証明するために、2つの有名な疫学上の逸話、「チフスのメアリー」と「ジョン・スノー」を挙げました。メアリー・マロンは1900年代初頭、ニューヨークで料理をしていた人物です。彼女はチフスに罹患していましたが、症状は出ませんでした。しかし、彼女は一般の人々とは隔離されていた多くの家庭に感染を広げました。なぜ人々が感染するのかは誰も解明できませんでしたが、メアリーが感染の連鎖を作ったことが分かりました。
同様に、ジョン・スノーは1850年代にロンドンで発生したコレラの発生源を突き止め、ソーホーのブロードウィック・ストリートにある水道ポンプまで遡らせ、ハンドルを外すことで事態を収拾させました。しかし、後の調査によると、その頃には既に流行は終息に向かっていたことが示唆されています。ちなみに、同じ場所には銘板とポンプがあり、向かいにはジョン・スノー・パブがあり、記者はそこで幾度となく楽しい時間を過ごしました。
AppleとGoogleの分散型モデルは人々のプライバシーを保護する一方で、当局の目をくらませてしまうという議論があります。このモデルは、国民の分析を通して最も支援できる人々の手の届かないところに、公衆衛生上の大惨事を置き去りにしてしまうのです。一方、人々のデータを収集・分析するNHSの中央集権型手法の根底にあるのは、ほぼ明白です。プライバシーの重要性は誰もが理解しているものの、専門家に任せようではありませんか?少しのデータを手放して命を救おう。この点では、あまりヨーロッパ的になりすぎないようにしましょう。
それで、えーと、問題が…
しかし、NHSのアプローチには懸念がある。宣伝どおりに機能するには回避策が必要であり、期待どおりには機能しない可能性があり、ウイルスの拡散を測定するのもそれほど正確ではない可能性がある。
AppleのiOSは通常、バックグラウンドで実行されているアプリケーションがBluetooth経由でブロードキャストすることを禁止しています。つまり、接触追跡アプリを正常に動作させるには、常にフォアグラウンドで開いたままにしておく必要があります。
しかし、このOSは、NHS追跡アプリなどのソフトウェアが特別なモードで動作することを許可しています。これにより、近くのiPhoneやiPadにBluetooth経由で自身を通知し、バックグラウンドで動作している場合でも、他のデバイスに自身のコピーが存在するかどうかを監視できます。ただし、これには厳しい制限があります。
例えば、Appleはバックグラウンドアナウンスは他のiOSデバイスとのみ連携するように設計されていると述べているが、Androidアプリはこれを回避できるようにプログラムできる。例えば、デバイスがBluetooth経由で他のデータを送信している場合、iOSアプリの送信は遅延する可能性がある。アプリは一度に10秒程度起動して、接触追跡アプリを実行している近くのスマートフォンと通信するか、あるいは強制終了または速度制限を受ける。
Apple はまた、「Bluetooth 関連の多くのタスクを実行するには、iOS デバイスのオンボード無線を積極的に使用する必要があり、その結果、無線の使用は iOS デバイスのバッテリー寿命に悪影響を及ぼします」と警告しています。
一方、Google Android バージョン 8 以降では、接触追跡アプリがバックグラウンドに移行した後、数分間だけ存在を通知できます。これらのアプリは Android 上でフォアグラウンド サービスとして常時実行され、他のプログラムがフォアグラウンドで実行されている間はアクティブであることを示すアイコンが表示されます。ただし、これはバッテリー消費にあまり優しくなく、Google も推奨していないため、ユーザーが電力節約のためにアプリを使用しなくなる可能性があります。
そのため、iOSとAndroidの環境下で動作するように妥協が行われました。分散型のApple-Google APIは、OSがバックグラウンドですべてを自動的に処理するため、バッテリー寿命に優しく、より正確である可能性があります。しかし、OSの非互換性、実行と転送の制限、あるいはソフトウェアのバッテリー消費が激しすぎてユーザーが気にしない、あるいはアプリの実行を忘れてしまうなどの理由で、人との出会いが見逃される可能性があります。
例えば、iOSの接触追跡アプリが、アプリが閉じられたり、iPhoneがスリープ状態になったりすると、近くのAndroidスマートフォンから消えてしまう様子を捉えた便利な動画があります。このアプリはオーストラリアのBluetoothベースのCOVIDSafeソフトウェアで、NHSのアプローチと同様に、AppleとGoogleのAPIを使用していません。
皆さんが興味を持っているようなので、iPhoneでCOVIDSafeアプリが失敗する動画を載せておきます。画面がオンでアプリがフォアグラウンドになっていないと、アプリの動作に必要なUUIDをブロードキャストするのは文字通り不可能です。pic.twitter.com/X5lpyeKL1A
— ジョシュア・バード(@phocks)2020年5月1日
NHSは、少なくともiOS上では、特別なバックグラウンドモードでアプリを実行し、近くのデバイスで実行中であることを検知するとアプリを一時的に起動することで、エンジニアがこれらの制限を「十分に」回避したと主張している。また、近くのiOSデバイスにアプリの存在を知らせることも可能だ。
円を四角にする
英国の取り組みに関するもう一つの懸念は、英国の取り組みはデータの非公開を保ち、位置データは保存されず個人にも添付されないと主張しているものの、実際には、データが非公開にされず、位置データが保存され個人に添付される場合にのみ約束どおりに機能するという点である。
レヴィ氏は繰り返しこの矛盾を正そうと試み、滑稽な主張へと発展した。彼は箇条書きで、アプリは「ユーザーの個人情報を一切保持せず、位置情報も収集せず、誰が症状を呈しているかを特定できないよう設計されている」と大胆に述べ、「匿名データのみを保持し、プライバシー保護ゲートウェイを介して他のNHSシステムと通信する」と強調した。
しかし、アプリをインストールして開くと、文字通り最初に何をするのでしょうか?郵便番号を尋ね、携帯電話の正確なメーカーを記録します。
レヴィ氏は、「大きな乱数」も生成され、これはスマートフォンの接触追跡アプリのコピーと紐付けられていると説明した。この128ビットのIDは、あるスマートフォンのアプリが近くのスマートフォンと通信範囲内に入った際に、Bluetooth経由で交換される。この交換情報には、IDが検出された正確な時刻、スマートフォン同士が接近していた時間、そして信号強度が含まれており、距離の計算に利用される。このデータは最終的に、ユーザーが希望した場合にNHSと共有される。
交換されるデータも暗号化されており、NHSは復号できますが、他のユーザーは復号できません。これらのID番号はサーバー側で生成され、中央集権システムにおける個人の固有の指紋として機能していると理解しています。
レヴィ氏はまた、「現在」「郵便番号の最初の部分」のみが収集・保存されており、「主にNHSのリソース計画のため」だと指摘した。さらに、「デバイスやユーザーから個人を特定できる情報や個人情報は一切収集されません」と付け加えた。
それは重要ですか?
おそらく、このような説明の目的は、膨大なデータベースを接続することでインターネット経済全体がどのように機能するかを理解していない大多数の英国民を安心させることだろう。
ユーザーごとに一つずつデータ(例えば「大きな乱数」)を頼りにできる限り、他のすべてを繋げることができます。さらに郵便番号も知っていれば、その作業は100倍簡単になります。Facebookって聞いたことありますか?データセット間の点と点を繋げる能力があるからこそ、Facebookは何十億ドルもの価値を持っているんです。
実際、アプリのID番号から誰が誰と繋がっているのかを推測できるかもしれません。ただし、AppleとGoogleの分散型アプローチでは、ユーザーごとに毎日新しいID番号が生成されるため、特に位置情報の追跡が禁止されているため、個人識別が困難になっている点に留意してください。
レヴィ氏はまた、誰かが英国政府への情報提供に同意すると(体調不良を訴え、大きな緑色のボタンを押す)、アプリから28日間のデータが中央サーバーに送信され、二度と復元できないという事実にも触れなかった。そのデータには、その期間に接触したすべての固有IDと、いつ、どれだけの距離にいたかが記録されており、NCSCの所有物となる。これは、NCSCの最高経営責任者であるマシュー・グールド氏が月曜日に国会議員の前で認めざるを得なかった事実である。グールド氏はまた、データは削除されず、英国民には削除を要求する権利はなく、将来的に「研究」に使用される可能性、あるいは使用されるであろうことも認めた。
さらに、ある法律事務所がアドバイスしているように、このアプローチ全体がプライバシー法や人権法に違反する可能性があるという、決して小さくない問題もあります。
ああ、そうそう、「英国政府による民間部門と公共部門間の健康データ共有に関する発表には欠陥があるようだ。つまり、このようなデータ共有は法的要件に準拠していない可能性がある」
ただ出すだけ
グールド氏とレヴィ氏が認めていないのは、こうした懸念に関わらず、英国民の大多数が市民としての義務感からオプトインし、アプリをダウンロードし、とにかくデータを共有すると彼らは期待しているということだ。
反対意見や批判を乗り越えてアプリのローンチを実現できれば、データが専門家の手に渡るため、国にとってより良い最終結果になると彼らは心から信じているに違いありません。そして、彼らの言うことは正しいかもしれません。しかし、完全に間違っている可能性もあります。
英国が、どんな妥協をしても中央政府の方がより良い解決策になるという信念に頼るというこの決定の根底にあるのは、COVID-19に関しては中央計画の方がうまく機能するだろうという思いだ。
しかし、本当にそうなるのだろうか?これまでのところ、国民の厳格な管理が、より緩やかな態度よりもコロナウイルスの蔓延を阻止するのに効果的であったことは明白な証拠である。米国と英国は、強制されるまで国民に制限を課すことを拒否してきたことで有名であり、その結果、世界で最も深刻な被害を受ける国になることはほぼ確実である。
しかし、人口抑制はロックダウン後も機能するのだろうか?経済が開放されたとき、ホットスポットを特定し、指揮所から対処できる中央集権的なアプローチは、個人に判断を委ねる分散型のアプローチよりも効果的だろうか?
いずれ明らかになるかもしれない。しかし、今後100年間、政府のサーバーにデータが漂流し続けることを望まない人々が、そもそもアプリをダウンロードする気になれないのであれば、そもそもこの疑問自体が意味をなさない。政府は私たちの命を賭けた、壮大なチキンゲームを続けているのだ。®
5月6日に更新
このコメント記事は公開後に改訂され、Androidのフォアグラウンドサービスに関する詳細が追加されました。Googleは、バッテリー寿命とリソースを節約するため、開発者に対しこれらのサービスの使用を制限することを推奨しています。iOSに関するセクションも改訂され、現在ベータ版として公開されているNHS iPhoneアプリのテスト結果を受けて改訂されました。このテストでは、このソフトウェアがバックグラウンドモードで動作し、他のiOSデバイスへのアドバタイズや、制限付きではあるものの他のスマートフォンとの通信のために一時的に起動することが明らかになりました。これらの点についてご説明いたします。
こうした制限の例として、フィナンシャル・タイムズのライター、ティム・ブラッドショー氏は次のように述べている。「テスト中に浮かび上がった問題の一つは、2台のiPhoneをロックした状態で約30分間放置すると、音声のみのモードに切り替わってしまうことです。しかし、Android端末が60m以内に近づくと、起動してしまう可能性があります。」
同様の集中型接触追跡システムを提案したオーストラリアが、技術的な問題を経験した後、分散型APIに切り替えると言われていることを考えると、英国政府も結局、AppleとGoogleのアプローチを採用することを検討している。
