会報「SOPHIA」令和２年７月号より

情報問題対策委員会　委員長　加　藤　光　宏

　COCOAとは、厚労省が６月19日にリリースした新型コロナウイルス接触確認アプリだ。COVID-19 Contact-Confirming Applicationの略である。７月31日時点でダウンロード数は約996万件とされている。感染防止効果を高めるために政府は全国民の60%以上への普及を目指している。

■COCOAの仕組み

　COCOAの仕組みを図に示した。Ａ～Ｃさんは、自分のスマホにCOCOAをインストールしているものとする。
　COCOAの全システムは、それぞれ厚労省が管理するHER-SYS（新型コロナウイルス感染者等情報把握・管理支援システム）と通知サーバで構成される。HER-SYSは、保健所、自治体等が感染者の情報・状況を共有・管理するためのシステムである。通知サーバは、COCOAがアクセスするためのサーバである。COCOAは、HER-SYSに直接アクセスしない。

　Ａ～ＣさんにインストールされたCOCOAは、COCOAをインストールした他のスマホを近くに発見すると相互に通信を行う。この通信には、Bluetoothと呼ばれる無線通信技術が利用されている。コードレスのヘッドホン等で利用されているあれだ。COCOAは、Bluetoothの３つのクラスのうち、最も電波が弱く通信距離が１ｍ程度のクラス３を利用する。だからＡさん、Ｂさんが（厳密には二人のスマホが）、１ｍ程度に接近した状態にいるときにのみ通信が行われることになる。ＡさんとＣさんのように１ｍ以上離れている場合には、通信は行われない（通信できない）。
　ＡさんのCOCOAは、24時間ごとに更新される固有の日次キーと時間情報を利用して、15分ごとに端末固有のランダムなコード（図中のA3i5L2+等）を生成し発信する。このコードの発生には、Ａさんの個人情報（電話番号、位置情報等）は使用されない。
　Ａさん、Ｂさんが15分以上継続して近接した状態にあると、ＢさんのCOCOAは、ＡさんのCOCOAが発信したコードを記憶する。逆にＡさんのスマホには、Ｂさんのコードが記憶される。自身が発信したコード（発信コード）も受信したコード（受信コード）も14日を経過すると順次、消去される。
　ある日、Ａさんが、検査の結果、新型コロナウイルスに感染したことが発覚したとする。HER-SYSは、保健所がＡさんを感染者として登録すると、処理番号を発行し、Ａさんのスマホにメール等で通知する。Ａさんが、COCOAに処理番号を入力すると、通知サーバは、HER-SYSにアクセスして処理番号の認証をした後、Ａさんの過去14日分の発信コードを公開する（厳密には発信コードを生成するタネになる日次キーを公開する）。処理番号は公開されない。
　Ｂさん、ＣさんのCOCOAは、定期的に通知サーバで公開された発信コードと、自分が記憶している受信コードとを比較している。Ａさんの発信コードが公開されれば、ＢさんのCOCOAは、その中に自分の受信コードを見つけることになるから、感染者との接触が確認されたことをＢさんに通知するのである。
　以上がCOCOAの仕組みである。発信コードと受信コードの照合により接触の有無は確認できるものの、感染者の個人情報はどこにも使用されていないという点がポイントだ。図の例でも、Ｂさんは、過去に接触した誰かが感染したことはわかるが、それがＡさんであることは知る術がないのである。

■世界のアプリ

　接触確認アプリを導入する傾向は世界的に広がっている。COCOAはGoogle/AppleのAPI（プログラム用のツール）を利用しているが、このAPIが世界的に採用されているわけではないようだ。接触確認アプリは３つに大別される。１つめは、接触した相手の電話番号などの個人情報を中央サーバで一元管理するという仕組みであり、シンガポール、オーストラリアが採用している。２つめは、個人情報は用いないが発信コードを中央サーバで一元管理するという仕組みであり、英国、フランス等で検討中である。３つめは、COCOAのように、個人情報の交換もなく、発信コードを各スマホで管理する仕組みであり、ドイツ、スイス等で検討されている。
　上述した３つの仕組みと明確に一線を画しているのが、ユーザの位置情報を取得し、中央サーバで一元管理する接触確認アプリである。インド、中国、韓国、台湾、香港、タイ、マレーシア等で導入されている。

■COCOAは甘いか苦いか？

　こうしてみると、日本のCOCOAは、一応、プライバシーを意識して構築されていると評価できそうである。しかし、本当に問題はないのだろうか？
　COCOAについては、ネット上で「バグだらけ」など多くの批判がなされているが、個人情報等が漏えいするなどといった致命的な不具合は報告されていない。また、Bluetoothの通信を介して、スマホからデータ等を抜き取られたり、スマホにウイルスを送り込まれたりするのではないかという懸念については、セキュリティ対策が施されるから大丈夫と言われている。
　しかし、COCOAの仕様書には、導入を検討している「調整事項」として気になることが記載されている。
　一点目は、ユーザの毎日の行動変容を促すために、全接触回数を記録しユーザに表示する機能である。日々の接触回数が表示される程度であれば、個人情報の観点からは問題なさそうであるが、かかる表示が、市民の行動を過度に萎縮させるおそれはないか、という点が気にかかる。
　二点目は、感染者との接触が発覚したユーザの個人情報をHER-SYSに登録し、感染者と接触者とを紐付ける仕組みだ。紐付けが接触者の同意のもとなされるとしても、紐付け関係が多人数間に膨らめば、個人の行動が特定されるおそれがあるのではなかろうか。
　これらの機能等を考えると、やはりCOCOAは甘くはない、と言わなければならないであろう。政府には、HER-SYSを利用して感染者の情報を可能な限り一元管理したいという意図があるであろうし、感染防止という観点のみからすればそれが有用であるとは言えるだろう。しかし、有用性だけを追求すれば、容易にプライバシーを侵害し、市民の過度な行動自粛を招きかねない。本システムが扱う情報は、新型コロナウイルスへの感染情報であり、個人情報保護法上の要配慮個人情報に該当するものである。安易な機能追加や運用拡張が行われないよう、慎重な検討が望まれるし、私達も、注意を払っておく必要があると思われる。