新型コロナ接触確認アプリ、プライバシーは本当に大丈夫か?

プライバシーに最大限配慮したと言われている接触確認アプリ(COCOA)ですが、いくつか気になる点があります。

(参考)
厚生労働省 新型コロナウイルス接触確認アプリ(COCOA)
接触確認アプリ利用者向けQ&A
「接触確認アプリ」の課題 プライバシーは守られるが、利用促進にハードルあり(ITmedia Mobile 2020/6/19)
コロナ「接触確認アプリ」開発者を直撃!個人情報の扱いは?効果は出る?(Diamond Online 2020/6/20)
「接触確認アプリ」を「なんか信用できない」と思う人に「26のイエスとノー」で答える(ITmedia NEWS 2020/6/19)

Googleの技術情報
Exposure Notifications: Using technology to help public health authorities fight COVID 19
Appleの技術情報
Privacy-Preserving Contact Tracing
 

COCOAのリリース初日のダウンロード数は85万件だそうです。


厚生労働省 新型コロナウイルス接触確認アプリ(COCOA)

陽性者登録をデタラメな番号でやろうとした人が何人かいたのでしょうか。
話題のアプリなので、いろいろやる人は結構いそうな気がします。
 

COCOAをインストールすると、このようなプライバシーについての説明が出てきます。


 
個人情報に関することは一切なくインストールが完了しますが、気になったのはBluetoothを有効にする所です。

このようなメッセージが出てきますが、Bluetoothと一緒に位置情報をONにする必要があります。


 
このアプリは位置情報を使わないはずなのに、なぜ位置情報をONにする必要があるのか?
と思いますが、位置情報は使わなくてもBluetoothの位置情報取得の仕組みを使っているので、位置情報をONにする必要があるそうです。
位置情報のON/OFFは端末内で共通なので、ここでONにすると他の位置情報を許可したアプリが位置情報を取得できるようになるので、要注意だと思います。
 

アプリのインストールが完了すると、Bluetoothで近接通信を行うようになりますが、ランダムなデータのやり取りなので、ここで個人情報が入ることはないはずです。


 

新型コロナウイルス接触確認アプリについて
 
いろんな所で周知されていますが、このアプリはプライバシーを非常に気にして作られていて、実際に個人情報にアクセスすることもないので(現状の仕様上は)、アプリ自体はプライバシーに関する心配はなさそうです。

でも、プライバシーに関する問題が絶対に起きないとは言い切れないような気がします。

接触した人が新型コロナの陽性になったことが確認されて、COCOAのシステムに登録されると、このアプリに通知が届いて、このように表示されるそうです。


 
名前も場所も出てきませんが、
1メートル以内に15分以上いた人
という条件なので、状況によっては「あの人だ!」と分かる場合がありそうです。

電車でたまたま隣にいた見ず知らずの人なら大したことはないかもしれませんが、状況によっては不都合な事になるかもしれません。
後で大きな問題にならないように、何か対策が必要かもしれません。
とりあえず、注意した方がよさそうな気がします。
 

あとは、大丈夫だと思いますが、COCOAのシステムは厚労省のシステム(HER-SYS)と連携しているので、そこのセキュリティは非常に重要です。


新型コロナウイルス接触確認アプリについて

COCOAのシステム(スマホのアプリと通知サーバー)には、個人情報が入らない仕組みになっているようですが、厚労省の新型コロナの感染者の情報を管理しているシステム(HER-SYS)とやり取りしています。

HER-SYSは新型コロナの感染者の情報を一元管理している個人情報の塊です。


新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)


新型コロナウイルス感染者等情報把握・管理システム全体像

さすがに厚労省もこのシステムのセキュリティはしっかりやっているとは思いますが、


新型コロナウイルス感染者等情報把握・管理支援システム 情報セキュリティガイド(システム利用者編)

最後は扱う人次第というところもあるので、一応こういうシステムになっているという事を知っておいた方がいいかもしれません。

某自治体がホームページで感染者の個人情報を公開してしまうとか、時々信じられないような事が起こる時代なので。