なぜ新型コロナの追跡はアプリではなくハードウェアで行うべきなのか？

新型コロナウイルス感染症(COVID-19)の感染拡大を防ぐため、世界各国で感染者との接触を通知したり、感染経由を追跡したりするアプリが開発されています。一方、シンガポールではアプリではなく、インターネットもGPSも使用しないBluetoothを利用したウェアラブルデバイスが発表されましたが、なぜアプリではなくハードウェアなのか、その重要性をハードウェアのレビューに携わったbunnieさんが解説しています。

On Contact Tracing and Hardware Tokens « bunnie's blog
https://www.bunniestudios.com/blog/?p=5820

世界各国で新型コロナウイルス感染者を追跡するアプリを公開しており、日本でも2020年6月19日に日本政府公式アプリがリリースされましたが、シンガポールではアプリではなく、追跡のためのウェアラブルデバイス「TraceTogetherトークン」を配布する計画を明らかにしました。

インターネットもGPSも使用しないウェアラブルな「新型コロナウイルス接触追跡デバイス」がシンガポールで配布される - GIGAZINE

TraceTogetherトークンのレビューに携わったbunnieさんによると、接触追跡アプリやトークンの考え方は非常にシンプルとのこと。

以下の図には「Person1」と「Person2」が存在し、それぞれ赤色がCOVID-19発症後、緑色が発症前を示します。すでにCOVID-19を発症していたPerson1とDay1に接触したPerson2はDay2に発症。その結果、Day2に接触したさらに別の2人に感染させてしまった……というつながりがわかります。Person1とPerson2の接触を何らかの方法で検知し、適切な隔離を行えば、Day2以降の感染者を減らせるというのが追跡アプリ／トークンの基本的な考え方です。

さらに複数の人を図に入れるとこんな感じ。以下はPerson1～Person8までが、Day1～Day5にかけてどのように接触・発症しているかを示しています。この時Person1は発症していながらも軽症状あるいは無症状であり感染を広げる「スーパースプレッダー」となっており、追跡が行われなかった場合、5日間で5人が発症、5日目以降には二次感染・三次感染によってさらに9人が発症すると予測されています。

しかし、例えばPerson4がDay4に異変を感じて検査を受け、COVID-19陽性が示されたとき、Person4は隔離されます。このとき、Person4がその後に接触したPerson5～8も検査後に隔離されるため、三次感染を防ぐことが可能。さらにPerson4の行動を追跡することで、Person2と重複する「接触者」であるPerson1が「無症状のキャリア」であることを突き止めることも可能です。このような追跡により感染拡大を止めることができるわけです。

注意すべきなのは「接触追跡」と「接触通知」という2つは、システムが異なるということ。AppleやGoogleが公開するAPIは「感染者と接触した可能性があることを通知する」ための仕組みです。これは、ある人がCOVID-19感染者に接触した時に、アプリ経由で直ちに通知を行うものをいいます。

ただし、接触通知の場合、Person4が検査で陽性となった時点でPerson5～Person8に通知が送られますが、「追跡」を行わないためにPerson2の接触範囲と照合してPerson1がスーパースプレッダーであることが明らかにできません。Person4と接触したPerson1にも通知が送られますが、実際にはPerson1がPerson4をCOVID-19に感染させたにも関わらず、まるでPerson4がPerson1をCOVID-19に感染させたかのように見えてしまうとのこと。Person1は無症状であるため、場合によっては検査を受けず、そのまま感染を広め続けることも考えられます。

つまり、AppleやGoogleのAPIシステムによる「接触通知」では因果関係を明らかにできず、無症状や軽症状の感染者を発見できないわけです。このような理由により、シンガポールでは感染状況の全体像を明らかにする「接触追跡」システムが採用されたとのこと。

しかし、接触追跡システムは個々のプライバシーに影響するという問題があります。一方で全体的な接触追跡ができなければ、人の命に関わるというのがCOVID-19の現状です。そこでbunnieさんは「Simmel」と呼ばれるハードウェアトークンを提案しました。

Simmelの特徴は以下の通り。

1：ユーザーデータとの分離
スマートフォンと分離することでGPSデータやその他位置情報が流出する可能性をゼロにする。これにより、ユーザーのデータを目的としたメタデータベースの攻撃を困難にする。

2：データが完全にユーザーの管理下に置かれる
ユーザーが物理的にハードウェアを管理し、サーバーにサードパーティーを含まないことで、ユーザーが当局にハードウェアを手渡さない限り、接触データが人に渡ることはない。ユーザーはハードウェアを壊す事で履歴を消すことも可能。

3：ユーザーは一時的なオプトアウトが可能
ハードウェアのキャップをひねることで、簡単に電源を落とすことが可能。

4：データの無作為化
商業目的でデータが不正に利用されることを防ぐため、プロトコルレベルでデータの無作為化を行う。

スマートフォンアプリを利用し、接触追跡を行うことも技術的には可能ですが、アプリを利用するとスマートフォンを購入する余裕がない人との格差が生じてしまいます。また、iPhoneはAppleの認めたプロトコルしか実行できないという点にも制限が生じます。加えて、スマートフォンアプリを通じての追跡は全般的にユーザーのプライバシーに悪影響を与えることも指摘されています。アプリを使うとどうしてもスマートフォン上のデータと関わりを持ってしまうため、スマートフォンとは別のハードウェアを使っての追跡を、bunnieさんは推奨しています。