「接触確認アプリ」の仕様書について (1)

5月17日に、第2回 接触確認アプリに関する有識者検討会合 が開催されて、そこで、「接触確認アプリ及び関連システム仕様書(案)[概要] 」と「「接触確認アプリ及び関連システム仕様書(案)」に対するプライバシー及びセキュリティ上の評価及びシステム運用上の留意事項(案)の概要 」が公表されています。

また、5月26日に、「接触確認アプリ及び関連システム仕様書」が公表されています。あと、「「接触確認アプリ及び関連システム仕様書」に対するプライバシー及びセキュリティ上の評価及びシステム運用上の留意事項 」も公表されています。

でもって、詳細なコメントが公開されています

まずは、仕様書からみます。

仕様書は、第1編 総論、第2編 仕様(要件定義)からなります。

第1編 総論
1. 目的

ここでは、接触が確認された者に対して通知をおこなうことが目的であることが記載されています。

2. 前提条件

前提条件として、陽性者との間で、1m以内で、15分以上の近接状態が続いたもの、確認できるのを14日間としています。

アップルとグーグルの枠組を利用すること、個人情報保護についての記載があり、また、仕様書中に調整中の事項があることが留意されています。

3. システムの基本的な考え方

これについては、AGFを利用して構築すること、識別子は周期的に変更されるものであり、個人や端末を特定できないこと、陽性者との接触の照合も各自の端末内で行うこと、 通知サーバーでは、本人同意のもと、陽性者の識別子のみが管理されること、 アプリと通知サーバーは、情報漏洩や侵入を防ぐために十分なセキュリティ上の措置を講じること、がうたわれています。

4. 概要

これは、関係者が「日本国内居住者・滞在者」であること、アプリの概要が記載されています。アプリの概要については、他の分散型の仕組みとだいたい同様です。陽性者の確認を処理番号の通知とその確認で行うのが特徴のように思えます。

5. アーキテクチャと本仕様の範囲/6. アプリケーション詳細

アーキテクチュアは、

 

あと、照合プロセスは、下の図ですね。

 

 

 

 

 

7. 本アプリで定義、使用する識別子、8. スケジュール、9. 体制、
10. 用語集 は、省略。

なるほどです。これらの図は、わかりやすい。こういう形で、情報が詳細にわかるのは、非常にいいことですね。


アマゾン・キンドル出版で、「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」を発売しています。

接触確認アプリのソースコード公開について

5月19日にコード・フォー・ジャパンの開発してきた接触確認アプリのソースコードがオープンソースになっています。プレスリリースは、こちらです

Githubは、管理パネル、api、アンドロイド、iOSの四つのディレクトリから出来ています。

管理パネルをみていきますが、READMEで、データフローをみることができます。概観の大きなファイルは、こちら。

とか、データフローは、こちら(大きくはこっち)。

データの流れは、わかりますね。

この図で、近接接触者に流れる「陽性者交換用デバイスID」を個人情報だろうといっている人がいるのですが、どうなのでしょうね。この接触者が、受信した段階で、あとは、接触者からしか、扱わないですし、その人は、そのデバイスIDしか受信しないので、陽性ユーザが、このIDの人とは、識別できないですよね。

ある人にとって「個人情報」だったら、誰がいつ取り扱おうが、みんな「個人情報」という解釈に毒されているのでしょうか。よくわからないです。

ロゴとかもあります。

細かいところは、json読みきれないので、パスします。ごめんなさい。

今後は、厚生労働省さんが引き継ぐということで、仕様書とかもでています。

基本的な設計で、コンタクトトレーシングのデジタル化というところから、離れてしまったのは、個人的には、反対なのですが、リソースをかけて、きちんと対応しようとしているということで、更に注目していきたいと思います。

 

 

発信者情報開示のデザインの誤りはどこにあるのか?

木村花さんの死亡に関して、ネットワークの匿名性についての見直しがやっと議論になってきています。

総務大臣のコメントは、NHK「ネット上のひぼうや中傷 投稿者特定の仕組み見直しへ 総務相」です。

また、「ソーシャルメディア利用環境整備機構」が、声明をだしました。声明自体は、こちらです

木村さんを追い込んだのがネットワークの匿名性によるわけで、それを見直しましょう、ということになりつつあるかと思います。

ここでいう「匿名性」は、あるかないか、という話ではなくて、「インターネットと匿名性」という論考で定義したのですが「行為者を特定しようとするコストが、社会通念上、合理的なレベルを超えた状態」という状態と定義しています(82ページ以降)。

「行為者を特定しようとする」コストというのは、発信者情報開示制度を用いて、特定するためのコスト(お金だけではなくて手間暇全体の概念です)です。これが非常にかかってしまう、弁護士としても、これを依頼されても、なかなか大変ですよ、でもって、これだけは、費用がかかってしまいますよ、しかも、プロバイダがログをちゃんと保存しているか微妙ですからね、ということになってしまいます。

ただ、遡って考えると、そもそも、ログというのは、もともとは、プロバイダの情報なので、それを開示してね、といって、開示するかどうかは、プロバイダの判断に本当に委ねられる仕組みだったはずです。それを一定のルールを作ったのが、プロバイダ責任制限法4条の発信者情報開示の仕組みなわけです。

この発信者情報開示に関する情報が、整理されているページはこちらです。

プロハイダ責任制限法の解釈に関するもっとも信頼のおける解説・総務省「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律-解説-」はこちらになります

ここで注意すべき表現があります。

発信者情報は、発信者のプライバシー及び匿名表現の自由、場合によっては通信の秘密として保護されるべき情報であるから、正当な理由もないのに発信者の意に反して情報の開示がなされることがあってはならないことは当然である。

という表現ですね(31頁)。ログの記載が、それ自体として「プライバシー」の利益で保護されることをうたっていますね、アメリカ法だとプライバシーに関する合理的な期待となって、第三者のもとに保管されている場合については、それ自体、その期待は、合理的なものとはいえないとされることが多いのですが、そのような理論とは関係なしな点が留意点です。

そして、注ⅵですが、

 ただ、プロバイダ等が任意に開示した場合、要件判断を誤ったときには、通信の秘密侵害罪を構成する場合があるほか、発信者からの責任追及を受けることにもなるので、裁判所の判断に基づく場合以外に開示を行うケースは例外的であろう。

という表現ですね。結局、開示を求められても、自発的に開示しないで、裁判所までいってくださいね、というのがデフォルトになって、斯くして、インターネットの「匿名表現の自由」というのが”守られた”という仕組みになっています。

この仕組みについて、プロバイダに早期に開示させるインセンティブの設計がありません。それか、現状を導いているということができるでしょう。

個人的には、早急に開示に対応しない場合は、同法3条1項の解釈論として自ら、「公表者」として責任をおう(公表を幇助している)ことがありうるというのが確認されるべきでしょう。

私の解釈からいうと、発信者情報についての発信者のプライバシーの保護は、その第三者のもとで開示されないという「合理的な期待」がある限りで保護されているにすぎません。しかも、これは、「他人の秘密」として電気通信事業法4条2項で保護されているにすぎません。(1項2項分離論です)

そうでなくても、「合理的な期待」があるのにないと思ったというのは、事実の錯誤になるので故意がなくなるので、(仮に1項で保護されていたとしても)犯罪はもともと成立しませんね(2項に刑事罰がないのはさて置くとしても)。

では、「匿名表現の自由」との関係は、どうなるのかという問題がでてきます。仮名を使って表現するのと、リンクできなくするというのは、全く別なわけです。仮名による表現を匿名表現の自由と読んでしまったところ(McINTYPE vs. OHIO ELECTIONS COMMISSION 115 S.Ct. 1551,1516(1995))に、罪があるわけです。こんなスライド参照

すくなくても、プライバシーは、人権のカタログのなかで最優越的な地位をしめるものではなくて、他の利益と同じ程度のものとして設計されるべきだと思います。そうだとすると、書面で濫用がなされていないか検証ができる形態であれば、開示されてもいいかと思っています。

4条2項におとしこむ解釈論がとれれば、これは、事業者の内部の義務での保護が問題となるので、むしろ、内部の行為規範を作成して、それの遵守を検証する仕組み、これは、消費者行政課が権限を持てることになります。

私が総務大臣だったら、まず、注ⅵを削除させますね。その上で、

発信者情報は、発信者の第三者のもとにおけるプライバシー保護に対する合理的な期待、場合によっては、法に定める他人の秘密として保護されるべき情報であるから、正当な理由もないのに発信者の意に反して情報の開示がなされることがあってはならないことは当然である

と書き換えさせましょう。そうだとすると、「合理的な期待」がない場合には、自発的に開示したとしても問題がなくなりますね。それを行為規範で担保するのがいいのではないか、と思っています。

そして、この解説について12頁をインセンティブの観点から見直すことを推奨するかと思います。丸7の部分ですが、これについては、通知によって、プロバイダに、権利侵害の認識を知らしめてもいいわけなので、その旨を記載しましょう。そして、もし、通知を受けても、意味なく開示しない場合には、侵害の幇助をしていると同様であるという評価をくわえることができそうです。私にいわせれば、上の注ⅵよりは、上品な解釈だと思いますね。

プロバイダが、責任を負うことになるって?その場合には、権利侵害保険を作って、対応その措置をどれだけまじめにやるかで保険料に差をつけるというのがイギリスの昔の制度だったと思います。結局、社会全体で制度設計をしていかなくてはならないのだろうと思います。

法制度の設計は、総合アートですね。内部の文書の修正だけで、この問題に対する解決のメドがたつかと思います。いかがでしょうか。