コンタクトトレーシングのPIA COVIDSsafe (7) プライバシー原則

オーストラリアのCOVIDSafeのPIAの パートDは、オーストラリア・プライバシー原則(APP)の適合性です。

さすがに、時間的なものとかがあるので、ここは、ダッシュでみていきます。

原則1  個人情報の公開・透明マネジメント原則

APPの遵守、プライバシーポリシー、プライバシーポリシーの可用性が原則としてあげられています。

保健省がこの原則の遵守の責任を追いますが、その実務、過程、システムの実装をはたすのに、このPIAが合理的なステップということになります。

透明性については、「プライバシー・バイ・デザイン」アプローチが採用され、アプリについて明確なアナウンスがされること、目的外の利用をなすつもりがないことが明らかに示されること、危機が去った場合には、アプリも全国COVIDSafeデータストアも終了すること(-1.5.4)、保健省が、自主性、セキュリティ措置、時限性、苦情処理などについて明らかにすること(1.6)、推奨事項6(同意)、推奨事項7(プライバシーポリシー)、推奨事項9(コミュニケーション)、推奨事項1(オープンソース等)が遵守されること(-1.10)。

プライバシーポリシーについては、推奨事項7が確認されています。

原則2 匿名性・仮名性

仮名を用いて、取り扱うこととしても、実務的ではないとはいえないことなどが議論されています(-2.6)。推奨事項13(仮名による登録)。

原則3 要求に基づく(solicited)個人情報の収集

センシティブ情報以外の個人情報については、組織の機能、活動に直接または新して、合理的に必要である場合以外には、収集してはならないとされています。機微情報については、同意がある場合、その根拠が法の求める場合、許諾された状況がある場合、などに限定がされています。

このアプリによる個人情報は、すべて、要求に基づいて収集されていると認識されていること(3.2)、収集する組織の機能・活動を明らかにすること合理的な必要か、直接に関連するかを決定すること(3.5- 3.9)。「特に合理的な必要化テスト」が採用されることが説明されている(3.10)。このテストのもと携帯電話番号(3.13.1)、年齢(3.13.2)、氏名(3.13.3)、郵便番号(3.13.4)、利用者/接触利用者のユニークID(3.13.5)、デジタルハンドシェイクの日時(3.13.6)、ブルートゥースの信号強度(3.13.7)、関連情報(3.13.8)について分析がされている。

機微情報については、同意モデルが採用されていること、保健省は、法の根拠等の例外に頼るつもりはないことが明示されています(-3.15)。情報の与えられた(informed)、自主的な(voluntary)、現行で特定された(Current/specific)、(同意)能力のある(capacity)、同意の撤回、公平かつ適法な収集(原則3.5)、個人から直接(原則3.6)、などの問題がそれぞれ論じられています。

原則4 要求に基づかない(unsolicited)個人情報の取扱い

このアプリに関しては、要求に基づく収集となるので基本的にはこの原則とは関係がないことになります。

原則5 個人情報収集にあたっての通知(notification)

これは、情報提供にあたって、取扱い者、目的、根拠などについて本人に明らかに通知するという原則です。

知らせるべき合理的なステップを踏むこと(5.2)、このアプリでは、ダウンロードの時点と陽性利用者か、ハンドシェイク情報をアップロードする時点で必要となること(5.3)、推奨事項6および7を確かにすることです。

原則6 個人情報の利用または開示

目的外利用の禁止と第三者への開示の禁止になります。

現時点においては、第二次目的のために利用されることはないが、将来において、強要される状況がある場合に許容されることが述べられています(6.12)。また、AWSが、収集していることや、開示されていることにならないことが確認されています(6.15)。

原則7 直接マーケッティングの禁止

これについては、保健省が、「組織」には該当しないということで特に問題はありません。

原則8 個人情報の国境を超えた開示

この原則は、国境う超えた開示がなされるのには、特別のステップを踏むようにというものですが、特にそのような予定はありません(8.2)。サポートのために国外からアクセスすることが考えられるが、その場合には、この原則との関係の考慮が必要になる(8.3)。書面による同意を求めるという推奨事項16がある。また、同様のものとして推奨事項12。

原則9  政府関係識別子の採用、利用、開示

この原則は、国家機関以外において政府関係識別子の採用、利用、開示を禁止するものです。保健省は、国家機関なので、この原則との関係はありません。

原則10 個人情報の質

この原則は、個人情報が正確で、最新で、完全で、関連性を有することをステップをふむことを求めています。

ここで合理的なステップについては、個人情報の機微度、組織の特性、個人情報の質が維持されなかった場合の結果、実際の問題などを含めて検討されます。

ブルートゥース技術のもたらす問題についてもふれられています(10.4-10.6)

原則11 個人情報のセキュリティ

 

この原則は、不正使用、妨害、喪失や無権限アクセス・改変および漏えいから、合理的な防護がなされなければならないというものです。

この保護は、利用者の機器レベルでの話および全国COVID safeデータストアでの話との二つのレベルで必要になります。

それ意外にもデータ漏えいの話、全国COVID Safeデータストアでデータ保持の問題なども議論されています。推奨事項15(公文書保存法)、同12(契約等の整備)を参照ください。

原則12 個人情報へのアクセス

この原則は、個人からのアクセス権を認める規定になります。国の機関の場合と一般の組織とで規定が異なります。

例外に該当しない限りは、アクセスを認めないといけないこと、法的枠組を検討すること、保健省は、プロセスを実装するべきこと、デジタルトランスフォーメーション庁へ求める必要があるかもしれないこと、などが論じられています。

原則13 個人情報の訂正

この原則は、個人情報の訂正を図るべく合理的なステップをとることを求めています。

これについては、推奨事項7(プライバシーポリシー)、同8(訂正権の様式)、同16(AWSとの取り決め)、17(DTA等との取り決め)も参考になるとされています。

ということで、個人的には、この件で、がっちりとPIAを分析したのは、初めてだったのですが、勉強になりました。データのフローが肝で、それをきちんと洗い出せれば、プライバシーとの関連は見ることができます。が、その一方で、実務的な要請と必要となる情報、その合理性という観点は、とても参考になります。

日本がはたしてどのようになるのかはわかりませんが、クラスタ対策支援のためのアプリとして、PIAもきちんと整備されて公開されるといいなあと思っています。

 

 

 

 

コンタクトトレーシングのPIA COVIDSsafe (4) 手法と前提事項

前のエントリでは、オーストラリアのコンタクトトレーシングアプリのPIAの推奨事項をみてきました。

グーグルとアップルのモデルでは、今後、ばく露通知(exposure notifrication)アプリと名称が変更されるとのことです。

もともと、tracingというのは、近接していた人に連絡をなして、自己検疫等をしてもらうようにするという概念であったと理解しています。そのためにBLEなどの技術を用いて、できる限り、プライバシーのリスクを減らして、というきわめて高度なモデルであり、洗練されていると認識しています。

が、世の中は、そのような人が通常ではないので、反射的に対応する人に備えて、名称を変えるというのであれば、それはそれで反対ではないです。

ただ、いつのときも知性の敗北感というのは、気持ちのいいものではないですね。

それはさておき、オーストラリアのPIAの報告書のパートB以下をみていきましょう。

5は、手法です。

オーストラリア情報コミッショナー(OAIC)のPIAガイドに従ってなしていることが期されされています。

このエントリでは、英国のPIAのモデルを紹介していますが、オーストラリアのプロセスも参考になりますね。10のステップです。

  • しきい値評価
  • PIAを計画する
  • プロジェクトの説明
  • 利害関係者の特定と協議
  • 情報の流れのマップ
  • 個人情報への影響分析とコンプライアンスチェック
  • プライバシー管理 – リスクへの対応
  • お勧め
  • 報告書
  • 対応してレビュー

これが、今回のPIAでは、若干アレンジされています。表にすると以下のような感じです。

1 PIA のための計画
2 利害関係者との協議
3  プライバシーへの影響分析とコンプライアンスチェック
4 プライバシー管理とリスクへの対処
5 推奨事項
6 報告書の草案
7  さらなる利害関係者の関与
8 プライバシー管理とリスクへの対応
9 提言
10 報告書

このなかで、興味深いのは2と3を簡単に補足すると

2 利害関係者との協議

情報コミッショナー、オーストラリア人権委員会、メディアレポート、プライバシーに対するサーベイなどが参照されているとのことです。

このサーベイは、こちらです

手法的には、質問紙法です。1990年代から調査がされているみたいなので、手法的は古いのかと思います。また、どのような仮説を調べたいのか、問題意識はよく分からないサーベイです。

また、プライバシーパラドックスのもとで、プライバシー偏重の回答がでるものと考えられます。

が、データに基づかないで、有識者がご説を講じられるどこかの国よりは、いいでしょうね。

3 プライバシーへの影響分析とコンプライアンスチェック

このステップでは 各APPとプライバシーのベストプラクティスに準拠しているかどうかを確認するための分析を行います。本文書に記載されている分析は、PIAは、オーストラリアのプライバシー原則ガイドライン(APPガイドライン)に準拠しています。

ということです。

前提事項についてみていきます。

保健省の見地から、なされていること(6.1)、利用者は自然人であるということを前提としていること(6.2)、パートCの事実関係をもとに評価していること(6.3)がふれられています。

保健当局の陽性利用所の個人情報を収集/利用/開示する能力については考慮しないこと、接触追跡者の利用については、考慮しないこと(6.4)も前提事項となります。

また、分析時点におけるリスクぶんせきであることも留意事項とされています(6.7-6.8)。

コンタクトトレーシングのPIA-COVIDSafe オーストラリア(1)

前にコンタクトトレーシングアプリケーションについては、アプリ提供者で、プライバシーインパクトアセスメントをするべきではないか、ということをエントリ(コロナウイルス(Covid-19)とGDPR (13) 接触追跡アプリのプライバシー影響評価の問題)で書いたのですが、オーストラリアから、COVIDsafeというアプリケーションのPIA(プライバシ影響評価)が公表されていて、非常に参考になるので、それを分析してみたいと思います。

将来、わが国において、このようなアプリが公表される時に、このようなPIAも一緒に公表されるようになるといいですね。というか、国際的に恥ずかしくないようにしてくださいね。>関係者様

PIAは、こちら。タイトルは、THE COVIDSAFE APPLICATION  Privacy Impact Assessment です

パートAは、エグゼクティブサマリ、パートBは、手法および前提(Methodology and Assumptions)、パートCは、プロジェクトの記述および情報のフロー、パートDは、オーストラリアプライバシ原則(APP)遵守状況、パートE グロサリとなっています。

英国のテンプレートですと、必要性の特定、処理の説明、諮問プロセス、必要性・比例性に対する評価、リスク特定の評価、措置の特定、サインオフとなっています。なので、比較すると、大体、テンプレートどおりですね。ただし、具体的には、組織体がなすことが前提の英国のテンプレートと、国家システム前提のPIAとでは、細かい点が違うのは、当然ですね。そこら辺がどうなのかは、細かくみていく必要がありますね。

その前に、大前提は、データフローの図です。個人的には、これが良くできているかどうかで、コンタクトトレーシングのシステムの透明性のほとんどが決まるのではないか、というくらいに思っています。

このPIAの最後のところ(77頁)に図があります。引用しましょう。

 

 

 

 

 

 

 

 

 

 

この図は、非常に興味深いですね。

このブログの読者さんであれば、おなじみ、ブルートゥースのハンドシェイクが根本になっていて、国のデータベースにデータが集中し、陽性判定がなされると、保健所からこのデータベースに登録がなされて、それで、陽性ユーザのデバイスに通知、濃厚接触者へは、接触追跡者から、電話で通知されたりする仕組みができています。

PEPP-PTなどが、中央にあつめなくても接触追跡はできる、分散だ、といっているのに対して、まあ、なんだかんだいっても、結局は、電話でしょ、ときわめて実際的な仕組みに見えます。本当にそうなのか、というのは、もうすこし、細かくみていくことにしましょう。

 

 

 

新型コロナウイルス対抗のためのIT技術の利用-中国ヘルスコード

ヘルスコード(中国)とは、個人が地域を出入りする際の電子バウチャーの役割を果たすコードであって、ウィーチャットと、アリペイ を通して発行される。

例えば、日本語の記事としては、「地下鉄利用にもスマホで健康証明、経路記録 中国式デジタル追跡」があります。

中国語での一般的な説明はBaiduのこちら「健康码」

(日本語だと健康碼(けんこうば もしくは、けんこうま)-なお、漢字はこちら

2020年2月11日、浙江省杭州市が主導して健康コードモデルを立ち上げ、実施したそうです。

3色のコードは、これ。

赤色のコードは14日間隔離/黄色のコードは7日以内に隔離/緑色のコードは杭州に直接入ることができます

健康コード

重要人物の動的制御リストなどの関連データベースに接続され、人々が宣言した情報と背景データとの間の検証と比較結果に基づいて「健康コード」を発行

健康情報を記入した後、14日以内に新たに診断された患者や疑いのある患者と接触したかどうか、審査後にカラーコードが生成されます。

  • 緑色のコードを受け取る人はコードを通過
  • 赤色のコードと黄色のコードを受け取る人は規定に従って隔離され、カードをパンチする必要があります
  • 条件が満たされたときに緑色のコードに変換。

Alipayでは多くの復職者が健康コードを申請し、オンライン化初日には訪問数が1,000万件に達したという。

浙江省は2020年2月24日午後、流行防止・制圧業務の記者会見で、この日の12時現在、浙江省は合計5,047万件の健康コードを発行したと発表しました。

その後、2020年2月28日、山西省はヘルスコードを開始しました。

これまでのところ、国内200以上の都市がアリペイでヘルスコードを申請できるようになっています。そのうち、浙江省、四川省、海南省、重慶市、上海市、雲南省、山西省、湖北省などの省・市がフルカバーを達成している。アリペイは、秩序ある再開需要の高まりに伴い、都市の健康コードの適用範囲がさらに拡大し、適用範囲も拡大を続けていることを明らかにした。

技術的な資料としては「防疫通行码参考架构和技术指南」において説明があります。3月5日に深圳市政务服务数据管理局とテンセントとともに標準ドラフトを発表しました。

現時点では、「个人健康信息码」(個人健康情報コード)は、

  1. 《个人健康信息码参考模型》(参考モデル)(GB/T 38961-2020)
  2. 《个人健康信息码数据格式》(データフォーマット)(GB/T 38962-2020)
  3. 《个人健康信息码应用接口》(インターフェース)(GB/T 38963-2020)

からなりたつ標準となっているみたいです

外出行動のスコアリングモデルというとらえ方もできるかもしれません。独裁国家だからというのは、簡単ですが、1月で標準ドラフトをまとめて実施に移すというダイナミズムは、感嘆するばかりです。