« Naikon APTがオーストラリア等のAPACの政府組織をターゲットにしている? | Main | カーネギーメロン大学ソフトウェア工学研究所の「サイバーセキュリティの状況認識(Situaltion Awareness)」シリーズは基本的な内容で参考になりますね。 »

2020.05.12

政府CIOポータル 第1回 接触確認アプリに関する有識者検討会合 開催

こんにちは、丸山満彦です。

コンタクト・トレーシング・アプリに関する有識者検討会合が開催されましたね。「新型コロナウイルス感染症対策 テックチーム Anti-Covid-19 Tech Team」と連携して動く感じですね。

政府CIOポータル - お知らせ

・2020.05.11 第1回 接触確認アプリに関する有識者検討会合 開催

ーーーーー

アプリとはすなわちツール、すなわち、目的を実現するための手段ですよね。どのような目的のためのツール・手段かということを常に意識しておく必要があります。

今回はCIO配下、すなわちツール側の話です。本来的には、目的レベルでの議論がきっちりあってのツールレベルの議論であるべきです。今回もそうなっていると思いますが、開示されている資料では、そもそもの目的や方針、原則が見えてきていないように思えます。

各国のツールの比較をするのも、目的とセットでする必要があるわけですから、日本のスタンスを明確にしておくことが重要ですよね。

Logo

 

例えば、欧州の場合はモバイルコンタクトトレーシングと警告アプリケーションへの共通のアプローチを提示しているのですが、そういうのがまうある方が良いですよね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.17 EU-データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス

・2020.05.01 高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている!

 

 IT Law

・2020.05.01 コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する

そして、以下の文書で今回の発表の内容を分析しています。やはり、なかなか鋭く、本質をついていると思います。

・2020.05.12 第1回 接触確認アプリに関する有識者検討会合など

 

例えば、資料4:接触確認アプリの導入に向けた取組について」の説明について

-----

3ページ目は、「接触確認アプリ主要類型の特徴」としています。厳密にいえば、他の国では、アップロードして、接触者の追跡まで、コンタクトトレーシングシステムとして説明されているので、「接触確認アプリ主要類型および追跡システム」の類型として、比較範囲を揃えて、あと、正確な事実を認識した上で検討すべきように思います。

コンタクトトレーシングシスムテは、フェーズでみていくと、1)登録 2)利用とデジタルシェークハンド 3)陽性者登録 4)近接接触者追跡の段階を経ます。日本のスライドは、3)の登録のアップロードするまでをアプリの責任範囲、データが登録サーバに到達してからを「感染者等把握・管理支援システム」としているところに特徴があります。

この表で気になるのは、特徴の「電話番号等の個人情報により、当局が接触者を特定し、連絡が可能」、「各ユーザの接触者データは、当局が保有するサーバーで管理」「各ユーザの接触者データは、各ユーザの端末で管理 。」というのが、別のフェーズの事項を並べている点です。そして、それが、まとめとして正確ではないということかと思います。

例えば、DP-3T説明でも、4段階は、きちんとわけて論じられています

(省略)

これは、陽性利用者が、その「秘密鍵」を中央サーバに送信することを前提に、その「秘密鍵」が雪崩(カスケード)のように接触者デバイスに情報がふっていることを物語っています。

.....

「電話番号等の個人情報により、当局が接触者を特定し、連絡が可能」というのは、登録していた段階で、その情報で、陽性判定時において「当局が接触者を特定し、連絡が可能」なのだろうと思います。

「各ユーザの接触者データは、当局が保有するサーバーで管理」の部分ですが、日本は、そこは「感染者等把握・管理支援システム」なので、これは、実は当てはまることになります。

アプリに中央サーバは関連していませんので、「アプリ」の話です、なので日本の「アプリ」は中央サーバで作業していませんとしているのでしょうけれど、説明としては、品がないだろうと思います。

-----

などです。

|

« Naikon APTがオーストラリア等のAPACの政府組織をターゲットにしている? | Main | カーネギーメロン大学ソフトウェア工学研究所の「サイバーセキュリティの状況認識(Situaltion Awareness)」シリーズは基本的な内容で参考になりますね。 »

Comments

Post a comment



(Not displayed with comment.)




« Naikon APTがオーストラリア等のAPACの政府組織をターゲットにしている? | Main | カーネギーメロン大学ソフトウェア工学研究所の「サイバーセキュリティの状況認識(Situaltion Awareness)」シリーズは基本的な内容で参考になりますね。 »