- この後、回答はなかった。
- 2021年8月31日時点でも「本アプリを端末(Android、iOS)に設定した人どうしの接触(1m以内、15分以上)を記録します。」という説明が行われている。
他国の事例
- イギリスの国民保険サービス https://covid19.nhs.uk/privacy-and-data/data-for-contact-tracing.html
- ドイツの Corona-Warn-App / b. Exposure data https://www.coronawarn.app/assets/documents/cwa-privacy-notice-en.pdf
Date: 2020年8月15日(土) 15:49
Subject: Re: [5815-4]Re:「接触確認アプリ」お問い合わせへのご返答
To: <appsupport@cov19.mhlw.go.jp>
回答ありがとうございます。
引き続きこちらの質問の意図を理解されていないように見受けられますので、
問い合わせの内容を理解できる方にエスカレーションしていただけないでしょうか。
COCOAアプリの元となっている、Covid19Radarのソースコードや
Exposure Notification APIのGoogleとAppleのAPIリファレンスも参照していますが、
自分の理解では、回答いただいている「設定項目」というのは「濃厚接触者」として検知するリスクレベルの設定であって、
iOSやAndroidがRolling proximity identifier(RPI)を記録する条件ではありません。
つまり、厚生労働省は「通知される」ことと「記録される」ことを混同した説明を行っているのではないか、という問い合わせです。
iOS用のリファレンス、及び、Google Playの最新バージョンでのリファレンスを参照していますが、
単に「Exposure Notificationのためのスキャンと記録を有効にする」ということをOSに指示するためのメソッドであり、閾値の設定は引数として指定はされません。
- https://developer.apple.com/documentation/exposurenotification/enmanager
閾値の設定は、接触者のキーを取得する際に用いられます
- https://developer.apple.com/documentation/exposurenotification/enmanager/3586331-detectexposures
仮に、公開されていないiOS,Android側の機能として、そうした記録の際の閾値が設けられているのだとしても、
BLEで広告される、Rolling proximity identifierは、1m以内15分以上といった濃厚接触に限らずとも、
任意のハードウェア、ソフトウェアを用いて記録すること自体は可能ですので、1m以内15分以上が「記録」されるという説明は、
接触確認アプリの仕様を正しく理解する上で、不適切な表現であると考えております。
AppleやGoogleのリファレンスや一般向けのヘルプを見ても、OSがどのような閾値でRPIを記録するのかという記載はなく、
「1m以内、15分以上を記録します」という説明を行っているのは、自分の知る限り日本の厚生労働省だけですので、
この部分については厚生労働省に説明責任があると考えております。また事実関係に間違いがあれば訂正を行っていただきたいと考えております。
以上、よろしくお願いいたします。
2020年8月13日(木) 10:13 接触確認アプリサポートセンター <appsupport@cov19.mhlw.go.jp>:
>
> お問い合わせありがとうございます。
> 接触確認アプリサポートセンターでございます。
>
> 回答までにお時間をいただき誠に申し訳ございません。
>
> 本アプリはExposure Notification APIを利用して作成されております。
> このAPIを利用する際に閾値のような設定項目があり、概ね1m以内15分以上となるような設定がされております。
> -----------------------------------
> 接触確認アプリサポートセンター
>
> ※本メールの件名に含まれる英数字は、お問い合わせの管理番号になります。返信の際は英数字の部分を削除せずに送信ください。
> ※本メールの全文および一部の転載、二次利用はご遠慮ください。
>
> <お問い合わせ内容>
> -------------------------------------------------------
>
> 2020/07/17 17:59:19:
> > 回答ありがとうございます。
> >
> > こちらからの問い合わせ内容に対して、全く回答として機能しておらず、指摘事項を理解されていないように見受けられます。
> > この指摘は、厚生労働省のWebサイトやアプリケーション配布時の際の説明に間違いがあるという内容ですので、高い優先度で確認すべき内容であると考えております。
> > 速やかにセキュリティやプライバシーに関して責任のある回答が可能な方に転送していただけますか?
> >
> > よろしくお願いいたします。
> >
> >
> > 2020年7月17日(金) 13:47 接触確認アプリサポートセンター <appsupport@cov19.mhlw.go.jp>:
> > >
> > > お問い合わせありがとうございます。
> > > 接触確認アプリサポートセンターでございます。
> > >
> > > Exposure NotificationはBluetoothを利用して通信を行いますが、通信する端末同士の電波強度によって接触履歴を検知、記録しております。
> > > -----------------------------------
> > > 接触確認アプリサポートセンター
> > >
> > > ※本メールの件名に含まれる英数字は、お問い合わせの管理番号になります。返信の際は英数字の部分を削除せずに送信ください。
> > > ※本メールの全文および一部の転載、二次利用はご遠慮ください。
> > >
> > > <お問い合わせ内容>
> > > -------------------------------------------------------
> > >
> > > 2020/07/08 10:22:24:
> > > > malaといいます。
> > > >
> > > > 接触確認アプリに関していくつか質問や要望がありますので、問い合わせさせていただきます。
> > > > 職業はプログラマで、セキュリティやプライバシーに関しては仕事として数年以上の活動実績があり、インターネットでの情報発信なども行っています。
> > > > 所属企業とは関係のない個人としての問い合わせになります。
> > > >
> > > > 複数問い合わせがありますが、メールを分けて送りますので、個別に回答をいただきたいです。
> > > >
> > > > ----
> > > > 接触記録に関する説明に間違いがあるように見受けられるので確認や訂正をお願いしたい
> > > >
> > > > 接触確認アプリの説明において、
> > > > "本アプリを端末(Android、iOS)に設定した人どうしの接触(1m以内、15分以上)を記録します"
> > > >
> > > > といった記載が行われています。
> > > >
> > > > 「概ね1メートル以内15分以上」というのは濃厚接触の定義や、検知や通知が行われる目安となる条件であって、
> > > > 接触符号を記録する条件とは異なるのではないかと考えております。
> > > >
> > > > Google の公開している仕様書を見ても、1m以内15分以上を記録するといった説明は見当たりませんでした。
> > > > - https://www.google.com/covid19/exposurenotifications/
> > > >
> > > > iOSや、Google Play
> > > > Serviceの内部実装として、一定時間の接触があった場合にのみ接触符号を記録する、といった閾値のようなものがある可能性は否定できませんし、漏洩リスクを低減させるために、接触確認アプリからでも生の記録データにはアクセス出来ないようなAPI設計となっているようです。
> > > >
> > > > もしAppleやGoogleから記録条件についての個別の説明を受けていたり、厚労省の検証の結果として、記録条件についての挙動を確認しているのであれば、1メートル以内15分以上といった記載の根拠について説明をいただけないでしょうか?
> > > >
> > > > 「1m以内、15分以上の接触を記録する」という説明だと、端末同士がお互いの接触を一定期間検知して、
> > > > そこで初めて接触符号が交換されるというイメージを持たれてしまうのではないでしょうか。
> > > > 私もアプリの説明を読んで、当初そのように勘違いをしておりました。
> > > >
> > > > 接触符号自体は、BLE(bluetooth low energy)の Advertisement packets として送出されており、
> > > > 接触確認アプリを使わなくとも、Beaconをスキャンするアプリや独自のプログラムなどを使って逐一記録することは可能です。
> > > >
> > > > 国民が接触確認アプリの仕様を理解し、適切にプライバシーリスクを判断する上で、重要なポイントであると考えていますので、
> > > > 現状の解説に間違いがあれば、速やかに訂正し、記載内容の変更を広報することが国民からの信頼向上につながるのではないかと進言いたします。
> > > >
> > > > また、仮に日本国内向けの接触確認アプリCOCOAの挙動として、特別に15分以上の接触のみが記録されるようなカスタマイズがなされていたとしても、
> > > > 接触符号自体の記録はBLEのスキャンによって可能ですので、現状の説明はプライバシーリスクを誤認させるものであり、
> > > > 国民に対しての正確な情報発信のため、訂正をいただきたいです。
> > > >
> > > > ----
> > > > 以下に説明の例を挙げます。
> > > >
> > > > アプリのQAでは以下のようになっています。
> > > > - https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/covid19_qa_kanrenkigyou_00009.html
> > > >
> > > > "問3 他の利用者との接触をどのように記録するのですか。
> > > > スマートフォンの近接通信機能(ブルートゥース)を利用して、ほかのスマートフォンとの近接した状態(概ね1メートル以内で15分以上)を接触として検知します。近接した状態の情報は、ご本人のスマートフォンの中にのみ暗号化して記録され、14日が経過した後に自動的に無効になります。この記録は、端末から外部に出ることはなく、利用者はアプリを削除することで、いつでも任意に記録を削除できます。"
> > > >
> > > > App StoreおよびGoogle Playにおける説明では、以下のようになっています。
> > > >
> > > > - https://play.google.com/store/apps/details?id=jp.go.mhlw.covid19radar
> > > > - https://apps.apple.com/jp/app/id1516764458
> > > >
> > > > "■できること
> > > > 本アプリを端末(Android、iOS)に設定した人どうしの接触(1m以内、15分以上)を記録します"
> > > >
> > > > アプリのQ&Aを元に記事を作成したニュースサイトでは以下のような記載になっています。
> > > >
> > > > - https://scan.netsecurity.ne.jp/article/2020/06/16/44211.html
> > > >
> > > > "Bluetoothで他のスマートフォンと近接した状態(約1メートル以内、15分以上)を検知し、接触符号として記録する。"
> > > >
> > >
> > >
> > >
> >
>
>
>
COCOAのコラボレーターをしています。有山圭二と申します。
ぼくは厚生労働省として正式に回答する立場にありませんが、開発に携わるプログラマーの一人として、ご指摘の内容は正しいものだと考えます。
「接触確認API」は受信したRPIを距離や時間の条件なく記録していると理解しています。
一方で、RPIを記録しているのはApple・Googleが開発している接触確認APIであり、それらの情報にCOCOAなど接触確認アプリはアクセスできません。接触確認アプリが接触と規定する条件を指定すると、どのような接触があったのかがAPIから返されるという動きで、接触確認アプリは、接触確認APIが記録しているRPIには一切アクセスが出来ない仕組みになっています。ご指摘の説明部分は、接触確認アプリと接触確認APIの役割分担明確になっておらず、記録条件と通知条件を混同していると言うご指摘はもっともであると考えています。
本件は関係者に共有して、より正しく、わかりやすい説明に繋がるように調整いたします。