下らない記事で申し訳ありませんが、カリフォルニア州消費者プライバシー法(CCPA)の原文の見つけ方をメモとして書いておきます。
まずカリフォルニア州法律情報サイトを開きます。
https://leginfo.legislature.ca.gov/
左上の「California Law」をクリックすると下図の画面になります。ここで「Civil Code – CIV」をクリック。
次のページで「DIVISION 3.」をクリック
次のページで、ず~っと下の方にあるTITLE 1.18.5. がCCPA。
TITLE 1.81.5. California Consumer Privacy Act of 2018 を開くとこうなります。
直リンクはこちら。
以上
個人的に荒井由実(松任谷由実)の”鬱曲”と勝手に名付けた名曲集の、コード譜へのリンクを張るだけの記事。
リンクは「白い朝まで」を除きU-FLETへのリンク。
「白い朝まで」のみ「ユーミンコード進行bot」(Twitter)さんへのリンク。
※以下、IT業界用語はできるだけ避ける。
政府が2020年6月に導入するらしい接触確認アプリの仕様書を読んで、いちばん危ないんじゃないのと思う点があった。(仕様書はこちら)
「処理番号」だ。
仕様書のp.13に、検査で陽性になった場合の処理の流れが書かれている。p.5のデータの流れと合わせると分かりやすい。
検査で陽性になった人に、保健所が「感染者システム」で処理番号を発行し、陽性者に通知、陽性者は自分のスマホから接触確認アプリに入力することになっている。
入力された処理番号はいったん「通知サーバー」に送信され、そこから感染者システムに送信、感染者システムが正規の処理番号であることを確認する。
確認結果は「通知サーバー」経由で陽性者の端末のアプリに送信される。
確認結果がOKならアプリから自動的に「通知サーバー」に感染報告(日次キーと時刻情報)がアップロードされる。確認結果がNGならエラーメッセージが表示される。
処理番号の確認が取れる前に、アプリから感染報告ができてしまったのではマズいので、確認結果OKを受信してはじめて、感染報告処理が実行される。
ここまででもうナゾが山ほどある。そのナゾは以下、順に書いていく。
ところで「認証情報」という意味不明の用語が登場し、仕様書の中でここにしか登場しない。
「認証情報」の定義はないが、p.11に「認証機能」の定義は書いてある。「感染時に、感染者本人から入力かどうかを確認する」とのこと。(「~からの入力か」で「の」がないのは誤植だろう)
感染者本人かどうかを確認する認証のしくみについて、この仕様書のどこにも書かれていないのに、かんたんな定義だけがサラッと書いてある。
この「認証情報」が要配慮個人情報に当たるかもしれないにもかかわらずだ。
いずれにせよ、明確な定義がないのでいったん置いておく。後から「実はこの本人認証機能が不正利用を防ぐために重要なんです」とならなければいいけれど。
話をもどして、このアプリの不正利用をどうやって防ぐかだが、処理番号がかんたんに推測できたのでは、イタズラ入力で接触確認アプリの信用が落ちる。
たとえば、頭文字が都道府県コードで、その後は年月日と連続番号、なんていうのはダメだろう。
いちばん良いのは、人間が覚えられない長くて複雑な文字列をQRコードなどにして送信し、感染者がアプリで読み取るというふうに、人間が入力をしない仕様だろう。
そうすれば入力ミスも防げるし、勝手な処理番号の作成も難しくなる。じっさいのアプリではどうなるだろうか。
たぶんメールかSMSだろう。メールアドレスと携帯番号は「感染者システム」に入力するはずなので。
メールの場合、陽性者がかんたんなパスワードで二要素認証もなしにメールを使っていないことを祈る。陽性者のメールがかんたんに不正アクセスされるのでは、不正利用につながってしまう。
SMSの方が良さそうだが、どちらも詐欺被害のおそれはある。
「システムの不具合でセンターと通信ができないため、お手数ですが保健所のホームページから処理番号の入力をお願いします」などの文面で、ニセのウェブサイトに誘導され、処理番号をだまし取られてしまうという詐欺だ。
「フィッシング」「スミッシング」と呼ばれるものだが、たぶん起こるだろう。
陽性者がアプリから処理番号を入力した後、なぜ直接保健所の「感染者システム」に送信せずに、通知サーバーを経由する仕様になっているのか。筆者には分かりづらい。
一つ考えられるのは、保健所の「感染者システム」は個人情報のかたまりなので、このシステム自体にインターネットから処理番号を直接受けとる口を作りたくないという理由。
通知サーバーはもともと不特定多数のスマホと通信するので、高いセキュリティが求められる。一方、場所が特定できる保健所のシステムとの通信は、セキュリティを確保しやすい。
なので、通知サーバーで両者を仲介し、感染者システムを直接インターネットにさらさないようにすれば、全体としてより安全なシステムになるということかもしれない。
この接触確認アプリと感染者システムの連携の部分が、要配慮個人情報の漏えいを防ぐためのいちばんの肝になると思う。
(通知サーバーと感染者システムを同一業者が運用する場合の漏えいリスクも含めて)
残念ながらこの仕様書には「本アプリと感染者システムとの連携については、本仕様書の範囲に入れずに」(p.5)とあり、どのように実現されるかはこれからになる。
たぶんできない。
保健所の感染者システムが、アプリから入力された処理番号を受け取ったとき、その処理番号が「本人のスマホ」から入力されたものであることは確認できない。
この話の前にまず確認したいのは、「本人が」入力したかをチェックする必要はないということだ。
誰が入力しようと、陽性者の日次キーと時刻情報が記録されている「本人のスマホ」に入力してくれれば、正確な接触履歴が通知サーバーに送信されるのでOK。
「本人」かどうかを確認する必要はなく、「本人のスマホ」かどうかが確認できればよい。
イタズラで無関係なスマホから入力されたのでは、無関係な日次キーが感染者のものとして通知されてしまうので、接触確認アプリの信用がガタ落ちになるためだ。
※ちなみにスマホ2台持ちの場合、たとえば会社から支給された業務用スマホと、プライベートのスマホを持って生活している場合どうするのかなど、細かい問題は残るが、本筋から外れるので省略。
しかし、保健所の感染者システム側で、「本人のスマホ」から入力されたものだと確認するには、接触確認アプリがスマホを特定する端末IDを、処理番号とともに感染者システムへ送信する必要がある。かつ、感染者システム側も、事前に端末IDを知っている必要がある。
確認した結果を感染者システムから「本人のスマホ」に返すときにも、「本人のスマホ」を特定する端末IDが必要だ。
端末IDがなくても、一連の処理を開始するときその処理に唯一のID(セッションID的なもの)があればいい、というのは間違いだ。
処理の開始そのものを別の端末で不正に行われるおそれがあり、処理に対するIDしかなく、端末IDがないしくみでは、通信元が「本人のスマホ」であることを確認できない。
いろいろ考えると、最初から端末IDを処理番号にすればいいことになる。
つまり、保健所は事前に、陽性者本人のスマホのアプリが発行した端末IDを感染者システムに登録しておく。本人の端末から感染報告をするための予約番号的な意味合いになる。
そして、感染者本人(でなくてもよい)が「本人の端末」のアプリから「陽性報告します」という意思表示を入力する。
意思表示だけで、処理番号のようなものを入力する必要はない。「報告する」ボタンを押すだけになる。(もちろん報告の義務はないので押さなくてもいい)
この報告を感染者システムに送信するとき、自動的に事前に感染者システムに知らせておいた端末IDをくっつけて送ればよい。
すると、感染者システム側で事前に登録してある端末IDと突き合わせて「本人のスマホ」だと確認でき、本人の「報告します」という意思も確認できる。
そして通知サーバー経由で、端末IDをたよりに「本人のスマホ」へ確認完了を返信すると、その「本人のスマホ」内のアプリが自動的に通知サーバーに日次キーをアップロードするという流れになる。
このやり方だと、端末IDも要配慮個人情報になってしまうが、陽性者以外の誰かが不正に処理番号を入手し、無関係なスマホから入力することは防げる。
処理番号も要配慮個人情報、端末IDも要配慮個人情報で、不正利用をより強力に防げるのは端末IDパターンとなる。
だとすれば、なぜ処理番号ではなく端末IDにしなかったのか。
アプリが発行する端末IDも、その人が陽性になって報告の意思を示すたびに(ご承知のように退院後にふたたび陽性になる事例はある)発行しなおして使い捨てにすればよい。
いずれにせよ、処理番号パターンでは、無関係なスマホから処理番号を不正に入力され、陽性者のスマホものではない日次キーが、アプリの利用者に通知されるおそれがある。
「使い捨て端末ID」の方が、アプリの不正利用防止の点ではすぐれているように見える。
それでも処理番号になっているのは、ここで例の「認証情報」の出番になるからではないのか。処理番号と「認証情報」を合わせて感染者システムに送信することで、「本人のスマホ」からの送信だと確認することを想定しているのではないか。
もしそうなら、この仕様書にはもっとも重要なことの一つが書かれていないことになる。
ここまで接触確認アプリの不正利用リスクについてさんざん書いておきながら何だけれど、個人的にこのアプリは役に立たないと考えている。
理由は大きく二つ。有効性がないことと、通知をうけてもどうしようもないこと。
まず有効性がないこと。
有効性がない理由は、使う人が増えないと無用の長物になること。海外の導入済みの国で利用者が伸び悩んでいるのはご承知のとおり。
シンガポールではとうとう、人が多く集まる場所で強制的に入退場を記録するアプリを導入して、感染リスクの高い場所にフォーカスした対策を追加でやらざるを得なくなった。
いちばん単純な計算で、人口の4割が使っても、すべての接触の可能性の2割弱しか把握できない。接触通知をうけても「残りの8割は?」となる。
しかも常にBluetoothをONにしてスマホを使っているとは限らないし、肌身離さずスマホを持ってるわけではない。スマホをどこかに置き忘れたら、接触していない人と接触したことになる。
狭いマンション暮らしでは、上下左右のお隣さんが接触者になる。
満員電車で通勤すれば大量の無意味な接触履歴が残る。
満員電車で集団感染が起こることは少ない、という説が正しくても、間違っていても、接触履歴は無意味になる。なぜ無意味かはこのあと説明する。
また、仕事で感染者と接する人、たとえば感染者を受け入れる病院の医療従事者やスタッフ(事務員、清掃員、売店の店員さん等々)の方々は、受けても意味のない通知をたくさん受けることになる。
感染者は、来院して診断が確定した後に感染を報告するため、報告する前に感染者と接触した医療従事者やスタッフの方々は、そのときスマホを持っていればシステム上は接触者になる。
感染者をつぎつぎ受け入れていれば、無意味な接触通知がつぎつぎ届くことになる。
ただそういう方々は、病院での感染者との接触については十分な対策をしているので通知を受けても意味はないとしても、プライベートで誰かと接触があれば、そちらの方は報告したいと思うだろうし、通知を受ける意味があるかもしれない。
しかしアプリは病院での接触とプライベートでの接触を区別してくれないので、病院関係者の方々にとって、アプリの通知はほぼ無意味になる。
このように接触通知アプリは、使う人によって、利用者が少なくて通知が来ないか、誤検知が多くて通知が来すぎるかになる。海外で使われている同じ種類のアプリにも同じことが起こる。
通知が来るにしても来ないにしても、そのことをどう判断すればいいのか分からなくなる、ということだ。
次に、二つ目の理由。通知をうけてもどうすればいいの?ということ。
接触通知をうけたら単に「体調の変化に気をつけましょう」だけなら、「これだけ流行してるんだから普段から気をつけてますよ」でおしまいだ。
毎日満員電車で通勤している人は、満員電車に集団感染リスクがあろうとなかろうと、感染するかもしれないと恐れつつ乗っている。
ところがアプリの通知が来ても、感染者と接触した場所を教えてくれるわけではない。
やっぱり満員電車が危なかったのか、生活の中で他の場所を避けるべきだったのか、という情報さえ手に入らない。
また、通知をうけたらすぐ病院に行って診察をうけましょうというなら、症状も出ていない人で外来がたちまちいっぱいになってしまう。
通知をうけたらPCR検査を受けられるように制度化するとなると、かなりの規模の検査体制の整備が必要になり、現実的ではない。
通知をうけたことが心配で保健所に電話をかける人が増え、保健所の方々の負荷がさらに大きくなるかもしれない。
このように、そもそも通知がどこまで信用できるのか分からないし、通知をうけたとしても、いつ、どこで接触したのか分からないので、どう行動を変えればいいのかも分からない。
個人的に接触確認アプリには、社会的距離をとる、手洗いをしっかりする、ふだんから体調に注意するといったこと以上の防疫効果が、まったくないと思っている。
接触確認アプリが存在しなければ、その不正利用リスクについて考える必要もない。
・・・という身も蓋もない結論になったところで、この記事はおしまい。
問題の経産省がパブコメを募集した「GOVERNANCE INNOVATION: Society5.0の時代における法とアーキテクチャのリ・デザイン」報告書(案)はこちら。
https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595219066&Mode=0
この報告書(案)がいかに無意味かを、東浩紀『動物化するポストモダン』(昔読んだ)のポンチ絵一枚で説明してみる。
上の「近代の世界像」は、世の中のいろんな出来事はその背後にある大きな理論で説明できる、という世界像のこと。
ふつうの人はあまり意識せずこちらの世界像を持っている。
情報技術の発展にともなって社会全体の姿が変わり、それによって僕らの自身の生活も変わる(私は物語を通して決定される)的な。
世界の歴史、経済、文化、政治、技術などなどの変化を何かの理論で説明しようとする発想は、すべて上図の「近代の世界像」にあてはまる。
その発想の背後には、世界で起こるだいたいの出来事を説明できるような理論、公理のようなものがあるという、暗黙の前提がある。(宗教家にとっては神様がそれ)
そういう大きな理論のことを、ポストモダン思想家は気取って「大きな物語」と呼んでいる。
いっぽうポンチ絵の下半分、「ポストモダンの世界像」は世界全体を説明できるような理論や神様が存在するかどうかなんてどうでもいい、という世界像のことを言っている。
重要なのは、「世界全体を説明できる理論なんて無い」ではなく、「あっても無くてもどうでもいい」という点。けっして「大きな物語」を否定しているわけではない。どうでもいいのだ。
そういう「ポストモダンの世界像」に出てくる「データベース・モデル」は、IT業界でいうデータベースとは無関係で、単なる比喩だ。
上半分の「近代の世界像」では、世の中の出来事は大きな理論でだいたい説明できると見なすので、秩序立って見える。
「ポストモダンの世界像」では、世の中の出来事の背後に大きな理論があるかどうかどうでもいいので、そもそも「私」は出来事のあいだに秩序を見出す気がない。
たぶん東浩紀が「データベース・モデル」で言いたかったのは、無数にある出来事(小さな物語)には秩序がなく、「私」は欲望にまかせて好きなものをピックアップするのだ、ということ。
つまり、背後に大きな理論がある秩序立った世界だと、何かが起こると、次に起こることはだいたいいくつかの条件分岐で予測できるので、私はあたかもツリー構造、もしくはそれをタテにすれば階層構造で出来事を見ている(見させられている)。
一つの根本(大きな物語)から、いくつもの小さな物語が枝分かれしているイメージだ。
いっぽう、背後に大きな理論があろうがなかろうがどうでもいい世界だと、私の方から欲望のままに好きな物語を取り上げて、その深読みにのめりこむ。
みんながそうやって自分の好きなものを漁っている様子を横から見ていると、それぞれがランダム・アクセスしているように見える。
小さな物語というネタがずらりと並んでいるのを前に、どこからでも好きなものをピックアップしている様子を、東浩紀は「データベース・モデル」という言葉で表現したかったんだろうと思う。
たとえばリレーショナルデータベースのテーブルなら厳密な階層構造はないので、どのレコードを読みに行こうが勝手、というニュアンスで「データベース・モデル」と言えなくもない。
そして、私の方から好きなものだけとりに行き、かつ、出来事の背後に大きな理論があろうがどうでもいいので、自分の好きなようにその背後の「深層」を深読みできる。
政治的な陰謀論から、エヴァンゲリオンの解説本まで、自分の好きな出来事(小さな物語)について、勝手にその背後を深読みできる。
それぞれの人が自分の好きなネタだけピックアップして深読みをすると、偶然同じような裏読みをすることもありうる。エヴァンゲリオンのファンが深読みするうちに、いつの間にかパヨクの陰謀論と同じことを考えてたとか。
さて、ここまでくると経産省情報経済課の報告書(案)の無意味さが説明できる。
この報告書は「Society 5.0」というタイトルからすぐに分かるように、社会全体を説明できる枠組み(大きな物語)とそれに対応する法制度(ガバナンスモデル)を描き出そうとしている。
社会は「Society 1.0(?)」から、経済や技術の発達にともなって変化し、「Society 5.0」になるという、どうしようもなく古くさい進歩史観も「近代の世界像」の典型だ。
ところが、彼らは「大きな物語」を描き出そうとして、最近流行のありとあらゆるIT界隈の小道具を寄せ集めてきて、それらの小道具が相互につながることで「Society 5.0」が成立するという書き味になっている。
「Society 5.0」が本当に世界全体を裏付けるような「大きな物語」であれば、それが「サイバー空間」と「フィジカル空間」の二項対立だけで説明できるはずがない。
この報告書(案)を書いた人たちの関心は、経済格差でもなく、人口動態でもなく、環境問題でもなく、「サイバー空間」という自分たちの大好きな「小さな物語」にあった。
そこで、自分の欲望にしたがってそれだけをピックアップし、それをつかって背後にある「深層」を深読みした。その結果がこの報告書(案)だ。
つまり、この報告書(案)と、エヴァンゲリオンの解説本に、本質的な差はない。
彼らは、自分たちが「ポストモダンの世界像」の枠組みにはまっていて、自分たちの大好きなネタだけをピックアップして深読みをしているにすぎない、ということに気づいていない。
本来彼らがやりたかったことは「Society 5.0」という大きな物語を描き出すことだったのに、ゼーレが人類を補完しようとしてました、みたいな単なるマニアックな深読みになっている。
やろうとしていることと、実際に出来上がったもののギャップに、僕らは苦笑するしかない。
以上、東浩紀のポンチ絵(これ自体が正しいかどうかはどうでもいい)を使うと、「GOVERNANCE INNOVATION: Society5.0の時代における法とアーキテクチャのリ・デザイン」報告書(案)の壮大な勘違いと無意味さを、かなりうまく説明できる。
こういうふうに、世の中で起こっている出来事をうまく説明できれば、ポストモダン思想にも一定の価値はあることになる。
ただ、それってポストモダン思想も「大きな物語」を目指してるってことになり、「ポストモダンの世界像」そのものと矛盾してるんじゃないの?というツッコミはありうる。
なので、東浩紀とはちがう本物の(?)ポストモダン思想は、ジャック・デリダのように、最終的に何が言いたいのか、何のためにそんなおしゃべりを延々とやっているのか、よく分からないものになるのが「正しい」姿かも。
会社員向け研修で講師がアカデミックなことをしゃべり出したら、まず真偽を疑った方がいい。
skinship, internshipなどの接尾辞 ‘-ship’ の語源が船のshipなはずがないことは直感的に分かる。まして「船が港Aから港Bへ人を運ぶことから、人と人の間や関係性を意味する接尾辞」というのは完全に誤りだ。
念のため語源辞典で調べてみる。
https://www.etymonline.com/word/-ship
意味は「品質、条件、行為、力量、技能、事務所、地位、~との関係」など。中英語の ‘-schipe’、古英語の ‘-sciepe’ 、アングル語の ‘-scip’ が語源で、これらは「状態、存在の状態」を意味し、ゲルマン祖語では ‘-skepi-‘ とある。インド・ヨーロッパ祖語までさかのぼると ‘(s)kep’ で、「切る、皮をそぐ、たたき切る」などから ‘shape’ 、つまり「形づくる、創造する」の原義を持つらしい。
一方、船の意味の ‘ship’ の語源は古英語で ‘scip’ 、ゲルマン祖語で ‘skipa-‘、いずれも最初から船、ボートの意味で、もともと「切り出された木、中が空洞になった木」。「切る、裂く」の原義があり、接頭辞 ‘schizo-‘ と同じ語源までたどれるとする説もあるようだ。
接尾辞の ‘-ship’ が「形づくる (shape)、創造する (create)」という意味で木を切る、皮をそぐ、たたき切るのに対し、船の ‘ship’ は同じ木の加工でも「切り裂く (split)」方の意味。かつて精神分裂症と訳されていた ‘schizophrenia’ (統合失調症)の接頭辞 ‘schizo-‘ につながるのはうなずける。
https://www.etymonline.com/word/ship
つまり接尾辞の ‘-ship’ と船の ‘ship’ は無関係どころか、ほぼ反対の原義をもつことになる。
接尾辞の ‘-ship’ は何かを創り出す条件や性質のこと、たとえば leadership なら leader を leader たらしめる条件や性質、sportsmanship なら sportsman を sportsman たらしめる条件や性質を意味していると考えると、なるほどと思える。
高校時代にハイデガーを読んで、やたらと言葉の語源にこだわる。そんな会社員が日本にそう多くないことは分かっているし、いちいちそんな会社員がいることを前提に講師が話す必要もないと思う。
ただ、会社員向けの研修を受けていると、講師が無理をしてアカデミックなことを話して墓穴を掘る場面に出くわし、聴いているこちらが気まずくなることがままあり、悲しい。