CCPAの見つけ方

下らない記事で申し訳ありませんが、カリフォルニア州消費者プライバシー法(CCPA)の原文の見つけ方をメモとして書いておきます。

まずカリフォルニア州法律情報サイトを開きます。

https://leginfo.legislature.ca.gov/

左上の「California Law」をクリックすると下図の画面になります。ここで「Civil Code – CIV」をクリック。

次のページで「DIVISION 3.」をクリック

次のページで、ず~っと下の方にあるTITLE 1.18.5. がCCPA。

TITLE 1.81.5. California Consumer Privacy Act of 2018 を開くとこうなります。

直リンクはこちら。

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.

以上

荒井由実1970年代名曲のコード譜へリンクを張るだけの記事

個人的に荒井由実(松任谷由実)の”鬱曲”と勝手に名付けた名曲集の、コード譜へのリンクを張るだけの記事。

リンクは「白い朝まで」を除きU-FLETへのリンク。

「白い朝まで」のみ「ユーミンコード進行bot」(Twitter)さんへのリンク。


「ひこうき雲」(『ひこうき雲』1.)

「空と海の輝きに向けて」(『ひこうき雲』4.)

「ベルベット・イースター」(『ひこうき雲』6.)

「雨の街を」(『ひこうき雲』8.)

「そのまま」(『ひこうき雲』10.)

「生まれた街で」(『MISSLIM』1.)

「瞳を閉じて」(『MISSLIM』2.)

「海を見ていた午後」(『MISSLIM』4.)

「魔法の鏡」(『MISSLIM』7.)

「たぶんあなたはむかえに来ない」(『MISSLIM』8.)

「私のフランソワーズ」(『MISSLIM』9.)

「旅立つ秋」(『MISSLIM』10.)

「航海日誌」(『COBALT HOUR』6.)

「朝陽の中で微笑んで」(『14番目の月』4.)

「何もなかったように」(『14番目の月』6.)

「晩夏(ひとりの季節)」(『14番目の月』10.)

「9月には帰らない」(『紅雀』1.)

「白い朝まで」(『紅雀』8.)

接触確認アプリはそもそも役に立たない:その1

※以下、IT業界用語はできるだけ避ける。

政府が2020年6月に導入するらしい接触確認アプリの仕様書を読んで、いちばん危ないんじゃないのと思う点があった。(仕様書はこちら

「処理番号」だ。

仕様書のp.13に、検査で陽性になった場合の処理の流れが書かれている。p.5のデータの流れと合わせると分かりやすい。

検査で陽性になった人に、保健所が「感染者システム」で処理番号を発行し、陽性者に通知、陽性者は自分のスマホから接触確認アプリに入力することになっている。

入力された処理番号はいったん「通知サーバー」に送信され、そこから感染者システムに送信、感染者システムが正規の処理番号であることを確認する。

確認結果は「通知サーバー」経由で陽性者の端末のアプリに送信される。

確認結果がOKならアプリから自動的に「通知サーバー」に感染報告(日次キーと時刻情報)がアップロードされる。確認結果がNGならエラーメッセージが表示される。

処理番号の確認が取れる前に、アプリから感染報告ができてしまったのではマズいので、確認結果OKを受信してはじめて、感染報告処理が実行される。

ここまででもうナゾが山ほどある。そのナゾは以下、順に書いていく。

ところで「認証情報」という意味不明の用語が登場し、仕様書の中でここにしか登場しない。

「認証情報」の定義はないが、p.11に「認証機能」の定義は書いてある。「感染時に、感染者本人から入力かどうかを確認する」とのこと。(「~からの入力か」で「の」がないのは誤植だろう)

感染者本人かどうかを確認する認証のしくみについて、この仕様書のどこにも書かれていないのに、かんたんな定義だけがサラッと書いてある。

この「認証情報」が要配慮個人情報に当たるかもしれないにもかかわらずだ。

いずれにせよ、明確な定義がないのでいったん置いておく。後から「実はこの本人認証機能が不正利用を防ぐために重要なんです」とならなければいいけれど。

かんたんな処理番号のリスク

話をもどして、このアプリの不正利用をどうやって防ぐかだが、処理番号がかんたんに推測できたのでは、イタズラ入力で接触確認アプリの信用が落ちる。

たとえば、頭文字が都道府県コードで、その後は年月日と連続番号、なんていうのはダメだろう。

いちばん良いのは、人間が覚えられない長くて複雑な文字列をQRコードなどにして送信し、感染者がアプリで読み取るというふうに、人間が入力をしない仕様だろう。

そうすれば入力ミスも防げるし、勝手な処理番号の作成も難しくなる。じっさいのアプリではどうなるだろうか。

処理番号を本人に伝えるときのリスク

たぶんメールかSMSだろう。メールアドレスと携帯番号は「感染者システム」に入力するはずなので。

メールの場合、陽性者がかんたんなパスワードで二要素認証もなしにメールを使っていないことを祈る。陽性者のメールがかんたんに不正アクセスされるのでは、不正利用につながってしまう。

SMSの方が良さそうだが、どちらも詐欺被害のおそれはある。

「システムの不具合でセンターと通信ができないため、お手数ですが保健所のホームページから処理番号の入力をお願いします」などの文面で、ニセのウェブサイトに誘導され、処理番号をだまし取られてしまうという詐欺だ。

「フィッシング」「スミッシング」と呼ばれるものだが、たぶん起こるだろう。

処理番号が通知サーバーを通るリスク

陽性者がアプリから処理番号を入力した後、なぜ直接保健所の「感染者システム」に送信せずに、通知サーバーを経由する仕様になっているのか。筆者には分かりづらい。

一つ考えられるのは、保健所の「感染者システム」は個人情報のかたまりなので、このシステム自体にインターネットから処理番号を直接受けとる口を作りたくないという理由。

通知サーバーはもともと不特定多数のスマホと通信するので、高いセキュリティが求められる。一方、場所が特定できる保健所のシステムとの通信は、セキュリティを確保しやすい。

なので、通知サーバーで両者を仲介し、感染者システムを直接インターネットにさらさないようにすれば、全体としてより安全なシステムになるということかもしれない。

この接触確認アプリと感染者システムの連携の部分が、要配慮個人情報の漏えいを防ぐためのいちばんの肝になると思う。

(通知サーバーと感染者システムを同一業者が運用する場合の漏えいリスクも含めて)

残念ながらこの仕様書には「本アプリと感染者システムとの連携については、本仕様書の範囲に入れずに」(p.5)とあり、どのように実現されるかはこれからになる。

処理番号だけで「本人のスマホ」をどう確認するのか

たぶんできない。

保健所の感染者システムが、アプリから入力された処理番号を受け取ったとき、その処理番号が「本人のスマホ」から入力されたものであることは確認できない。

この話の前にまず確認したいのは、「本人が」入力したかをチェックする必要はないということだ。

誰が入力しようと、陽性者の日次キーと時刻情報が記録されている「本人のスマホ」に入力してくれれば、正確な接触履歴が通知サーバーに送信されるのでOK。

「本人」かどうかを確認する必要はなく、「本人のスマホ」かどうかが確認できればよい。

イタズラで無関係なスマホから入力されたのでは、無関係な日次キーが感染者のものとして通知されてしまうので、接触確認アプリの信用がガタ落ちになるためだ。

※ちなみにスマホ2台持ちの場合、たとえば会社から支給された業務用スマホと、プライベートのスマホを持って生活している場合どうするのかなど、細かい問題は残るが、本筋から外れるので省略。

しかし、保健所の感染者システム側で、「本人のスマホ」から入力されたものだと確認するには、接触確認アプリがスマホを特定する端末IDを、処理番号とともに感染者システムへ送信する必要がある。かつ、感染者システム側も、事前に端末IDを知っている必要がある。

確認した結果を感染者システムから「本人のスマホ」に返すときにも、「本人のスマホ」を特定する端末IDが必要だ。

端末IDがなくても、一連の処理を開始するときその処理に唯一のID(セッションID的なもの)があればいい、というのは間違いだ。

処理の開始そのものを別の端末で不正に行われるおそれがあり、処理に対するIDしかなく、端末IDがないしくみでは、通信元が「本人のスマホ」であることを確認できない。

処理番号より端末ID

いろいろ考えると、最初から端末IDを処理番号にすればいいことになる。

つまり、保健所は事前に、陽性者本人のスマホのアプリが発行した端末IDを感染者システムに登録しておく。本人の端末から感染報告をするための予約番号的な意味合いになる。

そして、感染者本人(でなくてもよい)が「本人の端末」のアプリから「陽性報告します」という意思表示を入力する。

意思表示だけで、処理番号のようなものを入力する必要はない。「報告する」ボタンを押すだけになる。(もちろん報告の義務はないので押さなくてもいい)

この報告を感染者システムに送信するとき、自動的に事前に感染者システムに知らせておいた端末IDをくっつけて送ればよい。

すると、感染者システム側で事前に登録してある端末IDと突き合わせて「本人のスマホ」だと確認でき、本人の「報告します」という意思も確認できる。

そして通知サーバー経由で、端末IDをたよりに「本人のスマホ」へ確認完了を返信すると、その「本人のスマホ」内のアプリが自動的に通知サーバーに日次キーをアップロードするという流れになる。

このやり方だと、端末IDも要配慮個人情報になってしまうが、陽性者以外の誰かが不正に処理番号を入手し、無関係なスマホから入力することは防げる。

処理番号も要配慮個人情報、端末IDも要配慮個人情報で、不正利用をより強力に防げるのは端末IDパターンとなる。

だとすれば、なぜ処理番号ではなく端末IDにしなかったのか。

アプリが発行する端末IDも、その人が陽性になって報告の意思を示すたびに(ご承知のように退院後にふたたび陽性になる事例はある)発行しなおして使い捨てにすればよい。

いずれにせよ、処理番号パターンでは、無関係なスマホから処理番号を不正に入力され、陽性者のスマホものではない日次キーが、アプリの利用者に通知されるおそれがある。

「使い捨て端末ID」の方が、アプリの不正利用防止の点ではすぐれているように見える。

それでも処理番号になっているのは、ここで例の「認証情報」の出番になるからではないのか。処理番号と「認証情報」を合わせて感染者システムに送信することで、「本人のスマホ」からの送信だと確認することを想定しているのではないか。

もしそうなら、この仕様書にはもっとも重要なことの一つが書かれていないことになる。

そもそも接触確認アプリは役に立つのか

ここまで接触確認アプリの不正利用リスクについてさんざん書いておきながら何だけれど、個人的にこのアプリは役に立たないと考えている。

理由は大きく二つ。有効性がないことと、通知をうけてもどうしようもないこと。

まず有効性がないこと。

有効性がない理由は、使う人が増えないと無用の長物になること。海外の導入済みの国で利用者が伸び悩んでいるのはご承知のとおり。

シンガポールではとうとう、人が多く集まる場所で強制的に入退場を記録するアプリを導入して、感染リスクの高い場所にフォーカスした対策を追加でやらざるを得なくなった

いちばん単純な計算で、人口の4割が使っても、すべての接触の可能性の2割弱しか把握できない。接触通知をうけても「残りの8割は?」となる。

しかも常にBluetoothをONにしてスマホを使っているとは限らないし、肌身離さずスマホを持ってるわけではない。スマホをどこかに置き忘れたら、接触していない人と接触したことになる。

狭いマンション暮らしでは、上下左右のお隣さんが接触者になる。

満員電車で通勤すれば大量の無意味な接触履歴が残る。

満員電車で集団感染が起こることは少ない、という説が正しくても、間違っていても、接触履歴は無意味になる。なぜ無意味かはこのあと説明する。

また、仕事で感染者と接する人、たとえば感染者を受け入れる病院の医療従事者やスタッフ(事務員、清掃員、売店の店員さん等々)の方々は、受けても意味のない通知をたくさん受けることになる。

感染者は、来院して診断が確定した後に感染を報告するため、報告する前に感染者と接触した医療従事者やスタッフの方々は、そのときスマホを持っていればシステム上は接触者になる。

感染者をつぎつぎ受け入れていれば、無意味な接触通知がつぎつぎ届くことになる。

ただそういう方々は、病院での感染者との接触については十分な対策をしているので通知を受けても意味はないとしても、プライベートで誰かと接触があれば、そちらの方は報告したいと思うだろうし、通知を受ける意味があるかもしれない。

しかしアプリは病院での接触とプライベートでの接触を区別してくれないので、病院関係者の方々にとって、アプリの通知はほぼ無意味になる。

このように接触通知アプリは、使う人によって、利用者が少なくて通知が来ないか、誤検知が多くて通知が来すぎるかになる。海外で使われている同じ種類のアプリにも同じことが起こる。

通知が来るにしても来ないにしても、そのことをどう判断すればいいのか分からなくなる、ということだ。

通知をうけてもやることがない

次に、二つ目の理由。通知をうけてもどうすればいいの?ということ。

接触通知をうけたら単に「体調の変化に気をつけましょう」だけなら、「これだけ流行してるんだから普段から気をつけてますよ」でおしまいだ。

毎日満員電車で通勤している人は、満員電車に集団感染リスクがあろうとなかろうと、感染するかもしれないと恐れつつ乗っている。

ところがアプリの通知が来ても、感染者と接触した場所を教えてくれるわけではない。

やっぱり満員電車が危なかったのか、生活の中で他の場所を避けるべきだったのか、という情報さえ手に入らない。

また、通知をうけたらすぐ病院に行って診察をうけましょうというなら、症状も出ていない人で外来がたちまちいっぱいになってしまう。

通知をうけたらPCR検査を受けられるように制度化するとなると、かなりの規模の検査体制の整備が必要になり、現実的ではない。

通知をうけたことが心配で保健所に電話をかける人が増え、保健所の方々の負荷がさらに大きくなるかもしれない。

このように、そもそも通知がどこまで信用できるのか分からないし、通知をうけたとしても、いつ、どこで接触したのか分からないので、どう行動を変えればいいのかも分からない。

個人的に接触確認アプリには、社会的距離をとる、手洗いをしっかりする、ふだんから体調に注意するといったこと以上の防疫効果が、まったくないと思っている。

接触確認アプリが存在しなければ、その不正利用リスクについて考える必要もない。

・・・という身も蓋もない結論になったところで、この記事はおしまい。

(アイキャッチ画像は StockSnapによるPixabayから)