政府分科会は、ワクチン・検査パッケージの活用を提案しています*1。ワクチンの接種証明については、スマホQRやネット利用のAPIなども検討されていますが*2, *3、検査証明の方は、どこまで検討されているのでしょうか?
ウィーンでは大量無料PCRとコロナパス(グリーンパス)を運用しており*4、参考になると思います。日本でも、基本的にはウィーンの方式を改善して実施すればよいと思いますが、個人的に匿名検査の実現にも興味があったので、本稿では匿名の検査の電子証明書のフレームワークについて考えてみました。
1. ウィーンの大量PCR検査
大量検査を行うために医療従事者の負担を増やすような方法をとることは、現実的ではありません。抗原検査キットは一つの方法ですが、即時性は高いものの、精度が低く、見逃しや偽陽性が高い点が問題です。このため、本稿では、検査方法としては、PCR検査による大量検査について検討します。
大規模な無料PCR検査については、例えば、ウィーンの無料大量PCR検査が参考になります。医療従事者は介在せず、小売り流通網や物流サービス(検体回収)とPCR検査機関をIT技術を使って統合しているサービスです。
検査のフローの概要は、(a) アカウントを作成し、検体採取キットを貰うためのバーコードを入手、(b) ドラッグストアでバーコードを見せて無料の検体採取キットを貰い、(c) うがい検体(≒唾液検体)を家で採取して、(d) 検体をスーパーなどに設置してある回収ボックスに入れると、(e) 電子メールで結果通知され、Webサイトで検査証明がPDFで入手できます。(f) このPDFをスマホアプリに取り込むことで、スマホ版のグリーンパス(コロナパス)が得られます。
図1. ウィーンの大量PCR検査の流れ(文献*4より引用)
2. 無料匿名のPCR検査
2.1 無料匿名の検査
日本で実施している無料匿名の検査としては、HIV検査があります*5, *6。感染症法上の届け出義務がある疾患であっても、匿名検査にすることで、受診率は多少は下がっても、受検率を上げることを重視した施策でしょう。
また、現在の日本では、民間PCRにおける検査結果は、医療診断ではありませんので、検査結果が陽性であっても、保健所への届け出の義務はなく、病院での受診は感染者の任意です。公衆衛生当局からすれば、行政が把握できない検査で、一種の匿名検査になっています。市販の抗原検査キットを使った検査の場合は、検査そのものの実施が把握できず、匿名検査と言えます。
コロナで匿名検査にするか、否かは、議論の必要はありますが、一つの考えとしてはあると思います。個人的には、匿名でない方が良いとは思いますが、プライバシーを重視する国民性もあるので、匿名検査の方が公的検査としては受け入れられやすいかもしれません。特に社会的検査として検査証明を公的に義務付ける場合には、検査に対する反発も予想されますので。
2.2 前提条件
次の仮定をおくことで、頻回の無料匿名のPCR検査の実施とアプリ版の検査証明の発行ができると思います。
① スマホアプリは信頼できる
アプリはプライバシー保護を含めて信頼できることを仮定する。
② ICチップ搭載の公的身分証明書を使用
マイナンバーカード、運転免許証、パスポート、在留カードが入っている。これらは、偽造されないと仮定する。以下ではマイナンバーカードを前提として説明する。
但し、アプリで表示される検査証明書には、基本的には、匿名性はなく、身分証明書と検査証明書は一体化します。
国のワクチン接種証明アプリについては、氏名等の身分情報の非表示も利用者が選べるようです*7, *8。しかし、身分情報の非表示は、ワクチン接種証明の匿名化です。ワクチン接種者からマイナンバーカードを借りれば、接種証明が得られます (苦笑)。入国管理などでは身分情報表示は必須でしょうが、接種証明の匿名化という発想は私にはなかったです。
また、アプリ版の検査証明情報からPDFを作成・印刷すれば、紙の検査証明書もできるでしょう(そこまでする必要があるか良く分かりませんが)。
2.3 匿名検査の流れ
ウィーンのAlles Gurgelt と同じ流れに沿って説明します。基本的には、Alles Gurgelt と同じで一部だけを匿名化します。
(a) アカウントの作成
アプリでは、マイナンバーカードのマイナンバーや顔写真を含む身分情報をICチップから読み込む。この情報はサーバに送信しない。
アプリ経由で、マイナンバーをハッシュ化したハッシュ値を個人ID(匿名ID)として、サーバに登録する。
マイナンバーカード以外に運転免許証、パスポートなど複数の身分証明書を許容した場合、同一人物でも、複数の身分証明書を登録することで複数のアカウントを作ることができます。このため、割り当てた検査数よりも多く検査するなどの不正利用が可能になります。また、ハッシュ値の衝突*9は、実質的に起こらないようにすることはできると思いますが、衝突が起こらないことを完全に保証できるようにできるかは、私はよく知らないです。検体採取キット引き換え用のQRコードを生成できるようにする。
個人に対して配布するキット数の管理方法はいろいろあると思いますが、ここでは電子クーポン方式とします。
(b) 検体採取キットの入手
- 店舗に行って、QRクーポンを提示して、検体採取キットを入手する。
店舗側は、QRクーポンを読み込んで、サーバに送信し、発行されたクーポンを無効化します。
店舗側システムを一切変更しない前提なら、スマホでQRクーポンを1回表示したら、クーポンを無効化します。例えば、(誤表示によるクーポン失効を防ぐために) 店舗QRコードを店舗に置いて、それを読み込むと、クーポンを表示できるようにする。利用店舗とクーポン使用をスマホからサーバに送信すれば、店舗側のキット配布数が把握できます。但し、匿名IDと利用店舗との紐付けが可能になるので、この点は要検討(紐付けしてもよいか、紐付けはしないというお約束にするか、システム的に紐付けできないようにするか)。
(c) 検体の採取
検体採取から検体容器の梱包までを撮影し、検体採取時のすり替えを防止します。匿名性を確保するためには、サーバにデータを送信せずに、端末ローカルで処理を実施する必要があります。
- 被験者の顔の確認(マイナンバーカードの登録写真と照合する)
- 梱包袋に入れた検体容器のバーコードの確認
Alles Gurgelt!と同等の検体採取の確認処理を自動でできるかは不明ですが、少なくとも顔認証と検体容器のバーコード確認は必要と思います。
- スマホから、検体容器のバーコードをサーバに送信する。
サーバでは匿名IDと検体容器番号を紐付けます。
検体採取キットを個別に追跡できるようにすると、どこの店舗で渡された検体採取キットか判明します(これを認めるか、認めないかは運用ポリシー依存)。
(d) 検体の回収
日本なら、コンビニに回収ボックスを設置して、投函できると便利でしょう。
(e) 結果通知
- 検査機関は、匿名ID宛に検査結果を通知する。
あるいは、
- 検査機関では、検査結果をサーバに登録する。
スマホ側で、検体容器番号の検査結果をサーバに問合せ、結果を得る。
この場合、サーバ側では匿名IDと検体容器番号を紐付ける必要はありません。陽性であっても、公衆衛生当局には個人IDを通知しない。
個人ID(匿名ID)を通知しても個人を特定できないので、そもそも通知する意味がありません。また、検査件数や陽性件数などの統計情報は、必要に応じて、当局に報告してもよいでしょう。次回検査のための電子クーポンを匿名ID宛に発行する。
(f), (g) スマホで検査証明
通知結果に基づいて、スマホアプリで検査結果を表示する。
必要に応じてQRコードなども表示。氏名や生年月日、顔写真などの身分証明情報は、マイナンバーカードの情報を使用する。陰性なら陰性証明として店舗等で利用、陽性なら陽性証明として病院へいく(再検査の要否は運用ポリシーに依存)。
2.4 匿名性
アカウント作成や電子クーポンの管理、結果通知における通信で、スマホが特定される可能性があります。匿名性の確保としては不十分かもしれません。運用ポリシーとして匿名性を確保するようにシステム構築をすれば、法執行機関や通信ベンダ以外は容易には個人を特定できないとは思いますが、国は信用できないという前提であるならば、不十分です。
付録に、紙クーポンを使い、結果通知も特定されないような方法を述べましたが、エレガントとは言えない方法です。もっと上手い方法はないですかね。
3. 最後に
無料匿名の大規模PCR検査のための方法を考えました。匿名化に関するIT技術は詳しくはないので、もっと良い方法があるかもしれませんが、何かの参考になれば幸いです。
(2021/10/28)
関連記事
- 【コロナ】医療保険が適用できる研究用試薬という謎 - 時事随想
- 【コロナ】個人向けの郵送PCR検査サービスのまとめ - 時事随想
- 【コロナ】厚労省推奨の抗原検査キットのユースシナリオは、何? - 時事随想
- 【コロナ】 デジタル庁のワクチン接種証明のAPI仕様をざっとみた。残念! - 時事随想
- 【コロナ】コロナパス運用のために必要な検査数 - 時事随想
- 【コロナ】ワクパスを簡単にレビュー - 時事随想
- 【コロナ】Alles Gurgelt! ウィーンの無料PCRについて - 時事随想
付録:紙クーポンを使う場合
匿名IDのアカウントは、 クーポンの発行管理と結果通知のために用いていますが、クーポンを電子クーポンではなく、紙クーポンにすれば(あるいは、もっとうまい方法で電子クーポンを管理できれば)、匿名IDを使わず、匿名性を高めることができます。
そのときのフローは次のようになります。
(a) アカウント作成
- アカウントは作成しない。
- サーバに一切の情報を送信しない(通信しない)。
- スマホ検査証明で表示する身分情報を公的身分証明書のICチップから読み込む。
(b) 検体キットの入手
- 紙のクーポン券と交換で、検体キットを入手する。
(c) 検体の採取
- 検体容器番号をサーバに送信しない。
- それ以外は、変更なし
- サーバとは通信しない。
(d) 検体の回収
- 変更なし
(e) 結果通知
- 検査機関は、検体容器番号の検査結果をサーバに登録する。
- スマホは、サーバに登録されている全ての検査結果をダウンロードし、スマホローカルで検体容器番号を照合し、検査結果を得る。
(検体容器番号で問い合わせして検査結果を得ると、問い合わせした端末が特定されて、匿名性が損なわれる)
接触追跡アプリの通知方法*10, *11を参考にしましたが、ダウンロードするデータ量が大きくなるので、困ります。別の方法があれば、その方が良いです。
(f), (g) スマホで検査証明
- 変更なし
上記の方法では、通信が必要なのは、検査結果を取得するときのみです。それ以外は、通信は不要です。また、検体すり替えは、本文提案でも全自動なので、なりすまし耐性は同等と思います。
紙クーポンの場合、使用状況に応じた検体採取キットの配布管理ができないので、未使用の検体採取キットが発生することが予想されます(キット配布数と検体回収数が大幅にずれる)。
なお、無駄に検体採取キットを個人で保管する問題は、検体採取キットを有料化することで抑制できます。この場合は、紙クーポンもなしでいいでしょう。
*1:新型コロナウイルス感染症対策分科会「ワクチン接種が進む中で日常生活はどのように変わり得るのか?」(2021.9.3).
*2:デジタル庁「コロナワクチンの接種証明書(電子交付)の仕様に関するご意見を募集します」(2021.9.17)
*3:日経クロステック「スマホで見せるワクチン接種証明書、デジタル庁が仕様案を公開するも残る課題」(2021.9.17).
*4:時事随想「【コロナ】Alles Gurgelt! ウィーンの無料PCRについて」(2021.10.21).
*6:国立感染症研究所「保健所等における無料匿名HIV検査の現状とその課題」IASR Vol. 34, pp.253-254 (2013.9)
*7:デジタル庁「「コロナワクチンの接種証明書(電子交付)の仕様に関するご意見」の取りまとめ結果を公表しました」(2021.10.19).
*8:ケータイWatch「ワクチン接種証明アプリ、ユーザーが表示情報選べるように」(2021.10.22).
*10:厚生労働省「接触確認アプリケーションプライバシーポリシー」(2020.12.15).
*11:INTERNET Watch「接触確認アプリで議論、プライバシーや有効性、法的側面は?」(2020.6.16) 特にこの説明図
