接触確認アプリ、エンジニアが無償開発した訳
「オープンソース」で開発、内外の200人が結集
6月19日に厚生労働省が配信を開始した新型コロナウイルス接触確認アプリ「COCOA」。ダウンロード数は6月28日午後5時時点で約464万件に達した。
同アプリは、スマートフォンに搭載された近距離データ通信技術「Bluetooth(ブルートゥース)」を使い、スマホを持った人同士が一定以上の時間、近くにいたことを記録するアプリだ。
厚労省は今回、同アプリを幅広い機種のスマホで使えるようにするため、アメリカのアップルとグーグルが共同開発したブルートゥースによる接触確認の仕組み(「API」と呼ばれるアプリとOSの接続形式)を採用している。「国やアップル、グーグルに個人情報が筒抜けになる」といった声も出たが、個人情報が端末の外に出ないよう、細心の配慮がなされている。GPSで位置情報を取得するといったこともない。
「接触確認」で個人情報はどうなる?
具体的な仕組みはこうだ。アプリをインストールし、ブルートゥース機能をオンにしたスマホで、10分ごとに「接触符号」と呼ばれる暗号化されたIDのようなものが生成される。他人のスマホが近づくと、符号を交換し、近くにいたことが記録される。厚労省はこのアプリの運用にあたり、連続して15分以上、半径1メートル以内に近接することを「濃厚接触」とした。
また、接触符号とは別に、1日に1度スマホで生成される「日次鍵」と呼ばれるIDもあり、これは過去14日分が端末内に保存される。PCR検査を受けて陽性と診断された場合は、保健所が厚労省が運営する新型コロナ感染者の管理システムに患者情報を記録し、処理番号が発行される。
この番号を接触確認アプリに入力し、陽性であることを報告すると、過去14日間の日次鍵と関連情報がアプリのサーバーを通して全端末に送信される。受信した端末では、この鍵を元に過去14日間に交換した接触符号のリストと突き合わせ、一致する場合には「過去14日間に陽性者と濃厚接触した」という通知が表示され、医療機関の受診を促す。
接触符号や日次鍵からは個人を特定することはできず、先述の通り位置情報も取らないため、陽性者との接触通知を受けても、誰と、どこで濃厚接触したのかということはわからないようになっている。
政府内で接触確認アプリの導入に関する議論が始まったのは4月。そこからわずか2カ月で配信開始にこぎつけたのには、民間のエンジニアたちの力があった。開発業務自体は人材大手パーソルホールディングス傘下のパーソルプロセス&テクノロジーが受注した。ただ、ベースとなるプログラムは、ある1人のエンジニアがボランティアとして開発を始めたものだ。