ドイツのデジタル・ワクチン・パスポート「CovPass」の光と影|ニューズウィーク日本版オフィシャルサイト

ドイツのデジタル・ワクチン・パスポート「CovPass」の光と影

2021年5月26日（水）17時00分

武邑光裕

ドイツ市民がEU加盟各国に旅行をする時、ワクチン接種の証明を要求される場面も想定される。その場合、審査機関に予防接種証明書を提示し、航空会社のスタッフがまずIDカードを確認し、本人に証明書が発行されているかどうかを確認する。そして、専用のアプリを使って、その証明書が本物かどうかを確認する。

そのためには、スマートフォンや紙の証明書からワクチン接種証明書のQRコードを読み取り、加盟各国の証明書サーバーとセキュリティ・キー（公開鍵）を比較して真正性を確認する。ワクチン接種者のスマートフォンがインターネットに接続されている必要はなく、これは、検証に必要な認証発行所の公開鍵がスマートフォンに保存されているためだ。検証アプリが緑色に点灯していれば、ワクチン接種の証明書は正しいものとなる。

CovPassは、これまでにドイツ国内で、約2,800万回ダウンロードされているコロナの公式警告アプリにも統合される。また、スマートフォンを持っていない人は、紙に印刷したものを証明として使用することができ、ドイツ人の多くが持つ黄熱予防接種証明書にもコロナ・ワクチン接種記録が適用される。

アプリから読み取ることができるQRコードには、すべての重要なデータが暗号化された形式で含まれている必要がある。RKIのウェブサイトでは、この個人データはローカルにのみ保存されることを強調している。そのため、スマートフォンにのみ保存され、RKIはアプリの偽造防止も約束している。

RKIによると、CovPassアプリの使用は任意であり、単なるオファーである。アプリを使用したくない場合は、紙の予防接種証明書、医師の診断書、またはテストセンターからの電子メール(PDF)も使用できるという。

データ保護団体からの懸念

データ保護と情報の自由のための連邦委員会（BfDI）は、CovPassのシステム開発をめぐり、連邦保健省がIBM、Ubirch、govdigital、Bechtleのコンソーシアムに発注したタイトなスケジュールを疑問視しており、開発側の権限に対する情報が不足していると指摘している。「デジタル・ワクチン接種証明書の導入に関する最終的な技術的コンセプトをまだ受け取っておらず、技術的な実装が具体的にどうなるかも説明されていない」とBfDIの広報担当者はドイツのシュピーゲル誌のインタビューに答えている。

今後BfDIは、連邦保健省との間で会議を行い、そこでより詳細な情報を得たいとしている。連邦保健省の開発スケジュールは「タイト」であり、アプリの公開前に包括的なレビューを行うことはできないという。「これでは、データ保護の欠陥が、プロジェクトが稼動した後になって明らかになり、その時点で規制措置が必要になる可能性がある」と、BfDIの広報担当者は指摘する。

CovPassの開発者に選ばれたのは米国のIBM、ドイツのスタートアップであるUbirch、ITサービスプロバイダーGovdigitalとBechtleである。CovPassを開発したコンソーシアムの決定には、ヘルスケアに関するIBMの専門知識が利点であったはずだ。この米国のグループは、ドイツの健康保険業界の巨人であるBarmerを含む、いくつかの法定健康保険会社向けに電子患者記録（EPR）も開発している。

2001年、米国のジャーナリスト、エドウィン・ブラック(Edwin Black)は、 IBMの子会社とナチス・ドイツとの取引を詳述した。国勢調査に基づいたパンチカードの作成とデータ集計技術が、ナチスのユダヤ人大量虐殺を促進したと指摘した。この著作は、「IBM とホロコースト：ナチス・ドイツと米国企業との戦略的提携」と題された。

歴史を遡れば、1930年代前半にIBMの子会社であったDehomagが、ナチス・ドイツに協力し、ドイツ国民の国勢調査を利用して、ユダヤ人を特定、追跡したという過去の暗い記憶も蘇る。大規模な市民の健康データの取得が、思いも寄らないリスクを生むことを忘れるべきではないだろう。

ハーマン・ホレリス（Herman Hollerith、1860年- 1929年）はアメリカの発明家で、パンチカードを使用し、数千数万のデータから統計情報を迅速に集計するタビュレーティング・マシン（電動作表機）を開発した。後にIBMの一部となる会社をドイツで創業し、ホレリスのマシンはナチスの国勢調査、ユダヤ人の特定、追跡に使われた。写真はベルリンのドイツ技術博物館所蔵のホレリス・マシン。

ワクチン・パスポートへの批判

ワクチン・パスポートには別な論争もある。世界最大級のハッカー組織であるベルリンのChaos Computer Club（CCC）のスポークスマンが言うように、それはワクチンを接種した人とそうでない人との間を引き裂く、「社会的分裂の道具」のように見えるからだ。CCCはまた、特定の機関が保存されたデータへのアクセスを取得することにも懸念を表明している。たとえば、ワクチン接種データベースに関しては、すでに警察がそれらのデータを求めているからだ。

さらに、ドイツのIT系オンラインメディアであるHeiseは、コンサート会場の入り口で、変更されたスキャナーでQRコードを読み取り、表示される情報を収集する可能性があるという懸念を表明している。さらに、犯罪者が予防接種を受けた人に送られるQRコードを傍受した場合、成り済ましや詐欺などの危険が潜んでいる。

ヘルスケアとDX

2021年1月より、ドイツでは、法定医療保険者は被保険者に電子患者ファイル（ePA）を提供することが義務付けられた。これを有効に活用するために、患者は主治医に自分の医療記録を要求することができる。ePAは、イェンス・シュパーン連邦保健相が推進するDXアジェンダの中心であり、将来的には、これまでのようにファックスでレポートを要求する代わりに、医師は患者の病歴の概要をすばやく取得できるようになる。

IBMが開発したこのアプリケーションは、ドイツの2,000万人以上の被保険者のデータを有している。健康情報という最もセンシティブなデータ・プライバシーが、コロナ禍による「公益性」の名のもとに政府や企業によって大規模に収集、分析されることで、デジタル監視社会への懸念も高まっている。

監視社会の悪夢をデジタル・ワクチン・パスポートと重ねて考えるのは単なる杞憂に過ぎないのか？ワクチン・パスポートの公益性やメリットを語るだけでなく、そこに潜むまだ見ぬリスクを注視し続ける必要がある。