デジタル庁の公表している「マイナンバーカードQ&A」は、いろいろ、ごまかしだらけで、追及を免れる意図が見え見えである。 たとえばこんなところだ。 Q3–13 マイナンバーカードのICチップから重要な個人情報が筒抜けになりませんか。 A3–13 マイナンバーカードのICチップには税や年金の情報、病歴などのプライバシー性の高い情報は記録されません。さらに、ICチップの情報を確認するには暗証番号が必要で、暗証番号を一定回数間違えると使えなくなります。また、仮にICチップの情報を不正に読みだそうとすると壊れてしまうなど、様々な安全措置が講じられています。 確かに、ICカードに記載できる情報は限りがあるので、重要な個人情報は筒抜けにはならないかもしれない。しかし、どちらかというと、マイナンバーカードはより詳細な情報にアクセスできるマイナポータルのための「鍵」と考えた方がより適切だ。 「鍵が盗まれたら泥棒が入りませんか?」と言っているのを、「鍵には財宝をしまうことが出来ません、安心です。」という感じの、意図的に見当はずれの回答をしていることになる。

マサチューセッツ州の保健当局とGoogleが接触追跡アプリをAndroid端末にユーザーに同意を求めずに強制インストールして訴訟をおこされた件 マサチューセッツ州の保健衛生当局とGoogleが接触追跡アプリを地域住民や旅行者のAndroidアプリにユーザーに確認することなく強制インストールさせたことで訴訟を起こされたとのこと。 Mass. health officials worked with Google to covertly install COVID ‘spyware’ into 1M phones, lawsuit claims https://www.foxbusiness.com/politics/mass-health-officials-google-covid-spyware-1m-phones-lawsuit 善意であろうがなかろうが、普通に気持ち悪いし、”スパイウェア”であろうがなかろうが問題視されることですよね、ましてや行政がそれをやらせたのであれば。

デジタル庁が2021年12月20日からGoogle PlayやApp Storeで提供開始した「新型コロナワクチン接種証明アプリ」( https://www.digital.go.jp/policies/posts/vaccinecert 、以下「接種証明アプリ」)だが、今更な話だが、これは接触確認アプリCOCOA以上に普及しないだろうと思う。 利用には本人確認用にマイナンバーカードが必須であること。これが一番の原因だ。「接種証明アプリ」のためだけに取得に1か月以上かかり、直接役所に訪問する手間をかけてマイナンバーカードを取ろうという人はそんなに居ない。また、マイナンバーカードを持っている人でも、本人確認に必要なパスワードを失念してしまう人が全国で100や200のレベルではないだろう。しかもパスワード入力を3回間違えたらロックされて、その解除には市区町村役所役場での手続きが必要になるという。パスワードを忘れて3回間違えてしまう人たちの阿鼻叫喚がTwetter上で実際見られた。(※2022/04/17追記：コンビニでパスワードを初期化が可能なのは利用者証明用パスワードで、「新型コロナワクチン接種証明アプリ」で使用する、券面事項入力補助用のパスワードではないことに注意。)

接触確認アプリCOCOAをはじめとする、接触追跡アプリ(Contact Tracing App)のコアとなる、Exposure Notification APIを提供しているGoogleとApple。その本拠地であるアメリカでは既に失敗作という評価のようだ。 アップルとGoogle共同開発のコロナ接触通知API、米国では大失敗との調査結果 — Engadget 日本版 https://japanese.engadget.com/apple-google-exposure-api-failed-us-070051708.html Apple exposure notification API saved lives, but US apps failed — 9to5Mac https://9to5mac.com/2021/08/26/google-apple-exposure-notification-us/

私は仕事でBluetooth Low Energy(Bluetooth LE, BLE)を用いたとある医療デバイス用の測定データを自動取得するWindowsプログラムを以前書いたこともあり、ちょっとした好奇心から、昨年(2020年)、接触確認アプリ COCOA で検出するアドバタイズ信号を検出するスキャナーをWindows用に作成。以降、仕事の合間に断続的に1年以上眺め続けている。 スキャナープログラム自体はBLEのアドバタイジング信号を検出するありふれたC#で書かれたサンプルプログラムをベースにCOCOA等、Exposure Notificationで使用する特定のUUIDだけ抽出してリアルタイム一覧表示したりログ出力するようにしたものだ。 モバイルデバイス(スマートフォン)のExposure NotificationのMACアドレスが15分前後で変わるということは以前書いた通りだが、その前後には別のMACアドレスで同じぐらいの信号強度(RSSI)でアドバタイズを始めるのがスキャナーで観察しているとわかる。

良く仕組みをわかってない人が、Google/AppleのExposure Notification API(GAEN)を使用している海外の接触追跡アプリ(接触確認アプリ)をもちあげ、接触確認アプリCOCOAをけなしているのを見かけた。 「COCOAを不当にけなしている」という人も居るだろうが、正直出来があんまりよくないのは確かだろう。 だが、ロクに使ったこともないであろう海外の接触追跡アプリを持ち上げるのも違う。なぜならOSに近いコアとなる部分はGAENを採用した海外の接触確認アプリも基本全く同じだからである。「Google / Appleの作りがクソ」の可能性も十分あるのだ。実際、いくつか不具合があって更新されていたりする。 我々が目にしている接触確認アプリの本体としているものを「どら焼き」にたとえると、「あんこ」を作っているのはGoogleやApple、接触確認アプリCOCOA自体はほとんど「どら焼きのガワ」に過ぎない。

「COCOAにワクチンパスポート(ワクチン接種証明書)機能を持たせればよいのに」「COCOAにログインボーナス…(以下略)」のような、接触確認アプリCOCOAに全く異なる機能の追加を要望するTweetをよく見かけるが、ワクチンパスポート機能すらもGoogle/Apple Exposure Notification APIを使う限りは実現しないのか …

Google force installs Massachusetts MassNotify Android COVID app https://www.bleepingcomputer.com/news/security/google-force-installs-massachusetts-massnotify-android-covid-app/ Even creepier COVID tracking: Google silently pushed app to users’ phones [Updated] | Ars Technica https://arstechnica.com/gadgets/2021/06/even-creepier-covid-tracking-google-silently-pushed-app-to-users-phones/ アメリカ・マサチューセッツ州の接触確認アプリ”MassNotify”をAndroidスマートフォンに強制インストールさせたとのこと。

※随時更新予定 2021年6月14日前後から、Androidスマートフォンで知らないうちに接触確認アプリ COCOAがインストールされていたという話題がtwitterでチラホラ挙がっている。 もし、楽天モバイル向けの端末ならば、それは楽天モバイル側がシステムアップデートでプリインストールさせたものだと思われる。 特にごく最近の話(6月14日以降)であれば、タイミング的に見てOPPO製のReno 3A楽天版ではないだろうか。 実はRakutenブランドの端末(Rakuten mini/Rakuten Hand/Rakuten BIG/Rakuten BIGs)に関しては今年に入ってからシステムアップデート等で接触確認アプリCOCOAを組み込んでいる。 楽天モバイルのアップデート情報を見てもアップデート詳細の記述にCOCOAの記述が見当たらないが、下記のようなサイトもみられる。 COCOA追加など！「Rakuten BIG」ソフトウェアアップデート配信— Jetstream BLOG https://jetstream.bz/archives/117962