COCOAのプライバシーポリシーについて

接触確認アプリケーションプライバシーポリシーについて理解しにくい部分があったので、自分の認識をメモ。 

理解しにくかったのは以下の部分。

２．厚生労働省が本アプリを用いて取得する情報及び取得しない情報

（２）厚生労働省が取得しない情報

• アプリ導入端末間の接触状態に関する情報は、アプリ利用者が保有する各々のアプリ導入端末内で暗号化した状態で記録され、アプリ導入端末同士の接触に関する情報は、アプリ利用者を含めいかなる者も把握することはできず、厚生労働省もその情報を取得しません。

　→これは、いつ誰と接触したか（鍵を交換したか）という情報はすべて暗号化されていて、その暗号化された情報を厚労省は取得しないという意味でしょうか。これの前項の「本アプリの仕組み」を読むと、確かに厚生労働省へ送られる情報は「処理番号」だけっぽいので、単なる接触情報は厚生労働省とは切り離されているみたいですね。

• 厚生労働省は、本アプリを用いて、陽性者を個人として識別可能な情報を取得しません。そのため、厚生労働省が、陽性者の同意のもと当該陽性者との間での過去14日以内における接触に関する情報について、他のアプリ利用者が本アプリによる通知を受け取る際に、当該通知を受けるものに対し、当該陽性者を個人として識別可能な情報を提供することもありません。

→アプリの仕組みを読むと、アプリから厚生労働省へ向けて送信される情報は「処理番号」のみ、厚生労働省からアプリに対してアクセスされる情報は「接触符号」だけのようなので、確かに陽性者の個人情報を取得することはなさそうですね。他のアプリに通知を飛ばす際にも、そもそもサーバ側では陽性者の情報は各種鍵と処理番号しか持っていないはずなので個人を識別できる情報が無いというのは信じて良さそう。

• 厚生労働省は、本アプリを用いて、陽性者との接触の可能性がある旨の通知を受けた者について、個人として識別可能な情報を取得しません。そのため、厚生労働省が、本アプリを用いて、当該陽性者に対し、通知を受けた者を個人として識別可能な情報を提供することもありません。

→他のアプリに通知を送る具体的な方法は書かれていませんでしたが、おそらく接触符号に紐づく日次鍵がそれぞれ固有のものであると思われるので、それをキーとして通知を送るのであればアプリ利用者を識別できる情報が取得・提供されないのも理解できます。（参考：アップルとグーグルによるExposure Notificationの仕組み）

• 厚生労働省は、本アプリを用いて、陽性者との接触の可能性がある旨の通知をうけた他のアプリ利用者と当該陽性者との間の対応関係や接触の日時に関する情報を取得しません。

→これはつまり、アプリで陽性者と接触した可能性があったとしても、それがどこで、誰と接触したのが原因かが分からないということですかね。

アプリの仕組みをざっと舐めてみると、アプリ⇔厚生労働省間でやり取りされる情報は限定的のように思えるので個人情報が抜かれるリスクは高くないと思って良さそうでしょうか。

しかし最後の内容が引っかかったんですが、これってつまり適当にお出かけして仮に陽性者と接触したとしても、アプリにはあくまで「陽性者と接触した可能性があります」と出るだけで、時間や場所は分からないってことですよね。
不安を煽るにはいいのかもしれないですが、リスク管理には向かないような気がしますね。徹底的にリスクを避ける人は外にすら出ないでしょうし、場所が分からないんじゃ全て推測になってしまう気が……。せめて大まかな時間だけでも通知してくれると良いのですが。