コンタクトトレーシングにおけるプライバシーと公衆衛生のトレードオフについてコンジョントによる分析をまとめてみようと思います。
0 先行研究一覧
とりあえず検索結果については、「プライバシーの経験主義的研究の先行研究のまとめ」プライバシーの経験主義的研究の先行研究のまとめでまとめました。でもって、具体的に論文を読んでみると、チェックしてみると、以下の8つの論文が、プライバシーと公衆衛生のトレードオフについてコンジョントによる分析を用いているということができます。
- Ayalon 2023 Ayalon, Oshrat, Dana Turjeman, and Elissa M. Redmiles. “Exploring Privacy and Incentives Considerations in Adoption of {COVID-19} Contact Tracing Apps.” 32nd USENIX Security Symposium (USENIX Security 23). 2023.
- Buder 2020 Buder, Fabian, et al. “Adoption rates for contact tracing app configurations in Germany.” Nuremberg Institute for Market Decisions (2020).
- Frimpong 2020 Frimpong, Jemima A., and Stephane Helleringer. “Financial incentives for downloading COVID–19 digital contact tracing apps.” (2020).
- Horvath 2022 Horvath, Laszlo, Susan Banducci, and Oliver James. “Citizens’ attitudes to contact tracing apps.” Journal of Experimental Political Science 9.1 (2022): 118-130.
- Jonker 2020 Jonker, Marcel, et al. “COVID-19 contact tracing apps: predicted uptake in the Netherlands based on a discrete choice experiment.” JMIR mHealth and uHealth 8.10 (2020): e20741.
- Naous, 2020 Naous, Dana, et al. “Towards Mass Adoption of Contact Tracing Apps–Learning from Users’ Preferences to Improve App Design.” arXiv preprint arXiv:2011.12329 (2020).
- Wiertz 2020 Wiertz, Caroline, et al. “Predicted adoption rates of contact tracing app configurations-insights from a choice-based conjoint study with a representative sample of the UK population.” Available at SSRN 3589199 (2020).
- Zhang, 2020 Zhang, Baobao, et al. “Americans’ perceptions of privacy and surveillance in the COVID-19 pandemic.” Plos one 15.12 (2020): e0242652.
1 Ayalon 2023の分析
この論考は、2023年のものであるので、コンタクトトレーシングに関する経験主義的なアプローチについての論考についても検討がなされています。そこであげられている変数としては、
- プライバシー懸念
- 利益
- 直接のインセンティブ
- 効率さ
- コスト
があげられています。また、アプリ利用について4つのタイプがあるという分析をなしている論考があることもふれています。
1.1 プライバシー懸念についてふれる先行研究
ここで、先行研究として
- 参加者の認識に基づくものとして、How mass surveillance can crowd out installations of COVID-19 contact tracing apps
Eran Toch, Oshrat Ayalon(https://doi.org/10.48550/arXiv.2110.01567)が紹介されています。 - アプリについて提供された情報によるものとして上の Buder (2020)、Frimpong (2020)、 Horvath (2022)、Naous, (2020)、Wiertz (2020)などが、紹介されています。
プライバシー懸念とアプリのアーキテクチャー、特にその集中化メカニズムの影響についても調査があって、
参加者は分散型アーキテクチャを好むという研究(Buder (2020)、Naous, (2020)、Zhang, (2020))がある一方で、他の研究 (Horvath (2022)など)は、中央型を好むという研究がなされている。
研究はまた、収集された データ(場所、近接性、またはその両方)が採用意向に及ぼす影響についても調査しており、結果は一貫していない、 としています。
1.2 従来の研究のギャップ
この論文は、先行研究においていくつかの疑問は未解決のままであったとして、そのひとつとして
プライバシー。先行研究では、潜在的なコストと便益とともにプライバシーを考慮することは検討されていない。私たちはアプリのデザイナーと密接に協力し、インセンティブとコストの分析とともに、コンタクトトレースや他のmHealthアプリのプライバシーの経済学に光を当てることができる、複数の考慮事項とプライバシーの側面を追加しました。
としています。私の観点からするときに、まさに、コストと便益とともにプライバシーとのトレードオフとの関係が論点として重要であるという認識にたっているというのがこの論文の特徴であろうと考えます。
1.3 コンジョントのデザイン
ここで採用されているコンジョント調査のデザインは、以下のようになります。
| 属性 | 具体的な内容 | 水準 | ||||
| 正確さ | コロナウイルスに被曝するのを特定する正確さ | 50 | 90 | 99 | ||
| インセンティブ | アプリの個人的または社会的な本質的利益 アプリ | 被曝についてのアラート | コロナウイルス感染者の減少 | 感染者と近接した場所の情報の提供 | 研究者についてのデータの提供 | コロナウイスル対応への貢献 |
| 金銭的 ダウンロードユーザー | ギフトカードなし | 5ドル | 10ドル | 15ドル | 20ドル | |
| ヘルスケア 医療インセンティブ | ヘルスケアのディカウントなし | コロナウイルス感染によるヘルスケア無料 | 診察第3回無料 | プレミアム保険1月分 填補 | 医師によるPCR検査無料 | |
| モバイルデータ | モバイルデータの使用量 | モバイルデータの利用無 | 毎月0.3GB利用 | |||
| バッテリー寿命 | バッテリーの持続 | 影響無 | 1時間短くなる場合 | |||
| 情報のタイプ | 位置情報 | だれが近くに居たかの情報 | ||||
| 情報の保存場所 | あなたのデバイスのみ | アプリケーションプロバイダのサーバ | ||||
| 潜在的に開示される情報 | ユーザのどのような情報が漏えいしうるか | コロナウイルスに被曝したことをわかりうる | 誰が近くに居たかをわかりうる | コロナウイルスに感染したことがわかる | どこにいたかがわかる |
1.4 調査結果
例えば、各属性の重要性についても、インセンティブの性質との関係で異なった認知がされることが報告されています。
| 重要度 | ||||
| 精確さ | インセンティブ | プライバシー | コスト | |
| 本質的利益 | 29.44 | 14.62 | 28.64 | 27.3 |
| 金銭的 | 26.75 | 28.22 | 23.87 | 21.16 |
| ヘルスケア | 28.38 | 26.16 | 24.19 | 21.27 |
プライバシー懸念との関係でいえば、プライバシーに関連する2つの属性、すなわち収集データ(位置情報対近接データ)と情報保存場所(集中型対分散型)が、本研究で最も重要度が低かったとされていました。また、参加者はアプリを使用した結果漏れる可能性のある情報をより気にしていたともされています。
社会的に関連するデータ保護(例えば、社会的接触者に関する情報の漏洩の可能性)は、重大だと認識されているという結論も得られている。その結果、アーキテクチャのどの部分が市場にとって最も重要なのか、つまり、最も社会的関連性が高いのかに光を当てる必要があると考察している。
1.5 コメント
この論文は、出版が一番新しいものであって、2020年からの研究を概観した上で、コストと便益とともにプライバシーとのトレードオフとの関係が論点として意識されていなかったこと、プライバシー懸念が提供されるインセンティブとの関係でも変化すること、また、コンタクトトレーシングアプリの設計においては、種々の属性を両立させるということよりもむしろ、何が社会的関連性が高いのかに集中すべきとしている点で興味が深いものといえるでしょうか。
2 Buder (2020)
これは、Buder, Fabian, et al. “Adoption rates for contact tracing app configurations in Germany.” Nuremberg Institute for Market Decisions (2020)リンク です。
この論文は、接触者追跡アプリの概要を説明した上で、ドイツの人々の間でこのようなアプリが受け入れられるかについて、より実証的な根拠に基づいた言説に貢献しようというものです。いろいろいなアプリのデザインを示した上で、その採用率を推定しています。
具体的なデザインとしては、
| 重要度 | 属性 | 具体的な内容 | |||
| 21.82 | 責任および監視 | 独立した調査研究機関(RKI) | 政府 | ドイツのIT技術企業 | 国際的なIt企業 |
| 11.31 | 移動の自由 | 完全に自由(移動の自由とリンクせず) | 移動のために必要 | 仕事のために必要 | |
| 10.69 | データ保管の期間 | コロナ危機が終了するまで | 14日間 | 必要な限り | |
| 10.19 | 匿名性 | 匿名コンタクトトレーシング | 識別可能なコンタクトトレーシング | ||
| 8.54 | 自己隔離のモニタ/執行 | アラート送付におよる自己隔離のモニタ | 利用せず | 自己隔離の罰則による執行への利用 | |
| 8.41 | アプリの利用による追加的利益 | 自己隔離における優先検査 | 自己隔離における食事配送の優先 | 混雑しているお店・公園の情報 | 追加利益なし |
| 7.81 | PCR検査結果の報告 | 任意 | 強制 | ||
| 5.97 | データ保管および取扱いの場所 | 利用者のローカル機器 | 責任ある組織の中央における記録 | ||
| 5.92 | データタイプ(アプリは、位置データを共有するのか) | YES | NO | ||
| 5.67 | 国際的利用(他の国で利用できるか) | YES | NO | ||
| 3.66 | 感染アラート(感染アラートの種類) | YES | NO | ||
となっています。一番左側の数値は、各属性の重要度です。
また、同論文は、これらの結果に基づいて、様々なアプリ構成の採用率を推定することができるとして、
- 独立した研究機関(RKIなど)または政府がアプリを担当し、監督していること
- アプリの使用は任意で、データは匿名で収集されること
- 「 終了日」があり、収集されたデータは限られた期間のみ保存されること
- 感染の可能性のある人と接触した場合に、優先的に検査にアクセスできること
などが推奨される仕様であるとされています。
3 Frimpong 2020
これは、 Frimpong, Jemima A., and Stephane Helleringer. “Financial incentives for downloading COVID–19 digital contact tracing apps.” (2020).DOI: 10.31219/osf.io/9vp7x になります。
この論文は、金銭的インセンティブがデジタル接触追跡アプリの採用をさらに加速させるのに役立つかどうかを調査するという観点から、コンジョイント調査をおこなっています。
参加者には、ランダムに選択されたいくつかの属性を特徴とするデジタル・コンタクト・トレース・アプリの2つの仮想バージョンから、金銭的コストやダウンロードへのインセンティブのレベルを変化させたものを含む一連の選択をしています。このデザインは、
| ドメイン | 属性 | 具体的な内容 | ||||
| 正確さ | 誤った通知 | 100分の1が誤通知 | 100分の5が誤通知 | 100分の15が誤通知 | ||
| 感度 | 感染しているアプリユーザの60%から通知 | 感染しているアプリユーザの80%から通知 | 感染しているアプリユーザの95%から通知 | |||
| プライバシー | 利用者の詳細 | ユーザの詳細を問わない(保険当局は、接触できない) | ユーザの詳細を問わない(保険当局は、接触できない) | |||
| 位置情報 | 位置情報収集しない | 郵便番号を求める | GPSによる情報を収集する | |||
| データ共有 | コロナ状況を他のアプリユーザと共有 | コロナ状況を保健当局と共有 | みずからコロナ状況を作成し、接触リストを保健当局と共有 | |||
| 価格/インセンティブ | 価格/インセンティブ | ユーザが、4.99ドルを支払う | 無償 | 10ドルを取得 | 50ドルを取得 | 100ドルを取得 |
となっています。
この三属性の間では、価格/インセンティブの重要性が約60パーセント、精確さが20%強、プライバシーが20パーセント弱という結果が得られている。その結果、こ採用を加速させるために、デジタル・コンタクト・トレース・アプリの発売を計画している米国の州は、潜在的なユーザーにダウンロードの金銭的インセンティブを提供することを検討すべきであるという結論がなされています。
4 Horvath 2022
この論文は、 Horvath, Laszlo, Susan Banducci, and Oliver James. “Citizens’ attitudes to contact tracing apps.” Journal of Experimental Political Science 9.1 (2022): 118-130.(https://doi.org/10.1017/XPS.2020.30)です
この論文は、選択実験(コンジョイント実験)を実施することによって、アプリのプライバシー保護属性を変化させた選択肢を選択してもらうことで市民の懸念を実際にたずねようとするものです。
そこで示されたコンジョイントのデザインは、
| 属性 | 水準 | |||
| データ保存 | 非中央 ローカルデバイス | 中央データベース(NHS) | 中央データベース 政府 | |
| アプリの目的 | 直接の被曝の通知 | ウイルスへの被曝の調査を追跡者に教える | ||
| データの保存期間 | 保存なし | 定めず | 広範にテスト可能な時期 | ワクチン開発まで |
| 接触アップロード | なし | すべての接触 | 症状のある人のみ | |
| 接触の定義 | 5分間6Ft | 15分間6Ft | 5分間12Ft | 15分間12Ft |
となります。
この実験の結果、データ・プライバシーやデータ・セキュリティ侵害に対する市民の懸念は、COVID-19連絡先追跡携帯電話アプリケーションの採用を減少させ、その効果を低下させる可能性があること、市民は常にプライバシーを優先するとは限らず、分散型システムよりも中央集権型の国民保健サービスシステムを好むこと、デジタルと人間のコンタクト・トレーシングの混合が支持されていることがわかったとされています。
また、不正アクセスやデータ盗難の脅威は、いずれの研究においても嗜好を有意に変化させることはなかった、ともされています。
5 Jonker 2020
Jonker, Marcel, et al. “COVID-19 contact tracing apps: predicted uptake in the Netherlands based on a discrete choice experiment.” JMIR mHealth and uHealth 8.10 (2020): e20741.これのリンクは、DOI: 10.2196/20741です
この研究の主な目的は、アプリの特徴に応じて、オランダの人口における接触者追跡アプリの潜在的な普及率を明らかにすることであるとされています。そのために、900人のオランダ人回答者からなる全国代表サンプルを用いて離散選択実験(Discrete Choice Experiment)を行っています。
Discrete Choice Experimentというのは、要するに、コンジョイント方式による調査です。そのデザインは、
| 属性 | 水準 | |||
| クループサイズ | 3名まで | 10名まで | 30名まで | 100名まで |
| 注意のタイプ | 直近2週間以内に感染した人に近接したこと | 感染した人に近接した日時 | ||
| 注意される人 | あなただけ | 同意ある場合にあなたと地域の保健所 | 自動的にあなたと地域の保健所 | |
| 注意のあとの検査 | 症状のある場合 | みんなが検査を受ける | ||
| 検査結果のアップロード者 | あなただけ | 政府もしくは保健所により自動的になされる | ||
| 金銭的インセンティブ | 0ユーロ | 5ユーロ | 10ユーロ | |
となっています。混合ロジットの(mixed logit)モデルの仕様を用いて、母集団平均および個人レベルの嗜好を推定するために最尤法を用いた。個人レベルの取り込み確率は、個人レベルの嗜好推定値に基づいて計算され、その後、サンプルおよびサブグループ別のコンタクトトレーシングアプリの採用率に集約された。
結果
調査の結果において、それぞれの水準に対してmixed logit評価の結果がでています。また、それぞれの仕様に対して利用しないという選択肢も調査さされており、その結果、予測されたアプリの採用率は、最悪および最良のコンタクトトレーシングアプリでそれぞれ59.3%から65.7%の範囲であった。最も現実的な連絡先追跡アプリの予測採用率は64.1%であったとされています。
6 Naous, 2020
この論文は、Naous, Dana, et al. “Towards Mass Adoption of Contact Tracing Apps–Learning from Users’ Preferences to Improve App Design.” arXiv preprint arXiv:2011.12329 (2020).リンクは、https://doi.org/10.48550/arXiv.2011.12329 になります。
この論文は、接触者追跡アプリに関する一般的な議論は、一般的なプライバシーの留保を強調し、専門家レベルで行われているが、実際の設計に関連するユーザーの視点が欠けているとして、このギャップを解決するために、市場調査技術、特にコンジョイント分析を用いて、連絡先追跡アプリに対するユーザーの嗜好を調査するのを目的とするとしています。そこで、考えられている調査のデザインは、
| 局面 | 属性 | 水準 | ||
| 開始 | 健康情報登録 | 情報不必要 | 健康状況(例コロナ・リスクグループ情報) | |
| 中核機能 | 被曝ログ | 接触(ブルーツース) | 場所(GPS追跡) | 接触および場所 |
| 検査結果共有 | 利用者は、症状や陽性結果をアプリで共有できる | 利用者は、陽性検査結果を保健当局からの認証コードを用いてのみ共有できる | 保健当局は、検査結果を直接利用者と共有できる | |
| 被曝通知 | 感染者と接触のあった場合のみ警告する | 感染者と接触のあった場合に評価とともに警告する | ||
| 付加価値サービス | 診断サービス | 診断サービスなし | 単純な診断(チェックリストつき兆候追跡) | 先進診断(センサーを利用) |
| コンテクスチュアル | 追加サービスなし | (レストラン・スーパーなどの)公共の場所にたいしてのQRコードでのチェックインサービス | 安全な場所/感染場所を示す地図 | |
| 透明性およびコントロール | ダッシュボード | データログの基本ダッシュボード | データログ・アップデートおよび共有の詳細なダッシュボード | |
| データ共有 | コンタクトトレーシング限定 | 接触追跡・疫学的考察および調査(保健当局、保健提供者および研究者) | 接触追跡・研究および安全手段(レストラン・交通・職場)等の特定された目的 | |
| プラットフフォームのアーキテクチャア | アプリのアーキテクチャア | 中央 | 非中央 | |
| 相互流用性 | 国境を超えた利用可能 | 国境を超えた利用無 |
になります。
各要素の重要度は、
| 健康情報登録 | 8 |
| 被曝ログ | 19 |
| 検査結果共有 | 13 |
| 被曝通知 | 8 |
| 診断サービス | 11 |
| コンテクスチュアル | 10 |
| ダッシュボード | 4 |
| データ共有 | 5 |
| アプリのアーキテクチャア | 12 |
| 相互流用性 | 10 |
となっています。また、各水準の効用値は
| Attribute | Attribute levels | Average Utilities |
Standard Deviation |
Distribution for BYO Section (%) |
| 健康情報登録 | No information is required | -2.86 | 51.16 | 43.46 |
| Health status | 2.86 | 51.16 | 56.54 | |
| 被曝ログ | Contacts | 41.46 | 113.56 | 46.64 |
| Location | -50 | 83.95 | 15.9 | |
| Contacts and Location | 8.54 | 62.07 | 37.46 | |
| 検査結果共有 | Symptoms or positive test results | -51.42 | 58.06 | 12.37 |
| Positive test results with validation code |
32.69 | 42.74 | 48.06 | |
| Healthcare provider shares test results |
18.72 | 51.74 | 39.58 | |
| 被曝通知 | Contact with an infected person | -7.01 | 30.56 | 40.28 |
| With risk assessment | 7.01 | 30.56 | 59.72 | |
| 診断サービス | No in-app diagnosis | 5.74 | 53.54 | 34.63 |
| Simple diagnosis | 25.83 | 31.15 | 47.35 | |
| Advanced diagnosis | -31.57 | 57.32 | 18.02 | |
| コンテクスチュアル | No additional services | -4.52 | 51.02 | 37.1 |
| Check-in service with QR code | -8.67 | 52.58 | 29.33 | |
| Maps of safe areas/ infected zones | 13.19 | 32.43 | 33.57 | |
| ダッシュボード | Basic dashboard | -9.3 | 18.76 | 37.81 |
| Detailed dashboard | 9.3 | 18.76 | 62.19 | |
| データ共有 | Restricted to contact tracing | 11.12 | 41.96 | 39.93 |
| Includes epidemiological insights and research |
3.39 | 26.85 | 24.38 | |
| Includes specific purposes for safety measures |
-14.51 | 46.59 | 35.69 | |
| アプリのアーキテクチャア | Centralized | -37.37 | 69.83 | 37.1 |
| Decentralized | 37.37 | 69.83 | 62.9 | |
| 相互流用性 | No cross-country integration | -45.09 | 44.76 | 14.13 |
| Cross-country integration | 45.09 | 44.76 | 85.87 |
と報告されています。これをみると、位置情報と接触情報をあわせたとしても効用であると考えられるのが平均であること、検査結果の共有は、むしろ、(個人情報の共有で本人がコントロールすべきリスクというようりも)望ましい効用であると認識されていること、安全な場所の地図は、有用であるとかんがえられていること、などの結果を見ることができます。
7 Wiertz 2020
これは、Wiertz, Caroline and Banerjee, Aneesh and Acar, Oguz A. and Ghosh, Pratapaditya, Predicted Adoption Rates of Contact Tracing App Configurations – Insights from a Choice-Based Conjoint Study with a Representative Sample of the UK population (April 28, 2020). Available at SSRN: https://ssrn.com/abstract=3589199 or http://dx.doi.org/10.2139/ssrn.3589199 になります。
この論文は、提案されたCOVID-19連絡先追跡アプリの異なる構成によって採用率がどのように影響されるかを理解することが不可欠である。アプリの採用に影響を与えうる実装オプションは数多くあり、例えば、どの機関がアプリに責任を持ち、監視を行うべきか?収集されるデータの種類は?保存期間は重要か?などが議論されることから、このホワイトペーパーでは、アプリ導入の選択肢を導くために、これらの疑問やその他の疑問に対するデータに基づいた洞察を提供しようというものです。
我々は選択ベースのコンジョイントデザインを使用し、人々がコンタクト追跡アプリの異なる属性をどのようにトレードオフして採用を決定するかを研究しています。
用いられたデザインは、
| 属性の重要度(%) | 属性 | 水準 | |||
| 23.61 | 責任および監視 | NHS | 独立した監督機関 | 政府 | 大規模なテック企業 |
| 14.83 | アプリの利用による追加的利益 | 自己隔離における優先検査 | 自己隔離における食事配送の優先 | 混雑しているお店・公園の情報 | 追加利益なし |
| 11.33 | 自己隔離のモニタ/執行 | アラート送付におよる自己隔離のモニタ | 利用せず | 自己隔離の罰則による執行への利用 | |
| 10.38 | 移動の自由 | 完全に自由(移動の自由とリンクせず) | 移動のために必要 | 仕事のために必要 | |
| 8.8 | PCR検査結果の報告 | 任意 | 強制 | ||
| 8.63 | データ保管の期間 | コロナ危機が終了するまで | 必要な限り | ||
| 7.27 | 匿名性 | 匿名コンタクトトレーシング | 識別可能なコンタクトトレーシング | ||
| 5.88 | データタイプ(アプリは、位置データを共有するのか) | Yes | No | ||
| 5.24 | 感染アラート(感染アラートの種類) | 確認および疑いの事案のアラート | 確認した事案のみ | ||
| 4.01 | 国際的利用(他の国で利用できるか) | Yes | No | ||
になります。一番左の蘭は、それぞれの属性の重要度です。データ保管の期間、匿名性、データタイプなどの個人のプライバシー関係は、合計すると、20パーセント今日の重要度を有するということになります。
8 Zhang, 2020
これは、 Zhang, Baobao, et al. “Americans’ perceptions of privacy and surveillance in the COVID-19 pandemic.” Plos one 15.12 (2020): e0242652.DOI: 10.1371/journal.pone.0242652 になります。
この論文は、目的 COVID-19の蔓延を抑制することを目的とした監視対策、特に従来の接触者追跡を補完するスマートフォンアプリケーション(アプリ)に対する米国市民の態度を調査しようというものです。 約2,000人の米国成人を対象に調査を実施し、9つのCOVID-19監視対策に対する支持を測定した。コンジョイント分析実験により、仮想アプリの6つの異なる属性を操作することで、接触追跡アプリに対する態度を評価した。
具体的には、
| 属性 | 水準 | |||
| アプリ開発者 | アップル・グーグル | 疾病コントロール予防センター(CDc) | 州政府 | 先端大学の研究者 |
| アプリ名称 | コンタクトトレーシング | 被曝通知 | ||
| データ保存 | 非中央型 | 中央型 | ||
| 期限 | CDCがパンデミック終了というまで | 有効なワクチンが開発されるまで | 期限なし | |
| 感染制限のための有効なスマートフォンユーザ数 | 最低60% | 最低80% | ||
| 利用技術 | 位置の追跡をするGPS | 場所を追跡しないブルーツース | 場所を追跡しないブルーツース+同技術の説明図 | |
となっています。
9 まとめ
コンタクトトレーシングについて、どのようなアーキテクチュア設計をなすべきかという観点からの調査が世界的になされていました。ただし、利用者のプライバシーについての認知が、文脈によって変化するという問題意識よりも、まずは、コンタクトトレーシングのアプリをどのように設計した場合にどの程度の利用者率になるのかという問題意識からなされた調査が一般的であったといえるように思います。
また、とくにAyalon 、Firmpong,Jonker が金銭的なインセンティブを想定しているのも興味深いです。これらの結果については、ある程度、プライバシーの認知が文脈的に変化することを示す証拠となるものといえますが、全体的には、上のAyalon(2023)で整理されているように、潜在的なコストと便益とともにプライバシーを考慮することは検討されていない、とまとめることができると思われます。
