あいまいな倫理基準とデータを使ったプライヴァシーの侵害で、Uberの右に出る企業はそういない。同社はスキャンダルに揺れ続けており、過去にはジャーナリストに対する脅迫や、位置情報を使ったユーザーのトラッキングなどもしていた。
そもそも、UberやLyftのようなライドシェアアプリを利用すること自体が「ファウスト的取引」だといえるかもしれない。しかし、とある暗号技術の研究チームは必ずしもそうではないと主張する。彼らはプライヴァシーを放棄することなく、こういったサーヴィスを受けられることを示したのだ。
「忘れやすい」利点をもったシステム
スイス連邦工科大学ローザンヌ校とローザンヌ大学の暗号研究チームは、「ORide」と呼ばれるソフトウェアシステムのプロトタイプを開発した。このソフトウェアはライドシェアサーヴィスの長所を犠牲にすることなく、ソフトウェアが集める位置情報を劇的に減少させるようデザインされている。ちなみに、ORideの「O」は「oblivious(忘れやすい)」の頭文字だ。このシステムでは、乗客と運転手の位置を両者以外が知ることはない。サーヴィスを提供する企業自身にもわからないのだ。
これはコンセプトの実証にすぎないが、ORideはアプリ型配車サーヴィスが、位置情報を必ずしもつぶさに追跡する必要がないことを示唆している。同チームは、競争が激化するライドシェア業界がこのソフトの採用を望んでいると話す。プライヴァシーは強力なセールスポイントになり得るのだ。
ORideを開発した研究チームの1人であるジャン=ピエール・ユボーは次のように述べる。「これによって位置情報を狙った攻撃や盗聴は不可能になり、ライドシェアサーヴィスの提供側も取得したデータ以上は利用できなくなります」。彼は「ORide」を、この夏に開催されるカンファレンス「USENIX セキュリティシンポジウム」で公開という。「現代の暗号化技術を使えば、情報を隠したままでソフトが要求を実行できるようになります」。
暗号化と端末間の通信が鍵を握る
ORideのプロトタイプシステムの概要に関する報告書では、位置情報を隠匿する暗号化技術について説明されている。鍵となるのは、彼らが「ほぼ準同型暗号」と呼ぶ仕組みだ。
準同型暗号は、コンピューターがデータを暗号化したまま扱えるシステムである。例えば、暗号化された数値の「2」に暗号化されたままの「2」を加えて計算を実行できるシステムで、この計算結果により「4」に相当する暗号化データが生成される。完全な準同型暗号では計算に通常の数100万倍の時間がかかるが、ローザンヌの研究者らによると「ほぼ準同型暗号」の場合は処理時間の増加はほぼゼロのまま、複数の単純な計算を実行できるという。
ORideの配車プロセスでは、まず運転手と乗客の位置情報をスマートフォン上のほぼ準同型暗号のレイヤーで暗号化する。続いて、この暗号化された情報をサーヴィス側が受信し、近似値計算をして乗車待ちの乗客に最も近い車両を特定。乗客がその車両を利用するか選択できるようにする。このプロセスでは、サーヴィス側に暗号化された両ユーザーの位置情報が渡ることはない。マッチングしたら、ORideはユーザーの端末間で暗号化した通信を開始し、互いの位置を特定できるようにする。
運転手が乗客をクルマに乗せたら、互いの端末間でBluetoothのような近距離の無線通信接続が行われ、適切な運転手が指定の場所にいるか、そして暗号化された通信を傍受している者がいないかを確認する。乗客と運転手は目的地までの最適なルートを設定し、それぞれが自分の端末上でルートを確認する。ORideによってプライヴァシーが保証されるということは、ライドシェアのサーヴィス側がルートの確認やリアルタイムでの監視を行えないことも意味する。このため乗客と運転手は、出発前にルートを決める必要がある。
決定したルートをもとに2人のスマートフォンが「料金レポート」を計算する。このデータは乗客と運転手の各端末に保存された秘密鍵で署名され、偽造することはほぼ不可能という。目的地に到着すると、運転手はサーヴィスを提供した証明としてライドシェアサーヴィスのプロバイダーに料金レポートを送信し、サーヴィス側は乗客のアカウントに料金を請求する。
UberやLyftと同じように、乗客と運転手は互いを評価する。ORideのシステムは個人情報を保存するが、このシステムは完全な匿名性を目的としたものではなく、位置情報の特定を困難にするために設計されているので、個人情報が特定の場所やルートと結びつけられることはない。
位置情報の完全な暗号化は、安全性や利便性と引き換えにプライヴァシーを手に入れるということでもある。UberやLyftのようなライドシェアサーヴィスはユーザーのルートを監視することで、乗客と運転手間の問題解決、乗客の忘れ物の発見、強盗や傷害といった事件の証拠の提供などを行っているからだ。だが、ORideの開発者らはそうした責任問題も考慮していると主張する。乗客と運転手はそれぞれ独自のIDが付与されており、緊急時にはIDをライドシェアサーヴィスに提示することで相手を特定できる。
プライヴァシーは売りになる
『WIRED』US版がORideの研究者らによる報告書についてUberとLyftに意見を求めたところ、後者はコメントを拒否した。だがUberからは返答があり、同社は従業員による顧客データへのアクセスを慎重に制限し、監査を行っているという。「顧客データを扱う職務を担当している従業員については、アクセス制限できるようなシステムを構築しています」。Uberの広報担当者から送られてきた同社の2016年の社内メモにはそう書かれていた。
さらにUberは、ユーザーの位置情報を把握しないシステムでも安全性と利便性の面で劣らないというORideの主張に反論している。「位置情報は乗客と運転手双方の安全のために不可欠です」と、Uberの広報担当者はメールでの質問に対して回答し、Uberは乗客がルートや到着予定時刻を友人とシェアすることもできる点を強調した。さらにUberによると、サーヴィス提供側がユーザーの位置情報をリアルタイムでほぼ正確にモニタリングすることで、ORideの複雑なシステムよりはるかに素早く緊急事態に対応できるというのだ。
ORideの導入には、効率性の面で大きな犠牲を伴う可能性もある。制限つきの準同型暗号がアプリの機能に及ぼす影響は1秒に満たないという一方で、乗車までの時間が大幅に増加する可能性もある。ORideの暗号化近似値計算が扱えるのは直線の計測のみで、市街地の複雑なルートを計算することはできない。このため、車両が乗客のいる位置からかなり離れた場所に到着してしまうことも起こり得る。
それでもORideは、実用性をそれなりに維持しながらもプライヴァシーを重視するという、ライドシェアシステムのひとつのあり方を提示している。それはUberやLyftのユーザーが配車サーヴィスの便利さの名のもとに、どれほどプライヴァシーを犠牲にしているかを示してもいる。
ORideの開発者であるユボーによると、このシステムはアイデアの披露という意図を超えて、実際に採用される可能性もあるという。ORideの導入を検討しているライドシェア企業にとって、同システムが提供するプライヴァシーは、効率性や利便性という欠点を補ってもなお、競争面での優位性を得られるだけの価値を持つ可能性があると彼は主張する。乗車までの待ち時間が1分くらい増えるのは、自分のあらゆる移動情報をシリコンヴァレーのスタートアップに共有されるよりもマシなことかもしれない。
「ORideによって『わたしたちはあなたのプライヴァシーを大切にしています』というメッセージを打ち出し、サーヴィスの魅力を高めたいと考える配車サーヴィス企業もあるはずです」とユボーは語る。「それは個人の尊厳の水準を高めるためのひとつの方法なのです」
TEXT BY ANDY GREENBERG