接触确认应用程序隐私保护方针

接触确认应用程序隐私保护方针

【2020年12月15日 隐私保护方针修订通知】
接触确认APP以往采取的机制是:如某位使用者登记为阳性者,则通知过去14天内可能与其有过接触的其他使用者。为了配合保健所正在积极开展的流行病学调查,厚生劳动省从与流行病学调查保持吻合性的视角出发,开始发布APP修正版,改为由确认为阳性的使用者将其发病日或检查日输入到接触确认APP中,并通知在改日期的约2天前以后(感染可能期间内)有可能与该阳性者有过接触的使用者。为此,运营方对隐私保护方针做了修订。主要的变更点如下。

・明确注明,接触确认APP的运行机制改为:阳性者需要在受理编号的基础上输入发病日或检查日,并向通知服务器发送其约2天前以后(感染可能期间内)所生成的日更密钥,从而通知在感染可能期间内与该阳性者有过接触的APP使用者。
・明确注明,在厚生劳动省使用接触确认APP所获取的信息之中,只包括在感染可能期间内所生成的日更密钥。
・厚生劳动省还明确表示,不会获取阳性者在接触确认APP中输入的发病日或检查日,并将其提供给其他的APP使用者。
 
○接触确认应用程序隐私保护方针
 厚生劳动省在提供接触确认应用程序(以下简称“本APP”。)的过程中,应遵守其所适用的法律法规,最大限度地保护使用者的隐私,依据如下保护方针提供服务。

 
1 本APP的运行机制
①在APP使用者(是指通过本APP使用本APP所提供之服务者。下同。)的已安装APP的终端(是指安装有本APP的智能手机终端。下同。)上自动生成并记录日更密匙(与该终端具有一对一的对应关系,在已安装APP的终端中以24小时为单位变更的标识符。下同。)。
②在APP使用者的已安装APP的终端上自动生成并记录接触符号(基于日更密匙所生成的,在已安装APP的终端中以10分钟为单位变更的标识符。下同。)。
③APP使用者以及处于接近(在大约1米以内的距离保持15分以上的近距离接触的可能性较高的状态。下同。)状态的其他APP使用者各自启动其已安装APP的终端的蓝牙功能时,则使用蓝牙功能,(i)将自身的已安装APP的终端上所生成并记录的接触符号,自动提供给处于接近状态下的其他APP使用者的已安装APP的终端,并进行记录,(ii)将该其他APP使用者的已安装APP的终端上所生成并记录的接触符号自动提供至自身的已安装APP的终端中,并进行记录。
④APP使用者在查明自身为阳性者(确诊新型冠状病毒感染为阳性者。下同。)的情况下,如希望在APP中登记为阳性者,则执行如下事项:(i)将(A)在管理系统上(为了对新型冠状病毒的阳性者以及密切接触者的信息进行管理,而由厚生劳动省进行运营,用于都道府县以及设置保健所的市,对于新型冠状病毒感染者等信息进行掌握和管理的支援系统下同。)另行登录的自身手机号码或邮箱地址所接收到的受理编号(在查明某位APP使用者为阳性者的情况下,由管理系统向该APP使用者随机发行,进行通知的任意临时编号。下同。)以及(B)该阳性者有新冠病毒感染症状的情况下则将其发病日,没有新冠病毒感染症状的情况下则将其检查日(发病日或检查日的约2天前以后称为“感染可能期间”。)输入到自身的已安装APP的终端,从而(ii)该已安装APP的终端经由通知服务器(由厚生劳动省进行管理的具有如下功能的服务器:与已安装APP的终端进行联动,让APP使用者可以在同意必要事项的基础上对从终端上登录的日更密匙进行管理,并在一定的条件的下将该日更密匙提供给其他APP使用者的已安装APP的终端。下同。)前往管理系统查询,确认所输入的是否确为发行给该阳性者的受理编号,然后(iii)管理系统回答通知服务器,所查询的受理编号是否确为发行给该阳性者的受理编号。
⑤相关查询的结果,如管理系统回答所查询的受理编号确为发行给该阳性者的受理编号,则记录于该阳性者自身的已安装APP的终端上的日更密匙(仅限在该阳性者的感染可能期间内所生成的日更密匙。)可以经由通知服务器自动提供至其他使用者的已安装APP的终端上,该其他使用者在其已安装APP的终端上最多可自动追溯搜索过去14天内该其他使用者的已安装APP的终端内所记录的接触符号,如查明存在符合接触状态(在大约1米以内的距离保持15分以上的接近状态。下同。)的接触符号记录,则该其他使用者的已安装APP的终端会收到可能与不特定的处于感染可能期间内的阳性者有过接触的通知。
 
2 厚生劳动省通过本APP会获取以及不会获取的信息
(1) 厚生劳动省会获取的信息
・厚生劳动省会通过本APP获取如下所示的信息。
①在上述1④的流程中所获取的阳性者的受理编号
②在上述1⑤的流程中所获取的阳性者的日更密匙(仅限在该阳性者的感染可能期间内所生成的日更密匙。)
③上述1中的改善本APP所需的程序运行信息(包括本APP所受理的内容、受理时间、受理是否成功、受理过程中所参考的信息、作为受理结果的输出信息、受理时的状态,但是不包括受理编号、日更密匙和接触符号。)以及本APP的运行环境相关信息(包括COCOA APP的版本、何种OS、OS的版本、设备机种,以下与APP运行信息并称“运行信息”等。)
 
(2) 厚生劳动省不会获取的信息
・厚生劳动省不会通过本APP获取如下所示的信息:(1)所记载的信息之外的信息(包括但不限于如下所示的信息。)。
・厚生劳动省不会通过本APP从APP使用者处获取其姓名、出生年月日、性别、住址、电话号码、邮箱地址、终端位置信息等可识别APP使用者个人身份的信息,以及能够识别IP地址、MAC地址、主机名以及其他的可识别安装APP的个别终端的信息。  
・接触符号将分别在APP使用者各自持有的已安装APP的终端内以加密的状态进行记录,包括APP使用者在内的任何人都无从得知已安装APP的终端之间的接触性格信息,厚生劳动省也不会获取该信息。
・厚生劳动省不会通过本APP获取可识别阳性者个人身份的信息。为此,厚生劳动省在征得阳性者同意的基础上获取与该阳性者之间过去14天内与处于感染可能期间内的该阳性者之间的接触的相关信息后,其他APP使用者通过本APP接收通知时,不会向该接收通知者提供可识别该阳性者个人身份的信息。此外,厚生劳动省也不会获取1④(i)(B)中所输入的发病日或检查日,并将其提供给其他的APP使用者。
・对于通过本APP接到通知可能与处于感染可能期间内的阳性者有过接触者,厚生劳动省也不会获取可识别其个人身份的信息。为此,厚生劳动省也不会通过本APP向该阳性者提供可识别接收通知者个人身份的信息。
・厚生劳动省不会通过本APP获取接到可能与处于感染可能期间内的阳性者有过接触的通知的其他APP使用者与该阳性者之间的对应关系以及接触日期等相关信息。
 
3 厚生劳动省通过本APP所获取的信息的使用目的以及使用方法
(1) 受理编号
・厚生劳动省为避免非阳性者在本APP中谎称阳性,将会使用在2(1)①中所获取的阳性者受理编号。换言之,所采用的运行机制如下:新型冠状病毒为阳性的APP使用者在本APP中将其自身登记为阳性时,管理系统会向该阳性者发行受理编号并进行通知,阳性者在已安装APP的终端上输入受理编号后,厚生劳动省的通知服务器所获取的受理编号将用于通知服务器向管理系统查询所输入的受理编号是否为向该阳性者发行的受理编号,确认该受理编号确为向该阳性者发行之后方可完成阳性者登记。
・厚生劳动省不会将所获取的受理编号用于原本目的之外的其他用途。在确认所输入受理编号是否为向该阳性者发行的受理编号之后,将立即在APP、通知服务器以及管理系统中分别删除该受理编号。
(2) 日更密匙
・为了通知其他APP使用者其可能在14天内与处于感染可能期间内的阳性APP使用者有过接触,厚生劳动省会使用其所获取的2(1)②中所记载的阳性者的日更密匙(仅限在该阳性者的感染可能期间内所生成的日更密匙。在本(2)中下同。)。换言之,采用如下的运行机制:阳性APP使用者的阳性登记完成之后,厚生劳动省的通知服务器所获取的该阳性者的日更密匙将会提供至其他APP使用者的已安装APP的终端中,该终端内所记录的接触符号自动检索的结果,如存在符合接触状态的接触符号,该其他APP使用者会接到可能与处于感染可能期间内的阳性者有过接触的通知。
・在阳性APP使用者希望登记为阳性的情况下,厚生劳动省将事先在本APP上针对如下事项征得其明确的同意如下事项:(a)向其他APP使用者的已安装APP的终端提供记录于自身的已安装APP的终端中的日更密匙,并且,(b)如其他APP使用者在感染可能期间内与自身有过接触状态,则在不提供可识别该阳性者个人身份的信息的前提下,通知对方其可能与不特定的处于感染可能期间内的阳性者有过接触。
・厚生劳动省所获取的日更密匙用于原有目的之外不用于其他用途。所有的日更密匙(包括该阳性者在其感染可能期间之外所生成的日更密匙。)在其生成于已安装APP的终端的14天后自动失效。
(3) APP运行信息等
・为了以APP使用者所传送的本APP故障可能性等的相关信息为基础,迅速对本APP进行改善,厚生劳动省会用到2(1)③中所记载的APP运行信息等。
・除非APP使用者感觉到本APP可能存在故障,并主动传送APP运行信息等,否则厚生劳动省不会获取APP运行信息等。
・如果已经传送了APP运行信息等的APP使用者还希望进一步自发性地协助本APP的故障调查,则可以通过电子邮件,向6中所记载的客户服务台发送APP运行信息ID(针对APP运行信息等而生成的随机号码,用于与所咨询事宜以及APP运行信息等建立关联的符号。)。厚生劳动省会利用APP运行信息ID,将在邮件服务台所受理的咨询内容和APP运行信息等进行关联管理。在进行信息管理时,厚生劳动省会在本APP上预先征得使用者的明确同意。
・厚生劳动省不会将APP运行信息等用于原本使用目的之外的其他用途。在该APP运行信息等所涉及的故障调查结束后,会立即从服务器上删除APP运行信息等。
 
4 同意的撤回与记录的删除
・本APP使用的相关同意,可以通过在已安装APP的终端中删除本APP的方式进行撤回。APP使用者通过上述的方法撤回同意的情况下,则记录已安装APP的终端内的所有的APP使用者相关信息也随之全部删除,无法复原。
・记录于已安装APP的终端上的与其他APP使用者之间的接近信息(记录于其他APP使用者的已安装APP的终端中的接触符号)在记录时会进行加密,并在14天后自动失效。
・记录于安装APP的终端中的运行信息,将在其生成的14天后自动删除。
 
5 APP使用者信息的管理
・各安装终端的接近相关信息,仅在该安装终端内进行管理,不会向安装终端的外部进行提供。
・在本APP的系统的运营过程中,除3(3)中所记载的APP使用者明确同意的情况外,厚生劳动省将会对所处理的数据采取适宜的信息安全对策,不会通过本APP以外的系统(包括但不限于管理系统)去确认、校验国家或地方公共团体所管理的能识别特定个人的信息,并由此去识别APP使用者的个人身份。
・为了通过本APP之外的其他系统等(包括但不限于管理系统。)与日本国家政府或地方公共团体所管理的可识别个人身份的信息不进行查询比较,来识别APP使用者的个人身份,厚生劳动省在本APP的系统运营中,将针对所处理的数据采取适宜的安全管理措施。将本APP的系统运营部分外包时,也会要求承包方采取适宜的安全管理措施。
 
6 邮件服务台和呼叫中心
・为了受理涉及本APP的使用者咨询和协商,厚生劳动省设置了邮件服务台和呼叫中心。
・对于通过邮件服务台和呼叫中心所获取的包含邮件地址和电话号码在内的的信息,厚生劳动省 仅将其用于回答使用者的咨询或协商(包括调查该咨询或协商所涉及的相关故障等。)。
 
7  向第三方提供
・在未经本APP使用者明确同意的情况下,厚生劳动省不会向第三方提供通过本APP所获得的信息以及通过邮件服务台和呼叫中心所获取的信息。
 
8 业务委托
・厚生劳动省可能将本APP以及邮件服务台和呼叫中心的全部或部分业务委托给第三方(不仅包括厚生劳动省的直接业务委托,还包括该业务受委托方所进行的二次委托。),并由该受托方负责处理通过本APP或通过邮件服务台和呼叫中心所获取的信息。此种情况下,厚生劳动省会对该受托方进行管理和监督,敦促其采取适当的安全管理措施。
・与厚生劳动省有业务委托关系,并且会处理通过本APP或通过邮件服务台和呼叫中心所获取的信息的受托方的详细信息,厚生劳动省将在接触确认APP的主页上进行公开。
 
9 个人隐私问题的咨询方式
・本APP使用过程中涉及到个人隐私的相关问题的信息,将登载于本APP内或厚生劳动省的接触确认APP相关网站内,请向厚生劳动省指定的咨询窗口进行咨询。