36С3
薬を飲む時間を知らせるアプリ、睡眠の質を測定するアプリ、歩数や消費カロリーをカウントするアプリ…、スマートフォンアプリの中には、人々の健康や心身の状態を管理するアプリが山ほどあります。そうしたアプリの多くは、利用者の気分や健康状態に関する、非常に個人的な情報の提供を求めます。残念なことに、そうしたプライベートな情報をしかるべき注意を払って取り扱っているアプリばかりではないようです。
第36回Chaos Communication Congress(36C3)において、慈善団体のPrivacy Internationalは、女性の月経予測、リプロダクティブヘルスのモニタリング、妊娠の計画に活用されているアプリについての調査結果を発表しました(英語)。発表によると、そうしたアプリの一部は、利用者の信頼に付け込んで、プライベートな情報をFacebookなどのパートナー企業に提供していたとのことです。
具体的にどのような情報をFacebookは入手できたのか
報告書をまとめるにあたり、Privacy Internationalの調査チームは2つのアプリを詳しく調べました。Google Playでのダウンロード数が500万件の「Maya」というアプリと、ダウンロード数が100万件の「MIA」というアプリです。調査チームは両アプリをサンドボックス内で実行し、アプリからの送信トラフィックをチェックし、送信されるデータとその送信先を解析しました。結果は、控えめに言っても興味深いものでした。
どちらのアプリも、初めて起動するとき、プライバシーポリシーに関する通知を表示しないうちから、Facebookをはじめとするパートナー企業と通信していました。Mayaは、Facebook以外にも、分析プラットフォームであるCleverTapにデータを送信していました。MIAの方も、Facebookのほかに、開発会社向けに分析サービスを提供するAppsFlyerにデータを送っていました。
MIAの場合は、続いて、MIAをインストールしたのは妊娠を計画するためか、それとも単に月経周期を記録するためかを利用者に尋ね、その回答を速やかにパートナー企業へ通知していました。月経周期の開始日や期間といった、詳細情報についても同様です。このアプリはさらに、利用者に関する情報をできるかぎり得ようとしました。利用者の気分、避妊の習慣、カフェインやアルコールの摂取状況、喫煙の習慣、さらには髪型やネイルカラーなど女性の健康とは関係のない情報まで。
このアプリは、こうして収集した情報と、その女性がサイクルのどの時期にあるのかの判断に応じて、さまざまなテーマの記事を利用者に届けていました。このこと自体は問題がなさそうですし、むしろ有益な感じもしますが、1つ難点がありました。こうした記事のリストがFacebookとAppsFlyerに送らされていたことです。リストからは、利用者がアプリにどのような情報を提供したのかが一目瞭然です。
Mayaの方は、そこまで創意工夫を凝らした方法をとっていませんでした。こちらのアプリは、健康状態、気分、避妊法、衛生用品、性生活などについて知り得た情報をすべて送っていました。髪型やネイルカラーについて聞くことはありませんでしたが、日記機能が用意されており、日記の内容をFacebookとCleverTapに送信していました。
MIAもMayaも、そうした情報のほかに、メールアドレスや一意のデバイスIDといった個人データも送信します。アプリ利用者がFacebookアカウントを持っていれば、その人がスマートフォンにFacebookアプリをインストールしていなくても、その情報だけで身元を特定することが可能な状態でした。つまり、Facebookは入手するデータが誰のデータなのかを完璧に把握しているのです。
企業がそれほど多くの個人データを求める理由
Facebookを含む広告ネットワークは、人の健康、気分、私生活に関する情報を入手することで、より収益性の高い形で広告主の商品やサービスを売り込むことができます。たとえば、妊娠中の女性に向けた広告の場合、ターゲットを絞らない広告に比べて購入につながる可能性が格段に高いため、広告費は10倍です(妊娠中の女性の買い物ニーズはある程度まで予測可能であり、どのブランドの品物を買ったらよいかよく分かっていない人が見る可能性があるため、最初に広告を見てもらうことは大きなメリットです)。
問題は、広告に利用されることだけではありません。プライベートな健康情報が誰の手に渡るかによって、何らかの影響を被る可能性があります。たとえば医療保険料に影響するかもしれませんし、求人に応募してきた人が妊娠を計画中だと知った募集企業が他の候補者を選ぶかもしれません。極端な例では、妊娠していることで国際線のフライトへの搭乗を断られる可能性もあります(英語)。そもそも、親しい友人にも言わないようなことをFacebookに知られたいと思う人はいません。
Mayaの開発元は、アプリが提供を求めるデータはすべてアプリの運用に必要なものだと主張しています(英語)。部分的には真実でしょう。ホルモン剤、ストレスの増加、喫煙などの習慣(英語)によって月経サイクルが変化することはあり、気分の波や腹痛といった症状から月経が近づいていることを予測できる場合もあります。しかし、アプリが提供を求める情報のかなりの部分は、診断の正確性にはほとんど、あるいはまったく影響しません。
開発元はFacebook Analyticsの使用を中止
ただ、悪い話ばかりではありません。MayaもMIAも、現在はFacebookに情報を送っていません。調査チームがアプリの開発元に連絡したところ、いずれの開発元も、データ送信を担っていたFacebook Analyticsをすぐに削除しました。なお、CleverTapとAppsFlyerの利用は現在も続いています。
こうして見ると、データをFacebookに送る必要性があったわけではなく、開発元が単にどのデータがどこへ送信されるのかを深く考えることなく分析システムを追加導入してしまった、ということのようです。
Mayaの開発元は、CleverTapのサーバー上にある情報に第三者はアクセスできないと述べています(英語)。CleverTapは、同社は一般データ保護規則(GDPR)に準拠しており、同社の分析アルゴリズムで処理しているのは匿名化されたデータプールであると述べています(英語)。確かにそのとおりなのであれば、このアプリによるプライバシーへの脅威は、現在では最小限であると考えてよいでしょう。
AppsFlyerの分析サービスを利用しているMIAについては、もう少し微妙な状況です。調査チームからの問い合わせを受けて、AppsFlyerは、健康情報ほか個人と密接に関連したデータの顧客による収集は禁じていると述べています(英語)。同社は、MIAアプリの開発元にコンタクトを取って分析に対するアプローチを見直すよう求めたと述べていますが、調査チームによると、健康情報を取り扱うアプリからどのようなデータを収集すべきだと考えているのかをAppsFlyerは明言していません。
個人データの悪用を防ぐために
どのような種類のアプリであっても、アプリにデータを提供する場合、特にプライベートなデータを提供する場合には、データが第三者に渡る可能性があることを覚えておきましょう。そのアプリをどうしても使わなければならない場合には、以下を参考にしてください。
- アプリを賢く選びましょう。Google PlayやApp Storeのレビューに目を通し、開発元とアプリについての口コミをチェックしてください。過去にそのアプリが送るべきでないところにデータを送っていたことが発覚しているかもしれませんし、問題がなく評判のよいアプリかもしれません。
- アプリにプライベートなデータの提供を求められたら、アプリのプライバシーポリシーを確認しましょう。利用者のデータを第三者企業に提供する、という内容が堂々と書かれていることがあります。その場合は要注意です。具体的な条項がなくても、ポリシーの文言が曖昧だったり意味不明だったりする場合は、開発元が何かを隠そうとしているのかもしれません。
- 月経周期を記録するアプリが必要なら、少なくともMayaとMIAについては、Facebookとの連携を解消したことが分かっています。Privacy Internationalによるレポートの中では、データをFacebookに送らないアプリについても触れています(第7〜8段落あたり。レポートは英語)。
- アプリに必要以上の情報を提供しないようにしましょう。アプリが要求する情報は本当に必要な情報なのか、なくても問題ない情報なのか、よく考えてみてください。昔のように紙に記録すべきだという話ではありませんが、アプリに提供した情報がずっと完全に非公開のままである可能性は低いことは、認識しておく必要があります。
ヒント