生理周期トラッキングアプリ「Flo」は、全米の州法執行機関が中絶希望者を起訴するためにアプリからデータを収集することにますます関心を寄せているように見える中でも、新たにリリースされた「匿名モード」によってユーザーが安心して製品を使い続けられることを期待している。Gizmodoの取材に応じたプライバシー専門家は、Floのアップデートを歓迎しつつも、完全な匿名性の定義を満たすには至っていないと警告した。専門家らは同様に、このようなプライバシー保護機能は基本的なものであり、特にデータが悪意のある者の手に渡った場合に恐ろしい結果を招く可能性があることを考えると、追加オプションとして提供されるべきではないと述べた。
約2億4000万人のユーザーを誇る、業界をリードするアプリの一つであるFloは、最高裁判所がロー対ウェイド判決を覆した約1週間後の6月に、プライバシー保護モードを発表しました。このモードは水曜日にiOSユーザー向けに正式にリリースされ、Android版は来月リリース予定です。Floは、この新モードにより、ユーザーは名前、メールアドレス、その他の健康データと関連付けられる可能性のある個人識別情報を提供することなく、サービスを利用できると主張しています。Floのプレスリリースによると、これらの機能は女性向け健康アプリとしては初とのことです。
同社は、これら全てを実現するために、ウェブインフラ企業Cloudflareの協力を得たと述べています。CloudflareのApp Relayを利用することで、デバイスに記録された症状からネットワーク経由で転送されるデータまで、「様々なレベル」でユーザーのプライバシーを確保し、ユーザーのデータを処理するいかなる当事者も、ユーザーが誰で、何にアクセスしようとしているのかを完全に把握できないようにすることができるとFloは述べています。理論上、このアプローチにより、Floとの通信におけるユーザーのデジタルフットプリントが大幅に削減されるはずだとFloは述べています。
「今こそ、これまで以上に女性は、政府の訴追を恐れることなく、個人の健康情報にアクセスし、追跡し、その情報を得る権利があります」と、フローの製品・コンテンツ担当副社長キャス・エベレット氏は声明で述べた。「この画期的な出来事が業界にとって模範となり、企業がプライバシーとセキュリティの原則に関して基準を引き上げるきっかけとなることを願っています。」
The Vergeによると、Floの匿名モードは特定の機能を犠牲にして実現されるという。例えば、匿名モードのユーザーはウェアラブルデバイスに接続できず、新しいデバイスに情報を転送することもできない。
専門家は匿名モードは良いが、技術的には「匿名」ではないと述べている
ギズモードの取材に対し、監視技術監視プロジェクトのエグゼクティブディレクター、アルバート・フォックス・カーン氏は、Floの取り組みを「大きな前進」と称賛する一方で、その機能を誇張しすぎないよう警告した。確かに改善は見られるものの、フォックス・カーン氏は、このモードを「完全に匿名」と呼ぶのは的外れだと懸念している。
「Floはバックエンドでアクセスできるデータを大幅に制限してきましたが、警察がユーザーのデバイスを押収した場合、そのデータを追跡できるというリスクは依然として残っています」とフォックス・カーン氏は述べた。「こうしたプライバシー保護の取り組みはもっと一般的になるべきですが、悲しいことに、デジタルで生活を追跡するたびに、それが法廷で不利に働くリスクが伴います。」
同様に、Fight for the Futureキャンペーンディレクターのケイトリン・シーリー・ジョージ氏は、ギズモードに対し、この新しいモードは企業がロー判決後のプライバシーへの懸念により注意を払っていることを示していると述べたものの、懐疑的なユーザーの信頼を取り戻すのに十分かどうかは疑問だと指摘した。昨年、連邦取引委員会(FTC)に提出された苦情申し立てでは、Floがユーザーの健康情報を非公開としていたにもかかわらず、第三者と共有していたと主張されている。ロー判決の覆審後、プライバシーへの懸念から、一部のユーザーが不妊治療追跡アプリを削除したという報道もある。
シーリー・ジョージ氏はさらに、Floのいわゆる匿名モードのような機能は、機密性の高いユーザーデータを扱う企業ではデフォルトでオンにすべきだと述べた。シーリー・ジョージ氏によると、これらの企業はメッセージをエンドツーエンドで暗号化し、位置情報や検索データの収集と保管をやめ、情報を悪用する可能性のある企業への販売を控えるべきだ。
「結局のところ、プライバシーは、企業がユーザーのデータを悪用して発覚した後に初めて導入する追加機能であってはならない」とシーリー・ジョージ氏は述べた。
フロー氏は、記事掲載後にギズモードに提出した声明の中で、これらの批判に反論した。その中でフロー氏は、プライバシーと匿名性を区別することが重要だと述べた。
「プライバシーとは、ユーザーが自分の活動や個人データを誰が閲覧できるかをコントロールできる能力です」とフロー氏は記している。「匿名性とは、それらのデータを自身のアイデンティティやアカウントから切り離す能力であり、第三者がサービス上の行動やデータを個人のものとして特定できないようにする能力です。」
Flo によると、匿名モードでは、ユーザーは自分のアカウントに関連付けられた個人情報を共有することなく多くの機能にアクセスでき、電子メール アドレス、支払い ID、IP アドレス、広告主の ID、Google または Apple アカウント ID、その他の ID などの識別子をユーザーの健康データから切り離すことができます。
「デバイスへの直接アクセスによって健康データが漏洩する可能性を減らすため、Floはユーザーにオンボーディング中にFlo匿名モードアカウントにアクセスコードを追加することを推奨しています」とFloは述べています。「アクセスコードは、デバイスが侵害された場合に備え、プライバシーをさらに強化するものです。これにより、デバイスへの不正アクセス(紛失、盗難、不正アクセス)という最も一般的なリスクを大幅に軽減します。」
擁護団体、研究者、そして議員たちは、最高裁によるロー対ウェイド判決の覆審によって引き起こされる潜在的なデータプライバシー危機について、数ヶ月前から警告を発してきた。数十の州で中絶が違法化、さらには犯罪化されているため、地方の法執行機関が刑事訴追の裏付けとして、Floのようなアプリにユーザーデータを要求するのではないかと懸念する声も上がっている。
こうした事態が起こっていることを示す証拠はすでにいくつかあります。今年初め、ネブラスカ州当局は17歳の少女とその母親を、自宅で中絶を行ったとされる容疑で起訴しました。検察側は、少女と母親の間で交わされたFacebookのメッセージを入手し、中絶を誘発する薬を購入したことを裏付ける証拠を提示しました。この事件はロー対ウェイド判決が覆される前に発生しましたが、支援者たちは、匿名化されていない健康データが現実世界に及ぼす潜在的な影響を示す好例だと警告しています。
Floが重要なプライバシー保護機能をアドオンとして追加したことを高く評価するのは簡単ですが、残念ながら、生理トラッカーや妊娠アプリ全般がプライバシーを脅かす悪夢のような状況に陥っているのが現実です。Mozillaは最高裁判決の直後にこれらのアプリ25件を審査し、そのうち18件に「プライバシー保護対象外」のラベルを付けました。審査対象となった妊娠アプリのうち、プライバシー研究者の基準を満たしたものは1つもありませんでした。調査によると、ほとんどのアプリは、法執行機関からのデータ提供要請にどのように対応するかについて明確なガイドラインを定めていませんでした。
妊娠の可能性のある人々のデータを交換できる企業は、これらだけではありません。今年初めにGizmodoが行った調査では、米国全土で32のデータブローカーが、「妊娠中」または「マタニティ用品を購入中」と記載された約30億件のプロフィールの固有のモバイルIDへのアクセスを販売していることが判明しました。
「企業は最初から収集・保持するデータ量を減らし、『匿名モード』をデフォルトにすることで、自分の情報に誰がアクセスできるのかと誰も不安に思う必要がなくなるはずです」とシーリー・ジョージ氏は述べた。「これは、健康や生殖に関するデータを収集するアプリだけでなく、すべてのアプリの標準となるべきです。」
更新:9月15日午前11時50分:Floからの声明を追加しました。
