プライバシーとセキュリティ
ギズモードは2万台以上のリングカメラを調査し、国中を覆う広大な監視網を発見した。
読了時間 11分
記者たちが今夏、リング社の法執行機関との契約に関する新たな詳細を明らかにしようと奔走するなか、昨年アマゾン社に10億ドルという巨額で買収されたこのホームセキュリティ会社は、ユーザーに提供すると約束したプライバシーを強調しようと努めた。
拡大し続けるホームセキュリティ機器ネットワークが、最終的には警察の日常業務に不可欠なものとなるという、徐々に進む目標がRing社によって達成されつつある中、同社は顧客が「法執行機関と共有する情報があれば、どのような情報を共有するか」を常に選択できると約束した。警察当局がRing社の警察との提携について公表できる情報を最小限に抑えるよう、Ring社は静かに努力を重ねる一方で、顧客、そして犯罪警報アプリ「Neighbors」のユーザーに対するプライバシー保護の義務を積極的に強化した。
しかし、先月から開始され、最終的に最大数万台のRingカメラの設置場所が明らかになったGizmodoの調査は、同社のプライバシー保護策の有効性に新たな疑問を投げかけています。プライバシー専門家によると、この調査は、米国の都市を覆い尽くすAmazonの民間運営による全方位監視体制の実態を、これまでで最も「衝撃的」かつ「不穏な」形で垣間見せているとのこと。
ギズモードは、過去1ヶ月間、Neighborsアプリのユーザーが共有した約65,800件の個別投稿に関連するデータを取得しました。収集時点から500日前まで遡るこれらの投稿は、アメリカの地域におけるRing社製ビデオ監視システムの蔓延について驚くべき洞察を提供するとともに、世界有数の大企業が管理する消費者主導の監視カメラネットワークにおけるプライバシーのトレードオフについて重要な疑問を提起しています。
顔が記録された人だけではありません。
Neighbors アプリのネットワーク トラフィックを調査すると、各投稿に関連付けられた隠し地理座標 (小数点以下 6 桁までの精度の緯度と経度) など、予期しないデータが見つかりました。この精度は、およそ 1 平方インチの土地を正確に特定できるほどです。
数百万人のユーザーを抱えるNeighborsは、地元の警察や近隣のNeighborsユーザーから「リアルタイムの犯罪・安全警報」を受信できる手段として宣伝されています。このアプリの利用にRingカメラは必要ありません。警察がRingと提携している都市では、警察官は専用の法執行機関ポータルにアクセスし、Ringの映像へのアクセスをリクエストできます。日時と地図上の場所を指定すると、近隣にカメラを設置しているNeighborsユーザーに通知が届きます。
リング社によると、要請を受けたカメラの所有者には警察は知らされていない。これは、協力を拒否した場合の不利益を回避したいためだという。また、ユーザーが警察に情報を提供しない限り、ユーザーの正確な位置情報は隠蔽されるとリング社は述べている。
それでも、ギズモードは隠された座標を用いて、米国15都市に設置された数万台のRingカメラの位置を、様々な精度で示す詳細な地図を作成することができました。代表的なサンプルとして選ばれた都市には、ロサンゼルス、ヒューストン、シアトル、オークランド、ボストン、シカゴなどが含まれています。
実際には、これはRingネットワークのごく一部に過ぎず、さらに重要なのは、地図にはNeighborsアプリを使って映像を共有することを選択したRingカメラ所有者のみが表示されることです。過去500日間、アプリを使って映像を共有していないRing所有者のカメラは地図に表示されません。さらに、各都市の記者が調査したのは、わずか9平方マイルのエリアでした。
Gizmodo は、最大 20,000 台の Ring カメラの位置を特定したと推定していますが、取得可能な場所の総数は依然として謎です。記者は、Ring カメラの普及を示すのに十分なデータを収集した後、自主的に Neighbors データの収集を停止しましたが、これは Ring がデータを利用できないようにしたからではありません。
マサチューセッツ工科大学(MIT)メディアラボの博士課程学生、ダン・カラッチ氏は、コミュニティが「自己監視を行う可能性を高める」要因を理解するための別の継続的な研究を行っており、リングカメラの設置場所に関するはるかに大規模なデータベースを蓄積しています。彼はギズモードに対し、2017年以降にNeighborsに投稿されたすべてのリング動画を示す地図を含む、研究のプレビューを公開しました。
「具体的には、FBIの犯罪報告統計、ジェントリフィケーション指標、人口統計データを使って、郡レベルでの使用状況(1,000人あたり稼働中のカメラの数など)を説明しようとしてきました」とカラッチ氏は語った。
Gizmodoが収集した65,800件の投稿のうち、Ringドアベルカメラから発信された可能性のある投稿を特定するために、Gizmodoは「Ring」または「Video Alert」として明確に分類された投稿をフィルタリングしました。
テストの結果、一部の座標はRingデバイスの真正面に人物を配置できるほど正確であることが判明しました。これは、Neighborsユーザーが提供した自宅住所から約1.2~1.8メートル離れた地点です。他の座標は、Ringデバイスの目の前にあり、最寄りの交差点を指し示していました。
「Neighborsアプリへの投稿では、ユーザーやRingデバイスの所有者の正確な住所は明らかにされません」とRingの広報担当者は述べています。「アプリに投稿する際には、事故現場の場所を入力しますが、必ずしも住所と同じ場所とは限りません。これらの公開投稿は、ユーザーのプライバシー保護のため、事故現場付近の交差点で発生したものとして表示されます。」
ギズモードが住宅からカメラを発見した最長距離は、カメラ所有者が自主的に自宅住所を明記したNeighborsの投稿のみを対象としたテストに基づくと、260フィート(約70メートル)でした。しかし、座標には必ずRingカメラで撮影された映像が付随するため、この距離では実際にカメラの位置を特定することさえ容易ではありません。
https://gizmodo.com/ring-barred-cops-from-using-surveillance-to-describe-it-1837380102
ニューヨーク州ビーコンでは、ある記者が、荷物を盗む泥棒に関するネイバーズの投稿に付随する座標まで車で向かった。投稿者の自宅を正確に特定することはできなかったものの、わずか数分でその場所を見つけることができた。動画に映っていた特定のフェンスは、簡単に見つけることができた。つまり、映像と座標の両方があれば、ネイバーズにカメラ映像を投稿する人物の居場所をほぼ確実に特定できるということだ。
Ring社は、Gizmodoが入手したデータがあれば誰でもユーザーの自宅の正確な位置を特定できる可能性を否定しなかった。同社は「NeighborsユーザーがNeighborsアプリで共有することを選択したコンテンツのみが、Neighborsアプリまたは地元の法執行機関を通じて公開される」と繰り返した。
同社によると、RingはAES暗号化とトランスポート層セキュリティ(TLS)を組み合わせて、Ringデバイスとアプリ間のデータ保護に使用しているとのことです。ただし、各動画投稿に関連付けられた座標は、技術系ユーザーには公開されています。(Gizmodoはユーザーのプライバシーを尊重するため、座標へのアクセス方法については詳細な説明を控えています。)
「これらのカメラの密度について私がこれまで見た中で最も説得力のある見方だと思う」と電子フロンティア財団の政策アナリスト、マシュー・グアリグリア氏は語った。
グアリグリア氏をはじめとする監視専門家は、ギズモードに対し、監視カメラの普及により、特定の診療所、法律事務所、外国領事館などを含む「機密性の高い建物」に出入りする歩行者が録画されているのではないかという懸念が生じていると語った。「これが私の最大の懸念です」と、地図を見ながら彼は語った。
そこでギズモードは、中絶サービスを提供するクリニックや移民・難民問題を扱う法律事務所など、機密性の高い建物の不安を抱かせるほどの近さにカメラを設置した。
ネイバーズでは、国内のどこからでもほぼリアルタイムで投稿を取得し、様々な方法で分類することが可能です。例えば、約4,000件の投稿には、子供、十代の若者、外見から未成年と判断される可能性のある人物に関するもの、性行為に関するものと思われるもの、移民関税執行局に関するもの、そして犬、猫、コヨーテ、七面鳥、カメに関するものなどが含まれています。
録画された人物の人種は様々な形で暗黙的に示唆されているものの、ギズモードは黒人であることへの明示的な言及を519件、白人であることへの明示的な言及を319件発見しました。Ringの広報担当者は、Neighborsのコンテンツモデレーターは肌の色に関する不必要な言及を排除するよう努めていると述べています。モデレーターは、対象者が「黒人」または「白人」であることのみで特定される投稿を削除するよう指示されているとのことです。
Ringのガイドラインは、ユーザーに次のように指示しています。「人種、民族、国籍、宗教、性的指向、移民ステータス、性別、ジェンダー、年齢、障がい、社会経済的地位、退役軍人としての地位といった個人属性は、身元不明の人物について投稿する際に、決して考慮されるべきではありません。これはまた、人種のみで人物について言及したり、報道されている事柄とは無関係な他の個人属性に注目したりしないことも意味します。」
アメリカ自由人権協会の上級政策アナリスト、ジェイ・スタンリー氏は、リングの普及は当局による継続的な追跡と同じだと指摘する。
「もしほとんどの人が警察官や私立探偵に24時間365日尾行されていたら、間違いなく迷惑に感じ、苦情を申し立て、接近禁止命令を求めるでしょう」と彼は述べた。「もし同じことが技術的に、静かに、目に見えない形で行われていたら、それは実質的に同等のことです。」
隠された座標以外、Neighborsの投稿の内容はすべて、ユーザーによって意図的に公開されているように見えます。しかし、ほとんどのユーザーは、自分の投稿が近隣のユーザーとのみ共有されていると想定しているようです。
Ringのウェブサイトには、自宅住所を入力すると、Neighborsアプリが「自宅を中心とした半径を作成」し、「その半径内」のアラートを共有できるようになると記載されています(ユーザーは正確な情報を提供する必要はありません)。そのため、ユーザーは自分の投稿も同様に、半径内の隣人にのみ表示されると考えていると考えられます。Ringのウェブサイトにも同様のことが示唆されています。「逆に、自分の半径内で発生した犯罪や安全に関するアラートを[Neighborsアプリ]で共有すると、隣人のスマートフォンやタブレットにも通知が届きます」と記載されています。
Ringの広報担当者は別の記事で、同社はNeighborsへの投稿を「公開」と位置付けており、ユーザーがソーシャルメディア上の特定の投稿にリンクできるようにしていると述べた。Gizmodoの調査によると、Googleはこれまでに約2,000本のRing動画をインデックスしている。しかし、正確な位置情報を含む投稿も含め、投稿が世界中の誰でも簡単に閲覧できることをユーザーが理解しているかどうかは不明だ。
「リングは常に、製品の改善・改良方法についての対話にオープンですが、ネイバーズアプリとその機能の使い方が適切に説明されることも重要です」とリングの広報担当者は述べ、アプリの使い方や「ユーザーが全国のコミュニティに与えている良い影響」について、引き続き一般の人々に啓蒙していくと付け加えた。
ギズモードは木曜日にRingにコメントを求め、地図の拡大版と縮小版の両方を提供し、その後、Ringの製品チームが提示したデータに関する質問に回答した。記者たちは月曜日にNeighborsの座標収集プロセスを再テストし、データに引き続きアクセスできることを確認した。
リングのような企業は、グーグルが2007年にストリートビューで何百万もの人々の顔を公開した時と同じように、街頭での監視が本質的に明らかにするのは人々がすでに公開している情報だけであり、インターネットに接続されたカメラで公共の空間を覆うことと、人間が路上を歩いたり車を運転したりすることの間には違いがないと長らく主張してきた。
しかし、誰もが同意するわけではない。
「粘り強さが大切です」とスタンリー氏は述べ、ACLUが長年にわたり公共写真撮影を擁護してきた歴史を認めた。「メインストリートの歩道を歩いているあなたの写真を撮って、明日の新聞の1面に掲載することもできます」と彼は言った。「とはいえ、自動化すれば、より速く、より安く、より簡単に、そしてより広範囲に拡散できるようになります」
スタンリー氏をはじめとする公共監視の影響を研究する研究者たちは、アメリカ人の現実認識が一種の遍在する観察者効果によって歪められる近未来を思い描いている。子供たちは幼い頃から、屋外にいるという行為そのものが常に監視され、記録されていることと結びつくことを学ぶだろう。この認識が、人々が公共の場で自然に行う行動を根本的に、そしておそらくは永久に変えるであろうことはほぼ間違いないだろう。
「それは、地域社会を歩き回る人間であることの意味に重大な影響を及ぼす可能性のある、普遍性と体系性をもたらします」とスタンリー氏は述べた。「人類として、そして歴史を通して、私たちが経験したことのない影響です。」
Ringのデータにより、ギズモードは、もはや単なる仮説ではなく、Amazonの監視下にある日常生活がどのようなものかを例示するシナリオを考察する手段を得ました。例えば、首都ワシントンでは、公立チャータースクールから1マイル(約1.6キロメートル)足らず離れたサッカー場までの最短ルートを歩く6年生から高校3年生までが、少なくとも13台のRingカメラによって記録されています。
ギズモードの調査によると、ワシントンD.C.近郊の数十人のユーザーがNeighborsを使って子供の動画を共有している。そのうち36件の投稿は、ほとんどがごくありふれたいたずらで、「価値観のない」子供たちが駐車テープを破ったり、「ドートバイク」に乗ったり、「自撮り」をしたりしている様子を描いている。
Ringのガイドラインでは、ユーザーは「他人のプライバシー」を尊重し、「合理的な人がプライバシーを期待する人物や活動」の映像をアップロードしてはならないと定められています。この指示の解釈はユーザーに委ねられていますが、Ringのコンテンツモデレーターは投稿を積極的に精査しており、ユーザーは「不適切な」投稿にフラグを付けて確認を求めることができます。
テクノロジーと警察活動に注力するブレナン司法センターの弁護士、アンヘル・ディアス氏は、リングが収集するデータの「規模と範囲の広さ」こそが、他の公共写真撮影法とリングを区別するものだと語った。
「家の前を通り過ぎる人の写真だけでは、それほど多くのことは分からないかもしれません。しかし、最終的には人々が近所を移動する様子を地図上に記録できるシステム全体を連携させれば、その人がどこに住み、どこで働き、どこに通っているのか、かなり詳細な情報が得られるようになります」と彼は語った。
移民家族や難民に無料または低価格の法的サービスを提供する非営利団体RAICESは木曜日、テキサス州の事務所からRingデバイスを撤去すると発表した。「Ringをゴミ箱に捨ててください」とTwitterのフォロワーに呼びかけた。RAICESは昨年、ピッツバーグのシナゴーグで11人の信者を射殺した男が、数週間前に難民支援を行うユダヤ系アメリカ人の非営利団体HIASをオンラインで非難していたことを知り、Ringカメラを購入した。
RAICESは今週、元マザーボードのキャロライン・ハスキンス氏によるリングと警察の関係に関する詳細な報道を引用し、これらのカメラを撤去した。
RAICESの広報担当者は、同団体に勤務する弁護士たちは、リング社が警察による依頼人やその家族への捜査、あるいは移民関税執行局(ICE)職員による捜査に協力しないという確信をもはや持てないと述べた。「彼らが何を言おうと、警察官がこの情報をどのように扱うかについて、リング社には何もコントロールできない」と広報担当者は述べた。
https://gizmodo.com/amazon-faces-heat-from-senators-over-ring-doorbell-secu-1839965117
商業用監視分野への進出により、法的境界があいまいで規制が不十分な業界のトップに都合よく座したアマゾンが、リングのビデオやユーザーデータを独創的に利用することを決めた場合に何が起こるのかという懸念が残っている。
「J・エドガー・フーバーなら、そんな能力を持っていたらどうしただろう?」とスタンリー氏は問いかけた。彼は、リングカメラが「ものすごくたくさん」存在することは知っていたとしながらも、「しかし、地図上でそれを視覚的に見ると、数字だけでは得られない衝撃がある」と付け加えた。「公共空間がビデオ監視でどれほど飽和状態になっているかを、鮮やかに示している」
10年にわたり警察の監視を研究し、この分野で博士号を持つグアリグリア氏は、隠された座標は、ユーザーがまだ情報を入手していないかどうかに関わらず、「どのような情報を警察と共有するか」をユーザーのみが決定できるというリング社の主張を無効にしていると考えていると述べた。
「私はその議論をまったく信じていない」と彼は言い、もし警察が本当にその気になれば「リングのカメラがどこにあるのか簡単に突き止められる」だろうと付け加えた。
ガーディアン紙は8月、リング社がかつて稼働中のリングカメラの位置を示す地図を警察に提供していたと報じた。CNETは先週、公開文書を引用し、リング社と提携していた警察がかつて、同社のカメラが集中しているエリアを示す「ヒートマップ」へのアクセスを許可されていたと報じた。
ヒートマップを最初に入手したプライバシー研究者のシュレヤス・ガンドルル氏は、警察が十分にズームインすると、個々のカメラの周囲に円が表示されることを発見した。しかし、Ring社は、このマップは「おおよそのデバイス密度」を示しているとして、顧客の位置情報を正確に反映しているとは考えておらず、当局に対し公表しないよう指示した。
ディアス氏は、リング社のユーザー機密保持の約束は、プライバシー専門家が同社の官民連携ビジネスモデルに起因すると考える多くの大きな問題とは無関係だと述べ、「『ユーザー』の概念は多様である」と指摘した。
Ringには、おそらく異なる種類のユーザーとみなされている警察官のパートナー、そしてデバイス所有者自身、そしてNeighborsのユーザー(全員がRingデバイスを所有しているわけではない)がいる。しかし、画像が記録される被写体、つまりNeighborsのコンテンツの一部となる予定の人物は、ユーザーではないと彼は言った。その瞬間においては、そうではない。
道に迷った見知らぬ人が午前2時に間違ったドアベルを鳴らした場合、その行動は「不審」とみなされる可能性があります。その人にとって、その瞬間、プライバシーに関するRingの約束はどれも実際には意味をなさないのです。たとえそれが守られている約束であっても。
