最高裁判所がロー対ウェイド判決を覆した判決を受けて、数万人のアメリカ人がスマートフォンを使って情報を共有し、アプリライブラリを確認するようになりました。法律専門家は、中絶ケアを求める人々がプライバシーの脅威に対して極めて脆弱になっていると警告しています。特に、「賞金稼ぎ」法によって民間人が民事訴訟を起こすことを奨励されている州に住む人々はその傾向が顕著です。
これを受けて、多くの人がより確実で安全な生理周期追跡方法を求めて、生理周期追跡アプリを利用しています。最近、ユーザーに生理周期追跡アプリの一括削除を促すツイートが相次いでいるにもかかわらずです。モバイルヘルス(mHealth)アプリのサブカテゴリである生理周期追跡アプリは、ここ数年で非常に人気が高まっており、2019年にカイザーファミリー財団が実施した調査では、アメリカ人女性の3分の1がユーザーであると回答しています。
アプリストアのデータを見ると、最高裁の判決が下されて以来、この数字はさらに増加しているようだ。アプリ開発者などの企業向けにインストールと利用データを追跡しているData.aiのレポートによると、米国の生理周期管理アプリ上位5位は、今年6月24日から6月30日の間にアプリストアのランキングを平均48%向上させており、ダウンロード数の急増を示唆している。特に「Stardust」と「Clue」の2つのアプリは猛烈なスピードでチャートのトップに躍り出て、Google PlayとAppleのApp Storeのランキングでわずか1週間で2倍の存在感を示した。これは、ユーザーが生理周期管理アプリを放棄しているというよりは、新しいアプリに乗り換えている可能性を示唆している。
これは、mHealth分野のリーダー企業による新たなプレスリリースが一因となっています。彼らは読者に対し、自社アプリの安全性とデータプライバシー対策の強化が完了、または順調に進んでいると約束しました。先週木曜日にリリースされたばかりの比較的新しいStardustは、最近の発表で「当社はデータを販売していません。これまで販売したことはなく、今後も販売することはありません」と述べています。しかし、同社のプライバシーポリシーでは、当局の要請があれば、令状やユーザーへの通知なしにデータを自由に提供できることが示されています。ドイツに拠点を置く人気の生理周期トラッカーであるClueの経営陣も、「米国当局によるユーザーの健康データの開示要請や召喚状への対応は行わない」という姿勢を強調しました。
ユーザーはこれらの声明を、特にサービス独自のポリシーと矛盾する可能性がある場合には、どれほど真剣に受け止めるべきでしょうか?生理周期トラッカーアプリを安全に使用できると言えるのは一体何でしょうか?その答えを見つけるために、私たちは米国で最も人気のある5つの生理周期トラッカーアプリ、Flo、Clue、Stardust、Period Calendar、そしてPeriod Tracker(AppMagicによると、2022年に最もダウンロード数が多かったアプリ)のプライバシーポリシーを分析しました。
プライバシーポリシーに記載されている主張は連邦取引委員会法(FTC)に基づいて執行可能ですが、アプリが収集する健康関連情報は、ワシントンD.C.に拠点を置く501非営利団体、Center for Democracy & Technology(CDT)の社長兼CEOであるアレクサンドラ・リーブ・ギブンズ氏によると、本質的に「意味のあるプライバシー法」によって保護されているわけではありません。これにはHIPAAも含まれます。「HIPAAは、医療提供者または同様の対象事業体によって収集され、所有されている情報のみを保護します」とギブンズ氏は指摘します。
これは、リスク評価の負担を個々のユーザーに押し付けるだけでなく、そもそもアプリのプライバシーとセキュリティの評価を困難にします。そこで、ベス・イスラエル・ディーコネス医療センター(MIND)とデジタルスタンダードが先駆的に開発した評価フレームワークを参考に、研究の指針となる4つの核となる問いを導き出しました。
*スコア(0)=アプリはプライバシー要件を満たしていない、(1)=アプリはプライバシー要件を部分的に満たしている、(2)=アプリはプライバシー要件を満たしている、(3)=アプリはプライバシー要件を十分に満たしている
**「明確な仕様」とは、ここでは、サードパーティ企業とそれらが受け取るデータのインデックスとして定義されます。
ローカルストレージとクラウドストレージ
企業がユーザーのデータをどこに保存しているかを理解することは、その製品の使用に伴うプライバシーリスクを評価する上で極めて重要です。人気のモバイルアプリの多くは、ユーザーデータをクラウド(複数の場所にある複数のサーバー)に保存しています。これにより、大量の、簡単に復元可能な情報を処理できます。しかし、これは同時に、ユーザーのデータが悪意のある攻撃者にとってより脆弱になることを意味します。ギブンズ氏のような組織が、ユーザーのデバイスに直接情報を保存するアプリを好んでいるのはそのためです。アプリがデータを直接モバイル端末に保存すれば、ユーザーはより完全にデータを制御できます。上記でレビューしたアプリには、ユーザーがデータをローカルに保存するオプションを提供していませんが、EukiとMozilla Foundationが支援するDripは提供しています。
サードパーティとの共有
最近Facebookを使ってウェブサイトやアプリにログインしたことがあるなら、アプリ開発者がサードパーティと情報を共有する方法のいくつかをすでにご存知でしょう。企業がどのサードパーティと提携し、どのような種類のデータがそれらのサードパーティに渡されるかを理解することは、保護レベルを評価する上で役立ちます。例えば、Period Trackerのプライバシーポリシーは、ユーザーのデバイスIDを広告ネットワークと共有することを認めており、これは非常にリスクの高い行為です。また、企業の合併や売却に伴い、ユーザーデータを販売または譲渡する意思があることも表明しています。一般的に、Clueのように、誰に、そしてなぜ情報を提供しているのかを明確に示しているアプリの方が、より信頼できます。
データが第三者と共有される前に、定期的に匿名化(ユーザーを特定できる情報を削除)されているかどうかを知ることも役立ちます。しかし、これは万能薬ではありません。特定の条件下では、削除されたデータでも個々のユーザーを特定できる可能性があります。機械学習は、怪しげな「再識別」プロセスを高速化できるため、この脅威をさらに現実味を帯びさせます。Clueはユーザーデータの共有を控えると宣言しているにもかかわらず、匿名化されたデータを特定の第三者研究グループに渡しています。Stardustは第三者と共有する情報を制限することを表明していますが、同社のポリシーでは、「法執行機関の要請に従う、または対応する」ため、または「会社のセキュリティ」を保護するために情報を共有する可能性があると述べています。理想的には、アプリは情報を共有する第三者を非常に厳選するか、第三者とは一切共有しないのが理想です。
データの削除
すべてのアプリは、ユーザーが開発者のシステムから個人データを自由に削除できるプロトコルを確立する必要があります。米国ベースのアプリの多くは、EUの一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)に準拠するためにこれらのプロトコルを組み込んでいますが、ユーザーは、これらの削除権限が所在地を問わずすべてのユーザーに明確に適用されるプライバシーポリシーを確認するべきです。それでもなお、これは難しい場合があるとギブンズ氏は言います。「法律が適用される管轄区域の居住者でない場合、開発者がそれを尊重する保証はありません。」
データ削除リクエストを促すアプリであっても、必ずしもタイムリーかつ完全に削除されるとは限りません。2021年にセキュリティ対策を巡りFTC(連邦取引委員会)の調査対象となったFloは、プライバシーポリシーにおいて、アプリを削除した場合、「ユーザーが再アクティベートする場合に備えて、ユーザーの個人データを3年間保持する」と明記しています。Period Trackerは、リクエスト受信後「最大24か月間」ユーザーのモバイルデバイスIDを保持することを認めています。最も安全なアプリは、ユーザーのデータを30日以内に保持し、Clueのようにユーザーに代わって第三者に削除リクエストを送信するのが理想的です。
位置追跡
アプリが位置情報データを明示的に保存する場合(例えば、Period CalendarやPeriod Trackerなど)、プライバシーに関するより大きな問題が生じます。本稿で分析した5つのアプリのうち3つは位置情報データを明示的に保存していないようですが、各アプリはユーザーのIPアドレスを保存しており、これを使用してユーザーの大まかな位置情報を特定することができます。例えば、FloはAppsFlyerなどのサードパーティとIPアドレスを明示的に共有しています。
スターダストの手法は、ユーザーのIPアドレスと健康データを切り離すことでセキュリティを強化しています。しかし、批評家は、この手法は真のエンドツーエンド暗号化には至っていないと指摘しています。いずれにせよ、IPアドレスがユーザーの検索履歴や公開されているその他の情報といった外部データと組み合わせられると、個人の身元や活動内容が容易に明らかになる可能性があります。CDT(疾病管理予防センター)をはじめとするプライバシー擁護団体は、ユーザーのテキストメッセージや検索履歴が、生殖に関する健康に関する訴訟で既に不利に利用されている事例があると警告しており、この手法は今後拡大する可能性が高いとしています。
結論
結局のところ、Clueのような生理周期追跡アプリは、Flo、Stardust、Period Calendar、Period Trackerといったアプリよりも、ユーザーにとってリスクはわずかに低いと言えるでしょう。しかし、圧倒的な人気を理由に選ばれたこれら5つのアプリは、消費者レポートでも裏付けられているように、EukiやDripといったより安全な選択肢と比較すると、その実力には及びません。ユーザーがThe Digital Standard、Mhealth Indexなどで定められた基準に従ってすべてのアプリを分析できるのであれば、どの企業と提携すべきか、知識に基づいた判断を下すことができます。しかし、特定のアプリを使用するリスクを評価することは、完全な科学とは言えません。非常に時間がかかり、混乱を招くことも多いだけでなく、すべてのアメリカ人に広く適用可能な法的プライバシー保護の欠如を補う適切な手段とは到底言えません。
ギブンズ氏のようなプライバシー専門家によると、ロー判決後のデジタルプライバシーとセキュリティに関して言えば、生理周期追跡アプリは氷山の一角に過ぎない。CDT(疾病管理予防センター)は、生理周期追跡アプリを使う価値があるかどうかを判断するために、自身のリスクレベルを評価することを推奨している。当面は、テキストメッセージや検索履歴などの個人情報を保護するための対策を講じる方が、おそらくより価値があるだろう。
変化を起こしたいと考えている人々にとって、専門家はテクノロジー企業、特にGoogleやMeta(旧Facebook)のような先駆的な組織に対し、より強固な個人保護を求めるよう直接働きかけることを推奨しています。これらの企業は、最終的には法執行機関からのユーザーデータ提供要請に応じる義務を負うことになりますが、多くの企業はすでに監視の縮小を約束しています(一方で、プライバシー関連法や規制に反対するロビー活動も積極的に行っています)。より良い政策の実現に向けて、テクノロジー企業は収集しているデータの棚卸しを真剣に行い、定期的に透明性レポートを提出し、そして何よりも重要なのは、プライバシー権擁護のために早期かつ頻繁に公の場で立場表明を行うことです。
