ハクソク

世界を動かす技術を、日本語で。

メタ、裁判所が示すところによれば、同社は「Flo」アプリから女性の健康データを無断で取得した

284日前原文(malwarebytes.com)

概要

MetaがFlo Healthアプリ利用者の機微な健康情報を無断で取得し、陪審が意図的な傍受と判断 Flo Healthは女性の生殖健康を詳細に記録する人気アプリ ユーザーの信頼を裏切り、第三者にデータを共有 プライバシー侵害や契約違反など複数の法令違反で提訴 デジタル時代の個人情報保護と女性の権利問題の重要性浮き彫り

MetaによるFlo Healthユーザーデータの無断取得問題

  • MetaFlo Health アプリの利用者の 機微な個人情報 を無断で取得し、陪審が「意図的な傍受」と認定
  • Flo Healthは2015年にベラルーシで開発され、 月経周期や妊娠、性行動、感情、避妊方法 など女性の生殖健康に関する詳細な情報を記録するアプリ
  • ユーザーはアプリを信頼し、 極めて個人的な質問 にも回答
  • Flo Healthは「第三者への情報提供はサービス提供上必要な場合に限定」と約束し、 記録されたサイクルや妊娠、症状、ノート等の情報は共有しないと明記
  • しかし2016~2019年、 Facebook、Google、AppsFlyer、Flurry など複数の企業に詳細なユーザーデータを提供
    • アプリ起動や操作ログも含めて共有
    • 第三者によるデータ利用制限も設けず、 Flo Healthの利用規約でも第三者の独自利用を許容
  • 2020年12月時点で 1億5,000万人 がFlo Healthを利用

プライバシー侵害と訴訟の経緯

  • Wall Street Journalの2019年報道を受け、ユーザーの Erica Frasco氏 が2021年に集団訴訟を提起
  • プライバシー侵害、契約違反、不当利得、Stored Communications Act違反、カリフォルニア州医療情報機密保持法違反 など複数の法令違反を主張
  • GoogleとFlo Healthはすでに和解 済みだが、Metaは和解せず法廷闘争継続
  • 陪審はMetaの「電子機器による会話の傍受・記録」を認定し、「同意なき情報取得」と判断

社会的背景と女性の権利問題

  • プライバシー問題 に加え、米連邦最高裁が2022年に 中絶の権利を撤廃 したことも影響
    • その年、Metaが母娘の中絶相談メッセージを警察に提供した事例も社会的議論に
  • Flo Healthのようなアプリは「信頼できる」と思われていたが、 実際は多くのアプリが無責任なデータ共有を行っている可能性
  • Propublicaの調査 では、中絶薬を販売するオンライン薬局もGoogle等にデータを提供し、 捜査当局による証拠利用のリスク が指摘

デジタル時代の個人情報保護と対策

  • 技術の進歩は利便性をもたらす一方、 個人情報流出や悪用という深刻なリスク も増大
  • サイバーセキュリティ対策やID保護サービス の活用による自己防衛の重要性
  • 特にセンシティブな健康情報やプライバシー情報の管理 に慎重な対応が求められる

Hackerたちの意見

裁判所とFacebookの対決を考えるときは、ミニマウスがホッキョクグマに立ち向かう姿を想像してみて。あるいは、ゴブリンがドラゴンに挑むとか、ハエが象に立ち向かうとか。これらの企業は、ほとんど法律の外にいるようなもんだよ。彼らがプレッシャーを感じるのは、市場シェアを失うリスクや、特定の地域でプラットフォームがブロックされる可能性があるときだけ。それだけなんだ。

みんなFacebookを責めるけど、立法者や裁判所を責める人はいないよね。こういうことがあれば、彼らは簡単に数十億ドルの罰金を払うことになるし、もっと多くのユーザーに影響を与えるかもしれない。政府の職員が会社の建物からサーバーや椅子、プロジェクターを持って行ってオークションで売ることになったら、罰金を払うための流動資産が足りないから、彼ら(他の人たち)はすぐに考えを改めて、違法行為をやめるだろうね。

彼らがやるべきことは、影響を受けたユーザーごとに3桁の罰金を課すことだけで、Facebookはすぐに強いプレッシャーを感じるはず。

「これらの企業はほとんどの場合、法律の外にいる」 それは最悪の間違いだよ。彼らは完全に法律の中にいる。なぜなら、法律を解釈する権限を持つ人々やシステムに影響を与える力があるから。法律をどう適用すべきか叫んでも、彼らには何の影響もない。彼らはお金さえあれば、論理的に合法だからね。

個人的に一番残念なのは、知ってるほとんどの人がこのことを気にしてるのに、みんなMetaのアカウントを持ち続けてること。ほんとに理解できないし、正直ちょっと気持ち悪い。Metaに何も問題を感じてない人もいるから、使い続けてるんだよね。それはそれでいいけど!行動が言ってることと一致してるみたいだし。人間の過ちは理解できる。私も人間だから、いろいろ失敗してきたし。だけど、彼らの信念や他人への判断があまりにも教条的なのが気になる。人が好きなんだけど、私たちってほんとに変で矛盾した生き物だよね。

Roblox、草

アプリは使わない方がいいよ。シンプルにそれだけ。95%の確率で、ユーザーに対するプライバシー侵害の割に全然価値がないから。

その通り。残念ながら、ユーザーはみんな人間で、「この新しい無料のキラキラしたものを見て!」っていう提案に対して、予測可能な反応パターンを持ってるし、その裏には冷酷なビジネスモデルがあるんだよね。

無知をお許しを、だけど特定のアプリの位置情報の権限を無効にすれば解決できるんじゃないの?

Mozillaが生理周期トラッキングアプリの比較をしたんだけど、ユーザーのプライバシーを尊重するアプリもあるみたいだよ。https://www.mozillafoundation.org/en/privacynotincluded/cate...

悲しい真実

それ以上に、ソフトウェア開発者には、彼らがやろうとしていることにインターネット接続が必要だって証明してほしいな。

Metaが関わってないプライバシー関連のニュースを見るのは、めっちゃ珍しいよね。

みんな記事を読んでないと思うけど…ここで悪いのはFloアプリで、Metaじゃないよ。このアプリはユーザーデータを制限なしにMetaに送ってたんだから。裁判所がどう判断したかは関係なくね。

「アプリはユーザーデータを制限なしでMetaに送信していた」 その後、Metaがそれにアクセスしたんだ。だから、データに制限をかけない限り、Metaはアクセスするよね。逆にすべきじゃない?Metaが許可を求めるべきじゃない?そうすれば、こんなことにはならないのに。

みんなここで大事な情報を見逃してるよ - これはベラルーシのアプリなんだ。CEOとCTOはベラルーシ人(おそらく他にもベラルーシ人やロシア人のCレベルの人がいる)。ユーザーはプライベート情報を渡してるだけじゃなくて、悪意のある(定義上)政権に渡してるんだ。西側のアプリがプライベート情報を売ったり渡したりしないと言っても、疑いはあるけどまだ少しは信じられる。でも、独裁者が支配する国のアプリがそうする場合、入力した文字はすべて政府に記録されて処理されるって確信できるよ。

その会社は3年以上前にベラルーシとのすべての関係を断ち、全社員がヨーロッパに移転したんだ。

エドワード・スノーデンとPRISMプログラムについてウィキペディアで調べてみることをおすすめするよ。最近のEUの暗号化禁止の試みについてもね。それから、パベル・デュロフがタッカー・カールソンとのインタビューで言ってたことも紹介するね。>「アメリカでは、政府が実際にどの技術会社のエンジニアにもバックドアを実装させて、それを誰にも知らせないように強制するプロセスがあるんだ。それは『ガグオーダー』って呼ばれるプロセスを使って行われる。ランディングページで何を主張しても関係ない。どこかに保存されていると仮定したら、最終的には漏れるし、移行中の政府やホスティングしている政府はすでにアクセス権と復号鍵を持っている。」

「西洋のアプリがプライベート情報を売ったり渡したりしないって言ったら、疑わしいけど、まだ少しは信じられるよね。あのycombinatorの『ハッカー』フォーラム、ザッカーバーグやアルトマン、マスクたちに雇われたシャンパン・ソーシャリストたちが『大丈夫だから心配しなくていい』って言ってたし、私は信じ続けるよ。もちろん、あの、こぼれたお茶みたいなことがまた起こるなんてことはないよね?私は信じ続ける。お茶の話だけど、イギリスがデジタル動脈瘤を起こして以来使われているランダムな『ID確認』の第三者たちがちゃんとしてるよね?私は信じ続ける。--- いや、私は自分のデータを銀行に渡すだけでそれで十分。あとはみんな消えてくれ。フェイスブックのことはプーチンと同じくらい信じてる。」

フェイスブックの会社自体はあまり好きじゃないけど、今回は陪審が間違った判断を下したと思う。訴状を読むと、「電子機器を使って会話を盗聴または録音した」というのは、要するに「FloがフェイスブックのSDKを使ってカスタムイベントを送信した」ってことだよね(12ページ、49項)。Floが最初にこの情報をフェイスブックに送ったことについては責められるべきだけど、フェイスブックが「意図的に盗聴した」と判断するのは全く意味がわからない。私が見る限り、Floはフェイスブックに頼まれずに生理データを送ったし、フェイスブックは特に医療やセンシティブな情報をSDKを使って送信することを禁止してるポリシーがあるんだよね。フェイスブックを訴えるのは、医者がグーグルドライブを使って患者の記録を保存してたからってグーグルを訴えるのと同じくらい意味がないよ。

だからこういう場合は陪審なしで判決を出してもらった方がいいんだよね。こういう技術的なケースは、陪審員がSDKやデータ共有、APIの詳細を理解するのは難しいから、混乱することが多い。一方で、いくつかの著名なテックのケースでは、裁判官がエンジニアリングについて深く学んだり議論したりしているのが見えるよね。

この件については同意するかな。でも、だからこそ、こういうことを常にやっている公のブランドを作っちゃダメなんだよね。無罪推定は正しいデフォルトだけど、何度も不正行為で告発されると、陪審は公平じゃなくなるよ。

FloはそのデータをFBに送るべきじゃなかった。それは本当だよ。だから和解したんだ。でも、FBはその情報を受け取った後、他の信号と混ぜて使い続けた。それがFBに対する訴えの内容だったんだ。

法的なデータを得る責任があると思う。盗まれたものを買わないのと同じだよね。Metaは、詐欺師と提携しないように責任を持つべきなんだ。Floが一番責められるべきだけど、Metaもこの事態が起こらないように自分たちの役割を果たしたことを示さなきゃいけない。(利用規約だけでは不十分だと思う。理解させる努力が必要だよね。)

フローじゃなくてフェイスブックを訴えるのは理にかなってるよ。だってフェイスブックの方がずっとお金持ちだし、陪審員もランダムな生理関連の会社よりFBを嫌う可能性が高いからね。

でも、これは話の最初の部分に過ぎないんだ。フェイスブックは、フローが彼らのSDKを通じて医療データを送信したから有罪なわけじゃない。もしただ保存していたり、フローのためにそれを操作していたら、ケースは違った結果になってたかも。フェイスブックが有罪なのは、医療データを自分たちで使って広告にしたからなんだ。合法かどうかを確認せずにね。彼らは、合法かどうかを確認する必要があることを知っていたはずなのに、確認しなかったから有罪になったんだ。

ここにいる他の女性たちには、Dripをチェックしてみてほしい。https://dripapp.org 彼らが一番安全そうだよ。

正直なところ、これは自分でホスティングしたいと思う。誰かにこのデータを預けるなんて信じられないし、そもそも男とはセックスしないからね。

妻がFloを使ってるけど、アプリを開いて情報を入力するのを見るたびに、技術的な面でちょっと不安になる。ああいうアプリはすごくプライベートな情報を扱うから、非技術者に情報セキュリティについて教育する必要性を強く感じる。

5年前、iOSアプリのエコシステムについて調査してたんだ。その一環で、いくつかの無料アプリの収益の可能性を見てた。ある開発者が子供の健康データを追跡する無料アプリを作ってたんだけど、もうかなり前のことだから、具体的にどんなデータを集めてたかは覚えてない。でも、その開発者は自分の無料アプリの経済性について自信満々で、「データが価値なんだ」って言ってた。アプリがどうなったかは知らないけど、開発者たちはユーザーのプライバシーを侵害することを知ってるみたいだね、「無料」アプリの名のもとに。だから、その後はできるだけ多くの権限を無効にするようにして、特に個人データ、特に健康データを保存するアプリは使わないようにしてる。

なんで誰もこんなサイコパス企業に自分の個人情報や健康データを渡すのか理解できない。健康データを追跡するアプリを使ったり、そういうデバイスを使ったりする理由がわからないよ。彼らの過去の行動を考えると、すべての詳細を記録していて、それが売られたり永遠に保存されたりするって考えざるを得ないよ。

おお、マークは最近何をしてるんだろう。