月経管理アプリはあなたの個人情報をどのくらいFacebookに送っているのか？

by Erol Ahmed

月経の周期を理解するためのアプリを利用している人もいるはずですが、Facebookが提供する月経管理アプリが収集した情報は、ユーザーがプライバシーポリシーに同意する前から既にFacebookに送信されていることがわかりました。月経管理のアプリは生理周期からユーザーの気分、ライフスタイル、性生活の詳細など特に個人的な情報が詰まっています。これらがどのようにFacebookやサードパーティーアプリに送られているのかを、Privacy Internationalが明かしています。

No Body's Business But Mine: How Menstruation Apps Are Sharing Your Data | Privacy International
https://www.privacyinternational.org/long-read/3196/no-bodys-business-mine-how-menstruation-apps-are-sharing-your-data

さまざまなアプリ上でユーザーの個人情報がどのように扱われているのかを調べるべく、2018年にPrivacy Internationalが36個のアプリを調査したところ、61％がアプリを開くとすぐにFacebookにデータを送信することがわかりました。データの送信はユーザーがFacebookアカウントを持っているかどうかや、Facebookにログインしているかどうかに関係なく行われ、データの中には非常に機密性が高い個人データも含まれていたとのこと。

このデータ送信はFacebookのSDK(ソフトウェア開発キット)を介して行われるため、Facebookの「いいね」ボタンを埋め込んだウェブサイトや、「Facebookでログイン」を使っているアプリなど、SDKを利用したものは自動的にデータを送信することになります。

2018年にPrivacy Internationalがこのことをレポートとして公開すると、レポートに含まれる企業の3分の2はアプリを更新したとのこと。そこでPrivacy Internationalは新たに、より個人の機密データが含まれる月経管理アプリについて調査を行うことにしました。

Privacy Internationalの調査対象となったのは以下のアプリ。

・マヤ - 月経期間を記録

・Period Tracker MIA Fem: Ovulation Calculator

・My Period Tracker / Calendar

・Period tracker & Ovulation calendar by PinkBird

・生理カレンダー

・Mi Calendario by Nosotras

このうち、下から2つめの「生理カレンダー」はFacebookとデータを共有していませんでしたが、ほかの5つについてはデータ共有がみられたそうです。特に「MIA Fem」と「マヤ」はサードパーティと個人データを広範に共有していましたが、マヤというアプリはPrivacy Internationalが情報を開発元に共有すると、「FacebookのコアSDKと分析SDKの両方をマヤから削除しました」という連絡が返ってきました。一方でMIA Femの開発元からは「回答を公表しないでほしい」と連絡がきたとPrivacy Internationalは述べています。

by Eric Rothermel

それぞれのアプリがデータをどのように扱っているのかという詳細は以下の通り。

◆マヤ
マヤはGoogle Play上で500万回もダウンロードされている人気アプリ。

マヤについてPrivacy Internationalが調査してまず最初にわかったのは、マヤが「ユーザーがアプリを開いたタイミング」をFacebookに送信していることでした。「月経管理アプリを開く」という行為1つでも、ユーザーが女性であること、月経のある年齢であること、赤ちゃんを産もうとしているかあるいは生むことを避けようとしていること……といった可能性を推測することが可能です。また、アプリはプライバシーポリシーへの同意が求められますが、ユーザーが同意する前にすでにマヤはデータをFacebookに送信しはじめるため、透明性への懸念も生じます。

さらにマヤはユーザーに対して「今の状態」を入力すること求めます。血圧や、ニキビ・腫れの有無といった健康データは、入力があったときや編集があったときにFacebookへのデータ送信が行われます。また、用いている避妊方法といった、医療データ以上の個人情報もFacebookへと送信されます。

さらに幸せ、不安、わくわくしている……といった気分に関するデータも送信されますが、これは非常に大きな問題。というのも、広告主にとってユーザーがどういう気分かを理解することは、ユーザーの「弱っている時期」をターゲットにすることに役立つためです。10代の少年少女の気分が落ち込む時期を理解すれば、「集中できる」「強気になれる」というふれこみのサプリメントを販売しやすくなります。人の気分を理解することは人を操作する第一歩になります。

マヤのプライバシーポリシーには「広告主に対して個人データは公開されません」と記されていますが、同時に「個人データは私たちの広告主の希望に応じて、ターゲットとなるオーディエンスの広告に使用されます」とも書かれています。

また、マヤは他の月経管理アプリと同様に「性行為がいつ行われたか」「避妊があったか」といった情報を入力する場所もあります。そしてこの情報は数値として入力される他のデータとは異なり、人間が読み取れるデータとしてFacebookへ送られます。この点についてPrivacy Internationalは「サービスを提供するためにユーザーデータが必要なことは、私たちも理解しています。しかし、避妊具無しの性行為があったかどうかというデータと月経周期のサイクルの予測の間の関連性は理解しづらいです」とコメントしています。

by Sharon McCutcheon

加えて、マヤにはユーザーが日記やメモを書き残すセクションが存在します。ここには非常に機密性の高い情報が入力されることが予測されますが、Privacy Internationalが「ここにすごく個人的なデータが書かれている」と入力してトラフィック分析をしたところ、まるまるその文章がFacebookと共有されることが判明しました。

そしてさらに調査を進めると、これらの個人データはFacebookだけでなく「wzrkt.com」と記されるサードパーティにも送られていることが判明。wzrktは「Wizard Rocket」の略語で、2019年時点ではCleverTapという名称で知られるモバイルマーケティング会社の以前の名前です。このようなFacebookやCleverTapとの情報共有は、ユーザーがプライバシーポリシーに同意する前から始まる、ということはしっかりと理解しておくべき点といえます。

◆MIA Fem
マヤとは異なるもう1つの月経管理アプリ「MIA Fem」もまたマヤと同様の慣習を持ちます。MIA Femもユーザーに対してプライバシーポリシーへの同意を求めますが、Facebookとの情報共有はユーザーが同意する前から始まり、ユーザーがアプリを開くとデータが送信されます。また、AppsFlyerというモバイルマーケティング会社とも情報が共有されます。

MIA Femの場合、アプリを利用開始する前にアプリの使用目的を「生理周期を知ること」か「妊娠の可能性を最大化させること」から選ぶステップが存在します。これはアプリの用途からするとごく自然な質問ですが、広告主にとっては利用価値が高い質問になります。質問に対して後者の答えを選ぶと、情報がFacebookやサードパーティーと即座に共有され、ユーザーは広告のターゲットとなります。なお、アメリカにおいて平均的な人の個人データは0.1ドル(約11円)の価値がある一方で、妊娠中の女性のデータは1.5ドル(約160円)の価値があるといわれています。

他の月経管理アプリと同様に、MIA Femも生理日、生理期間の長さ、生理周期の長さが尋ねられ、データはFacebookやAppsFlyerと共有されます。

MIA Femにもデータ入力のオプションが存在し、ここでは気分や健康状態だけではなく、コーヒー・お酒・タンポンの使用など、ライフスタイルについての広範な質問が尋ねられます。Privacy Internationalが確認した時点では、このデータを選択するだけではFacebookとの情報共有は行われませんが……

「Analyze symptoms」というボタンを押すと、選択した情報に基づいたインターネット上の記事が表示されるようになります。たとえば性行為のセクションで「自慰行為」を選択すると「自慰行為：あなたが知りたいけれど恥ずかしくて聞けないこと」というタイトルの記事が表示されます。

記事が表示されるとアプリは「ユーザーにどのような記事が表示されたか」という情報と、ユーザーがアプリに入力した情報をFacebookに対して送信します。以下のトラフィック分析画面を見ても、自慰行為(masturbation)に関する記事が表示されたことが記されているのがわかります。

このほか、ユーザーのアルコール消費についてや性生活、排卵期に感じた痛みといった情報に基づいた記事が表示されていることがトラフィック分析から読み取れたとのこと。

Privacy Internationalが調査したところ、マヤやMIA Fem以外のアプリも、アプリを開いた時にFacebookにデータが送信されるようになっていたとのこと。またMi Calendarioというアプリに関しては、古いSDKを使っており、セキュリティ上の懸念もあるとPrivacy Internationalは述べています。

◆結論
まずアプリ開発者に対してPrivacy Internationalは、アプリをデザインする際にユーザーに危害を加える可能性があることをしっかりと考え、プライバシーとリスクに関する影響の評価を綿密に行うことを推奨しています。また、月経管理アプリの多くはサービスを提供する上で不要なデータ収集を行っていますが、必要なデータのみを収集することが呼びかけられました。そしてデータ共有は、サービスを提供する上で必要な相手のみと行うことが重要です。特にFacebook SDKのようなサードパーティのツールを使う際には、データ共有の設定をしっかり確認することが求められています。

by Tim van der Kuip

そしてアプリを使用する一般ユーザーについては、既存のプライバシー設定を見直すことが推奨されています。Androidの場合は「設定」→「Google」→「広告」→「広告IDをリセット」から広告IDを定期的にリセットし、iPhoneの場合は「設定」→「プライバシー」→「広告」→「Advertising Identifierをリセット」からリセットすることが可能です。また、同様に、Android上で「パーソナライズされた広告のオプトアウト」を選んだり、iOSから「追跡型広告を制限」したりも可能。各アプリに付与した権限を定期的に確認し、アプリの使用に必要な権限のみに制限することも推奨されています。

◆データの保護に関する法律
ユーザーの個人データがどのように保護されるかは、アプリの開発を行う本拠がEU内にあるか、EU圏内のユーザーにサービスを提供しているか、EU圏外に本拠を置きEU圏外の人にサービスを提供しているか、などで変わってきます。しかし、Privacy InternationalはEU一般データ保護規則(GDPR)のような高い標準は全ての人にとって有益であることから、EU圏内であるか否かに関わらず、企業などはGDPRに準拠することを呼びかけています。GDPRはデータのコントロールを行う企業に、「ユーザーに対してコントロールを行う企業の連絡先、個人情報処理の目的と法的根拠、サードパーティを含むデータ受領者の情報、基本的なデータ保護の権利などを示すこと」を求めています。