月経管理アプリ「Flo」が個人情報をFacebookやGoogleに提供していた問題で連邦取引委員会と和解

月経管理アプリ「Flo」が女性の健康に関する情報を、ユーザーに無許可のままFacebookやGoogleに提供していた問題で、アメリカの連邦取引委員会(FTC)は2021年1月13日に「個人情報保護の徹底などを条件とした和解に達した」と発表しました。

Developer of Popular Women’s Fertility-Tracking App Settles FTC Allegations that It Misled Consumers About the Disclosure of their Health Data | Federal Trade Commission
https://www.ftc.gov/news-events/press-releases/2021/01/developer-popular-womens-fertility-tracking-app-settles-ftc

Flo gets FTC slap for sharing user data when it promised privacy | TechCrunch
https://techcrunch.com/2021/01/13/flo-gets-ftc-slap-for-sharing-user-data-when-it-promised-privacy/

Flo Healthが手がけているiOSおよびAndroid向けアプリ「Flo」は、月経周期の予測や妊娠・出産・閉経などの情報を手軽に把握できることで人気の女性向け健康管理アプリです。しかし、2019年のウォール・ストリート・ジャーナルの報道により、Floがユーザーの許可なく個人情報を第三者企業に提供していたことが発覚してからは、ユーザーから不安の声が殺到していました。

これを受けてFTCは、法規違反の疑いでFloに対する審査を実施。問題について取りまとめた(PDFファイル)文書の中で、FTCは「Floは何百万人もの女性ユーザーに対し、排卵の周期の予測や妊娠・出産に関する情報は厳重に保護され、秘密が維持されると繰り返し約束していました。しかし、実際には女性の健康に関する個人情報を長年にわたり第三者と共有していました」と非難しています。

Floから第三者への個人情報提供は2016年2月に始まり、報道により問題が公になった2019年2月まで続いていたとのこと。また、市場調査会社のFlurryやAppsFlyerのほか、Facebook・Google・Google傘下のマーケティングサービスFabricがFloから個人情報を受け取っていたことも判明しています。

その後、パブリックコメントなどを通じて再発防止策の策定を進めていたFTCは2021年1月13日に、Floと正式に和解したことを発表。「プライバシー慣行についての独立した監査を受けること」と「健康情報を外部に提供する前にユーザーの同意を得ること」という条件にFlo側が合意したことを明らかにしました。

また、FTCが発表した(PDFファイル)和解契約書には、和解の条件として「Floは、ユーザーに対して個人情報の収集や使用、外部への開示について不実の表示をしてはならない」「個人情報が開示された場合は、影響を受けたユーザーにそのことを通知し、情報を入手した第三者に対してデータの破棄を指示しなければならない」と記載されています。

IT系ニュースサイトのTechCrunchは和解について、「金銭的なペナルティはありませんでしたが、FTCの和解案はアメリカの規制当局がこの種のプライバシー関連の通知を規定した初の事例として注目に値します」と指摘しています。

FTCの消費者保護局のアンドリュー・スミス局長は声明の中で「センシティブな健康情報を収集するアプリは貴重なサービスを提供できますが、これらのアプリは消費者が信頼できるものでなければなりません。私たちは、健康アプリの開発者が約束を守り、責任を持って健康情報を取り扱っているかを注視しています」と話しました。

また、Floの広報担当者は複数のメディアに対するコメントで、「FTCとの合意は不正行為を認めるものではなく、争議にかかる時間と費用を回避するためのものです」と強調。その上で、「FTCと和解しこの問題を解決できたことを喜ばしく思っています。和解条件の一環として要求されたとおり、私たちはコンプライアンスに関する審査を受けるとともに、ユーザーには健康データのプライバシーが絶対的に最優先されることを保証します」と述べました。