Ankerの家電ブランド「Eufy」がプライバシーに関する約束をウェブページからこっそり削除、勝手に監視カメラ映像をアップロードしていた問題発覚の直後

Ankerのスマートホームブランド「Eufy」のカメラ付きインターホンが、撮影した映像をユーザーの許可なく、暗号化していない状態でアップロードしていたことが、2022年11月に発覚しました。さらに、問題が明るみに出た後に、Eufyのページからプライバシーに関する文言が削除されていることが分かりました。

Anker’s Eufy deleted these 10 privacy promises instead of answering our questions - The Verge
https://www.theverge.com/2022/12/16/23512952/anker-eufy-delete-promises-camera-privacy-encryption-authentication

Eufy has removed privacy-focused language from its website amid ongoing security camera fiasco
https://www.androidpolice.com/eufy-removes-privacy-language/

Eufyのスマートカメラに関する一連の問題が表面化したきっかけは、セキュリティコンサルタントのポール・ムーア氏が、Eufyのカメラ付きインターホンを使用中に、カメラが撮影した映像のサムネイルやユーザー情報がクラウドにアップロードされていることに気づいたことです。Eufyは公式サイトで、「データはローカルに保存される」と約束していたことから、ムーア氏は「サイトの表記は完璧にウソです」と述べて、Eufyのページの表記は実態と異なると批判していました。

この問題の一部始終については、以下の記事に詳しくまとめられています。

Anker・Eufyブランドのセキュリティデバイスがユーザーの同意なくコンテンツをクラウドにアップロードしていたことが判明 - GIGAZINE

IT系ニュースサイトのThe Vergeは、Eufyのカメラがユーザーに無許可で映像をアップロードしていたことが発覚してから2週間が経過しても改善の動きが見えなかったことから、Eufyのプライバシーへの取り組みに関するページを確認してみました。その結果、当該ページからプライバシーに言及した文言が何の説明もなく削除されていることが分かりました。

Internet ArchiveのWayback Machineに保存された2022年12月8日時点の当該ページから削除されたのは、以下の10の記述です。

「まず始めに、私たちはあなたのデータが非公開であることを保証するために、考えうるすべてのステップを踏んでいます」「私たちの記録された映像は非公開で、ローカルに保存され、軍用レベルに暗号化されます。それを送信されるのはあなただけです」

「Eufyは、口先だけでなく行動も重んじています」

「あなただけにお見せします」「安全なローカルストレージなら、個人情報は自宅の安全な場所から離れることはなく、あなただけがアクセスできます」「のぞき見厳禁」「録画された映像はすべて端末上で暗号化され、そのまま携帯電話に送信され、あなただけが暗号を解いて映像を見ることができます。送信中のデータも暗号化されています」「全てが家の中に」

「どの映像にもオンラインのリンクは用意されていません」「視聴するにはEufyソフトウェアとアカウントを使用してクリップを復号する必要があります。他の誰もこのデータにアクセスしたり、読んだりすることはできません」

これらとは別に、よくある質問の9番目に記載されていた「映像を法執行機関と共有しますか？」という質問は「第三者と共有しますか？」に改められ、内容が大幅に削減されたほか、11番目の「Eufyが顧客情報を第三者に販売することはありますか？」に至っては、9番目の質問に統合される形で質疑が丸ごと削除されています。

今回の変更によりプライバシーに関する記述が全て削除されたわけではありません。例えば、映像をローカルストレージだけでなくクラウドストレージに保存する追加オプションがあることが明記されるなど、追記部分もあります。

また、Eufyはアプリに免責事項を追加して、「カメラのイベント通知にサムネイルを付けることを選択すると、サムネイルがオンラインに保存されること」を明示したとのこと。これはムーア氏の指摘への対応の1つだと見られています。

こうした変更について、ニュースサイトのAndroid Policeは「これらの文言の削除は、消した文言の全てが虚偽だったことを明確に認めたものではなく、将来的な問題発生に備えたものである可能性が高いことは特筆すべき点です。しかしながら、ムーア氏の主張を否定するだけ否定した後はだんまりを決め込み、プライバシーに関するスキャンダルが冷めやらぬうちに、ウェブサイトからプライバシーに関する宣言の多くを黙って削除するというのは、Eufyのためになることではないでしょう」とコメントしました。

・つづき
Ankerの「Eufy」がプライバシー問題で謝罪声明を発表するも「論点があっていないテンプレ回答」と批判されてしまう - GIGAZINE