ユーザーデータを保持しなければ漏えいさせることもできない

 (seancoates.com)
2 ポイント 投稿者 GN⁺ 2024-03-29 | 1件のコメント | WhatsAppで共有

Matterとプライバシー

  • Matterという会社で技術担当副社長として働き、ユーザーのポジティブな体験を記録し、後からそれを振り返ることで幸福感を高めるアプリの開発に参加している。
  • 当初はウェルネス(Wellness)という概念に懐疑的だったが、技術によってユーザーがポジティブな体験を思い出すことで実際に幸福感を高められるという点に納得した。
  • 科学的な証拠があり、ユーザーの脳はポジティブな体験を思い出すと幸福に関わる化学物質を生成し、実際に幸福感を感じることが証明されている。

ユーザーデータのプライバシー保護

  • ユーザーの個人データをどのように扱うべきかを検討する中で、ユーザープライバシーを中核的な価値として採用した。
  • ユーザーデータに対する脅威をモデル化し、それに基づいてアプリやデータ処理システムに関するさまざまな判断を下した。
  • ユーザーデータを守ることは製品設計の土台であるべきであり、後から付け足そうとするとミスが起きやすく、あるいは不可能になり得ると認識した。

中核原則とデータ保護

  • ユーザーとの信頼構築、データ漏えいの防止、将来的な統制圧力への耐性確保のための中核原則を定めた。
  • データセンターの構築といった極端な案まで議論した末、ユーザーの個人データを一切保持しないと決定した。

ユーザーデータの処理方法

  • ユーザーがアプリで感情を評価する際、Matterのシステムはそのデータを収集せず、知ることもできないように設計されている。
  • ユーザーのデータはサーバーではなくユーザーの端末に保存され、個人用データベースに保存されていてもMatterはアクセスできない。
  • ユーザーのデータはアプリ内でのみ処理され、Matterが知ることができるのは結果だけで、その過程や内容は分からない。

ユーザー識別とデータ復旧

  • ユーザーを特定することはできず、メールアドレスすら持っていないため、データ復旧は不可能である。
  • アプリはバックアップ/復元機能を提供しており、ユーザーがデータ損失を防ぐためにこれを利用することを想定している。
  • ユーザーが自分を識別せずにデータを保存できる方法について検討しており、ベータ版終了前にアプリへ実装する予定である。

プライバシーポリシー

  • Matterのプライバシーポリシーは法的拘束力を持ち、それを順守している。
  • プライバシー保護の実装を監督することは非常にやりがいがあり、この分野について10年以上にわたり真剣に考えてきた経験がある。

GN⁺の意見

  • Matterのアプローチは、ユーザーのプライバシー保護に関する新たな基準を示している。これはデータ保護に対するユーザーの懸念を和らげうる模範的な実践と見なせる。
  • アプリがユーザーのデータをサーバーに保存せず、ユーザーの端末内でのみ処理する方式はデータ漏えいリスクを最小化する一方、データ消失時の復旧が難しいという欠点もある。
  • このようなプライバシー保護の方式は、法的要求やハッキングの試みに対する耐性を高めるが、ユーザーがデータをバックアップし管理する責任はより重くなる。
  • 類似の機能を提供する他のアプリやサービスを見つけるのは難しいかもしれず、Matterのアプローチは業界でも独特である。
  • Matterのような技術を導入する際には、ユーザー体験とデータ管理のバランスを考慮し、ユーザーデータ保護を最優先とする企業文化の重要性を認識する必要がある。

関連記事

1件のコメント

 
GN⁺ 2024-03-29
Hacker Newsの意見
  • 情報を保存しなければ漏えいしようがない、という中核的な考え方に同意する。法制度は結果ベースで、この考え方をもっと促進すべきだと思う。ハッキングされても、すべてを正しく行っていたかどうかは重要ではなく、重要なのは個人情報が盗まれたという事実だ。業界が正しいと思うことをしていたとしても、責任を負うべきだ。
  • 自分のウェブサイトではこの原則に従っている。ユーザーアカウントを持ちたくないので、何かを購入すると固有のリンクをメールで送る。ログインもパスワードも不要で、望むなら使い捨てメールアドレスも使える。買収されるときにユーザーデータについて心配する必要がない。
  • 大規模なデータストアに対するデータレジデンシー、完全性、機密性の対策には共感する。そもそも会社はそのデータを収集しないという選択もできる。「あなたのデバイスにだけ残り、私たちは決して見ない」というモデルがとても好きだ。ただし、彼らの測定システムが彼ら自身に不利に使われるという主張には疑問がある。
  • Sentinel Devicesでは、産業機械向けに「私たちはあなたのデータを保管しない」アプローチを取っている。エアギャップされた自動化AIパイプラインを考えてみてほしい。採用中なので、興味があれば hello@sentineldevices.com まで連絡してほしい。
  • B2B SaaSは、エンタープライズ価格でSSOを請求するのをやめ、IdP や Oauth/OIDC/その他のフローを必須にすべきだ。そうすればアカウント認証情報を失うリスクがない。
  • 関連する概念として Datensparsamkeit がある。
  • プライバシーポリシーでは、変更があった場合はここで更新し、発効日も更新する。(全員のメールアドレスを収集していないため、変更についてメールで通知することはできない。)ポリシー変更は遡及適用されない。
  • これは自分の考え方とよく一致している。そのせいで同僚の間では人気がなくなる。この業界全体がPIDの収集にどっぷり浸かっていて、扱いも非常に無頓着だ。ソリティアアプリですら、リーダーボードやチャレンジ参加を延々と求めてくる。
  • Mullvad は素晴らしい例で、パスワードを選ばせようとせず、現金を郵送して支払うことも受け付けている。
  • 健康データについては非常にセンシティブな話題だ。あまりにも多くのアプリがデータをあちこちに送っており、23andme のスキャンダルなどもある。Carrot Care のようなごく少数のアプリだけが優れた哲学を採用している。
  • 著者のブログ巡りのほうにさらに興味がある。とても素敵だ!