Meta、Floアプリで女性の健康データに同意なくアクセスしたと裁判所が判断

 (malwarebytes.com)
1 ポイント 投稿者 GN⁺ 2025-08-15 | 1件のコメント | WhatsAppで共有
  • Metaが女性の月経・健康管理アプリFlo Healthから、ユーザーの同意なしに機微なデータを収集していたと裁判所が判断した
  • Flo Healthはユーザーの月経周期、気分、性生活に関する情報など非常に個人的なデータを収集しており、2016年から2019年までFacebook、Googleなど複数の第三者と共有していた
  • Flo Healthはユーザーにプライバシー保護データを共有しないことを約束していたが、実際には第三者がそのデータを別の目的で自由に利用できるようにしていた
  • これを受けて米連邦取引委員会(FTC)はFlo Healthに対し実態調査とポリシー改善を命じ、Flo HealthとGoogleはすでに和解した一方、Metaは最後まで和解しなかった
  • 近年の米国における中絶の権利を巡る問題とも重なり、女性の健康データにおけるプライバシーリスクがいっそう注目されている

MetaがFlo Healthアプリ利用者データを無断収集した事件の概要

  • 米国の陪審は、Metaが女性向け健康追跡アプリFlo Healthを通じて、ユーザーの機微な生殖健康情報を同意なく収集していた事実を認定した
  • Flo Healthは2015年にベラルーシで始まり、女性の月経や健康状態など非常に詳細で個人的なデータを追跡できるよう設計されたアプリで、世界で1億5,000万人以上が利用している

Flo Healthのデータ収集と共有の方法

  • Flo Healthの利用者は、月経日、気分の変化、避妊方法、性生活の満足度、妊娠計画などきわめて私的な質問に定期的に回答していた
  • アプリはユーザーが入力したデータを外部と共有せず、サービス提供に必要な場合に限って一部のデータだけを関係企業に提供すると明示的に約束していた
  • しかし2016年から2019年にかけて、Flo Healthはこうした個人情報をFacebook(現Meta)、Google、AppsFlyer、Flurryなどに広く提供していた
    • アプリを起動するたびにアクセス記録が残り、アプリ内のあらゆる利用行動が記録されて外部へ送信されていた
    • 第三者はその情報をサービス提供目的以外の用途にも利用できた

Flo Healthのポリシーと信頼の問題

  • Flo Healthは利用者に信頼プライバシー保護を約束していたが、実際には第三者によるデータ利用を制限する規則やガイドラインが一切なかった
  • アプリの利用規約では、外部パートナーがFlo Health利用者のデータの一部を自由に活用できるよう許可していた
  • 2020年時点で、Flo Healthは1億5,000万人のユーザーに対し「個人データ保護を最優先にする」と明記し、信頼を促していた
広告

法的責任とFTCの措置

  • 実際の利用者であるErica Frascoは2021年、Flo Healthおよび関連企業(特にMeta)を相手取り集団訴訟を提起した
    • プライバシー侵害、契約違反、不当利得、医療情報法違反などが主な争点となっている
    • 損害賠償と不当利得の返還を求めている
  • Flo HealthとGoogleはすでに原告と和解したが、Metaは最後まで和解せず訴訟を続けた
  • 陪審は、Metaが電子機器を用いて会話を傍受または録音し、ユーザーの同意なしに行動していた点を認定した

事案の社会的背景と示唆

  • 米連邦取引委員会(FTC)はFlo Healthに対し、ポリシーの外部監査や個人情報の不正利用禁止などの是正命令を出した
  • 2022年に米連邦最高裁が中絶の権利を取り消して以降、女性の健康データのプライバシーはさらに重要な問題として浮上している
  • Metaは2022年、警察の捜査に協力して、ある女性とその2人の娘の間の中絶に関するメッセージのデータを提供したことで追加の論争を招いた
  • ProPublicaの報道によると、オンライン薬局もGoogleなどと機微な情報を共有しており、法的証拠として利用されるリスクがある

結論とセキュリティ意識への警鐘

  • 多くの利用者がFlo Healthを信頼していたが、実際のデータ処理の実態が明らかになった後、信頼喪失が深まった
  • この事案は単にアプリ利用を控えるべきだという話にとどまらず、個人の健康データ全般におけるプライバシーと技術への信頼性の問題を提起している
  • 技術は利便性をもたらす一方で、データが不正利用されればユーザーに現実的な危険をもたらし得る

関連記事

1件のコメント

 
GN⁺ 2025-08-15
Hacker Newsのコメント

  • Facebookという会社自体は好きではないが、今回の判決は誤った結論だと思う。訴状の内容を見ると、「電子機器を使って盗聴または録音した」という部分は、実際には「FloがFacebook SDKを使ってカスタムイベントを送信した」という意味だった。Floがこのような情報をFacebookに送ったことは非難されるべきだが、Facebookが「故意に盗聴した」と認定したのはまったく筋が通らない。私の見る限り、Floが月経データをFacebookに依頼もなく自発的に送り、FacebookはSDKを通じた機密情報の送信を禁じるポリシーまで持っていた。Facebookを訴えるのは、ある医師がGoogle Driveに患者データを保存したからGoogleを訴えるのとまったく同じ理屈だ

    • 関連訴訟文書

    • Facebook SDKポリシー文書 6ページ1行目

    • [1]を基準に見ると、当初は被告がFloだけだったので、Facebookに対する主張が含まれていなかったのは当然だ。しかし、修正訴状(3)にはFacebookに対する新たな被告主張が含まれている。修正訴状によれば、Facebookはその事実が2019年に公になった後も2021年までその行為を続け、FloがFTCによってやめさせられた後や、議会調査が始まった後でさえ、すでに不正に収集したデータを確認したり破棄したりしなかったことが問題として指摘されている。また、証拠開示の過程で、Facebookがどのデータをどの程度認識していたかについて、さらに具体的な証拠が出てきたはずだと考えられる

    • これは話の一部にすぎない。Facebookが単にFloの送ったデータを保管するだけだったり、Floのためにだけ使っていたりしたなら状況は違っていただろう。問題は、Facebookがこの医療データを広告目的に利用し、それを合法的に使えるかどうかを自ら確認しなかったことだ。確認すべき義務があったにもかかわらず、その手続きを踏まなかったために有罪判決が出たのだ

    • FloがFacebookにそのようなデータを送ったのは明らかに誤りだ。だからFloは訴訟で和解することになった。しかしFacebookは、この情報を受け取った後、単に積み上げておいたり無視したりしたのではなく、自分たちの他のシグナルとこのデータを組み合わせて活用した。この点がFacebookに対する訴状の核心として盛り込まれていた

    • それが合法なデータかどうかを確認する責任があると思う。盗品を買わないのと同じように、Metaも犯罪者と提携しないよう注意すべきだ。Floの過失が最も大きいが、Metaも十分な注意を払ったことを示す必要がある。単なる利用規約だけで責任を免れることはできず、ユーザーがその内容を必ず理解できるようにすることが重要だ

    • この種の事件では、陪審裁判より裁判官の判断のほうがはるかに望ましい。SDKやデータ共有、APIのような技術的な詳細を一般の陪審員が正しく理解するのは難しいからだ。一方で、高度な技術訴訟では裁判官が積極的にエンジニアリングの知識を学び、深く議論することが多い

  • 法廷でFacebookと対峙するたびに思い浮かぶのは、小さなネズミがホッキョクグマに挑む姿だ。あるいはゴブリン対ドラゴン、ハエ対ゾウのような感じだ。こうした巨大企業は、ほとんど法の統制を受けない怪物に近い。彼らが実際にストレスを感じる唯一の場面は、市場シェアを失う危険があるときか、特定地域で遮断されるリスクがあるときくらいだ

    • こういう話を聞くと誤解するかもしれないが、実際にはこうした巨大企業は法の外側ではなく内側にいる。なぜなら、資金力と影響力によって法の境界そのものを自分たちに都合よく調整できるからだ。法がどう適用されるべきかという叫びがどれほど大きくても、彼らがそのコストを負担できる限り、「合法」の範囲に入ってしまう

    • 私をいちばん憂鬱にさせるのは、私の知るほとんどすべての人がこうしたプライバシー問題を心配しながらも、依然としてMetaのアカウントを維持していることだ。自分の基準で問題ないから使うというのは構わない。人が失敗するのは当然だ。しかし、自分の信念には厳格なのに、他人を評価するときには妙に融通が利かない態度は本当に奇妙だ。人は好きだが、ときどき本当に理解しがたい存在だと思う

    • 結局、被害者1人あたり3桁の罰金を科すだけでも、Facebookには相当な圧力になるはずだ

    • みんなFacebookだけを責めていて、立法者や裁判所を非難しない空気がある。実際、こうした問題で数十億ドル規模以上の罰金が科され、政府がFacebookのオフィスからサーバー、椅子、プロジェクターに至るまで全部競売にかけて現金化しなければならないほどであれば、ほかの企業もすぐに違法行為をやめて振る舞いを改めるだろう

  • 記事をきちんと読んだ人は多くないようだ。実際に悪かったのはFloアプリだ。アプリ開発者がユーザー情報を制限なくMetaに送っていたことが問題だ。判決がどうであれ、本当に悪いのはFloだ

    • Floはオンラインデータベースに機微情報をアップロードした点で悪い。Metaもまた、このような個人情報データベースのインフラを提供した点で悪い。どちらも道徳的に非難されるべき行為だった

    • 情報をMetaが制限なく受け取っていたのだから、Metaが当然アクセスできてしまう。データを利用する権限がないなら、Metaがまず明示的な許可を得るよう求めるのが当然だ。Metaが事前同意なしにアクセスする現実こそ問題だ

  • 5年前にiOSアプリのエコシステムを調べながら、無料アプリの潜在的な収益構造を見ていた。ある開発者は子どもの健康データを追跡する無料アプリを公開していたが、そのデータ自体がアプリの価値だという認識を持っていた。アプリの将来的な収益性も結局はデータ販売にあると自信を見せていた。それ以来、私は自分の個人情報、とくに健康データを保存するアプリは絶対に使わず、可能な限りすべてのアプリ権限を無効化すべきだという考えを固めた

    • いったいなぜ自分の個人情報や健康データをこんなサイコパス企業に渡すのか理解できない。健康データを記録するアプリやウェアラブル機器をなぜ使う必要があるのか、その背景が不安だ。こうした企業の過去の行動を考えれば、あらゆる詳細を記録して永遠に売りさばき、保存し続けるものだと想定すべきだ

  • 結論としては、アプリを使わないのが答えだ。95%の場合、彼らが要求するプライバシー侵害を受け入れるほどの価値はない

    • Mozillaが月経記録アプリを比較調査した資料がある。その中には、ユーザーのプライバシーを守ろうと努力しているアプリもある

    • インターネット接続が本当に必要なソフトウェアなら、開発者がその理由と妥当性をまず証明すべきだと思う

    • 詳しくない立場だが、単に位置情報のような権限を切るだけでこの問題を解決できないのだろうかと疑問に思う

    • 残念だが、これが現実だ

    • その通りだ。ユーザーは「新しい無料機能!」というマーケティングにいつも同じように引き寄せられる。その結果、侵襲的なビジネスモデルが繰り返し成立してしまう構造になっている

  • 女性に勧められるアプリとしてDripがある。

    • Drip公式サイト

    • セキュリティが最も高そうに見える

    • 実際には、こういうものは自分でホスティングして直接管理するのがいちばんいいと思う。誰にも預けたくないデータだ。ちなみに私は男性と性行為をしないが、それでも気になる

  • 妻がFloを使っている。アプリを開いて情報を入力するたびに、技術的な観点から見てこれは非常に危険だと感じる。こうしたアプリは本当に機微な情報を扱うので、非技術者の一般ユーザーに対して情報セキュリティの重要性をもっと伝える必要性を痛感する

  • だから私は、スマートフォンにはほとんどアプリを入れないか、入れても最小限にとどめる方針を守るようになった。もちろんウェブサイトやWebアプリも同様に情報を共有し得るが、基本的にはシステムへのアクセス権を減らすことから来る心理的な安心感がある。個人的には、LinkedInがこれまで見せてきたさまざまな振る舞いを考えると、いまだにアプリストアに残っているのが不思議なくらいだ

  • プライバシー関連のニュースでMetaが関与していないものを見つけるほうが難しい

    • Google、Microsoft、Amazonもこうした状況を歓迎していると思う

  • 結局のところ、VP級の幹部が刑務所に入るような事態になって初めて何かが変わるのだろう。もちろん、現実的にはほとんど可能性はないが