生理追跡アプリFlo、ユーザーデータをMetaに販売していた事実が確認される

 (femtechdesigndesk.substack.com)
2 ポイント 投稿者 GN⁺ 10 시간 전 | 2件のコメント | WhatsAppで共有
  • 生理追跡と妊娠関連情報を扱うFloは、プライバシー保護を掲げていたにもかかわらず、実際には月経周期、排卵、妊娠関連データをMetaなど第三者と商業的に共有していた責任が認められた
  • 機微な情報の流出は外部侵入ではなく、製品内部の設計とプライバシー判断を通じて行われ、Metaへの送信は公表されていたプライバシー上の約束と矛盾していた
  • ホーム画面と記録構造は、症状入力と助言表示を大きく増やす方向に変わり、単純な周期追跡より広告と収益化に有利な形に見える
  • HIPAAの外側にある wellness アプリの構造では、同意と保護基準が不明確になりやすく、アプリ事業者がデータ共有や販売範囲を広く定める余地が大きかった
  • 数百万人が使う生殖健康アプリ市場では、より少なく収集するツールを選ぶ選択肢の重要性が高まり、同意なく広告販売を優先したデータ収集は派生情報の信頼性まで揺るがしかねない

データ共有と法的判断

  • Floはユーザープライバシーを保護すると案内しながら、機微な健康データをMetaに販売した件で責任が認められた
  • Frasco v. Flo の陪審評決では、Floアプリが月経周期、排卵、妊娠関連情報をMeta、Google、Flurryのような第三者に商業的に共有していた事実が明記された
  • Metaは機微な生殖健康データを収集し、自社の利益に活用した責任が認められた
  • 訴訟には1,300万人のFlo利用者が原告として含まれ、米国とカナダで2021年から関連訴訟が続いている

ハッキングではなく製品設計だった

  • 第三者プラットフォームがアプリに侵入したのではなく、Flo内部のプライバシー判断を通じて機微な情報が直接渡された
  • アプリには秘密裏の "eavesdropping" ツールが組み込まれており、月経周期、排卵、妊活の有無といった情報がMetaへ渡っていた
  • こうした送信は、プライバシーポリシーでそうしないと述べていた内容と矛盾していた
  • 収益化のための track-and-sell データ共有が、実際の動作により近かった

製品UXと収益化の方向性

  • pinkwashing された femtech デザインは、非倫理的な製品判断を覆い隠す役割を果たしうる
  • Floのホーム画面はアップデートを経るごとに複雑で混雑したものになり、症状記録と助言表示が周期追跡そのものを覆い隠すほど大きくなった
  • 症状項目が前面に配置され、ネガティブな身体状態をより多く入力させる構成が目立った
  • Flo-Meta訴訟の文脈では、この構成は症状緩和商品の広告と結び付きやすく、単純な生理カレンダーより収益化の余地が大きかった
  • 個人的被害に関する最近の評決 が出たプラットフォーム事情とも重なり、こうした広告中心設計はいっそう不快なものとして浮かび上がる

HIPAAの外側にあるグレーゾーン

  • HIPAAと wellness アプリの間の隔たりにより、非臨床の健康追跡ソフトウェアでは同意とプライバシー保護が非常に不明確になっている
  • Floは法的争点となった2016年から2019年の間にプライバシーポリシーを13回変更したが、利用者の同意を実質的に明確にすることはできなかった
  • 現在市場にある多くの reproductive health tech は、臨床サービスや医療従事者とのコミュニケーションに直接つながっておらず、現行の健康情報保護法の適用外に置かれやすい
  • その結果、アプリ事業者がデータ共有、販売、政府機関への報告ポリシーを広く定めることになり、製品内の同意設計も内部判断に大きく左右される
  • この構造では、非常に機微なデータを扱いながらもずさんな同意パターンが出荷され続けうる

責任主体と組織上の問題

  • 今回の件は外部攻撃というより、法務、デザイン、エンジニアリング、営業を含む内部の役割が結びつき、利益のために利用者を犠牲にした構造に近かった
  • 2016年から2019年の間のFloの正確な人数や直接責任者を特定するのは難しいが、当時の運営規模は比較的小規模な組織として描写されている
  • その少人数が、世界中の数百万人の利用者に関する機微な健康データの収集、保存、共有と、その方針の伝え方まで決めていた

消費者の選択と健康データ収集の限界

  • 法規制は技術に追いつく速度が遅く、とりわけ女性の健康データ収集拡大の流れではその空白がより大きく感じられる
  • 女性の健康に関するデータ格差を縮めようとする目標は妥当だが、臨床的統制の外にある民間企業にどこまで信頼を置けるかは依然として問題だ
  • ここに生成AIベースの健康助言まで加われば、利用者保護義務を迂回するアプリ構造の中でデータ品質と生成結果の信頼性も同時に揺らぎうる
  • 直接の同意なしに第三者向け広告販売を優先した収集方式で集められたデータであれば、その派生結果も信頼しにくくなる
  • 米国女性の3分の1超が生理追跡アプリを使っており、EUでも同程度の利用率が reported されているうえ、現在では数百の周期追跡アプリと、他の健康アプリやウェアラブル内蔵トラッカーまで選択肢が広がっている

より少なく収集するツールへ移行

  • かつて市場で珍しい選択肢だったFloとは異なり、今では機能を絞り、データ収集を最小化したアプリを選べる余地が大きい
  • WildAI は自慰の有無のような詳細情報を尋ねないため、そうした情報が大手テック企業へ渡る余地も作らない
  • 性的な自己記録を細かく残すことは、とくに post-Dobbs 環境 と緩いデジタルプライバシー基準の下では、リスクに見合う健康上の利点が十分あるのかを改めて考える必要が高まっている
  • 成人向け機器そのもののプライバシー侵害懸念まで重なる中、接続機能のない、より単純なツールの方がむしろよい選択に見えることもある

関連記事

2件のコメント

 
unsure4000 8 시간 전

最近はMetaが少しはマシに見えてきていたのに、Metaへの怒りをまた補充して帰ります。
少し別の話ですが、最近のOSのlockdownもMetaがロビー活動した結果だという話もありましたが……創業ストーリーからその後の一つひとつの行動まで、本当に倫理観なんてかなぐり捨てたようですね
 
GN⁺ 10 시간 전
Hacker Newsのコメント

  • このアプリは、誘拐組織に位置情報を売って5セントでも余計に稼げるなら、そうしていただろうと思う。
    プライバシーやユーザー利益を本気で守るアプリなんて、実際ほとんど存在しないと思う。

    • 私がprivacy productsで働きながらいつも言おうとしているのもそれ。
      データが他人のサーバーに載っているなら、相手がいつか必ず何らかの形で活用すると仮定すべき。
      会社の立場からすれば、sqlite DBの中に文字通り金塊のようなデータがあるのに「このクエリはやめておこう」と言うのは、ビジネス的に成り立たない。
    • そういう例外は一応ある。
      FOSSなら可能。
    • Appleがユーザー向けのプライバシー制御をかなり入れてきたのは事実ではあると思う。
      だから少なくとも一部のアプリは気にしているようにも見える。
    • 結局、見つかるリスクと発覚時の処罰の重さが利益を上回るようになるまでは、そういうことをやめないだけ。
      GDPRのようなデータ保護法を執行する機関がちゃんと機能していれば、アプリ開発者も何を入れてどこへデータを送るか、もっとずっと慎重になっていたはず。
      でもそうした機関があまり有効に動いていないせいで、今では主要アプリごとに2,000万ドルの罰金を科しても大体妥当なくらい、慣行化してしまったと思う。

  • こういうアプリを使う環境は持っていないが、なぜこれがどうしてもサービス中心のアプリである必要があるのかは疑問。
    健康情報を追跡するのに、サーバーが必須な機能が何なのかわからない。

    • サーバーが必要なのは監視の部分。
      GrapheneOSならアプリごとにインターネットアクセスをオン・オフできる。
    • このアプリ自体はよく知らないが、サービス型ならデバイス間同期や信頼する相手とのデータ共有のような、かなり便利な機能は実現できる。
    • もっと良い収益モデルだからという可能性が高い。
      データをサーバーに送り、アプリに広告を出し、デモグラフィックデータを再販売するほうが、インストール料金だけ取るよりはるかに儲かる。
      この分野にはサーバー不要で、Metaに電話するみたいにデータを送りつけず、もっと安いアプリもほぼ確実にあるだろうが、マーケティングはそこまでうまくない可能性が高い。
      スタートアップ界隈での経験からすると、この開発者はおそらくマーケティングキャンペーンのインストール追跡をしたかったか、Metaライブラリの機能が必要で入れたものの、その副作用を知らなかったか気にしていなかった可能性が高い。
    • 私のパートナーはこの記事で扱われているFloを使っていて、データを私と共有するために私もアカウントを作ってある。
      やろうと思えば、ローカル暗号化付きのP2P同期や、サーバーを経由してもE2Eで処理することもできたはず。
      いまだにE2Eがないのは少し驚きだが、もう驚くことでもない気もする。
    • こんなひどいモバイルOSエコシステムでなければ、もっとまともなアプリが出ていたはず。
      それなのに人々はOSの「現代的」なセキュリティを持ち出す。
      実際にはこういうデータ漏えいこそ、セキュリティ問題のほぼ最悪の事例だという点を無視している。

  • これはもう数年前からわかっていた話ではないかと思う。
    生理追跡アプリのプライバシー侵害は2021年までさかのぼる詳細な記録があり、Metaとの関係についてもすでに取り上げられていた。
    Meta ‘eavesdropping’ on Flo exposes how period apps are a data… | TBIJ

  • もう正直、何とも思わない側に近い。
    トロントでは、隣のコンドミニアム内部を24時間録画してインターネットで生配信しても、住人は気づかないままになり得るし、実際に誰も執行しないことが明らかになった。
    だから今ではprivacy nihilistになっていて、誰の情報でも常に悪用されると前提している。
    他の人もそう考えるほうが正しいと思う。

    • カナダ法は詳しくないが、米国も似たようなもの。
      公共の場所にいるか、公共の場所にいる人から見えるなら、合理的なプライバシー期待はないとされる。
      パパラッチが成り立つのもその理屈。
    • 諦めは良い対応ではない。
      他人にも一緒に無感覚になれと言うのは、なおさらよくない。

  • drip source
    2019年からあり、最後の更新は2か月前。
    iOS、Android対応でReact Native製。

    Mensinator source
    2024年からあり、最後の更新は2週間前。
    Android、Kotlinベース。

    Menstrudel source
    2015年からあり、最後の更新は3週間前。
    iOS、Android対応でDartベース。

    Tyd source
    2023年からあり、最後の更新は2年前。
    iOS、Swiftベース。

    それと誰かが、**ORCHA 92%**を取った非公開の代替として https://www.my28x.com/ も教えてくれた。

    私がいちばん見たいのはデータ形式の標準
    データを持って他のアプリへ簡単に移れるようにすべきだし、非倫理的なアプリだったり、気に入っていたOSSアプリの更新が止まっても、乗り換えが簡単であるべき。
    いくつかのアプリはエクスポート機能を持っているので、人気のあるクローズドなアプリ群と共通データ構造をつなぐコンバーターが出てくれるといい。

    • あ、今ちょっと書き間違えた。
      Menstrudeは2015ではなく2025からだった。

  • Metaは広告収益のことしか考えていないのだから、女性の周期と購買パターンの関連を研究していたか、すでに見つけているのではないかと思う。

    • Metaが広告収益しか気にしていないという前提には同意できない。
      あいつらはどんな収益でも取れるなら取りに行くと思う。
      同じデータをPalantirやRFK Jrの保健省みたいなところに再販売することだってあり得る。
      生理が何回か飛んだあと急にまた始まったら、違法中絶だと決めつけてSWAT突入にまでつながる、みたいなシナリオも十分想像できる。
    • 冗談なのかと思う。
      関連性なんてごく些細なレベルでもいくらでもある。
      いちばんわかりやすい例として、生理が止まれば妊娠や更年期かもしれず、そうなれば特定の女性衛生用品の購入も一緒に止まる可能性が高い。
    • これはずっと昔からある話。
      https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

  • Privacyguidesにはプライベートな健康アプリのおすすめがある。
    https://www.privacyguides.org/en/health-and-wellness/#menstrual-cycle-tracking

  • 最後のオーガズムの時点のような情報がMark Zuckerbergのチームに渡ると思うと、本当にぞっとする。
    私の素人読みでは、標準的なad-tech監視パイプラインにアプリを接続しておき、ユーザーの生理記録や妊娠モードへの移行のような概念をMetaのターゲティングプラットフォームに送り、広告収益を高めていた事案に見える。

    もう今では、Flo経営陣が誰だったのか、取締役会やCレベルがどんな業界バックグラウンドだったのかまで見たくなる。
    相関関係は因果関係ではないとはいえ、どんな背景がこうしたプライバシー侵害につながるのか気になる。

    私の偏った限定的なAI補助調査によれば、この違反行為は2016年6月から2019年2月まで続き、会社は概ねサブスクリプション型の消費者向けアプリでありつつ、HIPAAの外側にある非規制市場を狙うヘルスケア隣接ビジネスとして設計されていたようだ。

    投資家は、広告ベースの成長ループが付いたconsumer subscription apps寄りの性格で、
    事業モデルは無料またはfreemiumアプリをMeta・Google・TikTokの広告プラットフォームからの有料流入で伸ばし、
    広告費最適化のためにコンバージョンイベントを再びそれらのプラットフォームへ返送する必要があり、
    そのSDKはデフォルトで可能な限り多くのデータを吸い上げるよう設計されていた。

    違反期間中はPrivacy/Data Protection C-levelの役員もいなかったように見える。

  • HIPAA非準拠アプリが、どうして医療データ並みのプライバシーを守ってくれると思うのかわからない。
    Floがユーザーの信頼を裏切ったのは確かだが、その信頼自体が最初から置き所を間違えていたようにも見える。

    • 人々はもともと強く規制された市場で暮らすことに慣れている。
      スーパーでレタスを買うとき、このレタスがどの規制体系の下で売られているかなんていちいち聞かない。
      単に食料品店で売られている食品なら、社会的基準を満たしていると信じる。
      Amazonで生肉を配達してもらっても、基準は満たしていると思うようなもの。
      ところがウェルネスアプリは、人々が連想する規制体系の外側に存在するよう設計された製品だというのが問題。
    • 多くの人はHIPAAが何かすら知らない。
      技術に慣れた私たちから見ればナイーブに見えても、curated app storeに載っている医療関連アプリなら、医療情報にも安全だと自然に思い込む。
    • 人々はただ記録したいだけなので、利用規約もHIPAA準拠かどうかもあまり見ない。
      こうしたアプリが広まるのは、アプリストアでの露出、推薦、口コミのおかげであって、規制の細部が理由ではない。
    • AppleとGoogleが私のデータは安全だと言っているのだから、アプリも安全だろう、HIPAAって何、そう考える人が半分以上はいそう。

  • 生理をしないので私が最適な人間ではないが、FloのしっかりしたFOSS代替は本当に必要に見える。
    GNUに女性がもっと多ければ、もう存在していたかもしれない。

    • 現在あるFOSSオプションを簡単にまとめてある。
      https://news.ycombinator.com/item?id=47936103
    • Dripのような類似のFOSSアプリは以前からF-Droidにあった。
    • https://www.my28x.com/
      最近この創業者の発表を聞いたが、無料でローカル中心ではあるものの、OSSではないようだ。
      ORCHA評価は高いが、このビジネスモデルを維持できるかどうかはもう少し様子を見たい。
    • https://news.ycombinator.com/item?id=47934116
    • ビッグテックがプライバシーを尊重しない例を、あと何回見ればいいのかと思う。
      もはやほとんど喜劇のように感じる。
      ビッグテックが女性の周期まで追跡するのかって? 当然やっているだろうと思う。
      これだけで十分に気持ち悪いと感じて真剣に代替を探さないのなら、何がきっかけになるのかわからない。