Oura、ユーザーデータに対する政府要求を受けていると明かす
(this.weekinsecurity.com)- Oura ring は、心拍数、睡眠、月経周期、位置情報のような機微な健康データを収集しており、サーバー保存の構造が外部からのアクセス可能性を左右する
- Ouraのデータは エンドツーエンド暗号化 されておらず、一部の従業員がアクセス可能な方式で保存されているため、令状、奪取された鍵、内部不正のリスクにさらされる可能性がある
- Ouraは政府からの要求は まれ だと述べ、合法性・範囲・必要性を検討するとしているが、要求件数や提供頻度は公開していない
- 2013年の NSA監視スキャンダル 以降、多くのテック企業が半年ごとの透明性レポートを出してきたが、Ouraは8か月が過ぎても公開の約束を示していない
- 累計550万台以上を販売したOuraが顧客の信頼を維持するには、政府によるデータ要求に関する 集計数値 の公開が必要だ
Ouraのデータとアクセス構造
- Oura ringは指に装着する 健康モニタリングウェアラブル で、心拍数、睡眠パターン、月経周期、位置情報などの機微な健康データを収集する
- ユーザーデータはOuraのサーバーに保存され、製品およびサーバーの設計方式によって政府やハッカーによるアクセス可能性が変わる
- OuraはDepartment of DefenseおよびPalantirと契約した後、ソーシャルメディアで論争に巻き込まれ、一部の顧客は自分のデータがTrump政権に渡る可能性を懸念した
- Ouraは現在、主要な健康テックウェアラブルメーカーの1社であり、IPOを控える中で 企業価値が110億ドル超 と評価されている
- Ouraは IPOに向けた非公開のドラフト登録届出書の提出 を発表しており、ユーザーデータへのアクセス統制に対する責任もさらに重くなっている
エンドツーエンド暗号化の不在
- Ouraのデータは エンドツーエンド暗号化(end-to-end encryption) されていない
- ユーザーの健康データは、ringからスマートフォンアプリを経てインターネットを通り、Ouraのサーバーに到達する過程の特定の地点で復号され得る
- Ouraは、ユーザーデータを一部の従業員がアクセスできる方式で保存していることを認めている
- この構造では、令状を持つ検察官、奪取した鍵を持つハッカー、悪意のある内部者もデータにアクセスできる可能性が生じる
- これらの可能性のうち、政府からの要求は実際に存在するとOura自身が認めている
Ouraが認めた政府のデータ要求
- Ouraは政府から まれな要求(infrequent requests) を受けていると明らかにした
- 各要求は「合法性、範囲、必要性」の基準で検討される
- 要求が有効でない場合、過度に広範な場合、または会員のプライバシー保護の約束と一致しない場合、Ouraは異議を唱えるとしている
- しかし、要求件数、ユーザーデータ提供の頻度、要求されるデータの種類は公開していない
- Ouraは記事執筆時点の直近で 累計550万台超のringを販売 しており、顧客基盤の規模は大きい
透明性レポートと公開の遅れ
- 多くのテック企業は2013年の NSA監視スキャンダル 以降、政府要求の件数を半年単位で集計して公開し始めた
- こうした公開は、企業が政府から要求を受けるとユーザーデータを大量にひそかに引き渡しているという疑念に対応するための方法だった
- Ouraはこれまで透明性レポートを発行してこなかったが、「セキュリティを維持し、会員にリスクを生じさせない形で集計データを共有する方法を積極的に評価中だ」と述べたことがある
- その後8か月が経過したが、透明性レポート公開の有無や要求件数公開の約束は示されていない
- 最近の再問い合わせと複数回の追跡メールにも、Ouraは回答していない
顧客信頼のために必要な公開
- 要求件数がなければ、Ouraが政府のデータ要求をどれほど頻繁に拒否しているのか、実際に拒否したことがあるのかを把握するのは難しい
- 機微な健康データがサーバーに保存され、一部の従業員がアクセス可能な構造では、政府要求の統計公開は顧客の信頼と直接結びつく
- Ouraが顧客の信頼を得る、あるいは維持するためには、他のテック企業のように政府によるデータ要求に関する 集計数値 を公開すべきだ
1件のコメント
Hacker Newsのコメント
イリノイ州には強力な生体情報プライバシー法がある。
たとえばテキサスの警察署がイリノイ州民の保護対象情報を照会できないようにすることについて、Ouraが特別に気を配っているようには思えない。
https://en.wikipedia.org/wiki/Biometric_Information_Privacy_...
「以前のブログで、Ouraのデータはエンドツーエンド暗号化されていないと明らかにした。つまり、Ouraユーザーの健康データはリングからスマホアプリを経由し、インターネットを通ってOuraのサーバーに到達するまでのどこかの時点で復号されうるということだ」
かなり妙だ。エンドツーエンド暗号化と転送中の暗号化を混同しているように見える。
メッセージは送信元で暗号化され、宛先でのみ復号されるので、その間のどこでも暗号化されたままだ。
転送中には暗号化されているように聞こえるし、この20年ほどはその程度がほぼデフォルトだ。「移動中のどこかで復号される」という説明は、非技術系の読者に2つの方式の実際の違いを説明するには十分妥当だ。
おそらく各転送区間をそれぞれ別個のエンドツーエンドIP交換として見ているのだろうか。
サーバーを仲介者として使うメッセージアプリでは、E2EEは2人のユーザーだけが内容を見られ、仲介する企業のサーバーは見られないことを意味する。Ouraの場合はユーザーと企業サーバーしかないのに、多くの人はSignalやWhatsAppのサーバーがE2EEのためにデータを読めないのと同じように、Ouraも読めないと想定している。マーケティングはたいてい、こうした誤解を許容するか助長する。
ただしOuraがE2EEを主張するなら、ユーザーとサービスの間のインターフェース、つまりリング、少なくともアプリ側で暗号化を強制し、データは反対側であるOuraサーバーでのみ復号される必要がある。この2つのエンドポイントの間のどこかでデータが復号されるなら、それはE2EEではない。
月6ドル払って連邦機関に監視されている人みたいだ。
でも心配はいらない、彼らはトークンを赤字で売っているのだから、このデータ販売は重要ではない、という話らしい。
学習に使われない私のデータは、私がお金を払って、彼らが私から搾り取れるようにする仕組みであるべきだということか。
これらすべてを考えても、店で買ったスマートTVの**自動コンテンツ認識(ACR)**のほうがもっと心配だ。
ユーザーは気づきもしないのに、TVが視聴したものをすべて本部に送信している。
政府が私の心拍数と血中酸素データでいったい何をするのかと思う。
「スミスさん、また走ってますね。連れてきて取り調べだ!」
付け加えると、政府がデータを要求しているのだから、明らかに何かに使ってはいるのだろうが、それが何なのかわからない。
テック企業がベンチャー投資家に話すときは、「集計データとAIであらゆる不気味な推論を行い、ターゲティング広告収益を最大化できるから、同業の非テック企業より50倍の価値がある」と言う。
ところが顧客に話すときは、「プライバシーを心配するなんて純朴ですね、孤立した変数ひとつに何の価値があるんですか?」となる。
この単一の変数ひとつで、いったい何ができるというのか?
悪意を持って振る舞う気さえあれば、可能性はいくらでもある。
健康状態が悪ければ保険料を上げることもできるし、私が思いつかないもっとひどいこともありうる。
だからApple Watchはすごく好きというわけではないが、ほかは使わない。
健康データは非常にセンシティブで、それを預けるに値する企業はAppleだけだと思う。完璧ではないが、他社と比べれば勝負にならない。
連邦機関が顧客データにアクセスできないようにする最善の方法は、そもそもデータを収集しないことだ。
むしろある程度の同期はサポートしてほしいくらいだ。同じアカウントに接続された2台の端末間でさえ、健康情報を移すにはサードパーティアプリが必要になる。
AppleもOuraと同じ法律の適用を受ける。競合他社も同様だ。
Appleは優れた広報、あるいはプロパガンダ部門のおかげで、多くの人にAppleがプライバシーを尊重していると信じ込ませてきた。実際にはそうではない。Googleより「まし」だとしてもほんのわずかで、現実的にはほとんど差がない。
「Appleは、英国政府がユーザーデータへのアクセスを要求したことを受け、英国の顧客から最高水準のデータ保護ツールを削除するという前例のない措置を取っている」
https://www.bbc.com/news/articles/cgj54eq4vejo
英国で起きたことなのだから、米国でもそう遠くないだろう。
米国でもある: https://www.bbc.com/news/technology-36084244
フランス、ドイツ、オーストラリア、ブラジル、日本でもある: https://www.apple.com/legal/transparency/pdf/requests-2024-H...
ロシアでもある: https://www.bloomberg.com/news/articles/2019-02-04/apple-fil...
中国でもある: https://www.article19.org/resources/apple-cares-about-digita...
一般的な内容もある: https://proton.me/blog/iphone-privacy
透明性レポートを公開すると、現政権のブラックリストに載りやすそうだ。
実際に公開されるなら驚くだろう。
いったいどういう考えで、健康データを収集して売る機器を買い、しかも購読料まで払うのかわからない。
その見返りに得られるのは、数字でできたプラセボダッシュボードだけだ。
でも購読料を取り始めてからは電子廃棄物になった。
Ouraを検討したが、結局Apple Watchを選んだ。
安心のために、接続しているiPhoneでAdvanced Data Protectionを有効にした。特にアクティビティトラッカーの消費者市場では、ADPのエンドツーエンド暗号化やゼロ知識暗号化に匹敵する保護を提供する大手データ事業者はほとんどない。
私の知る限り、センシティブな環境で使えるよう無線ハードウェアを搭載していない時計もある。
ひとつの方法はApple Healthへのデータ同期を有効にし、定期的にOuraアカウントを削除して作り直し、過去の健康データを消すことかもしれない。よい運用フローではないが、Ouraを使いながらApple HealthのE2EEの利点を得られる。もちろん、Ouraの「アカウントとすべてのデータを削除」が言葉どおり機能するという前提が必要だ。
なぜこのデータをわざわざクラウドに保存しなければならないのかわからない。