フィットネスアプリはプライバシーのリスクです。その理由は次のとおりです

この投稿は2019年10月31日に更新されました.


フィットネスアプリと健康アプリは、運動量、服用している処方薬、使用する避妊方法などを記録して定量化できるように設計されています。これらのアプリは健康の改善に役立ちますが、プライバシーを危険にさらす可能性もあります。最悪の場合、ジョガーの自宅の住所やリアルタイムの現在地を明らかにするなど、人々を肉体的に危険にさらしている.

これらのアプリの多くは、機密情報を公開したり、Facebookを含む数十のサードパーティと共有したりしますが、ユーザーのプライバシーポリシーの詳細は提供しません。この情報には、機密の場所データ、機密の医療データ、または保護されていないセックスをしているかどうかなどの非常に個人的な情報が含まれる場合があります.

これらのタイプのアプリは、過去5年間で人気が爆発的に増加しています。 2018年、Fitbitだけで2,700万人以上のユーザーがいました。今年初め、Stravaは4200万人のユーザーがいると主張し、毎月100万人のユーザーを追加していると述べています。これらのアプリが収集する機密データと、このデータを保護する不十分な記録を考慮すると、これらのアプリはユーザーのプライバシーに大きな脅威をもたらします.

フィットネスアプリがあなたについて知っていること

Fitbit、Strava、MapMyRun、Nike + Run、Asics Runkeeperなどのほとんどのフィットネスアプリには、スマートフォンと同期するウェアラブルデバイスがあります。そのウェアラブルデバイスは、歩数、心拍数、旅行先、時間、体重、覚醒または睡眠など、さまざまな情報を収集できます。.

ヘルストラッカーは通常、電話にインストールするアプリケーションです。彼らはデータ収集のためにあなたの健康に関するフォームに記入することをあなたに依存しています。アプリの対象に応じて、健康に関する標準的な質問(怪我をしていませんか?)から非常にデリケートなトピックに関する質問(セックスをしているときに保護機能を使用していますか?)までさまざまです。.

このデータは侵害される可能性があります

フィットネスアプリメーカーは、他のすべての業界と同様に、データ侵害に苦しんでいます。 2018年にUnderArmourのMyFitnessPalを襲った違反は、これまでで最大のものです。 1億5,000万人を超えるユーザーのユーザー名、パスワード、および電子メールアドレスを公開しました。ハッカーは通常、データを追跡しますが(クレジットカード番号のように)簡単に収益を得ることができますが、位置データが公開されたという考えは特に厄介です。ジョガーやバイカーは一般的に走り、彼らが住んでいる場所に乗ることを考えると、攻撃者はルートの大部分がどこから始まり、どこで終ったかを見ることで、ユーザーがどこに住んでいたかも特定できます。.

他の主要なフィットネスアプリと健康アプリのいずれも、重大なデータ侵害に苦しんでいません。残念ながら、信頼できる会社や組織とのみデータを共有する以外に、アプリが確実にデータを確実に保存するためにできることはほとんどありません。.

データ侵害の被害者である場合の対処方法の詳細.

究極のデータマイニング

データ共有は問題の核心です。フィットネスアプリ企業は、機密情報から利益を得る広告主、法律事務所、Facebookなどのソーシャルネットワークなど、サードパーティと貴重なリアルタイムの健康データを共有することを奨励されています。データの共有方法やプライバシー設定の調整方法について完全に透明である場合、ユーザーがアプリを信頼する可能性は低くなります。そのため、これまで、フィットネスと健康のアプリ業界はスキャンダルに悩まされてきました.

アプリがデータを共有する正当な理由はたくさんあります。それはユーザーが望むより良いサービスにつながる可能性があります。警察の捜査のために法律で要求されることもあります。ただし、アプリメーカーは常に機密情報のプライバシーを最優先事項とは限りません.

フィットネスアプリと健康アプリがデータを悪用する主な方法は3つあります。

  1. 彼らは自動的に箱から出してすぐにデータを公開します. ユーザーがこれらのアプリを使用してプライバシーを保護したい場合は、アプリ内またはスマートフォンでプライバシー設定を更新する必要があります。.
  2. 彼らのプライバシーポリシーは曖昧です. 「お客様の情報をスポンサーやビジネスパートナーと共有する場合があります」というプライバシーポリシーでは、十分な情報に基づいて判断を下すことができません。.
  3. 彼らのプライバシーポリシーは誤解を招く. 場合によっては、アプリはデータがプライバシーポリシーでどのように使用されるかを開示しません。彼らはそれを別の文書に隠したり、混乱する法律家に変装したりします。その他の小さな健康アプリにはプライバシーポリシーがまったくない場合があります.

弱いデフォルトのプライバシー設定

最初の問題の主な例は、フィットネスアプリStravaとそのビーコン機能です。この機能は、バイカーとランナーのリアルタイムの位置を裏返します。これにより、アプリは泥棒の金鉱山になりました.

仕組みは次のとおりです。 Stravaは、フィットネストラッキングとソーシャルメディアプラットフォームを組み合わせて、ユーザー同士が競争したり相互作用したりできるようにします。 Stravaが機能するには、位置データを共有するためのアクセス権と許可が必要です。また、「FlyBy」機能があり、ランニング中に見たり通過した他のStravaユーザーを検索できます。.

ただし、プラットフォームにアクセスしたりルートを検索したりするためにStravaユーザーである必要はありません。ルートが選択されると、そのルートが誰であるかを見つけ、その個人のプロファイルを見て、他にどこに走る可能性が高いかを確認できます。このデータは、多くの場合、人々の家を見つけるために使用できます。この問題は、MapMyRun、Nike + Run、および実行を追跡し、そのデータを共有できるすべてのアプリについても、それほど程度は発生しません.

メディアは、Stravaの「ヒートマップ」機能を使用して、兵士のジョギングルートにさらされる軍事基地に焦点を当てていますが、このデータは、Stravaユーザーを見つけて追跡するために使用できます.

Stravaヒートマップデータリークがさらに悪化しました。

–データを匿名化できる
–高セキュリティの軍事施設にいる人々の名前と実行ルートを含みます
–クイック検索では、アフガニスタンの基地にいる50人の米国人の名前が表示されます
https://t.co/JZCi7sINf8

— WIRED UK(@WiredUK)2018年1月29日

2014年、法執行機関は、Stravaデータを使用した泥棒による英国での自転車の盗難が急増したと考えています。 2018年にも同じことが起こりました.

「これらのマッピングアプリが基本的には泥棒に大量の情報を提供できることに多くの人が気付いていなかったと思います。したがって、私たちは人々にプライバシーをチェックしてもらう必要があります」と2018年に自転車の盗難を調査した警察官のAdam Langは言いました.

Stravaにはプライバシーコントロールが付属しています。残念ながら、それらをアクティブにするユーザーはほとんどいないため、家の場所を公開するために数回の実行しか必要ありません。さらに、「FlyBy」機能の無効化など、一部のプライバシー機能をアクティブ化すると、アプリの使いやすさが損なわれます.

あいまいなプライバシーポリシー

上記の例-「お客様の情報をスポンサーやビジネスパートナーと共有する場合があります」-は仮説ではありません。これは、世界中に800万人以上のユーザーがいると主張している排卵追跡システムMayaのプライバシーポリシーに基づいています。これは、ユーザーがインフォームドコンセントを与えるのに十分な情報ではありません。 Mayaのポリシーのどこにも、共有するデータの種類や共有先の組織は記載されていません.

これは特に、気分、使用している避妊方法、セックスをしているかどうか、保護機能を使用しているかどうかなど、Mayaが収集するデータの種類を考慮することに関するものです。 Privacy Internationalのレポートは、あいまいなポリシーと、MayaがFacebookを含むいくつかのサードパーティとデータを共有しているという事実を明らかにしました。レポートはまた排卵トラッカーMIA Femを強調しました。 MIA Femにも同様にあいまいなプライバシーポリシーがありましたが、それ以降、どのデータがどのパートナーに送信されるかを反映するようにポリシーを更新しました。ユーザーに通知せずにデータの共有を捕まえた後にプライバシーポリシーを調整するのは、最新の健康アプリです.

Flo排卵追跡アプリは、ウォールストリートジャーナルの記事が同意なしに同様のデータ共有を公開した後、Facebookとのデータ共有を停止しました。 (Flo、Maya、MIA Femの共通点の1つは、開発者が機能を組み込んだり、Facebookがユーザーデータを収集してターゲット広告を表示できるようにするFacebookのソフトウェア開発キット(SDK)で構築されたことです。FacebookのSDKは、他の多くのプライバシー違反の中心にあります。)

誤解を招くプライバシーポリシー

HealthEngineはオーストラリアで人気のアプリで、150万人以上が医師の予約をスケジュールするために使用しています。最近の調査では、アプリがユーザーの個人的な医療情報を同意なしに地元の傷害弁護士と共有していることが判明しました.

ユーザーは、自動車事故に巻き込まれたか、仕事に関連した怪我を負ったかを尋ねられました。彼らが「はい」と答えた場合、アプリは健康問題の詳細について傷害弁護士に通知しました。弁護士とデータを共有することに同意するかどうか尋ねられることも、HealthEngineのプライバシーポリシーで弁護士とデータが共有されることについての言及もありませんでした。彼らの個人的な医療データが法律事務所に送信されるという事実は、別の「収集声明」でのみ明らかにされました。ユーザーがこのデータ共有をオプトアウトできる唯一の方法は、アプリを使用しないことでした.

米国では、ニューヨークの検事総長が明確な同意なしに第三者とデータを共有していると発表した後、健康アプリCardiioとMy Baby’s Beat、フィットネスアプリRuntasticがプライバシーポリシーの改訂を余儀なくされています.

プライバシーを保護するためにすべきこと

アプリが人々の医療情報をそれほど広く共有することさえ合法であることは驚くべきことかもしれません。ただし、米国の医療プライバシー法HIPAAは、顧客が自分で使用するために収集する情報には適用されません。つまり、ほとんどの場合、フィットネスアプリは規制に該当しません.

特にフィットネスアプリと健康アプリを対象とする米国の新しい規制により、開発者は機密データに対してより責任を負うようになる可能性がありますが、これまでのところ進展はありません。保険会社、住宅ローンの貸し手、および雇用主への個人の健康データの販売を防ぐための米国上院議員の取り組みは、どこにも導いていない.

EUのGDPRは、データを共有する前に、情報に基づいた明確な同意を必要とするという点で、ある程度の保護を提供します。これは、Mayaが共有するすべてのデータ、またはプライバシーポリシーでデータを受信する人をリストしていないことを考えると、Mayaが違反している可能性があるしきい値です。しかし、これは欧州連合に住んでいる個人にのみ適用されます.

フィットネストラッキングアプリまたはヘルスモニタリングアプリを使用しているときにプライベートを保つための最善の方法は、問題を自分の手にとることです.

以下は、安全を確保するために実行できる最も重要な手順です。

  1. プライバシーポリシーを読む: 共有するデータやデータを共有する組織が明確でない場合は、そのアプリに入力するすべてのデータが、不明な第三者と共有される可能性があると想定してください。それが気に入らない場合は、別のアプリを探してください.
  2. プライバシー設定があるかどうかを確認します。 時間をかけてプライバシー設定を確認してください。アプリがデータを共有しないようにするのは良いことですが、最もプライベートな解決策は、アプリが最初にデータを収集しないようにすることです.
  3. アプリに入力するデータを制限します。 これらのアプリの多くは、コア機能を果たすために必要なデータよりも多くのデータを収集します。アプリを使用するためにそのデータを共有する必要があるかどうかを質問します。たとえば、排卵追跡システムが無防備なセックスをしているかどうかを知る必要はありません。.
  4. 疑問がある場合は、次のように質問してください。 フィットネスアプリの会社がデータをどのように使用する予定かわからない場合は、メールを送信して質問してください。 (もしそうなら、彼らの言ったことを私たちに知らせてください!)

フィットネスアプリと健康アプリは、健康を維持し、進捗状況を追跡するための動機付けに役立つ優れたツールです。しかし、身体の健康のためにデジタルの健康を危険にさらす必要はありません。ダウンロードするアプリはプライバシーを危険にさらす可能性があることに注意することが重要です.

宜しくお願いします,
ProtonVPNチーム

2019年11月1日更新: GoogleはFitbitを21億ドルで購入すると発表しました。これにより、Googleが広告のためにFitbitの健康データにアクセスする可能性が高まりますが、Googleの幹部はそうではないと述べています。顧客へのメールで、FitbitのCEOは「個人情報を販売することは決してなく、Fitbitの健康およびウェルネスデータはGoogle広告には使用されません。」と書いています。契約は来年のいつか確定される予定です.

Twitter | Facebook | Reddit |インスタグラム

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map