女性の「妊活アプリデータ」が中国にダダ漏れだったと当局が発表、Googleが一枚かんでいたことも判明
生理や排卵などの日程を記録する女性に人気の健康管理アプリ「Premom」のデータが、「疑わしいプライバシー慣行」で知られる中国企業に送信されていたことが判明したと、アメリカの連邦取引委員会(FTC)が発表しました。
Ovulation Tracking App Premom Will be Barred from Sharing Health Data for Advertising Under Proposed FTC Order | Federal Trade Commission
Pregnancy app Premom shared users’ sensitive information | Consumer Advice
https://consumer.ftc.gov/consumer-alerts/2023/05/pregnancy-app-premom-shared-users-sensitive-information
Premom fertility app shared sensitive data with Chinese analytics firms, FTC says | TechCrunch
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/
Easy Healthcareが開発した無料アプリ「Premom」は、月経周期を記録したり、排卵日予測検査薬の写真をアップロードして次の排卵周期を分析したりできる、いわゆる「妊活アプリ」として数十万人のユーザーから支持を集めていました。また、自分でデータを入力するだけでなく、Apple HealthアプリやBluetooth対応の体温計など、他のアプリやデバイスからも健康データを取り込むことが可能な多機能さもセールスポイントでした。
しかし、このアプリを調査していたFTCは2023年5月17日に、「Premomの開発者が、中国に拠点を置く2社を含む第三者とユーザーの機密個人情報を共有することでユーザーを欺き、Googleとマーケティング会社のAppsFlyerにユーザーの機密健康データを開示し、これらの不正開示を消費者に通知しなかったことで健康侵害通知規則に違反した」と発表しました。
FTCによると、Premomを開発したEasy Healthcareは2018年から個人を特定可能な健康データや位置情報をGoogleとAppsFlyerに流していたとのこと。Easy Healthcareはまた、中国を拠点とするアプリ分析プロバイダーのUmengとJiguangを含む第三者のソフトウェア開発キット(SDK)をアプリに統合し、機密のユーザーデータを各社と共有していました。これらのデータには、ユーザーのSNSアカウント、正確な位置情報、スマートフォンの識別番号であるIMEI、Wi-Fiネットワークの識別子などが含まれており、これにより個人の特定が可能な状態でした。
しかも、中国などに送信されていたデータは暗号化が不十分だったため、不特定の第三者がデータを傍受して使用することさえできたと、FTCは指摘しています。
FTCの消費者保護局長であるサミュエル・レビン氏は、「Premomは消費者との約束を破り、そのプライバシーを侵害しました。私たちは、消費者の健康データを悪用から守るために、健康侵害通知規則を強力に施行します。こうした情報を収集する企業は、FTCが健康プライバシー侵害を許さないことを認識しなければなりません」と話しました。
この問題による措置の一環として、Easy Healthcareはコネチカット州、コロンビア特別区、オレゴン州に対し、各地域の法律に違反したとして合計10万ドル(約1380万)の罰金を支払うことに同意しました。また、「今後は広告のためにユーザーの個人的な健康データを第三者と共有することを永久に禁ずる」「他の目的のために個人健康データを第三者と共有する前に、必ずユーザーの同意を得ること」「ユーザーの個人情報は、収集された目的を達成するために必要な期間のみ保持すること」などの命令も言い渡されました。
今回の一件を受けて、FTCは消費者への注意喚起の中で、アプリを使用する際に以下の3点に気をつけるよう呼びかけました。
・可能であれば、ターゲット広告をオプトアウトする。
・プライバシー設定を確認し、アプリが収集した情報、特に位置情報は必要がない限りオフにする。必要がある場合は、アプリ使用中のみアクセスできるよう制限する。
・自分のデータを削除するよう会社に指示できる機能があるかどうかを確認しておく。
