パスワードを忘れた? アカウント作成
15643499 story
プライバシ

メンタルヘルスアプリのプライバシーやセキュリティ、多くが不十分との調査結果 16

ストーリー by headless
不安 部門より
5 月のメンタルヘルス月間にちなみ、Mozilla がメンタルヘルスアプリやお祈り・瞑想アプリ計 32 本のプライバシーとセキュリティについて調査結果を公表している (Mozilla Foundation のブログ記事The Verge の記事SlashGear の記事Ghacks の記事)。

アプリ 1 本あたり最低 8 時間行ったという調査の結果、ユーザーデータの管理に強い懸念が持たれる「*Privacy Not Included」警告ラベルが付けられたアプリが 32 本中 28 本におよび、Mozilla の最低セキュリティ基準を満たさないアプリも 25 本あったそうだ。評価は Mozilla によるものと、ユーザーの投票によるものとの 2 種類。警告ラベルは Mozilla の評価のみによると思われるが、その評価基準は非常にわかりにくい。

たとえば子供向けアプリ「Breathe, Think, Do with Sesame」は個人情報の必要なアクティビティが少なく、ターゲティング広告にも使用しないと明言しているが、警告ラベルの対象だ。評価の内容をみるとプライバシーポリシーが 2013 年から更新されていないことと、マイクの使用許可が含まれるためアプリの脆弱性により子供のプライバシーが侵害される可能性があることことが懸念点として挙げられている。

具体的にプライバシーポリシーの内容に問題があるわけでも、脆弱性が見つかっているわけではないが、Mozilla の問い合わせに回答がなかった点で警告ラベルの対象になった雰囲気だ。お祈り・瞑想アプリ「Glorify」には当初警告ラベルが付けられていたが、問い合わせへの回答があったので警告ラベルを外したと説明されている。

また、Mozilla の評価アイコンは「👍」「👎」「✋」というもので、👍と👎の意図は明確だが、✋の意図ははっきりしない。✋が付けられているのは瞑想アプリ「Headspace」のみ。このアプリは警告ラベルの対象になっていないものの、Glorify とともに合格点ではないらしい。なお、✋は人差し指から小指までを曲げ、親指で右側を差すハンドジェスチャーの可能性もある。

一方、Mozilla は合格点のアプリとして「PTSD Coach」と「Wysa」を挙げているが、これらのアプリはプライバシー・セキュリティともに問題が見つかっていないため、問い合わせへの回答があったかどうかにも言及がない。
  • by Anonymous Coward on 2022年05月04日 17時37分 (#4243768)

    お送りいただいた書類、あなたに関する情報はすべて削除しました、と記載されていないとアウトだね。

    ここに返信
    • by Anonymous Coward

      個人情報保護法 [e-gov.go.jp]

      第22条 (データ内容の正確性の確保等)
      第二十二条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

      「努めなければならない」は努力義務で罰則もないから、今回の改正でもっと強い規程にしてほしかった。
      「他の応募者の選考で参考にするから必要性はある」、とかいいそうだけど。

  • 今どきプライバシーポリシーやなんかはジェネレーターで作れて貼っただけでそれらしくなるので、実際の運営がちゃんとしてるかってわからないんだよね…
    Webサイトも小綺麗に作ってあれば、比較の参考にならないし。

    こういう調査で担当者でやり取りした結果があると非常に参考になるね。
    日本でも暮しの手帖のWebサービス版みたいなのやってるところがあるといいんだけどな。

    ここに返信
  • by Anonymous Coward on 2022年05月04日 17時52分 (#4243771)

    評価の内容をみるとプライバシーポリシーが 2013 年から更新されていない

    特にプライバシー情報の扱いに変化がなけりゃポリシーの変更も要らんだろうに

    ここに返信
    • by Anonymous Coward on 2022年05月04日 18時25分 (#4243786)

      プライバシーポリシーが更新されていないアプリであるBreathe, Think, Do with Sesameは"Sesame"の名の通りセサミストリートのところが出しているもので、海外展開していないとしてもアメリカ国内の法律には従う必要があります。

      カリフォルニア州では2020年に「カリフォルニア州消費者プライバシー法(通称CCPA)」と呼ばれる法律が施行されていて、個人情報の取り扱いに関する新しい様々な条件を定めています。Google、Microsoft、Mozilla、その他アメリカに拠点を置く多くの企業はCCPAに対応するためプライバシーポリシー等を改定していますが、このアプリはプライバシーポリシーで個人情報を収集する場合があるとしているのにCCPAに対応する改定を行っていません。

      これは現在のプライバシーポリシーが法律に適合しているのかの確認を怠っている証拠であり、このアプリの提供元のプライバシーに対する意識の低さを物語っています。この点に着目し、"privacy not included"とした評価は妥当といえます。

      繰り返しになりますが、「無駄な変化」ではなく「新法への対応」です。
      対応作業をしなくていいのは個人情報を一切集めていないところだけですが、営利企業でそんなところあるんですかね?

      • by Anonymous Coward

        もとからあるポリシーが改正後の法律に適格だったケースはありえないの?

      • by Anonymous Coward

        それは具体的にプライバシーポリシーの内容に問題がある場合の話なので関係ない
        具体的にプライバシーポリシーの内容に問題がないのに長い間変わってないという理由で問題にするのはおかしいという話をしてる

        • 違法か合法かの話ではなく、ポリシーが明確かが問題になっているんだけどな。
          日本国内で例えるなら、「私達は環境保全活動に取り組んでいます」という内容の長文の張り紙が2013年からレジ横にあるのに、レジ袋の価格がどこにも明示されていないような状態なわけ。仮に元からレジ袋がバイオマス配合基準を満たしているか、レジ袋を基準を満たすものに変更したか、レジ袋の配布をやめたなら、それを文章に盛り込むのが普通だよ。少なくとも聞かれたら答えられるはずだよね?
          件のプライバシーポリシーに話を戻すと、セキュリティ対策と、児童の保護と、マイクから取得した音声について触れ方が不十分。おまけにプライバシーポリシー内のメールアドレスへのメールの返答が無かったんだって。

          • by Anonymous Coward

            ポリシーが明確かが問題なら、評価は「ポリシーが明確かどうか」という点でやるべきでしょ?ということ。
            でも評価点(のひとつ)が「2013から変更されていない」だからポリシー自体は問題なくても、変更されてないというだけで低評価されてしまう。

  • by Anonymous Coward on 2022年05月04日 18時00分 (#4243776)

    アクティビティトラッカーとかもさ。
    プライバシーポリシーとかあったところで言い訳でしかない。
    セーフ扱いされたいなら情報送信せずにスタンドアローンにしなさい。

    ここに返信
    • by Anonymous Coward

      トロイの木馬と大差ないんだよな。
      無料アプリについて、定額でトロイ抜きの有料版の提供を義務付ける法律が欲しい。トロイから得られる利益なんて100円もないだろうし、100円程度(手数料抜き)で出せるはず。

  • by Anonymous Coward on 2022年05月04日 20時08分 (#4243812)

    はっ倒したいほどのアプリ

    ここに返信
  • by Anonymous Coward on 2022年05月04日 21時57分 (#4243840)

    どっちかというと、いかにアプリやネットを使わないか、のほうが精神保健上的には良いとおもいますよー。

    ここに返信
    • by Anonymous Coward

      ココロ病んでるから藁掴んでしまう
      宗教へ転ぶまえのゲイトウェイドラッグ

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...