Amazon傘下のRing、ユーザーの自宅住所とかプライバシーがスキだらけ

  • 5,606

  • author Dell Cameron and Dhruv Mehrotra - Gizmodo US
  • [原文]
  • 福田ミホ
Amazon傘下のRing、ユーザーの自宅住所とかプライバシーがスキだらけ

動画にこっそり位置情報が埋まってるとか、危なすぎる。

2018年、Amazonがカメラ付きドアベル「Ring」の会社を買収しました。ただでさえ読書歴から買い物履歴、動画視聴、家の中での会話などなど大量のデータを把握可能なポジションのAmazonが屋外カメラの動画データも入手するのか…ってざわついてたら、今年夏にはそのデータが警察に筒抜けらしいことが発覚、いつの間に…!と衝撃が走りました。Ringは火消しに躍起になり、いかに自分たちがプライバシーを重視してるかを強調して回りました。

彼らのデバイスが広く普及し、警察の日々の業務に協力する中にあっても、Ringは「どんな情報(または何らかの情報)が警察と共有されるかは、ユーザー自身が決められます」のスタンスを貫いていました。彼らは警察とRingとの協力関係について、警察が公開できる情報をコントロールする一方、RingやRingと連携する犯罪情報共有アプリ「Neighbors」ユーザーのプライバシーに対して自身が負う義務も積極的に強化してきました。

Neighborsとは、ユーザーが近所の犯罪や危険について情報共有するアプリで、今は米国のみで提供されていますが、すでに数百万人が使っています。ユーザーが自宅住所を登録して、たとえば自宅の郵便ポストをあさっていった不審者の情報をポストすると、近所の他のNeighborsユーザーからそのポストが見えるようになる仕組みです。

191215_ringmap9
Neighborsアプリ。不審者の動画とコメントがありますが、下の地図では事案の場所が青い円でぼやかして表現してあります。
Image: 福田ミホ

NeighborsにはRingで捉えた不審者の事案がよくポストされていますが、RingユーザーでなくてもNeighborsへの読み書きは可能です。訳者もRingは使っていませんし米国にも住んでませんが、米国に住んでいたときの住所を適当に入れたらすんなり閲覧できました。上の画像はそのキャプチャです。各ポストは匿名化されていて、読み手から見えるのはポストに書かれた事案のざっくりした場所くらいです。というか、そのはずでした

Ringの設置場所、Neighborsから漏れてる

でも、米GizmodoがNeighborsアプリにポストされたデータをごにょごにょっとしたところ(後述します)、最大数万台ものRingの設置位置情報らしきものを把握できてしまいました。Ringはプライバシーを保護すると強調してきたのにどういうことなのか、非常に疑問です。

もちろんRingはドアベルなので、設置してある家の前に行けば、Ringの存在自体は誰でも把握できます。でもそれを誰もがコンピューターから確認でき、しかもNeighborsのポストとひも付けられれば、話はだいぶ変わってきます。

しかもRingの設置密度は、米国の住宅街ではすでにかなり高くなっていて、そのデータを誰かが一手に把握できれば、ほとんど全方位の監視が可能になります。下の画像は首都・ワシントンD.C.の例ですが、場所によってはびっしりなのがわかると思います。

191215_ringmap2
調査対象の500日強の間に、ワシントンD.C.北部のとある場所周辺の9平方マイル(約23平方km)四方にはNeighborsへのポストが4,684件ありました。その多くはニュースアラートや犯罪報告で、ひとりが複数回ポストする場合もあります。何らかのポストをしたRing端末は、1,863個ありました。
Image: Gizmodo US

米Gizmodoは、Neighborsアプリユーザーによる過去約500日、6万5800件近いポストのデータを入手しました。そのデータからは、米国中に広がったRingの監視ネットワークの実態がうかがえます。ユーザー主導の監視カメラネットワークってプライバシー的にどうなんだとか、そのシステムが世界最強企業のひとつであるAmazon配下で動いているのは大丈夫なのか、といった強い疑念が浮かんできます。

プライバシーが問題になるのは、Ringカメラで顔を撮影された人だけじゃありません。Neighborsアプリがやりとりしているデータを詳細に調べたところ、各ポストにこっそり位置情報がひもづいていたんです。緯度・経度は小数点以下最大6ケタまで出ていて、つまり最小約10cm単位で特定できます。

さらにその地域の警察がRingと提携している場合、警察専用のポータルがあり、警察官はそこからRing動画へのアクセスをリクエストできます。警察が日時と地図上の位置を指定すると、その区域でRingを持っているNeighborsユーザーにアラートが送られる仕組みになっています。

Ringいわく、警察はどのユーザーがリクエストを受け取ったかはわからないようになっていて、それは協力を断ったユーザーがマークされたりといった不利益が生じないようにするための措置だそうです。ユーザーの位置情報は、ユーザーがあえて開示しない限りぼかしてある、とのこと。

191215_ringmap3
Ringの設置密度の高さがわかります。
Image: Gizmodo US

それでも、Neighborsのデータに密かに埋め込まれた位置情報を使うことで、米Gizmodoでは精度のばらつきはあるものの、15都市・数万台のRingカメラの設置場所を詳細にマッピングすることができてしまいました。代表例として選んだ都市は、ロサンゼルス、ヒューストン、シアトル、オークランド、ボストン、シカゴなどです。

米Gizmodoは15都市の一部エリアを選んでデータ収集しただけなので、この調査で見えたのはRingネットワークのごく一部に過ぎません。しかもこのマップで見えるのは、このエリアにあるすべてのRingではなく、Ringの中でもNeighborsアプリでの動画共有に使われたものだけです。過去500日間、Neighborsアプリで動画を共有しなかったユーザーのカメラはこのマップには出てきません。また各都市でデータ収集対象にしたのは、それぞれ3マイル(約4.8km)四方、日本でいえば世田谷区の半分程度だけです。

米Gizmodoでは、15都市で最大2万台のRingの位置を把握できたと推計していますが、位置情報が(事実上)公開されているカメラが全部でどれくらいあるかは謎のままです。位置情報がわかるのはNeighborsアプリを使っているRingのみで、Neighborsアプリが使えるエリアは現段階では米国だけです。

米Gizmodoでは、Ringの設置密度をざっくり見るのに十分なデータが集まったと判断した時点でNeighborsデータの収集を自主的に停止しました。Ringから止められたりはしていません。

匿名ポストも特定は簡単

マサチューセッツ工科大学(MIT)Media Labの博士課程学生のDan Calacci氏は、コミュニティを自主監視に向かわせる要因について研究しており、米Gizよりはるかに大きなRingカメラの位置情報データベースを構築しています。

プレビューさせてもらったところ、2017年以降Neighborsに投稿されたすべてのRing動画もマッピングされていました。Calacci氏はRingの利用状況を郡レベルで説明すべく(たとえば1,000人あたり何台アクティブなカメラがあるかとか)、犯罪統計や性別年齢のような基本属性などなどのデータと総合して分析しているそうです。

191215_ringmap4
米国の1800郡以上、44万台以上のRingから集めた位置情報
Image: Dan Calacci, MIT

米Gizmodoでは15都市から6万5800件のポストを収集しましたが、その中にはRingと関係ない話題、たとえば迷子のペット探しや火事の報告といったものもあります。そのためポストのうち「Ring」または「Video Alert」とカテゴライズされているものを抽出し、Ring発のポストに絞り込んで分析しました。

テストでわかったのは、Neighborsで共有されている位置情報の中には、ユーザーの住所をほぼ特定できるくらい詳細なものもあることです。Neighborsユーザー自らが意図的に公開している住所と、Neighborsに表示される位置情報を照合してみたところ、その距離は短いものだと4〜6フィート(約1.2〜1.8メートル)しか離れていませんでした。そこまで近くない場合も目が届く程度の距離で、多くは一番近くの交差点を差していました。

これについてRingに確認すると、こんな回答でした。「Neighborsアプリのポストは、ユーザーまたはRingデバイス所有者の住所そのものは明らかにしません」が、「Neighborsにポストするとき、ユーザーはその事案の位置を入力しますが、それは必ずしも自宅住所とは限りません。このような公開ポストは、ユーザーのプライバシー保護のため、事案の近くにある交差点で起きたものとして表示されます」

米Gimodoが調べた中で、Neighborsで取得できる位置情報と実際の自宅の位置の距離は、最大でも260フィート(約80メートル)しか離れていませんでした。この距離は、自宅住所を開示しているRing所有者のNeighborsへのポストから割り出したものです。80メートルはまあまあの距離ですが、この位置情報にはRing動画が必ず付随してきます。位置情報と動画を両方見れば、ポスト投稿主が自宅住所を開示していない場合でも、どの家からポストしたものかはたいていわかってしまいます

位置情報と動画からポストした家がわかるかどうかテストしてみた

というか実際わかるかどうか、試してみました。米Gizmodoの記者が、ニューヨーク州ビーコンでの宅配便泥棒を報告するNeighborsポストに付いていた位置情報の場所にリアルに行ってみたのです。その位置情報ではユーザーの自宅住所をピンポイントで示してはいませんでしたが、動画に写り込んだフェンスを元に、ほんの数分で家を特定できてしまいました。

つまり動画と位置情報を持っていれば、わりと簡単にどの家の人のポストかがわかってしまいます。そしてNeighborsの動画には、位置情報がもれなく付いてくるんです。つまり、Neighborsに「不審者」として通報された人物が腹を立てて動画データを元に通報者を特定、報復…なんてスリラーがいつでも起こりうる状況です。

これもRingに確認したところ、彼らは「Neighborsに投稿した家の場所を誰でもピンポイント可能」ということには反論しませんでした。代わりに彼らは「NeighborsユーザーがNeighborsアプリで共有することを選んだコンテンツだけが、Neighborsアプリまたは地域警察で公にアクセス可能になります」と繰り返すのみでした。

Ringによれば、Ringカメラとアプリの間の通信はAESとTLSで暗号化しています。でも各動画ポストに付随する位置情報は、技術に明るい人なら誰でも見える状態です(この手法をあんまり詳しく書くとこれ読んだ人も再現できてしまってプライバシー侵害を助長することになるので、あえて書いてません)。

191215_ringmap5
ロサンゼルスの9平方マイルの分析では5,016台のRingカメラを発見しました。
Image: Gizmodo US

Ringに撮影される人のプライバシーも、もちろん危ない

Electronic Frontier財団で公共監視を専門とする政策アナリスト・Matthew Guariglia氏は、デバイスがあらゆる場所に行き渡ることで、一般の人の「センシティブな建物」への出入りが記録される懸念が出てくると言います。センシティブとはたとえば病院、法律事務所、外国の領事館といった建物のことです。確かにに今回の調査で位置が特定できたRingの中にも、たとえば妊娠中絶をしているクリニックや、移民・難民事案に対応する法律事務所といったセンシティブな施設にかなり近いものがありました。

Neighborsのポストは米国のどこのものでもほぼリアルタイムで入手可能で、いろんな方法で並べ替えたりもできます。たとえば今まで子どもやティーン、青年に言及したポストは、4,000件近くありました。そのうち2件では、性交中の人のことが書かれていました。移民・関税執行局に言及したものは8件ありました。3,600件以上のポストでは、犬や猫、コヨーテ、七面鳥、亀のことが書かれていました。

動画に映った人の人種についてはいろんな言い回しでほのめかされていましたが、人種をはっきり言い切っているケースもあり、米Gizmodoが調べた中では黒人が519件、白人が319件で言及されていました。Ringの広報いわく、Neighborsのコンテンツモデレーターは肌の色について無用な言及をなくすべく努力しているそうです。モデレーターには、問題の人物を示す手がかりが「黒人」「白人」しか書かれていないポストの削除を指示しているとのこと。

たしかにRingのユーザー向けガイドラインには、こう書かれています。

「人種、民族、国籍、宗教、性的指向、移民ステータス、性、ジェンダー、年齢、障がい、経済状況、退役軍人かどうか、などは、未確認人物についてポストするときの要素となるべきではありません。これはまた、ポストで書こうとしている人物について人種だけで呼ばないこと、または、報告する事案に無関係な個人属性への注意を喚起しないことを意味します」

「ほとんどの人は、四六時中警察官や探偵に追い回されたら、不満になって何らかの規制を求めるはずです」。American Civil Liverties Union(ACLU)のシニア政策アナリスト、Jay Stanley氏は言います。「それが技術的に、静かに、見えないところで行われているとしても、実質的には同じことです」

ポストの共有範囲もミスリーディング

Ringで撮影する側のユーザーは、特に撮影したものをNeighborsに投稿する場合、撮られた人物のプライバシーをある程度考える必要があります。ただ多くのユーザーは、自分のポストがシェアされる相手は近所の人だけだと思っている可能性が高いと思われます

RingのWebサイトでは、Neighborsアプリに家の住所を入力することで、自分がアラートをシェアする地域範囲を指定できると書いています(ユーザーは正確な情報を入力する必要はありません)。そのためユーザーは、自分のポストも自分と同じ地域の人にしかシェアされないと捉えているものと思われます。RingのWebサイトにも「(Neighborsアプリで)あなたの地域内の犯罪や安全上の問題に関するアラートをシェアする場合、隣人もスマートフォンやタブレットで通知を受けます」とあります。

でもRingの広報は、別の場面でだいぶ違うことを言っていました。彼らはNeighborsのポストを「公開」されたものと捉え、ユーザーがソーシャルメディアで特定のポストにリンクすることを許可していたんです。米Gizmodoでは、Googleから検索可能なRing動画が現時点で2,000件に上ることを確認しました。が、ユーザーがNeighborsのポストは世界のどこからでも閲覧可能であることを理解しているのか、正確な位置情報を含むポストまで誰でも見られる状態なのを知っているのかは、わかりません。

191215_ringmap6
こちらはコロラド州デンバー市内、1,788台のRing
Image: Gizmodo US

「Ringは製品を改善できる方法についての対話に常にオープンですが、Neighborsアプリやその機能が正確に表現されるよう努めることも重要です」とRingの広報担当者は言いました。ネガティブな見え方にフォーカスしないでね、って意味だと思われます。彼らはNeighborsアプリの仕組みと、「ユーザーが国中のコミュニティに対し与えているポジティブな影響」について、一般への啓蒙を続けていくと言っています。

米Gizmodoでは、12月5日にRingに対しズームインした地図とズームアウトした地図を提示してコメントを求め、その後Ringのプロダクトチームが提示したデータについての質問に回答しました。その後12月9日にNeighborsの位置情報を収集する方法を再度テストしましたが、問題のデータには引き続きアクセス可能でした。

公共空間でのプライバシーに未来はあるか?

Ringのような会社はこれまで、市街地の監視で誰かの動向がわかったとしても、市街地を歩いている時点でその人は自分の動向を公開しているんだから問題ないというスタンスでした。Googleが2007年にストリートビューで無数の人の顔を公開したときと現在で、そのスタンスは変わっていません。つまり、公共空間を丸ごとカメラで取り込んでネットに載せることと、人間が街を歩いたり車に乗ったりしながら周りの人の行動を見かけることには違いがないという考え方です。

でもその考え方には誰もが賛同しているわけではありません。

「一貫性は大事です」とStanley氏は言い、ACLUが公共空間での写真を擁護してきた長い歴史を認めます。「私は大通りを歩いているあなたの写真を撮って、明日の新聞の一面に載せることもできます」とStanley氏。「とはいえ自動化すると、それはより速く、安く、簡単に、そしてより広く拡散していきます」

公共監視の影響を研究してきたStanley氏らは、市民の現実認識そのものが一種の「観察者効果」に影響される未来を想像しています。彼らは、現代に生まれた子どもたちにとって「家の外に出ること」と「撮影されること」が同化してしまうのではないかと懸念しています。問題は、観察された状態にあることで、人間の公共空間での行動は根本的に変わってしまうのか、もしそうならどのように変わるのか、ということです。

「それは広がりと組織化をもたらし、地域を歩く人間であることの意味を変えうる大きな影響力があります」とStanley氏。「人類の歴史のなかで、まったく経験しなかった現象です」

Amazon監視下での日常とはどんなものなのか?

Ringのデータからは、Amazonの監視下での日常とはどういうものなのか、もはや妄想とはいえないシナリオが考えられました。たとえばワシントンD.C.では、ある公立学校から1マイルもないサッカー場まで最短ルートで歩いても、中高生たちが13台ものRingカメラに記録されているんです。

米Gizmodoの分析によると、同じワシントンD.C.地域で、Neighborsで子どもの写った動画を共有していたユーザーは数十人いました。うち36件はありがちないたずらで、「価値のない」子どもが駐車場のテープを切ったとか、自転車に乗っていたとか、セルフィーを撮っていた、などです。

Ringのガイドラインでは、ユーザーは「他者のプライバシー」を尊重するように書かれていて、「プライバシーを求めることが道理にかなうような人物や行為」の動画をアップロードしないよう注意しています。ユーザーはこのガイドラインを自分たちで解釈するようになっていますが、Ringのコンテンツモデレーターはポストをくまなくチェックしているはずだし、ユーザーが「不適切」なポストにフラグを立てることもできます。

Brennan Center for Justiceの弁護士でテクノロジーと警察をテーマとしているAngel Diaz氏は、Ringが集めているデータの「巨大さと幅広さ」が、他の形態の公共写真との違いだと言います。

「誰かが家の前を通り過ぎていく写真は、それ自体では大した情報ではないかもしれません。でもそれを人間が近隣を歩き回るのを最終的にマップできるシステム全体とつなげると、それはその人物がどこに住んでいるのか、職場はどこか、学校はどこかといったことが手にとるようにわかってしまうのです」

データ悪用の懸念

移民や難民の家族に対し、無料または低料金の法的サービスを行なっている非営利団体RAICESは、テキサス州にある彼らのオフィスからRingを外すと宣言し、Twitterで「Ringをゴミ箱に入れよう」と呼びかけました。彼らは去年Ringを購入したばかりでしたが、そのきっかけはピッツバーグのユダヤ教徒向け施設で銃乱射事件を起こした犯人が、HIASというユダヤ教ベースの難民支援団体にも敵意を向けていたことでした。

でもRAICESは、Ringと警察の関係について書かれた詳細な記事を読んで、Ringカメラの撤去を決めました。

RAICESでは、Ringが警察や移民取締当局に協力して、彼らの依頼人やその家族のターゲティングに貢献するかもしれないと懸念しています。「Ringは、警察がこの情報をどう利用するかに関して何のコントロールもできません」とRAICESの広報は言っていました。

あとは、もしAmazonが何らかの裏技を駆使してRingの動画やユーザーデータを活用しようとしたらどうなるか、も不安です。彼らはいきなり民間監視の業界のトップに飛び込んできましたが、この分野は規制がぐだぐだで、法的な線引きも曖昧です。

「(FBI初代長官の)J. Edgar Hooverなら、こんな可能性をどう利用していたでしょうか?」。Stanley氏は言います。彼はRingカメラが「恐ろしくたくさん」あることは知っていたとしつつ、「こうしてマップでグラフィカルに見てみると、数字で知っているだけでは得られないインパクトがあります」とコメントしました。「このマップは、我々の公共空間がいかにビデオ監視で飽和しつつあるかを鮮やかに描いています」

消し飛ぶ「ユーザー」への約束

これまで10年にわたり警察の監視活動を研究し、このテーマで博士号も取得しているGuariglia氏に言わせれば、Neighborsに隠された位置情報はRingの「警察と共有する情報を決めるのはユーザーのみ」という建前と矛盾しています。彼はまた、警察が今までにユーザーの意志に反してデータを取得したことがあるかどうかは関係ないとも言っています。

「私はこれまで、(警察に共有するデータを決めるのはユーザーだという)彼らの主張を本当に信じたことはありませんでした」とGuariglia氏。彼は、警察が本当にそうしたければ、「すべてのRingカメラがどこにあるか、簡単に割り出せるはず」だとも付け加えました。

たしかにThe Guardianは今年8月、アクティブなRingカメラの場所を示すマップをRingが警察に共有したと伝えていました。また12月のCNETの記事によれば、Ringと提携した警察署は、カメラが密集する地域を示す「ヒートマップ」にアクセス可能だったことがあるそうです。

このヒートマップを最初に入手したプライバシーリサーチャー・Shreyas Gandlur氏は、警察がマップにズームインすると、ひとつひとつのカメラの設置場所に円が表示されることに気づきました。Ringはこのマップが「おおよそのデバイスの密度」を表示していると認め、警察には公開しないよう伝えていると言っていました。それでも、このマップはユーザーの正確な位置ではない、という主張は貫いていました。

もしRingがこのマップの位置情報が正しいと認めてしまうと、ユーザーのプライバシーを守れていないのを認めることになるので、それはできないんでしょうね。前出のDiaz氏いわく、プライバシーの専門家はこうした問題の原因がRingの「公共なんだけど民間」なビジネスモデルにあると考えています。そしてDiaz氏は、「『ユーザー』の定義がいろいろある」ことを指摘しています。

Ringは警察とパートナーシップを結んでいますが、警察は彼らの「ユーザー」でもあるのです。そしてデバイス所有者も、デバイスを所有しないNeighborsユーザーも、彼らのユーザーです。でもRingに撮影される人物、Neighborsのコンテンツと化す人物たちは、ユーザーではありません。少なくとも撮影されている瞬間は。

午前2時に、道に迷った誰かが間違ったドアベルを押すと、不審者認定されるかもしれません。その瞬間、Ringのプライバシーへの配慮は、消し飛んでしまうのです。

Source: RingViceThe GuardianCNET

    あわせて読みたい

    powered by