【前編】ウェアラブル活動量計が、あなたについて知っていること#1はこちら

Fitbitが私に関するデータを収集していると分かったあと、このデータがどのように使われているのか調べてみました。プライバシーポリシーを確認したところ、以下のように記載されていました。

集合的なデータとして扱われる非個人情報については、データから個人を特定できる可能性を排除した上で、利用される場合があります。このような非個人情報は、当社のエクササイズや活動に関するレポートを通して、第三者に開示されることがあります。また、当社と契約書を締結した取引先へ開示されることがあるほか、当社が提供するコミュニティ・ベンチマーク情報の一貫として、当社の有料サービスユーザーへ提供される場合があります。

また、サードパーティアプリにFitbitへのアクセス権を与えていたり、会社でフィットネスプログラムに参加している場合は、ユーザーに求められた際に情報を開示する可能性があることにも言及しています。つまり、アクセスを取り消さない限り、あなたのデータがサードパーティアプリや雇用主に共有される可能性があるのです。

Fitbitのプライバシーポリシーには、 「お客様の個人情報を転売することは決してありません」と記載されています。一方、データをマーケティングのために使用することがあるとも書かれています。この矛盾についてFitbitの広報担当者に問い合わせたところ、次のような回答が戻ってきました。「Fitbitはお客様の個人情報を販売することはありません。プライバシーポリシーに記載されている限定的状況を除き、共有することもありません。当社のビジネスモデルは広告に基づいておらず、サードパーティの広告によるユーザーのターゲティングなども行っていません。当社は独自の製品やサービスに関する広告のみを展開しており、このビジネスモデルを支援いただける広告パートナーと協力しています。また、このことをプライバシーポリシーで開示し、プライバシーオプションを説明しています。」

また、Fitbitがデータを共有する可能性のある「サードパーティ」が誰なのか聞いてみたところ、前述の雇用主やアクセス権のあるサードパーティアプリに加え、「当社の製品やサービスの提供を支援するパートナーに、情報を共有する可能性があります。例えば、カスタマーサポートセンターや、請求処理サービスのプロバイダーなどに、データを機密情報として限定的に共有しています。」という返答が戻ってきました。

プライバシーポリシーにはまた、法的に求められた場合、執行機関にデータを公開することがあると記載されています。広報担当者は次のように説明しています。「多くの企業と同様、Fitbitは法律に準拠し、執行機関の要求に応答します。当社はユーザーのプライバシーを尊重しており、法律で禁止されていない限り、ユーザーに通知をしてからユーザーの情報にアクセスします。また、このような要求を受けた際には、まずそれがFitbitの法的要件とポリシーを満たしているか確認し、有効な捜索令状がある場合のみコンテンツと位置情報データを開示します。」一部の企業は、政府の召喚状を受けたことをユーザーに知らせる「令状のカナリア」と呼ばれるものを公開していますが、Fitbitはそのようなことをしていません。

さて、ヨーロッパではデータ保護規則（GDPR）の影響でプライバシー保護が米国より厳しいため、状況が少し異なるかもしれません。ヨーロッパのFitbitユーザーは、Fitbitを利用し始める際、健康データやGDPR対象となるその他の個人情報へのアクセスを、明示的に許可することが求められます。例えば、「アカウントとデバイスを連携する際、他のサービスで収集されたエクササイズに関するデータや、女性向けの健康トラッキング機能にアクセスし、使用する場合」などが挙げられています。また、ヨーロッパのユーザーはアプリへの情報共有や、ダイレクトマーケティングでデータを使用することへの同意をいつでも撤回することができます。

データと引き換えにユーザーが得られたもの

Fitbitは、デバイスを購入すれば「無料」で使用できます。アプリの利用に課金は必要ありません。しかし、私たちは代わりにデータを支払っています。では、ウェアラブル活動量計にデータを提供するほどの価値があるのか、考えてみましょう。

私は、Fitbitはパソコンとスマートフォンの次に最も使っているデバイスで、時間、歩数、カロリー、心拍数などを確認するために一日に何回も見ています。体の中で何が起こっているのか知ることができるため、私の目標に向けた健康管理に欠かせないデバイスとなっています。また、自分の健康が数字で表されることは私のようにデータが好きな人にとってはうれしいことでしょう。

Fitbitのデータ収集が意味すること

ウェアラブル活動量計により収集されたデータは、企業が収集できるデータのなかで最も個人的なものと言えるでしょう。このようなデータを管理・使用する企業は厳しい基準に従うべきです。

Fitbitはその責任を真剣に受け止めているように見えます。Fitbitは広告主に個人情報を販売していません。米国ではHIPAAなどの法律を考慮した上で、保険会社や医療提供者と連携しています。また、ユーザーにはいつでも自分のデータを閲覧、ダウンロード、削除する権利があり、これはプライバシー保護の観点からもベストプラクティスといえます。

しかし、個人情報が予期せぬ方法で使用される可能性もあります。現時点ではユーザー本人が情報を共有したケースしか知られていませんが、Fitbitにより収集されたデータが刑事事件の証拠として使われたケースはすでに数件あります。法的執行機関に情報を開示する際の詳細についてFitbitに問い合わせていますが、現時点で回答は戻ってきていません。

また、Fitbitは2021年1月、Googleに買収されました。一部のユーザーは、Googleがより多くのユーザー情報にアクセスできるようになることを懸念しています。

FitbitもGoogleも、今後もユーザーのプライバシーを保護し続けることは変わらないと、声明を出しています。Googleは、「この買収はデータではなくデバイスを重視したものであり、Fitbitユーザーのプライバシーを保護することは最初から明確にしてきました」と述べています。

今回の買収に関する発表にて、Fitbitは以下のように述べています。

今後もユーザーの皆さんに信頼していただくことが、弊社の最優先事項です。強力なデータプライバシーとセキュリティ保護、ユーザーによる個人データのコントロール、収集するデータの内容とその理由についての透明性を維持していきます。Google は世界の規制当局の指令に対応した取り組みを行っており、Fitbit ユーザーのプライバシーは引き続き保護されます。Fitbit ユーザーの健康管理に関するデータが Google の広告に使用されることはなく、他の Google の広告データと統合されることもありません。また、Google は Fitbit ユーザーが引き続きサードパーティのサービスに接続することを許可します。

私は、リサーチの結果、Fitbitを安心して利用し続けることができるという結論に至りました。将来、私の意見は変わるかもしれませんが、現時点ではユーザーのプライバシーを尊重しているようです。

この記事は2021年1月19日に公開されたHere's what your Fitbit knows about youの抄訳です。