更新 (2016 年 9 月 28 日午後 2 時 54 分 PDT): Apple は、ユーザーが診断および使用状況データの送信を選択する場合、差分プライベート化技術を通じて実行されるデータの送信も自動的に選択していることを確認しました。
AppleがiOS 10で差分プライバシーを採用することを初めて発表した際、少なからず論争が巻き起こりました。あらゆる方面から懐疑的な意見が上がり、iOS 10のように大規模に導入された場合、プライベートな差分プライバシーが本当に機能するのか疑問視する声が上がり始めました。
Appleは、差分プライバシーを用いたユーザーデータ収集はオプトイン方式であると明言しました。つまり、ユーザーがシステムに情報を提供したくない場合は、オプトインする必要がないということです。Appleが明らかにしなかったのは、このオプトインエリアがどこにあるのか、そしてオプトインしない場合に何が起こるのかということです…
数週間前にiOS 10が正式に一般公開された時、バックアップからの復元ではなく、最初からやり直すことにしました。過去のiOSバックアップの何かがiOS 10に影響を及ぼすかもしれないという不安が頭をよぎったからではなく、iOS 10の新規ユーザーがどう感じるかを確認したかったからです。私が真剣に探していたのは、Appleの差分プライバシーの利用をオプトインできる場所の指示だったのですが、そこで全てが曖昧になってしまいました。
アマチュアiOS開発者として、デバイスの設定や、診断情報や使用状況情報の共有に常にオプトインすることに慣れてきました。開発者が問題を迅速に解決するために、ユーザーからクラッシュレポートを受け取ることの重要性は理解しています。しかし、iOS 10で導入された差分プライバシーオプションがどこで機能するのかを見落としていました。南カリフォルニア大学ビタビ工学部でプライバシーを研究する助教授、アレクサンドラ・コロロヴァ氏のおかげで、状況はさらに明確になりました。
2/ 差分プライバシーデータ収集のオプトインテキストに、意味のある選択に必要な情報が欠けている: iOS 10で使用されるプライバシーパラメータ値
— アレクサンドラ・コロロワ (@corolova) 2016 年 9 月 13 日
コロロヴァ氏と学生のジュン・タン氏は、AppleがiOS 10の診断セクションに差分プライバシーに関する記述を2つの異なるセクションにまとめていることを発見しました。iOS 10では、診断データと使用状況データをアプリ開発者に自動送信することに同意すると、ユーザーも自動的に差分プライバシーを用いたデータ収集の対象となります。開発者に診断データを送信したいが、この新しいデータの収集は受けたくないというユーザーは、残念ながらその方法を選ぶことができないようです。
ここで少し話を分けなければなりません。アプリ開発者は、診断データや使用状況データを送信される際に、ユーザーの差分プライバシーデータを受け取ることはありません。収集されるデータは現時点でAppleが所有し、Appleのために利用されます。Appleは以前、差分プライバシーの活用は「個々のユーザーのデータを完全にプライベートに保ちながら、クラウドソーシング学習を構築する」方法であると述べていました。その後、Appleは差分プライバシーの活用は4つの具体的なユースケースに限定されると発表しました。
ユーザーがローカル辞書に追加する新しい単語、ユーザーが入力した絵文字(Apple が絵文字の置き換えを提案できるようにするため)、アプリ内で使用されるディープリンク(パブリックインデックス用にマークされている場合)、メモ内の検索ヒント。
3/ これまでの診断: アルゴリズム CountMedianSketch、OneBitHistogram、SequenceFragmentPuzzle+CountMedianSketch; イプシロン 1、1、4 (ht JunTang)
— アレクサンドラ・コロロワ (@corolova) 2016 年 9 月 13 日
もちろん、iOSにおけるデータ収集は目新しいものではありません。iOS 9以前でも、ユーザーはオプトインを選択した場合、診断情報や使用状況情報を送信できました。iOS 10の診断とプライバシーに関する利用規約によると、「収集された情報はいずれも個人を特定するものではありません」とされています。収集された個人データ(上記の4つの具体的な使用例)は、「全く記録されない」か、「差分プライバシーなどのプライバシー保護技術の対象となります」。そこで疑問となるのは、このデータ使用はどの程度プライバシーが確保されるのかということです。Appleが絵文字の代替案を提案してくれるのは良いのですが、私が現在デバイスを使って絵文字の代替案を探しているように、自分のデータが漏洩するリスクを冒すのは避けたいところです。
アプリ開発者がクラッシュレポートを受け取れなくなるのであれば、それ以上のデータ収集を拒否しますか?
差分プライバシーは、私のデータを取得して非公開にすることで安全策を講じるはずですが、どうすれば確信を持てるのでしょうか?Appleはデータを匿名化するために様々なアルゴリズムを使用しているようです(上記の診断ログの画像を含むコロロヴァ氏のツイートを参照)。しかし、そのデータのプライバシーがどの程度確保されているのかは明確ではありません。ユーザーが差分プライバシーによるデータ収集を許可するかどうかをより適切に判断するには、特定のアルゴリズムを適用した後でも、データのプライバシーがどの程度確保されるのか、より詳細な情報を提供する必要があります。
iOS 10 で診断情報と使用状況データを開発者に自動的に送信しないようにし、データが収集されないようにするには、次の手順を実行します。
ステップ1. 設定 > プライバシー > 診断と使用状況を起動します
ステップ2. 「送信しない」を選択します。(「これにより、Apple Watchのデータ収集もオフになります」という通知が表示される場合もあります。)
私たちは Apple に連絡してさらなる説明を求めており、返答があれば投稿を更新します。 Apple の回答が投稿の先頭に追加されました。
apallu.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
