午前7時、ウェアラブルデバイスの優しい振動が手首に伝わってくる。スマートフォンと同期させて、睡眠の質を確認してみる。結果は…よくない。眠気が残っていたので、コーヒーを多めに飲むと、心拍数が上昇し、ウェアラブルデバイスにもそのデータが記録される。朝のルーティンもいつもよりゆっくりとこなせるので、エリプティカルマシンでの30分のトレーニングをスキップして、オフィスに向かう。
途中で渋滞に巻き込まれ、ストレスが急上昇。ようやく到着し、デスクに向かう。昼食は時間がなくて、サブマリンサンドイッチをデリバリーしてもらうことに。家に着く頃には、夕方にワークアウトしようという希望はすっかり忘れ去られている。ただ、冷たいビールとテイクアウトのピザを片手にソファでぐっすり眠りたいだけ。ビールを数杯飲んだら、いよいよ就寝時間。電気を消して、ぐっすり眠れるように祈る。
この習慣を数週間続けた後、どのような影響が出るか想像してみてください。睡眠の質の低下は、アルコール摂取と運動不足によって引き起こされます。これらに加え、睡眠不足は徐々に健康全体に悪影響を及ぼし、体重増加、血圧上昇、その他の問題を引き起こします。そして、これらのデータはすべてウェアラブルデバイス、より正確にはクラウドソフトウェアに保存されます。
Boxのシニアセキュリティエンジニアで、以前はBishop Foxのシニアセキュリティアナリストを務めていたコナン・ドゥーリー氏によると、アクティビティトラッカー、スマートウォッチ、脈拍トラッカーなどのウェアラブルデバイスを通じて大量のデータが収集されるという事実は、具体的なリスクが伴うことを意味するという。
もしそのデータが不注意に保管され、悪意のある第三者によるデータ侵害で盗まれ、あなたの健康リスクを評価するためにそのデータを利用したい悪質な組織に売却された場合、将来的には健康保険の大幅な値上げや、場合によっては保険契約の解約に直面する可能性があります。こうしたリスクは非常に現実的であるため、一部の企業は消費者情報が悪意のある者の手に渡った場合に備えて、データ侵害保険に加入しています。
職場での割引オプションを通じて、このデータを自発的に健康保険会社と共有している場合は、データ漏洩がなくても、すでに保険料の上昇に直面している可能性があります。これは、多くの雇用主が、規定の体重と運動量の範囲内にとどまり、健康保険料を大幅に節約できる従業員に「健康」割引を提供しているためです。
手首にデバイスを装着するだけで、1日の歩数や安静時の平均心拍数を知ることができるというだけで、これらは重大な影響を及ぼします。ウェアラブルデバイスから得られるメリットと、どの程度のリスクを負うかは、消費者の判断に委ねられています。
ABIリサーチによると、2015年末までに市場に流通するウェアラブルデバイスの数は推定2億台に達し、2018年末までに7億8000万台に達すると予想されています。これは、ハッカーにとって機密データを盗み出し、金銭的な利益を得る絶好の機会となります。
消費者が知っておくべきこと
ウェアラブル技術を購入する消費者が増えるにつれ、消費者は知らないうちに潜在的なセキュリティ侵害と、消費者が知らない間に企業がデータを合法的に使用する可能性の両方に晒されることになります。
「こうしたデータとその活用方法には、不透明なバブルが存在します。人々が自分のデータにアクセスしやすくし、率直に言って、データを削除する選択肢を与えない限り、この問題は結果としてより個人的な問題になっていきます」とドゥーリー氏は述べた。「多くの場合、インフラの複雑さから、データベースの相互接続性と過去の参照の必要性から、データの削除は非常に困難です。ウェブサイトが突然壊れるわけにはいきません。もしユーザーが、もう利用できない写真にアクセスしたとしても…データの削除には複雑な問題が伴います。」
ある企業や政府とデータを共有することに同意したからといって、その企業が来年も事業を続けているとは限らないし、プライバシー権を進んで放棄して共有したデータへのアクセス方法を変えるような新しい法律が制定される可能性もある。
「私たちはまさに、あらゆるものがカタログ化され、あらゆるものが文書化され、企業や政府がデータの痕跡に基づいて個人としてのあなたについて判断を下す世界に突入しようとしています。単なるデータポイントではなく、個人として扱われたいのであれば、プライバシーを守ることはあなたの利益になります」と、MITメディアラボ博士でCrowd SupplyのCEOであるジョシュ・リフトンは述べています。
そして、もし企業が破産を申請したら、その企業が収集したデータはどうなるのでしょうか?
医療ITとデータセキュリティを専門とする弁護士、タチアナ・メルニク氏は、ラジオシャックをめぐる訴訟を例に挙げて説明しました。「ラジオシャックは破産手続きの一環として、長年にわたり収集してきた消費者データのすべてを売却しようとしていました。ところが、アップルが介入し、iPhoneユーザーと関連して収集されたデータは売却できないと告げたのです」とメルニク氏は言います。
「実際のデータ集約とは別に、法執行自体がリスクとなるでしょう。企業によるデータの再配布をどう防ぐのでしょうか?消費者は自身の情報に対してどのような権利を持っているのでしょうか?」とメルニック氏は問いかけた。
ZDNetで以前報じたように、米国市民に関する大量のデータ収集を受け、連邦取引委員会(FTC)は2014年5月にデータブローカーに関する報告書を議会に提出し、市民が自分に関するどのようなデータが収集されているのか、誰が収集しているのかを知ることができる法律の制定を求めました。FTCの報告書によると、データブローカーはほぼすべての米国消費者について平均3,000のデータセグメントを収集しています。これはウェアラブルデバイスによって収集されるデータとは別です。
ウェアラブル デバイスが職場や企業ネットワークに浸透するにつれ、IT 部門に多くのセキュリティとプライバシーの課題をもたらし、データ ブローカーが販売しなければならない個人に関するデータの量が増加します。
APX Labsの最高執行責任者(COO)兼共同創設者であるジェフ・ジェンキンス氏は、CES 2015でTech Pro Researchとのパネルインタビューを行い、ウェアラブルデバイスのセキュリティとプライバシーについて語りました。ウェアラブルデバイスは小型で持ち運びやすいように設計されているため、「まずセキュリティを考慮し、そこから生成される情報についても考慮する必要があります。個人データだけでなく、機密性の高い業務データも漏洩または侵害される可能性がある状況があります」とジェンキンス氏は述べています。
セキュリティ侵害の背景には、個人データの極めて高い価値が存在します。Intel Securityのチーフ・コンシューマー・セキュリティ・エバンジェリスト、ゲイリー・デイビス氏は、「ウェアラブル端末に保存されている情報は、スマートフォンに保存されているか、あるいはクラウドサービスに保存されているかに関わらず、ブラックマーケットではクレジットカードの10倍の価値があります」と述べています。
「クレジットカード会社は不正行為の検知能力が非常に高くなっており、もしまた注目を集める小売店の不正侵入が発生した場合、たいていは『では、不正侵入が発生したのはいつですか? そのときに行ったすべての行為をキャンセルしましょう』と言うのです。これで完了です。闇市場での寿命は極めて短いのです。」
しかし、ウェアラブルデバイスに保存されている情報は消えません。社会保障番号も生年月日も変更できません。これは個人を特定できる情報であり、変更することはできません」とデイビス氏は述べた。
医療情報となると、話はさらに一歩進みます。「この人が怪我をしたので、偽の鎮痛剤の請求手続きを行い、それを闇市場で売ろうというわけです。HIPPA(医療情報保護法)のせいで、これを取り締まるのは困難です。医療関連企業を狙った大規模な情報漏洩事件が相次いでいるのには理由があります。ハッカーたちは、これが非常に価値のある情報だと認識しているのです」とデイビス氏は言います。
メーカーが知っておくべきこと
これらのデバイスのセキュリティに関する問題の一部は、ウェアラブルメーカーが競合他社に先んじて自社製品を市場に投入しようと急いでいることにあります。
「もし私の課題が、できるだけ早くデバイスを世に出し、できるだけ便利にすることだとしたら…彼らは基本的に、攻撃に対して非常に脆弱なデバイスを世に送り出しているようなものです。ウェアラブルデバイスもまさにそうです」とデイビス氏は述べた。
「今はまさに市場を奪い合う状況です。どの企業もいち早く市場に参入しようと躍起になっています。セキュリティ担当者にとっての課題は、消費者にスマートフォンのアプリやOSをアップデートさせ、適切なセキュリティパッチを適用してもらうだけでも大変なのに、アプリストアでアップデートすれば簡単にできます。ウェアラブルデバイスで同じことを行うのは、はるかに複雑です。これらのデバイスが大量に流通するようになれば、セキュリティパッチを適用するのはさらに難しくなります。ユーザーは、これらのデバイスをより安全にするために時間や労力を費やそうとはしないでしょう」とデイビス氏は述べた。
テクノロジーの世界でも、速いことが必ずしも良いとは限りません。
メルニック氏は、「テクノロジーを迅速にリリースするにはコストがかかります。金銭的な問題ではなく、市場に一番乗りしたいという思いから、プライバシーやセキュリティといった様々な考慮事項を犠牲にしなければならないのです」と述べた。
「残念ながら、企業にとってそれは近視眼的です。なぜなら、開発プロセスの一環としてプライバシーとセキュリティを構築すれば、実際には長期的にはコストを節約できるからです。なぜなら、テクノロジーに何か問題が発生した場合(これは避けられませんが)、それらのエラーを修正し、調査に対処し、規制当局に対応するには、最初から正しく行っていた場合と比べて大幅にコストがかかるからです。」
リスクを軽減するために、企業は既存の開発プロセスにプライバシーとセキュリティを組み込む必要があるとメルニック氏は述べた。
フリースケール・セミコンダクタのマーケティングディレクター、ジョン・ディクソン氏は、ウェアラブルデバイスはIoT(モノのインターネット)デバイスと同じ根本的な課題を抱えていると述べた。ウェアラブルデバイスは、位置情報を含む個人に関する豊富なデータを提供できる。
ウェアラブルデバイスを購入する前に考慮すべき点があります。「多くの人があなたの個人情報をすべて知ることになります。脈拍や動きを他人に知られても気にしますか?場合によっては、それが本当に重要になることもあります。AppleやSamsungなどの大企業は、(自社が設計する)スマートフォンに関しては、デバイスのセキュリティ対策に大規模なチームを擁するほどの規模を持っていると思います」とディクソン氏は言います。
問題は、多くのIoTデバイスにこのセキュリティ機能が組み込まれていないことだと彼は述べた。「一部のIoTウォッチの問題は、500ドルもするウォッチであればメーカーがセキュリティ機能を組み込む余裕があるのに、脈拍計や活動量計を購入すると、おそらくセキュリティ機能は組み込まれていないということです。私たちのようなベンダーがセキュリティ対策を講じていることを頼りにしているのです」とディクソン氏は述べた。
「300ドルから400ドル以下の価格帯のウェアラブルは半導体に依存している」と同氏は語った。
フリースケールは、ウェアラブルデバイスを開発するスタートアップ企業向けに、既製のソリューションに注力しています。フリースケールは、セキュリティガイドラインを備えたスタートアップインキュベーターを支援しており、1つのインキュベーターには最大100社が参加でき、デバイスに実装するための基本的なセキュリティ対策が提供されるとディクソン氏は述べています。
私たちはWaRPを開発しました。WaRPプラットフォームはオープンソースのスマートウォッチで、メーカーはあらゆる機能を個別に追加できます。ウェアラブルウォッチに追加できる機能は非常に多く、独自のソフトウェアを開発することで、あらゆる機能を実現できます。WaRPのベースとなっているi.MX 6は、当社の最も安全なプラットフォームの一つです。
「最初の製品だけでなく、製品の反復開発も重要です。新製品に切り替えるとコストはかなり高くなります。最初の製品にセキュリティ対策がされていなければ、2番目の製品に組み込むことができます。このプラットフォームは現場でアップグレード可能です。スマートウォッチをお持ちであれば、リモートでアップグレードしてセキュリティを強化することも可能でしょう」とディクソン氏は述べた。
Fitbitと固有のリスク
ウェアラブル技術の有名メーカーであるFitbitは、ウェアラブル技術に特化した企業として初めて株式を公開しました。Fitbitは6月にIPOを申請し、CNBCの報道によると、株価はIPO価格を52%上回る30.40ドルで初値を付け、2015年8月5日には最高値の51.64ドルで取引を終えました。
これはウェアラブル技術への関心の高さを示すものですが、FitbitのSEC提出書類には、メーカーが直面するリスクもいくつか示されています。同社は5月7日にSECに提出したS-1書類の中で、以下のようなリスクを概説しています。
新製品・サービスの開発と適時導入、あるいは既存製品・サービスの改善が成功しない場合、当社の事業に悪影響が生じる可能性があります。当社は、売上を維持・向上させるために、新製品・サービスの開発・導入、既存製品・サービスの改善・強化を継続的に行わなければなりません。新製品・サービスまたは改善された製品・サービスの成功は、消費者の嗜好や需要の予測と効果的な対応、販売・マーケティング活動の成功、タイムリーかつ効果的な研究開発、製品需要、購入コミットメント、在庫レベルの効果的な予測と管理、製造・供給コストの効果的な管理、製品の品質または欠陥など、多くの要因に左右されます。当社の製品・サービスの開発は複雑でコストがかかり、通常、複数の製品・サービスを同時に開発しています。
繰り返しになりますが、競争が激しいため、メーカーは市場にいち早く参入することが重要です。中には、実際には実現できないセキュリティやプライバシー保護を約束するユーザー契約を交わす企業もあります。「ウェアラブル分野の企業は、顧客に伝えている内容が真実であることを確認する必要があります。」メルニック氏は、ユーザー契約に実際には実行していない内容が含まれている場合、その企業は「リスクに対する怠慢」に当たると述べています。
データ漏洩保険
メルニック氏は、直接関係はないが、企業がデータ漏洩リスクや消費者訴訟の可能性に対処するために数年前からサイバー賠償責任保険を購入していることを指摘しておくことが重要だと述べた。
しかし、保険会社は反撃を始めている。
5月、コロンビア・カジュアルティは、顧客であるコテージ・ヘルス・システムのネットワークサーバーの暗号化が不十分だったために患者の機密情報がインターネット上でアクセス可能になったデータ漏洩事件を受け、保険会社として初めて責任を問う訴訟を起こした。同社は、原告が医療提供者を相手取って起こした集団訴訟の和解金として412万5000ドルを支払ったが、現在、その返還を求めて訴訟を起こしている。同社は、自社の支配権を不当に主張している。
この訴訟の結果によって、企業はウェアラブル機器を通じて収集しているデータを保護するだけでなく、エンドユーザーライセンス契約(EULA)で約束したセキュリティ上のすべての内容が真実であることを確認する必要性がさらに高まる可能性があるとメルニック氏は述べた。
SAP のモバイル ソリューション管理担当副社長 Josh Waddell 氏は、EULA の過度な範囲にわたる性質を懸念しています。
「万が一大きな問題が発生した場合、EULAは強制執行できません。『当社はお客様のデータを利用する権限を有します。お客様の脈拍を毎秒測定し、お客様の健康保険会社に送信します』などとEULAに書き込むことはできますが、それが漏洩したとしても、『EULAにそう書いてあるのだから問題ない』と判断する裁判官はいないでしょう」とワデル氏は述べた。
プライバシーとセキュリティ
たとえ漏洩がなくても、健康情報そのものが問題となる可能性があります。なぜなら、膨大な個人データが収集されているからです。これはセキュリティというよりも、プライバシーの問題に関わってきます。
フリースケール・セミコンダクタのセンサーソリューション部門のマーケティングマネージャー、イアン・チェン氏は、プライバシー保護策が必要だと述べた。
「企業は、デバイスを装着すると健康保険の割引を提供します。そして、ウェアラブルデバイスから得られるデータを確認します。3ヶ月以内に医師の診察を受けなければ保険料が上がると言われたら、公平でしょうか?もし企業がデータをマイニングして、あなたが危険運転者だと判断して保険料を上げたらどうなるでしょうか?」とチェン氏は述べた。
しかし、誰がデータにアクセスできるのかを考えてみましょう。「AppleとGoogleがすべてのデータを所有していると誰もが言います。しかし、VerizonとAT&Tもデータを所有していることを忘れている人がいます」とチェン氏は言います。「VerizonとAT&Tはデータを貸し出すことができるのです。」
この問題を解決するには、「デバイス間で通信して、『このレベルのプライバシーを要求しており、そのレベルまで保護するように指示されています』と伝えるプライバシー プロトコルが必要だと思います」とチェン氏は述べた。
収集されるデータ量が天文学的な速度で増加しているため、プライバシールールを迅速に制定する必要があります。「2025年までに、センサーやデバイスから生成されるデータは、現在あらゆる情報源から生成されるデータの総量を上回るでしょう」とチェン氏は述べています。
消費者が何をすべきかという点では、多くの消費者がテクノロジーに特に精通しておらず、自宅のインターネットに接続された機器に常に注意を払っているわけではなく、何が起きる可能性があるかを認識していないことが問題だとメルニック氏は述べた。
メルニック氏は、この件に関する最初の大規模訴訟が重要な転換点となるだろうと予測した。FTCはデータのプライバシーに関する訴訟を進行中だが、ウェアラブル機器に関する訴訟は進行中ではない。
ドゥーリー氏はまた、メーカーが収集しているデータのプライバシーとセキュリティをより良く保護するよう促すには、大規模な訴訟が必要になると考えている。
「正直なところ、この件に関して今後どうなるのか全く分かりません。残念ながら、フォード・ピントの事故のような事態は避けられないだろうと思っています。振り返ってみると、あの出来事は特に興味深いものでした。なぜなら、フォード・ピントは、当時走行していた他のどの車よりも長期的に見て危険であるとは、決して明確に示されなかったからです。リアにガソリンタンクを搭載した車であれば、同じような状況で同じような事故を起こす可能性は同等だったでしょう」とドゥーリー氏は述べた。
フォード・ピントが火災の危険性があると認定された後、自動車業界に基準が設定されたとドゥーリー氏は語った。
保険金詐欺と犯罪解決
ウェアラブルデバイスは、保険会社が不正請求を訴えるケースをサポートするためにも使用できます。
トゥーナリ社のCEO、カーマン・ツィーゲンバイン氏は、ウェアラブル機器やソーシャルメディアのデータを活用して、同社は警察や保険会社と協力し、犯罪や詐欺の解決に取り組んでいると語った。
「保険金詐欺は横行しています。多くの人がウェアラブル技術を利用しています。例えば、車にひかれて『もう歩けない』と言った人が、ウェアラブルデバイスを使っていれば、そこからデータを取得できます。誰もがこうしたことを綿密に計画しているわけではありません。証言台でこのデバイスを装着していれば、弁護士はそれを見ることができます。あるいは、弁護士が宣誓の下で『Fitbitを装着していますか?』と尋ねることも可能です。」
被告がウェアラブルデバイスを使用していることが判明すると、それは取引データとみなされます。「このデータは召喚状を送付するか、証拠開示手続きを通じて入手することができます。」
歩行距離と高度も収集データに含まれるため、個人のフィットネスレベルを的確に表すことができます。不正行為を証明できるだけでなく、利用者が正直であれば、歩行不能や事故前ほど活動的でないことを示すことができるため、利用者にとってメリットにもなり得ると彼は述べています。
「AndroidデバイスはAppleデバイスよりもはるかに劣悪です。Androidアプリがアクセスできるものがはるかに多く、Appleほど規制が厳しくありません。だからこそ、課題は多くなります。AndroidはAppleよりも多くのことができるので、良い点もあります」とツィーゲンバイン氏は述べた。
規制とコンプライアンス
議論の一部には、メーカーが自ら規制すべきか、あるいは政府が介入すべきかという点も含まれる。
クラウド・サプライのジョシュ・リフトン氏は、「規制は効果を発揮することもあるが、完全に失敗する可能性もあるので、私はそこにすべてを賭けるつもりはありません。規制は国民感情を反映するものであり、そうあるべきです。規制がなくても効果を発揮する可能性があると思います。私は規制を歓迎します。データのプライバシーとセキュリティは基本的人権です。これは今議論すべき最も重要なトピックの一つだと思います。」と述べました。
コストを計算せずに自分のデータを放棄しようとする人が多すぎます。
VMwareのエンドユーザーコンピューティング戦略担当シニアディレクター、バジル・ハシェム氏は次のように述べています。「私たちは、いわゆる『生活のUber化』の世界にいると思います。誰かに位置情報やクレジットカード番号を単刀直入に尋ねても、相手はノーと言います。『こちらで登録すれば迎えに行きます』と言えば、相手が教えてくれます。私たちの生活では、利便性がプライバシーよりも優先されてしまうことが多いようです。」
この問題を解決するために、ハシェム氏は「業界は自らを規制する義務があります。場合によっては政府による規制も理にかなっていると思います。消費者やデバイスメーカーに情報を提供し、どのようなデータを収集しているのかを示すことで、私たちにできることはたくさんあります」と述べました。
VMwareのAirWatch会長アラン・ダビエール氏は「政府による介入は望まないが、この新しい世界への対応が遅れるのも望まない」と語った。
コックス・ターゲット・メディアの新興技術担当シニアディレクター、フレッド・ステューブ氏は、「プライバシー侵害は今後も増加し続けるでしょうが、これらの企業には、データの再販、再利用、その他の共有を行わないという保証が必要です。最終的には、ハードウェア側であれマーケティング側であれ、企業は自らベストプラクティスを課そうとするでしょう。そうすることで、消費者にとって不気味で奇妙な体験、そしてネガティブな体験にならないようにするのです」と述べています。
「そうなるだろうと思います。ただ、人々が動揺し、議会が主導権を握り、政府に規制されるようになるだろうと予想しています」とステューブ氏は述べた。
ドゥーリー氏は、解決策は政府とメーカーを統合した規制当局の共同体になると述べた。「バランスを取る必要があります。そのバランスがどこで取れるかは、個人がプライバシー全般に対してどの程度安心できるかに大きく左右されます。実際、ほとんどの人は、まだその議論をする準備ができていないのです。」
リスクを比較検討する
ウェアラブルデバイスは、フィットネストラッキング、健康状態、その他の便利な測定機能への即時アクセスを消費者が評価するにつれ、今後も人気が高まっていくでしょう。今のところ、健康・フィットネス関連のウェアラブルデバイスやスマートウォッチで収集されたデータに関するデータ漏洩事件は大きく報道されておらず、プライバシーやセキュリティリスクに関する世論の高まりも見られません。
しかし、多くの専門家は、データの価値は盗まれたクレジットカード番号などよりもはるかに高いため、いずれはそうなるだろうと指摘しています。フリースケールなどの一部のリソースではセキュリティ対策が提供されていますが、現時点ではごくわずかです。
政府、民間企業、あるいはその両方による確固たる規制が整備されるまでは、ウェアラブルデバイスにはセキュリティとプライバシーに関する固有のリスクが伴うでしょう。流行のApple WatchやMisfit Shineを身につけることのリスクが、そのメリットに見合うかどうかを判断するのは、消費者自身です。
