Appleは以前から、セキュリティやプライバシーに関する自社の考えや方針を雄弁に語ってきたが、最近ではそれを営業のツールとして利用する傾向もある。それは、個人情報を外に漏らしたくなければAppleのハードウェアを買え、という単純なメッセージだ。
しかし最近ではAppleのハードウェアの基本機能の中に、個人情報を必要とするものもあるから、ユーザの懸念も増している。たとえば‘Hey Siri’機能は、スマートフォンの電源が入っていなくても勝手に動いている。この、ユーザのやることにいつでも聞き耳を立てている状態は、そのデータの扱われ方に関する疑問を喚起する。Live Photosも、新しい気がかりだ。写真に勝手に、動きと音声が付くのだから。
これらの新しい機能は、Appleのプライバシーの取り扱いに関する疑問に導く。その一部については本誌TechCrunchのNatasha Lomasが今朝(米国時間9/11)の記事に書いている。そしてAppleは、本誌が提出したQ&Aにも答えてくれた。
その情報と、今週あちこちからかき集めた知識を合わせると、Appleの言わんとするところが、よりはっきり分かる。
Live Photos
Live Photosはいわば、iPhoneの新しい画像フォーマットで、通常はふつうの写真に見えるが、それをプッシュすると音声付きの超短編のビデオが再生される(スチルの撮影前の1.5秒+撮影後の1.5秒)。
Live Photosの取り扱われ方は従来のiPhoneの写真とまったく同じで、iCloudに送られるときとiCloud上では暗号化される。
Live Photosはユーザがスチルを撮影する「前」にも動画を記録するから、ユーザがカメラを開いて、しかも画面上部にLiveアイコン(オレンジ色の円)があれば、映像が絶えずバッファに記録されている。Appleによると、この1.5秒の記録はカメラがonのときだけ行われるが、ユーザが実際に写真を撮るまでは、それらの情報は恒久的には保存されない。
Appleの説明では、“Live Photoモードではカメラは記録を行っているが、ユーザがカメラのボタンを実際に押すまでの1.5秒映像をデバイスは保存しない。事前に記録された映像はユーザのデバイスに保存されず、またどこかへ送られることもない”、となっている。〔デバイス上に恒久的に保存されるのは、撮影直前+直後の各1.5秒のみ、ということ。〕
なお、Liveボタンをタップしたときは、スチル撮影後の1.5秒も記録される。
本誌が集めた情報によると、Live Photosは1枚の12メガピクセルの画像に、.movのような動画ファイルを合わせたものだ。iOSはそれらの表示を一緒に行うが、実体としては別々だ。写真を誰か・どこかに送るときは、スチル画像だけを送るという指定ができる。相手がiOS 9を使っていれば、もちろん、動画と一緒にLive Photoとして送れる。その場合の暗号化ファイルの伝送量は、その画像の状態によってさまざまだが、だいたい、12メガピクセルの画像二枚ぶんだそうだ。
Appleは曰く、“弊社はLive Photosのプライバシーとセキュリティを、従来のPhotosやVideosと同様に扱う。それらは、ユーザが意図的にシェアしたりiCloudを利用したりしないかぎり、いかなる場合でも、デバイスを去ることはない”。
Live Photos機能はデフォルトだが、アイコンをタップしてoffにできる。
Hey Siri
次は、‘Hey Siri’機能をonにしていたらプライバシー保護はどうなるか? Live Photosよりもこっちが気になるユーザもいるだろう。Siriは、あなたがその特定のフレーズを言うのを待ち受けているわけだから、終始ユーザに聞き耳を立てていることになり、もしかしてすべての発話が、記録されているのではないか?
Hey Siriはオプション機能なのでiOS 9のセットアップのときにyesと答えれば有効になる。そのまま無視ならnoの意味だ。しかし有効になっていても、録音という行為はいっさい行われない。
Appleは曰く、“この機能がトリガされる前にユーザの発話を記録したり、その情報をAppleに送ることは、いかなる場合にもない”。
録音や送信はしないけれど、Siriはマイクロフォンから拾う音をたえず、ユーザがセットアップときに吹き込んだSiri起動命令と比較している。したがって、語句だけでなく声の質もユーザ本人でなければSiriは起動しない。他人があなたのSiriを起動してしまう心配はない。
だからデバイス上に記録されるのはユーザが最初に吹き込んだ命令だけで、ほかはいっさい、記録〜録音されない。比較もデバイス上で行われるから、発話がどっかのサーバなどに送られることもない。
“Siriが聴取しているオーディオは絶えずフレッシュに上書きされており、ユーザがSiriを起動したときのレスポンスタイムの短縮を可能にしている”、とAppleは述べている。重要なのは、比較がデバイス上でローカルに行われることと、次々と入ってくるオーディオは記録(録音)されずに数秒単位で上書き消去されること、したがって今後の取り出しや利用が不可能なことだ。
しかしSiriがいったん起動したら、Siriに対するその後のコマンドはAppleのサーバへ送られるが、その場合はユーザIDとして一時的な乱数が使われる。本物のApple IDや、そのほかの個人情報(氏名など)は送られない。ただしAppleによる個人情報の利用は、今後のサービスの改善のために、ユーザが質問に答えて‘認める’ことはありえる(この問題はSiriとは無関係)。Siriの場合は、Siriサーバは今お相手しているユーザが誰であるかを知らないし、知る必要もない。
Appleは曰く、“ユーザがSiriをoffにしたら、ユーザのSiri IDに結びついているユーザデータをAppleは削除する。その後またonにしたら、学習過程が最初からすべてやり直しになる”。
Appleとしては、もっと便利で高度な個人化機能をユーザに提供するためにはユーザの個人情報が必要だし、しかしそれと同時に、ユーザのプライバシーは絶対に守らなければならない。その両極端のあいだで、適切なバランスを取ることは、きわめて難しい。Siriの場合は、そのユーザIDをユーザの本物のApple IDと無関係にし、しかも一時的な利用だけにすることで、そのバランスを保とうとしている。
AppleのSiriサーバがユーザの個人情報を入手できたら、Siriはもっと便利になるだろうか? もちろん、なるだろう。Appleのデータサイエンティストたちは、モアベターなサービスをモア快速に提供するために、今の何十倍ものデータを処理しなければならない。そんなときでも、データは匿名化されるから無害だ、と主張はできる。Googleは、Google Nowサービスの改良と、データを広告のターゲティングに利用するために、まさにそれをしている。
しかしAppleは、ユーザのデバイス上のデータをなるべくデバイスの外へ出さないことと、Appleが持っているユーザデータをAppleの外(パートナーなど)へは出さないことに、あくまでもこだわる。Hey SiriやLive Photosのような機能でも、そのきわめて保守的な路線を守らざるを得ないのだ。
そして同社は、クラウドサービスでより高度な機能を提供しようとするたびに、このような質問に答えざるを得ないのだ。
