生理追跡アプリは、いつ生理があるか、いつ排卵しているか、いつ性行為があったか、どのような症状があるか、妊娠しているかもしれないかを知っています。これはスマートフォン上のどのアプリよりも繊細なデータの一部です。それでも、ほとんどの人は生理トラッカーをダウンロードし、権限を付与し、プライバシーポリシーの一行も読まずに終わります。2022年以降、何百万人もの女性にとってこれが変わりました——しかしまだ十分ではありません。

ロー後の目覚め

2022年6月に米国最高裁がロー対ウェイド判決を覆したとき、生理追跡アプリのプライバシー慣行が一夜にして一面ニュースになりました。懸念は明快でした。生理トラッカーのデータが会社のサーバーに保存されている場合、法執行機関が潜在的にそのデータを召喚状で取得できます。生理の欠如、記録の突然の空白、妊娠症状についてのメモ——この情報は、中絶が制限されている州での証拠として理論的に使用される可能性があります。

これは仮定の話ではありませんでした。2023年、ネブラスカ州の母娘がFacebookのメッセージに一部基づいて起訴されました。その事件は健康アプリではなくソーシャルメディアに関するものでしたが、デジタル健康関連データがすでに検察官に求められていることを示しました。Electronic Frontier FoundationとMozilla Foundationのプライバシー研究者たちは両方とも、生理トラッカーデータの脆弱性についての警告を発表しました。

結果は削除の波でした。世界で最も人気のある生理トラッカーであるFloは、プライバシーについての会社の保証にもかかわらず、数百万人のユーザーにアンインストールされました。しかしアプリを削除しても根本的な問題は解決しません。問題は、特定のアプリが信頼できるかどうかではなく——アプリのアーキテクチャが信頼を不要にするかどうかです。

生理トラッカーが通常収集するデータ

ほとんどの生理追跡アプリは、サイクル日付以上のものを収集します。典型的なアプリが求めるものを以下に示します。

• 月経サイクルの日付——生理の開始日、終了日、経血量
• 排卵と妊娠可能性データ——排卵検査の結果、基礎体温、頸管粘液の観察
• 性行為——性行為があったか、避妊具を使用したか
• 症状——けいれん、頭痛、腹部膨満感、乳房の圧痛、気分の変化
• 気分と精神的健康——不安、抑うつ、過敏性
• 妊娠関連データ——妊娠検査、流産、中絶
• アカウント情報——メール、名前、年齢、場所

総合すると、これは誰かの生殖的健康と性的行動の非常に詳細な描写です。問題は、このデータすべてがどこへ行くかです。

「データを販売しない」と「データを持っていない」の違い

この区別はアプリのプライバシーについて理解すべき最も重要なことであり、生理トラッカーをはるかに超えて適用されます。

「データを販売しない」とは、会社があなたのデータをサーバーに保存しているが、それをサードパーティに販売しないと約束することを意味します。これはいつでも変更できるポリシー上の決定です。また、データ侵害、政府の召喚状、または買収（会社が買収されると、データ資産が取引の一部になる）からも守られません。

「データを持っていない」とは、アプリがすべてをデバイスにローカルに保存することを意味します。サーバーはありません。召喚状をかけるものも、侵害するものも、販売するものもありません。たとえ会社があなたのデータを引き渡したくても、できません——文字通り所持していないのです。

これはポリシーによる保証とアーキテクチャによる保証の違いです。ポリシーは変更できます。アーキテクチャは遡及的に変更して、収集されなかったデータを露出させることはできません。

オンデバイスとクラウドストレージ：技術的な意味

アプリがデータを「オンデバイス」に保存する場合、情報はiPhoneやAndroid端末上のローカルデータベースファイルに保存されます。iOSでは、このデータはデバイスのハードウェア暗号化によって保護されています——電話がパスコードまたはFace IDでロックされている場合、データベースファイルは保存時に暗号化されます。電話をロック解除せずに読むことはできません。

アプリがデータを「クラウド」に保存する場合、情報はインターネット経由で会社のサーバー（より一般的には、Amazon Web Services、Google Cloud、またはMicrosoft Azure）に送信されます。会社はこのデータにアクセスできます。従業員もアクセスできる場合があります。法執行機関は令状でリクエストできます。ハッカーが狙う可能性があります。

一部のアプリはハイブリッドモデルを提供しています。バックアップやマルチデバイスアクセスのためのオプションのクラウド同期を備えたローカルストレージです。これはクラウドのみよりもプライベートですが、データがサーバーに触れた瞬間、アーキテクチャによる保証はなくなります。

プライバシーポリシーの危険信号

生理トラッカーのプライバシーポリシーを読む場合（読むべきです）、警告サインは以下のとおりです。

• 「パートナーと匿名化されたデータを共有する場合があります」——研究は繰り返し、健康データの匿名化は、特に他のデータセットと組み合わせた場合、しばしば再識別できることを示しています。Nature Communications誌の2019年の研究では、わずか15の人口統計属性を使用して、すべてのデータセットでアメリカ人の99.98%が再識別できることがわかりました。
• 「サードパーティの分析を使用しています」——これはあなたの使用データ（そして潜在的に健康データ）がGoogle Analytics、Facebook SDK、またはAmplitudeなどのサービスを通じて流れることを意味します。これらの会社は広告プロファイルを構築します。
• 「法的義務を遵守するために情報を開示する場合があります」——すべての会社は法律を遵守しなければなりません。しかし重要な問いは、そもそも開示するデータを持っているかどうかです。
• アプリを使用するためにアカウントまたはメールを要求する——生理を記録する前にアプリがメールアドレスを必要とする場合、あなたのデータはほぼ確実にサーバーに保存されています。
• データ保持に関する曖昧な表現——ポリシーにデータをどのくらい保持するか、または完全に削除する方法が記載されていない場合は、無期限に保持されると仮定してください。

プライベートな生理トラッカーに求めるもの

プライバシーが優先事項である場合（データの性質を考えると、そうすべきです）、次の特性を探してください。

• アカウント不要。メール、名前、または任意の識別情報を提供せずに、アプリを開いてすぐに記録を開始できるべきです。
• クラウドストレージなし。すべてのデータはデバイスにローカルに保存されるべきです。アプリが機内モードで動作するかどうかを確認してください——動作する場合、良い兆候です。
• サードパーティ分析SDKなし。App Store（任意のアプリのページをスクロールして「App Privacy」を確認）でアプリのプライバシーラベルを確認してください。「収集しないデータ」または「あなたにリンクしていないデータ」と報告するアプリを探してください。
• アーキテクチャについてオープン。最良のアプリは、データを保護する方法を明確に説明しています——保護するとだけ言うのではなく。
• データのエクスポート。標準形式でデータをエクスポートできるべきです。これにより、ロックインされることはありません。

Cylaはこのオンデバイスアプローチの一例です——アカウントなし、クラウドなし、分析なしで、すべてのサイクルデータを電話にローカルに保存します。しかし、どのアプリを選んでも、ブランド名よりもアーキテクチャの方が重要です。

任意のアプリのプライバシーラベルを確認する方法

Appleは2020年12月にApp Privacyラベル（「栄養ラベル」とも呼ばれる）を導入しました。完璧ではありません——開発者による自己申告です——しかし有用な最初のフィルターです。

確認方法：

• App Storeを開き、アプリを検索する
• 「App Privacy」セクションまでスクロールする
• 「あなたにリンクされたデータ」と「あなたを追跡するために使用されるデータ」の下にリストされているものを確認する
• ゴールドスタンダードは「収集しないデータ」——これは開発者がアプリがデータを全く収集しないと主張することを意味する

参考として：FloのApp Privacyラベルには、健康とフィットネスデータ、連絡先情報、識別子、使用データ、診断が「あなたにリンクされたデータ」としてリストされています。オンデバイスのみのアプリは、カテゴリが大幅に少ないか、まったくないはずです。

生理トラッカーを超えて

この記事の原則は、スマートフォン上のすべての健康アプリに適用されます——睡眠トラッカー、気分日記、妊娠可能性モニター、服薬リマインダー。繊細な健康データを扱うすべてのアプリは、同じ基準で評価されるべきです。会社はあなたのデータを持っているか、持っていないか？

根本的な問いは「この会社を信頼できるか？」ではありません。「このアプリのアーキテクチャはそもそも会社を信頼することを必要とするか？」です。答えがノーのとき——あなたのデータが物理的にデバイスを離れることができないとき——プライバシーは約束でなく事実になります。