ロー対ウェイド判決後のプライバシー重視型生理管理アプリ

2022,より前は、アメリカのユーザーの多くが生理管理アプリのプライバシーポリシーを読んでいませんでした。ドブス判決の後、多くの人が、しばしば初めて、それを読むようになりました。もはや抽象的な問いではなくなったのです。このアプリは実際に何を保存しているのか、そしてそのデータに何が起こり得るのか、という問いです。

これは製品の手引きであり、法的助言ではありません。生理管理アプリを精査する際に確認すべき点を挙げています。特定の法的手続きから何が保護され、何が保護されないかを説明するものではありません。法的な懸念がある場合は、お住まいの地域で資格を持つ弁護士に相談してください。

以上を前提として、確認すべき点を以下にご紹介します。

変わったのは枠組みであって、技術ではありません

以下に挙げる暗号技術やソフトウェアの実践は、何年も前から存在しています。Dobbs判決後に変わったのは、その可視性です。かつては仕様書の片隅に記された細かな項目だったものが、今ではアプリの前面に掲げられる約束事になりました。プライバシーを真剣に考えるアプリはそれらを率直に語りますが、そうでないアプリは語ろうとしないことが多いのです。

このガイドで挙げる7つの基準は、プライバシーを重視するトラッカーであれば、平易な言葉で明言できてしかるべき内容です。

確認すべき7つの基準

サイクルトラッカーを導入する前に役立つ実践的なチェックリストです。最も厳格なアプリは7つすべてを満たします。

• AES-256-GCMによるエンベロープ暗号化。 各ユーザーは固有のデータ暗号化キー（DEK）を持ち、それは鍵管理サービス内のマスターキーでラップされます。ディスク上のデータは暗号文であり、サーバーが侵害されても露出するのは暗号文であって、読み取り可能なサイクルデータではありません。
• 消去権が鍵を破棄する。 アカウントを削除すると、ベンダーはデータベースの行だけでなくDEKを破棄します。鍵がなくなれば、それを含むあらゆるバックアップを含め、元となる暗号文は恒久的に読み取り不能になります。
• 24時間の削除ウィンドウ。 ベンダーは、AI機能で使用されるベクトル埋め込みを含め、要求から24時間以内に消去を完了することを書面で確約します。
• 医療的な主張をしない。 家族計画の予測も、いかなる種類の臨床的な主張も、「RED day（赤の日）」といった表現もありません。医療的な枠組みから外れた一般消費者向けトラッカーは、規制や開示の対象範囲がはるかに狭くなります。
• プッシュ通知に月経関連のコンテンツを含めない。 プッシュ通知のタイトルや本文には、サイクル、生理、家族計画に関する内容を一切含めません。ロック画面のプレビューも安全です。
• 管轄区域に配慮した表現。 米国のユーザーには、デフォルトで中立的な用語（「body day」「log this」）が表示されます。アプリはユーザーが「period（生理）」という語の表示を望んでいると決めつけません。
• 明示的で個別に取得される同意。 GDPR第9条は何年も前からこれを実践してきました。Dobbs判決後、米国のユーザーも同じものを求め始めました。一括的または暗黙的な同意では不十分です。

暗号化の詳細が実際に重要な理由

上記の基準のいくつかは、技術的に聞こえるかもしれません。これらが重要なのは、何が復元可能かを左右するからです。

事業者がサイクルデータを平文で保存している場合、すべてのバックアップ、すべてのレプリカ、そしてすべての分析パイプラインがそれを読み取れます。削除リクエストによって該当の行は削除できても、データはバックアップの中で数か月、あるいは数年にわたって残り続ける可能性があります。

事業者がユーザーごとの鍵によるエンベロープ暗号化を用いている場合、ディスク上のデータはそのユーザーのDEKがなければ読み取れません。削除の際にDEKが破棄されると、バックアップに残った暗号文も、たとえバックアップが復元されたとしても読み取れません。その削除は、UI上で見えるだけのものではなく、数学的に本物なのです。

これは「ハッキング不可能」という意味ではありません。暗号には限界があり、絶対的な安全性をうたう事業者は、無知であるか嘘をついているかのどちらかです。適切な鍵管理を伴う強力な暗号化が実現するのは、明確な失敗モードを定めることです。すなわち、鍵が守られている限りデータは読み取れず、鍵が破棄されれば永久に読み取れなくなる、ということです。

「プッシュ通知に月経関連の内容を含めない」の本当の意味

ロック画面のプレビューは、知らぬ間に情報が漏れてしまう領域です。「明日から生理が始まります」とプッシュ本文に表示するアプリは、スマートフォンを覗き込んだ誰にでも周期データを明かしてしまっています。

本格的なトラッカーは、プッシュ通知に月経関連の内容を含めないことをCIで徹底します。Soulwiseのビルドパイプラインは、プッシュのタイトルと本文の文字列を禁止ターム一覧と照合し、月経や家族計画に関する内容をプッシュに含むビルドは、リリース前に必ず弾かれます。ユーザーが受け取るのは「ゆったりとした始まりを。今日は何を予定していますか」といった、日々の習慣を促すメッセージだけです。周期のフェーズも、生理への言及も、医療的な表現もありません。

ローカル保存のみ vs 暗号化クラウド：トレードオフを選ぶ

正当なアーキテクチャは2つあり、それぞれ想定する脅威モデルが異なります。

ローカル保存型トラッカー（Drip、Euki）。データは端末内に保存されます。召喚状で差し押さえられるクラウド上のコピーは存在しませんが、端末間の同期もなく、AI機能も限られます。バックアップは利用者の責任となり、端末の盗難やOSのバックアップ（OSレベルで暗号化されている場合とされていない場合があります）への対処も同様です。

暗号化クラウド型トラッカー（Soulwise、Clue、その他）。データは端末間で同期され、AI機能を支えます。プライバシーはベンダーの暗号化やデータ消去の運用に依存します。この脅威モデルは、有能なベンダーと堅牢な鍵管理体制を前提としています。

どちらが普遍的に「より安全」というわけではありません。正しい答えは、何を懸念しているかによって変わります。ローカル保存のみはユーザー体験の面では難しい選択であり、データの露出面という点ではシンプルな選択です。暗号化クラウドはその逆になります。

あえて約束しないこと

ここに挙げるのは、あらゆる宣伝文句において疑ってかかるべき項目です。

• 「ハッキング不可能」。ハッキングできないシステムは存在しません。これを謳う者は、何かを売りつけようとしています。
• 「あなたのデータは法執行機関から守られる」。これは技術的な主張ではなく、法的な主張です。技術的に言えるのは「保存データは暗号化され、削除時に鍵が破棄される」ということだけです。特定の手続きがもたらす法的帰結については、弁護士のみが対応できる領域です。
• 「100%安全」。前述のとおりです。セキュリティは脅威モデルに対する特性であって、絶対的なものではありません。
• 「プライバシーを保証」。プライバシーは実践であって、保証ではありません。

Soulwise のプライバシーに関する約束は、具体的で検証可能です。保存時には AES-256-GCM を採用。ユーザーごとの DEK は KMS マスターキーでラップされます。ベクトル埋め込みを含め24時間以内に消去。月経に関する内容はプッシュ通知に含めません。GDPR 第9条に基づく明示的な同意を取得します。Soulwise のプライバシーページでは、それぞれの項目を根拠となる仕様の参照とともに一覧化しています。

最悪のケースを超えて重要な理由

Dobbs判決後の議論は、月経トラッカーのプライバシーを極端なシナリオで考えるよう人々を促してきました。けれども、同じ基準は、はるかに身近な状況でこそ重要になります。ルームメイトと共有しているスマートフォン、端末を借りる加害的なパートナー、通知を目にする詮索好きな雇用主、家族のiCloudアカウントに紛れ込むバックアップ——そうした場面です。

強固なデフォルトのプライバシー保護は、最悪のケースのためだけにあるのではありません。毎日のためにあるのです。

短くまとめるなら、ふさわしいトラッカーとは、プライバシーへの取り組みが具体的で、検証可能で、平易な言葉で明示されているものです。どのアプリにも、上記の7つの基準を尋ねてみてください。明快に答えられないなら、それ自体が答えです。最も普及している既存サービスとの比較については、Floの代替となるプライバシー優先ガイドをご覧ください。また、同じ原則から導かれるインクルーシブなデフォルト設定については、ノンバイナリーの方のための月経トラッカーをご覧ください。