違法スパイ装置と見なされたIoT人形「ケイラ」とは？（後編）

March 1, 2017 08:00
by 江添 佳代子

　
・違法スパイ装置と見なされたIoT人形「ケイラ」とは？（前編）
・違法スパイ装置と見なされたIoT人形「ケイラ」とは？（中編）

ケイラを推薦しなかったジャーナリストの主張

発売当初、多くの保護者たちから支持されていたはずの「賢いIoT人形」ケイラの雲行きは、少しずつ怪しいものになりつつあった。マンローが行ったハッキング実験の映像が不気味だったせいか、彼が指摘した脆弱性が懸念されたのか、それとも別の理由があったのかは断言できない。ただ、「もしかしてケイラは、私たちが想像していたよりも危険な玩具なのではないか？」と訝る声は少しずつ大きくなり、その噂は「それほどセキュリティに強い興味を示さない人々」の間にも広がるようになった。

たとえばジャーナリストのジェームス・ザーンによる「ロックなファミリー向け」の情報マガジン「The Rock Father Magazine」は2015年11月、同誌が毎年掲載している「今年のクリスマスプレゼントガイド」からケイラの推薦を外しただけでなく、「なぜ私が、この人形をガイドから取り除いたのか」を丁寧に説明する記事を掲載した。彼の玩具に対する愛が伝わるような、情熱的な文章で綴られた興味深い記事なのだが、ここでは要点だけを紹介しよう。

『The Rock Father Magazine』に掲載されたケイラのレビュー記事

まずザーンが指摘したのは、「セキュリティの甘いBluetooth接続に対する不安」だった。彼の説明によれば、ケイラはあらゆるデバイスに接続しようと勝手に試みるため、「まるで一般的なBluetooth接続のスピーカーと同じだ」という。「たとえケイラのアプリを終了させた状態でも、Bluetooth接続の終了（あるいはログアウトや切断）を怠れば、ケイラのスピーカーから音楽が再生されてしまうことは充分に起こりえる。私は、それが『たまたま実際に起きた』おかげで、その可能性があることを知った」と彼は説明した。

また彼は、前回に紹介した研究者マンローの結論と同じ点を、父親の観点から説明している。ケイラは「4歳児以上推奨」の玩具であるにも関わらず、適切に遊ぶためには「停止ボタンの操作」が要求されている。それは4歳児どころか、彼の6歳の娘にとっても無茶な要求で、それが満たされなかった場合、ケイラは周囲の会話を勝手に聞いてしまう。誰からも話しかけられていないケイラが、ぶつぶつと一人で回答するのは不気味なことだ、とザーンは主張した。

さらにザーンは、これまでに研究者たちが関与しなかった面白い点を一つ指摘した。それはケイラが、一部のポップカルチャーを「暴力（戦闘シーン）」があるという理由で子供たちから遠ざけるよう意図的にプログラミングされているのではないかという疑惑だった。たとえばケイラは、シンデレラや白雪姫に関しては朗々と語る。そのあらすじを話すこともできる。しかしスター・ウォーズやニンジャ・タートルズについて尋ねられれば、「戦闘シーンだらけのスペースムービーには興味がない」「亀が人間になるアイディアは面白いけど、戦闘が多すぎる」といった露骨な拒否反応を示す。この点は、ロックな父親のザーンには見過ごせないポイントだったようだ。

シンデレラや白雪姫について語り、スター・ウォーズやニンジャ・タートルズに否定的なコメントをするケイラ

しかし当時のケイラに対する一般的な見解は、まだ賛否両論だった。ザーンがケイラを「気味の悪い人形だ。私も妻も、決して娘に与えたいとは思わない」と酷評した一方、子供向け商品の包括的なレビューを提供する米国拠点の大手情報サイトTTPMは、ケイラを非常に高い点数で評価し、2015年の「Most Wanted Dolls」に指名した。

ついに明かされた「ケイラの正体」

ケイラの将来にとって決定打となったのは、ノルウェー消費者委員会が行った調査報告の結果だ。それは2つの玩具、「My Friend Cayla（ケイラ）」と「i-Que」の仕様と技術的な機能を確認し、そのリスクを検討するために行われた調査だった。ちなみにi-Queはケイラと同じGenesis ToysによるIot製品の子供向けロボットで、その音声認識システムがNuance Communicationsによって提供されているという点も同じである。

男児向けのロボット玩具「i-Que」

調査の結果、ノルウェー消費者委員会は、両方の玩具が「消費者の基本的な権利、セキュリティ、プライバシーの保護に対する深刻なリスクを抱えており、またそれらの理解に欠如がある」と判断した。この報告を重く見たBEUC（欧州消費者機関）、およびEPIC（電子プライバシー情報センター）は2016年12月6日、米国と欧州のデータ保護の当局に対して「ネットワークに接続される、安全ではない2つの玩具」に措置を講じるよう求めた。もちろん彼らが措置を求めた相手には、FTC（米連邦取引委員会）も含まれている。

ノルウェー消費者委員会が重視した問題は、次の4つだった。
　
（1）セキュリティの欠如
誰でもスマートフォンで玩具のコントロールができるため、Bluetooth接続を可能とする範囲（※1）にいる第三者が、玩具に触れなくとも遠隔操作で盗聴できる可能性があるという指摘。「たとえば利用の際に玩具に触れさせる、あるいは携帯電話とのペアリングの際にボタンを押さなければ動作しないようにすることで容易に避けられた問題だ」との説明もある。これはまさしく、「バービーの通話ボタンがケイラには存在しない」というマンローの意見と同じだ。
　
（２）利用規約の違法性
「告知なしに変更される利用条件にも同意する」と宣言しなければ、ユーザーがケイラを使用できないという指摘。非常に長い文章で綴られたケイラの利用規約には、その条件が含まれている。つまり、たとえ現在のケイラが個人情報を悪用しないと誓ったとしても、将来的には「収集した情報を利用し、狙った広告を配信する」、あるいは「第三者と個人情報をシェアする」などの変化が起きる可能性があり、その際にユーザーの許可を得る必要もないということになる。同委員会の見解によれば、このような利用規約はEUの複数の法に違反している。
　
（３）子供の情報の共有に対する懸念
子供が人形に語りかけたときの音声情報が、Nuance Communications（音声認識の技術を提供している企業）へ転送されているという指摘。さらに同委員会の見解によれば、Nuanceは「第三者との情報共有、あるいは他の様々な目的で、その情報を利用することができる権利」を有しているという。
　
（4）子供が密かにマーケティングの対象とされている懸念
この玩具のアプリには「あらかじめプログラムされたフレーズ」が格納されており、その内容が宣伝に利用されているのではないかという指摘。たとえばケイラは「いかにディズニー映画を愛しているのか」を喜んで語るが、そのアプリのメーカーはディズニーと商業的なパートナーシップを結んでいるという点に同委員会は注目した。ケイラの「ディズニー愛」の深さについてはザーンも不自然さを訴えていたが、ザーンが「一部のポップカルチャーが迫害されているのでは」と案じた一方で、同委員会は「メーカーとディズニーの癒着」のほうを疑ったようだ。
　
※1　ドイツの大学、Saarbrückerの学生Stefan Hesselの研究によれば、範囲は半径15メートルほどであるという。その話題が国内で報じられたときの記事はここから読める（ただしドイツ語）。

音声を保存しないはずの人形がなぜ？

ここで多くの人々が不可解に思うのは（3）だろう。子供の情報を録音・収集・保管することで会話を向上させるバービーとは異なり、ケイラは「音声の収集を行わない人形」だと考えられていたからだ。メーカーの案内には「する」とも「しない」とも明言されていないが、少なくとも複数のニュースやレビューには「しない」という説明が記されていた（前回紹介した「CNET」の記事も、その一例である）。

音声認識システムを利用する際、ケイラのアプリとNuance Communicationsの間に通信が発生するかもしれない、というところまでは多くの人が想像しただろう。もう少し疑り深い人であれば、「ケイラのアプリに手動で登録した『ユーザーに関する情報（会話に生かすための情報）』の安全性を疑問視していたはずだ。

しかしケイラは、バービーのような高度な会話の機能を持たない。音声を収集する必要がなければ、しないだろう……と「みんなが勝手に思い込んでいた」のかもしれない。

実は筆者も、「これはノルウェー消費者委員会が誤解をしたのか、あるいは『企業が情報を収集しようと思えば技術的に可能だ』というノルウェー語の文章が誤って英訳されたのではないか」と疑っていた。なぜならケイラは、会話が行われない状態のまま数時間でも数日でも放置されかねない。その音声データを録音・収集したとしても、あまり使い道がないジャンクデータとなるように感じられたからだ。

ケイラが収集していた音声データ

BEUCとEPICが欧米当局に対し、「ケイラとi-Queに何らかの対策を講じてほしい」と依頼したことを受け、多くのメディアは「消費者団体がIoT人形に警鐘を鳴らす」「ケイラは本当に子供の声を録音、収集していたのか？」といった内容の記事を掲載した（例：『ハフィントンポスト』、英ITメディア『The Register』、米ブログ型ニュースサイト『Consumerist』）。

しかし注意深い人にとっては、これらのニュースの記事よりも、報道に対して行われた「 Nuance Communicationsの声明（※2）」のほうが衝撃的だっただろう。12月6日、「音声認識に関するプライバシー問題の懸念への対応」として同社が掲載した内容を、以下に短くまとめよう。

• 本日、我々のパートナーの一つ（筆者注：Genesis Toys）によって製造されている人形が子供から情報収集を行うことを懸念する記事が、数多くのニュースに掲載された。
• この問題について、いまのところ我々はFTC、その他の組織からの問い合わせを受けていないが、もしも受けた場合には適切に対応する所存だ。
• 我々はデータのプライバシーを真剣に受け止めている。「音声データをマーケティングや広告目的で利用、販売しないこと」は、我々のポリシーである。
• 我々は、それらの玩具を通して収集された音声データについても、そのポリシーが遵守されていることを確認した。我々はデータのプライバシーを重んじている。収集した音声データを他者とは共有しない。

Nuanceは、「その玩具を通して収集した音声データ」が適切に保護されていることを「確認」したので安心してほしいと語っている。それはつまり、ケイラが子供の音声データを収集していたことを認めた発言でもある。ずいぶんあっさりと白状しているが、多くの人々にとって、それは初耳だったはずだ。そんな仕様の人形を買ったつもりはないと驚いた保護者も多かっただろう。

もうひとつ意地の悪い指摘をするなら、同社に「現在のポリシー」を語られても無意味かもしれない。なぜならユーザーは、ケイラの利用を開始したとき、「将来、告知なく変更される可能性のある利用条件」に同意したことになっているからだ。
　
※2　消費者団体の発表を受けて、メディアの対応を行ったのはNuanceだった。このときGenesis Toysは、複数のメディアによるコメントの依頼を拒否している。

墜ちた優等生

これまでケイラを通して収集されたデータが、どのように扱われているのかを我々が知ることはできない。様々な用途で利用できるように「ユーザーごとの個人情報」として格納されているのか、あるいは「単に音声認識の精度を上げるためのデータ」として用いられているのかも分からないまま、ケイラを邪悪なスパイ人形と断罪するのは極論だろう。

しかし問題は、ケイラが「盗聴の役目を果たせる設計であり、実際にデータを収集していた」という点。そして「データを収集するとユーザーに説明しておらず、また、（説明をしていないので）データの用途についても何ら約束をしていなかった」という点。そして最も危険なのは、「それらの収集に伴う通信は、第三者によって盗聴される可能性があるほどセキュリティが弱かった」という点だ。

まず、「勝手に収集していた」という部分は悪質である。たとえばHello Barbieは、発売前から「子供の音声を収集するが、悪用はしない」と宣言していた。そのバービーが「プライバシーを侵害しかねない不快な人形」としてバッシングされているとき、ケイラは無害な賢い人形を装い、こっそり子供部屋を盗聴していた。そして何も知らずにケイラとの会話を楽しみ、時には秘密を打ち明けてきたかもしれない犠牲者は子供たちだということになれば、保護者の怒りがいかほどかは察するに余りある（※3）。

そして、ケイラのセキュリティの甘さは「保護者の怒り」以上に深刻な事態を生み出しかねないものだ。EPICは「子供のプライベートな会話を盗聴から守るための基本的なセキュリティ対策を講じていない玩具は、子供の誘拐や、身体的な危険を生み出す可能性がある」と指摘した（PDF）。確かに、幼児の虐待や拉致を狙った犯罪者がケイラのユーザーに目をつけ、人形とのおしゃべりを盗聴すれば、その犯罪者は「彼女のことを良く知っている遠い親戚」などを装うこともできるだろう。たとえGenesis やNuanceが子供の音声データを個人情報として扱っていなかったとしても、通信時のセキュリティが弱ければ、それは「第三者が悪用できる個人情報」になってしまう。
　
※3　とはいえ、もともとGenesis Toysが意図的に隠蔽していたかどうかは分からない。あまり何も考えずに音声データを収集していたら、後発のバービーが「子供の声を録音して収集する玩具」であることを宣言しただけ、という可能性も考えられる。Hello Barbieの発売に反対する署名活動まで行われているのを見たGenesisは、いまさら「すみません、実は我々も集めています」とは言えなくなったのかもしれない。

ドイツの連邦ネットワーク規制庁代表のコメント

BEUCとEPIC の発表から約2ヵ月半が経過した2017年2月17日、ドイツの連邦ネットワーク規制庁Bundesnetzagenturはケイラを違法な監視デバイスであると判断し、国内での「ケイラ禁止」を決断するに至った。誤解のないように記しておくと、この決定は「ドイツ市民の個人情報が、米国企業によって勝手に収集されていたことに対する措置」ではない。あくまでもケイラの利用時におけるセキュリティの弱さ（つまり、ケイラから半径15メートルほどの範囲にいる人は誰でも簡単にケイラを盗聴できる可能性があるという点）、および開発者の認識不足が問題視された結果である。

Bundesnetzagentur代表のヨヘン・ホーマンは次のように説明している。

• カメラやマイクロフォンを秘め、通信を行うことを可能とし、また「そのおかげで検出されることなくデータ通信を行うことができるアイテム」は、人々のプライバシーを侵害しかねない。子供向けの玩具であれば、なおさらのことだ。ケイラはドイツで禁止された。これは我々の社会で最も弱いものを守るためのことでもある。（※2）
• とりわけ傷つけられやすい子供たちには、「セキュリティやプライバシーを尊重した製品やサービス」を提供される権利がある。メーカーがそれらの問題を真剣に受け止めないのであれば、そのような 「インターネット接続の製品」が子供に適さないことは明白だ。

ここまでの経緯をお読みいただければ、ホーマンのコメントが「あれほど嫌われやすかったHello Barbieではなく、多くの保護者から高い評価を得ていたケイラ」に関するものであったことも大いに納得できるだろう。今回の発表はドイツ国内を対象としたものだが、BEUCとEPICから同じ報告を受けた他国の省庁が、今後ドイツと同じようにケイラを禁止する可能性は充分に考えられる。またBundesnetzagenturは今後、ケイラ以外のIoT玩具にも禁止令を広げる可能性もあることを示している。

悪意の有無にかかわらず、セキュリティやプライバシーを軽視したインターネット接続のアイテムを製造すれば、「バッシングを受ける」「消費者に訴えられる」「人気が落ちる」などの恐れがあるだけではなく、場合によっては「国単位で」使用が禁止される可能性もある。これは欧米のみならず、あらゆるIoTグッズを開発している世界中の企業が知っておくべきことだろう。
　
※4　ここには「カメラ」という言葉が出てくるが、ケイラにはiOSやAndroidのデバイスのカメラにアクセスする機能がないと現在のところは考えられている。しかし、BEUCとEPICがケイラと共に問題視した「i-Que」のほうは、ユーザーに無断でカメラにアクセスする可能性があるようだ。なぜBundesnetzagentur がi-Queを同時に禁止しなかったのかは、同庁の発表では説明されていない。

法に従うならば、ケイラは破壊すべき

いまドイツの家庭の子供部屋に置かれているケイラを、ユーザーはどのように処理すればよいのだろうか。先述のとおり、ドイツ電気通信法第90条は「盗聴装置ではないアイテムを装っているが、国が『監視デバイス』だと分類したもの」の製造・販売・所有を認めていない。その法を遵守するなら、所有者はケイラを「破壊」し、二度と使用できないようにしなければならない。

ただしBundesnetzagenturは今回の問題に関して、保護者が責任を持ってリスクを回避することに期待していると語り、また「ケイラの購入者のデータを提供するよう、国が販売店に要請する予定はない」「保護者に対して法的な手続きをとるつもりはない」とも語っている。

つまり今後、ケイラを購入した家庭の一軒一軒を警察が訪問し、それを壊していない保護者を処罰するといったことは、さすがにないようだ。とはいえ保護者の多くは、国が禁じた不気味な盗聴装置を始末しようとするだろう。気になるのは「子供の手からケイラを取り上げるとき、保護者はどんな説明をするのだろうか？」という点だ。タンスの中のお化けを怖がるような年齢の少女たちに、本当の事情を説明すればトラウマを植え付けかねない。しかし黙って処分すれば、それはそれで子供を傷つけることになる。

おそらく保護者たちは今頃、こんなはずではなかった、こんな危険を冒してまでインターネット接続の製品を選ぶ必要はなかったと嘆いているのではないだろうか。それはIoT製品の致命的な脆弱性が指摘されるたび、そのユーザーが語りがちな感想のひとつだ。
　
（了）