arrow_back Blog
product

なぜ位置情報を追跡しないのか:私たちのプライバシーへの約束

By I'm Okay Team ·

多くの家族向け安全アプリは位置情報を追跡します。私たちは追跡しません。

これは意図的な選択であり、I’m Okayのほぼすべての設計に影響を与えています。ユーザーの方々、レビュアー、買収を検討している方々など、あらゆる立場の人からこの点について尋ねられてきました。ここではその理由を詳しくお伝えします。

私たちの約束

I’m Okayが収集する情報は2つだけです。

  1. チェックインを見逃した際に通知を送るため、あなたが明示的に追加した連絡先のメールアドレス
  2. チェックインのタイムスタンプ

これが収集情報の全てです。注目すべき点は、あなた個人に関する情報は一切含まれていないということです。I’m Okayはアカウント登録が不要で、メールアドレスもパスワードも必要ありません。アプリはデバイスごとに生成される匿名の識別子であなたを識別します。私たちはあなたのお名前を知りません。メールアドレスも持っていません。あなたのチェックイン履歴を実際の個人と結びつける手段が、私たちにはそもそもありません。

以下の情報は一切収集しません。

  • 位置情報(いかなる場合も)
  • 健康データ
  • スマートフォンの加速度センサー、ジャイロスコープ、その他センサーのデータ
  • 明示的に追加した1〜3件以外の連絡先
  • 閲覧履歴やアプリの使用状況
  • 写真、マイク、カメラ
  • 「行動分析」や「利用パターン」に関するあらゆるデータ

このリストに挙げられたデータの収集が必要になるような機能は、たとえ有用であっても実装しません。

なぜこれが重要なのか

データを収集しないという選択をした理由は3つあります。設計段階で浮かび上がってきた順にご説明します。

1. 監視は人間関係を変えてしまう

日々のチェックインアプリは、高齢の親と成人した子どもという、感情的にデリケートな関係の中に存在します。このアプリの本来の目的は、双方の不安を和らげることです。つまり、親側の「自立していたい」という不安と、子ども側の「元気でいるか確認したい」という不安を、同時に解消することです。

アプリが必要最低限以上の情報を収集し始めた瞬間、この感情的なバランスは崩れます。親は見張られていると感じ、子どもは手に入ったデータを過剰に分析しようとします。アプリは不安を和らげる存在ではなく、新たな不安の源になってしまいます。

チェックインアプリは、家族の関係をより楽にするものであるべきで、監視を強めるものであってはなりません。それはアプリが収集する情報をほぼゼロに抑えることによってのみ、実現できます。

2. 持っていないデータは悪用されない

企業が収集するデータは全て、将来的なリスクの種です。情報漏洩は起こります。企業買収は起こります。令状による情報開示要求も起こります。内部的なミスも起こります。

2022年にIBMとPonemonが実施した調査によると、データ侵害による平均コストは435万ドルに上りました。そしてその数字は上昇し続けています。しかも企業が被るコストだけが問題ではありません。ユーザーにとって、行動履歴・健康データ・生活パターンが漏洩した場合の影響は、深刻な実害となり得ます。

最もシンプルな防御策は、最初からデータを収集しないことです。持っていない情報を失うことはできません。持っていない情報について令状を出されることもありません。持っていない情報を収益化しようとする誘惑に駆られることもありません。

3. データを必要とするビジネスモデルを目指していない

ひとたびユーザーデータを大規模に収集し始めると、それを収益化しようとする力学が働き始めます。善意からスタートした企業であっても、次第に方向性が変わっていくことは珍しくありません。特に位置情報は、広告主・小売業者・データブローカーにとって非常に価値の高いデータです。

私たちはそういったビジネスに関わりたくありません。私たちが目指すのは、小規模で目的に特化したプロダクトを、持続可能なサブスクリプションモデルで運営することです。高度な機能を利用したいユーザーはApp Storeから低価格の月額プランで登録でき(現在の料金はApp Storeでご確認ください)、私たちは有益なサービスを提供し、監視の仕組みを持たず、広告主に対して何の義務も負いません。

これが実現できるのも、最初からデータの収集を始めないからこそです。

位置情報を追跡しないことで失うもの

この選択にはトレードオフが伴います。位置情報がなければ、I’m Okayにできないことがあります。

  • 親が自宅にいるか外出しているかを伝えること
  • いつもと違うエリアから離れたことを検知すること
  • 病院の予約に無事到着したことを確認すること
  • 病院に1時間以上いる場合に通知を送ること

これらの機能が本当に必要な場合は、Life360や類似のアプリをご検討ください。それらのアプリは、そうした機能を十分な完成度で提供しています。私たちはそれらと同じものを作ろうとしているわけではありません。

I’m Okayが代わりに提供するのは、「今日、親は元気ですか?」という最もシンプルな問いへの答えです。1日1回のタップで「はい」か「いいえ」を伝える、それだけのシグナルです。「今、親はどこにいますか?」という問いよりもはるかに小さな問いですが、実際にほとんどの家族が本当に知りたいのは、この問いへの答えであることがわかっています。

「転倒検知」や類似機能についてはどうですか?

転倒検知・睡眠トラッキング・心拍数モニタリング・その他センサーを活用した機能の追加を求める声をいただいてきました。これらについては、全てお断りしてきました。

その理由を説明します。

  • 転倒検知には加速度センサーのデータが必要です。つまり、常時バックグラウンド処理が発生し、誤検知によってシステム全体への信頼が損なわれる可能性があります。
  • 睡眠トラッキングはユーザーが就寝時に何かを装着する必要があります。これは、自立した生活を送る多くのシニアの方々が継続的に行うにはハードルが高いステップです。
  • 心拍数モニタリングは、Apple Watchが既に提供している機能と重複します。希望するユーザーはApple Watchを使えばよく、スマートフォン上では心拍数を正確に計測できないため、追加する価値はありません。

こうした機能はマーケティング上は魅力的に聞こえますが、実際にはほとんど期待通りの効果をもたらしません。また、より多くのデータ収集・より多くのバッテリー消費・より多くのセンサー使用を必要とします。これらは私たちが避けようとしていることそのものです。

転倒検知が必要であれば、Apple Watchが最適な選択肢です。睡眠トラッキングが必要であれば、専用の睡眠アプリが存在します。I’m Okayは、自分たちが得意とする唯一のこと——日々のチェックイン——に集中します。

アナリティクスはどうですか?アプリの使われ方を把握する必要はないのですか?

ある程度は必要です。クラッシュ率やサポートすべきOSバージョンの把握のために、Appleが提供する最小限のアナリティクス(匿名・集計済み・オプトアウト可能)を利用しています。Google Analytics・Mixpanel・Amplitude・Facebook SDK・その他のサードパーティ製アナリティクスツールはアプリ内に一切使用していません。

このマーケティングサイト(本サイト)では、コンテンツの有用性を把握するために Google Analytics 4 をトラフィック計測に使用しています。ただし、IPアドレスや標準的な集計指標を超える識別可能なデータは収集しないよう設定しています。

これは運営上の最低限の手段です。現時点では有用ですが、いずれは削除を検討すべき「負債」として位置づけています。

「Just in Case」機能は監視とは正反対のものです

I’m OkayのJust in Case機能をご利用の方の中には、私たちのプライバシーへの姿勢との整合性を疑問に思う方もいるかもしれません。

Just in Caseは、チェックインが一定期間(2日・3日・5日の未チェックイン。選択可能)途絶えた場合にのみ、信頼できる連絡先にプライベートなメッセージを送る機能です。これはユーザー自身が書いた、オプトイン型のメッセージであり、特定の条件のもとでのみ開封される封書のようなものです。

これは監視とは正反対の仕組みです。

  • メッセージはあなた自身が書いたものであり、私たちが内容を読むことはありません。
  • 保存時は暗号化されています。
  • 送信のトリガー条件はあなたが設定します。
  • メッセージが送信される前に、あなたに通知が届きます(旅行中など、単に確認できない状況であれば、キャンセルできます)。

このような機能が実現できるのも、私たちがバックグラウンドでの監視を一切行っていないからこそです。最初から始めていないものとの間に、矛盾は生じません。

実際に保有しているデータの取り扱いについて

私たちが保存している2種類の情報(連絡先のメールアドレスとチェックインのタイムスタンプ)は、以下のように取り扱っています。

  • 通信時に暗号化(全APIコールにHTTPSを使用)
  • 保存時に暗号化(バックエンドのデータベースレベルで暗号化)
  • いかなる目的においても第三者への販売・提供は行わない
  • 削除リクエストから30日以内に削除(そもそもアカウントが存在しないため、解約手続きも不要)
  • 広告目的への使用は行わない(広告は掲載していません)

データはクラウドインフラ(この場合はAWS)上で処理されるため、ホスティング事業者が理論上アクセス可能な状態にあります。これはあらゆる現代的なウェブサービスと同様です。理想的とは言えませんが、現実的な妥協点として受け入れています。収集データは最小限であるため、仮にデータベース全体が漏洩したとしても、実害は連絡先のメールアドレスへのスパム程度に限定されます。

私たちが変えたいもの

I’m Okayは小規模なプロダクトです。家族向け安全アプリという分野全体を、私たちだけで変えられるとは思っていません。ただ、この領域で開発に取り組む人たちに、一つのことを示したいと考えています。

位置情報・健康データ・行動データを収集することなく、有用な家族向け安全アプリを作ることができます。小規模なサブスクリプションで持続可能な形で運営できます。ベンチャー資金に支えられた監視型のビジネスモデルなしに、届けることができます。

他の企業が同じ道を歩むかどうかにかかわらず、これは私たち自身が使いたいと思えるプロダクトです。そして、自分たちの親にも使ってほしいと願えるプロダクトでもあります。

よくある質問

位置情報を収集していないことを証明できますか? 完全な意味での証明は難しく、コードベースとインフラの監査が必要になります。ただし、確認できることがあります。I’m OkayはiOSの位置情報パーミッションをリクエストしません。iOSは、パーミッションのポップアップなしにアプリが位置情報にアクセスすることを、OS自体の仕組みとして防いでいます。そのため、少なくとも「そのダイアログが表示されるまでは、位置情報が収集されていないと確信できる」と言えます。

令状が出された場合はどうなりますか? 米国を拠点とする企業として、有効な法的要請には応じます。ただし、私たちが提供できるのは、私たちが保有するデータに限られます。具体的には、メールアドレスとチェックインのタイムスタンプのみです。位置情報の履歴はなく、(明示的に追加した1〜3件を除いた)連絡先リストもなく、Just in Caseのメッセージ内容も(暗号化されており、平文では保存していないため)ありません。

今後、追跡機能を追加する予定はありますか? ありません。追跡を行わないという方針は利用規約に明記しており、もしこの方針から逸脱するような変更が生じた場合は、プロダクトの重大な変更として位置づけます。もしI’m Okayが位置情報・健康・行動の追跡を始めたとすれば、それは別のプロダクトになったと考えてください。

買収された場合はどうなりますか? データ最小化へのコミットメントは、引き継ぎの条件として維持される必要があります。これはマーケティング上のうたい文句ではなく、プロダクトの譲れない前提として設計しています。現実的には、そもそも私たちがそのようなデータを持っていないため、買収者が望んだとしても収益化できるデータは存在しません。

多くのユーザーはより多くの機能を求めていませんか? そう感じる方もいらっしゃいます。私たちは、そういった方々のためのプロダクトではないという点に納得しています。監視機能を重視した家族向けアプリには確かな市場があり、豊富な資金を持つ競合も存在します。私たちがターゲットとするのは、はるかに小さいながらも確実に存在する層——監視とは逆のものを求めているユーザーと家族——です。

プライバシーとは、後から付け加える機能ではありません。それは設計の出発点であり、他の全てを形作る根本的な制約です。I’m Okayは、プライバシーを最初の制約として位置づけたときに生まれる、日々のチェックインアプリの形です。

この考え方に共感していただけたなら、ぜひ一度お試しください。1件の連絡先まで無料、GPSなし、監視なし。

#privacy#design philosophy#data minimalism

Related articles