ReadWrite Japan

MTIzNjEzMTg5NjE1NDIwOTQy

iCloudのハッキング問題はアップルのHealthKitにとって悪いニュースだ

2014.9.9 07:30 | Owen Thomas | t.ueda

よりデリケートなデータが盗難される可能性がある

写真すらアップルに安心して預けることができないのに、我々はそんな彼らに自分の医療データを任せることができるだろうか。

アップルは、HealthKitに関する詳細を更新している。HealthKitは体重や心拍数、血糖量、その他の生体シグナルといった個人的な健康状態に関する詳細な情報を集めるためのフレームワークだ。ReadWriteが知る限り、今のところアップルがこれまで説明してきたフィットネスや健康関連のアプリ開発者とそのアプリがどのように動作するかについてはまだ曖昧な状態だ。

最近明らかになったことの1つは、アップルは開発者にiCloud上にHealthKitのデータを格納してほしくないということだ。App Storeは、これを行おうとするアプリを審査で拒絶している。

拒絶?アップルがこれまで散々開発者に他のアプリのためのバックアップやクラウド・ストレージ・サービスとしてiCloudをプッシュしていたことを考えれば、これは非常に大きな問題だ。

だがよく考えてみると、このアップルによる禁止にも理由がある。主にHIPPA(The Health Insurance Portability and Accountability Act※)によって定められている個人の医療情報の取り扱いに関する規制は非常に多く存在しており、アップルはiCloud用にHIPAAベースの認可をまだ受けていないのだ。

※アメリカの医療機関における患者情報の保護や個人情報の流出を防ぐことを目的とした法律

アップルと開発者が考慮すべきことは、もしHealthKitがiCloudにデータを格納しないのであれば、それをどこに置けばいいのかということだ。HealthKitのデモンストレーション用に提供されているアップル製Fitアプリのサンプルコードでは、HealthKitを利用するアプリがHKHealthStoreと呼ばれるローカル・データベースにデータを保存する方法が提案されている。これはちょうど連絡先のデータベースのように、データをユーザーの携帯に置くということを意味する。

アップルはこのデータに関していくつか制限を設けている。例えば、HKHealthStoreはiPadで利用できないため、ユーザーは自分の個人的な健康データをスマートフォンからタブレットに移動することができない。またアップルによる別のルールによると、HealthKitアプリはそのデータを健康やフィットネスの目的でのみ利用することができる。

このルールに従って、例えば電子カルテのソフトウェア・メーカーやアップルと提携した病院グループなどの医療アプリの開発者であれば、HealthKitに集められたデータを使って自身のデータベースに保存しながら、医療機器を監視する食品医薬品局(Food and Drug Administration)から必要な規制の承認を得るようなことが可能だろう。

iCloudの落とし穴

バックアップについてはどうだろうか。恐らく携帯をなくしたとき、ユーザーは自分の健康データを別の端末に復帰したいと考えるだろう。だがその場合データはiCloud上になくてはならず、その肝心なiCloudでは今、セレブ達が自分のアカウントをハッキングされ痛い目にあっているのだ。

アップルがHKHealthStoreデータポイントをユーザーのその他の個人情報と共にiCloudに保存する(それによってアップルは自身で設けた禁止ルールを破ることになる)か、あるいはユーザーが自分の携帯を紛失したり、盗難されたり、ワイプした場合には自分のデータを失うかのどちらかだ(アップルはこの件に関して我々の解明の要請に応じていない)。

関連記事:iWatchの発売に向けてHealthKitの強化を進めるアップル

我々が医療データをアップルに任せることができるようになるためには、アップルはセレブの写真が流出したハッキング事件に関するもの(特定の個人のユーザー名とパスワードを対象とした「ターゲット攻撃」に起因したものとする見解)よりもっと納得できる回答を準備する必要があるだろう。

銀行や病院はユーザー名とパスワードを使って顧客の重要な個人データを守っている。彼らはそれらの情報へのアクセス行為を非常に警戒して監視しており、アップルがiCloudバックアップに関して行っていたのとは違って、疑わしいログイン行為があれば迅速にそれをシャットダウンする。

アップルのアプローチは、彼らがクラウド上よりもデバイス上でのデータの安全性を中心に考えていることを示唆している。これはハードウェア・メーカーとしては理解できるが、そのアプローチはひどく時代遅れなものだ。

アップルが行うべきなのは、まずその巨大な資金のうちのいくらかをしっかり投資してiCloudのセキュリティーを改良し、HIPAAの承認を獲得することだ。この点に関して、アップルは自社のクラウド・ストレージの安全性に関する公式な承認が是非とも必要だ。ハッカーにiCloudの裏口を開放したままHealthKitにそれを使わせない、というのでは答えになっていないのだ。

トップ画像提供:"Strength" on Apple's YouTube channel

この記事を読んだあなたにおすすめの記事

この記事を読んだあなたに
おすすめの記事