アマゾンの従業員は｢かわいい女の子｣だけを覗いていた…米国で大問題になった家庭用監視カメラの恐怖

※写真はイメージです - 写真＝iStock.com／scyther5

■従業員は「かわいい女の子」を狙っていた

自宅の見守りカメラで、私生活が覗き見られていた――。米Amazonは、家庭用ホームセキュリティカメラ「Ring（リング）」を製造する子会社・Ring社の従業員などが、利用者に許可なく映像を閲覧していたとする訴訟で、巨額の和解金を支払うことになった。

原告である米連邦取引委員会（FTC）が5月末に発表した。米ウォール・ストリート・ジャーナル紙によると、米AmazonがFTCとの和解のために580万ドル（約8億1000万円）を支払うことで合意した。

問題の焦点は、Ring社のプライバシーとセキュリティ慣行だ。FTCが公開した訴状によると、Amazonによる買収前まで、従業員と委託先企業の従業員が利用者の寝室や浴室などの様子を自由に視聴できる状態だった。

従業員の一人は、女性利用者らの数千本の録画映像を閲覧していた。「かわいい女の子」（pretty girls）を狙って覗きが繰り返されていたという。

このカメラは「見守りカメラ」とも呼ばれ、職場や外出先から自宅の様子をライブ映像で確認できる。Ring社のカメラはアメリカで代表的な地位を築いているが、利用者に安全・安心を提供するはずの製品が、セキュリティ上の最大の脅威となっていた実態が浮かぶ。

図版：

AmazonはRingのウェブサイト上に、FTCが調査を開始する前にプライバシーとセキュリティの問題に対処したとのコメントを掲載している。「当社はFTCの主張に同意せず、法律違反を否定するが、今回の和解によりこの問題は解決され、当社はイノベーションに集中できるようになる」としている。

■寝室も、浴室も覗き放題だった

FTCの訴状に書かれた「覗き見」の事例を見てみよう。

あるRingの男性従業員は、少なくとも81人の女性ユーザーの、数千本のビデオ録画を視聴した。「主寝室」「主浴室」「盗撮カメラ」など、プライバシー性が高いとおぼしき名前の付いたカメラに対象を絞って検索。2017年6月から3カ月にわたって繰り返し視聴した。1日に1時間以上行われることもめずらしくなかった。

別の従業員がこれに気づき上司に報告したところ、上司は「エンジニアとして、このように多くのアカウントを視聴するのは『普通』のことである」と意に介さなかった。しかし、のちに問題の従業員が「かわいい女の子」の動画ばかりを視聴していることを上司が認識したことで問題化。従業員はその後、解雇された。

写真＝iStock.com／stockbusters

※写真はイメージです - 写真＝iStock.com／stockbusters

視聴していたのは、この男性従業員だけではなかった。訴状では「危険なほど広範なアクセスとプライバシーに対する緩い態度の結果、従業員のほか、委託先企業の従業員も映像を閲覧・ダウンロード・転送することができた」と指摘している。

Ring社は、男性従業員による問題発覚後、カスタマーサービス担当者が利用者の同意を得てアクセスできるよう運用を改めた。しかし、「数百人の従業員とウクライナにある委託先業者の従業員」は自由に視聴できる状態のままだったという。

■メールアドレスを知っていれば特定可能

FTCは、従業員同士でこの杜撰なセキュリティが悪用されていたと主張する。

2018年1月には、男性従業員が同僚女性のメールアドレスをもとに、女性の自宅カメラのアカウントを特定。保存されている録画を本人の許可なく視聴していた。

FTCは訴状で「従業員に与えられたセキュリティ教育は皆無であり、そのような（同僚の行為を）報告する義務を負わされていなかったことを考慮すれば、従業員が報告を行ったことは単なる幸運であった」としている。そのため、「覗き行為やわいせつな行動、その他不適切な視聴などがほかにも多数発生し、発覚しないままになっているおそれは大きい」と述べ、事態はさらに深刻であると指摘している。

実際のところ、興味本位での覗き行為はほかにも発生しており、従業員同士でプライバシーを侵害し合うこともあったようだ。米ニュースメディアのインターセプトは、Ring社の内情に詳しい情報提供者の話として、同社のエンジニアたちがデートの後に「どんな人を家に連れ帰ったかを互いにからかい合っていた」と報じている。

インターセプトの記事によると、一般のエンジニアがサポート用の特権モードを容易に使用でき、顧客カメラからのライブ映像を24時間、何の加工もなしに視聴できたという。この情報提供者は、個人的には悪用された事例を直接目撃したことはないと断りを入れたが、「誰かが自分を通報した人やライバル企業のメールアドレスを知っていた場合、そうした人物らのあらゆるカメラの閲覧が可能だっただろう」とも危険性を指摘した。

CNBCによるとこの記事が端緒となり、覗き見した従業員4人が2020年に解雇されたという。

写真＝iStock.com／gilaxia

※写真はイメージです - 写真＝iStock.com／gilaxia

■アマゾン買収後も続いた杜撰な管理体制

Ring社は2018年4月にAmazonに買収され、子会社になった。Amazonはスマートホームやホームセキュリティの分野で存在感を高める一方、Ringのカメラ製品にはさらに厳しい視線が向けられることになった。CNBCは、映像が利用者に無断で警察に提供され、2019年に問題化した事例に触れ、「Ringは、プライバシーや市民的自由の擁護者たちから批判を浴びることにもなった」と指摘している。

Amazon傘下になっても管理体制の不備は続いた。FTCは「重要なことに、Ring社は不適切なアクセスを監視・検出する基本措置の導入を2019年2月まで怠っていた」と指摘している。そのため、顧客のデリケートな動画データへの不適切なアクセスが実際に何回発生したのか、同社はまったく把握していないと断じた。

ウォール・ストリート・ジャーナル紙は、ハッカーの攻撃にも脆弱(ぜいじゃく)であったと述べている。同紙は「従業員や外部のセキュリティ研究者、メディアの報道などによる警告があったにもかかわらず、2種類のよく知られたハッキング攻撃から消費者の情報を保護するための基本的なセキュリティ対策も怠っていた」と報じた。

脆弱さを突いた攻撃が実際に行われている。FTCによると、複数のハッカーがRingユーザーのカメラにアクセスしており、うち数件では通話機能を使って「個人への嫌がらせ、脅迫、侮辱」が行われた。ハッカーが女性に暴言を吐いたり、子供に人種差別的な発言を行ったりしたという。なかには介護施設で暮らす87歳の女性に、性的なアプローチをかける者もあったようだ。

■利用者のプライバシーより、AIの進歩を優先する姿勢

ウォール・ストリート・ジャーナル紙は、Amazonが、音声アシスタント端末「Alexa」をめぐる訴訟についても2500万ドル（約35億円）を支払うことでFTCと和解したと報じた。

Alexaをめぐる訴状によると、FTCはAmazonが子供の情報を不適切に扱い、児童オンラインプライバシー保護法（COPPA）に違反していると主張。Alexaを通じて収集した子供の音声データなどを削除できると説明する一方で、保護者の求めがあっても一部のデータを保管し続けていると指摘している。

RingとAlexaをめぐる問題には共通項がある。それは、AmazonおよびRing社が、AI開発を急ぐあまり組織的にプライバシーを軽視してしまった点だ。

Alexaをめぐる問題ではデータを消去しないことで、AIの学習材料を確保しようとした可能性がある。FTCは5月31日付の報道発表資料で、子供の会話パターンは大人と異なるため、AmazonにとってAI開発上の価値あるデータだったと指摘している。

Ringをめぐる問題でも同様に、AI重視の姿勢が背景にある。インターセプトは「Ring社がウクライナのチームにこのような（あらゆるユーザーの録画データを閲覧できる）アクセスを許可したのは、自社の顔認識・物体認識ソフトの弱さが一因だった」と指摘する。

ユーザーから収集した映像を社内の人間が視聴し、映像にアノテーションと呼ばれる分類作業を施すことで、AIの認識精度を向上したかったという。記事は「人々がキスをしている、銃を撃っている、窃盗を働いている」などの映像を見せ合い、分類結果を相互に確認し合っていたと報じている。

■カメラの向こう側にリスクが潜んでいる

自宅内にカメラを設置してもらうという製品の特性上、同社にとってユーザーから信頼を得ることが最優先事項であったはずだ。従業員らによる「覗き見」は利用者への裏切り行為以外の何物でもない。FTCの指摘からは、プライバシーに関するモラルの全社的な欠落すら浮かび上がる。

RingとAlexaをめぐる問題は、AI学習への懸念を提起するものでもある。

ChatGPTやDALL-Eなどのいわゆる「生成系AI」は、クリエイティブな文章や絵画を手軽に出力できる反面、学習データとして既存の著作物が無断で利用されていることが問題化している。これに対し、本件はAI学習とプライバシーという別の問題を浮き彫りにした。

私生活を24時間録画したカメラ映像が他人に無断で見られ、さらに行動の一つひとつがAIの学習素材になる――。カメラの向こう側で行われていたことを、利用者は予想だにしないだろう。AIのためにわれわれのプライバシーが犠牲になることがあってはならない。

ホームセキュリティカメラは、安価なものでは5000円足らずで購入できるものもあり、比較的手軽に導入が可能だ。その一方で、映像が自宅外へ出ていくリスクがあることは忘れてはならない。

Amazonはセキュリティに関する体制を改善したとしているが、Ring製品に限らずこうした製品にはプライバシーの問題がつきまとうということを改めて意識し、利用の際には設置場所を慎重に検討したい。

----------

青葉 やまと（あおば・やまと）
フリーライター・翻訳者
1982年生まれ。関西学院大学を卒業後、都内IT企業でエンジニアとして活動。6年間の業界経験ののち、2010年から文筆業に転身。技術知識を生かした技術翻訳ほか、IT・国際情勢などニュース記事の執筆を手がける。ウェブサイト『ニューズウィーク日本版』などで執筆中。

----------

（フリーライター・翻訳者 青葉 やまと）