Dropboxは最初の主流なクラウドストレージプロバイダーであり、2022年時点で7億人のユーザー(新しいウィンドウ)を抱える、依然として市場最大のプレーヤーです。弊社は、Dropboxのプライバシーポリシーを詳細に調査し、同社がこれら数億人の個人データをどの程度保護しているかを確認しました。
その結果、いくつか重大な問題があることが分かりました。Dropboxはお客様に関する多くの情報を収集するだけでなく、商業パートナーや法執行機関を含む、同社が望むあらゆる相手とその情報を共有できるのです。Dropboxの利用者になるということは、自身のデータに対する大きなコントロール権を同社に委ねることを意味します。
この記事では、Dropboxのプライバシーポリシーを詳しく分析し、プライベートなDropboxの代替手段であるProton Driveが、いかに根本的な部分で異なっているかを説明します。
Dropboxのプライバシーの確認
Dropboxのプライバシーポリシー(新しいウィンドウ)は、実質的に2つのセクションに分かれています。最初のパートではサービスが収集するデータについて説明し、続くセクションではDropboxがお客様のデータを共有する可能性のあるすべての団体をリストアップしています。Dropboxの評価すべき点として、誰もが理解できる方法でこれらの条件を明確に提示していることが挙げられます。また、特定のトピックについてさらに詳しく説明しているFAQ(新しいウィンドウ)ページもあります。
Dropboxが収集するデータ
プライバシーポリシーで最初に気付くのは、Dropboxがいかに多くの情報を収集しているかという点です。オンライン上のユーザー情報の核心部分であるメールアドレスに加え、Dropboxはお客様の名前、電話番号、住所、およびお支払い情報も収集します。
Dropboxはまた、「お客様のコンテンツ」と呼ばれる、アップロードされたファイルに関連するデータも収集および保存します。これには、ファイルのサイズ、いつどこからアップロードされたか、誰と共有されたか(Dropboxはお客様の連絡先リストに関するデータも収集します)、およびファイル内でのアクティビティが含まれます。
実際、プライバシーポリシーではファイルのアクティビティに独自のサブセクションが設けられており、その理由は明白です。Dropboxは、お客様がファイルに対して行うほぼすべての操作を記録しているようです。作成、編集、共有などはすべて、Dropboxが使用するためにどこかにログとして記録されます。
最後に、Dropboxはサービスへのアクセスに使用されるデバイスに関する多くの情報や、物理的な位置の特定に役立つ固有の識別子であるIPアドレス(新しいウィンドウ)も収集します。これにはトラブルシューティングなどの正当な目的がある場合もありますが、Dropboxがこれを先んじて収集しているのは奇妙に思えます。
これ以外にもありますが、これらがDropboxがお客様について収集している主なデータポイントであると思われます。しかし、この会社はこの情報の宝庫をどのように扱っているのでしょうか?
Dropboxはそれらすべてのデータをどうしているのか?
Dropboxは、お客様のデータを広告主や第三者に販売することはないと明言しています。
しかし、それはデータを共有しないという意味ではありません。
最も驚くべきことは、お客様のデータを受け取る第三者の数と種類です。そこには、Google、Amazon、OpenAIなど、プライバシーに関して極めて乏しい実績しかない企業が含まれています。
サポートポータルのZenDesk、決済プロバイダーのStripe、あるいはDropboxのサーバーをホストしていると思われるAmazon Web Servicesなど、Dropboxが提供する文脈において納得できるものもあります。しかし、ビジネスモデルとしてデータを販売している企業であるGoogleのように、誰もが再考すべきものも含まれています。
他にもあまり知られていない企業として、広告主向けにデータを分析するKissmetricsや、ユーザーのプライバシーに関して手抜きをしていることで知られる、ChatGPTを開発した企業であるOpenAIが含まれています。
それだけではありません。米国に本社を置く企業として、Dropboxは米国の捜索令状やその他の命令に従わなければなりません。これらは秘密裏に行われる可能性(新しいウィンドウ)があり、しばしば容易に取得(新しいウィンドウ)されます。これは、お客様のデータが薄弱な口実であっても差し押さえられる可能性があることを意味します。結果として、Dropboxは法執行機関から多くの要請(新しいウィンドウ)を受けています。
しかし、さらに悪いことがあります。Dropboxはまた、自らの判断で当局とデータを共有することを厭わないことも明示しています。すべてのクラウドサービスは令状が出された際に法執行機関への協力を余儀なくされますが、Dropboxは情報を自発的に提供することを非常に明確にしています。エドワード・スノーデンが同社を「PRISMのパートナーになりたがっている(新しいウィンドウ)」と呼んだのも不思議ではありません。
消費者にとっての意味
Dropboxはプライバシーサービスとして宣伝していませんが、それを考慮しても、収集するデータの量と共有相手の多さには衝撃を受けます。同社はお客様について知り得るほぼすべてのことを把握しており、自社のマーケティング担当者や第三者とそれを共有することを厭いません。
さらに悪いことに、同社は「公共の利益」のために警察とデータを共有することも明言しています。この言葉は非常に曖昧で、いかなる状況も正当化するために使用される可能性があります。確実に言えるのは、Dropboxにとってプライバシーは公共の利益の問題ではないということです。
さらに悪いのは、これらすべてのデータを収集するために、同社がユーザーの安全性を低下させていることです。プラットフォーム上でユーザーが何をしているかを確認するには、ユーザーのファイルを復号化できなければなりません。言い換えれば、Dropboxはデータ保護の最も安全な形態であるエンドツーエンド暗号化を使用していません。このセキュリティに対する意識の低さが、一連の長いDropboxセキュリティインシデントを招いています。
たとえDropboxにお客様のプライベートなデータを知られても構わないと思っていたとしても(そもそもなぜそう思うのでしょうか?)、この慣行によって安全性も損なわれているという事実は、立ち止まって考えるきっかけになるはずです。
プライベートなDropboxの代替手段
私たちは、コミュニティにプライバシーを真剣に考える安全なクラウドストレージサービスを提供するためにProton Driveを開発しました。Dropboxとは異なり、私たちのサービスではプライバシーはお客様から勝手に奪えるものではなく、デフォルトで備わっています。
例えば、私たちはお客様に関するデータを多く収集しません。お持ちなのはメールアドレスと、プランをアップグレードした場合のお支払い情報、それくらいです。(データ収集をどのように最小化しているかは、当社のプライバシーポリシーでご確認いただけます。)私たちのビジネスモデルはお客様にプライベートで安全なサービスを提供することに基づいているため、それらのデータを持つことに興味はありません。私たちは完全にコミュニティからの資金提供によって運営されているため、広告主にデータを販売する必要がないのです。
また、当社はスイスを拠点としているため、法執行機関からの命令を受けるリスクも低く、世界で最も厳格な部類に入るスイスのプライバシー法が適用されます。
たとえお客様のデータにアクセスしたり共有したりしたくても、それは不可能です。Protonはすべてのアプリでエンドツーエンド暗号化を使用しています。これは、お客様のファイルがサーバーにアップロードされる前に、デバイス上で暗号化されることを意味します。これにより、お客様のプライバシーが保護されるだけでなく、万が一侵害が発生した場合でもハッカーが盗み出せるものはほとんどありません。
これらすべては、より良いインターネットを構築するという私たちの使命の一部です。より安全でプライベートなクラウドストレージの代替手段に魅力を感じていただけたなら、無料のProton Driveアカウントを作成して、ぜひ私たちに加わってください。
