Kohler のスマートトイレカメラは実際にはエンドツーエンド暗号化されていない

エンドツーエンド暗号化（E2EE）をうたっているにもかかわらず、Kohler の Dekoda スマートトイレカメラはその基準を満たしておらず、ユーザーの親密な健康データの保護に対する懸念が高まっている。

「Kohler は、このデバイスおよび関連アプリケーションによって収集されたデータにアクセスすることができます」と、セキュリティ研究者の Simon Fondrie-Teitler は述べている。

スマートな健康インサイト、しかし弱いデータ保護

このデバイスは 10 月に発売され、トイレの縁に取り付けて便器内部の画像を撮影し、水分補給や腸内環境に関するインサイトを生成する。

Kohler は、自社の製品ページ、アプリのドキュメント、サポート資料の中で、エンドツーエンド暗号化をうたっている。

しかし Fondrie-Teitler の分析によると、同社の実装は標準的な HTTPS による通信経路の暗号化と保存時の暗号化にとどまり、本来の意味での E2EE ― すなわちユーザーだけが鍵を保持する方式 ― からは程遠い。

この違いは、スマートヘルスデバイスを評価するユーザーやセキュリティチームにとって極めて重要だ。

Kohler が自社サーバー上でデータを復号・処理できるのであれば、極めて機微な画像やバイオメトリクス信号が従業員、委託業者、サードパーティサービスからアクセス可能になり、データ侵害の際に流出する可能性も生じる。

真のエンドツーエンド暗号化では、データはユーザーのデバイス上で暗号化され、サービス提供者からは読み取れない状態のまま維持される。

Kohler が行っているのはそれではない。同社は研究者へのメールで、サービス提供のためにデータを復号・処理していると認めており、トイレカメラの画像やメタデータは Kohler のインフラ内部でアクセス可能であることを意味している。

この実装は、ゼロナレッジ型アーキテクチャではなく、標準的なクラウドアプリの挙動をなぞったものだ。

Signal や iMessage のように暗号化されたデータ断片のみを保存するメッセージングツールとは異なり、Kohler のサーバーはユーザーの画像や健康関連の出力を積極的に処理している。

これによりリスクが生じる。もしこれらのサーバーが侵害された場合、攻撃者は平文のトイレ画像、AI が生成した健康指標、ユーザーのタイムスタンプ、デバイス識別子を取得し得る。

さらに問題を悪化させているのは、Kohler のプライバシーポリシーにおいて、収集データは「当社の AI および機械学習モデルのトレーニング」に使用される場合があり、匿名化したうえで第三者と共有される可能性があると記載されている点だ。

しかし、視覚的な生体データについては、匿名化されたデータセットであっても、機械学習モデルが機微な特徴を再構成したり相関付けたりできてしまう場合があるため、匿名化が常に信頼できるとは限らない。

これはソフトウェアの脆弱性ではなく設計レベルのプライバシー欠陥であるため、緩和策には限りがある。ただし、スマートヘルスデバイスを検討する消費者は次の点を確認すべきだ。

患者やウェルネス関連の消費者に助言する組織もまた、強力な暗号化をうたいつつサーバーサイド処理に依存している IoT ヘルスデバイスのリスクについて議論すべきである。

Kohler による誤解を招くセキュリティ主張は、スマートデバイスベンダーが、実際には十分な暗号保護がない場合でも、セキュリティを想起させる言葉をマーケティングとして用いるという、より広範な傾向を反映している。

このように技術的な定義があいまいにされると、消費者の信頼が損なわれるだけでなく、意味のあるリスク評価が難しくなり、人々が生み出す機微なデータに対する貧弱なプライバシー保護が常態化してしまう。

スマートウェルネス製品が、AI 駆動のインサイトやクラウドベースの処理を取り込む形で進化していく中で、暗号化、データの取り扱い、保存ポリシー、モデル学習の実態について明確かつ透明性の高い説明を行うことは、「あれば良いもの」ではなく必須要件となるだろう。

AI がデータの処理と解釈の方法にますます影響を与える中、ディープフェイクを検出することは、ユーザー情報とデジタルシステム双方の完全性を守るうえで不可欠になっている。