MyFitnessPalのデータ漏洩後、安全に使用できるのか?
2018年のMyFitnessPalデータ漏洩で1億5千万のアカウントが流出しました。数年後、MFPは安全に使用できるのでしょうか?実際に何が変わったのか、どのようなリスクが残っているのか、そして健康データを守る方法についてお伝えします。
結論から言うと、MyFitnessPalは2018年よりも安全になっていますが、依然として重要なプライバシーの懸念があります。 2018年のデータ漏洩では、1億5千万のユーザーアカウントが流出し、インターネットの歴史の中でも最大級の事件となりました。その後、MFPは所有権が変わり、セキュリティインフラが更新され、認証オプションも改善されました。しかし、アプリは依然として広告目的で広範なユーザーデータを収集しており、健康情報(食事内容、体重、健康目標など)を保存するアプリとしては、そのプライバシーモデルには注意が必要です。
ここでは、何が起こったのか、何が変わったのか、2026年にMFPに健康データを預ける前に考慮すべきことを正直にお伝えします。
MyFitnessPalデータ漏洩で実際に何が起こったのか?
2018年3月、当時MyFitnessPalを所有していたアンダーアーマーは、無許可の第三者が2018年2月にMFPのユーザーデータにアクセスしたことを公表しました。この漏洩は約1億5千万のユーザーアカウントに影響を及ぼし、記録された中でもトップ10に入るデータ漏洩となりました。
流出したデータは何か?
流出したデータには以下が含まれます:
- ユーザー名 — 各アカウントの表示名
- メールアドレス — 1億5千万のメールアドレスが流出
- ハッシュ化されたパスワード — パスワードはハッシュ化されていましたが、bcryptとSHA-1の混合が使用されていました。SHA-1でハッシュ化されたパスワードは、解読が容易でした。
- IPアドレス — ログイン記録から得られるユーザーの位置情報
報告によれば、流出しなかったデータは以下の通りです:
- 支払いカードデータ(別のシステムで処理されている)
- 社会保障番号や政府発行のID(収集されていない)
- 詳細な食事日記データ(ただし、これは不確かです)
SHA-1の問題
多くの人が見落とした重要な点は、アンダーアーマーがパスワードがハッシュ化されていると述べた一方で、一部はSHA-1ハッシュを使用していたことです。SHA-1は暗号的に弱く、最新のハードウェアでブルートフォース攻撃が可能です。これにより、数百万のユーザーパスワードが攻撃者によって実質的に回収可能でした。
漏洩データは最終的にダークウェブのマーケットプレイスに現れ、2019年には完全なデータセットが他の漏洩データベースの一部として販売されました。
漏洩以降に何が変わったのか?
2018年以降、いくつかの重要な変化がありました。
所有権の変更
2020年、アンダーアーマーはMyFitnessPalをフランシスコ・パートナーズというプライベートエクイティファームに約3億4500万ドルで売却しました。これは、アンダーアーマーが2015年に支払った4億7500万ドルからの大幅な損失です。新しい所有権により、新しい管理体制が導入され、セキュリティの優先事項も変わったと考えられます。
インフラの更新
MFPは漏洩以降、セキュリティインフラを更新しました。具体的な改善点は以下の通りです:
- パスワードの強制リセット — 漏洩後、全ユーザーにパスワードの変更が義務付けられました。
- ハッシュ化の改善 — パスワードは現在、最新のハッシュアルゴリズムを使用して保存されています。
- 二要素認証 — MFPはオプションの2FAサポートを追加しました。
- 暗号化の更新 — 送信中および保存中のデータは最新の暗号化基準を使用しています。
法的和解
アンダーアーマーは、漏洩に関連する集団訴訟を和解しました。この和解には、影響を受けたユーザーへの金銭的補償と、セキュリティ慣行の改善に関する約束が含まれています。また、SECは漏洩の公表タイミングについて調査を行いました。
2026年に残るプライバシーの懸念は?
セキュリティの向上はプライバシーの向上を意味するわけではありません。これらは異なる問題であり、MFPは依然としてプライバシーに関する懸念を引き起こしています。
広告のための広範なデータ収集
MFPの無料プランは広告に支えられており、この広告モデルはユーザーデータを広告ネットワークやパートナーと共有することを必要とします。MFPが収集するデータには以下が含まれます:
- 食べたものすべて — 完全な食事日記、食事時間、食習慣
- 身体の指標 — 体重、身長、体の測定値、目標体重
- 健康目標 — 体重減少、筋肉増加、維持目標
- 運動データ — ワークアウト、活動レベル、フィットネス統合
- デバイスデータ — デバイスの種類、OS、位置情報、使用パターン
- 行動データ — 使用する機能、アプリを開く時間、滞在時間
このデータは非常に詳細な健康プロファイルを作成します。広告パートナーのデータと組み合わせることで、高度にターゲットを絞った広告配信が可能になり、あなたの健康情報が第三者企業と共有されることになります。これらの企業のデータ慣行には、あなたがコントロールできないものも含まれています。
健康データは特に敏感
健康データがHIPAAやGDPRのような枠組みで特別な法的保護を受ける理由があります。あなたの栄養や体組成データは以下を明らかにします:
- 医療条件(食事制限を通じて追跡される)
- メンタルヘルスの指標(食習慣は気分障害と相関する)
- 妊娠(食事の変化は強い信号となる)
- 運動能力や身体的能力
- 社会経済的指標(食の選択は収入と相関する)
このデータが広告のために収集されると、ほとんどのユーザーが予想していない方法で使用される可能性があります。1,200カロリーのダイエットを追跡している、妊娠ビタミンを記録している、ナトリウムを制限していることを知っている広告ネットワークは、あなたの生活について単なる食の好みを超えた情報を広告主に提供します。
広告収入に依存する健康アプリの逆説
広告収入に依存する健康アプリには根本的な緊張があります。アプリは頻繁に使用される必要があり(より多くの広告を配信するため)、詳細なデータが必要で(広告を効果的にターゲットするため)、そのデータを第三者と共有する必要があります(広告契約を履行するため)。あなたの健康データは製品となり、保護された資産ではなくなります。
これはMFPが違法なことをしているという意味ではありません。ビジネスモデルがあなたのプライバシーの利益と不一致なインセンティブを生み出しているのです。特に、関与するデータが健康関連である場合はなおさらです。
MyFitnessPalのプライバシーはどうか?
MyFitnessPalのプライバシー慣行
- 広告サポートの無料プランは、広告ネットワークとの広範なデータ共有を必要とします。
- オプションのプレミアムプラン(€19.99/月)は広告を除去しますが、プライバシーポリシーは依然としてデータ収集を許可しています。
- フランシスコ・パートナーズのポートフォリオ企業やパートナーとデータを共有します。
- インターネットの歴史の中で最大のデータ漏洩の履歴があります。
- 二要素認証は利用可能ですが、必須ではありません。
プライバシー重視の代替案
すべての栄養追跡アプリが同じデータモデルを使用しているわけではありません。最初からサブスクリプションを課金するアプリは、広告を通じて情報を収益化する必要がないため、通常は収集するデータが少なくなります。
健康アプリのプライバシー比較
| プライバシー要因 | MFP無料 | MFPプレミアム | Nutrola | Cronometer |
|---|---|---|---|---|
| 広告追跡 | はい | 減少 | なし | 一部(無料) |
| 第三者データ共有 | 広範 | 中程度 | 最小限 | 中程度 |
| 広告に使用される健康データ | はい | 限定的 | いいえ | 限定的 |
| 二要素認証 | オプション | オプション | はい | オプション |
| データ漏洩の履歴 | はい(1億5千万) | はい(1億5千万) | なし | なし |
| 広告なしモデル | いいえ | はい | はい(すべてのプラン) | 有料プランのみ |
| GDPR準拠 | はい | はい | はい | はい |
| データエクスポート可 | はい | はい | はい | はい |
| 要請に応じたデータ削除 | はい | はい | はい | はい |
MyFitnessPalを使用する場合の自己防衛法
MFPの使用を続けることを選択した場合、以下のステップでリスクを軽減できます。
直ちに行うべきセキュリティ対策
- 二要素認証を有効にする — これは無許可のアカウントアクセスに対する最も効果的な保護です。
- ユニークなパスワードを使用する — MFPのパスワードを他のサービスで再利用しないでください。パスワードマネージャーを使用して強力でユニークなパスワードを生成しましょう。
- Have I Been Pwnedでメールを確認する — haveibeenpwned.comを訪れて、あなたのメールが漏洩データセットに含まれているか確認してください。
- 接続されたアプリを見直す — MFPアカウントに接続されている、もう使用していないフィットネスや健康アプリのアクセスを取り消してください。
プライバシー対策
- プライバシー設定を見直す — MFPには設定に埋もれたプライバシーコントロールがあります。日記をプライベートに設定し、可能な限りデータ共有を制限してください。
- 記録する内容を考慮する — MFPに入力するすべての内容があなたのデータプロファイルの一部になることを意識してください。
- 使用する場合はプレミアムを検討する — 有料プランは少なくとも広告ベースの追跡を除去しますが、プライバシーポリシーは依然としてデータ収集を許可しています。
- 現在のプライバシーポリシーを読む — MFPが何を収集し、誰と共有しているのかを正確に理解してください。
プライバシー重視の代替案に切り替えるべきか?
プライバシーが本当に懸念される場合 — 健康データに関してはそうあるべきです — 最も簡単な解決策は、あなたのデータに依存しないビジネスモデルのアプリを使用することです。
Nutrola:すべてのプランで広告なし
Nutrolaはシンプルなサブスクリプションモデルで運営されています:すべての機能を備えた無料トライアルの後、月額€2.50です。どのプランでも広告はなく、データを収集したり共有したりする広告インフラは存在しません。ビジネスモデルはシンプルで、あなたがアプリのために支払い、アプリは広告主のためではなく、あなたのために機能します。
プライバシーの利点を超えて、NutrolaはAIによる写真と音声の記録、バーコードスキャン、100種類以上の栄養素を追跡する1.8M以上の栄養士によって確認された食品データベース、Apple WatchおよびWear OSのサポート、任意のURLからのレシピインポート、15言語での利用が可能です。200万人以上のユーザーと4.9星の評価を誇り、MFPよりも多くの機能を提供し、プライバシーのトレードオフなしで低価格を実現しています。
データがあなたの価格になるとき
この比較は明確に述べる価値があります。MFPの無料プランは金銭的には何も費用がかかりませんが、広告を通じてあなたの健康データを収集し、収益化します。MFPプレミアムは月額€19.99で、データ収集を減少させますが、完全には排除しません。Nutrolaは無料トライアルの後、月額€2.50で、広告のためにデータを収集することはありません。
広告サポートのアプリの「無料」プランは決して実際には無料ではありません。あなたはデータで支払っています。そのデータがあなたの健康、食習慣、体組成、ウェルネス目標を記述するものであれば、その価格はほとんどの人が認識している以上に高いのです。
よくある質問
MyFitnessPalの漏洩で私のデータは確実に流出しましたか?
2018年2月以前にMyFitnessPalアカウントを持っていた場合、あなたのアカウントデータは漏洩の一部であった可能性が高いです。この漏洩は約1億5千万のアカウントに影響を及ぼしました。確認するには、haveibeenpwned.comであなたのメールアドレスをチェックしてください。
MyFitnessPalのアカウントとデータを永久に削除できますか?
はい。MFPはアプリの設定を通じて、またはサポートに連絡することでアカウントの削除を許可しています。GDPRや同様のプライバシー法の下では、要求に応じてデータを削除する必要があります。これは永久的なものであり、履歴データは回復できませんので注意してください。
2018年以降、MyFitnessPalは再度漏洩しましたか?
2018年の事件以降、MyFitnessPalの公に開示された漏洩はありません。しかし、セキュリティの状況は常に進化しており、過去の漏洩履歴は将来の事件の統計的リスク要因とされています。
MyFitnessPalは私のデータを販売していますか?
MFPのプライバシーポリシーには、広告および分析目的で「パートナー」とデータを共有することが記載されています。これが「販売」と見なされるかどうかは、法的定義によって異なります。カリフォルニア州消費者プライバシー法(CCPA)の下では、ターゲット広告のためにデータを共有することは個人情報の「販売」と見なされる可能性があります。
MyFitnessPalはHIPAAに準拠していますか?
いいえ。MyFitnessPalはHIPAAの適用対象ではありません。なぜなら、これは消費者向けのウェルネスアプリであり、医療提供者や健康保険プランではないからです。HIPAAはほとんどの消費者向け健康およびフィットネスアプリには適用されないため、MFPのデータはその敏感さに関わらずHIPAAの保護を受けません。
2018年にMyFitnessPalを使用していた場合、パスワードを変更すべきですか?
2018年3月以前にMFPのパスワードを変更していない場合は、すぐに変更してください。さらに重要なのは、他のサービスで同じパスワードを使用していた場合、それらのパスワードも変更することです。漏洩データは広く流通しており、パスワードの再利用は漏洩した認証情報が追加の侵害につながる主な方法です。
MyFitnessPalの安全性に関する結論
MyFitnessPalは技術的には2018年よりも安全になっています。セキュリティインフラが更新され、2FAが利用可能になり、所有権も変更されました。しかし、「2018年よりも安全」というのは低い基準であり、根本的なプライバシーの懸念 — あなたの健康データを収益化する広告モデル — は変わっていません。
あなたの栄養データは健康データです。それはあなたの生活、身体、健康状態に関する親密な詳細を明らかにします。MFPが別の漏洩を防ぐことができるかどうか(そこは改善されています)だけでなく、あなたのデータがどのように収集され、使用され、共有されることに対してあなたが快適であるかどうかが重要です。
もしその答えが「いいえ」であれば、設計上プライバシーを尊重する代替案があります。Nutrolaで無料トライアルを開始し、広告なしでの栄養追跡を体験してください。ゼロ広告はゼロの広告駆動データ収集を意味します — 正確な追跡と確認されたデータベース、AIによる記録、100以上の栄養素が月額€2.50で利用できます。
