アップル｢機能向上に個人情報は不要｣の真意 本社の｢プライバシー情報｣担当者を直撃

機能を実現するため、あるいはサービス品質を高めるために、デバイスやソフトウェアの利用履歴を活用し、機械学習で応用することは一般に行われていることだが、アップルでは以下の4つの原則に基づいて扱われる。

大前提となるのが、最小限の情報のみを扱うということだ。

エンジニアはアップルの製品やサービスを設計する際、機能を実現するために必要なデータについて監査を受ける。この際、姓名が不明であっても、同一人物と推定される可能性が高まる情報に関して、必要ないものはすべてそぎ落とされる。例えば行動履歴の基本となる細かな時間情報などは、ほとんどの場合、記録を許されない。

個人の行動履歴を広告価値に変換する場合、特定の個人名などを削除していたとしても、どの人物か類推できる情報を残しておき、結果的に広告のターゲットを特定できるよう設計する。しかし、アップルの場合は真逆で、“可能な限り、類推できないよう情報をそぎ落とす”ことがエンジニアに求められる。

そのうえで情報をクラウド上では処理しない。ラスベガスでのビルボード広告にあったように、“iPhoneで起きたことはiPhoneの外には出さない”ということだ。iPhoneでの操作、あるいは（カメラなど）センサーがとらえた情報は、すべて機器側で処理され、機械学習の結果も基本的にはデバイス内にとどまる。

機械学習の効率を高めるため、アップルはNeural Engineと呼ばれる専用プロセッサーを開発、デバイスに組み込んでいるが、こうした投資もクラウドに依存せず機器内で処理するためだ。

機械学習により得られたユーザーごとのデータベースは、バックアップの際には暗号化されたうえでiCloudにアップロードされる。また複数デバイスにまたがっての分析結果（例えば撮影された写真の分析など）は、iPhone、iPad、Macなどでそれぞれ行われる可能性があるが、これらは暗号化されたうえでクラウドを通じて統合されるという。

クラウドに情報を送らなくても機能は実現できる

もちろん、中にはクラウドの力を借りなければ実現できない機能もある。代表的な例は“マップ”だろう。世界中の地図と地点データを端末内に閉じて扱うことはできない。しかし、それでも個人IDでログインし、地点情報をIDにひも付けて送信しなくとも、高い機能性は実現できるとアップルは主張する。

「アップルのアプリは個人IDでログインしなくとも機能的な制約は受けない。GPS情報をクラウドに送る場合も、ランダムな識別子を生成して端末を特定不能にしたうえで送信し、さらに3分ごとに識別子を変えるため、移動開始時と移動中、目的地に到着したときではそれぞれ異なる識別子となる」（アップル担当者）

このため、一連の位置情報は同一端末の情報であるとはサーバー側では判別できない。しかし、その時点での位置情報がわかれば、目的地への経路や推定時間などのアドバイスは端末側で処理できる。