SwitchBot(スイッチボット)はIoTデバイスの一つで、家のスマート化を手軽に実現してくれる人気の製品です。
ただ、作っているのが中国・深圳市の企業(Woan Technology:卧安科技有限公司)であることから、
といった不安を持つ人も少なくありません。
本記事では、会社の公式サイトやセキュリティの情報に基づき、SwitchBotの安全性について掘り下げます。
SwitchBotは中国企業だから危険と言われてしまう3つの理由
ポチップ
結論から言うと、SwitchBotが購入者の生活を脅かす可能性は低いと言えます。
SWITCHBOT社(日本法人)が公表しているプライバシーポリシーやセキュリティ対策、これまでの運用実績を見る限り、一般的なスマートホームデバイスとして十分な安全対策が講じられていると判断できるからです。
では、なぜ「SwitchBotは中国企業だから危険」と言われてしまうのでしょうか?
以下の3つの理由が考えられます。
中国企業への一般的な不信感
中国ではサイバーセキュリティ法や国家情報法により、「中国企業は政府の要請があれば、国民のデータを提出しなければならない」と定められています。
1. 中華人民共和国国家情報法
第7条 いかなる組織及び個人も、法に基づき国家の情報活動を支援し、協力し、連携しなければならず、国家の情報活動の秘密を知った組織及び個人は、その秘密を守らなければならない。
第14条 国家の情報機関が国家の情報活動の必要に基づき、法に基づき、必要な調査措置を講じる場合、関連する組織及び個人はこれに協力しなければならない。
この法律は、国家安全保障に関わる事案であれば、中国国内にある企業や個人に協力を義務付け、情報提供を強制できるとしています。
2. 中華人民共和国サイバーセキュリティ法
第28条 ネット運営者は、公安機関及び国家安全機関が法に基づき国家の安全を維持し、犯罪を捜査するためにデータ提供の協力を求める場合、法に基づき協力しなければならず、技術的支援を提供しなければならない。
第37条 重要情報インフラの運営者が中華人民共和国領域内で収集または生成した個人情報及び重要データは、中華人民共和国領域内に保存しなければならない。業務上の必要により域外に提供する必要がある場合は、国家網信部門が同国務院の関係部門と共同で制定した弁法に基づき安全評価を行わなければならない。
この法律は、中国で事業を行う企業に対し、国家安全保障を理由にデータを提供することや、データの国内保存を義務付けるものです。
こういった法律があることから、中国企業が提供する製品に対して不信感を抱くユーザーが少なくありません。
他社の漏洩事例から生まれる疑念
別会社の中国製デバイスからデータが漏洩した事例を2つ紹介します。
<事例1>
AnkerのカメラであるEufyによって撮影された映像が、VLC(無料ビデオプレーヤー)で閲覧可能になっていたケース。
<事例2>
ドローン最大手のDJIが収集した機密性の高いデータが、中国政府に渡る可能性があると指摘されたケース。
これらは、SwitchBot(スイッチボット)とは関係のない、別の中国企業で起きた出来事です。
しかし、こういったケースが「中国製のデバイスやアプリは危険」という認識を消費者に与えることになったのも事実です。
SwitchBot自体に漏洩がなくても、他社の事例が原因となり、ユーザーの不安が増幅されてしまうわけです。
AnkerもDJIも今や世界的な企業。そんな大手ですら漏洩を起こすのだから、他の中国企業のことを疑いたくなっても仕方ない…。
誤情報の拡散
SwitchBotのプライバシーポリシーは日本語で提供されていますが、専門的な用語も多く、全てを正確に理解するのは困難です。
また、ネット上の情報が誤って解釈され、不安を煽っているケースもあります。
例えば、位置情報の収集目的が「アプリの利便性向上」であるにもかかわらず、「行動監視のため」といった誤情報が流れるなどです。
これら3つの理由が絡み合い、「SwitchBotは中国企業だから危険なのではないか」という疑念を生み出しているのです。
次の章では、SwitchBotがどのようなセキュリティ対策を行っているのかを見ていきます。
SwitchBotは中国企業だから危険?データの安全性
ポチップ
SwitchBotが危険な製品ではないことを述べました。
しかし大切なのは、その根拠です。
ここでは、SwitchBotが利用者のデータをどう守っているのかを掘り下げます。
プライバシーポリシー
SwitchBotのプライバシーポリシーは公式サイトから誰でも閲覧できます。
このポリシーには、どのような情報が何のために収集されるのかが明確に記載されています。
収集される主な情報は以下のとおりです。
- アカウント情報
メールアドレス、パスワードなど - デバイス情報
SwitchBot製品のモデル名、ファームウェアバージョン、シリアル番号など - 利用情報
アプリの利用履歴、デバイスの操作ログなど - 位置情報
ユーザーが許可した場合にのみ、Wi-Fi設定や自動化機能(例:自宅の近くに来たらスイッチをONにする)のために利用される
ポイントは、これらの情報を「サービスの提供、改善、ユーザーサポートのみに利用する」と明記している点です。
ただし、プライバシーポリシーには、以下の重要な一文も含まれています。
「法執行機関、規制当局などの関係者が法的な理由で情報を収集する際、当社は、適用される法律または法的手続きによって情報の開示が要求されると判断した場合は、当該関係者に情報を開示します」
https://www.switchbot.jp/pages/privacy-policy?srsltid=AfmBOooVAOqHs7GFidHmET_tyKkWjOKlqCCGSQNFm9G4Jf66kijmEX8s
これは、SwitchBotの日本法人が、日本当局の法的要請に従って情報開示を行うことを想定しています。
しかし、SWITCHBOT社(日本法人)の親会社は中国国内に存在します。
中国当局から親会社に法的命令が出された場合、ユーザーの個人情報が間接的に開示されてしまう可能性もゼロではありません。
通信の安全性
SwitchBotはスマホと通信を行います。
そのため、スマホとSwitchBotとのやり取り、さらにクラウドサーバー間の通信が安全かどうかが重要です。
- SwitchBotとスマホ間の通信
SwitchBotデバイスとスマホ間の通信はBluetoothを介して行われます。この通信は暗号化されており、第三者が簡単に盗聴することはできません。 - クラウドサーバーとの通信
遠隔操作やスマートスピーカー(Amazon Alexaなど)との連携には、SwitchBotのクラウドサーバーを経由した通信が必要です。この通信にはTLS/SSL暗号化技術が採用されています。これにより、通信経路上のデータは保護され、第三者によるデータの傍受や改ざんを防いでいます。
Bluetooth、クラウドサーバーを介した通信において、技術的には何ら問題ないはずです。
サーバーの所在地
多くのユーザーが最も懸念しているのは、データが中国本土のサーバーに送られ、中国政府に閲覧されるのではないかという点です。
SwitchBotの公式発表によると、同社のサーバーは主にアメリカのAmazon Web Services(AWS)を利用しています。
つまり日本のデータや個人情報は、AWSの日本リージョンなど、各国のデータ保護規制に準拠した場所に保管されていることになります。
このことから、中国当局が日本のユーザーデータにアクセスするためには、アメリカ国内法に基づく厳格な手続きを要することになります。
そのため、日本の個人情報が中国当局に渡る可能性はかなり低いと言えます。
しかし、法律的観点から見ると、絶対とも言えないのが辛いところ。
例えば、SwitchBotの日本法人が収集したデータが、システム管理のために中国の親会社に送られた場合、そのデータは中国法の管轄下に入ることになります。
このことは一応頭に入れておく必要があります。
他社製品(Alexa, Google Home)とのセキュリティ比較
Amazon AlexaやGoogle Homeも、スマートホームの中心的な役割を担う製品です。
これらの製品のセキュリティ対策は厳格ですが、その仕組みはSwitchBotと同じです。
- 大手プラットフォームもクラウドサーバーを利用
AlexaもGoogle Homeも、ユーザーの音声データや操作ログをクラウドサーバーで処理しており、その方法はSwitchBotと同じです。 - 同様の暗号化技術
どちらのプラットフォームも、通信にはTLS/SSL暗号化技術を使用しており、セキュリティの手法はSwitchBotと同じです。
SwitchBotは、AmazonやマイクロソフトといったIT大手と同じセキュリティ手法を採用しています。
このことから、SwitchBot(スイッチボット)は一般的なスマートホームデバイスとして、十分信頼できる水準にあると言っていいと思います。
SwitchBotは中国企業だから危険?想定ケースと対策
ポチップ
これまでSwitchBotのセキュリティ対策について解説してきました。
しかし、利用者が抱く不安はもっと個人的で具体的なものです。
「自分の場合はどうなんだろう?」という疑問に答えるため、ここではよくあるケースとその対策を解説します。
【ケース1】「個人情報が抜き取られるのでは?」
「SwitchBotを使うと、メールアドレスや家族構成といった個人情報が勝手に抜き取られ、中国政府に渡ってしまうのでは?」と不安に感じているかもしれません。
【事実】
SwitchBotのプライバシーポリシーには、メールアドレスやパスワードといったアカウント情報、およびアプリ利用履歴など、サービス提供に最低限必要な情報しか収集しないと明記されています。
家族構成やクレジットカード情報といった、より機密性の高い情報は、原則として収集されません。
また、前述の通り、サーバーはアメリカのAWSに置かれており、データの暗号化も行われています。
中国政府が日本のユーザーの個人情報を手に入れるには、米国の法律に基づいた厳しい手続きが必要です。
【対策】
- パスワードを使い回さない: 複数のサービスで同じパスワードを使い回さないようにしましょう。万が一、アカウント情報が漏洩した場合でも、被害を最小限に抑えられます。
- 二段階認証を設定する: SwitchBotアプリのセキュリティ設定から、二段階認証を有効にしましょう。これにより、万が一、パスワードが漏れても本人以外のログインを防ぐことができます。
- アプリの権限を最小限にする: スマートフォンの設定で、SwitchBotアプリに与える権限(例:位置情報、カメラ、マイクなど)を、必要最小限に絞りましょう。
【ケース2】「自宅の様子を勝手に覗かれるのでは?」
「SwitchBotの見守りカメラやスマートロックを使うと、私生活を覗き見されるのでは?」という不安は、特にご家族がいる方にとって切実です。
【事実】
SwitchBotの見守りカメラやスマートロックは、高いセキュリティ基準で設計されています。
カメラの映像データは通信経路が暗号化されているため、外部から簡単に傍受することはできません。
またライブ映像を見るには、必ず正規のアカウントでログインする必要があります。
スマートロックについても同様で、通信は強固に暗号化されており、不正な第三者がロックを解除することは極めて困難です。
【対策】
- カメラのレンズを物理的に隠す: カメラを使わないときは、レンズカバーや布をかけて、物理的に映像が映らないようにしましょう。原始的ですが、覗き見を防ぐ最も確実な方法です。
- 共有設定に注意する: 家族間でデバイスを共有する際は、必ず信頼できる相手のみに限定しましょう。アカウントのパスワードを教えるのではなく、アプリ内の「共有」機能を利用してください。
- ログインログを定期的に確認する: アプリのセキュリティ設定から、過去のログイン履歴を確認できます。見慣れない場所からのログインがないか、定期的にチェックする習慣をつけましょう。
【ケース3】「家電を乗っ取られるのでは?」
「SwitchBotが勝手にエアコンをつけたり、テレビを操作したりして、家全体を乗っ取られるのでは?」という不安は、SwitchBotに可動部があることから生まれる不安かもしれません。
【事実】
SwitchBotは、あくまで「ハブミニ」を通じて赤外線信号を送信したり、「ボット」が物理的にボタンを押したりするデバイスです。
他の家電の内部ネットワークに侵入して制御するような機能はありません。
ハブミニがエアコンを操作できるのは、リモコンの赤外線信号を学習し、その信号を代わりに送っているからです。
また、ボットが扇風機のボタンを押すのも物理的な動作に過ぎません。
家電製品が持つ赤外線リモコンや物理ボタンの機能を超えて、家電を制御することは不可能です。
【対策】
- 連携するスマートホームサービスのセキュリティ強化: Amazon AlexaやGoogle Homeと連携している場合は、それらのサービスのアカウントに二段階認証を設定するなど、全体のセキュリティを強化しましょう。
- Wi-Fiネットワークの安全性を確保する: SwitchBotデバイスはWi-Fiに接続してクラウドと通信します。自宅のWi-Fiルーターのパスワードを複雑なものに設定し、定期的に変更することで、ネットワーク全体のリスクを低減してください。
SwitchBotは中国企業だから危険?まとめ
最後に記事をまとめます。
