iCloud写真とプライバシー:Appleに見えるもの、見えないもの

iCloud写真は暗号化されていますが、「Appleには何が見えるのか」という問いの答えは、ほとんどの人が一度も触ったことのない一つの設定にかかっています。デフォルトの設定では、Appleはあなたの写真を復号できます。高度なデータ保護(Advanced Data Protection)を有効にすると状況は変わります。鍵はAppleのデータセンターからあなたのデバイスへ移り、Appleはもうあなたのライブラリを読むことができません。本記事では、各モードが実際に何を守り、どちらの場合も何が露出したままなのか、そしてローカル保管庫がどこに収まるのかを説明します。

一段落で言うと

AppleはiCloudに二つの暗号化モードを用意しており、ほとんどの人は何も意識せず一つ目を使っています。デフォルトの「標準データ保護」は、通信中と保存時に写真を暗号化しますが、鍵はAppleが保持します。一方の「高度なデータ保護」は任意で無料、鍵を信頼済みデバイスだけに移します。この一つの設定が、「理由があればAppleが復号できる」と「Appleが望んでも復号できない」の境目です。どちらの場合でも、一部のメタデータはAppleから見える状態のままです。

実際の仕組み

標準データ保護 — 鍵はAppleが持つ

写真は通信中と保存時に暗号化されますが、暗号鍵はあなたのiPhoneではなくAppleのデータセンターに置かれます。これによって、新しいiPhoneにApple IDだけでサインインすると、すぐにライブラリが現れます。Apple自身のiCloudデータセキュリティの概要によれば、Appleは正当な理由があるとき、つまりアカウント復旧の処理、法的な要請、その他見る理由がある場合に、あなたの写真を復号できます。

高度なデータ保護 — 鍵を持つのはあなたのデバイスだけ

iOS 16.3以降、高度なデータ保護を有効にすることで、iCloud写真をエンドツーエンド暗号化に切り替えられます。鍵はAppleのデータセンターから信頼済みデバイスへ移ります。それ以降、Appleはあなたの写真を読めません — 復元のためでも、召喚状への応答でも、クラウド側で侵害が起きてもです。設定をオンにしてもこの保護の外に残るカテゴリが三つあります。メール、連絡先、カレンダーで、いずれも外部のシステムと連携する必要があるためです。

高度なデータ保護を有効にしてもAppleが見ているものが二つあります。メタデータのごく一部、つまり各写真のバイト・チェックサム、お気に入りや非表示の状態、最初に作成された日付、閲覧回数は、引き続き標準データ保護のもとに残ります。そしてiCloud共有アルバムや「リンクを知っている人なら誰でも」の共有は、アカウントの設定にかかわらずエンドツーエンドでは暗号化されません。

なぜこれがプライバシーにとって重要か

問いの形はとても単純です。鍵をAppleが持っているなら、Appleはそれを使うよう強いられる可能性があります。鍵をあなたのデバイスだけが持っているなら、その強制は宛先を失います。電子フロンティア財団(EFF)は、この点を明快に述べています。強い暗号化と、政府のための特別なアクセス経路との間に技術的な妥協は存在しません。扉があるか、ないか、どちらかです。

これは仮定の話ではありません。2025年2月、Appleは英国向けの新規iCloudアカウントから高度なデータ保護を撤回しました。英国内務省のためにバックドアを作ることを拒んだ結果で、既存の英国ユーザーは機能をオフにするよう指示されました。世界の他の地域は影響を受けていませんが、この一件は、クラウド側のプライバシーの層がどれほど薄くなりうるかを思い出させてくれます。

ほとんどの読者にとって、実用的なアドバイスは短いです。写真をiCloudに置くなら、高度なデータ保護を有効にしてください。無料で、いつでも元に戻せます。先に復旧連絡先か復旧キーを設定する必要があります。後でパスワードを忘れても、Appleが本当に助けられなくなるためです。一方で、高度なデータ保護にできないことは、すでに誰かがロックを解いた電話の中の写真を守ることです。借りた電話、修理カウンター、夕食の席で友人に渡した画面。あなたが最も自分のものとして残したい写真にとって、ここが難しい問題です。

Privaraの考え方

Privaraは、その難しい問題に対する、より静かな答えです — 写真のプライバシーが重要な理由に対する実践的な続きでもあります。あなたのプライベートな写真、動画、書類、連絡先を、見た目も動作も普通の電卓と全く同じ、AES-256で暗号化された一つの保管庫の中に隠します。アプリをちらっと見た人には電卓に見え、電卓として動きます。保管庫は、電卓の画面でPINを入力したときだけ開きます。

ここでPrivaraが適している理由はいくつかあります。アカウントは不要で、初期設定では何もアップロードしないため、私たち自身を含め、誰も持ちようのないクラウド側の鍵はそもそも存在しません。AES-256による暗号化はデバイス上の保存時に適用されます。あなたのコンテンツは暗号化されているのであり、単に非表示アルバムにしまわれているわけではありません。PINの上にFace IDやTouch IDを重ねることもできます。任意のおとりPINは別の保管庫を開きます — 目の前で「中を見せて」と求められたときに役に立ちます。

一つの保管庫が、四種類のコンテンツを丸ごとカバーします。写真、動画、書類、そして連絡先です。四つのアプリではなく、一つです。私たちは限界についても正直です。PrivaraのオプションのiCloud同期を有効にすると、脅威モデルは本記事の冒頭の問いに戻ります。デフォルトはローカルのみ。だからこそPrivaraは、あなたが最も自分のものとして残したい写真にふさわしい場所なのです。

App StoreでPrivaraを入手してください。