Privacy by Design:私たちが「あなたが誰か」を知らない理由(そして自動同期への影響)
ToggleWearにおいて、プライバシーは単なる機能ではありません。それはアプリ全体のアーキテクチャ(設計思想)そのものです。
私たちはあなたの時間を管理するお手伝いをするために存在しており、あなた自身を追跡(トラック)するためではありません。アプリが可能な限り多くのユーザーデータを吸い上げ、プロファイルを作成して広告を売るような時代において、私たちは正反対のアプローチを取りました。ユーザーのデータは「通過するだけ」のものであり、保存したり分析したりする対象ではないというシステムを構築したのです。
「ブラインド・ブリッジ」アーキテクチャ
ToggleWearをToggl Trackアカウントに接続する際、私たちはあなたのデータをデータベースにインポートしません。代わりに、ウォッチがあなたの手首とToggl Trackの間に、直接的で安全な、1対1の、エンドツーエンドで暗号化された「架け橋(ブリッジ)」をセットアップします。
私たちのサーバーは、専用の匿名郵便サービスのようなものだと考えてください。Togglが時間管理の更新を送信すると、ブリッジはその内容を閲覧することなく処理します。
ブリッジが「知らない」こと:
- あなたの名前やメールアドレス。
- あなたが持っているデバイスの数。
- 現在どのデバイスが使用されているか。
- あなたが正確に何を、いつ記録しているか。
郵便配達の比喩:
- 小包: Togglがブリッジに封筒(時間管理の更新データ)を渡します。
- 住所: ブリッジは暗号化された「宛先」を確認します。これは特定のウォッチを指す、一意で安全なトークンです。それは以下のようなランダムな文字列に見えます:
1O2j93Xu102jero[j*ad!fha$shf%%12349190523o… - 配達: すぐにその住所へ封筒を転送し、内容は忘れます。
たとえ悪意のある第三者が通信を傍受したとしても、時間管理データは暗号化されています。内部データ(Togglユーザー番号:12312312やワークスペース番号:128812838など)は数値のみで構成されており、プライベートなToggl環境の外では意味を持ちません。これらを使用してあなたを追跡、特定、または連絡することは不可能です。
このアーキテクチャにより:
- 私たちはあなたの個人情報にアクセスできません。
- 私たちはあなたの時間管理履歴を保存できません。
- すべてはあなたとTogglの間だけでプライベートに保たれます。私たちは単なる「安全な土管(パイプ)」に過ぎません。
トレードオフ: 「1台のウォッチ」制限
私たちの厳格なプライバシーへの取り組みにより、複数のウォッチを同時に使い分けるパワーユーザーにとっては制限が生じることになります。
複数ウォッチ使用時の競合
ウォッチAとウォッチBを一緒に使用すると、次のような競合が発生します:
| ステップ | シナリオ | 競合内容 | 結果(ゴーストタイマー) |
|---|---|---|---|
| 1 | ウォッチBで「再同期」を押す。 | ウォッチBが「アクティブな受信機」になる。 | ウォッチAは自動的に単一ブリッジへの接続を失う。 |
| 2 | スマホでタイマーを停止する。 | 信号はアクティブな受信機(ウォッチB)にのみ送信される。 | ウォッチAには「停止」の連絡が届かない。ウォッチA上のタイマーは手動で止めるまで無期限に動き続ける。 |
「家事(バックグラウンド処理)の戦い」
この競合は、デバイス自体の仕組みによってさらに複雑になります。Wear OSウォッチは、バックグラウンドでの「家事(更新や同期チェック)」を最大で1日1回行います(通常は充電中でオンライン、かつアイドル状態の時のみ)。
このチェック中、あるウォッチ(ウォッチA)が単一のアクティブ接続が失われていることに気づくと、自動的に接続を再確立しようとします。そうすることで、意図せずウォッチBから接続を「奪い取って」しまうのです。その結果、複数のウォッチが単一のアクティブな同期の役割を巡って何度も争うことになります。
なぜ全ウォッチに「一斉送信」できないのか
よくある要望に、「なぜ1つのブリッジからすべてのウォッチに同時に更新を送信できないのか?」というものがあります。
安全な1対1の設計を1対多の一斉送信(ブロードキャスト)に置き換えるには、以下のような「仲介(ミドルマン)サーバー」を構築する必要があります:
- 全ユーザーに対して一意のユーザープロファイルを作成する。
- あなたのすべてのデバイスをログに記録し、記憶する。
- 現在どのデバイスがアクティブであるかを追跡する。
- あなたのデータを傍受して開封し、複数の宛先にルーティングする。
私たちは、そのような監視インフラを構築するつもりはありません。 私たちはユーザー情報の追跡や記録を拒否します。私たちにとって、すべてのユーザーは100%匿名です。Togglからウォッチへの接続を直接保つことで、私たちがあなたのプロファイルを作成できないことを保証しています。
APIの壁
さらに、Toggl Trackはユーザーが持てるオープンな接続(ウェブフック)の数を制限しています。無料アカウントはウェブフックが1つまでに制限されています。私たちは、Togglのサブスクリプションレベルに関係なく、すべてのユーザーにとって信頼性の高いシステムを設計する義務があります。
解決策:マニュアルモードが登場
最新のアップデートには、自動同期を完全にオフにするトグルが含まれています。
これにより手動同期を利用できるようになり、ウォッチ同士が上書きし合ったり、ゴーストタイマーが発生したりするのを防ぐことができます。複数のウォッチを同時に使用するパワーユーザーの方は、設定で自動同期機能を無効にすることを強く推奨します。
透明性:私たちが保存する「唯一の」データ
私たちは徹底した透明性を信条としています。活動や身元を追跡することはありませんが、ビジネス運営のために検証するデータが一つだけあります:
| データ項目 | 例 | 目的 |
|---|---|---|
| Togglユーザー番号 | 123456789 |
フリートライアルの管理およびシステムの悪用防止のためのみに使用。 |
このTogglユーザー番号は、Togglによって生成される長い固有の数字列です。これはあなたのメールアドレスではありません。また、これを使用してあなたに連絡したり個人を特定したりすることは不可能です。単にフリートライアルが公平に利用されるようにするための手段です。
私たちは、これがソフトウェアを構築する正しい方法であると信じています。安全でプライベート、そしてユーザーを尊重する方法です。
プライバシー優先の時間管理を体験する
