米Tom’s Guideは2026年6月4日、スマートリングメーカーUltrahumanが同年3月27日にデータ漏洩を経験したと報告した。同メディアのヘルス・フィットネス担当エディターJane McGuire氏自身が被害者の一人であり、その実体験をもとにした詳報として注目を集めている。
何が起きたのか
Ultrahumanの創業者兼CEOであるMohit Kumar氏は、2026年6月3日に一部ユーザーへ通知メールを送付し、「セキュリティインシデント」の発生を公表した。
同社の公式声明によると、不正アクセスの対象はUltrahumanのコアユーザーデータベースではなく、内部分析ツールに限定されていた。全世界で約70万人のユーザーを持つ中、影響を受けたのは約1,000人(全体の約0.1%)とされている。
流出したデータの内容
Tom’s GuideのMcGuire氏によれば、自身のアカウントから流出したのはメールアドレスのみだったという。ただし、同社の声明ではユーザーによって被害範囲が異なると説明している。
流出した可能性のあるデータは以下の通り:
- 連絡先情報・アカウント詳細
- 注文・取引履歴
- 一部ユーザーのフィットネス関連データ(製品使用状況・購入情報)
一方、パスワード・クレジットカード情報・支払いデータは一切アクセスされていないとKumar CEOは明言しており、Ultrahumanリング本体の動作にも影響はないとしている。
同社の対応と注意喚起
Ultrahumanはユーザーに対し、フィッシング詐欺への警戒を呼びかけている。同社を名乗る不審なメール・SMS・電話には注意が必要で、特にリンクのクリックを促す内容には慎重な対応が求められる。
また同社は「規制当局への適切な通知プロセスと漏洩範囲の詳細な監査に時間をかけた。憶測ではなく正確な情報をユーザーに提供することを優先した」と説明している。インシデント発生(3月27日)から通知(6月3日)まで約2ヶ月を要した点については説明を添えている形だ。
日本市場での注目点
Ultrahumanのスマートリングは日本国内での正規販売はまだ限定的だが、フィットネス・ヘルスケア愛好家の間で認知度が高まってきている製品だ。今回の漏洩は全ユーザーのわずか0.1%であり、被害規模自体は小さい。
ただし注目すべきは、ウェルネスデータ(睡眠・心拍・活動量など)を常時収集するデバイスのセキュリティリスクがクローズアップされた点だ。日本では2022年改正の個人情報保護法(APPI)により健康データの取り扱い規制が強化されており、海外ブランドが本格展開する際の重要な要件となっている。
タイミング的には、ちょうどOuraがOura Ring 5を発表し、Samsung Galaxy Ringの新型に関する報道も相次ぐ時期と重なった。スマートリング市場が競争激化する中、こうしたインシデントがブランドイメージに与える影響も注目される。
筆者の見解
スマートリングをはじめとするウェアラブルデバイスは、睡眠の質・心拍・血中酸素といった非常に繊細な生体情報を24時間収集し続ける。パスワードや決済情報の漏洩と比べると軽視されがちだが、こうした継続的な生体データが流出した場合の影響は長期にわたる可能性があり、スマートフォンやPCとは質の異なるリスクとして捉える必要がある。
今回のUltrahumanの対応については、「隠蔽」ではなく「監査完了後に正確な情報を提供する」という姿勢自体は評価できる。一方で、インシデント発生から通知まで2ヶ月以上を要した点は、欧米のGDPR基準(原則72時間以内)と比較しても気になるところだ。
ウェルネスデバイスを利用するユーザーは、自身の健康データがどのサーバーに保存され、どのように保護されているかを今一度確認しておくことをすすめる。デバイスの性能スペックと並んで、プライバシーポリシーとデータ保管の透明性も選定基準に加えるべき時代に入っている。
関連製品リンク
Oura Ring Generation 4 Smart Ring - Silver - Size 8
Samsung Galaxy Ring - Size 6, Titanium Gold
上記はAmazon.co.jpへのリンクです。記事執筆時点の情報であり、価格・在庫は変動する場合があります。
出典: この記事は I just got hit by the Ultrahuman data breach — here’s what hackers stole from my account の内容をもとに、筆者の見解を加えて独自に執筆したものです。