ユーザーに許可なく Facebook とデータを共有している Android アプリ

複数の Android アプリが、ユーザーに内緒で使用状況データを Facebook と共有していることが明らかになりました。データの共有は、ユーザーが Facebook からログアウトしていても、さらには Facebook アカウントを持っていなくても行われています。

先月末に開催された第 35 回 Chaos Computer Congress (CCC) の講演において、プライバシー擁護団体 Privacy International がこの調査結果を発表しました。CCC は 34 個のアプリをテストし、その結果を報告書にまとめました。この報告書はこちらからダウンロードが可能です。

テスト対象アプリの 61% が、ユーザーがアプリを開くと Facebook に自動通知していることを調査チームは発見しました。その他にも、アプリが閉じられたといった基本的なイベントデータや、デバイスに関する情報、言語や時刻の設定から推測される位置情報などが Facebook に送信されています。報告書によれば、ユーザーが Facebook アカウントを持っていなくても、当該のアプリは Facebook に情報を提供している、としています。

アプリの中には、基本的なイベント情報だけでなく、非常に詳細なデータを送信しているものもあります。たとえば、旅行アプリの Kayak は、出発日と到着日、都市名、チケットの数 (子供用のチケットを含む) などの検索情報を定期的に送信します。

また、言語学習アプリの Duolingo は、「アプリの使用方法やユーザーがアクセスしたメニューなどの情報」のように、過剰にデータを共有していると報告書が指摘したアプリの 1 つです。

「外国語の上達を目指して言語学習アプリを開いたことを誰かに通知されても別に問題はない」と思われるかもしれません。しかし、Privacy International は報告書の中で次のように警告しています。

さまざまなアプリからのデータを組み合わせれば、ユーザーの活動、興味の対象、行動パターン、日課などの詳細を知ることができます。

さらに、この基本的な SDK データは、GDPR (EU一般データ保護規則) で保護されている特別カテゴリのユーザーデータにまで侵食する可能性があると報告書は述べています。ユーザーが医療アプリや宗教アプリを開き、そのデータが Facebook に送信された場合、ユーザーの健康や信仰に関するデータまでもが含まれる可能性があります。

その可能性が高まるのは、アプリが一意の Google Advertising ID (AAID) を使用して情報を送信する場合です。広告テクノロジー企業の多くは、モバイルとデスクトップでのユーザーアクティビティについてより正確なプロファイルを作成できるよう、複数のデバイス間で AAID を同期させています。

Facebook はこれらの情報を何に利用するのでしょうか。報告書は、連絡先を照合して広告のターゲットになり得るユーザーを特定する、などの利用方法が考えられるとしています。Facebook はこれまでにも、アプリの使用状況を追跡してマーケット情報を入手していたことが知られています。たとえば、Facebook は過去に VPN アプリの Onavo 社を買収しましたが、その後このアプリがプライバシーを侵害していたとして Apple の App Store から削除したことがあります。

Facebook は、Facebook アカウントを持たないユーザーが広告表示を制御できるようにするオプトアウトメカニズムを提供しています。しかし、オプトアウト機能を使用しても、アプリがユーザーの使用状況データを共有するのを阻止することはできません。また、アプリによるデータの収集方法を管理するための拡張コントロール (Android 6.0 以降に搭載) を使用しても、阻止はできません。

アプリは、SDK (ソフトウェア開発キット) を介してこのイベントデータを共有します。アプリが Facebook とやり取りできるようにするには、アプリ開発者は SDK を使用しなければなりません。報告書によると、開発者は送信されるイベントデータをしばらくの間は制限できるものの、アプリを開いたという基本データは初期化プロセスの一環として SDK によって送信されてしまいます。

Facebook によるこのようなデータ収集は GDPR 違反の可能性がある、と Privacy International は指摘しています。数名の開発者は、自身が開発したアプリが Facebook にデータを送信するのを止めることができなかったため、Facebook に対しコンプライアンスについての懸念を表明しました。

報告書は、SDK 経由でユーザーのイベントデータを自動的に提供することは GDPR の同意ルールに違反する可能性があり、また、アプリをインストールする際にユーザーが諸条件に一括同意していた場合、後でその同意を取り消すのは容易ではない、と警告しています。報告書の一部を以下に引用します。

(引用文日本語訳) SDK のデフォルト実装では、データ共有に関する詳細情報がユーザーに提供されたり、ユーザーがデータ共有に同意する前に、個人情報が Facebook に送信されます。

Facebook は 6 月 28 日に SDK のバージョン 4.34 をリリースしました。このバージョンでは、開発者はユーザーの同意を得るまで SDK 初期化データの送信を遅らせることができる、と Facebook は述べています。しかし、この SDK がリリースされたのは、GDPR の発効から 35 日後のことでした。開発者は現在でも、SDK による初期化データの送信を遅らせるかどうかを選択しなければなりません。

報告書は、現状のままの SDK では、特定の目的に必要なデータのみを収集することを企業に求める GDPR の「Data protection by design and by default (設計段階および初期設定でのデータ保護)」の原則に違反する可能性があることを示唆しています。

(引用文日本語訳) Facebook SDK の設計および Facebook SDK のデフォルト実装は正反対のことをしています。つまり、不特定の目的のために個人データを Facebook に自動的に (デフォルトで) 送信しています。

サードパーティの開発者がユーザーデータをどのように扱うかについても、Facebook は責任を負うべきなのでしょうか。Privacy International は、Facebook も責任を負っていると次のように主張しています。

(引用文日本語訳) Facebook は、アプリ開発者やプロバイダーなどに契約条件を課したからといって、Facebook の SDK 経由で送信されるデータに対する責任を逃れることはできません。

Privacy International の報告書にすでに反応している開発者がいます。たとえば Skyscanner は、6 月より前のバージョンの SDK を使用していましたが、新しいバージョンを使用するように自社のアプリを更新済みで、同意追跡機能についても監査を行う予定だと述べています。

Facebook にとっては、Privacy International による調査はこれ以上ないほど嫌なタイミングで行われました。というのも、アイルランドデータ保護委員会 (Irish Data Protection Commissioner) が、GDPR に違反していないかどうかを判断するため、最大 5,000 万件の Facebook アカウント情報が流出した昨年の事件を調査している最中だからです (下記のツイートを参照)。