デバイス上のアプリケーションが何らかのデータを収集することを許可することは、昨今、当然のこととなっています。権限設定は、収集するデータの内容と必要性をユーザーに知らせ、必要に応じて拒否する権限を与えることを目的としています。しかし、一部のアプリはiOSの組み込み機能を利用してデータ収集を悪用し、その情報を追跡サービスに送信しています。
ワシントン・ポスト紙の新たな報道は、 一部のアプリケーションが日常的に、しかも多くの場合、ユーザーがデバイスを使用していない深夜に、どれだけのデータを発信しているのかを明らかにしようとしている。報道によると、ジェフリー・ファウラー氏はDisconnectという企業と提携し、iPhoneをハードウェアに接続し、一日を通してデバイスの動作を追跡するための専用ソフトウェアを使用することにした。これにより、ファウラー氏は自分のiPhoneが何をしているのか、そしてそれらの動作がいつ発生しているのかを正確に把握することができた。
1週間かけて、ファウラー氏は自分のiPhoneが重要な情報を定期的に送信していることを知りました。電話番号、 正確な位置情報、メールアドレス、さらにはiPhoneに関連付けられたIPアドレスまでもが送信されていました。送信されている情報の一部、送信時間、そして送信先は、実に衝撃的なものでした。
先日の月曜日の夜、マーケティング会社、調査会社、その他個人データを大量に消費する企業12社が私のiPhoneからレポートを入手しました。午後11時43分には、Amplitudeという会社が私の電話番号、メールアドレス、正確な位置情報を入手しました。午前3時58分には、Appboyという会社が私のiPhoneのデジタル指紋を取得しました。午前6時25分には、Demdexというトラッカーが私のiPhoneを識別する方法を取得し、他のトラッカーと連携できるリストを送信しました。
ファウラー氏は、多くの人気アプリがこの方法で情報を送信していることを発見しました。Spotify、 ワシントン・ポストのアプリ、ウェザーチャンネル、マイクロソフトのOneDrive、インテュイットのMintなどがこれに該当します。これらのアプリは、多くの場合iOSに組み込まれているバックグラウンドアプリ更新機能を利用して、サードパーティの追跡サービスに情報を渡しています。この機能により、スマートフォンがWi-Fiまたは携帯電話ネットワークに接続されているときに、アプリはコンテンツを更新できます。
さらに衝撃的なことに、ファウラー氏はテスト期間中、彼のiPhoneから送信されたデータに関連して、5,400以上のトラッカーが何らかの形で使用されていたことを発見しました。Disconnect社によると、これらすべてを合わせると、1ヶ月間で約1.5ギガバイトの個人情報が送信されていたことになります。
Appleはこの件に関してコメントを出しているが、それは同社のいつものコメントだ。
Appleは声明で、「ユーザーの皆様がデータのプライバシーを守れるよう、多大な支援を行っています」と述べています。「Appleのハードウェアとソフトウェアは、システムのあらゆるレベルで高度なセキュリティとプライバシーを提供するように設計されています。」
Appleは、「アプリが独自に生成するデータやサービスについては、App Storeガイドラインで開発者に対し、プライバシーポリシーを明確に掲載し、データ収集前にユーザーに許可を求めることを義務付けています。アプリがこれらのガイドラインに従っていないことが判明した場合、そのアプリに運用方法の変更を求めるか、ストアへの掲載を停止します」と述べています。
ここで注目すべきは、トラッキングは本質的に悪いものではないということです。企業は送信されるデータを匿名化し、限られた期間だけ情報を保存することができます。しかし、ここで紹介した事例では、結果は芳しくありません。特に、 個人情報が実際にどこに送られるのかという点においてはなおさらです。
レポートで例として挙げられているのは、人気のフードデリバリーサービスであるDoorDashです。ファウラー氏によると、このアプリは追跡機能を開始させるだけで、最大9つのサードパーティ追跡サービスがすぐに情報を取得する可能性があるとのことです。DoorDashを利用すると、以下のようなことが起こるのです。
DoorDashの場合、「Sift Science」と呼ばれるトラッカーが、ユーザーの携帯電話の指紋(デバイス名、モデル、広告識別子、メモリ容量)に加え、加速度センサーによるモーションデータも取得し、不正利用の特定に役立てています。さらに3つのトラッカーがDoorDashのアプリパフォーマンス監視を支援しており、その中には配送先住所、氏名、メールアドレス、携帯電話会社などのデータを転送する「Segment」と呼ばれるトラッカーも含まれます。
DoorDashの他の5つのトラッカー(FacebookとGoogle Ad Servicesを含む)は、マーケティングの効果を把握するのに役立ちます。これらのトラッカーの存在は、ユーザーがDoorDashを開くたびに、FacebookとGoogleがそれを把握していることを意味します。
DoorDashのプライバシーポリシーには、「DoorDashはこれらの事業体のプライバシー保護について責任を負いません」と明記されています。しかし、同社はファウラー氏に対し、モバイルデバイスから収集した個人データを販売または共有することはないとも述べています。
完全なレポートはぜひ一読する価値があります。特にAppleの「iPhoneで起こったことはiPhoneの中に留まります」というプライバシーマーケティングを考えると、調査結果はかなり衝撃的です。Appleはユーザーのセキュリティとプライバシー全般の取り扱いについては確かに優れていますが、この点に関しては改善の余地があると言えるでしょう。
https://youtu.be/A_6uV9A12ok
追跡はすべて悪いというわけではありません。ユーザーフレンドリーになるように調整できるからです。しかし、悪意のある行為者も確かに存在します。そして、その情報は一部の企業にとって大きな利益をもたらします。しかし、所有者が寝ている間、携帯電話が休んでいる時でさえ、これほどの量の追跡が行われるのはとんでもないことです。
