アメリカ初のコロナ追跡アプリが個人情報を収集し外部に送信していると判明
新型コロナウイルスについて日本では感染の収束が感じられてきましたが、今も多くの国で感染拡大が確認されており治療薬やワクチンもない事から、多くの国で様々な対策や規制などが執り行われていますね。
この状況にAppleとGoogleは協力して追跡システムを開発したのですが、このシステムを真似て作られたノースダコタ州のコロナ追跡アプリが不正に個人情報を収集し外部へ送信している事が明らかとなり、ニュースとなっています。
今後も増えそうな問題
アメリカ最北部にあるノースダコタ州保健省は先日、ノースダコタ州立大学のフットボールファンのためのSNSアプリを作ったProudCrowd社と協力し、独自のコロナ追跡アプリ『Care19』をリリースしました。
このアプリはAppleとGoogleが共同開発したシステムを組み込まなかったものの、アメリカ初のコロナ追跡アプリとしてリリースされた事で多くの注目を集めました。
しかしプライバシーポリシーやノースダコタ州の公式HPで「各個人のIDに場所データ以外の個人情報は含まれず、政府機関を含む第三者には情報を提供しない」としていたものの、プライバシ関連のセキュリティ専門企業Jumbo Privacy社の調査によってコレが虚偽であると判明しました。
このアプリが行なっていた不正な挙動は下記の通りです。
- Foursquare社に位置情報、広告ID(IDFA)を送信
- Bugfender社に機種名、固有識別番号(UDIDなど)、デバイス名称を送信
- Googleに広告ID(IDFA)を送信
Foursquare社は現在位置に則した広告配信を謳う広告会社で、広告主から見れば「近くにいるユーザーや近くを通りそうなユーザーに広告を配信できる」というセールスポイントがあるのですが、ユーザー側から見ればユーザーの位置情報を監視している事になりその運用に疑問の声もあります。
Bugfender社は任意のユーザーのアプリログをリモートで表示するサービスを展開しており、もし送信先がProudCrowd社なら機種名(例えば”iPhone 11″など)、固有識別番号、デバイス名称(例えば”メカ村のiPhone”など)を不正に収集している事になり、別の企業なら第三者へ個人情報を送信している事になります。
GoogleにはGoogleが運営するFirebaseという開発プラットフォーム宛に広告IDを送信しているのですが、これが今のところ何を意味するかはわからないものの不正に個人情報を収集し、第三者に提供している事に間違いはありません。
Jumbo Privacy社はこれらの問題が解決されるまでインストールしない事を推奨しており、AppleとGoogleが開発したシステムを利用したアプリの利用を促しており、今後もこうしたアプリが登場すると考えているようです。
まとめ
実はノースダコタ州保健省の担当者は以前、AppleとGoogleのシステムは採用が難しいという謎の発言をしており、この背景にはこのシステムが位置情報を取得したり、取得したデータにアクセスしようとしたり、データを外部に送信しようとすると動かないように設計されている事が原因だと考えられています。
この事からおそらく、ノースダコタ州保健省の担当者もProudCrowd社もFoursquare社もBugfender社もグルになっており、最初から個人情報を収集する目的でアプリの開発を進めてきた可能性も出てきました。
