GDPR: General Data Protection Regulation、一般データ保護規則
あぁ、ヤッパリー。
というニュースを紹介します。
「Google純正Androidアプリ Messages, Dialer は個人情報を Google Play へ送信していた!」(The Register)
平たく言うと、
Googleは、ユーザーの承認を得ないで自社開発Androidアプリ「Messages, Dialer」において、ユーザー情報をGoogle Playへ送信していた。
という記事でございます。これが、
「EU一般データ保護規則」に抵触するのでは?ということで、
英文メディアで騒がれております。
日本はEUではないので、
GDPRは関係ありません。
只より高い物はない!
無料で使用させてもらってるので、個人情報をブッコ抜かれても文句言いにくぃなぁー。
一時的には、無料・無償であったり、非常に安価であったりするものは、後になって相応又はそれ以上の対価を支払うことになるものである、世の中は、都合良くできているものではないという戒め。
指摘された懸念事項
出典:Messages, Dialer apps sent text, call info to Google • The Register「メッセージ」と「Googleの電話アプリ」はGoogle製アプリであるため、世界中で販売されている10億台以上ものAndroidスマートフォンにプリインストールされています。
ダグラス・リース氏の論文
- Messages、Dialer がGoogle Play Servicesのデータ収集サービスやFirebase Analyticsサービスに送信されている。
- メッセージ(Messages) が送信するデータは、ハッシュ値が含まれているので送信者と受信者をリンクすることができる。
- 電話アプリ(Dialer) が送信するデータは、通話を始めた時刻と通話全体の時間が含まれているので通話を行う2台のデバイスのリンクが可能となる。電話番号もGoogleに送信される。
- 「メッセージ」アプリが送信するハッシュは短いメッセージであればメッセージ内容の一部を復元することもできる。
- Googleがサードパーティーの開発者に要求している「データ収集内容を説明するアプリ固有のプライバシーポリシー」が欠如している。
- Google Takeoutを通じてテストに使用したGoogleアカウントに関連するデータを要求しても、Googleが提供したデータには収集しているはずのデータが含まれていなかった。
- メッセージの内容や送受信者、通話時間や発信者および着信者といったデータまで収集することについては説明されておらず、ユーザーがデータ収集を拒否する方法も存在しない。
Googleの言い分
Googleの広報担当者はThe Registerに対し、リース氏とのやり取りは論文に記載されている通りであることを確認しました。「私たちはトリニティ・カレッジの学者や研究者とのパートナーシップやフィードバックを歓迎します。私たちはリース氏のチームと建設的に協力して彼らのコメントに対処してきましたし、今後もそうしていきます」と、広報担当者は述べています。
論文は法的結論は分析の対象外
論文では、一連のデータ収集がGDPRに違反している可能性を指摘しているが、法的結論は分析の対象外だと記されています。Google Play Serviceが送信するデータが明らかになってないため疑惑が晴れない...
[Googleの方針]
- Googleは、ユーザーがデータ収集をオプトアウトできる方法を導入するとしている。
- オプトアウトはGoogleが「不可欠」と考えるデータ収集はオフにしないため、一部のデータはオプトアウトを選択した後も収集され続ける可能性がある。
- Google Play Servicesに送信されるログデータには、多くの場合個人の身元にリンクされているAndroid IDが含まれているため、データが匿名だとはいえない。
- Google Play Servicesによってどのようなデータが、どのような目的で送信されているのかほとんどわかっていない。
Googleが実行しそうなこと
- アプリの導入フローを改善し、Google製アプリであることや消費者向けプライバシーポリシーへのリンクを通知する。
- 「Googleの電話アプリ」における発信者の電話番号や「メッセージ」におけるテキストのハッシュといったデータの収集を停止する。
- Firebase Analyticsによる通話関連イベントの記録を「Googleの電話アプリ」と「メッセージ」の両方で停止する。
- テレメトリデータの収集において、Android端末固有の永続的な識別子であるAndroid IDとのリンクをやめ、可能な限り有効期間が短い識別子に切り替える。
- 発信者IDやスパム保護がいつ有効になっているのか、またどうやって無効にできるのかを明確にし、ユーザーの安全性を高める上でより匿名性の高いデータを使う方法を検討する。
まとめ
[Messages, Dialer の問題点]- Google純正Androidアプリ Messages, Dialer は個人情報を Google Play へ送信していることが判明。
- Googleは、ユーザーがデータ収集をオプトアウトできる方法を導入するとしている。
- オプトアウトはGoogleが「不可欠」と考えるデータ収集はオフにしないため、一部のデータはオプトアウトを選択した後も収集され続ける可能性がある。
- Google Play Servicesに送信されるログデータには、多くの場合個人の身元にリンクされているAndroid IDが含まれているため、データが匿名だとはいえない。
- Google Play Servicesによってどのようなデータが、どのような目的で送信されているのかほとんどわかっていない。
- Google Play Serviceが送信するデータが明らかになってないため疑惑が晴れない...。
:SC2
このサイトを検索 | Search this site
0 コメント