リモート学習アプリとサイトの89％が生徒のデータを収集していたことが判明、文科省お墨付きの「Z会」などもやり玉に

新型コロナウイルス感染症の影響で多くの国々で学校閉鎖が行われたため、子どもたちは学習用のアプリやウェブサイトを使って授業を受けました。そんな遠隔学習アプリの89％で、子どもの個人情報を危険にさらす慣行が横行していたと、人権団体のヒューマン・ライツ・ウォッチが報告しました。

“How Dare They Peep into My Private Life?”: Children’s Rights Violations by Governments that Endorsed Online Learning During the Covid-19 Pandemic | HRW
https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments

ヒューマン・ライツ・ウォッチは、世界で人口数が多い上位68カ国を対象に、新型コロナウイルス感染症のパンデミックに対する教育計画を分析しました。その結果、日本を含む49カ国で164の教育テクノロジー(EdTech)製品が使われていることが分かりました。そして、ヒューマン・ライツ・ウォッチがこれらのアプリやウェブサービスを分析した結果、164のEdTech製品のうち89％に当たる146の製品で、子どもの権利を危険にさらすか、権利の侵害に貢献しているか、またはそれ自体が積極的に権利を侵害するようなデータの取り扱いをしていることが判明したとのことです。

ヒューマン・ライツ・ウォッチが問題視している主なプライバシー侵害は、以下のとおりです。

◆広告識別子
分析対象となった73のアプリのうち、56％に当たる41のアプリでGoogleの追跡技術であるAndroid Advertising ID(AAID)が使われていました。その中には、オーストラリア・日本・ポーランド・スペイン・韓国・台湾・アメリカで使われているCisco Webex、日本のschoolTaktとスタディサプリが含まれていました。

これについてヒューマン・ライツ・ウォッチは「子どもたちからAAIDを収集することは、教育を提供するという目的に対して必要でも適切でもなく、子どもたちを権利侵害にさらす危険性があります」と非難しています。

◆端末またはWi-Fiの監視
EdTechアプリの中には、Wi-FiのMACアドレスや端末に割り振られる一意の認識番号であるIMEIにアクセスするものが、14ありました。その中には、日本や台湾で使われているLINEが含まれています。また、前述のCisco Webexでは収集したAAIDと端末の識別子をバンドルして、より強固にプライバシー情報を収集する「IDブリッジング」が行われていました。

◆フィンガープリント
フィンガープリントとは、ユーザーが使っている端末やブラウザの情報などを収集して、Cookieに頼らずにユーザーを追跡する手法のことです。ヒューマン・ライツ・ウォッチが分析した125のウェブサイトのうち、日本のZ会を含む8のウェブサイトでこのフィンガープリントが収集されていました。

特に、文部科学省により小中高生向けの学習支援コンテンツとして認められているZ会では、ブラウザに以下のような画像を埋め込むことでフィンガープリントを収集し、子どもに広告主が望むような広告を閲覧させる目的で使われていたとのこと。

2022 Hye Jung Han/Human Rights Watch

ヒューマン・ライツ・ウォッチは、このフィンガープリントについても、教育目的としては不必要かつ不適切で、子どものプライバシー権を侵害するものだと批判しています。

◆広告トラッカー
ヒューマン・ライツ・ウォッチが見つけた広告トラッカー技術は、JavaScriptやウェブビーコンなどを使ってサイトに見えない1ピクセルの画像を埋め込み、これを介してユーザーのアクセス日時や場所などを収集するものです。

ヒューマン・ライツ・ウォッチは、分析した125のサイトのうち90％に当たる113のサイトで、子どもが使うデバイスやブラウザの情報を収集するサードパーティー製広告トラッカーが設置されているのを確認しました。例えば、Z会のサイトには54の広告トラッカーが埋め込まれ、37の広告会社にデータを送信していたとのこと。ヒューマン・ライツ・ウォッチが分析したサイトの中で最も多くの広告トラッカーを設置していたZ会のサイトでは、76ものCookieも検出されました。

調査対象となった125のEdTechサイトのうち、子どもの個人情報を収集していないのはNHK for Schoolを含む13サイト、割合にして10％しかなかったとのことです。

◆Facebook Pixel
Facebook Pixelは、Facebook広告の効果の測定を目的にサイトに設置される広告タグです。ヒューマン・ライツ・ウォッチは、31のサイトでFacebook Pixelが使われており、そのうち27のサイトが子ども向けサイトだということを突き止めました。その中には、日本のスタディサプリ、Z会、eboard、朝日新聞のサイトが含まれており、朝日新聞以外の3つが子ども向けでした。

◆政府が作ったEdTech製品
ヒューマン・ライツ・ウォッチによると、パンデミック中にオンライン教育を導入した42カ国のうち、39カ国の政府が関与した65のEdTech製品で、子どものデータが広告会社に送信されていたとのこと。また、22カ国の政府が関与したEdTech製品には、プライバシーポリシーさえ策定されていなかったそうです。

なお、NHK for Schoolは、追跡技術が見つからなかった9つのEdTech製品のうちの1つでした。これについてヒューマン・ライツ・ウォッチは、「数は少ないですが、これらの9つの製品は『政府はデータとプライバシーを侵害しないデジタル教育サービスを構築して子どもに提供し、子どもの権利を保護したり促進したりする義務を守ることができる』ということを示しています」と評価しています。

ヒューマン・ライツ・ウォッチはまた、今回の調査全体を総括して「子どもたちをバーチャル教室に接続しようと急ぐあまり、EdTechが子どもたちにとって安全であるかどうかをチェックする政府はほとんどありませんでした。その結果、学校閉鎖のさなかにインターネットで学習するように強いられた多くの子どもたちが、EdTechによるプライバシー侵害にさらされることになったのです」と述べました。