Google Playストアの「データセーフティ」は間違いだらけ。調査結果で明らかに

  • 12,470

  • author Thomas Germain - Gizmodo US
  • [原文]
  • そうこ
  • X
  • Facebook
  • LINE
  • はてな
  • クリップボードにコピー
  • ×
Google Playストアの「データセーフティ」は間違いだらけ。調査結果で明らかに
Image: rafapress / Shutterstock.com

そもそも根っこがザルなんです。

トレンドにもなった「データセーフティ」

Mozillaが行なうプロジェクト「*Privacy Not Included」が、Google Playストアのプライバシーポリシーを調査し、その結果を公開しました。今回の調査対象は、ストアのアプリページに公開されているユーザーデータの取り扱いについて。

アプリページにある「データセーフティ」の項目は、アプリが収集するユーザー情報(名前やアドレス、位置情報、音声、ウェブ閲覧履歴など)や、第三者にデータ共有されるかどうかが公開されており、ユーザーはアプリ入手前にここで確認することができます。

Googleがデータセーフティという項目を打ち出したのは2021年、ストアに実際に導入されたのは去年のこと。ユーザーデータ取り扱いの透明化を掲げたもので、最近のテック界のトレンド(?)でもあり、Appleのアプリストアでも似た取り組みが行なわれています。

ですが、今回のMozillaの調査で、ここに公開されているデータ取り扱い情報は正確性に欠けるという結果が出てしまいました。

ほとんどのアプリが基準に達さず

Mozillaが調査した40個のアプリのうち、Mozillaの合格基準(公開されている情報は概ね正確である)に達したのはたったの6つ。一方、16のアプリでは、公開しているプライバシーポリシーと実際に入手するユーザー情報に大きな差があることがわかりました。

プロジェクトを率いるJen Caltrider氏は、調査結果についてこう語っています。

「嘘ばかりだと感じました。自身のプライバシーを気にして、データ収集や共有について知りたいと思うユーザーはこの項目を確認すると思います。ですが、そこに書かれていること自体に正確性がないとなれば…。これは大きな誤解を生みますし、有害と言っていいと思います」

FacebookやTwitterなどが最低評価

今回の調査対象となったのは、Playストアの無料アプリと有料アプリの人気トップ20、合わせて40個。大部分において、ユーザーデータ取り扱いの実情は、アプリ開発者側が記している以上にずっとアグレッシブなことがわかりました。

最低評価=公開情報と実情に最も開きがあると判定されたアプリは、Facebook、Facebook Messenger、Twitter、Minecraft。改善する必要ありの評価には、Instagram、Spotify、Googleアプリなどが挙げられています。合格点(とはいえ完璧ではない)がとれたのは、主にゲーム系アプリでSubway SurfersやCandy Crushが入っています。

たとえば、TikTokのアプリページをみると「第三者と共有されるデータはありません」と書かれています。しかし、TikTok自体のプライバシーポリシーページを確認すると、FacebookやGoogleをはじめとしたサードパーティのパートナー企業と一部データを共有しているとあります。矛盾ありありですよね

Google担当者からの言い分

米Gizmodo編集部がGoogleにメールでコメントを求めたところ、Google担当者より以下の回答が届きました。

「今回の調査報告は、多様なプロダクトとサービスに適用される全社的プライバシーポリシーと、特定アプリが収集するデータについてユーザーに開示する個人データのセーフティ情報を混同していると思われます。Mozilla Foundationが独自に決めた判定値は、情報に根拠が乏しく、またその手段も不確かなため、アプリの安全性や正確性を判断する助けにはならないと思います」

ちなみに、編集部が全社的ポリシーとは何を指すのか質問をしたところ、その回答は得られませんでした。

ガイドライン自体に問題あり

MozillaのCaltrider氏は、この報告の問題点についてこう解説しています。「主たる問題は2つ。1つは、Googleが公開を求めるアプリのデータ取り扱い情報は、デベロッパ側が申請するだけということ。つまり、申請者は性善説の正直者という前提なんです。その結果、公開されている情報と実情に差が生まれてしまっているのですが」

Googleは情報公開はデベロッパの責任として、申請を義務付けていますが、実際申請された内容がどうなのかをチェックするプロセスや基準については(それがあるのかどうかも含めて)明らかにはなっていません。まさにそれが2つめの問題で、Caltrider氏はこれを「情報公開しなさいというルール自体がむしろジョークです。結局公開されている情報は信頼できないわけですから」と揶揄。

Googleが定めるガイドラインの奥の奥の奥を探っていくと、アプリページに公開すべきデータ取り扱いルールがあります。その長いリストを読んでいくと、実際はデータ収集してサードパーティと共有してるけど、してないって言ってもいいと解釈できちゃうところも。たとえば、ユーザーがデータ共有を許可した場合はデータ共有について明記しなくていいとか、データが匿名の場合や特定の法的目的の場合はデータ共有するって言わなくていいとか…。つまり、ガイドライン自体がそもそもザルなんです。

「消費者にとって必要な情報だけに、非常に残念です。企業の責任を問えるユニバーサルな基準をもった情報ラベリングシステムが必要です。今回、このような不適切部分を指摘できたのは、正しい方向へ進むための一歩だと思います。これは成り立っていないということを人々にわかってもらえれば、より前進していけるのではないでしょうか」とCaltrider氏は話します。

アメリカでは、GoogleやAppleがアプリプラットフォームを支配・制御する現状に疑問を唱える動きが出てきています。公式ストアに安心・正確性がないとすれば、より便利な別の場所を求める声も強まりそうですが…。