昨日より、Avast!(及び)以前吸収合併したAVGが、顧客の行動データを匿名化して販売しているということがITmedia・ASCIIなどで話題になっています。
この問題を最初に指摘したのは、米Forbes誌で、Are You One Of Avast’s 400 Million Users? This Is Why It Collects And Sells Your Web Habits.(あなたはAvastの4億人のユーザーの一人ですか?これはAvastがあなたのWebでの振る舞いを集め、販売している理由です)という記事です。
Avastのユーザーが何をしていたかというWebデータが、匿名化して、子会社を通し外部に販売されていた
Avastで収集されたデータは、JumpshotというAvastの子会社が、匿名化した上でデータを外部に販売しています。
Forbesによると(機械翻訳なので読みにくいですが)
「1億人のグローバルオンラインショッパーと2000万人のグローバルアプリユーザーからの信じられないほど詳細なクリックストリームデータ」です。「ユーザーが検索したもの、特定のブランドや製品とのやり取りを追跡することができ、彼らが買ったもの。カテゴリ、国、またはドメインを調べてください。」
ユーザーの”信じられないほど詳細な、何をしたかというデータ”を匿名化(ただ、匿名化しても、個人を特定しうるくらいに詳細)して販売していたとのことです。
実際にAvast!のインストール画面を出し、使用許諾・プライバシーポリシーを読んでみたが・・・
実際にAvast!をインストールしようとすると、このような画面が出てきます。
インストールボタンを押すと、製品がインストールされる上に、左下に、Avast独自のブラウザをデフォルトで入れられてしまいます。
そして、(当然ながら?)
Avastは、アプリでのデータ収集はオプトインでユーザーに許可を得ていると説明したが、Motherboardが取材した多数のユーザーは許可した自覚がなく、そのデータが販売されていることも知らないと語った。Avastはデータは匿名化して販売しているとしているが、専門家によるとこのデータから個人を特定するのは簡単だという。
このデータには、Google検索、Googleマップの場所検索、LinkedInページでのアクティビティ、YouTubeの動画のクリック、(中略)どの動画を見たかなどが含まれる。例えばあるユーザーが何かを購入するまでにクリックしたすべてのURLの履歴をたどることができる。
普通のユーザーに、「ここまで情報を詳細に集めますよ」ということは、利用規約やAvastプライバシーポリシーで間接的に示されている可能性はあっても、わかりやすく明示されているわけではありません。
むしろ、利用規約・プライバシーポリシーを小さくし、読ませないことを狙っているとさえ思えてしまいます。
プライバシーポリシーの中には、
ユーザーが弊社のウェブサイトを訪問し、製品およびサービスを使用する際に、そしてユーザーが弊社のウェブサイト、製品、およびサービスを使用して弊社とインタラクトする際に、弊社は、弊社とユーザーとの関係の管理に役立てる目的で、個人情報などのユーザーに関する特定のデータを収集すること、またはそうしたデータを提供するようユーザーに求めることがあります。弊社は、以下の情報を“個人情報”として取り扱います:(i) ユーザーまたはユーザーのデバイスから直接収集された、特定されたまたは特定可能な自然人(以下、“データ主体”といいます)に関する情報。これには、氏名、住所、メールアドレス、電話番号、およびオンライン識別子/間接識別子(ログインアカウント番号、ログインパスワード、マーケティング設定、ソーシャルメディアアカウント、支払いカード番号、IPアドレスなど)が含まれる場合があります。(ii) 弊社がその他のオンラインデータをユーザーの個人情報とリンクさせている場合、弊社はそのリンクされたデータを個人情報として取り扱います。(iii) 弊社は、販売代理店、リセラー、アプリストア、コンタクトセンターなどの信頼された第三者ソースから個人情報を収集し、マーケティング/調査/分析/ソフトウェアのサプライヤーなどの第三者を起用して個人情報を収集させ弊社を支援させる場合があります。
そして、子会社のJumpshotによるデータ外販についても、プライバシーポリシーの中で言及してはいますが、
トレンド分析
アバストは、おおよその位置、郵便番号、市外局番、タイムゾーン、URL、およびオンラインでユーザーが訪問したサイトのURLに関する情報などを含む、弊社の製品やサービスが使用されている場所に関する情報を使用するために、自社の子会社であるJumpshot Inc.と提携関係にあります。弊社は、これらの情報を、総称して“クリックストリームデータ”と呼んでいます。
Jumpshotは、企業にトレンド分析を提供するための製品およびサービスを構築するために、このクリックストリームデータを使用します。クリックストリームデータからはすべての直接識別子が削除されるため、Jumpshotが入手する情報は、オンライントレンドに関する非特定化された集合的なデータセットに留まります。
などとしており、非常にあいまいな書き方になっています。
少なくとも、
「Avast・AVGを使ったユーザー(有料・無料を問わず)のあらゆる行動履歴、何をしたか、見たか、買ったかというデータを匿名化(匿名化しても本人が特定しうるレベル)して販売しますよ」ということを明示はせず、非常にぼんやりとした表現で、「Avast・AVGの収集データを活用しますよ」とぼかしているので、さすがに9割以上の人は、ここまで事細かに個人情報を収集され、外部にビッグデータとして売られているとは思わないでしょうし、それがわかっていれば同意しないでしょう。
以前のセキュリティソフトウェアのEmotetなど新型マルウェアの対応状況でも、Avast・AVGについては、いろんな意味で微妙としましたが、今回の件で、「Avast・AVGのやっていることがアレ」という件で、おすすめできない、と表現を改めました。
今回の件は、利用規約・プライバシーポリシーを読んでみても、「セキュリティソフトならそこまでデータ集めるよな・・・」という印象は受けても、よほど疑いの目で読まないと、データを外販するという判断はできないと思います。
今回の件、今後も問題になると思われます。