カーネギーメロン大学は、Google Playストアの人気アプリ数千種類にプライバシーポリシーが存在せず、プライバシーポリシーが存在するアプリであっても、ユーザーの個人情報をどのように収集・共有しているかを明確に示していないことを明らかにしました。これは州法およびPlayストアのガイドラインに違反しています。
研究者らは、Playストアの無料アプリ1万8000本を調査した結果、約9000本にはプライバシーポリシーが一切なかった。さらに41%のアプリは、例えばプライバシーポリシーに明記することなく位置情報の収集が可能で、17%はそうしたデータを他者と共有できる可能性があった。CMUは、これらのアプリのポリシーを確認し、コードに矛盾がないか調べるために用いた手法について、以下のように説明した。
自動化システムは、自然言語処理と機械学習を用いてプライバシーポリシーの文面を分析します。次に、アプリのコンピュータコードを検査し、その動作が個人情報の共有を示唆し、プライバシーポリシーを策定する必要があるかどうかを判断します。また、アプリによるデータ収集と共有の動作が既存のプライバシーポリシーと一致しているかどうかも確認します。
プライバシーポリシーを義務付ける法律を有する州の一つに、児童オンラインプライバシー保護法(COPPA)を制定するカリフォルニア州があります。CMUは、カリフォルニア州司法長官事務所と協力し、新しいアプリがCOPPAに違反しているかどうかを自動検出できるようシステムの改良を進めていると述べていますが、同時に、人間が同じデータを見れば気づくような点を見逃してしまう可能性があるため、そのようなツールは万全ではないと警告しています。
「自動システムがアプリのプライバシー要件に矛盾する可能性があると発見したからといって、必ずしも問題が存在するとは限りません」と、カーネギーメロン大学のコンピュータサイエンス教授、ノーマン・サデー氏は説明した。このシステムはPlayストアにある数百万ものアプリの分析に役立つ可能性があるが、司法長官がCOPPA違反で誰かを処罰したいのであれば、人間がツールの動作を二重チェックし、間違いがないか確認する必要があるだろう。
このニュースはサイバーセキュリティにとって良い兆候とは言えません。多くの人が企業に製品のセキュリティ強化を義務付ける法律の制定を求めたり、Googleのような企業が自社のプラットフォームがプライバシー侵害に利用されないよう徹底してくれると信じてきました。しかし、数千もの人気アプリが、プライバシーポリシーを定めなかったり、アプリの本来の機能についてユーザーに誤解を与えたりすることで、複数の州法やPlayストアのガイドラインに違反しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
