スマホで呼べるハイヤーサービス「Uber」の過去の乗車の履歴は社員にアクセスされ放題だとの告発

By Adam Fagen

スマホでハイヤーを呼べるサービス「Uber」が日本にも本格上陸しましたが、本家・アメリカでは顧客がどこをUberのハイヤーで走っているのかや過去にUberを利用した履歴などをUberの社員は誰でも簡単に閲覧可能な状態であるとの指摘を受けています。

"God View": Uber Investigates Its Top New York Executive For Privacy Violations
http://www.buzzfeed.com/johanabhuiyan/uber-is-investigating-its-top-new-york-executive-for-privacy

Uber’s Data Privacy Policy | Uber Blog
http://blog.uber.com/privacypolicy

BuzzFeedの記者ジョアナ・ブイエン氏がUberニューヨークの支店長ジョシュ・モアラ氏にインタビューするためロングアイランドシティを訪問したとき、待ち合わせ場所でモアラ氏に出迎えられるという経験をしました。丁寧な歓迎にも感じられる出来事ですが、モアラ氏はiPhoneを手に「君を追跡していたんだよ」とブイエン氏に告げました。このとき、ブイエン氏はUberを利用して目的地を訪れていました。

このインタビューの2カ月前にも、ブイエン氏はモアラ氏に対してUberのライバルである「Lyft」に関していくつか質問しており、そのやりとりの中でモアラ氏は、ブイエン氏の過去のUberの乗車履歴のログをメールで送信してきたとのこと。なお、ブイエン氏はログデータを取得することについてモアラ氏から同意を求められたことはないと明かしています。

ブイエン氏がUberの顧客情報の管理体制を調査したところ、2014年春までUberで働いていた元社員から匿名を条件に当時の状況について詳しく話を聞く事ができました。それによると、顧客の乗車履歴やドライバーの位置情報は「God View」と呼ばれるシステムで管理されており、すべてのUber社員はGod Viewにアクセスすることができたとのこと。なお、UberのドライバーにはGod Viewへのアクセス権限は与えられていなかったとしています。

仮にUberのGod Viewシステムの運用状況がブイエン氏の調査通りであったならば、Uberの過去の利用履歴から行動履歴を探られるという「個人レベル」でのプライバシー保護の観点から問題であるのは当然ですが、さらに、Uberをビジネスツールとして使っている場合には、他の顧客のデータと照合することで、ビジネス上の秘匿すべき情報をUberに探り当てられるという「企業レベル」でのプライバシー侵害の可能性もゼロとは言い切れません。

BuzzFeedがこの件についての記事を発表する2日前の2014年11月18日に、Uberは顧客の個人情報の取り扱いに関するポリシーを公表。そこでは「Uberは社員の階級を問わず、乗客やドライバーの履歴情報へのアクセスを禁止する厳格なポリシーを採用しています。なおこのポリシーの唯一の例外は、合法かつ正当なビジネス上の目的があるときです」と表明しています。もっとも「合法かつ正当なビジネス上の目的」はUber自身で判断するため、「例外」の範囲が妥当なものかどうかという懸念は依然として残ったままです。