セキュリティ

子ども向けAndroidアプリの半分以上は裏でユーザー情報を集めている


By @ 4dgraphic

Androidアプリの中には「Designed For Families(ファミリー向け)」としてGoogleが審査を通した証「ファミリー スターバッジ」がついたアプリがあります。これらのアプリはGoogleが「子どもが安心して使える」と認定したアプリですが、そんなアプリの半分以上が「合意なしに居場所や連絡先情報を収集しているなどの問題がある」と、カリフォルニア大学の研究者らが発表しています。

Proceedings on Privacy Enhancing Technologies “Won’t Somebody Think of the Children?”Examining COPPA Compliance at Scale
(PDFファイル)https://petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf

Thousands of Android apps potentially violate child protection law | Technology | The Guardian
https://www.theguardian.com/technology/2018/apr/16/child-apps-games-android-us-google-play-store-data-sharing-law-privacy

Report finds more than half of Android apps for children are in violation of COPPA - The Verge
https://www.theverge.com/2018/4/16/17242574/report-android-apps-children-violate-COPPA

Googleによる「ファミリー向け」認定は、子どもの年齢に適切なコンテンツを提供して、幼い子ども達を教育すると同時に楽しませることのできる「品質の高いアプリ」をユーザーに見つけてもらうための取り組み。

「ファミリー向け」に認定するための他の条件として「行動ターゲティング広告」や「興味や関心に基づく広告やリマーケティング」などの禁止に加えて、「広告をアプリのコンテンツから明確に区別する」などのガイドライン、そして児童のプライバシーを守る法律「COPPA」を遵守するなどの細かい基準をクリアしたアプリです。

ファミリー向けと COPPA - Developer Policy Center


カリフォルニア大学バークレー校の国際コンピュータサイエンス研究所の研究者らによるレポート「Proceedings on Privacy Enhancing Technologies」は、「アメリカのGoogle Play内でファミリー スターバッジを持つ子ども向けアプリ5855タイトルのうち、およそ57%が潜在的にCOPPAに違反している可能性がある」と指摘しました。

調査したアプリの中で4.8%は「合意なしに場所や連絡先情報を共有」への明確な違反、40%は「合理的なセキュリティ対策を適用せずに個人情報を共有する」、18%は「禁止されている行動ターゲティング広告の目的のためと思われるデータの共有」 などをしているというレポート結果がでており、研究者は「アプリの提供者は、子どものプライバシーを守ることを目的とした契約上の義務について無知または無視している」とコメントしています。

レポートによると、28%のアプリがAndroidのアクセス許可によって保護されている機密データにアクセスしてはじかれ、それらのアプリの中でアクセス許可をしたアプリの73%が機密データをインターネット経由で送信するのを試みていたという結果が判明。

研究者によると「機密データへのアクセスやインターネット上でのデータ共有は、必ずしもアプリがCOPPAに違反しているというものではありません。しかし、これらのアプリの行動はいずれもCOPPAで義務づけられている『親の同意』を得ないで、データの共有を行うでしょう」とのこと。

By @pathum_danthanarayana

子どもを営利主義から保護するための活動を行っている消費者団体「Campaign for a Commercial Free Childhood(CCFC)」の代表Josh Golin氏は「多くの子ども向けアプリはパーソナライズマーケティングによる第三者と個人情報の共有を行っています。COPPAは、これらの共有から子どもたちから保護しようとしているものです」とコメント。

Googleの広報担当者は「私たちは、研究者の報告を非常に真摯に受け止め、調査結果を精査しています。子どもと家族を保護することを最優先に考えており、『Designed For Families(ファミリー向け)』プログラムでは、標準のGoogle Play ポリシーを超えるガイドラインをアプリ開発者が遵守する必要があります。アプリがGoogleのポリシーに違反していると判断した場合は、措置を講じます。私たちは、Androidコミュニティをより安全にするための研究活動を常に感謝しています」と述べました。

By Niharb

このように、子ども向けのアプリや玩具がCOPPAに違反して個人情報を収集しているというのが明らかになったのは初めてではありません。2017年に「ディズニーは、ゲームアプリ42タイトルで子どもたちの個人情報を秘密裏に集めて広告主と共有している」として提訴されました。他にも、玩具メーカーのVTechは、親の同意を得ないで子どもの個人情報を収集し、さらに収集したデータを十分に保護していなかったとして、65万ドル(約7100万円)の罰金を科されるなどがすでに起きています。

ディズニーがゲームアプリ42タイトルで子どもたちの個人情報を秘密裏に集めて広告主と共有 - GIGAZINE

・関連記事
Google謹製の子ども用スマホを完全に支配下における親向けアプリ「ファミリー リンク」を使ってみました - GIGAZINE

ディズニーがゲームアプリ42タイトルで子どもたちの個人情報を秘密裏に集めて広告主と共有 - GIGAZINE

「YouTubeは違法に子どものデータを集めている」として消費者擁護団体がGoogleを告発へ - GIGAZINE

Steamクライアントで過去10年にわたってユーザーのPCをリモート制御できる深刻な脆弱性が放置されていたとの報告 - GIGAZINE

ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた - GIGAZINE

iOSアプリ50個のうち1個の割合でデータを流出させる問題があることが報告される - GIGAZINE

Android端末にカメラの映像を盗み見られるセキュリティホールが存在 - GIGAZINE

in モバイル,   ソフトウェア,   ゲーム,   セキュリティ, Posted by log1f_yi