AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している
多くのAndroidスマートフォンにデフォルトで搭載されているGoogle製メッセージングアプリ「Google Messages(メッセージ)」と、Google製通話アプリの「Google Dialer(Googleの電話アプリ)」について、「ユーザーへの通知や特定の同意なしにGoogleへデータを収集・送信している」と研究者が報告しています。収集・送信されるデータについてユーザーの制御が不十分な点から、EU一般データ保護規則(GDPR)に違反している可能性もあるとのことです。
What Data Do The Google Dialer and Messages Apps On Android Send to Google?
(PDFファイル)https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf
Messages, Dialer apps sent text, call info to Google • The Register
https://www.theregister.com/2022/03/21/google_messages_gdpr/
アイルランドのトリニティ・カレッジ・ダブリンでコンピューターサイエンスの教授を務めるダグラス・リース氏が発表した論文では、Google製のテキストメッセージングアプリ「メッセージ」と通話アプリ「Googleの電話アプリ」が、AndroidのシステムアプリであるGoogle Play Servicesのデータ収集サービスやFirebase Analyticsサービスに送信されていることが指摘されています。
リース氏は論文の中で、「『メッセージ』によって送信されるデータには、メッセージングテキストのハッシュが含まれており、メッセージのやり取りにおける送信者と受信者をリンクすることができます」「『Googleの電話アプリ』によって送信されるデータには、通話を始めた時刻と通話全体の時間が含まれており、通話を行う2台のデバイスのリンクが可能です。また、電話番号もGoogleに送信されます」と記しています。
「メッセージ」アプリが送信するハッシュは復元が困難なように設計されているものの、短いメッセージであればメッセージ内容の一部を復元することも不可能ではないとのこと。
「メッセージ」と「Googleの電話アプリ」はGoogle製アプリであるため、世界中で販売されている10億台以上ものAndroidスマートフォンにプリインストールされています。リース氏は、これらのプリインストールされたアプリにおいては、Googleがサードパーティーの開発者に要求している「データ収集内容を説明するアプリ固有のプライバシーポリシー」が欠如していると指摘。また、Google Takeoutを通じてテストに使用したGoogleアカウントに関連するデータを要求しても、Googleが提供したデータには収集しているはずのデータが含まれていなかったとのこと。
Androidにプリインストールされたアプリを最新バージョンに保つシステムアプリであるGoogle Play Servicesは、セキュリティ対策や詐欺の防止、Google Play ServicesのAPIとコアサービスの維持、ブックマークや連絡先の同期といったサービス提供のため、Google製アプリが一部のデータを収集することを説明しています。しかし、メッセージの内容や送受信者、通話時間や発信者および着信者といったデータまで収集することについては説明されておらず、ユーザーがデータ収集を拒否する方法も存在しないそうです。リース氏は、「このデータがこれらのGoogle製アプリによって収集されているのを見て驚きました」と述べています。
リース氏は2021年11月にこの調査結果をGoogleに開示し、「メッセージ」アプリを担当するエンジニアリングディレクターと何度か協議した結果、Googleは以下の変更に同意したそうです。
・アプリの導入フローを改善し、Google製アプリであることや消費者向けプライバシーポリシーへのリンクを通知する。
・「Googleの電話アプリ」における発信者の電話番号や「メッセージ」におけるテキストのハッシュといったデータの収集を停止する。
・Firebase Analyticsによる通話関連イベントの記録を「Googleの電話アプリ」と「メッセージ」の両方で停止する。
・テレメトリデータの収集において、Android端末固有の永続的な識別子であるAndroid IDとのリンクをやめ、可能な限り有効期間が短い識別子に切り替える。
・発信者IDやスパム保護がいつ有効になっているのか、またどうやって無効にできるのかを明確にし、ユーザーの安全性を高める上でより匿名性の高いデータを使う方法を検討する。
Googleの広報担当者はThe Registerに対し、リース氏とのやり取りは論文に記載されている通りであることを確認しました。「私たちはトリニティ・カレッジの学者や研究者とのパートナーシップやフィードバックを歓迎します。私たちはリース氏のチームと建設的に協力して彼らのコメントに対処してきましたし、今後もそうしていきます」と、広報担当者は述べています。
論文の中では、一連のデータ収集がGDPRに違反している可能性も指摘していますが、法的結論は分析の対象外だと記されています。また、Googleはユーザーがデータ収集をオプトアウトできる方法を導入するとしているものの、このオプトアウトはGoogleが「不可欠」と考えるデータ収集はオフにしないため、一部のデータはオプトアウトを選択した後も収集され続ける可能性があるそうです。
リース氏はGoogle Play Servicesの問題として、「Google Play Servicesに送信されるログデータには、多くの場合個人の身元にリンクされているAndroid IDが含まれているため、データが匿名だとはいえない」「Google Play Servicesによってどのようなデータが、どのような目的で送信されているのかほとんどわかっていない」という2点を挙げました。
・関連記事
GoogleアプリがiOSで収集している個人情報の詳細が判明、あまりの多さに「隠したがっていたのも無理はない」との声 - GIGAZINE
GoogleはAndroidからAppleのiOSの20倍も多くのデータを収集していることが研究から明らかに - GIGAZINE
Google Playのポリシーがアップデート、Androidでも広告トラッキングを拒否可能に - GIGAZINE
Googleがユーザーの正確な位置情報を収集・販売していた「SafeGraph」をPlayストアから排除 - GIGAZINE
60%に及ぶ学校教育向けアプリがGoogleやFacebookに子どもの個人情報を送信していることが判明 - GIGAZINE
「Gmailを使っているとGoogleに個人情報や製品の購入情報が保存される」とユーザーから指摘が起きて大論争 - GIGAZINE
Googleが「モバイルデータを毎月260MBも無駄遣いしている」として集団訴訟が提起される - GIGAZINE
・関連コンテンツ