2022年06月02日 17時00分 ネットサービス

カナダではスタバ・マック越えの超人気カフェ「ティムホートンズ」が違法に個人情報を収集しまくっていたことが判明



カナダ議会が組織するプライバシー監視機関のOffice of the Privacy Commissioner of Canada(OPC)が2022年6月1日に、カナダの大手ドーナツチェーンであるティムホートンズが、膨大な量の位置情報を収集し同国のプライバシー法に違反していたと発表しました。



News release: Tim Hortons app violated privacy laws in collection of ‘vast amounts’ of sensitive location data - Office of the Privacy Commissioner of Canada

https://www.priv.gc.ca/en/opc-news/news-and-announcements/2022/nr-c_220601/



ティムホートンズは、カナダ国内の店舗数がマクドナルドの2倍で、カフェのシェア率でも2位のスターバックスに大差をつけて首位の座を獲得している、カナダ最大のファーストフードチェーンです。カナダの独立系ドーナツ店を事実上完全に駆逐しているという人気ぶりから、「ティムホートンズはカナダ文化の象徴」とされることもあります。





そんなティムホートンズのアプリが、アプリを開いていないときですら数分おきにユーザーの動きを追跡、記録していたことが、カナダ政府と複数の州のプライバシー当局の合同調査により明らかになりました。



この問題を報告したOPCによると、ティムホートンズのアプリはインストール時に位置情報機能へのアクセス許可を求めていたものの、ユーザーは「位置情報が収集されるのはアプリ使用中だけ」と誤認させられていたとのこと。しかし、実際にはデバイスの電源が入っている間は常にユーザーの動きを追跡していました。



調査では、ティムホートンズがユーザーから集めた位置情報を使って、ユーザーの住所・勤務先・旅行先などを推測していたことが分かっています。さらに、ティムホートンズはユーザーが自宅や職場、競合店やスポーツ会場に出入りする度に、その動向を「イベント」として記録していました。ティムホートンズは当初、ターゲット広告に利用する計画でこのデータを収集していましたが、その計画がなくなった後も1年間にわたり、正当な理由もなく位置情報を収集し続けていたとのこと。





OPCのDaniel Therrien委員は「ティムホートンズは、顧客に関する非常に機密性の高い情報を大量に蓄積したことで、明らかに一線を越えてしまいました。毎日、分単位で人々の行動を追跡することは、明らかに不適切な監視です。この事件は、カナダ人の人権を守るための強力なプライバシー法の必要性とともに、設計が不十分なテクノロジーがもたらしうる被害を改めて浮き彫りにしました」と述べて、ティムホートンズの位置情報収集がカナダのプライバシー法に違反しているものだとの見解を示しました。



これに対し、ティムホートンズ側は「収集した位置情報は、ユーザーが他のコーヒーチェーンに乗り換えたかどうかやパンデミックに伴う動きの変化など、ユーザーの動向を分析するための限定的な用途にしか使っていない」と釈明しているとのことです。



今回の調査結果を受けて、OPCを含むカナダの4つのプライバシー当局はティムホートンズに対し、以下の3点の勧告を行いました。

・保存している位置情報データを削除するとともに、データを販売した第三者にも削除するよう指示すること。

・プライバシー管理プログラムを策定し、それを継続すること。またそのプログラムには、「アプリ自体やアプリが起動する他のアプリがプライバシーに及ぼす影響への評価」「情報収集が必要な範囲内であり、あらかじめ決められたプライバシーへの影響に見合ったものであることを確認するプロセス」「アプリに関する慣行と一貫したプライバシー関連のコミュニケーション」を含むこと。

・勧告を順守するために講じた措置の詳細を報告すること。



ティムホートンズは、勧告の実施について同意しているとのことです。