TikTokを使いユーザーの位置情報を追跡する恐るべき計画を中国に本社がある親会社ByteDanceが企てているとの報道

ショートムービー共有サービスとして人気を博すTikTokの親会社であるByteDanceが、「TikTokを利用して特定のアメリカ市民の位置情報を追跡することを計画している」と経済紙のフォーブスが報じています。

ByteDance planned to use TikTok to surveil specific American citizens | Hacker News
https://news.ycombinator.com/item?id=33280176

中国の北京に拠点を置くByteDanceの内部監視およびリスク管理部門が、TikTokを利用して特定の個人の位置情報を追跡することを計画していると報じられています。ByteDanceの共同創設者でありCEOでもあるRubo Liang氏は、同社の重役であるSong Ye氏を同チームの責任者に任命しています。

Ye氏が率いるByteDanceの内部監視およびリスク管理部門は、従業員および元従業員による不正行為の可能性について調査を行う部門です。しかし、フォーブスが独自に入手したという内部資料によると、ByteDanceの内部監視およびリスク管理部門はこれまでに少なくとも2回にわたり「ByteDanceと雇用関係を持ったことのないアメリカ市民」の位置情報に関するデータをTikTokから収集しようとしたそうです。なお、フォーブスが入手した資料からはこのデータが実際に収集されたか否かは明らかになっていないとのこと。

フォーブスがTikTokの広報担当者に対して「TikTokがなぜ位置情報を収集しているのか？」について問い合わせたところ、「TikTokはユーザーのIPアドレスに基づきユーザーのおおよその位置情報を収集しています。位置情報に基づきコンテンツや広告をユーザーに表示し、それぞれのユーザーに適用される法律を順守し、詐欺や不正行為を検出・防止することに役立てています」という回答が返ってきたそうです。

しかし、フォーブスは「独自に入手した資料から、ByteDanceの内部監視およびリスク管理部門がTikTokから入手した位置情報を使用してアメリカ市民を監視することを計画しており、広告やその他の目的だけに位置情報が使用されているわけではないことがわかりました」と報じています。なお、フォーブスはこの資料の入手元を保護するために、ByteDanceが計画しているアメリカ市民の監視がどのようなものになるかの詳細は明かしていません。

TikTokは、外国企業がアメリカ企業を買収する取引を拒否したり変更したりする権限を有する対米外国投資委員会(CFIUS)との契約締結に近づいているとも報じられていますが、アメリカ政府は依然として「TikTokが中国企業のByteDanceに保有されることで、中国政府がアメリカのTikTokユーザーの個人情報にアクセスできるようになる可能性」を危惧し、慎重に調査を進めています。

2022年9月にはアメリカのジョー・バイデン大統領が外国企業を評価する際にCFIUSが考慮すべき特定のリスクを列挙した大統領令に署名しており、これには「外国の敵対者がアメリカ人のデータにアクセスすることによってもたらされるリスク」が強調されており、特に「国家安全保障に悪影響を及ぼす可能性のある、個人またはグループの監視・追跡・標的化のためのデータ使用」が危惧されています。

上述の通り、ByteDanceの内部監視およびリスク管理部門は、会社資源の不正利用などを行うTikTokとByteDanceの従業員が、違反行為や機密情報の漏洩につながるような行為を行っていないかを監査するための部門です。フォーブスが入手した内部資料には、TikTokのCEOであるShou Zi Chew氏を含む上級幹部が、過去に同チームに個々の従業員の調査を命じたことや、従業員が退職した後も追跡調査を行っていることなどが示されているとのこと。

また、ByteDanceが社内でオフィス管理ソフトウェアとして利用している「Lark」の文書および記録によると、ByteDanceの内部監視およびリスク管理部門は、従業員に「グリーンチャンネル」として知られるデータ要求システムを使用しており、このグリーンチャンネルはアメリカ人従業員に関する情報を中国本土のデータベースから引き出していたことが明らかになっています。

これに対して、ByteDanceの広報担当者は「我々は同規模の企業と同じように、従業員が行動規範を順守しているかを監査・評価するための内部監査チームを有しており、このチームは経営幹部に推奨事項を提供します」とだけコメントしています。

なお、アメリカの特定のユーザーを監視するためのアプリを使用しようとしたテクノロジー企業はByteDanceが初めてではありません。過去にはUberとFacebookがアプリを用いて自社アプリについて報じるジャーナリストの位置情報を追跡しようとしたと報じられており、Electronic Privacy Information Centerによる2015年の調査では実際にUberがジャーナリストの位置情報を監視していたことが明らかになっています。

しかし、これらの事例はあくまでユーザー情報が「アメリカ企業が運用するアメリカベースのサーバー」上に保存されていました。一方で、TikTokの親会社は中国のByteDanceであり、同社のサーバーも中国に存在するため、上記の事例とは大きく状況が異なります。ByteDanceはアメリカでTikTokを規制されることを嫌い、「TikTokのアメリカ人ユーザーの個人情報は、アメリカと開発中のプロトコルに従い、許可された担当者のみがアクセスできるように制限する」ことを計画しています。このTikTokの内部システムの再構築は、「プロジェクト・テキサス」として知られており、ByteDanceとCFIUSの契約締結に欠かせない要素となっているそうです。なお、2022年9月に行われた上院公聴会において、TikTokの最高執行責任者であるVanessa Pappas氏は、CFIUSとの契約について「すべての国家安全保障上の懸念を満たすものになる」と発言しています。