ほとんどの人気アプリがユーザーデータの取り扱いについてウソをついているという指摘

Firefoxの開発元であるMozillaの調査によると、Android向けの公式アプリストアであるGoogle Playにおいてトップアプリとされているアプリの多くが、アプリ配信ページ上でユーザーデータをどのように取り扱うか説明する「データセーフティセクション」で虚偽あるいは誤解を招く表記をしているとのことです。

Mozilla Foundation - Mozilla Study: Data Privacy Labels for Most Top Apps in Google Play Store are False or Misleading
https://foundation.mozilla.org/en/blog/mozilla-study-data-privacy-labels-for-most-top-apps-in-google-play-store-are-false-or-misleading/

Mozilla Foundation - See No Evil: Loopholes in Google’s Data Safety Labels Keep Companies in the Clear and Consumers in the Dark
https://foundation.mozilla.org/en/campaigns/googles-data-safety-labels/

Mozilla says “most top apps” on Android have misleading privacy labels | Ars Technica
https://arstechnica.com/gadgets/2023/02/mozilla-says-most-top-apps-on-android-have-misleading-privacy-labels/

Android向けの公式アプリストアであるGoogle Playでは、各アプリの配信ページ上で「データセーフティセクション」を設けており、ここでユーザーデータをどのように取り扱っているかを簡易的に説明しています。例えばGoogle Playで配信されているTikTokアプリの場合、画面中段に「データセーフティ」という項目があり、ここにユーザーデータの取り扱いに関する情報が記載されています。

TikTok - Google Play のアプリ
https://play.google.com/store/games

このデータセーフティセクションに「第三者と共有されるデータはありません」と記されていても、アプリのプライバシーポリシーには「ユーザー情報を広告主・インターネットサービスプロバイダー・プラットフォーム・その他企業と共有する」と明記されているケースが頻繁に確認できたとMozillaが報告しています。

これは、Google Playのデータセーフティセクションが正確な情報を記しているかを調査する一環で明らかになった「悪質な事例」であるとMozillaは説明しています。Mozillaがレビューしたアプリの80％近くがデータセーフティセクションとプライバシーポリシーで矛盾した内容を記載しているとのこと。そのため、Google Playのデータセーフティセクションは「虚偽あるいは誤解を招くものである」とMozillaは指摘しています。

MozillaはGoogle Playの入力フォームに深刻な抜け穴があるため、データセーフティセクションに虚偽あるいは誤解を招く情報が表記されてしまうと指摘しています。例えば、Googleは「サービスプロバイダー」とデータを共有するアプリを開示要件から除外していますが、これはサービスプロバイダーの定義が狭いことと、消費者データが大量に含まれることの両方から問題があるとMozillaは指摘しています。Googleはアプリに対してデータセーフティセクションで「完全かつ正確な宣言をする責任がある」としていますが、実際の情報は虚偽であふれているため「情報が真実かどうかを確認する責任を放棄している」と批判しました。

なお、Mozillaが調査したのはGoogle Playで最も人気のある無料アプリトップ20と有料アプリトップ20の合計40個。これらのアプリのデータセーフティセクションとプライバシーポリシーを比較し、各アプリに「悪い」「改善が必要」「問題なし」という3つのラベルをつけています。「悪い」のラベルをつけられたアプリは、共有・収集されたデータの種類、データが共有・収集された目的などで、データセーフティセクションとプライバシーポリシーの表記に大きな相違があったものです。「問題なし」のラベルをつけられたアプリは、データセーフティセクションとプライバシーポリシーの表記が密接に一致したもので、「改善が必要」のラベルがつけられたアプリは「悪い」と「問題なし」の中間に位置していたものです。

「悪い」のラベルをつけられたアプリは40個中16個(40％)で、これにはマインクラフトやTwitter、Facebookなどが含まれます。40個中15個(37.5％)のアプリが「改善が必要」のラベルをつけられており、これにはYouTube、Googleマップ、Gmail、WhatsApp Messenger、Instagramなどが含まれる模様。「問題なし」のラベルをつけられた40個中6個(15％)のアプリは、Candy Crush Saga、Google Play Games、Subway Surfers、Stickman Legends Offline Games、Power Amp Full Version Unlocker、League of Stickman 2020- Ninjaです。なお、UC Browser、League of Stickman Acti、テラリアという3つのアプリはデータセーフティセクションに表記がありません。

MozillaのプロジェクトリーダーであるJen Caltrider氏は、「消費者はプライバシーを気にかけており、アプリをダウンロードする際に賢明な決定を下したいと考えています。Googleのデータセーフティセクションは、それを行うのに役立つ情報のはずです。しかし、残念ながらそのようには機能していません。代わりに、彼らが利益よりも害をおよぼすのではないかと心配しています。TwitterやTikTokなどのアプリは、データセーフティセクションで『第三者とデータを共有しない』と記していますが、それは完全に真実ではないため腹が立ちます。消費者はより適切に扱われるべきです」と記しました。

なお、AppleのApp Storeも同様の「プライバシーラベル」というデータの取り扱い方について記すシステムを運用していますが、Caltrider氏はこのプライバシーラベルでも同様の問題があると指摘しています。そのため、Caltrider氏はGoogle PlayのデータセーフティセクションとAppleのプライバシーラベルについて、「共通の標準化された評価システムを採用すること」を推奨しています。