本日発表された新たな報告書によると、Apple のプライバシー ポリシーと取り締まりにもかかわらず、多くの iOS アプリがユーザーの位置データをデータ ブローカーに販売しているという。

AppleとGoogleの両社が、ユーザーデータを売買する企業が使用する卑劣な手法を取り締まっている一方で、簡単な回避策が広く使用されているとのことだ…

背景

かつては、データブローカーがSDK（ソフトウェア開発キット）を作成し、アプリ開発者が一般的に必要な機能を迅速かつ簡単に追加できるようにすることは一般的でした。しかし、これらのSDKは位置情報を含むユーザーデータも収集し、ブローカーはそれを販売することができました。

Appleは昨年、こうしたSDKを取り締まり、開発者にプライバシーラベルを組み込んでアプリが収集するデータとその使用方法を開示するよう義務付けた。

Appleの保護における重大な弱点の一つが先月浮き彫りになった。Appleは開発者がラベルに関して正直であることを頼りにしているが、多くの開発者がそうではないことが明らかになったのだ。

アプリは回避策を使って位置情報を販売する

The Markupのレポートによると、多くのアプリが、SDK 経由ではなく直接ブローカーに位置情報を販売し続けており、プライバシー ポリシーで無害に聞こえるフレーズに頼っていることがわかりました。

現在、データブローカーは新たな手法に移行しています。アプリ開発者が位置情報データブローカーと契約を結んでいる場合、「サーバー間」転送を通じてユーザーデータを直接提供できるようになります。

この方法はアプリストアの視野の外で行われているようで、業界では一般的になりつつあります[…]

Appleのポリシーでは、アプリはユーザーから収集するデータの内容とその使用方法を明らかにし、データを共有する前にユーザーの同意を得ることが義務付けられています。しかし、アプリがデータを誰に販売するかを正確に開示する必要はなく、多くのアプリは単に「パートナーとデータを共有する」と記載しているだけです。

人気のあるアプリがこれを行う動機は十分にあります。

The Markupが検証したアプリ開発者宛てのメールによると、SafeGraph傘下の位置情報データブローカーであるVerasetは、開発者が「サーバー間データをVerasetに送信できる（SDKのインストールやメンテナンスは不要）」とアピールしていた。また、アプリはユーザーの位置データをVerasetに送信することで、年間1万2000ドルから100万ドルの収益を得ることができると指摘されていた。 

記事では、Apple と Google にはこの慣行を監査する現実的な手段がなく、プライバシー法だけがこれを阻止できると主張している。

写真：ホセ・マルティン・ラミレス・カラスコ/Unsplash

havebin.com を Google ニュース フィードに追加します。