WhatsAppに新たなプライバシー問題

2016年10月6日

8月25日、WhatsAppは新たな利用規約の詳細をブログに投稿(英語)しました。この類いの投稿が物議を醸すことはまずありませんが、今回は違いました。エンドツーエンドの暗号化だけでなく、ビジネス機会の追求、利用者の電話番号とFacebookシステムとの連携について明らかになったからです。

whatsapp-facebook-troubles

何?Facebookと連携?当該部分をちょっと読み返してみましょう。

「しかし、Facebookとの連携を密にすることで、WhatsAppサービスがどの程度利用されているのか、WhatsAppではどうやってスパムに対抗しているのか、といった基本的な指標の追跡などを行えるようになります。また、利用者の電話番号とFacebookシステムを連携させることで、Facebookは連携したアカウントを持っている利用者に対して的確な友達候補を提示し、関係性の高広告を表示することができます。たとえば、利用したことのある企業の広告が表示されるようになり、聞いたこともない人から広告が届くことはなくなります。利用者データのプライバシーポリシーなどについては、こちら(英語)でご覧いただけます」

このブログを読んだ直後、同僚であるサージ(Serge)が、すでにWhatsAppを使用している人が新たな利用規約をオプトアウトする方法について、ブロク記事を投稿しています。ただし、これから登録する人にはオプトアウトする選択肢はありません。

この発表に対して、米国のプライバシー保護団体が不快感と懸念を表明するまでにそう時間はかかりませんでした。Electronic Privacy Information Center(EPIC)とCenter for Digital Democracy(CDD)は8月29日、米国連邦取引委員会(FTC)に調査を求める訴えを提出しました(英語資料)。

EPICの消費者保護担当弁護士であるクレア・T・ガートランド(Claire T. Gartland)氏はThreatpostマイク・ミモソ(Mike Mimoso)の取材に対して、次のように述べています。

EPICFTCに対し、措置を講じるよう働きかけていきます。個人情報の取り扱いに関してWhatsAppが掲げてきた数多くの方針に明らかに違反しているからです。FTCが動けば、改定案の差し止めや、FacebookFTCとの和解合意の締結も期待できます。2012年にFacebookに対して発行された同意命令のように」

9月25日のポリシー承認日までの数週間で、WhatsAppの新たな利用規約にまつわる話題は一段落するかに見えました。ところが先日、インドとドイツの規制当局がFacebookとWhatsAppの動きに一歩踏み込んだ決断を下しました。

インドのデリー最高裁判所の裁判長は、9月25日までにWhatsAppの新たな利用規約をオプトアウトした利用者から収集したデータを削除するようWhatsAppに命じました(英語記事)。また、改定をオプトアウトしなかった利用者についても、9月25日までに収集したデータを共有しないよう要求しました。

インド同様、ドイツのデータ保護局(ドイツ語記事)もWhatsAppに対し、ドイツ国内の利用者からのデータ収集を中止し(英語記事)、すでに収集したデータはすべて削除するよう命じました。

ハンブルグのデータ保護監督官、ヨハネス・カスパー(Johannes Caspar)氏は次のように述べています。「WhatsAppアカウントとFacebookを連携させるかどうかを決める立場にある利用者は、ドイツ国内で3,500万人にのぼります。Facebookは前もって利用者に許可を求めるべきですが、実現しませんでした」

Facebookの広報担当者は、同社がこの判決に上訴する意向であるとし(英語記事)、次のように述べています。「FacebookはEU(欧州連合)の個人情報保護法を遵守しています。当社は今回の命令に上訴し、問題への対処と懸念事項の解消に向けてハンブルグのデータ保護局と協力していくつもりです」

さて、他の国々もドイツやインドの後を追うのでしょうか。BBCTelegraphの報道によると(リンク先はいずれも英語記事)、米国とEUの規制当局も今回の改定について調査する可能性があり、英国はすでに調査段階にあります。英国情報コミッショナーオフィス(ICO)のエリザベス・デンハム(Elizabeth Denham)氏は利用規約の改定に際して次のように述べています(英語記事)。

「当機関の役割は、法令遵守の監査を通して今回のような問題を公にし、個人情報がどのように共有され、消費者がいかに保護されているのかについて企業の透明性を確保することにあります。

今回の改定は、当機関に通知されていました。組織は、自社のアプローチを変更するために事前にICOの承認を得る必要はありませんが、データ保護法の認める範囲内で活動することが求められます。当機関は現在、その点を調査しています」

この話題が、今後数週間のうちにさまざまな形で世界中に波及するのは間違いないでしょう。Kaspersky Daily(当ブログ)とThreatpostでその成り行きをご報告します。お見逃しなく。