オンライン会議SaaSの「Zoom」が同意なくFacebookにデータ送信
突如リモートワークを余儀なくされた企業や教育機関を救う救世主として注目される、オンライン会議SaaSの「Zoom」。そのアプリに仕込まれたSDKが、プライバシーポリシー上の同意なく、Facebookにパーソナルデータを送信していることが判明しました。
目次
リモートワークで注目を浴びるZoomがユーザーに承諾なくFacebookにデータを送信
新型コロナウイルスの流行により、人と人とが面と向かって会う・接触する・話をするためのあらゆる機会が、さらなる感染を広げてしまう禁忌行為となってしまった今、人が集まるビジネス会議やカンファレンス、そして学校教育をオンラインで代替する手段が求められています。
そんな中、デバイスを選ばず、ITリテラシーを問わずだれもがかんたんに接続でき、しかも高品質な映像と音声で通信ができるサービスとして今注目されているのが、米国発のオンライン会議SaaSの「Zoom(ズーム)」 です。
日本の企業、さらには官公庁ですらももはやこのサービスなしにはやっていけないのでは?と思われるほど、コロナ禍における日常的ツールとなっています。Zoom側もこうしたニーズに対応すべく、2020年4月30日まで学校への提供を無料としており、実際に活用を検討している教育機関も多いと聞きます。
そんな矢先、ディープカルチャーを取り上げることで有名なメディア「vice」で、この Zoomがプライバシーポリシーに明確に記載のないまま、iOS版のZoomアプリに仕込まれたSDK(Software Development Kit)を通じFacebookに端末データを送信していたという調査結果 が報じられています。
▼ Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
As people work and socialize from home, video conferencing software Zoom has exploded in popularity. What the company and its privacy policy don’t make clear is that the iOS version of the Zoom app is sending some analytics data to Facebook, even if Zoom users don’t have a Facebook account, according to a Motherboard analysis of the app.
(中略)
The Zoom app notifies Facebook when the user opens the app, details on the user’s device such as the model, the time zone and city they are connecting from, which phone carrier they are using, and a unique advertiser identifier created by the user’s device which companies can use to target a user with advertisements
本当にZoomアプリからFacebookにデータ送信しているのか確かめてみた
Facebookログイン連携機能を使用したアプリであれば、Facebookへの通信があってもおかしくはありません。viceがそれと早とちりをした可能性もあるのでは?と思い、Facebookログイン連携をしなくてもデータ送信が本当に行われてしまうのか、自分の目で実際に確かめることにしてみました。
デバッギングに使われるソフトウェア「Charles」をMacにインストールしてこれをプロキシとし、iPad ProのZoomアプリの通信内容と通信先を監視するという手法を採用。なお、このiPad Proからは、Facebook社製アプリ(MessengerやInstagram)はアンインストール済みです。
実際に何度か検証した結果、Facebookに一切アクセスしていない・アプリすら入っていない状態でも、Zoomアプリを起動するたびに毎回、Facebook SDKからFacebookに対してデータが送信されている ことが確認できました。以下がその様子をキャプチャしたCharlesのスクリーンショットです。
このような実装をしているにもかかわらず、Zoomのプライバシーポリシーには、「Facebookのプロフィール情報(弊社製品にログインするため、または弊社製品用にアカウントを作成するためにFacebookを使用するとき)」の記載しかなく、Zoomが起動するたびにFacebookにデータ送信されることが推測できる記載はありません。
Zoomは謝罪するも集団訴訟へ発展
本件については、Zoom広報は数日後に非を認め、「Facebook SDKが情報取得をしていることに気づかなかった」と弁明 し、その経緯がviceに追記されています。
“Zoom takes its users’ privacy extremely seriously. We originally implemented the ‘Login with Facebook’ feature using the Facebook SDK in order to provide our users with another convenient way to access our platform. However, we were recently made aware that the Facebook SDK was collecting unnecessary device data,”
しかしながら、訴訟大国アメリカの消費者は行動が早く、2020年1月に施行されたばかりのカリフォルニア州消費者プライバシー保護法(CCPA)違反等を理由に、集団訴訟を提起するにいたっています。
CCPA違反を主な理由とする大規模な消費者集団訴訟は、編集部が調査した範囲では2月にセールスフォースらが訴えられたものに続き、これが2件目となります。
同意を取るべき主体はSDKを入れたアプリデベロッパーか、それともSDK経由でデータを受け取るモジュール提供者か
今回のZoomのように、SDKを用いアプリの中に仕込まれるモジュール(システムを構成する機能的なまとまり)を通じて、アプリからの通信内容が第三者に送信されることは実は珍しいことではありません。
しかしここで問題となるのが、アプリ内のモジュールからパーソナルデータが送信されることについて、ユーザーから同意を取るべき主体はアプリデベロッパー / モジュール提供者のうちどちらなのか、という点です。今回の件に置き換えれば、
- Facebookから提供を受けたSDKを自社アプリに仕込みFacebookに情報を送信させたZoom
- ZoomをはじめとするアプリデベロッパーにSDKを提供し情報を受領するFacebook
のどちらであるべきか、という問題です。
日本では、従来より1のスタンス、つまり情報送信モジュールの存在をアプリデベロッパー側が明示する慣習が根付いています。具体例として、日本でも広くインストールされている「LINE」や「モンスターストライク」などのアプリにもこうしたSDKは組み込まれており、運営会社のアプリプライバシーポリシーには、モジュール名と情報送信先が明記されています。
このような整理となっているのは、こうしたSDKが多くの場合デベロッパーが出稿した広告効果の追跡のために導入されており、デベロッパーとモジュール提供者が委託関係として整理されているためです。しかし、Zoomのエンジニアらですら情報送信を見逃してしまうような SDKを提供しデータを(委託元を介さず)直接取得するモジュール提供者に、ポリシー明示の責任や同意取得漏れの責任がまったくないままでよいのか、という疑問もあります。
特にその送信先がFacebookとなれば、過去ケンブリッジ・アナリティカ事件という問題も起こしているだけに、ユーザーが不安に思うのも無理はありません。
各国でCookieが徐々に規制されはじめているように、SDKを提供することによるユーザー情報の取得や追跡のあり方にも、早晩メスが入るものと予想します。
(橋詰)
