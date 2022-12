次々出てくるなあ…。

AppleがどのようにiPhone利用データを収集しているのか、米ソフトウェア会社のMyskが調べてみたところ、収集したデータに個人を特定できる情報が含まれていることがわかりました。

「収集データには個人を特定できる情報は含まれていない」というAppleのプライバシーポリシーとは裏腹に、実働では恒久的に変更不能なID番号(DSID:Directory Services Identifier)も含まれていました。Appleは同じ番号をApple IDの個人情報と一緒に収集しているため、DSIDを辿れば利用者のフルネーム、電話番号、生年月日、メールアドレスなどまで丸わかりなんですね。

「個人情報は最初から記録されないか、段階的プライバシーなどのプライバシー保護技術で処理されるか、Appleに送信する前にレポートから削除される」とAppleの解析関連ポリシーにはありますが、実際には、個人名と直接紐づけられるDSIDがすべての解析データと一緒のパケットでAppleに送信されていました。

パートナーのTalal Haj Bakryさんとテストを実施したアプリ開発者兼セキュリティ研究員のTommy Myskさんは「DSIDがわかれば個人の名前もわかって、1対1で個人が特定できてしまう」と言います。「詳細なアナリティクス情報すべてが個人に直接つながる。しかもこれをOFFにする方法がないのだから問題です」

Myskといえば、つい先日も、iPhoneの「解析データの共有」をOFFにしてもAppleによる追跡が止まらないという調査結果を発表したばかりですよね。あちらの件では、共有をOFFにすれば「デバイス解析データの共有すべてが無効になる」というAppleの説明と矛盾することから、顧客を欺く行為なのではないかと、米Gizmodoの記事公開から数日後に集団訴訟が起こってもいます。

矛盾点と集団訴訟についてAppleにコメントを求めましたが、まだ回答は得られていません。

「ID番号は個人特定情報じゃない」という説明も成り立ちそうですが、国際標準となっている欧州プライバシー保護法GDPRの定義では、個人特定情報とは「直接的または間接的」に個人を特定できる情報を差しますので、ID番号も個人特定情報に含まれます。

Mysk社の調査結果はTwitter上に11月20日付けで公開されました。

