TikTokのAndroid版アプリはポリシーに違反してMACアドレスを1年以上にわたって収集していたことが明らかに

アメリカのドナルド・トランプ大統領は、中国のByteDanceが開発・運営するショートムービー共有アプリ「TikTok」に対し、「2020年9月15日までにTikTokをアメリカ企業に売却すること」を要求しています。そんな中、ウォール・ストリート・ジャーナルの報告により、TikTokがAndroidのポリシーに違反して、端末識別子であるMACアドレスを1年以上にわたって収集し続けていたことが明らかになりました。

以前からTikTokには「中国にデータを送信しているのではないか」との懸念が持たれており、アメリカの民主党と共和党の両党は「TikTokにはプライバシー上の懸念があるため使用を控えるように」と関連機関に警告しています。2020年8月6日にはアメリカ連邦議会で、政府職員が政府支給のデバイスでTikTokを使用することを禁じる法案が可決され、アメリカにおけるTikTok排除の動きが加速しました。

政府職員のTikTok使用を禁じる法案が連邦議会で可決される、アメリカのTikTok排斥がさらに加速 - GIGAZINE

トランプ大統領は「2020年9月15日までにTikTokがアメリカの企業に売却されない限り、国内でのTikTok使用を禁止する」と発表し、適切な売却が行われなければアメリカでTikTokが閉鎖されると述べています。TikTokを買収するアメリカ企業としては、かねてよりTikTokの買収交渉を進めていたMicrosoftが名乗りをあげています。

トランプ大統領がTikTokに「2020年9月15日までにアメリカ企業に売却すること」を要求、Microsoftが買収に名乗り - GIGAZINE

そんな中、ウォール・ストリート・ジャーナルが、「TikTokのAndroidアプリがプラットフォームのルールに違反して、端末識別子であるMACアドレスを少なくとも15カ月間にわたって収集し続けていた」と報告しました。MACアドレスは各ユーザーのデバイスを識別する上で有効であり、収集できれば広告およびユーザーの追跡に役立ちます。

iOSのApp StoreとAndroidのGoogle Playストアは2015年までに、「アプリストアで配信されたアプリを通じて個人を特定できる情報、または永続的なデバイス識別子を収集することを禁止する」というポリシーを設けました。このポリシーで収集が禁止された情報には、ハードウェアに一意に割り当てられるMACアドレスも含まれていますが、TikTokのAndroid版アプリはこのポリシーが設けられた後も、「抜け穴」を使用してMACアドレスの収集を続けていたとのこと。

ウォール・ストリート・ジャーナルによると、TikTokはユーザーがAndroid版アプリを最初に開いた時、ユーザーの同意を得る前にMACアドレスをByteDanceに送信していたそうです。このデータ送信は、セキュリティ上の利点がない「暗号化された異常な追加レイヤー」によって隠されていました。この暗号化レイヤーにより、アプリがプライバシーポリシーに従っているのかどうかを第三者が分析しづらくなっていたとウォール・ストリート・ジャーナルは指摘しています。MACアドレスの収集は2019年11月18日のアップデートと共に終了したとのことですが、少なくとも15カ月間はポリシーに違反したMACアドレスの収集を行っていたそうです。

なお、同様の手法でポリシー制限を回避しているのはTikTokだけではなく、Google Playストアで配信されている350ものアプリが同じ抜け穴を使用していることも判明しているとのこと。TikTokは「最新バージョンのTikTokはMACアドレスを収集しません」と述べましたが、過去のアプリでの慣行についてはコメントしませんでした。

今回の報告は、MicrosoftとTikTokの買収交渉に影響を及ぼす可能性があります。また、TikTokの買収を進めるMicrosoftにとって、「データストレージやコンテンツの監視と推奨のアルゴリズム、ユーザーのプロファイル管理といった、他のByteDance製品と部分的に共有されているコードを分離して、TikTokを技術的にMicrosoftの子会社化する方法」は大きな課題となっています。