Avastが販売する匿名化したユーザーデータ、ユーザーの特定が可能との指摘
2020年1月29日 18:20
headless曰く、
Avastはユーザーから収集したデータを匿名化して販売すると説明しているが、MotherboardとPCMagの共同調査によれば、このデータはほかのデータと組み合わせることで容易にユーザーを特定可能になっていたという(Motherboard、PCMag、BetaNews)。
AvastはオプトインしたユーザーのWebアクセスデータを匿名化し、傘下のアナリティックス企業Jumpshotに提供することをプライバシーポリシーに明記している。しかし、MotherboardとPCMagが入手したドキュメントや情報提供者の証言によると、データは匿名化されているもののデバイスIDとアクセス日時がミリ秒単位(ただし、PCMagが例示したデータは秒単位であり、後述するOmnicomとの契約に限られる可能性もある)で含まれているという。そのため、Jumpshotからデータを購入した企業が自社サイトのアクセスデータと照合すれば、ユーザーを特定でき、他社サイトの利用状況も把握できる。
Jumpshotが販売するデータの中には特定のオンラインショッピングサイトでのクリックをすべて含む「All Clicks Feed」と呼ばれる製品があり、内部規定では個人を特定可能な情報の「三角測量」を防ぐためデバイスIDを含めないことになっている。ただし、マーケティング企業Omnicom Media Groupとの契約ではデバイスIDも提供データに含まれていたそうだ。さらにはリファラーのURLやミリ秒単位のアクセス日時、ユーザの予想される年齢や性別も契約に含まれていたという。Omnicomはデータの使用目的に関する問い合わせに回答しなかったとのこと。
Avastと子会社のAVGはWebブラウザ拡張機能による過剰なデータ収集が指摘されて以来、拡張機能での収集するユーザーデータを制限している。ただし、セキュリティソフトウェアでのデータ収集はやめていない。Avastはセキュリティソフトウェアで収集するユーザーデータについて昨年7月から明確なオプトイン画面を表示していると説明するが、匿名化されたデータからユーザーが特定可能になることを読み取ることはできない。そもそも匿名化というものが不可能だとの指摘も出ている。この問題を受け、PCMagでは無料版Avastから推奨製品の認定を外したとのことだ。