Avastが販売する匿名化したユーザーデータ、ユーザーの特定が可能との指摘

2020年1月29日 18:20

印刷

記事提供元:スラド

 headless曰く、

 Avastはユーザーから収集したデータを匿名化して販売すると説明しているが、MotherboardとPCMagの共同調査によれば、このデータはほかのデータと組み合わせることで容易にユーザーを特定可能になっていたという(MotherboardPCMagBetaNews)。

 AvastはオプトインしたユーザーのWebアクセスデータを匿名化し、傘下のアナリティックス企業Jumpshotに提供することをプライバシーポリシーに明記している。しかし、MotherboardとPCMagが入手したドキュメントや情報提供者の証言によると、データは匿名化されているもののデバイスIDとアクセス日時がミリ秒単位(ただし、PCMagが例示したデータは秒単位であり、後述するOmnicomとの契約に限られる可能性もある)で含まれているという。そのため、Jumpshotからデータを購入した企業が自社サイトのアクセスデータと照合すれば、ユーザーを特定でき、他社サイトの利用状況も把握できる。

 Jumpshotが販売するデータの中には特定のオンラインショッピングサイトでのクリックをすべて含む「All Clicks Feed」と呼ばれる製品があり、内部規定では個人を特定可能な情報の「三角測量」を防ぐためデバイスIDを含めないことになっている。ただし、マーケティング企業Omnicom Media Groupとの契約ではデバイスIDも提供データに含まれていたそうだ。さらにはリファラーのURLやミリ秒単位のアクセス日時、ユーザの予想される年齢や性別も契約に含まれていたという。Omnicomはデータの使用目的に関する問い合わせに回答しなかったとのこと。

 Avastと子会社のAVGはWebブラウザ拡張機能による過剰なデータ収集が指摘されて以来、拡張機能での収集するユーザーデータを制限している。ただし、セキュリティソフトウェアでのデータ収集はやめていない。Avastはセキュリティソフトウェアで収集するユーザーデータについて昨年7月から明確なオプトイン画面を表示していると説明するが、匿名化されたデータからユーザーが特定可能になることを読み取ることはできない。そもそも匿名化というものが不可能だとの指摘も出ている。この問題を受け、PCMagでは無料版Avastから推奨製品の認定を外したとのことだ。

 スラドのコメントを読む | セキュリティセクション | ビジネス | セキュリティ | プライバシ

 関連ストーリー:
過剰なデータ収集行為が指摘されていたAvast/AVGの拡張機能、Chromeウェブストアから一時削除される 2019年12月24日
Mozilla、AvastやAVGの提供するFirefox拡張機能がユーザー情報を収集・送信しているとしてアドオンサイトから削除 2019年12月05日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 2018年09月10日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事