by Christoph Scholz

ドイツ人ジャーナリストのマティアス・エーベル氏が、動画共有アプリ「TikTok」を解析した結果から「TikTokは、ユーザーの表現の自由を明確に制限しており、適法性・信頼性・透明性・データ保護の観点において、複数の不正を働いています」と報じています。

Privacy Analysis of TikTok’s App and Website | Rufposten

https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/

Wie TikTok seine Nutzer überwacht - Digital - SZ.de

https://www.sueddeutsche.de/digital/tiktok-ueberwachung-daten-kritik-1.4709779

エーベル氏がスマートフォンの通信内容を確認するmitmproxyというソフトを使って、TikTokの通信内容を解析した結果の一部がこれ。「fb searching string〜(fb 検索文字列)」というコードが確認できます。



エーベル氏はこの解析結果から「TikTokに入力した検索ワードはFacebookに送信されています。これが『正当な利益や透明性』の範疇にあるとは到底いえません」と指摘。このように、ユーザーの許可なく情報を第三者に引き渡すのは、個人情報の持ち主に対する事業者の義務を規定した「(PDFファイル)一般データ保護規則(GDPR)第14条」に明確に違反しているとエーベル氏は述べています。

Facebookの他にも、データはモバイルアプリの広告効果測定プラットフォームであるAppsFlyerにも転送されていることも分かっています。エーベル氏によると、AppsFlyerは4500以上の提携先を保有しており、その中のどれにデータが転送されているか明示されていないため、GDPR第14条の義務を第三者と共有する場合を規定したGDPR第26条にも抵触している可能性が高いとのこと。エーベル氏はさらに、「最も重要なことですが、これらの個人を特定できる情報(PII)がヨーロッパ外にある北京のサーバーに持ち出されていることは、GDPRどころか基本的権利の侵害です」と述べて、TikTokの個人情報の取り扱いが、複数の条項に抵触しているとの見方を示しました。

また、エーベル氏はTikTokが「vm.tiktok.com/9uTpDV」のような一意の短縮URLを使用して映像をアップロードした人を追跡したり、スマートフォンなどとの通信時に取得した各種設定情報を組み合わせて端末を特定するデバイスフィンガープリンティングを使って映像を閲覧した人を追跡したりしていることも確認しています。



スマートフォンでのデバイスフィンガープリンティングでは、OSのバージョンや端末のスペックなどがよく使用されますが、TikTokではさらに端末がビットストリームから音声を生成する際に記録されるオーディオフィンガープリントも収集して、端末の特定を行っているとのこと。



また、エーベル氏はTikTokがウイグル弾圧を批判した17歳の少女のアカウントを「人為的ミス」で凍結したことや、障がいを持つ人などによる投稿のリーチを制限していたことにも触れて、「表現の自由という観点からすると、明らかにユーザーに制限を設けています」と指摘しました。

17歳少女がメイク動画に見せかけて中国のウイグル弾圧を批判しTikTokアカウントが停止されてしまう - GIGAZINE



動画共有アプリ「TikTok」が障がいを持つ人やレズビアン・ゲイによる投稿のリーチを制限していた - GIGAZINE



by Nathan Anderson

さらに、エーベル氏はTikTokがThomas Fuchs氏が作成したJavaScriptライブラリであるZepto.jsなどのフリーソフトを使用していることも突き止めていますが、TikTokはこれらのフリーソフトを使用するのに必要な適切なライセンス表記をしていないとのことです。こうした分析結果からエーベル氏は「TikTokはティーンエイジャーを中心としたユーザーのデータを使用しているだけでなく、さまざまな法律を犯しています」と述べて、法的な規制が必要との見方を示しました。