Image: Robert Way / Shutterstock.com Xiaomiストアの看板

2023年3月3日の記事を編集して再掲載しています。

中国の国内で販売されているハイエンドのAndroidデバイスを使っていると、至るところで個人情報を抜き取られてしまう――そんな新しい研究結果が発表されました。

通知も同意もないままデータが収集され、ユーザーは常時トラッキングされたり、身元がたやすく明かされたりする恐れがあるとのこと。個人情報保護の点ではまるで悪夢のようだ、と指摘されています。

中国の人気メーカーが対象

複数の大学のコンピューター科学者が発表した研究によると、この問題が明らかになったのは、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべて。それぞれのOSや、プリインストールされている各種のアプリを通じて、厳重な扱いが必要なユーザーデータが大量に収集されているということです。

収集されたデータは、各種の関連する企業に吸い上げられており、研究者は問題のデバイスについて、こう危惧を表明しています。

不安になるほど大量の個人情報(PII)が、デバイスメーカーのみならず、Baidu(百度)などのサービスプロバイダーや、中国国内のモバイル通信事業者にまで送られている

民間企業が中国政府と密接な関係にある現状を考えると、中国のモバイルユーザーはさらに広範囲で監視されているのではないか、と疑うのに十分の内容です。

明白となったプライバシー問題

この研究から、中国におけるユーザーのプライバシー問題が明らかになりました。「総じて我々の研究は、世界有数のAndroid市場でユーザーデータのプライバシーが置かれている深刻な現状を浮き彫りにするものだ。テクノロジー企業に対する一般ユーザーの信頼を高めるには、喫緊でプライバシーの厳重な管理が必要であることが明らかである。なにしろ、テクノロジー企業の一部は国有なのだ」。研究の発表にはこう書かれています。

研究者は、中国の国内メーカーから購入した多数のデバイスを対象としてネットワーク分析を実施し、該当するデータ漏えいの把握を行ないました。原則として研究者が想定していたのは、デバイスメーカーが「プライバシーを重んじる利用者」であること。分析情報や個人情報をプロバイダーには送信しない、クラウドストレージをはじめ「サードパーティの一切のサービスも」使用しないはずだと考えていました。

法的な身元情報も筒抜け

収集される個人情報には、厳重な扱いが必要なものも含まれます。たとえば、電話番号や固有のデバイスID(端末識別番号やMACアドレス、広告IDなど)といった基本的なユーザー情報、位置情報(実際の現在地が明らかになってしまう情報)などです。さらには、「社会的なつながり」に関わるデータ、たとえば連絡先やその電話番号、通話やメッセージに関するメタデータなども該当する、とされています。

要するに、こうしたデータを手に入れれば、誰がどんなデバイスを使っているか、そこで何をしているか、どんな相手と対話しているかなどが手に取るようにわかってしまうということです。中国では、電話番号が個人の「市民ID」にも関連付けられているので、必然的に、ユーザーの法的な身元情報まで辿れることになります。

こうしたデータがすべて、ユーザーへの通知も、ユーザーによる同意もなく集められており、データ収集を停止する選択肢もない、と研究者は指摘しています。しかも、デバイスやユーザーが中国から外に出てもデータ収集は止まりません。国外に行けば、各国にそれぞれ個人情報保護法があり、情報収集の規定は国ごとに異なっているにも関わらず、です。研究によると、サービス契約の有無にかかわらず(たとえば、デバイスにSIMカードを差していなくても)、データは国内のモバイル通信事業者に提供されているといいます。

保護法発表も真逆の結果に

データプライバシーに関する中国の全般的な姿勢にそれほど詳しくなければ、耳を疑う発表かもしれません。しかし、今回の研究では、中国のスマホメーカーとサードパーティのサイトが盛んにユーザーデータを収集している詳細が、間違いなく明らかになっています。中国は2021年に、GDPR(EUの一般データ保護法)に似た個人情報保護法を発表しましたが、研究で明らかになったのは、それと真逆の結果でした。同法は、同意のないデータ収集から中国の消費者を保護するはずのものだからです。

米Gizmodoは、この件についてスマホメーカーにコメントを求めました。その回答があれば、こちらの記事も更新する予定です。