ITmedia NEWS > 科学・テクノロジー >

Appleの「ATT」は本当にユーザーのプライバシーを守れているのか? 英オックスフォード大が指摘Innovative Tech

» 2022年05月18日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 英オックスフォード大学の研究チームが発表した「Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels」は、ユーザーのプライバシー保護を目的としたAppleの2つの機能「App Tracking Transparency」(ATT)と「Privacy Nutrition Labels」が効果的に役割を果たしているかを調査した論文だ。抜け道や違反行為がないかを分析し、ユーザーのプライパシーが本当に保護されているのかを調べた。

 モバイルアプリ内で動くユーザーをトラッキングする行為は、パーソナライズされた広告の表示やサードパーティーにデータを販売する収益モデルに活用される。一方でユーザーのプライバシーに大きく関わるデータ収集行為であるため、ユーザーのプライバシーを考えると保護しなければならない。

 Appleは2021年、アプリメーカーがユーザーの許可を得ずにユーザーの行動を追跡することを禁じる強制的なポリシー「App Tracking Transparency」(ATT)を制定した。これによって、アプリメーカーはユーザーが許可しなければiOS端末の広告識別子であるIDFA(Identifier for Advertisers)を活用できない状況となった。「他社のAppやWebサイトを横断してあなたのアクティビティーの追跡することを許可しますか?」という通知のことだ。

Apple Tracking Transparency(ATT)のダイアログ。ユーザーに追跡していいか許可を得なければならない

 またAppleは、全てのアプリに対して、アプリがユーザーから収集するデータの種類や収集したデータをどのように利用するかなどの情報を表記しなければならない「Privacy Nutrition Labels」も導入した。このようにAppleは、ユーザーへの信頼を獲得するための機能を積極的に導入してきた。

Privacy Nutrition Labelsのダイアログ

 論文では、これら仕組みが本当に機能しているのかどうか、ユーザーにとって有益に働いているのかどうかを、実際に1759個のiOSアプリを分析し詳しく調査した。アプリは、ATT以前(iOS 14以前)のアプリと、トラッキングに関する新しいルールに準拠するためにアップデートされたアプリ、2つのバージョンをダウンロードした。

 調査の結果、Appleの新しいポリシーは、IDFAの収集を妨げていることが分かったが、多くのアプリでは、グループレベルでユーザーを追跡したり、確率的に個人を識別したりするために使用できるデバイス情報を収集していた。

 Alibabaの子会社である「Umeng」は、AppleのATTを回避するために、サーバ側のコードを使用してユーザーのプライバシーに敵対するフィンガープリントを作成していた。フィンガープリントの使用はAppleのポリシーに違反している。

 Privacy Nutrition Labelsでは、調査対象アプリのうち、22.2%がユーザーからデータを収集していないと回答してたが、そのうち80.2%のアプリが少なくとも1つのトラッキングツール(AppleのSKAdNetwork、Google Firebase Analytics、Google Crashlyticsなど)を含んでおり、68.6%が最初のアプリ起動時にトラッキングドメインにデータを送信していた。

 また、ユーザーからデータを収集していないと回答したアプリのうち、App Storeのチャートに入っているのは3つだけであり、人気のないアプリほどデータ処理を宣言していない可能性が高いと分かった。

 今回の調査結果から、トラッキング会社、特に大量のファーストパーティデータにアクセスできる大規模な会社(GoogleやFacebookなど)は、現在も裏でユーザーを追跡していることを示唆した。

 IPアドレスを使用してアプリ間でインストール固有のIDをリンクさせたり、個々のアプリが提供するサインイン機能(例:GoogleやFacebookのサインイン、または電子メールアドレス)を通じて行うなど、さまざまな方法で行える。

 Apple自身も、ユーザートラッキングやクレジットスコアリングを行っている。App Storeが、他のデベロッパーがアクセスできないUDID、デバイスのシリアル番号、DSID(ユーザーのAppleアカウントにひも付く識別子)、PurchaseTimestampを収集している。これらの識別子は全て、Appleが個々のユーザーを特定するために使用できるが、新しいポリシーからは除外されている。

 今回取り上げた論文はプレプリントであり、まだ査読されていないことに留意したい。

Source and Image Credits: Kollnig, Konrad, et al. “Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels.” arXiv preprint arXiv:2204.03556(2022).



Copyright © ITmedia, Inc. All Rights Reserved.