タグ: ボイスプリント / 声紋(用語)

ユーザーの声紋と顔紋を収集するTikTokの危険な計画に上院議員が「待った」

ユーザーの生体データを収集するTikTok(ティックトック)の計画は、米国議員らの懸念を呼びおこし、収集する情報の詳細とデータの利用計画を正確に公表するよう要求されている。

2021年8月初めにTikTok CEO Shou Zi Chew(周受資)氏宛に送ったレターで、上院議員のAmy Klobuchar(エイミー・クロブシャー)氏(民主党・ミネソタ州選出)とJohn Thune(ジョン・スーン)氏(共和党・サウスダコタ州選出)は「ユーザーが投稿したビデオ・コンテンツから身体的、行動的特徴を含む生体データを自動的に収集」を可能にするTikTokによる最近のプライバシーポリシー変更に不安を感じていることを訴えた。

TechCrunchは2021年6月、新プライバシーポリシーの詳細を最初に報じた。その時TikTokは「顔紋(Faceprint)と声紋(Voiceprint)」を収集するために法律で「必要な認可」を取得しようとしていると語ったが、それが連邦法なのか州法なのかその両方なのかは説明しなかった(米国で生体プライバシー法があるのはイリノイ州、ワシントン州、カリフォルニア州、テキサス州、ニューヨーク州などごくわずかな州のみ)。

関連記事:TikTokが米国ユーザーの「顔写真や声紋」を含む生体情報の収集を表明

クロブシャー氏とスーン氏のレターはTikTokに対し「顔紋」と「声紋」の内容と、このデータがどのように使用され、いつまで保持されるのかを明確に説明するよう要求している。さらに両上院議員は、18歳未満のユーザーのデータを集めるのか、収集した生体データに基づきユーザーに関して何らかの推測を行うのかを問い、データをアクセスできる全サードパーティーのリストを提出するよう求めた。

「新型コロナウイルスのパンデミックで増加したオンライン活動によって、消費者のプライバシー保護の必要性は増大しています」とレターに書かれている。「これはTikTokのアクティブユーザーの32%以上を占め、友だちや大切な人とのやり取りやエンターテインメントやをTikTokなどのオンラインアプリケーションに頼っている子どもたちやティーンエージャーにとっては特にそうです」。

TikTokは議員らの質問に答えるために8月25日まで猶予を与えられている。TikTokの広報担当者はすぐにはコメントしなかった。

TikTokの過度なデータ収集計画が監視対象になったのはこれが初めてではない。2021年2月、TikTokがユーザーの生体データを違法に収集してサードパーティーに提供したと主張する集団訴訟で同社は9200万ドル(約100億9000万円)の示談金を支払った。これ以前にTikTokは、アプリが未成年のデータを収集するためには親の許可を必要とする児童オンライン保護法(COPPA)に違反したことで2019年にFTC(連邦取引委員会)から570万ドル(約6億3000万円)の罰金を課された

関連記事
米国の国会議員が掌紋データの今後の扱い方などでアマゾンに質問状
VUの本人確認技術が普及すれば運転免許証や指紋の提示が不要になる
ニューヨーク市で生体情報プライバシー法が発効、データの販売・共有を禁止
画像クレジット:Greg Baker / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

TikTokが米国ユーザーの「顔写真や声紋」を含む生体情報の収集を表明

米国時間6月2日水曜日に発表されたTikTok(ティックトック)の米国におけるプライバシーポリシーの変更では、同社のソーシャルビデオアプリがユーザーのコンテンツから「生体識別子および生体情報を収集する場合がある」という項目が新たに追加された。これには「フェイスプリント(顔写真)やボイスプリント(声紋)」などが含まれると説明されている。TikTokにコメントを求めたところ、製品開発におけるどのような理由でユーザーから自動的に収集する情報に生体情報を加える必要が生じたのかは確認できなかった。しかし、そういったデータ収集活動を始める場合には、ユーザーに同意を求めると述べている。

生体情報収集の詳細については、同ポリシーの「自動的に収集する情報」の下に新たに追加された「画像および音声情報」セクションの項目として記述されている。

これは、TikTokのプライバシーポリシーの中で、アプリがユーザーから収集するデータの種類を列挙している部分であり、すでにかなり広範囲にわたっている。

新しいセクションの最初の部分では、TikTokがユーザーのコンテンツに含まれる画像や音声に関する情報を収集する場合があるとし「ユーザーコンテンツに含まれる物体や風景の識別、顔や体の特徴と属性の画像内の有無や位置、音声の特徴、テキスト化した会話内容など」と説明している。

気味が悪いと思うかもしれないが、他のソーシャルネットワークでは、アクセシビリティ(例えば、Instagramの写真の中に何が写っているかを説明する機能)の強化やターゲティング広告のために、アップロードされた画像の物体認識を行っている。また、AR(拡張現実)効果の演出のためには、人物や風景の位置を認識する必要があり、TikTokの自動キャプションは話し言葉をテキスト化することで実現している。

関連記事:TikTokが耳が悪い人のための自動キャプション機能導入、まずは英語と日本語で

また、このポリシーでは、新たなデータ収集は「映像の特殊効果、コンテンツモデレーション、人口統計学的分類、コンテンツや広告のリコメンデーション、個人を特定しないその他の処理」を可能にするためとも述べている。

新しい項目の中でも特に気になるのは、生体情報の収集計画の部分だ。

そこには次のように書かれている。

当社は、お客様のユーザーコンテンツから、フェイスプリントやボイスプリントなど、米国の法律で定義されている生体識別子および生体情報を収集することがあります。法律で要求される場合、当社は、そのような収集を行う前に、お客様に必要な許可を求めます。

この声明自体は、連邦法、州法、またはその両方を対象としているのかどうかを明確にしていないため、曖昧なものとなっている。また、他の項目と同様に、TikTokがなぜこのデータを必要とするのか説明しておらず「フェイスプリント」や「ボイスプリント」という言葉の定義さえもない。加えて、どのようにしてユーザーから「必要な許可」を得るのか、同意を得るプロセスは州法や連邦法を参考にするのかについても言及はない。

これは憂慮すべきことだ。というのも、現在のところ、生体認証情報プライバシー法を制定しているのはイリノイ州、ワシントン州、カリフォルニア州、テキサス州、ニューヨーク州など、ほんのひと握りの州にすぎないからだ。TikTokが「法律で要求される場合」にのみ同意を求めるのであれば、他の州のユーザーはデータ収集について知らされる必要がないということになりかねない。

TikTokの広報担当者は、生体情報の収集における同社の計画や、現在または将来の製品にどのように関わるかについて、詳細は明らかにしていない。

「透明性に対する継続的なコミットメントの一環として、当社が収集する可能性のある情報をより明確にするために、今回プライバシーポリシーを更新した」と同担当者は述べる。

そして、同社のデータセキュリティへの取り組みに関する記事、最新の透明性レポート、アプリ上でのプライバシーの選択についての理解を深めることを目的として最近立ち上げたプライバシーとセキュリティのページを紹介した。

画像クレジット:NOAH SEELAM/AFP via Getty Images

今回の生体情報に関する開示は、TikTokが一部の米国ユーザーの信頼回復に取り組んでいる時期と重なる。

Trump(トランプ)政権時、連邦政府は、TikTokが中国企業に所有されていることから国家安全保障上の脅威であるとして、米国内での運営を全面的に禁止しようとした。TikTokは、この禁止令への対抗として、TikTokの米国ユーザーのデータは、米国内のデータセンターとシンガポールにのみ保存していることを公表した。

関連記事
TikTokは来たるべき禁止令をめぐって米国政府を提訴する
TikTokがトランプ大統領に抵抗、禁止命令に対して差止めを申し立て

同社はまた、北京を拠点とするByteDance(バイトダンス)が所有しているにもかかわらず、TikTokのユーザーデータを中国政府と共有したことも、コンテンツを検閲したこともないと述べている。また、頼まれても絶対にしないとしている。

TikTokの禁止令は当初、裁判所で却下されたものの、連邦政府はその判決を不服として控訴した。しかし、Biden(バイデン)大統領が就任すると、同政権はトランプ政権の措置を再検討するため、控訴プロセスを保留した。そして、6月4日現在、バイデン大統領は、監視技術に関連する中国企業への米国の投資を制限する大統領令に署名しているが、同政権のTikTokに対する立場は不明のままだ。

関連記事
トランプ政権のTikTok禁止措置に対する米連邦判事の2度目の判決、米政府の制限一時差し止め
TikTok米国事業のオラクルへの強制売却が棚上げ

しかし、今回の生体情報収集に関する新たな開示は、ソーシャルメディアアプリがイリノイ州の生体認証情報プライバシー法に違反したとして、2020年5月に提起されたTikTokに対する集団訴訟における9200万ドル(約100億円)の和解を受けたものであることは注目に値する。この集団訴訟は、TikTokがユーザーの同意なしに個人情報や生体情報を収集・共有したことをめぐる、同社に対する20件以上の個別訴訟とも併合されていた。具体的には、特殊効果を狙ったフェイスフィルター技術への使用に関するものだ。

そういった状況のため、TikTokの法務部門は、アプリによる個人の生体情報収集に係る条項を追加することで、将来の訴訟に対する予防策を手早く講じたかったのかもしれない。

今回の開示は、米国向けのプライバシーポリシーにのみ追加されたものだ。EUなど他の市場では、より厳しいデータ保護法やプライバシー保護法があることも忘れてはならない。

この新しいセクションは、TikTokのプライバシーポリシーの広範な更新の一部であり、他にも旧版のタイプミスの修正から、セクションの改訂や新規追加まで、大小さまざまな変更が加えられている。しかし、これらの調整や変更のほとんどは、簡単に説明できる。例えば、TikTokのeコマースへの意欲を明確に示す新しいセクションや、ターゲティング広告に関するApple(アップル)の「App Tracking Transparency(アプリのトラッキングの透明性)」に対応する調整などが挙げられる。

関連記事:ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと

大局的に見れば、TikTokは、たとえ生体情報がなくても、ユーザーやコンテンツ、デバイスに関するデータをふんだんに持っている。

例えば、TikTokのポリシーには、ユーザーのデバイスに関する情報を自動的に収集するとすでに記載されている。その情報には、SIMカード・IPアドレス・GPSに基づく位置データ、TikTok自体の利用状況、ユーザーが作成・アップロードしたすべてのコンテンツ、アプリから送信したメッセージのデータ、アップロードしたコンテンツのメタデータ、クッキー、デバイス上のアプリやファイル名、バッテリーの状態、さらにはキーストロークのパターンやリズムなどが含まれている。

これは、ユーザーが登録したり、TikTokに連絡したり、コンテンツをアップロードしたりしたときに送られる「ユーザーが提供することを選択した情報」とは別だ。この場合、TikTokは、ユーザーの登録情報(ユーザー名、年齢、言語など)、プロフィール情報(名前、写真、ソーシャルメディアアカウント)、プラットフォーム上でユーザーが作成したすべてのコンテンツ、電話やソーシャルネットワークの連絡先、支払い情報、加えてデバイスのクリップボードにあるテキスト、画像、動画を収集する(Apple iOS 14の警告機能により、TikTokや他のアプリがiOSのクリップボードのコンテンツにアクセスしていることが発覚したことはご記憶にあるだろう。今回のポリシーでは、TikTokは「ユーザーの許可を得て」クリップボードのデータを「収集する場合がある」としている)。

プライバシーポリシーの内容自体は、一部のTikTokユーザーにとっては、すぐに気がかりになるものではなく、むしろ、バグだらけのロールアウトに関心が集まった。

一部のユーザーは、プライバシーポリシーの更新を知らせるポップアップメッセージが表示されたものの、そのページを読もうとしても読めなかったと報告している。また、ポップアップが繰り返し表示されるという報告もあった。この問題は全ユーザーに共通ではないようだ。TechCrunchによるテストでは、このポップアップに関する問題は発生しなかった。

【追加レポート】Zack Whittaker(ザック・ウィッタカー)

カテゴリー:ネットサービス
タグ:TikTok生体情報アメリカSNS個人情報プライバシーフェイスプリントボイスプリント透明性中国

画像クレジット:SOPA Images / Getty Images

原文へ

(文:Sarah Perez、翻訳:Dragonfly)