Googleがサードパーティ製アプリの開発者に対して、ユーザーのGmailの内容を読むことができる権限を与えているとの報道が伝えられています。タイムスタンプや受信者、送信者およびテキスト内容まで、すべてAIや人間の従業員が閲覧できる可能性があるとのこと。
こうした「ユーザーのGmailを読む」権限は、一応はユーザーが同意を与えた場合のみ与えられるもの。ただしユーザーがどのようなアクセス許可を与えているのか十分に理解しているかどうかは疑わしいと、同報道を伝える米WSJは指摘しています。
さらにWSJの取材に対して、Googleは同社の従業員がGmailの内容を読むこともあると回答。ただし「かなり特殊な場合」とした上で「セキュリティ上の理由、バグや不具合の調査」に必要なときのみに限られるとしています。
サードパーティ製アプリとして例示されているのは2つ。1つは「Return Path」で、マーケティング担当者向けに1日1億件以上の電子メールを分析するもの。事情通によれば、開発元の従業員は2年前に約8000件のメールを閲覧したとされています。
もう1つのアプリは、ユーザーのメール運用を支援する「Edison Software」。こちらはスマートリプライ(返事の自動作成)機能開発のために、人間の従業員が何百人ものユーザーのメールを読んだと伝えられています。
両社の担当者は、こうした慣行はユーザー契約に基づいて行われており、従業員は閲覧したメールに関して「できること」と「できないこと」の厳格な規約に従っていると回答したとのこと。
とはいえ、WSJがGmai統合サードパーティ製アプリに関わった現従業員および元従業員、20人以上にインタビューした結果、このようなルールは厳密には守られていないとか。
Googleのデベロッパー契約では、ユーザーの個人情報を「本人からの明示的な同意なしに」他の誰かに公開することを禁じているものの、サードパーティ開発者たちは「Googleがこれらのポリシーを実施することはほとんどない」と述べたとも伝えられています。
こうした一連の報道に対して、Googleは公式ブログで「Gmailのセキュリティとプライバシーの確保」というエントリを公開。同社がGmailと統合されたアプリおよびアプリ開発者を徹底的に調査していると述べた上で、「データの透明性と(ユーザーによる)制御」がプライバシー保護の重要な原則であると強調。
本エントリでは、サードパーティ製アプリがGmailのデータにアクセスする前に、アクセスできるデータの種類とデータの使用方法を明確に示す許可画面が表示される基本ポリシーを再確認。その上で、ユーザーに対して確認画面を確認することを強く推奨しています。
一応、サードパーティがユーザーのGmailを閲覧する上で、形式的には相手の許可を得ているものの、実際は「プライベートなメールの内容まで読んでいいと同意した」とは流れ作業の中では認識しにくいもの。
さらにいうと、これまでGoogleが全てのアプリについて「権限付与への同意」を徹底してきたかは、厳密には検証できません。今後はサードパーティ製アプリの登録画面で「メールを閲覧していい」と許可を求める文言がないかどうか、十分に注意を払いたいところです。
Engadget 日本版からの転載。
