Googleが、Chrome WebブラウザーのエクステンションやアプリのマーケットプレースChrome Web Storeを掃除している。同社によるとその一環として、同社はUser Data Policyを改定し、顧客データの扱い方に関するさらなる透明性をデベロッパーに求める。中でもとくに、データを収集するときにはユーザーの同意を必須とする。
改定の動機はおそらく、Chrome Web Storeに最近マルウェアがポストされたことだろう。その不埒なエクステンションは、ユーザーをスパイして個人情報を集めたりするのだ。またSnowdenによる内部告発があってから以降は、政府機関も、EUに倣って、ユーザーデータ保護の法制化に前向きになっているから、その流れに乗る意味もある。
1月にセキュリティ企業Malwarebytesが見つけた悪質なエクステンションは、取下げられたときすでに1000回もダウンロードされていた。マルウェア問題の典型とも言えるこのエクステンションは、 贅沢なパーミッションを要求し、インストールされるとリモートのサーバーと通信して広告をプッシュする。
それを削除すると、すぐに別のマルウェアにリプレースされ、それはユーザーをソーシャルネットワークサイトへリダイレクトする。そのセキュリティ企業によると、最近の“アドウェア”(adware,広告持ち込み型マルウェア)は、エクステンションを利用して無料のクーポンやレシピ、ビデオなどをプッシュするものが増えており、またユーザーのWeb閲覧習慣を捉えてそれを、広告のターゲティングのためにマーケティング企業に売るマルウェアメーカーもある。
しかし悪質なエクステンションはGoogleにとって旧聞である。Chrome Web Storeは何年も前から、この問題を抱えている。過去にGoogleは、Web Storeが直接提供していないエクステンションのインストールを、禁じようとした。理屈としては、Web Storeが直接関与できればエクステンションを取り下げたり無効にできたりするから、ユーザーの保護に貢献するだろう。
しかしこれからのGoogleは、ユーザーのプライバシーの保護に関して、Chrome自身と同等のガイドラインをデベロッパーにも守らせようとする。
Chromeのブログ記事によると、この新しいポリシーにより、次のような新しい要求がデベロッパーに課せられる:
-
ユーザーデータの取り扱いに関して透明であり、プライバシーに関して行っていることを開示すること
-
個人の機密情報を扱うときにはプライバシーポリシーをユーザーに開示し、暗号化を使用すること
-
ユーザーの個人情報や機密情報を収集するときには、大きく目立つ方法でユーザーの同意を求め、データの利用が主要な機能と無関係なときは、そのことも大きく目立つように開示すること
こんなことが、何年も前のストアの開店時にデベロッパーに対して言われなかったこと、今になってやっと言われることは、ユーザーの気分としては不安である。
このポリシーは、エクステンション等の主要機能とは無関係にユーザーのWeb閲覧行動を集めることも禁じている。とくにおもしろいのは、これによっていくつかの“ビジネス”に影響が及ぶことだ。
というのも、今では多くの企業が、一見無害なブラウザーエクステンションを利用して、さまざまな目的のために閲覧データを集めている。たとえばWebアナリティクスのSimilarWebによると、同社は“数百の”プラグインを利用して何百万人ものユーザーに接触していたこともある。それらのプラグインの中には、閲覧データを集めて、ユーザーが今いるサイトのランクやリーチを情報として教えるものもあったが、意図が明確でないプラグインも少なくない。そんなプラグインでプライバシーポリシーが表示されても、それを読まないユーザーがほどんどだろう。
Googleによると、デベロッパーは2016年7月14日までに、新しいポリシーに適合しなければならない。翌7月15日には、今回アップデートされたUser Data Policyに違反しているエクステンションやアプリはChrome Web Storeから削除される。