日本からは利用できない人気のネットラジオとして知られる Pandora が、スマートフォン向けアプリにおいてユーザの許可を得ずに個人情報を広告ネットワーク企業と共有していた疑いで、米連邦大陪審から召喚状を受けとっていたことが明らかになりました。Pandoraが米証券取引委員会(SEC)へ提出した書類に記述されていたもので、調査は「同社を特別に対象としたものではなく」「そのほか多数のスマートフォンアプリ提供企業も同種の召喚状を受け取っている」はずと説明されています。

振り返ってみれば昨年12月、Wall Street Journalはスマートフォンアプリがいかに個人情報を広告ネットワークと共有しているかを問題視し、101種類のアプリを対象に分析を行っていました。結果は、うち56種のアプリがユーザの端末固有IDを、47種のアプリがユーザの位置情報を、そして5種のアプリが年齢や性別などユーザの個人情報を、同意なく他社へ送信していたというもの。このときPandoraも、Android版、iPhone版ともにユーザーの位置や端末固有IDに加え、会員登録時に設定するユーザの年齢や性別を広告ネットワーク企業に送信していたことが分かったと、WSJは伝えています。

さて、これら報道を受けて、セキュリティ企業 Veracode はPandoraのAndroidアプリを分析。アプリ内に含まれているライブラリから、Pandoraが広告ネットワーク 5社と情報を共有していることや、年齢・性別・郵便番号といった情報をやりとりする部分を発見しました。さらに多くの無料アプリが収益化を目論むようになれば、こうした例を今後も見ることになるだろう、とVeracodeのTyler Shields氏はコメントしています。

実際、Wall Street Journalの「問題に近い筋」情報によれば、ニュージャージー連邦検察局は多数のスマートフォンアプリを対象に、ユーザーの個人情報を違法に所有・送信している可能性について調査を行っているとのこと。Pandoraの言う「ほかの企業も」というのが「ほかの会社だってやるじゃん」という意味なのであれば、業界を巻き込んだ大きな問題となる可能性があります。それにしても収益あってこそのサービスというのは当然であったとして、さすがに年齢も位置情報も端末IDも知らぬうちに取られてしまうようでは、プライバシーもなにもあったものではありません。

Ars Technica
sourceWall Street Journal, Veracode