アメリカのドナルド・トランプ大統領は、中国の ByteDanceが開発・運営するショートムービー共有アプリ「 TikTok」に対し、「2020年9月15日までにTikTokをアメリカ企業に売却すること」を要求しています。そんな中、ウォール・ストリート・ジャーナルの報告により、TikTokがAndroidのポリシーに違反して、端末識別子である MACアドレスを1年以上にわたって収集し続けていたことが明らかになりました。
以前からTikTokには「中国にデータを送信しているのではないか」との懸念が持たれており、アメリカの民主党と共和党の両党は 「TikTokにはプライバシー上の懸念があるため使用を控えるように」と関連機関に警告しています。2020年8月6日にはアメリカ連邦議会で、政府職員が政府支給のデバイスでTikTokを使用することを禁じる法案が可決され、アメリカにおけるTikTok排除の動きが加速しました。
そんな中、ウォール・ストリート・ジャーナルが、「TikTokのAndroidアプリがプラットフォームのルールに違反して、端末識別子であるMACアドレスを少なくとも15カ月間にわたって収集し続けていた」と報告しました。MACアドレスは各ユーザーのデバイスを識別する上で有効であり、収集できれば広告およびユーザーの追跡に役立ちます。
iOSのApp StoreとAndroidのGoogle Playストアは2015年までに、「アプリストアで配信されたアプリを通じて個人を特定できる情報、または永続的なデバイス識別子を収集することを禁止する」というポリシーを設けました。このポリシーで収集が禁止された情報には、ハードウェアに一意に割り当てられるMACアドレスも含まれていますが、TikTokのAndroid版アプリはこのポリシーが設けられた後も、「抜け穴」を使用してMACアドレスの収集を続けていたとのこと。
ウォール・ストリート・ジャーナルによると、TikTokはユーザーがAndroid版アプリを最初に開いた時、ユーザーの同意を得る前にMACアドレスをByteDanceに送信していたそうです。このデータ送信は、セキュリティ上の利点がない「暗号化された異常な追加レイヤー」によって隠されていました。この暗号化レイヤーにより、アプリがプライバシーポリシーに従っているのかどうかを第三者が分析しづらくなっていたとウォール・ストリート・ジャーナルは指摘しています。MACアドレスの収集は2019年11月18日のアップデートと共に終了したとのことですが、少なくとも15カ月間はポリシーに違反したMACアドレスの収集を行っていたそうです。
なお、トランプ大統領がアメリカ国内での取引を禁止しようとしているのはTikTokだけではなく、中国のチャットアプリである WeChatも同時に禁止することを発表しています。
https://gigazine.net/news/20200812-tiktok-used-loophole-collect-mac-address/