アリゾナ州司法長官、Temuを「ユーザーデータの窃盗」で提訴

出典：Koshiro K / Alamy Stock Photo

ある大手EC企業が、ユーザーデータの窃盗疑惑で非難を浴びている。

アリゾナ州司法長官クリス・メイズは、2022年に設立された大規模オンラインマーケットプレイスであるTemuを提訴した。12月2日のプレスリリースによると、Temuは「違法なデータ収集、顧客のプライバシー侵害、アリゾナ州の象徴的なブランドの偽造」を通じてアリゾナ州消費者詐欺法に違反したという。

Temuは主に中国の販売者が米国を含む西側の消費者に直接商品を販売できることで知られている。メイズ司法長官は、Temuがユーザーの同意や認識なしに機微なユーザーデータを収集していると非難した。

「Temuは、一般的なオンラインショッピングアプリに必要な範囲をはるかに超える驚くべき量の機微なユーザーデータや個人を特定できる情報（PII）を収集しているとされる」と司法長官のリリースには記されている。「訴状によれば、同アプリはユーザーの認識や同意なしに、ユーザーの正確な位置情報、電話のマイクやカメラ、他のアプリでのプライベートな活動など、機微な情報にアクセスし収集するために、密かにユーザーのデバイスに侵入している。」

Temuの広報担当者は、Dark Readingに対し訴訟の主張を否定する声明を発表した。

「Temuは訴訟の主張を否定し、断固として自らを擁護します。当社は消費者や家族が手頃な価格で高品質な商品にアクセスできるよう支援しています」と広報担当者は述べている。「市場への新たなルートを提供することで、地元の事業者や中小企業、消費者に力と選択肢を取り戻しています。私たちは引き続き、消費者に実質的な節約をもたらし、販売者に価値を創出することに注力します。」

アリゾナ州、Temuと中国に照準

訴状によれば、Temuは中国企業（2023年に本社をアイルランドに移転したものの）であるPDDホールディングスが所有しており、同社はPinduoduoを含む複数の中国系EC事業を展開しているため、中国政府の情報機関と情報共有を義務付ける中国法に従わざるを得ないとされている。

どのようなPIIが中国政府に取得・共有されたかは不明だが、中国の国家安全法は 現地企業に 機微なデータを含む情報の共有を義務付けているのは事実だ。また、中国は自国民や自国企業だけでなく、世界中の分野や国を標的とした 強力なサイバースパイ活動 を展開している。

訴状はさらに、アプリのコードを調査した結果、Temuがフロントエンドのセキュリティ審査を回避し、プロセスをフォレンジック調査から隠すよう設計されていると主張している。

「Temuアプリのコードを調査すると、フロントエンドのセキュリティ審査を意図的に回避するよう設計されていることがわかる。アプリは複数の暗号化レイヤーを各種プロセスに適用し、フォレンジック調査から自らを隠そうとしている」と 訴状 には記されている。「また、フォレンジックツールや設定を検知するコードを使用し、第三者による調査が行われているかどうかを判断する。アプリは消費者のスマートフォンにダウンロードされた後、自らのコードを編集することさえでき、これによりユーザーのPIIや他のデータを悪用したり、消費者のデバイスを未知かつ予測不能な方法で制御する可能性がある。」

Temuが大規模な訴訟に直面するのはこれが初めてではない。Temuは 2023年 および 2025年 に提起された集団訴訟でも同様の行為が指摘されている。これら過去の訴訟と同様に、アリゾナ州の訴状もTemuのアプリに「スパイウェアやマルウェアの特徴が複数見られる」と主張している。Temuは3件すべての訴訟の主張を否定している。

Temu訴訟のより大きな影響

これらの疑惑や、他にも（消費者に不利な慣行や知的財産の窃盗など）により、アリゾナ州はTemuに対し、市民のPIIの取得・保持・利用を恒久的に禁止する差止命令を求めている。これに加え、アリゾナ州は民事罰や「法律で認められるその他すべての救済措置」も求めている。

もちろん、アプリが広範なユーザーデータを取得するのは今に始まったことではなく、実際、ユーザーデータの収集や仲介が年々過激化したことで、立法者は 消費者データの悪質な乱用を制限する新法 を制定せざるを得なくなった。悪用の形態は多様で、例えばRedditは今年、同社の掲示板データを無断でスクレイピングし、AnthropicのClaude AIアシスタントの学習に利用したとしてAnthropicを提訴した。最近では、同様の主張でAIベンダーのPerplexityも 提訴している。

国際プライバシー専門家協会（IAPP）のマネージングディレクター、コバン・ツヴァイフェル＝キーガン氏は、アリゾナ州はTemuを提訴した4番目の州であり、「アプリのプライバシー、マーケティング、小売慣行に対して超党派で監視が強まっていることを示している」とDark Readingに語った。

「アリゾナ州のように包括的な消費者プライバシー法がない州では、小売業者のプライバシー慣行には一般的な消費者保護原則が適用されます」と彼は述べている。「これは州ごとに考え方が異なる場合もありますが、企業は通常、提供するサービスに合理的に必要な範囲を超えて情報を収集しないことが期待されており、予期しないデータ収集や利用については明確に消費者に開示しなければなりません。アリゾナ州司法長官がTemuの収集する機微なデータ量について『驚くべき量』と表現しているのは、オンラインショッピングアプリの通常の業務で必要とされる範囲を超えていることが反映されています。」