人気動画プラットフォームのTikTokが、欧州のデータ保護法違反の疑いをめぐる新たなスキャンダルの中心に置かれている。TikTokは自社プラットフォーム内だけでなく、その外側――他のアプリや第三者のウェブサイトにまたがって――ユーザーの行動を追跡していることが明らかになった。オーストリアのデジタル権利団体noybは、TikTokおよびそのパートナーであるイスラエルの分析企業AppsFlyer、そして出会い系アプリGrindrに対し、2件の正式な苦情を提出した。
調査のきっかけとなったのは、あるユーザーが、TikTokがGrindrを含む他のアプリでの自身の活動に関するデータを取得していたことを発見した事例だった。この情報には、ショッピングカートへの商品の追加といった行為や、個人の私生活の親密な側面を明らかにし得るその他の行動が含まれていた。一般データ保護規則(GDPR)第9条の下では、こうしたデータは特別カテゴリーに該当し、例外的な状況でのみ処理が認められる。当該ユーザーは、このデータの共有に同意したことは一度もなかった。
調査により、データはまずGrindrによって収集され、その後AppsFlyerに送信され、最終的にTikTokへ渡されたことが判明した。その結果、3社すべてが、適法な根拠のないまま機微な個人データの移転および処理に関与していたことになる。noybの専門家は、この連鎖のいずれの主体にも、特にその極めて機微な性質を踏まえれば、こうした情報を配布する権利はなかったと強調している。
違法な追跡に加え、2件目の苦情は、ユーザーからの請求に対して個人データの完全な写しを提供することをTikTokが拒んでいる点に関するものだ。同社は専用のデータダウンロードツールを提供しているものの、後にそのツールが、同社が「最も重要」と見なす情報しか提供しないことを認めた。
繰り返し問い合わせが行われたにもかかわらず、TikTokは、どのデータをどの目的で処理しているのかを正確に開示していない。noybによれば、これは、個人データの処理に関する明確かつ包括的な情報を得る権利をユーザーに保障するGDPR第12条および第15条の直接的な違反に当たる。
noybは規制当局に対し、TikTokに不足している情報の開示を命じるとともに、3社すべてによるさらなる違法なデータ処理を停止させるよう求めている。同団体はまた、相当額の制裁金の賦課も求めており、それは生じた被害を是正するだけでなく、欧州のデータ保護法を軽視しがちな他社に対する明確な警告となることを意図している。
翻訳元: https://meterpreter.org/the-intimacy-breach-tiktok-sued-for-unlawfully-tracking-users-on-grindr/
