人気動画アプリTikTokが、欧州のデータ保護規則違反をめぐる新たなスキャンダルの中心に置かれています。
同サービスがユーザーの活動を追跡していることが判明しました。追跡は自社プラットフォーム内にとどまらず、他のアプリや第三者のウェブサイトなど、プラットフォーム外にも及んでいました。オーストリアのデジタル権利団体noybは、イスラエル企業AppsFlyerおよび出会い系サービスGrindrというパートナーとともに、TikTokに対して2件の告発を提出しました。
この件は、あるユーザーが、TikTokがGrindrを含む他のアプリ上での自身の活動に関するデータを取得していたことを発見したことから浮上しました。これらの情報には、例えば、商品をカートに追加したことや、私生活の親密な側面を明らかにし得るその他の行動が含まれていました。こうしたデータは、一般データ保護規則(GDPR)第9条に基づく特別カテゴリーに該当し、例外的な場合にのみ処理が認められます。当該ユーザーは、これらの情報の移転に同意していませんでした。
調査の結果、データはまずGrindrによって収集され、その後AppsFlyerに移転され、最終的にTikTokへ移転されたことが明らかになりました。したがって、3社すべてが、法的根拠のないまま機微なデータの移転および処理に関与していました。noybの専門家は、この連鎖に関与したいずれの当事者にも、この種の情報を開示する権利はなかったと強調しており、特にその機微性を踏まえればなおさらだとしています。
違法な追跡に加え、2件目の告発は、ユーザーの請求に対してTikTokが完全な個人データの提供を拒否した点に関するものです。同社は情報をダウンロードするための専用ツールを提供しているものの、その後、自社がより「重要」とみなすデータのみを提供していることを認めました。
繰り返しの要請にもかかわらず、TikTokは、どのデータをどのような理由で処理しているのかを明らかにしませんでした。noybのチームによれば、これはGDPR第12条および第15条に対する直接的な違反であり、ユーザーが自身のデータについて完全で理解しやすい情報を受け取る権利を定めています。
noybは規制当局に対し、TikTokに不足している情報の開示を義務付け、3社すべてによる違法なデータ処理を停止させるよう求めています。さらに、損害を補償するだけでなく、欧州法を侵害する他社への警鐘ともなる相当額の制裁を提案しています。