こんにちわ、Hikaru Sanoです。
先日、中国製写真加工アプリ『Meitu』が個人情報収集で炎上という記事を紹介させていただきました。
その記事について『Meitu』の関係者から連絡、「公開声明」の提示がありましたので紹介させていただきます。
ユーザデータの販売は行っていない
先日の記事では主に下記のような点について紹介しました。
- セキュリティ専門家が不審なコードを発見
- Android版の要求権限が多すぎ
- iOS版に脱獄を判定するコードがある
- 各種データを収集している
- 収集したデータを送信している
- 第三者に販売されている可能性がある
これらはセキュリティ専門家であるジョナサン・ズジアークスキー氏の発言より推察されたもので、海外を含め多くのメディアで取り上げられています。
ズジアークスキー氏は「他のアプリほど悪くない」とフォローを入れていますが、「広告をターゲットとする企業にユーザーの情報を販売する可能性がある」と推測していました。
そして今回筆者が『Meitu』の関係者から受け取った「公開声明(画像)」は下記の2枚。
全部読むと大変なので、問題になっている部分と照らし合わせて見てみましょう。
まずは「1.セキュリティ専門家が不審なコードを発見」「3.iOS版に脱獄を判定するコードがある」についてです。
先日の記事で紹介した不審なコードとは「端末が脱獄されているか判定するコード」と、「脱獄していた場合、携帯キャリアや電話番号、MACアドレスをバックグランドでチェックするコード」というものでした。
下記「公開声明」では「ジェイルブレイク:WeChat SDK(弊社のシェアリングモジュール)および広告の両方においてハンドセットがジェイルブレイクされているか確認することが必須となっています」とあります。
「脱獄(ジェイルブレイク)」される事を確認し不正を防ぐ目的のようです。
が、「脱獄していた場合、携帯キャリアや電話番号、MACアドレスをバックグランドでチェックするコード」についての言及はありませんでした。
次に「2.Android版の要求権限が多すぎ」についてです。
『Meitu』はAndroid版で多くの権限を要求しており、その数は実に20個にもなります。
下記「公開声明」では「Google Play:Meituは人気の高い写真編集アプリで求められている権限と同様のアクセス権限を求めます」とあります。
では実際にGoogle Playのランキング上位の写真アプリ(Meitu関連を除く)の権限数を見てみましょう。
- カメラZOOM FX:14個
- PicsArt Photo Studio:22個
- Aviaryのフォトエディター:14個
- Adobe Photoshop Express:10個
- QuickPicギャラリー:16個
『Meitu』の関連アプリを除くTOP5のアプリが上記のリストなのですが、「同様のアクセス権限」とは言い難いですね。
次は「4.各種データを収集している」「5.収集したデータを送信している」です。
これについては下記「公開声明」は各種情報の取得、送信を認めています。
「MACアドレス/IMEI番号」「LAN IPアドレス」「SIMカードの国コード」「GPS/ネットワークロケーション」について詳細が書かれていますが、その他の項目の情報収集があるのか、といった事には言及されていません。
最後に「6.第三者に販売されている可能性がある」についてです。
「公開声明」では「Meituはいかなる形式によるユーザーデータの販売も行っておりません」とあります。
また収集したデータについては「(前略)アプリのパフォーマンス、エフェクト、機能の向上および、アプリ内広告に対する顧客の関与状況をより良く理解する目的(後略)」で個人情報を収集しているそうです。
筆者が入手した情報と以前の記事との比較は、以上となります。
まとめ
いかがでしたか?
以前の記事と「公開声明」との齟齬については、「3.iOS版に脱獄を判定するコードがある」の利用目的、「6.第三者に販売されている可能性がある」の2点。
これ以上の情報、ならびに専門知識がないので断定などはできませんが、筆者が皆さんに言える事は「アプリのインストール、利用は自己責任である」、という点に尽きます。
