パスワードを忘れた? アカウント作成
15155274 story
プライバシ

開発者の正直さに依存するApp Storeのプライバシー情報表示、どれぐらい意味がある? 21

ストーリー by nagazou
正直者が馬鹿を見る? 部門より
headless 曰く、

Appleは年末からApp Storeでアプリのプライバシー情報の表示を開始しているが、情報は開発者の自己申告であり、中には不正確なものもあるようだ(The Washington Postの記事Mac Rumorsの記事9to5Macの記事)。

アプリのプライバシー情報は食品の栄養素ラベルのように一見して必要な情報が把握できるようにするもので、アプリが収集するデータの種類や扱いなどが「Appのプライバシー」セクションに記載される。これらの情報は新規アプリおよびアプリのアップデートをApp Storeに提出する際に必須となるが、Appleは「デベロッパには、回答を正確かつ最新の情報に保つ責任があります」とするのみで、掲載前に確認は行われないようだ。実際に「Appのプライバシー」セクションで「詳細を表示」をクリックすると「この情報はAppleによって検証されていません」という但し書きがみられる。

The Washington Postの記事では、テクノロジーコラムニストのGeoffrey Fowler氏が「データの収集なし」と表示されるアプリによるデータ収集が判明したと伝えている。その後Fowler氏は数十本のアプリを検証し、半数以上が「Appのプライバシー」の記載と異なるデータ収集を行うことを確認したという。Fowler氏はVPNアプリ「Privacy Pro」の追跡防止機能がブロックした通信のリストを証拠として示し、Apple製品のセールスポイントであるプライバシーはユーザーのためではなく、Appleが利益を得るためだと批判する。

AppleはFowler氏に対し、開発者が提供するプライバシー情報の正確性を順次確認しており、不正確な情報を修正するよう開発者に求め、修正されない場合は将来のアップデートの却下やApp Storeからの削除も行うなどと説明したという。Fowler氏からの連絡を受けて「Appのプライバシー」に表示する情報を修正したり、アプリ自体を修正したりする開発者もいるが、修正することなく公開を続けている開発者もいるとのことだ。

  • by Anonymous Coward on 2021年02月01日 18時27分 (#3970273)

    問題が起こった場合はストアに責任はない、悪いのは利用者というわけだ。
    そりゃ原材料に嘘つかれちゃ、小売としてはわからない。
    ただデジタルの世界なんだから、Appleは審査してるのを売り文句にするなら、このタレコミにあるようなデータ監視ぐらいやればいいのに。(審査期間は通信しないでくぐり抜けるようにするだけという話もあるので難しいだろうが)

    とはいえ、わざわざBANされる危険を犯して嘘を付くディベロッパーは少ないだろうね。
    嘘がバレたときはペナルティが大きいことを喧伝するしかないでしょ。

    ここに返信
    • by Anonymous Coward on 2021年02月01日 18時47分 (#3970291)

      > そりゃ原材料に嘘つかれちゃ、小売としてはわからない。

      まあそのとおりですよね。
      なぜかあまり話題になってないけど、日立金属の品質不正とかヤバイなんてレベルじゃない。
      今までの現場の不正じゃなくて経営陣まで含んだオール不正体制。

      日立金属は28日、品質不正問題に関する調査報告書を公表した。遅くとも1980年代から不正が行われ、対象商品の納入先は1747社に上ることが確認された。現時点では性能上の不具合や安全上の問題は確認されていないという。経営陣が不正を黙認、隠蔽(いんぺい)するなど、全社的な法令順守の意識の欠如も明らかになった。

      https://www.jiji.com/sp/article?k=2021012801266 [jiji.com]

    • by Anonymous Coward on 2021年02月01日 18時56分 (#3970299)

      バレるまで稼げればいいやってのはどこにでもいると思うけど。
      バレたらバレたで名を変えてまたやる。

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      このタレコミにあるようなデータ監視ぐらいやればいいのに。

      だよねー監視によって得られる個人情報おいしいのに(オイマテ

      • by Anonymous Coward

        余りにもあれなら、SMOOZのように誰かが指摘するのでは。

        • by Anonymous Coward

          SMOOZは暗号化してなかったから、正直不正直の問題でなくGithubおじさん見たいな天然系だと思う。
          ガチならちゃんと暗号化してて、今も見つかってないと思う。

    • 収集するデータはスキャンできても(というか、権限設定の領分じゃないのか?)、
      収集し送信されたデータがどのように使われたかは開発者以外把握できるのだろうか?

  • by Anonymous Coward on 2021年02月01日 22時04分 (#3970417)

    その気になればかなり厳密かつ自動的に判断できる環境にできるのに、
    やらないってことはAppleにとってプライバシーなんて「その程度」ということなんでしょうな

    ここに返信
    • by Anonymous Coward

      「その程度」という一刀両断のような見方をするのは簡単ですが、他のコメントにもある通り、自動的な判断をしようとしても審査をすり抜ける方法はありますよ。
      技術的に実効性のある対策は実装が難しいと思います。

      • by Anonymous Coward

        アプリ自体が通信しなきゃいいんじゃね?
        もしくは各社サーバも参入できる広告apiでだけ/appleの用意したcloudサーバサービスだけ窓を空けるとかさ
        直にsocket触るやつを減らすんだよ。

        • by Anonymous Coward

          デバイス間でデータを共有したい場合、Appleでは不便だね。GoogleやFacebookなど他社のサービスじゃないと、Apple製品に限定されてしまう。

          で、このコラムニストに難癖をつけられているアプリは、データの共有にFacebookやGoogleのアカウントを利用する模様。したがって、アプリは情報を送信している。でも、プライバシーポリシーで間違ったことは書いていないように思える

          The developer does not collect any data from this app.

          多分、開発者のところにはデータは送信されない。ただ、ストアの表示が紛らわしいだけ。

          GoogleのPlay Storeの場合、サードパーティのサービスを利用については、そのサービスのプライバシーポリシーのリンクを、アプリのプライバシーポリシーに載せる必要がある。まあ、分かりにくいところにあるから、読む人は少なそうだけど。

          • by Anonymous Coward

            どこのサーバー(ドメイン)とどういうデータをどういく目的で通信するか、を掲載してくれるといいんだけどね。
            事前に通信先を申請させときゃ、OS側でそのほかに通信させないよう制限もかけやすいだろうし。

        • by Anonymous Coward

          アプリ間通信するアプリが、他のアプリからアップロードする仕組み取ってたらぱっと見分からなくなるのでは

      • by Anonymous Coward

        開発プラットフォームからやれば大半は防げるし自動判別も可能でしょ。
        というかストア込みのビジネスなんだからそれくらいやらんでどうする。
        そんな開発環境を作るほどの技術力が無い訳でもあるまい。

    • by Anonymous Coward

      ”まだ”その気になっていないというだけじゃないの?
      某国の法律と同じ。罰則なしで成立させて、改善が見られないということにして罰則追加する方が反発も少ないし手続きも楽だから。
      という事じゃないんだろうか。

  • HAHAHA!!

    ここに返信
  • by Anonymous Coward on 2021年02月01日 18時47分 (#3970292)
    https://apple.srad.jp/story/20/12/20/2045249/ [apple.srad.jp]
    相当なものなのでは?
    ここに返信
    • by Anonymous Coward

      IDFAの件はAPIで強制的にユーザーにお伺いを立てるって話だから、Appleの一連の動きではあるけれど、一応別件だろう。

  • そりゃAppleが言い逃れできる程度には、意味がありますよ。

    ここに返信
    • by Anonymous Coward

      一応、審査してると主張できますからねー
      書類審査だけで安全を主張するのはなんとも時代遅れですがw
      え?書類がデジタルだからいいの?

  • by Anonymous Coward on 2021年02月02日 10時26分 (#3970618)

    バイナリを解析してチェックするとかできないんでしょうか?

    ここに返信
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...