TikTokは、人気のソーシャルメディア動画共有アプリです。サイバーセキュリティ上の懸念に関して、ニュースで取り上げられることもありますが、その人気は衰えることを知りません。米国では個人情報への潜在的なリスクに対する国防総省の勧告を受けて、陸軍や海軍が政府の端末で同アプリの使用を禁止しました。その後TikTokは、アカウント、ユーザー情報、動画が流出する恐れなど多数の脆弱性を受け、アップデートを決定しました。
TikTokのプライバシーへの影響の実態をユーザーに理解していただくために、当社Proofpointのリサーチチームはアプリとその動作について調査しました。ここからは、TikTokが収集・送信・保管している情報の詳細についてご紹介します。
TikTokとは?
TikTokのユーザーは、スマートフォンで15秒間のショートビデオを作成して、パブリックなプラットフォームに投稿します。音楽のほかに、見栄えを変えるフィルターやステッカーなどで動画の完成度を高めることもできます。他のユーザーと画面を分割して「デュエット」する機能を使って、コラボすることもできます。
TikTok利用者である若年ターゲット層と、プラットフォーム上で作成・共有される動画コンテンツの性質上、プライバシーの側面に注目が集まっています。TikTokのデータがどこに保管されているか以上に、データにアクセスできるのが誰であるかという点に人々が疑問を持つようになってきました。
当社のリサーチャーは、AndroidとiOSのアプリで必要な許可設定、Androidのアプリがサーバに送信する情報、アップロードされた動画コンテンツのプライバシー管理などの点について、TikTokのプライバシーポリシーから考察しました。この分析により、TikTokにおけるプライバシーの取り扱いを適正評価できるようにすることを目的としています。この記事を通して、自分自身や組織、責任を負う個人が利用すべきかを判断してください。
TikTokのセキュリティについて知っておくべきこと
TikTokでは音声や動画を投稿します。理解すべき最も重要なことは、コンテンツを閲覧できるユーザーを制限できる機能に加えて、デバイスへの複数のアクセス許可を要求してくることです。アプリが位置情報とデバイス情報にアクセスしていることには、特に注目すべきです。悪意あるアクティビティやTikTokがプライバシーポリシーに反している事実は見つかりませんでしたが、録画・投稿するコンテンツに関してはさらなる注意が必要です。
TikTokアプリの許可設定には個人情報とデバイス制御が含まれている
まず、リサーチャーはTikTokをインストールした後に、AndroidとiOSデバイスのそれぞれに必要な、許可設定について調査しました。許可の詳細については後述しますが、TikTokのプライバシーポリシーの文面とすべて一致しています。それでも、やはりTikTokが収集するデータの内容を見ると、気になる点があります。許可設定によりTikTokは、以下のことができるようになることです。
- デバイス内のカメラ(写真や動画の撮影)、マイク(録音)、Wi-Fi接続、全連絡先へのアクセス
- 利用可能なインターネットの検索と接続
- デバイスの電源を入れっぱなしにし、再起動時には自動的に起動
- GPSやその他の起動アプリにより、ユーザーの位置情報の詳細を取得
- デバイスのストレージの読み取りと書き込み・ショートカットのインストールと削除・懐中電灯へのアクセス(onとoff)・追加インストールパッケージへのリクエスト
当社のリサーチャーは、TikTokがデバイス内のすべての音声・動画・連絡先にアクセスできることを発見しました。このことは、本来TikTokがオーディオ視覚アプリとして開発されていることを考えれば、驚くことではありません。
しかし、驚くべきはGPSについてです。TikTokの動画には明らかに位置情報は表示されていないからです。TikTokはプライバシーポリシーの中で、位置情報の収集を呼びかけています。そこではユーザーが制御可能であるとも述べています。TikTokは、「GPS情報を共有したくない場合には、デバイスの設定でGPS位置情報の機能をオフにしてください。」と記載しています。
Android端末では、同時に起動しているアプリにアクセスする機能を備えています。これにより、銀行アプリのような別のアプリのデータにアクセスする許可が与えられてしまいます。ただし当社リサーチャーは、TikTokがこの機能を悪用している確証は得てはいません。
画像1では、AndroidでのTikTokのアクセス許可設定を表示しています。
(画像1 AndroidアプリのTikTokアクセス許可設定)
画像2では、iOSでのTikTokアクセス許可設定を表示しています。
(画像2 iOSアプリのTikTokアクセス許可設定)
Androidアプリが、ネットワーク経由で実際に送信する情報についても調査しました。要求される許可はプライバシーポリシーと一致しています。当社リサーチャーが送信されていることを発見した情報は、以下の通りです。
- 位置情報データ:緯度経度やタイムゾーン
- デバイス情報:Android ID、International Mobile Equipment Identity (IMEI)、住所録へのアクセス、デバイスのリージョン、デバイスの種類、OSのバージョン、言語、接続方法、モバイルネットワークコード
- アプリ情報:アプリ名
以上がTikTokサーバに送信され、プライバシーポリシーに基づいて、保管されていると推測されます。
コンテンツのプライバシー管理
TikTokのプライバシーモデルと管理は、FacebookのようなSNSアプリとほとんど同じか同一です。ユーザーはコンテンツ視聴を制限することができます。管理方法はシンプルです。ユーザーは「誰でも」「友達のみ」「自分のみ」から選択するだけで済みます。注意すべきポイントは、この設定によってソーシャルメディアの閲覧の可否は管理できますが、投稿したコンテンツに関して、他のユーザーの閲覧を制限するのみであると認識することが重要です。つまり、ユーザーが管理しているのは、実際にTikTokのサーバーインフラで保管されている情報とは関係がありません。TikTokは、モバイル端末とクラウドが一体になったサービスです。すべての画像において、クラウド上に保存するコンテンツのプライバシー管理と設定は可能です。
画像3 アプリのプライバシー管理と許可設定
(画像3 TikTokアプリ内に表示されるプライバシー設定)
データ保管場所とセキュリティへの懸念
TikTokに関する最大の懸念事項は、ユーザー情報が保管されている場所です。TikTokサイトでの発表は、次の通りです。「米国のユーザーのデータは米国内に保管しており、シンガポールにバックアップデータがあります。当社のデータセンターはすべて中国国外にあり、データは中国の法律には準拠しません。」
EUのプライバシーポリシーには、「顧客データをどこに保管しているか?」という質問に対して、「お客様から収集した個人データは、欧州経済領域 (European Economic Area: EEA) から外部に転送して保管しています」と記載されています。しかし、TikTokのウェブサイトには、この他にユーザーデータをどこに保管しているかに関する詳細な情報はありません。
これに関連して、TikTokは初めてデータの透明性に関するレポートを公開し、「ユーザー情報に関する法的要請」、「政府機関によるコンテンツ削除要求」、「知的財産侵害コンテンツの削除」について詳細を示しました。そしてユーザー情報が要請されたトップ3がインド・米国・日本の3カ国であったことは、注目すべきことです。米国は、86%の要請が満たされており、その数値はトップで、要請を受けたアカウントの数もトップの255件でした。ここでは中国はリストに入っていません。つまりTikTokは、中国国内のユーザー情報を受け取っていないことを意味しています。
TikTokを安全に使う方法まとめ
TikTokアプリは、音声と画像に焦点を絞ったソーシャルメディアアプリとして、いくつかの許可を要求してきます。しかしながら、米国国外のユーザーには、ユーザー情報の保管場所について明確な情報が提供されていません。コンテンツへのアクセスを制限する、ソーシャルメディアの標準的なプライバシーコントロールは提示してはいますが、コンテンツの流出を防ぐためには、ユーザー自身の操作を必要としているのが現状です。
全般的に、TikTokは他のソーシャルメディアアプリと同じように扱うべきです。収集情報とデータの取り扱い方法さえ知っていれば、比較的安全に利用できるアプリです。プライバシーポリシーを読み直すことが有益なだけでなく、アプリ、機能、データ保存により利用可能になる情報を再確認することも大切です。そして最後になりますが、くれぐれも録画したコンテンツは他の人が見ることを忘れないでおいてください。