老舗アンチウイルスソフトがまさかの規約違反？ 大切なデバイスを守ってくれるハズが……：549th Lap

ユーザーのデバイスを守ってくれるアンチウイルス系セキュリティ対策ソフトの定番無料製品がユーザーの個人情報を規約とは異なる形で転売していたという。事件の詳細とは？

[キーマンズネット]

　PCもスマホも、セキュリティ対策は欠かせない。まずはおサイフに優しい無償のアンチウイルス系のセキュリティ対策ソフトを入れる人も多いだろう。無償ソフトの定番の1つ「Avast Antivirus」は、公式情報では1988年に最初のバージョンが公開され、現時点で4億人以上のユーザーがいる歴史的なソフトだ。そんな人気ソフトに個人情報の転売疑惑が持ち上がっている。真相はいったい──？

　Avast Antivirusがユーザーの個人情報を無断で収集して転売していたのでは？　という疑惑は、テック系サイトの「PC Magazine」と「Motherboard」が共同で調査し、それぞれが記事にしたことで発覚した。

　両サイトが共同調査に至ったきっかけは、Avast Software社の関連企業であるJumpshot社から内部文書が流出したため。Jumpshot社は企業へのデータ販売をする企業だ。流出文書によれば売られていたデータはAvast Antivirusのユーザーから収集した個人情報を含むものだったという。

　Avast Antivirusが収集し、企業に販売していたデータには、Googleなどの検索サイトで入力された検索キーワードや検索したときのGPS座標、AmazonなどECサイトでの購入履歴、SNSへのアクセス履歴、動画サイト（アダルト系含む）での視聴履歴などなど多岐にわたる。それらがタイムスタンプとともにキッチリとデータ化されていたという。

図　PC Magazineが記録されていたデータの一例を挙げている

　上図は、とあるユーザーがネットで「iPad Pro」を購入した場合のデータサンプルなのだが、購入サイトがAmazonで、その細かい日時はもちろん、購入したモデルまで明記されている。ユーザーの氏名やIPアドレス、クレジットカードの名義などは記録されていないため、一見無害なデータに見えるが、実はそうではない。

　PC Magazineは「デバイスID」が記録されていることの危険性を指摘する。同サイトによると、デバイスIDがあれば、他のサイトのユーザー履歴と照合することで個人の特定も可能であるという。実際にPC MagazineとMotherboardは入手したデータから個人の特定に成功したそうだ。つまり販売されていたデータに十分な匿名性はなく、個人の行動が筒抜けとなるデータだったのだ。

　Jumpshot社からこのデータを購入していたのは、Google、Microsoft、Tripadviser、Yelp、Pepsi-Colaなどなどそうそうたる企業だ。PC Magazineが彼らにこの件を尋ねたものの、明瞭な回答は得られなかったという。一方、Avast Software社は「データ収集とJumpshot社との情報共有についてはAvast Securityの利用規約に明記されていて合法」としている。確かにAvast Securityのインストール時にJumpshot社へ匿名でのWebブラウザ履歴情報提供を許可するか否かの確認はある。だが、デバイスIDまで収集されることには触れられていない。デバイスIDがあればその行動から個人を特定できるため、匿名ではなくなってしまう。

　Avast Software社は結局、2020年1月29日にJumpshot社の運営を停止。さらにデータ販売事業から撤退することを示唆しているという。Jumpshot社の収益として年3600万ドル（約39億円）が見込まれていたため、同社にとっては大きな痛手だろう。

---

上司X：　安心してIT生活を送るために導入していた無償のセキュリティ対策ソフトに個人データを勝手に収集されていた、という話だよ。

ブラックピット：　Avastですか。昔よくお世話になりましたけどね。実際ウイルス対策もしっかりしていますし。

上司X：　しかしまあ「生き馬の目を抜くような」ってのはまさにこういうことなのかもな。

ブラックピット：　何を言ってるんですか？　だってこれ無償でしょ？

上司X：　無償だな。Avastは。

ブラックピット：　無償であんないいモノが使えるなんて本当に思っているんですかね？　「無償」といっても製品の代金の代わりに僕は個人情報を売り渡しているんですよ。そこに気づいていれば、そこまで大きな問題には……

上司X：　キミはきっとそう言うだろうなと思っていたよ（笑）。でも今回のは規約通りじゃないからこそアウト。キミがいつどこでどんなサイトを見て何を買ったか、知らないうちに知られていたら嫌だろう。

ブラックピット：　そ、そうですかね？　僕はもう、無償のものを使う時点でいろいろと諦めてますから！

上司X：　それは豪気なことだが（苦笑）。キミのそういうスタイルはどうでもいいこととして、ユーザーが望まないデータの売買はイカンことだよ。実際Avast社もJumpshot社を閉めちゃうみたいだし、非があるのは認めたということだろう。こんな時代だからこそ、個人情報は大事に扱わないと、という事件だな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。