毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。

  • 配信日:2021年2月4日 
  • タイトル: Clubhouseのプライバシーはどうなってる?
  • 発表者:データサイン 代表取締役社長 太田祐一

App Privacyの「ユーザに関連付けられたデータ」をチェック

招待制の音声SNSとしてにわかに注目される「Clubhouse(クラブハウス)」。本ランチタイムトーク時点でのサービス状況はiOSに対応したβ版アプリが提供されるのみですが、ライブ音声でのコミュニケーション、メンバー限定のイベントなどが話題となり、日本でもユーザーを増やしているようです。このサービスでやりとりされるデータや、ユーザー個人のプライバシーはどうなっているのでしょうか。データサイン 代表取締役社長の太田祐一が解説しました。なお、この日のランチタイムトークは、Zoomだけでなく、Clubhouseでも配信しました。

ClubhouseのアプリはApp Storeから入手できます。開発元(Alpha Exploration Co.)が申告するApp Privacyの「ユーザに関連付けられたデータ」には、連絡先情報や連絡先などが挙げられています。

「Clubhouseは自分のコンタクトリスト、すなわち電話帳を共有しないと誰かを招待できない仕組みです。ほかに自分の電話番号、本名、ユーザーIDやデバイスIDを登録しないといけません」(太田)

プラポリにはアプリ特有のプライバシー関連情報を強調して載せるのがベター

次に太田は、App Storeからリンクするプライバシーポリシーのページを閲覧しました。

「収集するデータの利用目的を眺めてみると、記されているのはごく一般的な内容でした。一部和訳すれば『サービスを提供するため』『お客様のアカウントを作成し、ネットワークのつながりを促進し、コンテンツを推奨し、お客様のためにサービスをさらにパーソナライズするため』といった内容です。ただ、ほぼ同内容の英文のプラポリは他のアプリにおいてもよく見受けられます。ネット上のどこかに雛形となるフォーマットがあってそれが使い回されている、という状況かもしれません」(太田)

一方でClubhouse特有の内容もプラポリには記されています。Clubhouseのroomと呼ばれるグループ内でやりとりされる音声データについては、インシデント調査のサポートのみを目的として一時的に録音しており、インシデント調査が完了した時点で削除する(インシデントが報告されなければroom終了次第、録音データを消去する)、といった内容が記されています。

「プラポリに標準的な雛形を用いるのは良いとしても、それであれば、むしろ雛形とは違うアプリ特有の内容、Clubhouseならば『音声データを一時的に録音します』とか『電話帳のデータでユーザーを特定します』といった内容を強調するなど、ユーザーにわかりやすく伝える配慮や工夫が必要ではないかと考えます」(太田)

通信内容から見えてきたこと

太田はさらに、Clubhouseのアプリを起動してどのような通信がサーバー側と行われているかを調べるため、一般的なツールを用いてキャプチャーしてみました。

「音声通信はAWSを利用して行われているようでした。Clubhouseのプラポリには『あなたのパーソナルデータは北米にある当社の設備やサーバー、または技術パートナーのサーバーに転送される』とありますが、実際に接続されたAWSのサーバーはフランクフルトとシンガポールでした。世界各地のいくつかの拠点を経由してデータが転送されている可能性がありそうです」(太田)

また、Clubhouseでは、アプリ行動分析ツールとして「Amplitude」というサービスを利用していました。

「Amplitudeで取得している内容には、私個人の利用するiOSデバイスを認識するためのセッションID、使用する言語、IDFVなどがありました。IDFV(ID for Vender)はiOS14以降に利用される、アプリを提供する事業者ごとに個別に発行される利用者識別IDですが、招待制でコミュニティづくりを主眼に置くClubhouseでは現状、広告利用というよりは、アプリ提供事業者が独自にアクセス解析を行うために利用されていると考えられます」(太田)

「またセキュリティ面では、WAF(Web Application Firewall)の導入、SSLピニング(電子証明書を自動更新せずピン留めすること)のチェックなど、要所が押さえられているようでした。roomへのアクセス集中により動作が重くなることがあると声もありますが、急成長しているアプリを支える運営サイドの技術の高さが垣間見えるように思いました」(太田)

データサインでは今後もアプリのあるべきプラポリの姿について、皆様と一緒に考えていきたいと思います。また、スマートフォンアプリが、どのようなユーザーデータを取得しているかを調査するサービスを提供しています。ご興味を持たれた方は、お気軽にお問い合わせください。