アバスト、閲覧プライバシー アプリからの閲覧データの販売停止を命令

セキュリティ調査とウイルス対策アプリで知られるアバストは、プライバシー向上を目的とした Chrome 拡張機能、モバイル アプリ、その他のツールを長年提供してきました。

アバストのアプリは「ユーザーの閲覧活動に関するデータを収集する迷惑な追跡 Cookie をブロック」し、Web サービスが「ユーザーのオンライン活動を追跡」することを防止します。アバストは、プライバシー ポリシーの詳細で、収集した情報は「匿名かつ集合的」であると述べています。アバストのデスクトップ ソフトウェアは、最も激しいレトリックで、「検索で金儲けするハッカー」を阻止すると主張した。

連邦取引委員会によると、その言語はすべて、アバストが 2014 年から 2020 年にかけてユーザーのブラウザ情報を収集し、その後閉鎖されたジャンプショットとして知られる組織を通じて他の 100 社以上に販売している間に提供されました。最近提案された FTC 命令(PDF)に基づき、アバストは 1,650 万ドルを支払う必要があり、 FTC によると、この額は「消費者に救済を提供するために使用されることが期待されている」とのことです。アバストはまた、将来の閲覧データを販売することを禁止され、将来のデータ収集について明示的な同意を取得し、以前のデータ販売について顧客に通知し、以前の行為に対処するための「包括的なプライバシー プログラム」を導入する必要があります。

コメントを求められたアバストは、同社が 2020 年初頭にジャンプショットを閉鎖したことを記した声明を発表した。「私たちは人々のデジタル ライフを保護し、力を与えるという使命に全力で取り組んでいます。私たちはFTCの主張と事実の特徴付けには同意しませんが、この問題を解決できたことを嬉しく思い、世界中の何百万もの顧客にサービスを提供し続けることを楽しみにしています」と声明には書かれています。

データは匿名とは程遠いものでした

FTCの訴状(PDF) では、アバストが 2014 年初めに当時ウイルス対策の競合会社だったジャンプショットを買収した後、同社のブランドを分析販売者に変更したと指摘しています。Jumpshot は、「世界中で 1 億人以上のオンライン消費者」の習慣に関する「独自の洞察」を提供すると宣伝しました。これには、「視聴者がサイトやサイトにアクセスする前と後にどこに行くかを確認する」機能が含まれていました。競合他社のサイトにアクセスしたり、特定の URL にアクセスしたユーザーを追跡したりすることもできます。」

アバストとジャンプショットは、データから識別情報が削除されていると主張したが、FTC はこれは「不十分」であると主張した。ジャンプショットの製品には、「オール クリック フィード」、「サーチ プラス クリック フィード」などのデータに含まれる各ブラウザの一意のデバイス識別子が含まれていた、「トランザクション フィード」など。FTCの訴状では、多くの場合、企業独自のデータと組み合わせるという明確な目的で、さまざまな企業がこれらのフィードをどのように購入するのか、個々のユーザーベースに至るまで詳しく説明されている。一部のジャンプショット契約ではアバスト ユーザーの再特定を禁止しようとしていましたが、「その禁止は限定的でした」と訴状には記載されています。

アバストとジャンプショットの関係は、機密契約に見られるように、ホームセンター、グーグル、マイクロソフト、ペプシ、マッキンゼーなどのクライアントがジャンプショットからデータを購入していることがViceとPC Magazineの報道で明らかになり、2020年1月に広く知られるようになった。出版物が入手したデータによると、購入者は Google マップのルックアップ、LinkedIn や YouTube の個々のページ、ポルノ サイトなどを含むデータを購入できることがわかりました。「これは非常に詳細であり、タイムスタンプ付きでデバイスレベルまで記録されているため、これらの企業にとっては素晴らしいデータです」とある情報筋は Vice に語った。

FTC の訴状には、アバストが自社の Web フォーラムでどのようにジャンプショットの存在を軽視しようとしたかについて、より詳細な情報が記載されています。アバストは、非集計データのみがジャンプショットに提供されたこと、および「新しく興味深い傾向をよりよく理解する」ためにデータの収集について製品のインストール中にユーザーに通知されたことの両方を示唆しました。FTC は、これらの主張はいずれも真実ではないと示唆しています。そして、再識別可能な性質を考えると、収集されたデータは決して無害ではありませんでした。

たとえば、回答者が保持している数兆件のエントリのうち、わずか 100 件のサンプルでは、​​消費者による次のページへのアクセスが示されています。
乳がんの
症状の研究に関する学術論文。
エリザベス・ウォーレン上院議員の大統領立候補表明。
免税に関するCLE コース。メリーランド州フォート・ミードの公務員で給与が
10万ドル以上。FAFSA (財政援助) 申請の中間点へのリンク (その後壊れた)。
Google マップ上のある場所から別の場所への道順。スペイン語の子供向け
YouTube 動画。固有の会員 ID を含む、フランスの出会い系サイトへのリンク。そしてコスプレ
エロ。

FTC の上級検事レスリー・フェア氏は、発表に伴うブログ投稿の中で、アバストのプライバシー製品とジャンプショットの広範な追跡の二重の性質に加え、FTC は閲覧データを「細心の注意を必要とする非常に機密性の高い情報」と見なす傾向が高まっていると書いている。 「個人が訪問するウェブサイトに関するデータは、自由な商業利用にさらされる単なる企業資産ではない」とフェア氏は書いている。

FTC委員らは3対0で告訴状を発行し、同意合意案を受け入れることに賛成票を投じた。リナ・カーン委員長は、レベッカ・スローター委員とアルバロ・ベドヤ委員とともに、投票に関して声明を発表した。

FTC の告訴とそのジャンプショット ビジネスの時以来、アバストはGen Digitalに買収されました。この会社には、ノートン、アバスト、ライフロック、Avira、AVG、CCleaner、およびレピュテーションディフェンダーなどのセキュリティ ビジネスが含まれています。

開示: Ars Technica の親会社である Condé Nast は、閉鎖前に Jumpshot からデータを受け取りました。