米国内でダウンロード上位に入るTikTok、アリババ、Temuなどの外国資本のモバイルアプリが、ユーザーの個人情報を大量に収集・共有している実態が、Incogniの最新調査で明らかになりました。
従来から国内外のテック企業によるデータ収集は問題視されてきましたが、本社が米国外にある事業者が提供するアプリは、
西側のプライバシー期待と異なるデータ・ガバナンスを採用することが多く、何をどれだけ集め、誰と共有しているかが見えにくい点が新たな懸念となっています。
米司法省は最近、米国人の機微データに関する一部取引を中国・ロシア・イランなどに対して制限する最終規則を公表しました。
背景には、2024年に中国拠点のスパイグループが大手通信事業者のネットワークから100万人超の米国人データを窃取した事案や、Telegramに関する調査報道(ロシア連邦保安庁[FSB]との関係が指摘)など、越境データ移転と国家安全保障への懸念の高まりがあります。
目次
米国で人気の中国製アプリ
米国で人気上位に入る外国製アプリのなかで、中国発のプロダクトが際立った存在感を示していました。
TikTok、Temu、Alibaba、Shein、CapCut、AliExpressがトップ10に含まれ、2019年以降の累計で約7億5,500万回のダウンロードに達しています。
人気の拡大は、そのまま個人情報の収集の裾野の広さを意味します。
調査では、中国系アプリが1ユーザーあたり平均18種のデータ項目を取得し、そのうち6種を第三者と共有している傾向が確認されました。
米国における総ダウンロード推計は全10本で約10億回に上っており、その四分の三を中国系が占めるという構図です。
各アプリの個人情報収集状況
調査対象アプリは平均15種類のデータを収集し、そのうち5種類のデータを第三者と共有していました。これらのアプリによって収集・共有されたデータの種類は、以下の通り分類されました。
- 位置情報
- 個人を特定できる情報 (氏名や住所など)
- 財務情報
- 健康とフィットネスの情報
- メッセージ
- 写真とビデオ
- オーディオファイル
- ファイルと文書
- カレンダー
- 契約情報
- アプリのアクティビティ
- ウェブ閲覧アクティビティ
- アプリ情報とパフォーマンス
- デバイス情報またはその他のデジタル ID
TikTok
個別アプリに目を移すと、TikTokのデータ取得の広さが目を引きます。同社は24種類のデータを扱い、その一部には氏名、住所、電話番号といった直接的な個人識別情報が含まれます。
さらに6カテゴリ分を第三者に共有する設計が明示され、連絡先やユーザー生成コンテンツ(UGC)を広告目的で活用する可能性も示されています。
広告最適化の観点から見れば自然な実装ですが、企業端末における連絡先やカメラロール、位置情報へのアクセスは、たとえ許諾ベースであってもリスクが増加します。
広告SDKや計測タグの実装は多層的で、下流の受領者がどの法域で、どの程度の統制下にあるのかを、利用者側から厳密に把握することは現実的ではありません。
Temu(テム)
Temuは18種類のデータを収集しながら、第三者への共有は限定的とされています。
ただ、大まかな位置情報やインストール済みアプリ一覧、UGCの取得により、デバイスの利用様態や興味関心の推定が可能になる点は見落とせません。
広告・レコメンド・価格最適化のためのプロファイリングに用いられる場合、企業端末上でのアプリ利用は、想定外の情報流出を招かずとも、組織のセキュリティポリシーと齟齬を生むことがあります。
Shein(シーイン)
Sheinはさらに特異で、収集する17種類のうち12種類を第三者に共有するという、高い共有比率が確認されました。
電話番号、氏名、写真の共有が含まれる可能性があるため、
企業での写真撮影や連絡先連携の取り扱いは、端末種別(BYOD/COPE/COBO)に応じて細かく定義した方が賢明です。
Alibaba(アリババ)
Alibabaに関しては、B2Bの商取引アプリという性格上、ファイル・文書・写真・動画といったユーザー生成コンテンツへアクセスし得る点が指摘されました。
電話番号や住所、氏名などの基本的なPIIに加え、業務に直結し得るファイル類まで扱い得ることは、企業利用の観点では注意が必要です。
メールアドレスを広告目的で収集・第三者共有する旨の開示もあり、メールアドレスが外部のマーケティング生態系に流入することで、意図しないスパムやプロファイリングが発生する土壌をつくりかねません。法務・広報的には、社外とのコミュニケーション管理に影響を与える可能性があるため、導入時のリスク評価に含めるべき論点です。
AliExpress
AliExpressは、概略位置を第三者に渡し得ることに加え、Web閲覧履歴を広告目的で利用する開示が見られます。
閲覧履歴は購買意図の推定に直結しやすく、同じ商品でも個々の支払意思額に応じて価格やオファーが変わる「パーソナライズド価格」に接続する実装も技術的には難しくありません。
欧米の均一価格の常識からすれば抵抗感もありますが、データ駆動の価格戦略はすでに一般的になりつつあり、デジタル上の消費者保護や説明責任の観点で、企業の広報・法務が備えるべき新常態と言えるでしょう。ABPV(America’s Best Pics and Vids)は、概略位置にとどまらず正確な位置情報までも広告目的で第三者に共有し得る点で、ロケーションデータの扱いに敏感な企業には相性が悪い可能性があります。
UGCのマーケティング利用も示されており、従業員が撮影した画像・動画が意図せず解析・二次利用の対象となるリスクを考慮する必要があります。
なぜ“外国資本アプリ”が特に問題か
欧米のプライバシー期待と異なるデータ主権・保存・執行環境のもとで運用されるケースが多く、透明性や監査可能性が低い場合がありますまた、米政府の規制強化や、越境データ流通を狙うサイバー活動の実例から、国家レベルのリスクとして扱われつつあります。
さらに、一次取得者だけでなく、下流のデータ処理者の所在や準拠法が不明確な場合、越境移転によりユーザー権利の行使(削除請求等)が困難になります。
なおこの問題は米国だけでなく日本でも同様のリスクが発生する為、注意が必要です。
ユーザーと企業が取れる現実的対策
個人ユーザー向け
-
権限最小化:位置情報(特に“正確な位置”)、連絡先、写真・動画、ファイルアクセスは都度許可にし、不要なら拒否します。
-
広告設定の見直し:アプリ内・OSレベル(Androidの広告ID/トラッキング制限、iOSのAppのトラッキング許可)でパーソナライズド広告を制限。
-
データ削除請求:アプリのデータポータルやサポートを確認し、収集データの開示・削除を依頼。
-
代替アプリの検討:開示が明確で、サーバ所在地や共有先が透明なサービスへ移行。
企業・組織向け
-
モバイル利用ポリシー:業務端末では高リスク権限(位置・連絡先・ファイル等)をMDM/UEMで制御。
-
DLP/ネットワーク制御:既知のトラッキング・広告エンドポイントへのアウトバウンド通信を最小化。
-
第三者リスク評価:調達・利用中の海外拠点アプリに対し、データフロー(収集→保存→共有)の可視化と契約管理を徹底。
参照
https://blog.incogni.com/popular-foreign-apps/
Study Reveals TikTok, Alibaba, Temu Collect Extensive User Data in America
