「声紋や顔情報も自動収集する」というプライバシーポリシー
連絡先や位置情報、メッセージのやり取りからは、家族構成や交友関係などの個人情報、自宅/学校、職場(日中長く滞在する場所から突き止めるのは容易だ)、よく行く立ち寄り先、趣味/嗜好、考え方などを把握することができるだろう。2021年には、TikTokのプライバシーポリシーに、ユーザーの声紋や顔情報、身体的特徴といった生体情報、トークの内容を自動収集する場合があるという記述が加わった("TikTok just gave itself permission to collect biometric data on US users, including ‘faceprints and voiceprints’" TechCrunch, June 4, 2021)。こうして入手したあなたの顔画像や身体画像、声のデータを用いて、ディープフェイク動画を作成したり、勝手に他のSNS等で偽アカウントを作ったりすることは容易だ(※1)。
※1 2023年4月現在のプライバシーポリシーでは、「生体情報(biometric information)」「顔情報および声紋(faceprints and voiceprints)」といった用語は除かれたが、「顔の画像内の存在や位置および身体的特徴・特質、音声の特性、ならびにユーザーコンテンツ内で話される言葉のテキスト(the existence and location within an image of face and body features and attributes, the nature of the audio, and the text of the words spoken in your User Content)」を、「個人を特定しない作業(non-personally-identifying operations)」のために収集するという記述は残っている。
中国当局にとってTikTokは、他国の世論を操作するなどの「情報戦」でも極めて有効な手段となるかもしれない。動画のランキングを操作して反中的な投稿をランキング外にしたり、先に述べたディープフェイク動画を有効活用したりして、中国に友好的な世論を形成することは可能だ。
たとえばこうした手段を、軍事侵攻という大きなリスクを冒さずにゆるやかな台湾統一を目指すという目的のために使うことも、当然ありうると考えておくべきだろう。(そもそも、中国には、“五毛党”といった情報工作集団などもおり、情報戦への感度は非常に高い)
キー入力も筒抜けだった
加えて、中国当局にとっては、他国のユーザーの情報を収集・蓄積できる意味は非常に大きい。昨年8月、オーストリアのIT専門家が、TikTokアプリ内のブラウザが特殊なJavaScriptコードを用い、ユーザーのキー入力をすべて収集していることを突き止めた。要するに、検索履歴や各種サイトのログインIDとパスワード、クレジットカード情報なども筒抜けということだ("TikTok、アプリ内ブラウザーで全てのキー入力を監視――悪用は否定", CNET Japan, 2022年8月22日)。
TikTok側はこのJavaScriptコードの目的を、「デバッグ、トラブルシューティング、パフォーマンス監視」であると説明し、入力情報の収集を意図したものではないと主張した(後日のバージョンアップで、問題のコードは削除されたという)。