事案の発生
■問題発生企業
サーバー設置先: Amazon (US) 、サーバー証明書: Amazon RSA 2048 M01 (US) DV証明書
事案の概要
iPhone用のTVerアプリを更新すると表示される『利用規約・プライバシーポリシー』の画面で、利用するには必須となる「同意する」ボタンをタップすると、利用者が属性情報をオプトアウト(非公開)に設定していても、オプトイン(公開)に設定されてしまう事案
影響範囲
2023年4月3日にリリースされた、iOSアプリ v5.1.14以降のTVerアプリで不具合が発生、約45万端末が対象です。そのうち、利用者の属性情報をオプトアウト(非公開)に設定していて、今回のプログラム不具合対象となるユーザーID数は約8.9万件です。
対象となる利用者の属性情報は、以下のとおりです。
・端末識別子 (単体での個人情報ではない)
・視聴エピソード識別子
・視聴時間
・デバイス種別情報 (iOS、Android、FireTV など)
・撹拌された端末識別子
・広告視聴時間 (= 本編視聴時間)
・生年月
・郵便番号
・性別
・興味関心
属性情報の公開先は次の3分類で、TVerアプリの「設定」➔「プライバシー管理」の画面で分類ごとにオプトアウトすることができます。
●パーソナライズド広告 ➡ 広告配信事業者(TVerへの広告配信企業3社)
●コンテンツ提供パートナーへのデータ提供 ➡ コンテンツ提供パートナー(放送局10社)
●調査パートナーへのデータ提供 ➡ 調査パートナー(視聴率調査企業2社)
➔本事案では、この3分類の設定が、アプリ更新時にすべてオプトインに設定されました。
➔ほかに、「テレビ視聴データの利用」という項目もありますが、これはTVer内での利用です。
なお、本日午前10時以降、TVerアプリの強制アップデートが行われ、上記不具合は修正されています。
本事案についての詳細は、TVerが発行した次のリリースに掲載されています。
※過去のセキュリティ事案の一覧は下記に掲載し、随時更新しています。