カナダではスタバ・マック越えの超人気カフェ「ティムホートンズ」が違法に個人情報を収集しまくっていたことが判明

カナダ議会が組織するプライバシー監視機関のOffice of the Privacy Commissioner of Canada(OPC)が2022年6月1日に、カナダの大手ドーナツチェーンであるティムホートンズが、膨大な量の位置情報を収集し同国のプライバシー法に違反していたと発表しました。

News release: Tim Hortons app violated privacy laws in collection of ‘vast amounts’ of sensitive location data – Office of the Privacy Commissioner of Canada
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2022/nr-c_220601/

ティムホートンズは、カナダ国内の店舗数がマクドナルドの2倍で、カフェのシェア率でも2位のスターバックスに大差をつけて首位の座を獲得している、カナダ最大のファーストフードチェーンです。カナダの独立系ドーナツ店を事実上完全に駆逐しているという人気ぶりから、「ティムホートンズはカナダ文化の象徴」とされることもあります。

そんなティムホートンズのアプリが、アプリを開いていないときですら数分おきにユーザーの動きを追跡、記録していたことが、カナダ政府と複数の州のプライバシー当局の合同調査により明らかになりました。

この問題を報告したOPCによると、ティムホートンズのアプリはインストール時に位置情報機能へのアクセス許可を求めていたものの、ユーザーは「位置情報が収集されるのはアプリ使用中だけ」と誤認させられていたとのこと。しかし、実際にはデバイスの電源が入っている間は常にユーザーの動きを追跡していました。

調査では、ティムホートンズがユーザーから集めた位置情報を使って、ユーザーの住所・勤務先・旅行先などを推測していたことが分かっています。さらに、ティムホートンズはユーザーが自宅や職場、競合店やスポーツ会場に出入りする度に、その動向を「イベント」として記録していました。ティムホートンズは当初、ターゲット広告に利用する計画でこのデータを収集していましたが、その計画がなくなった後も1年間にわたり、正当な理由もなく位置情報を収集し続けていたとのこと。

OPCのDaniel Therrien委員は「ティムホートンズは、顧客に関する非常に機密性の高い情報を大量に蓄積したことで、明らかに一線を越えてしまいました。毎日、分単位で人々の行動を追跡することは、明らかに不適切な監視です。この事件は、カナダ人の人権を守るための強力なプライバシー法の必要性とともに、設計が不十分なテクノロジーがもたらしうる被害を改めて浮き彫りにしました」と述べて、ティムホートンズの位置情報収集がカナダのプライバシー法に違反しているものだとの見解を示しました。

これに対し、ティムホートンズ側は「収集した位置情報は、ユーザーが他のコーヒーチェーンに乗り換えたかどうかやパンデミックに伴う動きの変化など、ユーザーの動向を分析するための限定的な用途にしか使っていない」と釈明しているとのことです。

今回の調査結果を受けて、OPCを含むカナダの4つのプライバシー当局はティムホートンズに対し、以下の3点の勧告を行いました。
・保存している位置情報データを削除するとともに、データを販売した第三者にも削除するよう指示すること。
・プライバシー管理プログラムを策定し、それを継続すること。またそのプログラムには、「アプリ自体やアプリが起動する他のアプリがプライバシーに及ぼす影響への評価」「情報収集が必要な範囲内であり、あらかじめ決められたプライバシーへの影響に見合ったものであることを確認するプロセス」「アプリに関する慣行と一貫したプライバシー関連のコミュニケーション」を含むこと。
・勧告を順守するために講じた措置の詳細を報告すること。

ティムホートンズは、勧告の実施について同意しているとのことです。