非営利団体 Fairlinked は最近調査報告書を発表し、プロフェッショナル向けコミュニティプラットフォーム LinkedIn がコードを通じてユーザーのブラウザ拡張機能を秘密裏に検知していることを指摘した。これには 6,000 種以上の拡張機能データの収集が含まれる。同報告書は、この行為により世界の 4.05 億ユーザーの政治的傾向、健康状態、求職活動などの機微な情報が露出する可能性があると述べている。
ブラウザ検知行為はプライバシーのレッドラインを越えているのか?
調査組織 Fairlinked が提起した BrowserGate「ブラウジングの門(瀏覽門)」の告発によれば、LinkedIn は自社のウェブページ内に特定の JavaScript コードを導入し、ユーザーの明確な同意なしに、ユーザーのブラウザにインストールされている拡張機能(Extensions)をスキャンしているという。このスキャンのリストには 6,000 件を超える項目が含まれており、宗教的アイデンティティ、政治的傾向、神経多様性(Neurodiversity)支援ツールを識別できる拡張機能も含まれるとされる。報告書は、LinkedIn アカウントがユーザーの実名、職位、雇用主情報と強く結び付いているため、収集されたデータは特定の個人に正確に関連付けられると強調している。さらに、このプラットフォームは、Salesforce、HubSpot、ZoomInfo を含む 200 以上の競合ソフトウェアツールも検知したとされている。これにより、企業ユーザーのサービス依存の利用習慣を把握でき、不公平な市場競争や企業スパイ行為につながり得るとして疑念が生じている。
LinkedIn はブラウザ検知行為をどう説明しているのか?
上記の告発に対し、LinkedIn は不適切な行為を断固として否定し、この検知技術はプラットフォームの完全性を維持するためだけに用いていると明らかにした。LinkedIn は、特定のブラウザ拡張機能が画像やコードをウェブページに注入し、それにより自動化されたデータ取得(Data Scraping)などのサービス規約違反行為や、さらにはサイト運用の安定性への影響につながる可能性があると説明している。プラットフォーム側は、検知行為は静的リソース URL が存在するかどうかを確認することで行っており、その目的は、拡張機能が規定に違反しているものを特定し、技術を改善することであって、会員の機微な個人情報を推測したり収集したりするためではないと強調している。LinkedIn は、告発に関連する当該アカウントが大量のデータ取得を行ったことで制限されており、関連する論争はドイツの裁判所での訴訟で却下され、告発には事実に基づく根拠が欠けているとの判断が示されたと述べている。
第三者データ共有:イスラエルのネットワーク戦闘部隊
報告書で注目されているもう 1 つの焦点は、LinkedIn が収集したデータの行き先である。調査によれば、関連データはネットワークセキュリティ企業 HUMAN Security(前身は White Ops)に共有されている。この企業は 2022 年にイスラエル企業 PerimeterX と合併しており、PerimeterX の創辦團隊には、イスラエル国防軍(IDF)ネットワーク戦闘部隊 8200 部隊(Unit 8200)にかつて所属していた元軍官が複数含まれている。
HUMAN Security の主な業務はデジタル詐欺や無断アクセスの検知だが、深い軍事情報の背景とデータ共有の関係により、ユーザーデータの安全防護と主権の問題が改めて厳しく精査されることになっている。とりわけ国境を越えたデータ送信が絡む場合に、欧州連合 GDPR「一般資料保護規範」における機微情報の取り扱い基準を満たすのかが問題視されている。
ユーザー情報の露出が労働市場に与え得る潜在的な影響
検知された 6,000 種以上の拡張機能のうち、報告書は特に 509 件の求職支援ツールを挙げている。こうしたツールは通常、転職の機会を探している専門職が使用する。もし LinkedIn がこのデータを集約し、ほかの情報と関連付ければ、ユーザーの現職の雇用主に知られないまま転職意向が露出する可能性がある。LinkedIn はこれらのデータを使って会員の機微な個人情報を推測しないと述べているが、プライバシー擁護団体は、このような「バックエンドでのスキャン」方式はユーザーのデジタル行動に対する過度な監視に当たるとしている。
デジタル・プライバシー意識が高まる現状の中で、プラットフォーム事業者が「悪意あるスクレイピングの防止」と「ユーザーのプライバシー空間の尊重」の境界をどう線引きするかは、より厳格な法規審査と社会的な世論による監視に直面することになる。
この記事は、LinkedIn がブラウザを秘密裏にスキャンしたとして告発され、4 億ユーザーのプライバシーデータ流出の恐れがある 最初に 鏈新聞 ABMedia に掲載されました。
