セキュリティとプライバシーの間の微妙なバランスの中で、周期的に技術論争の中心に戻るテーマは、議論を引き起こし、おそらく前例を作る運命にある決定が下されます。実際、個人データ保護の保証人は、Android アプリの一部の不正防止機能の管理方法を理由に、Poste Italiane と PostePay に合計 1,250 万ユーロの罰金を課しました。

この話は、単純な罰金を超えて、過小評価されがちな側面を浮き彫りにしています。正当な目的 (詐欺防止など) があるだけでは十分ではありませんが、データの収集方法と処理方法を厳密に尊重することも同様に基本です。

セキュリティはありますが、費用はかかりません

出発点は既知であり、すでに 2024 年に、郵便局アプリが不正行為を防止するという宣言された目的で一連のデバイス データへのアクセスを必要としていることが明らかになりました。このシステムの基礎となっているのは、多数の技術パラメータを組み合わせてデバイスの実際のデジタル指紋を作成できるプラットフォームである ThreatMatrix です。

これまでのところ、すべてが多かれ少なかれ正常です。この問題は、Poste が採用した構成が、いわゆる基本的なフィンガープリント (それ自体はすでに非常に正確です) に限定されず、デバイスにインストールされているアプリケーションの完全なリストを収集できる追加モジュールも含まれていたという事実から発生します。そして、まさにその余分な何かが制裁を引き起こしたのです。

保証人によると、実際、アプリのリストの収集は、クリアテキストではなくハッシュの形式であっても、一見したよりもはるかに侵襲的なデータ処理を表しています。ご存知の方も多いと思いますが、インストールされている一連のアプリケーションによって、政治的、宗教的指向、健康状態、経済習慣、さらには個人的および行動的嗜好など、個人の生活の非常にデリケートな側面が明らかになる可能性があります。

そして、ここで一般データ保護規則が登場します。欧州の法律によれば、この種のコレクションには適切な法的根拠が必要ですが、この特定のケースでは、これは有効とは見なされませんでした。

ポステ氏の弁護(そして説得力がなかった理由)

調査中、Poste 氏は、この処理は、運用中にマルウェアの兆候を監視することを事業者に義務付ける欧州の決済サービス指令である PSD2 に関連する法的義務によって正当化されると主張しました。

しかし、この防衛線は、保証人によってかなり明確な主張によって解体されました。法律は目的(詐欺の防止)を課していますが、それを達成するための手段は指定していません。したがって、いかなる種類のデータ収集でも自動的に正当化する理由として使用することはできません。

その時点で、Poste の選択肢は基本的に 2 つでした。ユーザーに明示的な同意を求めるか、またはいわゆる正当な利益に依存するか、ただし文書化された技術評価によって、採用されたソリューションが適切であり、可能な限り侵襲性が低いことを証明することです。しかし、この評価は行われなかった。

実際のニーズに比べて過大なシステム

実際、検査の結果、インストールされているアプリのリストにアクセスしなくても、不正行為防止システムが効果的に機能していることが明らかになりました。オペレーティング システム、ハードウェア、ネットワーク、IP アドレス、その他の識別子などのパラメーターに基づいて ThreatMatrix によって提供される基本的なフィンガープリントは、信頼性の高いデバイスを識別するのにすでに十分でした。

それだけでなく、追加モジュールは使用開始から最初の数か月間は不正検出に大幅な改善をもたらさず、2025 年に無効化されてもアプリの機能には影響しませんでした。保証人の立場をさらに強化する要素として、データが厳密に必要でない場合、同意なしにその収集を正当化することはできません。

もう 1 つの興味深い点は、MD5 ハッシュの使用に関するものです。 守る アプリのリストについては、明確なデータではないため、元の情報を追跡することはできないとポスト氏は主張した。

ただし、この場合でも、保証人は基本的な側面を強調しました。ハッシュは匿名性ではなく、仮名化の一種であるということです。実際、ハッシュからアプリの名前を簡単に再構築して、ユーザーがデータを事実上追跡できるようにするツールがあります。

今何が変わるのか、そしてなぜこの決定がそれほど重要なのか

この条項は、依然として完全に合法である不正行為防止システムの使用に疑問を投げかけるものではありませんが、非常に明確な原則を確立しています。技術的パラメータに基づくフィンガープリントは必要であると考えられますが、より侵入的な情報の収集には透明性と明示的な同意が必要です。

Posteは今後、インストールされているアプリに関するデータ収集を直ちに停止し、規定より長い情報保持期間も見直す必要がある。

予想通り、これはセクター全体に影響を与える決定です。実際、多くの銀行および金融アプリは同様のソリューションを使用しており、保証人によって引かれた境界はかなり明確です。ユーザーを保護することは不可欠ですが、必要以上に多くのデータを収集する言い訳にはなりません。