Zack Whittaker氏のツイートで、TikTokのプライバシーポリシーが2021/06/02に変更されていたと知った。 techcrunch.com

このTechCrunchの記事は米国での変更を問題にしているが、日本向けも変更されている。

個人的にTikTokのヘビーユーザではないので、アプリ側の変更通知には気づかなかったが、TikTok日本語サイトではサイト上部に「プライバシーポリシーが更新されました。引き続きサービスをご利用いただくことで、これらの更新に同意したものとみなされます」という同意取得表示がある。

そこで日本語版が一つ前の2021/1更新版からどう変わったのか調べてみた。2021/1版はWayback Machineでは例えば以下のページから閲覧できる（2021/04/13のアーカイブ）。 web.archive.org

以下、TikTokが収集する情報はすべてユーザーの同意を得てということになっており、この点はいちいち書かない。

地域別のプライバシーポリシー

まずプライバシーポリシーが米国、EEA（GDPRの対象地域）、英国、スイス、その他の国・地域で区別されるようになった。

ユーザーに関する情報

ユーザーに関する情報として収集されるものに「ユーザーのパスワード」が追加されている。まさかハッシュ化しないという意味ではないと思われるので、わざわざ追記した理由は不明。

アップロード中止、失敗したコンテンツ

今まではユーザーがコンテンツのアップロードを中止、または何かの理由でアップロードできなければ、そのコンテンツはサーバーから削除されたが、更新後は、アップロード時の「プリロード」時点でコンテンツを取集し、サーバーから削除しなくなる。

身体的特徴

これがZack Whittaker氏がとくに問題にしているらしい部分。更新前には書かれていなかった点で、ユーザーがコンテンツに各種エフェクトをかける場合、以下のコンテンツを新たに収集するとのこと。

• エフェクトを含まないバージョン
• 表示される物や風景
• 顔の画像内の存在や位置および身体的特徴・特質、音声の特質
• コンテンツ内で話される言葉のテキストを特定したもの

これらを収集する目的も追記されている。

• 特別な動画エフェクトを可能にするため
• コンテンツモデレーション
• 人口統計学的分類
• コンテンツや広告のレコメンド
• 個人を特定しないその他の作業

クリップボード内のコンテンツへのアクセス

今回の変更でクリップボード内のコンテンツ（テキスト、画像および動画を含む） に、ユーザーに同意を得た上でアクセスする場合があることが明記された。クリップボード内のコンテンツにアクセスする場合は、「例えば」という例示で書かれている。

• ユーザーが第三者プラットフォームとコンテンツ共有を開始することを選択した場合
• コンテンツをクリップボードからTikTokアプリにペーストすることを選択した場合

どのようなフォロワーと交流するかの情報

今までユーザーのTikTok利用に関する情報として収集されていたのは以下の項目。

• 表示されたコンテンツ
• 見た広告
• 閲覧した動画
• 遭遇した問題に対し、どのように行動するか
• 好みのコンテンツ
• 「お気に入り」に保存したコンテンツ
• フォローしているユーザー

ここにユーザーが「どのようなフォロワーと交流するか」が追加された。

SNSアカウントに関係する情報

Facebook、Twitter、Instagram、GoogleなどSNSアカウントを利用してTikTokに利用登録した場合に収集されていたのは以下の項目。

• SNSのユーザー名
• SNSの公開プロフィール

ここに新たに追加されたのは以下の2点。

• SNSアカウントに関係する可能性のある他の情報
• 別のサービスにTikTokアカウントをリンクした場合、そのサービスの利用に関する情報

さらにプライバシーポリシーの後半「ビジネスパートナー」の段落で以下の項目が追加されている。

• 電話番号
• Eメールアドレス

技術情報

今まで技術情報として収集されていたのは以下の項目。

• IPアドレス
• 検索履歴
• 携帯電話会社
• タイムゾーン設定
• 広告目的の識別子
• 利用中のアプリのバージョン
• デバイスのモデル
• デバイスシステム
• ネットワークタイプ
• デバイスID
• 画面の解像度
• オペレーティングシステム
• 複数デバイスを使用してログインする場合の、デバイス間の活動の特定

そして新たに追加されたのは以下の項目。

• ユーザーエージェント
• アプリおよびファイルの名称と種類
• キーストロークのパターンまたはリズム
• バッテリー状態
• 音声設定および接続されたオーディオ機器

さらに、これらの「デバイスから収集される情報とお客様を関連付けることもできます」という文言が追加されている。

位置データ

位置データとして収集されていたのは以下の項目。

• 地域
• GPS

そして新たに追加されたのは以下の項目。

• SIMカードおよび／またはIPアドレスに基づく位置情報
• 正確な位置データ（GPSなど）

いずれもユーザーの許可を得た上で収集されるが、GPSの位置データについて「正確な」という形容詞が追加されている。

身元や年齢確認に必要な情報

これは今までなかった項目として新たに追加されている。ライブストリーミングや認証アカウントなどの特定の機能を利用する場合や、「プロアカウント」に申し込む際、利用年齢に達していることを確認する目的で、身元や年齢の証明の提示が求められるとのこと。

クッキーによる複数デバイス横断の広告表示の中止

これは逆に新しいプライバシーポリシーで廃止された項目だが、今までクッキーはユーザーの「複数のデバイスにわたって」ターゲティング広告を表示するために、ユーザーの「すべてのデバイス上」の行動をユーザー情報と結び付けていたが、どうやらこの複数デバイス横断のトラッキングはやめるらしい。

ユーザー情報の利用目的

以上のような収集情報を利用する目的として、以下の2項目が追加されている。

• 当社のアルゴリズムに情報を提供するため
• 商品・サービスの販売、販促および購入を促進するため
• ユーザーサポートを提供するため

第三者提供

「ビジネスパートナー」の段落で、第三者提供の場合が明記されるようになった。

サービスプロバイダにマーケティング業者を追加

「サービスプロバイダ」の段落に、ユーザー情報およびコンテンツの提供先として今まで書かれていたのは以下の業者。

• クラウドサービスプロバイダ
• コンテンツモデレーションサービス業者
• 当社の事業をサポートするサービスプロバイダ

ここに以下の業者が追加された。

• 本プラットフォームのマーケティングのサポートを行うサービスプロバイダ

データへのアクセス権、削除権の追記

「お客様による選択」の段落に「適用法」によって、自分のデータにアクセス、削除する権利が認められる場合があると追記され、それらの権利を行使する場合の問い合わせも追記されている。

ポリシー自体の変更

最後にプライバシーポリシー自体の変更についての記述がかなり変更されている。

今までは重大な変更と、そうでない変更に分かれており、重大な変更は「すべてのユーザーにお知らせします」と書かれていたが、変更後はその区分がなくなり、「適用法で求められるその他の通知」というふうに、通知方法が各国・地域の法律によるようになっている。

利用を継続すると、自動的にポリシーの更新に同意したとみなされるのは従来どおり。

以上、プライバシーの専門家ではないので、差異をまとめるにとどめておく。