Uber または Lyft への勤務に応募する場合、生年月日や運転免許証などの重要な情報を詳細に記載したいくつかのオンライン フォームに記入する必要があります。
申請者は、社会保障番号などのより機密性の高い情報も提供する必要があります。
ニュー ノースイースタン 研究 は、つい最近まで、これらの配車会社が、世界最大のソーシャル メディア企業の 2 つである TikTok と Meta に意図せずにそのデータを送信していたことを明らかにしました。
デビッド・チョフネスノースイースタン大学のコンピュータ サイエンス教授でサイバーセキュリティの専門家である彼は、セキュリティ問題を明らかにした数人の研究者の 1 人です。 追跡ピクセル、Web 上のユーザーを追跡する分析ツールです。
トラッキング ピクセルは、サイトのインターフェイス上の画像に埋め込まれた小さなコード行です。これにより、企業はユーザーの行動を確認し、広告活動に役立つ貴重な情報を収集できます。
「最近では、アクセスするほとんどすべての Web サイトにトラッカーが組み込まれています」と Choffnes 氏は言います。 「Facebook や Instagram を利用していて、今見ていた Web サイトに関連性の高い広告が表示されたのではないかと思ったことがあるなら、それは親会社である Meta が多数の Web サイトにトラッカーを搭載しているためです。彼らはあなたが誰であるか、そしてあなたがどのウェブサイトにアクセスしているかを知っています。 TikTokについても同様です。同じことが Google やその市場の他の多くの企業にも当てはまります。」
Uber や Lyft などの企業は、これらのトラッカーを自社の Web サイトに追加するよう奨励されています。その代わりに、Meta や TikTok などが、自社の Web トラフィックを分析できる無料のツールをこれらの企業に提供しているからだと、Choffnes 氏は説明します。
Choffnes 氏と彼の同僚が明らかにしたのは、これらのピクセルがプライベート アプリケーションの Web フォームからデータを誤って収集し、そのデータを Meta と TikTok に直接送信しているということでした。
「ここでの問題は、企業がターゲット広告を支援し、広告の効果を理解し、最終的には収益化を支援するために多くの場合にトラッキングを導入していることです。これらの設定方法のせいで、これらの企業は多くの場合、個人に関する大量のデータを丸呑みしています。その中には、「あなたのデータも Facebook に送信されます」という警告が表示されない Web フォームに入力されたデータも含まれます。送信をクリックすると。」
Choffnes 氏と彼の同僚は、関心のある従業員がサービスのドライバーとしてサインアップするときと同じプロセスを経ることで、これらの脆弱性を発見することができました。注目すべきは、Uber または Lyft のデスクトップ Web サイトを使用して申請した場合にのみ、問題が存在することを発見したということです。
彼らがこの実験を行うきっかけとなったのは、ギグワーカーが雇用を得るために個人データを共有する際にどれほど脆弱であるかを知ることに興味があったからだと彼は言う。
「より大きな文脈では、ギグワーカーのプライバシーと、そのオンライン追跡にどの程度さらされているかという点で選択の余地がない個人のグループであることを検討していました。そこで私たちは、どれだけの量の情報が公開されているかを定量化しようとしていました。」彼らの個人データが暴露されているのか、どの当事者がそれを入手しているのか、そしてどのような種類のデータが暴露されているのか。」と彼は付け加えた。
Uber と Lfyt 側については、研究者らが調査結果を企業と共有すると、すぐに脆弱性の修正に取り組んだと Choffnes 氏は述べています。
「私たちのやり取りで使われた言葉は『意図的ではない』でした」とチョフネス氏は言う。 「彼らはそんなつもりはなかった。問題が何であるかを理解したら、はい、それは単なる構成オプションでした。これらのピクセルは Web フォームからデータを収集する必要はありません」と彼は言います。
「しないように指示することもできますが、Web サイトに最初に設定した誰かの単なる見落としなのか、それとも Web サイトの所有者がこれらのピクセルにサインアップしたときにそれらをオンにするように誘導されます。」
チョフネス氏らは、企業は労働者のデータを一般消費者のデータと同じように扱うべきではないと提案している。
仕事に応募するには、納税者番号、社会保障番号、住所、電話番号などのデータを共有する必要があると同氏は強調する。
「そのサービスの単なる消費者である場合は大きく異なります」と彼は言います。 「誰かに食べ物を配達してもらいたい場合は、クレジット カードと電子メール アドレスが必要です。それだけです。」
ただし、ほとんどの Web サイトでの現在の構成方法では、これらの企業は従業員データと消費者データをほぼ同じ方法で扱っています。
これらの企業は、目的制限規定の導入をもっとうまく行う必要がある、と同氏は強調する。基本的に、目的制限規定は、企業が従業員のデータをどのように使用する予定であるかを明確に述べ、その約束を守ることを明文化した規定である。
では、従業員は個人データが同意なしに共有されることから身を守るために何ができるでしょうか?
ヨーロッパでは、一般データ保護規則 (GDPR) に基づき、企業は目的制限を設定することが求められています。しかし、米国にはそのような規則は存在せず、これらの労働者を保護する連邦データプライバシー法も存在しないとチョフネス氏は強調する。
チョフネス氏は、こうした企業の行動に対する説明責任と透明性を高めるためには、さらなる取り組みが必要だと強調する。
「プライバシー全般について、さらなる透明性と擁護が必要です」と彼は言います。 「Meta や TikTok のような企業が Web フォームから個人データを収集することを望まないのであれば、それを違法にすべきです。送信ボタンを押す前に、「待って、そのデータを他の大勢の人にも送信しようとしている」ということを目立つように開示することなしには許可されるべきではありません。それでいいですか?
それでも、それはかなりひどいことのように聞こえますし、おそらくそれはまったく起こるべきではありません。」
科学と技術
最近の話
Share this content:
