FIDO規格では生体情報が企業サーバーに送られてはならないはず
X(Twitter)、ユーザーの生体情報や職歴、学歴などを収集へ
Share
元Twitterこと「X」がプライバシーポリシーを改訂し、新たにユーザーの生体情報や職歴を収集する方針であることが明らかとなった。
米Bloombergは、Xがユーザーに提供を求める情報として、これら2つを加えたことを発見した。プライバシーポリシーには「あなたの同意に基づき、安全、セキュリティ、および識別の目的で生体情報を収集し、使うことがある」と追記されている。
どのような生体情報が含まれるのか、あるいはX社がどうやって収集するのかは書かれていない。通常、生体情報といえば指紋や虹彩パターン、顔の特徴などが含まれる。
生体情報の使い道として考えられるのは、1つにはパスワードなしのログインを可能にすることだ。
アプリを解析し未発表の機能を発見することで知られるSteve Moser氏は、Xはパスワードレス認証「Passkey」のサポートに取り組んでいると報告していた。Passkeyは、アップルやGoogle、マイクロソフトがWebサイトやアプリ上で対応すると表明していた仕組みだ。
しかしPasskeyの普及を推進しているFIDOアライアンスは、ユーザーの認証情報は「ユーザのデバイス内に保持されなければならず、 プロバイダやサービスと共有されることはない」と述べていた。つまり生体情報がX社のサーバーに送られるとすれば、FIDO規格から逸脱することになる。
またXのプライバシーポリシーには「あなたの職歴、学歴、雇用の希望、スキルや能力、求職活動やエンゲージメント」も収集する可能性があると付け加えている。
これはおそらく、オーナーのイーロン・マスク氏が搭載をほのめかしていた求人検索機能に関連したものだろう。先週、Xは企業向けの求人機能「X Hiring」(ベータ版)のテストを始めることを明らかにしていた。
ただし現在のプライバシーポリシーはまだ有効であり、そこでは生体情報や職歴に関する情報収集について言及はない。ページ上部の告知によると、新たなポリシーは2023年9月29日以降に発効する予定だ。
