転職活動や業界の情報収集で、日本でも多くのビジネスパーソンが日常的に使っているLinkedIn。そのLinkedInが、ユーザーに一切知らせないままブラウザの中身を丸ごと調べ上げていたことが明らかになりました。「LinkedInが6,000件超のブラウザ拡張機能を密かにスキャンし、端末のフィンガープリントを収集」と題した調査報告が波紋を広げています。いったい何が起きているのか、詳しく見ていきましょう。
「BrowserGate」とは何か
今回の問題は、欧州のLinkedIn商用ユーザー団体であるFairlinkedが「BrowserGate」と名付けた調査で明らかになりました。
LinkedInのWebサイトにアクセスすると、ユーザーのブラウザ上で2.7MBのJavaScriptコードが自動的に実行されます。このコードは「Spectroscopy」と呼ばれる内部システムの一部で、Chromeベースのブラウザにインストールされている拡張機能を最大6,167件チェックします。
さらに、CPUのコア数、メモリ容量、画面解像度、タイムゾーン、言語設定、バッテリー残量など48種類のデバイス情報を収集。これらのデータはRSA暗号で暗号化され、LinkedInのサーバーに送信されます。つまり、LinkedInにログインするたびに、あなたのブラウザフィンガープリントが取得されているということです。
急増するスキャン対象と、その中身
驚くべきは、スキャン対象の拡大ペースです。LinkedInがこの仕組みを導入した2017年時点では、対象はわずか38件の拡張機能でした。それが2024年には461件、2026年2月には6,167件にまで膨れ上がっています。わずか2年で約1,200%の増加です。
問題は数だけではありません。スキャン対象のリストには、以下のような「センシティブな」カテゴリの拡張機能が含まれています。
- 求職ツール: 509件。ユーザーが転職活動中かどうかが雇用主に推測される可能性
- 競合他社の営業ツール: Apollo、Lusha、ZoomInfoなど200件以上。どの企業がライバル製品を検討しているかが分かる
- 宗教・政治関連ツール: 信仰や政治的立場に関わる拡張機能
- 障害・神経多様性関連ツール: 健康状態や障害に関する情報が推測される可能性がある
EUのGDPR(一般データ保護規則)では、宗教や政治的見解、健康情報は「特別カテゴリーの個人データ」として厳格な保護の対象です。LinkedInのスキャンはこの規定に抵触する恐れがあります。
LinkedInの主張と、食い違う現実
LinkedInはこのスキャンを「セキュリティ対策」と説明しています。データスクレイピング(サイトから自動的にデータを収集する行為)を防ぐために、不正な拡張機能を検出しているというのです。また、「収集したデータからユーザーのセンシティブな情報を推測することはしていない」と弁明しています。
しかし、この説明には矛盾があります。スクレイピング対策なら数十件のツールを監視すれば済むはずですが、実際には6,000件以上をスキャンしています。しかもこの行為はプライバシーポリシーに一切記載されておらず、ユーザーがオプトアウト(拒否)する手段もありません。
LinkedInは以前にも同様の問題で制裁を受けています。2024年10月、アイルランドデータ保護委員会(DPC)は、行動分析やターゲティング広告における個人データの不正処理を理由に、LinkedInに3億1,000万ユーロ(約571億円)の罰金を科しました。今回の件も、今後法的措置の対象となる可能性があります。
記者の視点:「見られている」ことすら知らされない怖さ
BrowserGateが浮き彫りにしたのは、大手プラットフォームによる「見えない監視」の実態です。ブラウザの拡張機能は、広告ブロッカーから翻訳ツール、パスワード管理まで、日常的なニーズに応じて入れているものです。それが全て記録され、プロファイリングに使われうるとなると、プライバシーの前提が根本から揺らぎます。
日本では個人情報保護法が改正を重ねていますが、ブラウザフィンガープリントのような技術的手法への規制はまだ追いついていない面があります。EUのGDPRが今回の事案にどう対応するかは、日本を含む各国のプライバシー規制の方向性にも影響を与えるでしょう。
ユーザーが今すぐできる対策
LinkedInの対応を待つ間にも、ユーザー側でできることはあります。FirefoxなどChrome以外のブラウザを使う、不要な拡張機能を整理する、LinkedInの利用時は拡張機能を無効にした別プロファイルを使うといった対策が考えられます。自分のデジタルな「指紋」がどこでどう使われているのか、改めて意識するきっかけとなる事案です。
