このたび、一部のユーザーについて、旧プライバシーポリシー下でオプトアウト※1されていたデータ管理項目が、最新のプライバシーポリシーへの同意※2を契機として非オプトアウト状態※3となるiOSアプリの不具合が発生し、その結果、ユーザーご本人のご意思に反しデータを外部に提供する事象が発生したことが判明しました。

　本事象の対象となるデータには、氏名・メールアドレス等、特定の個人を識別する情報は含まれておりません。もっとも、当社においては、TVer IDに紐づくデータは個人情報として取り扱っているため、提供対象となったデータのうち、TVer IDを保有しているユーザーのものは個人情報に該当することとしています。本事象の対象となるTVer ID保有ユーザーの皆様へは、本発表後、順次当社より個別のご案内を実施していきます。

　本件判明後、当該iOSアプリの改修作業を実施していますが、本日時点で判明している事象について以下のとおりお知らせいたします。

　対象となるユーザーの皆様及び関係会社各社には、大変なご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

●発生事象
　本年4月3日以降にリリースしたiOSアプリを利用するユーザーが、プライバシーポリシーに再同意※4 ※5すると、それ以前にユーザーがオプトアウトしていたデータ管理項目が、すべて非オプトアウト状態に書き換わってしまう事象が発生しました。オプトアウトの対象となる項目はデータの外部提供に関するものであったため、上記事象により、ユーザーの意図に反してデータを外部提供することとなりました。
外部提供したデータそのものには、氏名や住所、メールアドレス等の特定の個人を識別する情報は含まれていません。もっとも、当社においては、TVer IDに紐づくデータは個人情報として取り扱っているため、提供対象となったデータの一部は個人情報に該当します。

今回外部提供されたデータの項目
・端末識別子 (単体での個人情報ではない)
・視聴エピソード識別子
・視聴時間
・デバイス種別情報 (iOS、Android、FireTV など)
・撹拌された端末識別子
・広告視聴時間 (= 本編視聴時間)
・生年月
・郵便番号
・性別
・興味関心

●影響範囲
○データの外部提供の対象となった端末数（iOSアプリの不具合の影響を受けた端末総数）
----- 約45万端末
○そのうち、個人情報に該当するものの数（本事象の対象となるTVer IDをご登録いただいたユーザー数）
----- 約8.9万件
○データの提供先となった企業の属性
当社が「コンテンツ提供パートナー」、「調査パートナー」、「広告配信事業者」と定義する放送局、調査会社、広告配信事業を行う会社を指します。詳細はこちらをご参照ください。（https://tver.jp/privacypolicy/content_provider）

●原因
○本年4月3日以降にリリースしたiOSアプリに、プライバシーポリシーの再同意を行うとデータ管理項目のオプトアウト設定が書き換えられてしまうというバグが含まれておりました。
○これは、当社でのアプリ開発上の人的ミスによるものです。

●経緯
○2023年4月3日
----- iOSアプリ v5.1.14をリリース。本バージョンに当該不具合が発生するバグが内在。
○2023年4月3日～10月9日
----- 4月3日以降、プライバシーポリシーに再同意した場合にも本事象が発生していたものの、不具合の発見には至らず。
○2023年10月10日
----- 午前10時50分ごろプライバシーポリシーの改定を掲出。ユーザーがアプリを立ち上げたタイミングで、再同意を取得。
○2023年10月23日
----- 2023年10月10日 以降、 iOSアプリでのみデータ提供の拒否数が減少していることを検知し、調査を開始。
----- プライバシーポリシーへの再同意時に、最新版のiOSアプリにおいて、データ管理項目について全て非オプトアウト状態になる不具合を確認。
----- 他のOSのアプリにおいては当該事象が発生していないことを確認。
○2023年10月24日
----- 発生原因の特定を完了。
----- 対応策の検討と影響範囲の特定作業を開始。
○2023年10月25日
----- iOSアプリの修正にて改善可能なことを確認し、アプリリリースに向けた修正作業を行い、アプリストアへの申請を実施。
----- 対応策の検討と影響範囲の特定作業を継続。
○2023年10月26日
----- 影響範囲の特定及び対応策の検討が暫定的に完了。
----- 午前10時にiOSアプリの修正版をリリース。iOSアプリの当該不具合を改善。
----- 午後3時から、データ管理項目において、再同意による不具合が発生する前のオプトアウト状態に戻す対応を開始。
----- オプトアウトの対象となるデータについて、当社から提供先企業への提供を停止するためのシステム変更を準備が整い次第、順次実施予定。

●対応策および再発防止策
○iOSアプリの修正版をリリースし、当該不具合を解消可能な状態に改善しました。
○再同意による不具合が発生する前のオプトアウト状態に戻す対応を開始し、2023年10月28日午前6時までに全対応を完了する予定となっております。
○当社から提供先へのデータ提供を停止するためのシステム設定変更を一部完了しました。
○2023年10月27日午前10時頃、アプリ起動時に修正版バージョンの利用を必須とする設定変更（強制アップデート）を実施する予定になっております。
○本件の対象となるTVer ID保有ユーザーの皆様には、ご登録いただいているメールアドレス宛に順次お詫びとお知らせをお送りします。
○本件に関して、ユーザーの皆様からのご質問やご不安などにお答えするための専用のお問い合わせフォーム（https://tver.co.jp/202310contact/）を用意いたします。
○2023年10月23日の事象発覚以降、個人情報保護委員会等へ報告しており、被害の拡大防止に向けた情報連携を随時行ってまいります。
○外部の専門家の助言等も活用しながら、バグ発生の原因究明、再発防止に向けたアプリ開発体制及び情報セキュリティ体制の構築に努めてまいります。

　対象となるユーザーの皆様には、大変なご迷惑とご心配をおかけしますことを、改めて心より深くお詫び申し上げます。今後、同様の事象を起こさないよう、情報セキュリティ対策を強化し、再発防止に向けた取り組みを、より一層進めてまいります。

※1　コンテンツ提供パートナーへのデータ提供、調査パートナーへのデータ提供等のデータの取扱いを、ご自身で拒否することをいいます。
※2　iOSアプリ起動時に掲示される「利用規約・プライバシーポリシー」に対して、「同意する」ボタンを押下する行為のことをいいます。
※3　データの取扱いをご自身で拒否していたにもかかわらず、許諾の状態に書き換わることをいいます。
※4　旧プライバシーポリシーに同意いただいているユーザーが、改定した新しい「利用規約・プライバシーポリシー」に対して、再度「同意する」ボタンを押下して同意する行為のことをいいます。
※5　本事象は、2回目以降の同意に際し発生する事象であり、プライバシーポリシーに初回の同意を行う際には、本事象の発生を確認しておりません。

【本件に関するユーザー向けお問い合わせフォーム】
https://tver.co.jp/202310contact/