「アバスト」で収集されたユーザーデータが第三者に販売されていると米PCMagが報道したことに対し、チェコのAVAST Softwareは1月28日（現地時間）、公式の声明を発表した。

PCMagとMotherboardの共同調査によると、AVAST社は自社の無償ウイルス対策ソフトで収集したユーザーの閲覧データを子会社であるJumpshotと共有し、第三者に販売していたという。閲覧データには個人の名前といった情報は含まれておらず、ユーザーに直接紐づけられているわけではないが、専門家によればデータをつなぎ合わせることで特定を行うことは十分可能であるという。これらの個人情報には“Google 検索”の内容や“Google マップ”で行ったGPS座標に基づく検索、“LinkedIn”の企業ページへの訪問、“YouTube”やアダルトサイトでどんな動画をみていたかなどが含まれており、顧客にはGoogleやYelp、Microsoft、マッキンゼー、Home Depotなどが含まれている可能性がある。

AVAST社に関しては昨年末、Webブラウザー拡張機能による個人情報の取集が疑われ、ポリシー違反を理由に拡張機能ストアから一時的に排除された事件もあった（この件はすでに解決し、拡張機能は再公開されている）。

AVAST社は公式の声明で、2019年12月に拡張機能ストアの基準を満たすために迅速な対応を行い、子会社Jumpshotとのデータ共有を含め、セキュリティ製品で利用する目的以外で拡張機能で収集したユーザーデータを利用する慣行を完全に中止したと強調。名前、メールアドレス、連絡先といった個人識別情報は収集していないとした。同社のプライバシーポリシーはEU一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法（CCPA）にも準拠しているという。

また、ウイルス対策ソフトにはデータ収集を許可・拒否する仕組み（オプトイン・オプトアウト）が実装されており、ユーザー側でデータ共有を制御できるとのこと。子会社Jumpshotとのデータ共有は、いつでも同意を取り消せるとしている。2019年7月からは従来のオプトアウトメカニズムを置き換えるよりわかりやすい仕組みをテストしており、すべてのウイルス対策製品ユーザーに展開中だ。2020年2月には無償版ユーザーでもこの仕組みが行き渡るとしている。