Privacy | Democratizing Data

TikTok kept letting strangers create accounts with my email, so I filed PIPEDA and CASL complaints

Fri, 24 Apr 2026 18:53:00 -0700

Disclaimer

This is a personal account of how I, a non-lawyer Canadian resident, used PIPEDA and CASL to address a privacy issue with TikTok. It is not legal advice. Procedures, deadlines, and applicable laws change. If you are facing a similar situation, please verify everything against current OPC and CRTC guidance, and consider consulting a lawyer for matters with significant legal or financial stakes. Parts of the research and drafting in this article were done with the help of an LLM. I reviewed the output, but factual errors are still possible. Please check the primary sources I link to before acting on anything here.

TL;DR

TikTok accounts I never created kept showing up under my email address. The first one was @chezou2. After it was deleted, a different handle appeared.
TikTok lets people register accounts without verifying that they control the email address. This is a structural failure to obtain consent.
TikTok Support eventually deleted the first account after I escalated. A different account appeared shortly after the deadline I had given them.
I filed two complaints with Canadian regulators:
- A violation report to the
- A formal complaint to the
The OPC had already issued a joint Report of Findings against TikTok in September 2025 ( ), so my complaint joins an existing thread of regulatory attention.
Below is what I did. Whether anything from this is useful for your own situation is for you to judge.

What is PIPEDA and CASL?

If you live in Canada and you have never come across these acronyms, here is the short version.

PIPEDA stands for the Personal Information Protection and Electronic Documents Act. It is the federal law that governs how private-sector organizations collect, use, and disclose personal information in the course of commercial activity. Your email address is personal information under PIPEDA. Complaints about PIPEDA go to the OPC, the Office of the Privacy Commissioner of Canada.

CASL stands for Canada’s Anti-Spam Legislation. It regulates the sending of “commercial electronic messages” (think marketing emails) without consent. Complaints about CASL go to the CRTC through its Spam Reporting Centre.

The two laws cover different things. PIPEDA is about what an organization does with your personal information. CASL is about whether an organization is allowed to send you a particular email. In my case, both were relevant for different reasons.

What happened

In November 2025, I started receiving emails from noreply@account.tiktok.com reporting “a new device login.” The login was from an Android phone I do not own. More fundamentally, I have never created a TikTok account.

The emails were addressed to my private email and referenced a handle, @chezou2, that someone had registered with a name close to mine. There was an awkward fact behind this: TikTok lets people register accounts without verifying that the email address belongs to them. No “is this you?” confirmation email had ever arrived. The account was simply created, and I, the actual address holder, was on the receiving end of TikTok’s automated correspondence.

This is a structural problem, not an incidental one. Anyone can register a TikTok account using anyone else’s email address, and the actual address holder receives the platform’s notifications indefinitely.

March 2026: contacting TikTok directly

On March 15, 2026, I submitted a “Report a potential privacy violation” through TikTok’s privacy report form at .

The first reply, from feedback@tiktok.com, was a templated message: “If you want to delete your account, log in and follow these steps.” The reply assumed I owned the account. The whole problem was that I did not.

I replied, explaining that the account was not mine, that someone had created it using my email address without my consent, that I could not log in because I had never created the account, and that PIPEDA applied. The next reply asked me to verify ownership: signup date, first login location, registered device, registered phone number, linked third-party accounts.

I could not answer any of these, and that was precisely the point. I replied saying so. My inability to provide ownership details was itself evidence that I had not created the account, and a process that demanded ownership details from a non-user was structurally incompatible with non-user privacy complaints. I also stated that if the matter was not resolved within 30 days, I would file a formal complaint with the OPC.

After further escalation, @chezou2 was eventually deleted. I did not get an explicit confirmation; I just noticed, when I checked on April 16, that the profile no longer existed.

April 2026: the same problem, again

The same day I confirmed @chezou2 was gone (April 16, 2026, the day after the 30-day deadline I had given TikTok), I started receiving emails from a different sender (notification@service.tiktok.com, with Reply-To: edm.feedback@tiktok.com). This time addressed to a new handle I also did not own. Messages in French, purporting to be social notifications from various TikTok users.

After @chezou2 was deleted, someone else had created another account using my email address, and TikTok’s notification machinery had picked up where it left off.

This made the issue clear. Deleting individual accounts will not fix anything as long as TikTok does not verify email ownership at registration. The cycle can repeat indefinitely.

A small but telling detail: the Reply-To address on these emails is edm.feedback@tiktok.com. In email marketing, “EDM” stands for “Electronic Direct Mail.” TikTok’s own infrastructure treats these notifications as part of its marketing email stack. This matters under CASL, as I will get to.

Two regulatory routes in Canada

I decided that filing individual deletion requests was a losing game and turned to the regulators. There are two distinct complaints that apply.

CASL → CRTC

CASL regulates the sending of unsolicited “commercial electronic messages” (CEMs). The relevant points for my case:

The CRTC has the power to impose substantial monetary penalties for violations.
TikTok’s notification emails encourage engagement with the TikTok platform. They can plausibly be characterized as promoting commercial activity.
The transactional or account-notification exemption should not apply here, because I am not the account holder. TikTok has not verified, and structurally cannot verify, that my email address belongs to the account being notified.

The reporting channel is the at spam@fightspam.gc.ca. A useful detail: you can simply email reports there, and forwarding the offending messages as .eml attachments preserves the full headers. This is better evidence than what the online form captures.

I sent one context email and attached five sample messages in .eml format.

A caveat on expectations: the SRC does not provide individual case feedback. Submissions feed an enforcement-targeting dataset; you do not get a “your case has been resolved” notice. The CASL route is about contributing to enforcement signal, not about getting a personal resolution.

PIPEDA → OPC

PIPEDA governs the collection, use, and disclosure of personal information. The relevant provision here is Schedule 1, , read together with (Valid consent).

Formal complaints to the OPC are filed through their . Two things to know in advance.

The form’s automatic stop

The form asks whether you have filed a complaint about the same matter with another body. I had filed with the CRTC SRC eight days earlier, so I answered “Yes.” The form ended my session: “If your complaint to another body covers any of your concerns with your personal information, please end this session and complete that complaint process first.”

The problem: the SRC does not issue case outcomes. Waiting for that process to “complete” would mean never filing a PIPEDA complaint at all. The OPC’s online form was treating CASL and PIPEDA as overlapping, when in fact they cover different conduct.

Recovering through the Information Centre

The OPC’s accepts free-text inquiries up to 2,000 characters. I sent one explaining the situation, the difference between the CRTC and PIPEDA matters, and asked how to proceed past the form’s stop.

A reply came within a day. The OPC suggested:

Contacting TikTok’s privacy contact (TikTok Inc., Culver City) in writing first.
Then filing a formal complaint if unresolved.
For the form’s “complaint with another body” question, answer “No” and explain the situation in the free-text section.

The first point was easy. I had already done the equivalent in March, through TikTok’s own privacy report form (the same channel the OPC pointed me to) and the email correspondence that followed.

Filing the formal complaint

The OPC online form is structured in three parts. Part A asks about steps already taken. Part B determines jurisdiction. Part C covers details and remedy. Part C has four free-text fields with character limits ranging from 500 to 2,500.

The argument I built:

Principle 4.3 (Consent), read with s.6.1 (Valid consent). TikTok cannot have any basis to believe the address holder consented, because it has no mechanism to verify email ownership. Section 6.1 requires that “an individual to whom the organization’s activities are directed would understand the nature, purpose and consequences” of the collection, use, or disclosure. TikTok cannot satisfy this when it has not even confirmed who the address holder is.
No s.7 exception applies. I am not a customer; there is no investigation, emergency, or any other listed basis.
Reasonable expectations of a non-user. PIPEDA Report of Findings (Facebook using non-members’ email addresses to suggest friends) is directly on point. The Commissioner there found that a non-user could not reasonably expect a platform to use their email to create social connections, particularly when there is no prior relationship to the organization. The same logic applies to me and TikTok.
Recurrence as evidence. A second account appearing after the first one was deleted demonstrates that the issue is systemic, not an isolated incident.

What I asked for, in order of priority:

A Compliance Agreement under requiring TikTok to implement email verification at registration and a non-ownership-based privacy complaint process.
Deletion of all accounts currently associated with my email.
Adding my email to a registration blocklist.
A public Report of Findings, given the systemic nature of the issue.

Attachments (within the 8-page and 25 MB limit): the March TikTok Support thread as a PDF, the OPC Information Centre response, the November security notification, and one representative April notification message.

Existing OPC × TikTok context

Worth knowing: in September 2025, the OPC, the CAI (Quebec), the OIPC BC, and the OIPC AB jointly issued on TikTok. That investigation focused on minors’ consent and targeted advertising, not on non-user account creation, but the regulators have already concluded that TikTok’s overall consent practices have problems.

That report also addressed the BC PIPA and PIPEDA jurisdictional question. In cross-border data flows, the federal and provincial laws operate in an “airtight seal” rather than excluding each other. As a BC resident filing against a Singapore-based organization, this confirms PIPEDA jurisdiction is appropriate.

So my complaint is not an isolated grievance. It joins an existing thread of regulatory scrutiny, from a different angle.

What I did, in summary

If you found this post because you are dealing with a similar situation, here is the sequence of what I did. The disclaimer at the top of the post still applies: this is not legal advice, and your situation may differ in ways that matter.

Step 0: Preserve evidence.

Save the suspicious emails: sender, date, body, and full headers.
If they are in your spam folder, rescue them before they auto-delete (Gmail purges spam after 30 days).
Note the unauthorized account handle(s) referenced in the messages.

Step 1: Contact the organization in writing.

Use whatever privacy reporting channel the organization provides (form, email, etc.).
Cite PIPEDA explicitly. It changes the tone of the conversation.
Make it clear you are not the account holder and are demanding deletion as the email holder, not as the user.
Set a reasonable deadline. Mine was 30 days. This is not a statutory requirement, just a tactical one.

Step 2: Report to the CRTC SRC under CASL (if the messages have any commercial or promotional flavor).

Email spam@fightspam.gc.ca directly. Forward the offending messages as .eml attachments to preserve headers.
Do not expect individual case feedback. The SRC uses submissions for enforcement targeting.

Step 3: File a PIPEDA complaint with the OPC.

If unsure how to proceed, send an inquiry to the OPC first (2,000-character limit; replies typically come within a day or two).
File the once you have a clear path.
Attachments are limited to roughly 8 pages and 25 MB. Choose evidence carefully. The full thread of correspondence with the organization is the most important.

Things to be aware of.

The OPC has a current backlog. Investigations can take months.
The OPC does not have order-making power. It cannot impose fines or issue binding orders directly. The strongest tool it has is the Compliance Agreement under s.17.1, which is enforceable in Federal Court. Worth asking for explicitly.
BC OIPC may have concurrent jurisdiction, but in cross-border situations the OPC handles routing.

A note on AI-assisted research

Parts of the research, drafting, and form responses for this complaint were done with the help of an LLM (Claude). It was useful for surfacing precedents, building arguments structurally, and drafting boilerplate quickly. It was also wrong about some specifics. For example, an early version of the analysis presented “30 days for organization response” as a PIPEDA requirement, which it is not. I caught that on a later pass, but the principle is general.

If you do this kind of research with an AI assistant, treat its output as a starting point, not as a citation. Verify every legal reference (statute number, section, finding number, deadline, jurisdiction) against the primary source, such as laws-lois.justice.gc.ca for legislation, priv.gc.ca for OPC findings, or fightspam.gc.ca for CASL, before acting on it. AI tools hallucinate, and acting on a hallucinated regulatory deadline is the kind of mistake that has real consequences.

For me, the value was in the working pattern. The LLM did the research scaffolding, I verified the primary sources, and I made the decisions about what went into formal submissions. That division of labour was practical and, I think, the right way to use these tools for legal-adjacent work.

Important

Reminder: Not legal advice. Verify primary sources. Consult a lawyer if your situation involves significant legal or financial stakes.

TikTokで勝手にアカウントが作られ続けるので、Claudeでカナダのprivacy法に則って通報をした

Fri, 24 Apr 2026 17:27:00 -0700

Warning

この記事は、Claude Opus 4.7とのやり取りを通じて解決した問題の顛末を、Opusに書かせたものです。ある程度のレビューはしていますが、情報の確実性はご自身で再検証することをおすすめします。

tl;dr

自分が使った覚えのない TikTok アカウントが、僕のメアドで2つ作られていた（@chezou2 と @nigtg679）
TikTok はメアド認証なしでアカウント登録を許可している。これが構造的な同意の欠落
TikTok サポート経由で1つ目を削除させたが、しばらくして別のアカウントが同じメアドで作成され再発
カナダの規制機関2つに通報した
- （）に違反として通報
- （Office of the Privacy Commissioner of Canada） に違反として正式 complaint 提出
OPC は2025年9月に既に TikTok 相手に joint investigation の Report of Findings ( ) を出しており、僕の complaint はその文脈に乗る形になった
カナダ居住者なら同様のケースで使える手順をまとめておく

何が起きたか

2025年11月頃から、noreply@account.tiktok.com という送信元から「新しいデバイス（LGE LM-Q730）からログインがありました」というメールが届くようになりました。僕は LG の Android 端末を持っていません。そもそも TikTok のアカウントを作ったことがありません。

メールの宛先は僕のプライベートのGmailのメアド。メール内では @chezou2 というハンドルが言及されていて、僕のハンドル（@chezou ベースのもの）に近い名前で誰かがアカウントを作ったらしい、ということがわかりました。

ここで気付いた違和感: TikTok は、メアド認証なしでアカウントを作らせている。僕のメアドに「このメアドで TikTok アカウントを作ろうとしている人がいます、本人ですか？」という確認メールは一度も来ていない。にもかかわらずアカウントが成立している。

つまり、登録時のメアド入力に対する所有確認が一切行われていません。誰でも他人のメアドでアカウントを作ることができ、本来の所有者は通知メールを受け取り続ける構造になっている。

1回目の対応：3月にTikTokサポートへ

3月15日、TikTok の privacy report フォーム（https://www.tiktok.com/legal/report/privacy）から「Report a potential privacy violation」として通報しました。

返信は feedback@tiktok.com から、テンプレ的な内容で「アカウントを削除したい場合は、ログインして設定画面から削除してください」というもの。そもそも自分のアカウントじゃないからログインできない、というのが問題の本質なのに、こちらが所有者であることを前提とした応答が来る。

返信して「これは僕のアカウントではない、誰かが僕のメアドで作ったものだ、削除してほしい、PIPEDA 適用の話だ」と書きました。すると次の返信で、こう言われた。

アカウント所有を確認するため、以下の情報を提供してください: 登録日、最初のログイン場所、登録時のデバイス、登録時の電話番号、リンクされた SNS アカウント…

これに答えられるわけがない。答えられないこと自体が、僕が所有者でない証拠です。再度返信して、「これらの情報を提供できないこと自体が、僕がアカウントを作っていない証拠だ。所有者であることを示せという要求は、non-user からの申し立てには構造的に応えられない」と書きました。あわせて「30日以内に解決しない場合は OPC に formal complaint を出す」と通告。

その後、@chezou2 は削除されました。

ところが再発

僕が TikTok への返信で「30日以内に解決しなければ OPC に formal complaint を出す」と通告していたのですが、その期限が過ぎた翌日の4月16日から、別の送信元（notification@service.tiktok.com、Reply-To が edm.feedback@tiktok.com）からメールが来るようになりました。今度は @nigtg679 という別のハンドル宛て。フランス語で「Mrs-mama💕✨️😘 t’a envoyé un message」みたいな、フランス語圏ユーザーからのメッセージ通知。

つまり、@chezou2 が削除された後、また別の誰かが僕のメアドでアカウントを作ったわけです。

ここで個人の問題を超えていることがはっきりしました。個別アカウントを削除しても、TikTok がメアド認証を実装しない限り、永遠に同じことが繰り返される。

ちなみに Reply-To にある edm.feedback@tiktok.com の edm は業界でいう “Electronic Direct Mail”、つまりマーケティングメール基盤の符牒。TikTok 自身がこれらの通知メールを marketing email infrastructure 内で扱っている、という小さな証拠でもあります。

規制当局ルートを2本

ここで「個別削除を申請し続ける」のは無限ループだと判断し、規制当局に持ち込むことにしました。カナダで使えるルートは2本あります。

（Canada’s Anti-Spam Legislation） /

CASL は同意なき商業電子メッセージ（CEM）の送信を規制する法律。ポイントは：

違反に対して 罰金を課す権限 が CRTC にある
TikTok からの通知メールは「TikTok プラットフォームへの利用を促進する」 = 商業活動の促進、と解釈できる
transactional notification（アカウント所有者向けの取引通知）の例外は、僕が アカウント所有者ではない ので適用できない

通報先は（spam@fightspam.gc.ca）。実は メールに直接転送できる（オンラインフォームより楽）。コンテキスト説明メールを1通送り、添付として証拠メールを .eml 形式で5通同梱して送信しました。

注意点: SRC は個別の case outcome を complainant にフィードバックしません。だから「処理が終わったら教えて」という期待はできない。集積されたデータが enforcement target の特定に使われる、という形。

（Personal Information Protection and Electronic Documents Act） /

PIPEDA は個人情報の収集・使用・開示に同意を求める法律。本件で問われるのは Schedule 1 の Principle 4.3（Consent）。

OPC への formal complaint は経由。ここで罠がありました。

フォームの自動ロック問題

最初に試した時、フォーム内に「他の機関に同じ件で complaint を提出していますか？」という質問がありました。CRTC SRC に出しているので素直に「Yes」と答えたら、システムが自動的にセッションを終了させ、「他の手続きを完了させてからまた来てください」というメッセージで蹴られました。

しかし SRC は個別フィードバックを出さない（前述）ので、待っていても「終了」は永遠に来ない。これでは PIPEDA 申立てが事実上不可能になる。

Information Centre 経由でリカバリ

OPC にはがあり、自由記述2,000文字以内で問い合わせができます。ここに「自動ロックされた、CASL と PIPEDA は対象としている問題が違う、どうしたらいいか」という旨を送ったところ、24時間以内に OPC の担当から書面で返信が来ました。

返信内容は要約すると：

TikTok の privacy contact（TikTok Inc., Culver City）へ書面で連絡することを推奨
それでも解決しない場合は、formal complaint を提出してよい
フォームの「他機関への complaint」質問には 「No」と答え、free text section で状況を説明 してほしい

OPC自身がフォームのバグ的挙動を認識していて、回避方法を書面で指示してくれた、というわけです。

Formal complaint の構成

OPC オンラインフォームは Part A（組織への接触履歴）/ Part B（管轄判定）/ Part C（詳細・救済）の3部構成。Part C は4つの自由記述欄があり、それぞれ500〜2,500文字制限。

法的根拠の組み立てとしては:

Principle 4.3 (Consent): 同意なしに個人情報（メアド）を収集・使用している
Principle 4.3.2 (Meaningful consent): メアド認証がない以上、同意の存在を裏付ける機構がそもそも存在しない
Reasonable expectations of a non-user: PIPEDA Findings （Facebook が non-user のメアドを friend suggestion に使った件）が直接の precedent

要望としては:

PIPEDA s.17.1 に基づく Compliance Agreement — メアド認証義務化、non-ownership-based の苦情プロセス整備
僕のメアドに紐づく全アカウントの削除
僕のメアドの blocklist 登録
Public Report of Findings の発行（僕と同じ被害に遭っている人がいるはず）

添付資料は8ページ以内、25MB以内で、TikTok サポートとの3月の往復スレッド・OPC Information Centre からの返信・11月の security notification・4月の social notification サンプルを PDF 化して同梱しました。

既存の OPC × TikTok の文脈

書きながら気付いたのですが、OPC はすでに2025年9月に TikTok 相手の Report of Findings ( ) を出しています。OPC、CAI（Quebec）、OIPC BC、OIPC AB の4機関 joint investigation で、主に未成年者からの同意取得とターゲティング広告の問題に焦点が当てられたもの。

僕のケースは未成年者問題ではなく、non-user の同意を得ない個人情報利用という別の角度ですが、「TikTok の同意取得の実務全般に問題がある」という OPC の認識と整合する話。投稿のタイミングとしては悪くない（OPC の興味の射程内に入りやすい）。

ちなみにこの Findings の中では、BC PIPA と PIPEDA の jurisdiction 関係についても整理されていて、cross-border data flow の場合は両者が “airtight seal” で適用される、という理屈が示されています。僕が BC 在住で TikTok（シンガポール法人）相手という構図でも、PIPEDA 適用に問題がない理由がここで補強されます。

カナダ居住者へのチェックリスト

同じような状況に遭遇した人向けに、手順を整理します。

ステップ0: 現状把握

不審なメールの送信元、送信日時、本文内容を保全する
Gmail なら spam フォルダから救出してラベル付け（30日で自動削除されるので注意）
本文中に出てくる「自分のものではないアカウントハンドル」をメモ

ステップ1: 相手企業に書面で連絡

企業の privacy report channel から書面で連絡する（メール、フォーム、どちらでもよい）
PIPEDA を引用する（信頼性が変わる）
「自分は所有者ではない」「メアド所有者として削除を要求する」を明確にする
30日以内の解決を促す

ステップ2: CRTC SRC に CASL 通報（マーケ性のあるメール）

に状況説明＋証拠 .eml を添付して送る
フォーム経由より、メール直接転送のほうがヘッダー情報が完全に保持されて証拠能力が高い
個別フィードバックは来ない前提

ステップ3: OPC に PIPEDA complaint

まず Information Centre に状況を聞く（フォーム経由、2,000字以内）
24〜48時間で返信が来る
指示に従って formal complaint を提出
添付資料は8ページ以内、25MB以内

注意点

OPC は現在処理遅延あり（数ヶ月）。すぐに結果は出ないと割り切る
BC OIPC（州機関）にも管轄が及ぶ可能性があるが、cross-border の場合は PIPEDA 適用が筋。OPC が必要なら自動的に振り分ける
OPC は order-making power を持たない（罰金を課したり強制執行したりはできない）。最強のツールは Compliance Agreement (s.17.1) で、これは Federal Court で強制執行可能。だから明示的に要求する価値がある

雑感

（ここは人間が書いています）

今回、Sonnet 4.6で調査を開始したのだが、正式にcomplaintする段になって念のため出たばかりのOpus 4.7で検証をさせたところ、だいぶ間違いや思い込みを正せたのでよかった
- たとえば「30日対応がなければ OPC に行ける」という Sonnet の主張は、実は法的根拠がなく Sonnet が圧力装置として勝手に設定した期限だった、というのを Opus に指摘された。これは戦術的には機能するものの、法的デッドラインと誤認すると別の判断ミスにつながるので、確認できてよかった。
こういう法律系の調査を全部自力でやるの相当厳しいので、リファレンスはAIに取ってこさせて自分でも確認するのが良さそう
こういった重めのトラブル解決を考えると、個人でLLM系のサービスを契約しないと辛いですね…