· 4分で読めます
G・K・バターフィールド下院議員(ノースカロライナ州選出、民主党)とヘンリー・A・ワックスマン下院議員(カリフォルニア州選出、民主党)は水曜日、クックCEOに書簡を送り、Apple社のiOSアプリケーション開発者向けポリシーと実践が消費者のプライバシーを適切に保護しているかどうかを疑問視した。
この書簡は、今月初めにソーシャルネットワーキングアプリ「Path」がユーザーのアドレス帳を許可なくサーバーにアップロードしていたことが明らかになり、論争が巻き起こったことを受けて出されたものです。この行為は開発者のArun Thampi氏によって発見され、公表されました。
先週、Pathは自身の行為について公式に謝罪し、ユーザーがアドレス帳のアップロードをオプトアウトできるようソフトウェアを修正した。同社は、データはアプリの「友達追加」機能を効率化するために使用されたものであり、機密情報を収集するために使用されたわけではないと述べている。
ワックスマン氏とバターフィールド氏からの書簡は、Appleに対し9つの質問への回答を求めている。これらの質問は、ユーザーのセキュリティと、AppleがアプリケーションがユーザーがiPhoneにダウンロードするのに適しているかどうかをどのように判断しているかに関するものだ。
政府による今回の質問は、昨年発生した別の事件と類似している。当時、米国の上院議員と下院議員が、位置情報データベースをめぐる論争についてAppleに説明を求めた。この問題は、セキュリティ研究者がiOS 4に、iPhoneがアクセスした携帯電話基地局やWi-Fiホットスポットの位置情報データを大量に保存するデータベースファイルを発見したことで注目を集めた。
Appleは、位置情報データベースファイルはiPhoneの位置情報追跡サービスを改善するために作成されたものだが、プログラミング上の不具合によりファイルサイズが肥大化してしまったと説明した。この問題はソフトウェアアップデートですぐに解決された。
今回の問題はiOSオペレーティングシステムの不具合によるものではなく、Appleが開発者に許可している、悪用される可能性のある機能によるものです。議員たちは、他のアプリケーションがユーザーのアドレス帳情報を知らないうちにアップロードしていることを懸念しています。書簡の全文は以下に掲載されています。
2012年2月15日ティム・クック氏
アップル社 最高経営責任者
1 無限ループ
カリフォルニア州クパチーノ 95014
クック様
先週、独立系iOSアプリ開発者のアルン・タンピ氏は、ソーシャルネットワーキングアプリ「Path」が本人の同意を求めることなくiPhoneのアドレス帳にアクセスし、その内容の収集を行っていたことをブログで発表しました。本人、あるいはその情報を所有する連絡先の個人の許可なく取得された情報には、氏名、電話番号、メールアドレスなどが含まれていました。タンピ氏のこの発見がメディアで報道された後、Pathの共同創設者兼CEOであるデイブ・モーリン氏は速やかに謝罪し、ユーザーのアドレス帳から取得したすべてのデータをPathのサーバーから削除することを約束しました。また、アドレス帳の連絡先の共有についてユーザーにオプトインを求める機能を備えたPathの新バージョンをリリースすると発表しました。
この事件は、iPhone ユーザーとその連絡先の情報の保護に関して、Apple の iOS アプリ開発者ポリシーと実践が不十分である可能性があるという疑問を提起しています。
iOS開発者ウェブサイトのデータ管理セクションには、「iOSには、データの保存、アクセス、共有のための包括的なツールとフレームワークが用意されています。iOSアプリは、アドレス帳の連絡先やフォトライブラリの写真など、デバイスのグローバルデータにもアクセスできます。」と記載されています。App Storeレビューガイドラインセクションには、「App Storeのすべてのアプリは、技術、コンテンツ、デザインの基準に基づいて審査されます。この審査基準は、App Storeレビューガイドラインで公開されています。」と記載されています。この同じセクションでは、ガイドラインはiOS開発者プログラムの登録メンバーのみが利用できるとされています。しかし、Path論争を追う技術ブログによると、iOSアプリガイドラインでは、アプリが「ユーザーに関するデータを送信」する前にユーザーの許可を得る必要があるとのことです。
このガイドラインにもかかわらず、「多くのiOSアプリ開発者の間では、ユーザーの許可なくアドレス帳全体をリモートサーバーに送信し、将来の参照のために保存することは許容されるという暗黙の了解がある。これは一般的な慣行であり、多くの企業がユーザーのアドレス帳を自社のデータベースに保存している可能性が高い」という主張がなされている。あるブロガーは、人気iOSアプリの開発者を対象に調査を実施したところ、15社中13社が「数百万件のレコードを含む連絡先データベース」を保有していることが判明したと主張している。さらに、ある開発者は「マーク・ザッカーバーグの携帯電話番号、ラリー・エリソンの自宅電話番号、ビル・ゲイツの携帯電話番号」を含むデータベースを保有していると主張している。
Pathの以前のバージョンが、ユーザーのアドレス帳の内容を無断で取得していたにもかかわらず、Apple iTunes Storeでの配信承認を得ることができたという事実は、これらの主張にいくらか真実が含まれている可能性を示唆しています。これらの主張をより深く理解し、評価するために、以下の質問へのご回答をお願いいたします。
1. アプリがアクセスまたは送信するデータのプライバシーとセキュリティに関する基準に関するすべての iOS アプリ ガイドラインについて説明してください。
2. アプリがこれらの基準を満たしているかどうかを判断する方法について説明してください。
3. アプリが送信前にユーザーの同意を得る必要がある「ユーザーに関するデータ」とは、どのようなデータを指しますか?
4. 質問 2 の回答で触れられていない範囲で、アプリが「ユーザーに関するデータ」を送信するかどうか、および同意要件が満たされているかどうかを判断する方法について説明してください。
5. 米国の iTunes Store にある iOS アプリのうち、「ユーザーに関するデータ」を送信するものはいくつありますか?
6. アドレス帳の内容を「ユーザーに関するデータ」とみなしますか?
7. アドレス帳の内容を連絡先のデータとみなしますか? みなさない場合は、その理由を説明してください。また、当該連絡先の情報におけるプライバシーとセキュリティの利益をどのように保護しているかを説明してください。
8. 米国iTunesストアにあるiOSアプリのうち、アドレス帳の情報を送信するものはいくつありますか?そのうち、連絡先情報を送信する前にユーザーの同意を求めるものはいくつありますか?
9. 位置情報の送信を一括で、またはアプリごとにオフにできる機能がデバイスに組み込まれていますね。アドレス帳情報については同様の機能を設けていないのはなぜでしょうか。
要求された情報は、2012 年 2 月 29 日までにご提供ください。この要求に関してご質問がある場合は、エネルギーおよび商業委員会スタッフの Felipe Mendoza (電話番号 202-226-3400) までお問い合わせください。
心から、
ヘンリー・A・ワックスマン
ランクメンバー
GKバターフィールド
ランクメンバー
商業・製造・貿易小委員会
cc: デイブ・モーリン
パス、共同創設者兼CEO
