3分で読めます
| ニュース
アル・フランケンのCarrierIQへの問い合わせを描いたアーティストのレンダリング
フランケン上院議員は、就任後最初の任期中、プライバシー問題について積極的に提唱し、上院プライバシー・テクノロジー・法律小委員会の委員長を務めています。今年初め、フランケン議員はAppleとGoogleに対し、位置情報データの取り扱いについて説明を求める公聴会を開催しました(詳細はTMOによる公聴会のライブ中継をご覧ください)。この公聴会を受けて、両社は位置情報データに関するプライバシーポリシーと取り扱いについて明確な説明を行いました。
プライバシーに関するこの最新の話題は、CarrierIQというソフトウェアに関係しています。CarrierIQは、HTCおよびSamsungのAndroidデバイス上で、ボタン操作、キー操作、電話番号発信、位置情報、ユーザーの電話番号、その他のデータを記録するソフトウェアです。このソフトウェアはユーザーの許可なく実行され、実行中のアプリの一覧には表示されず、オフにすることもできません。
木曜日にAppleは声明を発表し、CarrierIQの過去の使用状況を明らかにし、iOSの今後のアップデートで同ソフトウェアの痕跡をすべて削除することを約束しました。Appleは、iOS 5で同ソフトウェアの使用を停止したこと、同ソフトウェアは常にオプトイン機能であり、上記に挙げた最も警戒すべきデータを収集していなかったことを明らかにしました。Nokiaも同様に声明を発表し、CarrierIQを使用したことはないと否定しました。Research In Motionも同様の声明を発表しました。
しかし、HTCやSprint、そしてサムスンなど、一部の企業はそうしています。前述の通り、CarrierIQ自身も、自社のソフトウェアが1億4100万台以上のデバイスで稼働していると主張しています。フランケン上院議員の書簡は、同社の具体的な活動内容の真相究明を試みる米国政府機関による最初の攻撃となります。
フランケン氏の手紙全文:
拝啓 [CarrierIQ 社長兼CEO ラリー・レンハート]
数百万人のアメリカ人が使用するスマートフォンにプリインストールされている貴社のソフトウェアが、消費者のスマートフォンから以下のような極めて機密性の高い情報を記録し、送信している可能性があるという最近の報告を大変懸念しています。
- 携帯電話の電源をオンにしたとき;
- 携帯電話の電源を切ったとき;
- ダイヤルする電話番号
- 受信したテキストメッセージの内容。
- アクセスしたウェブサイトの URL。
- オンライン検索クエリの内容(検索が暗号化されている場合でも)
- スマートフォンを使用している顧客の位置情報は、顧客が現在実行中のアプリによる位置情報へのアクセスを明示的に拒否した場合でも取得されます。
このソフトウェアは、携帯電話の電源を入れるたびに自動的に実行されるようです。また、一般ユーザーにはこのソフトウェアが実行中であることを知る術はなく、仮に気付いたとしても、削除したり停止したりする合理的な手段がないようです。
これらの暴露は、キャリアIQが「キー入力を記録したり、追跡ツールを提供したりしていない」(11月16日)、「ユーザーのキー入力を記録していない」、「電子メールやSMSの内容など、ユーザーの通信内容を検査したり報告したりしていない」(11月23日)と公式に主張していることを考えると、特に懸念される。
通信事業者に使用状況と診断情報を提供する必要があることは理解しています。また、通信事業者がCarrier IQのソフトウェアを改変できることも理解しています。しかし、Carrier IQのソフトウェアは、通話相手、受信したテキストメッセージの内容、検索内容、アクセスしたウェブサイトなど、診断とは一見無関係に見える極めて機密性の高い情報を、ユーザーから広範囲にわたって収集しているようです。
これらの行為は、電子通信プライバシー法やコンピュータ詐欺・濫用防止法を含む連邦プライバシー法に違反する可能性があります。これは潜在的に非常に深刻な問題です。
以下の質問への回答を2011年12月14日までにご提出くださいますようお願いいたします。
(1)Carrier IQソフトウェアはユーザーの位置情報を記録しますか?
(2)キャリアIQソフトウェアは他にどのようなデータを記録しますか?以下のデータを記録しますか?
a. ユーザーがダイヤルする電話番号は?
b. ユーザーに電話をかけた人の電話番号は?
c. ユーザーが受信するテキストメッセージの内容は?
d. ユーザーが送信するテキストメッセージの内容は?
e. ユーザーが受信する電子メールの内容は?
f. ユーザーが送信する電子メールの内容は?
g. ユーザーがアクセスするウェブサイトのURLは?
h. ユーザーのオンライン検索クエリの内容は?
i. ユーザーのアドレス帳にある名前または連絡先情報は?
j. その他のキーストロークデータはありますか?(3)これらのデータがユーザーの携帯電話から送信された場合、どうなるのでしょうか?いつ、どのような形式で?
(4)そのデータはCarrier IQに送信されますか?スマートフォンメーカー、OSプロバイダー、通信事業者に送信されますか?その他の第三者に送信されますか?
(5)キャリアIQがこのデータを受け取った場合、その後、第三者と共有しますか?このデータは誰と共有されますか?どのようなデータが共有されますか?
(6)キャリアIQは、ユーザーがこのデータのログ記録と送信を停止することを可能にしますか?
(7)キャリアIQはこれらのデータをどのくらいの期間保存しますか?
(8)キャリアIQはこのデータを連邦法執行機関または州法執行機関に開示しましたか?
(9)キャリアIQはハッカーやその他のセキュリティ脅威からこのデータをどのように保護しますか?
(10)キャリアIQは、その行為が連邦盗聴法(18 USC § 2511 et seq.)、ペン登録法(18 USC § 3121 et seq.)、および保存通信法(18 USC § 2701 et seq.)を含む電子通信プライバシー法に準拠していると考えていますか?
(11)キャリアIQは、自社の行為がコンピュータ詐欺および濫用防止法(18 USC § 1030)に準拠していると考えていますか?その理由は何ですか?
この件について早急に対応していただき感謝いたします。
心から、
アル・フランケンプライバシー技術と法律
に関する小委員会委員長
