クック様

Appleが最近、新型iPhone 5Sに指紋リーダーを搭載した件についてお知らせいたします。Appleは長年にわたり、モバイル技術の革新をリードしてきました。私自身もiPhoneを所有しています。Appleの新しい指紋リーダー「Touch ID」は、モバイルセキュリティの特定の側面を向上させる可能性がある一方で、Apple自身、そしてApple製品を使用する可能性のあるすべての人にとって、プライバシーに関する重大な問題を提起します。この件についてお知らせするにあたり、Appleが社内で、そしてこの技術を私の選挙区民である何百万人もの有権者をはじめとするアメリカ国民にどのように展開してきたかについて、公的な記録を残したいと考えております。

スマートフォンをパスワードやPINで保護していない人が多すぎます。Appleの指紋リーダーは、iPhone 5Sユーザーがスマートフォンをより安全に使う可能性を高めるだろうと私は予想しています。しかし、Appleのプロモーションビデオで示唆されているように、個人の指紋が「世界で最も強力なパスワードの一つ」ではないと考える理由もあります。

パスワードは秘密で動的ですが、指紋は公開され永続的です。パスワードを誰にも教えなければ、誰もそれを知ることはありません。もし誰かがあなたのパスワードをハッキングしたとしても、あなたはそれを好きなだけ変更できます。しかし、指紋は変更できません。指紋は10個しかありません。そして、あなたが触れるものすべてに指紋が残っているので、決して秘密ではありません。さらに、パスワードは所有者を一意に識別しませんが、指紋は識別します。言い換えれば、ハッカーがあなたの指紋を入手した場合、それを使ってあなたを識別し、生涯にわたってなりすますことができるのです。

Appleがこの技術のセキュリティを確保し、責任ある実装に尽力してきたことは明らかです。iPhone 5Sは、指紋データを「チップ上」に暗号化された形式でローカルに保存すると報じられています。また、サードパーティ製アプリによるTouch IDへのアクセスもブロックしています。しかしながら、この技術の仕組み、Appleの将来的な計画、そしてAppleがどのような法的保護を提供するのかといった重要な疑問が残っています。Appleが指紋技術をどれほど慎重に実装しようとも、今回の決定は、同業他社や小規模な競合企業が、プライバシー保護の程度は様々ですが、生体認証技術を採用する道を開くことになるのは間違いないでしょう。

私は Apple 社に対し、以下の質問に対する回答を提供することを謹んで要請します。

（１）ローカルに保存された指紋データを第三者が利用できるデジタル形式や視覚形式に変換することは可能か？

（2）iPhoneから指紋データを抽出して取得することは可能ですか？もし可能であれば、リモートから、あるいはデバイスに物理的にアクセスして行うことは可能でしょうか？

（3）2011年、セキュリティ研究者は、iPhoneがデバイスのバックアップに使用されたコンピュータに、詳細な位置情報の履歴を含む暗号化されていないファイルを保存していることを発見しました。指紋データはユーザーのコンピュータにバックアップされるのでしょうか？

（4）iPhone 5SはTouch IDシステムに関する診断情報をApple社または他の関係者に送信しますか？送信する場合、どのような情報が送信されますか？

（5）iTunes、iBooks、App StoreはTouch IDと具体的にどのように連携するのでしょうか？これらのアプリはTouch IDシステムからどのような情報を収集するのでしょうか？また、Appleは指紋データに関連する識別子やハッシュなど、これらの連携に関連してどのような情報を収集するのでしょうか？

（6）Appleはサードパーティ製のアプリケーションにTouch IDシステムや指紋データへのアクセスを許可する予定はありますか？

（7）Appleは、ユーザーの指紋データや、iPhoneの指紋データを抽出したり操作したりするために必要なツールやその他の情報を、いかなる商業的な第三者とも決して共有しないことを保証できますか？

（８）アップルは、適切な法的権限と手続きがない限り、指紋ファイルや、iPhoneの指紋データを抽出したり操作したりするために必要なツールやその他の情報を政府と共有することは決してないとユーザーに対して保証できますか？

（9）アメリカのプライバシー法では、法執行機関は令状なしに企業に対し通信の「内容」の開示を強制することはできず、企業は顧客の同意なしにその情報を第三者と共有することはできない。しかし、「加入者…または顧客に関する記録またはその他の情報」は、顧客の同意なしに第三者に自由に開示することができ、また、相当な理由がない裁判所命令の発令により法執行機関に開示することができる。さらに、「加入者番号または身元」は、単純な召喚状によって政府に開示することができる。一般的には、合衆国法典第18編第2702-2703条を参照のこと。

Apple は、指紋データを通信の「内容」、顧客または加入者の記録、あるいは保存通信法で定義されている「加入者番号または ID」と見なしていますか?

（10）米国情報法に基づき、連邦捜査局（FBI）は、特定の外国情報調査に関連すると判断された場合、「あらゆる有形物（書籍、記録、書類、文書、その他の物品を含む）」の提出命令を求めることができます。（50 USC § 1861参照）
Appleは指紋データを米国愛国者法で定義されている「有形物」に該当すると考えていますか？

（11）アメリカの情報法に基づき、連邦捜査局（FBI）は、通信事業者に対し「加入者情報」または「保管または保有する電子通信取引記録」の開示を強制する国家安全保障書簡（National Security Letter）を一方的に発行することができます。National Security Letterには通常、情報公開命令が含まれており、受信者は書簡を受け取ったことを明らかにすることはできません。例えば、合衆国法典第18編第2709条を参照してください。Apple
は、指紋データを、保存通信法（Stored Communications Act）で定義されている「加入者情報」または「電子通信取引記録」に該当すると考えていますか？

（12）Appleは、ユーザーがTouch IDに提供する指紋データに関してプライバシーが保護されるという合理的な期待を抱いていると考えていますか？

これらの質問にご回答いただき、誠にありがとうございます。Apple社には、この手紙を受け取ってから1ヶ月以内にこれらの質問にご回答いただくようお願いいたします。

心から、

アル・フランケン
上院司法委員会
プライバシー・テクノロジー・法律小委員会委員長