Pathをめぐる騒動は、下院エネルギー・商業委員会筆頭委員のヘンリー・ワックスマン氏と商務製造貿易小委員会委員長のGK・バターフィールド氏がApple CEOのティム・クック氏に書簡を送付したことで、さらに悪化した( The Next Web経由)。書簡の中で、議員らは、AppleがユーザーのiPhone上の個人データ(連絡先を含む)の保護に十分な対策を講じているかどうかを確認しようとしている。具体的には、書簡は、ユーザーの同意なしにアドレス帳データを収集する行為が 「iOSアプリ開発者の間で一般的かつ容認されている」という主張があると主張している。
その結果、議員たちは 「これは、AppleのiOSアプリ開発者向けポリシーと慣行が消費者のプライバシーを適切に保護しているかどうかという疑問を提起する」と 主張している。彼らはAppleに対し、2月29日までに質問への回答を求めている。Appleは、ユーザー情報の保護に関するApp Storeの審査慣行の詳細を明らかにするよう求められている。いずれにせよ、iPhone上のすべてのデータがアップロードされるのを待っているという印象から逃れるのは難しい。
ご存知の通り、位置情報サービスを除き、iOSはアプリがAPIを利用してiPhoneのアドレス帳、カメラロール、音楽ライブラリなどに保存されている個人データにアクセスする際に、ユーザーに確認メッセージを表示しません。デバイスで撮影した画像ファイルに埋め込まれた位置情報といった些細な情報も含まれます。これは立法府を悩ませており、彼らはなぜAppleが位置情報以外のデータへのアクセスをユーザーが制御できるシンプルな切り替え機能を実装しないのかを問うています。
お使いのデバイスには、位置情報の送信を一括で、またはアプリごとにオフにできる機能が組み込まれています。アドレス帳情報については同様の機能がないのはなぜでしょうか。
手紙の全文を下記に掲載しました。
議員たちは、iOS アプリガイドラインにアプリがアクセスまたは送信するデータのプライバシーとセキュリティに関する基準が含まれているかどうか、そして Apple がサードパーティの iOS プログラムがそれらの基準を満たしているかどうかをどのように正確に判断しているかを知りたがっています。App Store でどれだけのアプリが「ユーザーに関するデータ」を送信しているのか、Apple がどのようなデータを「ユーザーに関するデータ」とみなしているのか、アドレス帳のデータがこの定義に当てはまるのかどうかも知りたいのです。それだけではありません。議員たちは Cook 氏に、アドレス帳から情報を送信している iOS アプリがどれだけあるのか、そのうちどれだけが連絡先情報を送信する前にユーザーの同意を求めているのかを明らかにさせようとしています。Path の CEO が謝罪し、サーバー上のユーザーデータを削除し、アドレス帳データをサーバーに保存するためのオプトインを含む Path のアップデートをリリースしたにもかかわらず、このスキャンダルは依然として燃え上がりました。他のアプリ開発者も注目し、Instapaper の作成者 Mark Armenti 氏は、連絡先を照合する際にユーザーの許可を明示的に求めるアップデートをリリースしました。
ティム・クック氏
アップル社 最高経営責任者
1 無限ループ
カリフォルニア州クパチーノ 95014
クック様
先週、独立系iOSアプリ開発者のアルン・タンピ氏は、ソーシャルネットワーキングアプリ「Path」が本人の同意を求めることなくiPhoneのアドレス帳の内容にアクセスし、収集していたことを発見したとブログに投稿した。[1] 本人の許可なく、あるいはその情報を所有する個々の連絡先の許可なく取得された情報には、氏名、電話番号、メールアドレスなどが含まれていた。[2] タンピ氏の発見がメディアで報道された後、Pathの共同創業者兼CEOのデイブ・モーリン氏はすぐに謝罪し、ユーザーのアドレス帳から取得したすべてのデータをPathのサーバーから削除することを約束し、アドレス帳の連絡先の共有についてユーザーにオプトインを求めるPathの新バージョンのリリースを発表した。[3]
この事件は、iPhone ユーザーとその連絡先の情報の保護に関して、Apple の iOS アプリ開発者ポリシーと実践が不十分である可能性があるという疑問を提起しています。
iOS開発者ウェブサイトのデータ管理セクションには、「iOSには、データを保存、アクセス、共有するための包括的なツールとフレームワークのコレクションがあります。(中略)iOSアプリは、アドレス帳の連絡先やフォトライブラリの写真など、デバイスのグローバルデータにもアクセスできます。」と記載されています。[4]アプリストアのレビューガイドラインのセクションには、「私たちは、技術、コンテンツ、デザインの一連の基準に基づいてApp Storeのすべてのアプリをレビューします。このレビュー基準は現在、App Storeレビューガイドラインでご覧いただけます。」と記載されています。[5]同じセクションでは、ガイドラインはiOS開発者プログラムの登録メンバーのみが利用できると示されています。[6]しかし、Path論争を追う技術ブログは、iOSアプリガイドラインではアプリが「ユーザーに関するデータを送信」する前にユーザーの許可を得ることを義務付けていると指摘しています。[7]
このガイドラインにもかかわらず、「多くのiOSアプリ開発者の間では、ユーザーの許可なくアドレス帳全体をリモートサーバーに送信し、将来の参照のために保存することは許容されるという暗黙の了解がある。これは一般的な慣行であり、多くの企業がユーザーのアドレス帳を自社のデータベースに保存している可能性が高い」という主張がなされている[8]。あるブロガーは、人気iOSアプリの開発者を対象に調査を実施したところ、15社中13社が「数百万件のレコードを含む連絡先データベース」を保有していることが判明したと主張している。さらに、ある開発者は「マーク・ザッカーバーグの携帯電話番号、ラリー・エリソンの自宅電話番号、ビル・ゲイツの携帯電話番号」を含むデータベースを保有していると主張している[9]。
Pathの以前のバージョンが、ユーザーのアドレス帳の内容を無断で取得していたにもかかわらず、Apple iTunes Storeでの配信承認を得ることができたという事実は、これらの主張にいくらか真実が含まれている可能性を示唆しています。これらの主張をより深く理解し、評価するために、以下の質問へのご回答をお願いいたします。
– アプリによってアクセスまたは送信されるデータのプライバシーとセキュリティに関連する基準に関するすべての iOS アプリ ガイドラインについて説明してください。
– アプリがこれらの基準を満たしているかどうかをどのように判断するかを説明してください。
– アプリが送信前にユーザーの同意を得る必要がある「ユーザーに関するデータ」とは、どのようなデータを指しますか?
– 質問 2 の回答で触れられていない範囲で、アプリが「ユーザーに関するデータ」を送信するかどうか、および同意要件が満たされているかどうかを判断する方法について説明してください。
– 米国の iTunes Store にある iOS アプリのうち、「ユーザーに関するデータ」を送信するものはいくつありますか?
– アドレス帳の内容を「ユーザーに関するデータ」と捉えていますか?
– アドレス帳の内容を連絡先のデータとみなしていますか? みなしていない場合は、その理由を説明してください。また、当該連絡先の情報におけるプライバシーとセキュリティの利益をどのように保護しているかを説明してください。
– 米国iTunes StoreのiOSアプリのうち、アドレス帳の情報を送信するものはいくつありますか?そのうち、連絡先情報を送信する前にユーザーの同意を求めるものはいくつありますか?
– 位置情報の送信を一括で、またはアプリごとにオフにできる機能がデバイスに組み込まれていますね。アドレス帳情報については同様の機能を設けていないのはなぜでしょうか。
要求された情報は、2012 年 2 月 29 日までにご提供ください。この要求に関してご質問がある場合は、エネルギーおよび商業委員会スタッフの Felipe Mendoza (電話番号 202-226-3400) までお問い合わせください。
心から、
ヘンリー・A・ワックスマン、筆頭理事
GKバターフィールド、ランキングメンバー
商業・製造・貿易小委員会
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
