EVENT | 2018/07/18

徹底してユーザーのプライバシー保護を重視するApple。その背景には、他社とのビジネスモデルの違いがあった。


Photo By Shutterstock

Facebookユーザーの個人情報がデータ分析会社によって不正利用...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

Facebookユーザーの個人情報がデータ分析会社によって不正利用される、アプリケーション開発会社がGmailユーザーのプライベートなメールの内容を読むことができた……等々。プライバシーに関する気になる報道が続いている。

そんな中にあって、FBI(米・連邦捜査局)と対立してもユーザーのプライバシーを守ろうとするAppleの姿勢に支持が集まっている。なぜAppleは、そこまでプライバシー保護を重視するのだろうか。

文:伊藤僑

FBIと対立してもユーザーのプライバシーを守る

Appleは最新のiOS 11.4.1で「USB制限モード」を正式導入した。

USB制限モードとは、iPhoneなどのiOSデバイスがロックされてから1時間以上経過すると、USBアクセサリーを接続してもアンロックできなくなるという機能で、USBアクセサリーを利用するためには、パスコードを入力してロックを解除しなければならない。ユーザーは必要に応じ、その有効・無効を設定することができる。

Appleが同機能をiOSに搭載することになった背景には、2015年12月に発生したカリフォルニア州サン・バーナディーノで発生した銃の乱射事件をめぐるFBIとの確執がある。

FBIは、警察によって射殺された容疑者が使用していたiPhoneのロックを解除できず、Appleに協力を要請したが、FBIに協力すればユーザー全員のプライバシーを守ることができなくなるとAppleは拒否したのだ。

iOS端末では、パスワードの入力に複数回失敗すると格納されているデータは消去されてしまう。そのため、ハッカーが用いる総当たり攻撃のように、所有者が使いそうなパスワードを片っ端から打ち込んでロック解除を試す手法を使うことはできない。

そこでFBIでは、特殊な技術を有するイスラエルのCellebrite社に、100万ドル(約1億1千万円)以上を支払ってiPhoneのロック解除を依頼していた言われる。ところが、GrayShiftというベンチャー企業が、iPhone/iPad/iPod Touchのパスコードロックを解除できる「GrayKey」というハードウェアを開発したため、FBIなどの捜査機関も相次いで導入したとみられる。

GrayShiftのウェブサイト

GrayKeyの外観を見ると、黒い箱から2本のLightningケーブルが伸びており、同時に2台のiPhone/iPad/iPod Touchを接続できることがわかる。接続されたiOSデバイスには、自動的にパスコードを解除するためのソフトウェアがインストールされ、解除作業が始まる。

パスコードの解除方法としては、パスワードの入力回数制限を何らかの方法で回避して、総当たり攻撃と同じ手法で解除を試みていると推定される。4桁のパスワードなら数時間、6桁なら数日で解除可能と言われている。

iOSに新たに採用されたUSB制限モードは、このGrayKeyへの対抗策とみられる。だが、すでにUSB制限モードの抜け穴も発見されており、GrayKeyをめぐる攻防はしばらく続きそうだ。

GDPRの保護対象外にもプライバシー保護機能を

Appleのプライバシー保護を重視する姿勢は、欧州連合(EU)による「一般データ保護規則(GDPR)」への対応にも現れている。

Apple製品へ新たにプライバシー保護機能を搭載するに際して、「プライバシーは基本的人権であり、EU居住者だけでなく、GDPRの保護対象外であっても、誰もが権利を保証されなければならない」と同社の考え方を表明したのだ。この新機能は、3月29日に公開されたmacOS High Sierra 10.13.4、iOS 11.3などに盛り込まれた。

今後はさらに対策を推し進め、同社が保存しているエンドユーザーの個人情報のダウンロードや、アカウントの一時停止/完全な削除などの機能を利用できるようになるという。

他社とのビジネスモデルの違いを強調

このように、Appleがプライバシー保護を重視する姿勢を鮮明にできるのは「エンドユーザーから収集した個人情報の販売ではなく、ハードウェアの販売で収益を上げている」からであると、最高経営責任者であるティム・クック氏はテレビ局・MSNBCなどとのインタビューで語っている。

今年3月には、Facebookユーザーの個人情報が、データ分析会社Cambridge Analyticaによって不正利用されたことが発覚し大きな社会問題になった。7月には、サードパーティーのアプリケーション開発会社が、Gmailユーザーのプライベートなメールの内容を読むことができることが判明したと報道され批判を集めている。

GoogleやFacebook、Twitter、Amazonのようなエンドユーザーの個人情報をビジネスに活用する企業にとって、個人情報の扱いはますますセンシティブな問題になってきていると言える。

このような事態を受けティム・クック氏は、「顧客情報を製品と考えて利益を得ようとすれば大金を得ることができるだろう。しかし、我々はそうしないことを選んだ」と他社とのビジネスモデルの違いを訴える。

ネット上に蓄積された様々な個人情報を、ユーザーへ告知することなく企業が利用することに不安を感じている者は多い。Appleのようにプライバシー保護を重視する姿勢が歓迎されることは当然と言える。

懸念される中国人ユーザーのプライバシー保護

しかし、Appleのプライバシー保護を重視する姿勢にも盲点はある。それは、中国だ。

これまでAppleは、中国政府からiCloudサーバ内に格納された中国人ユーザーの個人情報へのアクセスを要求されても、米国の司法手続きを経る必要があると拒否していた。

ところがAppleは、中国政府の要請を受けて方針を転換し、3月1日に中国の国内にデータセンターを開設。そこに中国人ユーザーの個人情報を置くことで、中国政府からの要請があれば、米国の司法手続きを経ることなく個人情報へのアクセスを認めることで合意したとされる。

Appleによれば「裏口からのアクセスを認めたわけではない」ようだが、NPOの「国境なき記者団」などは、中国当局はiCloudのデータからジャーナリストや反社会的な人物を洗いだすのではないかと懸念を表明している。

今後Appleが、中国においてプライバシー保護にどのように取り組んでいくのか注視していきたい。