議会、アドレス帳の連絡先を盗むアプリについてアップルに説明を求める

ニュース

1週間前、人気ソーシャルネットワーキングアプリ「Path」がユーザーのアドレス帳全体を自社サーバーにアップロードしていたことが発覚しました。Pathはその後謝罪し、データを削除しました。しかし、このような行為を行っているのはPathだけではありません。Twitterなどの有名企業も同様のことを行っており、Appleもそれを容認しています。

議会がアドレス帳のセキュリティ問題についての議論に不満を抱いているのは、それほど驚くことではない。実際、下院エネルギー・商業委員会のヘンリー・ワックスマン委員長と商務製造貿易小委員会のG・K・バターフィールド委員長は、Appleに書簡を送り、Appleがなぜこのような事態を許したのか、そして「AppleのiOSアプリ開発者向けポリシーと実践は、iPhoneユーザーとその連絡先の情報保護という点において不十分ではないか」という厳しい質問を突きつけている。

手紙の全文は次のとおりです。

ティム・クック氏
アップル社最高経営責任者
1 Infinite Loop
Cupertino, CA 95014

クック様

先週、独立系iOSアプリ開発者のアルン・タンピ氏は、ソーシャルネットワーキングアプリ「Path」が本人の同意を求めることなくiPhoneのアドレス帳の内容にアクセスし、収集していたことを発見したとブログに投稿した。[1] 本人の許可なく、あるいはその情報を所有する個々の連絡先の許可なく取得された情報には、氏名、電話番号、メールアドレスなどが含まれていた。[2] タンピ氏の発見がメディアで報道された後、Pathの共同創業者兼CEOのデイブ・モーリン氏はすぐに謝罪し、ユーザーのアドレス帳から取得したすべてのデータをPathのサーバーから削除することを約束し、アドレス帳の連絡先の共有についてユーザーにオプトインを求めるPathの新バージョンのリリースを発表した。[3]

この事件は、iPhone ユーザーとその連絡先の情報の保護に関して、Apple の iOS アプリ開発者ポリシーと実践が不十分である可能性があるという疑問を提起しています。

iOS開発者ウェブサイトのデータ管理セクションには、「iOSには、データを保存、アクセス、共有するための包括的なツールとフレームワークのコレクションがあります。（中略）iOSアプリは、アドレス帳の連絡先やフォトライブラリの写真など、デバイスのグローバルデータにもアクセスできます。」と記載されています。[4]アプリストアのレビューガイドラインのセクションには、「私たちは、技術、コンテンツ、デザインの一連の基準に基づいてApp Storeのすべてのアプリをレビューします。このレビュー基準は現在、App Storeレビューガイドラインでご覧いただけます。」と記載されています。[5]同じセクションでは、ガイドラインはiOS開発者プログラムの登録メンバーのみが利用できると示されています。[6]しかし、Path論争を追う技術ブログは、iOSアプリガイドラインではアプリが「ユーザーに関するデータを送信」する前にユーザーの許可を得ることを義務付けていると指摘しています。[7]

このガイドラインにもかかわらず、「多くのiOSアプリ開発者の間では、ユーザーの許可なくアドレス帳全体をリモートサーバーに送信し、将来の参照のために保存することは許容されるという暗黙の了解がある。これは一般的な慣行であり、多くの企業がユーザーのアドレス帳を自社のデータベースに保存している可能性が高い」という主張がなされている[8]。あるブロガーは、人気iOSアプリの開発者を対象に調査を実施したところ、15社中13社が「数百万件のレコードを含む連絡先データベース」を保有していることが判明したと主張している。さらに、ある開発者は「マーク・ザッカーバーグの携帯電話番号、ラリー・エリソンの自宅電話番号、ビル・ゲイツの携帯電話番号」を含むデータベースを保有していると主張している[9]。

Pathの以前のバージョンが、ユーザーのアドレス帳の内容を無断で取得していたにもかかわらず、Apple iTunes Storeでの配信承認を得ることができたという事実は、これらの主張にいくらか真実が含まれている可能性を示唆しています。これらの主張をより深く理解し、評価するために、以下の質問へのご回答をお願いいたします。

– アプリによってアクセスまたは送信されるデータのプライバシーとセキュリティに関連する基準に関するすべての iOS アプリガイドラインについて説明してください。

– アプリがこれらの基準を満たしているかどうかをどのように判断するかを説明してください。

– アプリが送信前にユーザーの同意を得る必要がある「ユーザーに関するデータ」とは、どのようなデータを指しますか?

– 質問 2 の回答で触れられていない範囲で、アプリが「ユーザーに関するデータ」を送信するかどうか、および同意要件が満たされているかどうかを判断する方法について説明してください。

– 米国の iTunes Store にある iOS アプリのうち、「ユーザーに関するデータ」を送信するものはいくつありますか?

– アドレス帳の内容を「ユーザーに関するデータ」と捉えていますか？

– アドレス帳の内容を連絡先のデータとみなしていますか？みなしていない場合は、その理由を説明してください。また、当該連絡先の情報におけるプライバシーとセキュリティの利益をどのように保護しているかを説明してください。

– 米国iTunes StoreのiOSアプリのうち、アドレス帳の情報を送信するものはいくつありますか？そのうち、連絡先情報を送信する前にユーザーの同意を求めるものはいくつありますか？

– 位置情報の送信を一括で、またはアプリごとにオフにできる機能がデバイスに組み込まれていますね。アドレス帳情報については同様の機能を設けていないのはなぜでしょうか。

要求された情報は、2012 年 2 月 29 日までにご提供ください。この要求に関してご質問がある場合は、エネルギーおよび商業委員会スタッフの Felipe Mendoza (電話番号 202-226-3400) までお問い合わせください。

心から、

ヘンリー・A・ワックスマン（筆頭理事）、
G・K・バターフィールド（筆頭理事）、
商業・製造・貿易小委員会