- ニュース
キャリアIQをめぐる最近の論争を受け、アル・フランケン上院議員はプライバシー保護の闘いに再び参入し、昨日、キャリアIQに対し、同社のキーロガーおよびデータロギングソフトウェアに関する複数の質問への回答を求める公開書簡を送付した。フランケン議員の書簡には、主に11の鋭い質問が含まれており、同社はなぜ情報を記録するのか、どのような種類の情報を追跡しているのか、誰がその情報を受け取るのか、そしてどのように情報を使用するのか、といった点が問われている。
Carrier IQのソフトウェアは現在、米国で数百万台のスマートフォンに搭載されています。Appleは木曜日に声明を発表し、新しいソフトウェアアップデートでCarrier IQのソフトウェアの痕跡をすべて削除することを約束しました。AndroidメーカーのHTCは本日、携帯電話へのCarrierIQの搭載は通信事業者の責任であるとする声明を発表しました。Samsungも同様の声明を発表しました。
サタデー・ナイト・ライブで有名なアル・フランケン上院議員は、携帯電話を介した米国市民のプライバシー侵害に対し、強い懸念を示していることで知られています。今年初め、フランケン議員は、GoogleのAndroidスマートフォンとAppleのiPhoneが、スマートフォンの位置情報を含むデータをGoogleとAppleの2社に送信していたことが発覚した「ロケーションゲート」事件の捜査を主導しました。フランケン議員はその後、2011年位置情報プライバシー保護法案の提案者となり、「顧客のスマートフォンやその他のモバイル機器から位置情報を取得する可能性のある企業に、連邦法の抜け穴を塞ぐ」法案を提出しました。
フランケン氏はキャリアIQのCEOマイケル・レンハート氏に宛てた書簡で、同社のソフトウェアは連邦法に直接違反している可能性があり、早急な対応が必要な深刻な問題であると主張している。
レンハート様
数百万人のアメリカ人が使用するスマートフォンにプリインストールされている貴社のソフトウェアが、消費者のスマートフォンから以下のような極めて機密性の高い情報を記録し、送信している可能性があるという最近の報告を大変懸念しています。
- 携帯電話の電源をオンにしたとき;
- 携帯電話の電源を切ったとき;
- ダイヤルする電話番号
- 受信したテキストメッセージの内容。
- アクセスしたウェブサイトの URL。
- オンライン検索クエリの内容(検索が暗号化されている場合でも)
- スマートフォンを使用している顧客の位置情報は、顧客が現在実行中のアプリによる位置情報へのアクセスを明示的に拒否した場合でも取得されます。
このソフトウェアは、携帯電話の電源を入れるたびに自動的に実行されるようです。また、一般ユーザーにはこのソフトウェアが実行中であることを知る術はなく、仮に気付いたとしても、削除したり停止したりする合理的な手段がないようです。
これらの暴露は、キャリアIQが「キー入力を記録したり、追跡ツールを提供したりしていない」(11月16日)、「ユーザーのキー入力を記録していない」、「電子メールやSMSの内容など、ユーザーの通信内容を検査したり報告したりしていない」(11月23日)と公式に主張していることを考えると、特に懸念される。
通信事業者に使用状況と診断情報を提供する必要があることは理解しています。また、通信事業者がCarrier IQのソフトウェアを改変できることも理解しています。しかし、Carrier IQのソフトウェアは、通話相手、受信したテキストメッセージの内容、検索内容、アクセスしたウェブサイトなど、診断とは一見無関係に見える極めて機密性の高い情報を、ユーザーから広範囲にわたって収集しているようです。
これらの行為は、電子通信プライバシー法やコンピュータ詐欺・濫用防止法を含む連邦プライバシー法に違反する可能性があります。これは潜在的に非常に深刻な問題です。
以下の質問への回答を2011年12月14日までにご提出くださいますようお願いいたします。
(1)Carrier IQソフトウェアはユーザーの位置情報を記録しますか?
(2)キャリアIQソフトウェアは他にどのようなデータを記録しますか?以下のデータを記録しますか?
a. ユーザーがダイヤルする電話番号は?
b. ユーザーに電話をかけた人の電話番号は?
c. ユーザーが受信するテキストメッセージの内容は?
d. ユーザーが送信するテキストメッセージの内容は?
e. ユーザーが受信する電子メールの内容は?
f. ユーザーが送信する電子メールの内容は?
g. ユーザーがアクセスするウェブサイトのURLは?
h. ユーザーのオンライン検索クエリの内容は?
i. ユーザーのアドレス帳にある名前または連絡先情報は?
j. その他のキーストロークデータはありますか?
(3)これらのデータがユーザーの携帯電話から送信された場合、どうなるのでしょうか?いつ、どのような形式で?
(4)そのデータはCarrier IQに送信されますか?スマートフォンメーカー、OSプロバイダー、通信事業者に送信されますか?その他の第三者に送信されますか?
(5)キャリアIQがこのデータを受け取った場合、その後、第三者と共有しますか?このデータは誰と共有されますか?どのようなデータが共有されますか?
(6)キャリアIQは、ユーザーがこのデータのログ記録と送信を停止することを可能にしますか?
(7)キャリアIQはこれらのデータをどのくらいの期間保存しますか?
(8)キャリアIQはこのデータを連邦法執行機関または州法執行機関に開示しましたか?
(9)キャリアIQはハッカーやその他のセキュリティ脅威からこのデータをどのように保護しますか?
(10)キャリアIQは、その行為が連邦盗聴法(18 USC § 2511 et seq.)、ペン登録法(18 USC § 3121 et seq.)、および保存通信法(18 USC § 2701 et seq.)を含む電子通信プライバシー法に準拠していると考えていますか?
(11)キャリアIQは、自社の行為がコンピュータ詐欺および濫用防止法(18 USC § 1030)に準拠していると考えていますか?その理由は何ですか?
この件について早急に対応していただき感謝いたします。
心から、
アル・フランケンプライバシー技術と法律
に関する小委員会委員長
