匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

オープンソースのオーディオ編集ツール「Audacity」が買収によりプライバシーポリシーが改訂され、その改訂内容からこれではスパイウェアだと非難する声が出ている。Audacityは5月にMuse Groupという多国籍企業に買収され、7月2日にAudacityの公式サイト上にプライバシーポリシーのドラフト案が提示された。その内容によれば、今後のAudacityのリリースバージョンでは個人情報が送信されるようになるという（Audacity デスクトップ版のプライバシーに関するお知らせ、GitHubでの反対コメント、窓の杜、Phone Mania）。

送信されるデータは以下の通りとなっている

• OSのバージョン
• IPアドレスとそれに基づくユーザーの国情報
• OS名
• CPU情報
• エラーコードとメッセージ
• BreakpadMiniDump形式のクラッシュレポート
• 法執行、訴訟および当局の要求に該当するデータ（存在する場合）

またすべての個人データは、欧州経済領域（EEA）のサーバーに保存されるという。その上でロシア政府や米国の外部弁護士と個人データを共有する場合があるとも記載されており、EUと米国・ロシアの規制当局の要求に応じて必要なユーザーデータを提出する可能性が示唆されている。この改訂が実施された場合、Audacityはスパイウェア化するという意見もあり、すぐにフォークするべきだとする意見も出ている模様。

すべて読む | オープンソースセクション | オープンソース | YRO | プライバシ |

関連ストーリー：
二ノ国:Cross Worlds、利用規約に口座番号とマイナンバーが必要とあり物議。現在は修正 2021年06月11日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
接触確認アプリCOCOA、地域ごとの日付フォーマットの違いで利用日数が狂う新たな不具合 2021年03月15日
WhatsApp、新プライバシーポリシーを承認しないユーザーのアカウントがどうなるか説明 2021年02月25日
米マサチューセッツ州最高裁、Uberはユーザーから利用規約への明確な合意を得ていないと判断 2021年01月09日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

あるAnonymous Coward 曰く、

スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。

発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。

同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。

しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。

同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | YRO | バグ | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
Google、Android 12 Beta 2を提供開始 2021年06月12日
改正ストーカー規制法が成立、無断でGPS機器の取り付けや位置情報アプリも規制対象 2021年05月21日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
日本への入国者全員にCOCOAやSkypeなどをインストールしたスマホの携行を義務付け 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
メルセデス・ベンツ、不正確な位置情報を通報する可能性のある緊急通報システム搭載車を米国でリコール 2021年02月16日

TeslaがModel 3/Yのソフトウェアアップデートで、Autopilot時のドライバー監視に車内カメラの使用を開始したそうだ(Electrekの記事、 The Vergeの記事、 CNBCの記事、 USA TODAYの記事)。

車内カメラによるドライバー監視機能が導入されたのはソフトウェアバージョン2021.4.15.11。リリースノートによれば、バックミラーの下のカメラを用いてAutopilot使用時にドライバーが十分に注意を払っていない状態を検出・警告するという。カメラのデータは共有を有効にしない限り、保存されたり外部に送信されたりすることはないとのこと。

他社の先進運転支援システムではカメラの映像を用いて運転席にドライバーが座っていることを確認する仕組みを備えるが、これまでAutopilotは同様の仕組みを備えておらず、Autopilotが有効な状態でドライバーが助手席や後部座席へ移動することも可能だった。ただし、Teslaは完全自動運転(FSD)ベータテストで十分な注意を払わないオーナーをベータプログラムから除外しており、イーロン・マスク氏はカメラで注意力低下を検出しているのかという質問に「Yes」と答えていた。

すべて読む | YROセクション | テクノロジー | YRO | 交通 | プライバシ |

関連ストーリー：
米国家運輸安全委員会、レーダー非搭載になった北米向けTesla Model 3/Yを安全性技術非搭載扱いにする 2021年05月29日
逮捕・勾留されてもTesla車の後部座席に座ってAutopilot走行を繰り返す米男性 2021年05月16日
2名が死亡したTesla Model Sの衝突現場付近ではAutopilotを有効にできなかったとの見解、米国家運輸安全委員会 2021年05月12日
Tesla曰く、自動運転レベル5実現に関するイーロン・マスク氏の見通しは技術的な現実に合わない 2021年05月09日
Tesla曰く、2名が死亡したModel Sの衝突事故では誰かが運転席に座っていた 2021年04月29日
Consumer Reports、Tesla車のAutopilotを有効にしたままドライバーが運転席から助手席へ移動できることを確認 2021年04月24日
米国家運輸安全委員会、Teslaの「完全自動運転」ベータテストを注視 2020年10月25日
テスラ車で運転手が寝たまま自動運転していたら時速150キロに加速、危険運転の罪を問われる 2020年09月25日
米国家運輸安全委員会曰く、Tesla Model Xによる2018年の死亡事故の原因はAutopilotに対する過信と注意散漫、道路安全設備の整備不良 2020年03月01日
米フロリダでTesla車が道路を横切る大型車に衝突する事故が発生、自動運転の安全性が疑われる 2019年03月06日

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。

すべて読む | YROセクション | 英国 | Google | セキュリティ | 法廷 | スラッシュバック | Safari | プライバシ |

関連ストーリー：
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
2011～2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 2017年12月04日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日
米 Digital Advertising Alliance、ブラウザの「追跡拒否機能」サポートへ 2012年02月27日
Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 2012年02月22日

headless 曰く、

サードパーティcookieを使用せずに関連性の高い広告を表示する仕組みとしてGoogleはFLoC(Federated Learning of Cohorts)を開発しているが、Chrome以外のメジャーブラウザーはChromiumベースのものを含めてサポートしない雰囲気になっている(The Vergeの記事、 Windows Centralの記事)。

FLoCは共通の興味を持つユーザーを大きなグループに分けることで関連性の高い広告を表示しつつ、個別のユーザーを群衆の中に隠すことができると説明されているが、ユーザーの合意なく追跡されることに違いはない。BraveとVivaldiはブログで明確にFLoC無効化を表明しており、Operaは現時点で有効化する計画はないとThe Vergeに回答している。

MicrosoftはThe Vergeに対し、明確にMicrosoft EdgeでFLoCを無効化するとは断言しなかったものの、全体的には反対の雰囲気だ。ただし、ブラウザーベースで個別のユーザー特定を必要としないものや、IDベースでユーザーの合意とファーストパーティの関係によるものなど、関連性の高い広告を表示する仕組みを探っていると述べ、Microsoftが提唱する、プライベートで匿名化されたリクエストにより広告の実効性を維持しつつ透明性を高める「PARKEET」を例に挙げている。

Mozillaは多数提案されているプライバシーを維持する広告表示の仕組みを検討しているが、現時点で実装予定のものはないと回答。The VergeではAppleに直接問い合わせていないとのことだが、WebKitエンジニアのJohn Wilander氏がBraveのFLoCに対する姿勢を紹介したツイートへの質問に答え、(Safariに)実装するとは言っていないと述べている。

すべて読む | YROセクション | Opera | Google | インターネット | IT | Chrome | Firefox | インターネットエクスプローラ | 広告 | Safari | プライバシ |

関連ストーリー：
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
Google、Web検索で見つかったサイト等の情報を検索画面で表示する機能のベータ版を提供開始 2021年02月07日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Google、Chrome拡張機能プラットフォームのManifest V3ロールアウト計画を公式に発表 2020年12月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Appleによる広告のためのユーザー追跡禁止方針、広告市場に大きく影響を与える 2019年12月14日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日

クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている（Bloomberg、ブルームバーグ、Engadget）。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している（Cloudflare、GIGAZINE）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー：
富士通、特有振動パターンから不審者を見つけ出す「不審者検知ソリューション」 2021年01月23日
英国でPlayStation 5のすり替え配送などが多発。Amazonが問題を認める 2020年12月01日
マスクするよう注意されたAmazon配達員、逆ギレして住民を殴った結果、解雇される 2020年09月01日
訃報: MSI CEOの江勝昌氏、台湾の本社ビル7階から墜落死 2020年07月09日
Airbnb、宿泊施設を提供する大家に対し宿泊者を監視する機器の導入を推奨 2020年02月26日
Apple Storeの顔認識技術が原因で誤認逮捕された、と主張する訴訟 2019年04月29日

Braveは3日、オープンサーチエンジン「Tailcat」の買収を発表した(Braveのブログ記事、 The Registerの記事、 SlashGearの記事、 Ghacksの記事)。

Tailcatは昨年サービスを終了したプライバシー重視のサーチエンジンCliqzの元開発者によるサーチエンジンで、Braveではこれを基礎として独自サーチエンジン「Brave Search」を開発する計画だ。Tailcatは完全に独立したインデックスを用い、ユーザーのプライバシーを損なうことなく高品質な検索結果を提供するという。これにより、Brave Searchはユーザーを追跡しないプライベートなサーチエンジンとなり、匿名化されたコミュニティからの貢献により改善を進めていく。広告の表示される無料版のWeb検索だけでなく、広告なしの有料版を提供する計画もあるそうだ。

なお、CliqzはMozillaが2017年にドイツでFirefoxユーザーの一部を対象に無断で拡張機能を同梱する実験を行って問題になったあのCliqzだ。

すべて読む | ITセクション | YRO | 広告 | インターネット | プライバシ |

関連ストーリー：
BraveのTorモード、.onion URLに対して通常のDNSクエリを実行するバグ 2021年02月23日
Brave 1.19、分散型WebプロトコルIPFSをネイティブサポート 2021年01月24日
Brave、プライバシーに配慮したニュースリーダーを新規タブページに追加 2020年12月13日
Brave、1年間で月間アクティブユーザー数が倍以上に増加 2020年11月07日
Brave、CNAMEクローキングブロック機能追加へ 2020年10月31日
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Braveブラウザー製品版、バージョン1.0に到達 2019年11月17日
ChromiumベースのMicrosoft Edgeベータ版、初回起動時に130回以上のネットワークリクエストを送る 2019年09月01日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
Mozilla、ドイツのユーザー向けに無許可でアクティビティ記録ツール入りのFirefoxを配布 2017年10月12日

headless 曰く、

WhatsAppが5月15日に発効する新プライバシーポリシーについて、承諾しないユーザーのアカウントの扱いを解説する新しいFAQページを公開している(The Vergeの記事、 The Guardianの記事、 Mashableの記事、 Softpediaの記事)。

WhatsAppはFacebookとのデータ共有を盛り込んだ新プライバシーポリシーを1月に公開してユーザーから強い反発を受けた。変更はビジネスアカウントを見つけやすくするためのものであり、メッセージや通話の内容にWhatsAppやFaecbookがアクセスすることはないと説明し、発効日も2月から5月に先送りしているが、SignalやTelegramに百万人単位でユーザーが流れているとも報じられている。

新しいFAQページでは新プライバシーポリシーを承諾しなくてもユーザーアカウントが削除されることはないと説明している。ただし、5月15日以降は機能が制限され、しばらくの間は通知や通話の着信を受けることが可能だが、メッセージの送受信はできなくなるという。5月15日以降も新プライバシーポリシーを承諾することは可能で、(そう書かれてはいないが)承諾した時点で利用を再開できるとみられる。

一方、チャット履歴のエクスポートやアカウント情報リポートのダウンロードは5月15日まで可能とされており、5月15日以降については説明がない。120日以上経過したらアカウントを削除するという非アクティブユーザーに対するポリシーが適用されるとの記述もみられるが、新プライバシーポリシーを承諾しないユーザーが5月15日以降非アクティブとみなされるのかどうか不明確だ。

スラドではユーザーが少ないように感じるWhatsAppだが、皆さんがよく使用するメッセンジャーアプリは何だろうか。

すべて読む | ITセクション | 通信 | YRO | Facebook | プライバシ |

関連ストーリー：
米連邦取引委員会や州司法長官らFacebookを独占禁止法違反で提訴。インスタ分離などを求める 2020年12月11日
Web版WhatsApp、レガシーEdgeのサポートを終了 2020年11月15日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
米議会で大手IT4社のCEOを招いた公聴会が開かれる。市場の独占について5時間以上の議論に 2020年08月01日
イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為 2020年05月26日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日

中国で盗聴器入りのモバイルバッテリーが話題になっていたようだ。中国の全国ネット「中国中央電視台（CCTV）」が報じたもので、このモバイルバッテリーは348元で販売されていたという。指定されたアプリから盗聴機能を起動することができ、またGPSによる位置情報や移動の軌跡、録音データの受信などができるという。また音量検知機能により、近くの会話を自動で録音を開始する設定もあるという（ZDNet Japan）。

ZDNet Japanに掲載された元記事によれば、もともとは中国で利用の多いシェアサイクル用の防犯ツールとして販売されていた部品を転用した製品のようだ。自転車の位置を把握できるだけでなく、バッテリーだけ盗まれた場合でも居場所をつかめるという使い方のために用意されたものであるらしい。なお、南京警察は製造販売していた深センの業者などの関係者28人を逮捕、端末2000個以上を押収したとしている。

すべて読む | YROセクション | 犯罪 | 通信 | YRO | 中国 | プライバシ |

関連ストーリー：
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
iOS版Facebookアプリ、密かにカメラへアクセスすることが判明 2019年11月16日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日
無線通信機能を備える「喋るおもちゃ」に脆弱性、盗聴や任意の言葉を遠隔から喋らせることが可能 2017年02月23日
テルミン氏が開発した、実際に冷戦時に使われた「バッテリーもケーブルも不要な盗聴器」 2016年11月12日
雑音で盗聴を防ぐ盗聴妨害器 2016年05月27日

headless 曰く、

Appleは年末からApp Storeでアプリのプライバシー情報の表示を開始しているが、情報は開発者の自己申告であり、中には不正確なものもあるようだ(The Washington Postの記事、 Mac Rumorsの記事、 9to5Macの記事)。

アプリのプライバシー情報は食品の栄養素ラベルのように一見して必要な情報が把握できるようにするもので、アプリが収集するデータの種類や扱いなどが「Appのプライバシー」セクションに記載される。これらの情報は新規アプリおよびアプリのアップデートをApp Storeに提出する際に必須となるが、Appleは「デベロッパには、回答を正確かつ最新の情報に保つ責任があります」とするのみで、掲載前に確認は行われないようだ。実際に「Appのプライバシー」セクションで「詳細を表示」をクリックすると「この情報はAppleによって検証されていません」という但し書きがみられる。

The Washington Postの記事では、テクノロジーコラムニストのGeoffrey Fowler氏が「データの収集なし」と表示されるアプリによるデータ収集が判明したと伝えている。その後Fowler氏は数十本のアプリを検証し、半数以上が「Appのプライバシー」の記載と異なるデータ収集を行うことを確認したという。Fowler氏はVPNアプリ「Privacy Pro」の追跡防止機能がブロックした通信のリストを証拠として示し、Apple製品のセールスポイントであるプライバシーはユーザーのためではなく、Appleが利益を得るためだと批判する。

AppleはFowler氏に対し、開発者が提供するプライバシー情報の正確性を順次確認しており、不正確な情報を修正するよう開発者に求め、修正されない場合は将来のアップデートの却下やApp Storeからの削除も行うなどと説明したという。Fowler氏からの連絡を受けて「Appのプライバシー」に表示する情報を修正したり、アプリ自体を修正したりする開発者もいるが、修正することなく公開を続けている開発者もいるとのことだ。

すべて読む | YROセクション | ビジネス | ソフトウェア | アップル | デベロッパー | iOS | プライバシ |

関連ストーリー：
米非営利組織、App StoreでのTelegramアプリ公開差止を求めてAppleを訴える 2021年01月23日
GoogleがiOSアプリを更新しないという噂が出回る。Google側は更新予定と発表 2021年01月08日
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
Facebook、iOS14から導入されるポリシー変更で広告収益は50％以上も減少すると予測 2020年08月28日
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日

Dellは5日に発表したビジネス向けモバイルPC Latitude 9420/9520のWebカメラには、使用状況に合わせて自動開閉するシャッター「SafeShutter」が搭載されるそうだ(プレスリリース、 The Vergeの記事、 SlashGearの記事、 動画)。

Webカメラ稼働中にはパイロットランプが点灯するが、過去にはパイロットランプを無効化してカメラを使用可能な脆弱性が発見されたこともあり、プライバシーの観点から物理的にふさぐ人も多い。ただし、後付けのカメラカバーはディスプレイを傷つける可能性もある。ビデオ会議でWebカメラを使用する頻度が高まっている昨今では繰り返し貼り直すことになる。

SafeShutterはビデオ会議アプリに連動して自動でシャッターが開閉するというもので、動画では赤い薄板がスライドしてレンズを覆う様子が確認できる。Webカメラ用の自動シャッターは業界初だという。このほかにもビデオ会議向けの機能強化が行われており、Intel Visual Sensing Technologyによる自動ウエイクアップ/ロックも利用できる。

プレスリリースに細かいスペックは記載されていないが、Wi-Fi 6Eまたは5G LTEが利用可能で、第11世代Intel Core i7プロセッサーが選択可能とのこと。14インチディスプレイのLatitude 9420は2021年春発売で1,949ドルから、15インチのLatitude 9520の価格は後日発表となっている。

すべて読む | モバイルセクション | YRO | ノートPC | プライバシ |

関連ストーリー：
Apple、Macノートブックにカメラカバーを装着したままディスプレイを閉じないよう求める 2020年07月13日
Dell、データセンターの消毒が必要な場合は専門業者に依頼することを推奨 2020年03月22日
FBIポートランド支局曰く、スマートTVのカメラを無効化したくてもオプションがない場合はテープでふさごう 2019年12月06日
FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 2016年09月18日
PCのWebカメラ、ふさいでる？ 2016年06月10日
使わないWebカメラはテープでふさげ 2013年06月26日

シンガポール政府は4日、COVID-19接触者追跡システムTraceTogetherのWebサイトでプライバシーに関するページを更新し、収集したデータを犯罪捜査に使用することがあるとの文言を追加した(TraceTogether Privacy Safeguards、 The Straits Timesの記事、 Ars Technicaの記事、 The Registerの記事)。

シンガポールではTraceTogetherアプリの提供を昨年3月に開始し、6月にはスマートフォンなしでも利用可能なトークンの無料配布を開始している。TraceTogetherはBluetooth近接通信を利用して接触者を検出し、匿名化されたデータをデバイス内に保存する。基本的にサーバーでは登録情報だけが保存され、COVID-19陽性が確認された場合のみデータのアップロードが求められる。これまでシンガポール政府はTraceTogetherのデータをCOVID-19接触者追跡にのみ使用し、犯罪捜査には使用しないと説明していた。

しかし、シンガポールの刑事手続法(CPC)では、警察が捜査や裁判で必要な文書や物品の提出を命じることが可能だと定められている。更新版のPrivacy SafeguardsではTraceTogetherのデータもCPCの例外ではないとし、シンガポール警察が犯罪捜査で必要だと判断した場合にはデータのアップロードを命じる権限がCPCにより与えられると明記されている。

すべて読む | YROセクション | 犯罪 | YRO | 医療 | プライバシ |

関連ストーリー：
矛盾表示が指摘されていた接触確認アプリCOCOA、当初のバグ誤認説を改め修正版を配布 2020年09月25日
FSFE、デンマーク政府にCOVID-19接触追跡アプリのオープンソース化を求める 2020年07月04日
COVID-19追跡アプリを開発する英国民保健サービスのテクノロージーユニット、別の追跡アプリ開発を妨害していたとの報道 2020年06月21日
新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 2020年06月19日
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日
AppleとGoogleが協力する新型コロナ接触追跡システム、旧型端末を使用する約20億人は利用できない 2020年04月24日
韓国が新型コロナ感染による隔離者に監視腕輪の着用を求める、性犯罪者向けの「足輪」を連想させることから批判も 2020年04月21日
AppleとGoogle、SARS-CoV-2 感染者との濃厚接触を検出する技術の開発で協力 2020年04月12日
シンガポールがBluetoothを使って接触者を追跡するアプリを開発、オープンソース化予定 2020年04月02日
日本でもコロナ対策で政府が携帯電話利用者の位置情報提出を求める動き 2020年03月31日
COVID-19対策のためのユーザー追跡やそれらの情報を使った分析に対し懸念の声 2020年03月27日
台湾、新型コロナで隔離措置を受けている人を監視するスマホアプリを導入 2020年03月25日
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
Googleが収集した位置情報データを警察が活用するようになった結果、単に犯罪現場近くを何度か通り過ぎただけの人が疑われる状況に 2020年03月11日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日

河野太郎規制改革大臣が12月末にシンガポールに出張、現地からZoomでオンライン記者会見を行ったところ、河野大臣にZoomの安全性に関して指摘するユーザーが複数出たようだ。過去のセキュリティ問題や先日の米司法省がZoom関係者を起訴したことなどを念頭に置いた指摘と思われるが、河野大臣はTwitterやブログでこうした意見に反論している（河野太郎公式Twitter、河野太郎公式サイト）。

反論の内容は明確で、Zoom経由で公開されている記者会見や公開フォーラムは一般公開されているものであり機密漏洩の心配はないというもの。国内の会議も同様であり、参加者はZoomの持つリスクを理解した上で参加しているとしている。また、

2カ国や3カ国の外相電話会談や防衛相電話会談などを行う場合も、その際のシステムの脆弱性に応じて話せる内容が変わってきます。 機微な内容を話す時は、それに応じたシステムを選びます。 必要なシステムが使えない時は、機微な話はできません。

として、機密性と利便性に応じてシステムを使い分けていると話している。

すべて読む | YROセクション | YRO | 政治 | 政府 | プライバシ |

関連ストーリー：
あなたをがっかりさせた2020年のテクノロジーは？ 2020年12月31日
天安門事件関連のビデオ会議を検閲・通信遮断か、米司法省がズーム元従業員を起訴 2020年12月24日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
Zoomがビューの並び順を任意に変えることのできる機能を搭載。日本の上座・下座文化に対応か 2020年09月05日
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 2020年04月07日

アプリによるユーザートラッキング許可を求めるiOS 14のプロンプトが一部で表示されるようになったと報告されている(Mac Rumorsの記事、 9to5Macの記事、 Softpediaの記事)。

iOS 14/iPadOS 14/tvOS 14ではプライバシーが強化され、アプリがユーザーをトラッキングしたりデバイスの広告識別子にアクセスしたりする場合にはAppTrackingTransparencyフレームワークを通じて許可を得る必要がある。もともとAppleは9月のiOS 14リリースと同時に義務付けを開始する計画だったが、トラッキングが広告の価値を高めると主張するFacebookが強く反発しており、義務付け開始は来年に先送りされている。

プロンプト表示が最初に報告されたのは先週リリースされたベータ版のiOS 14.4だが、iOS 14.2やiOS 14.3で表示されたとの報告も出ている。Mac Rumorによれば、iOS 14は最初のリリース時点でプロンプト表示機能を備えていたとのこと。Appleはプロンプト表示義務付け開始を来年の早い時期と説明しているが、具体的な時期については明らかにしていない。

iPhoneを使うスラドの皆さんは、このようなプロンプトを既に目撃しただろうか。

すべて読む | YROセクション | ソフトウェア | 広告 | アップル | デベロッパー | iOS | プライバシ |

関連ストーリー：
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
iOS 14で追加された既定の電子メールアプリやWebブラウザーの変更機能、デバイスを再起動すると設定がリセットされるバグ 2020年09月19日
Facebook、iOS14から導入されるポリシー変更で広告収益は50％以上も減少すると予測 2020年08月28日
フランス政府、Appleのプライバシーポリシーが新型コロナ対策アプリの開発の妨げになると主張 2020年04月27日

先日、閲覧情報を外部に送信しているとして話題となったポイ活Webブラウザ「Smooz」だが、提供元であるアスツールは23日、サービスの終了を発表した（Smooz BLOG）。

リリースによれば、

状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。

これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。

としている。プレミアム会員に関しては返金処理を、交換可能なSmoozポイントを持っている場合は、交換に応じるとしている。返金手段や交換方法については後日通知するとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー：
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日
政府が小中学生の成績や健康情報などをデータ化、マイナンバーで管理する方針 2020年12月17日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日

日経新聞の調査によると、国内の消費者向け主要サイトの約2割で閲覧者の追跡を行っていることが分かった。日本経済新聞と情報管理サービスのデータサインが主要100社のサイトを解析したところ、デバイスフィンガープリント（DF）の利用が22社で確認されたという（日経新聞）。

記事中の社名を抜き出してみると、味の素、エアビーアンドビー（Airbnb）、アパホテル、オリエンタルコーポレーション、キリンHD、第一生命保険、東京海上日動火災保険、パーク24※、JTB※、ZOZO、オリエンタルランド※、ぐるなび※、全日本空輸※、ニトリHD、日本航空※、ファーストリテイリング、三越伊勢丹HD、ユナイテッドアローズ、ヨドバシカメラ、楽天、リクルートライフスタイル、となっている。

なお※印の企業は企業自身もDFの利用を把握していなかったという。またオリエンタルコーポレーションおよびヨドバシからは回答がなかったとしている。日経新聞が各企業に「DFで集めたデータを趣味嗜好などの個人分析に使ったか」を問い合わせたところ、12社が「使っていない」と回答。残りは回答拒否や未回答だったとしている。

すべて読む | YROセクション | ビジネス | YRO | 広告 | プライバシ |

関連ストーリー：
Facebook、米主要紙にAppleによるターゲティング広告規制を批判する全面広告 2020年12月21日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日
GitHub、cookieバナーを廃止 2020年12月20日
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
試合中継の無断上映を検出する公式アプリを提供したスペインのプロサッカーリーグに25万ユーロの罰金 2019年06月15日
スペインのプロサッカーリーグ、公式Androidアプリに試合中継の無断上映を検出する機能を追加 2018年06月17日
オーストラリア、Facebookでのリベンジポルノ拡散を未然に防ぐ取り組み 2017年11月11日
購読メール一括解除サービス、ユーザーデータを企業に販売していたことが判明してユーザーの怒りを買う 2017年04月26日
Cookieを使わずにユーザーを追跡する仕組みが普及しつつある 2014年07月22日
EFF、ユーザーの追跡を遮断するブラウザ拡張機能「Privacy Badger」のアルファ版を公開 2014年05月06日

GitHubは17日、ユーザーにcookie保存の合意を求めるバナー表示の廃止を発表した(GitHub Blogの記事、 Neowinの記事、 The Vergeの記事、 The Registerの記事)。

EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。

cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。

すべて読む | YROセクション | YRO | 広告 | プライバシ |

関連ストーリー：
フランスのデータ保護当局、cookie保存などについてAmazonに3,500万ユーロ、Googleに1億ユーロの制裁金 2020年12月13日
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google ChromeのSameSite cookie強制、7月に再開へ 2020年05月31日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
公正取引委員会、Cookieや位置情報を使った個人情報収集を規制へ 2019年10月29日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 2019年08月15日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日

フランスのデータ保護当局CNIL(情報処理および自由に関する国家委員会)は10日、amazon.frとgoogle.frが広告用cookieに関連してフランスのデータ保護法82条に違反したとして、Amazon Europe Coreに3,500万ユーロ、Google LLCおよびGoogle Ireland Limitedに合計1億ユーロの制裁金を7日付で命じたことを発表した(CNILのニュースリリース: Amazon / Google、 The Vergeの記事)。

データ保護法違反はAmazonが2件、Googleが3件。1件目は両社共通で、ユーザーの同意を得るまで保存してはいけない広告用cookieをWebサイトにアクセスした時点で保存していたというもの。2件目は具体的な内容が異なるが、両社ともcookieに関する十分な情報をユーザーに知らせていなかったというものだ。Googleの3件目は広告のパーソナライズを無効化しても広告用cookieの1つが保存されていたというもので、Webサービス提供に必要不可欠でない広告を拒否できるメカニズムが部分的に破られたとのこと。Googleに対する制裁金の内訳は、Google LLCが6,000万ユーロ、Google Ireland Limitedが4,000万ユーロとなっている。

Amazon、Googleともに現在はユーザー同意前のcookie保存をやめているが、バナー表示される内容はフランスのユーザーに十分な情報を提供していないという。そのため、CNILでは両社に3か月以内の修正を命じており、修正が1日遅れるごとに10万ユーロの罰金を科すとのこと。

今回の決定に対しGoogleは、フランスの法制や当局の指導が変わりやすく、常に発展していることを考慮していないなどと反発しているそうだ。Amazonも消費者と当局の要求や期待の発展に合わせてプライバシー習慣を改良しており、運営する各国で適用される法制のすべてを順守しているなどと反発しているとのことだ。

すべて読む | YROセクション | Google | EU | 広告 | お金 | プライバシ |

関連ストーリー：
Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 2020年10月24日
Google Chrome、SameSite cookie強制を一時的に中止 2020年04月07日
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
リクナビ、学生がアクセスすると追跡用Cookieが埋め込まれるアンケート実施を企業に求める 2019年11月01日
EU司法裁判所、「忘れられる権利」による検索結果からの除外はEU加盟国の国別TLDバージョンのみが対象になるとの判決 2019年09月27日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
EUの一般データ保護規則（GDPR）、多くの企業で対応が不十分という指摘 2018年07月06日
EUの一般データ保護規則、今月下旬にスタート 2018年05月11日
オランダのデータ保護当局、Microsoftがオランダのデータ保護法に違反しているとの見解 2017年10月15日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 2016年07月24日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日