大気圏内所属「猫」
多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束
多数の iOS アプリがユーザーの許可なくアドレス帳にアクセスしデータをアップロードしていた問題について、アップルがソフトウェアアップデートによる改善を約束しました。問題の発端は一週間ほど前、ソフトウェア開発者の Arun Thampi 氏が日記アプリ Path の通信を調べていた際に、Path が明示的な許可を求めないまま、iPhone の連絡先データを丸ごとサーバにアップロードする動作を発見しBlogで公表したこと。Thampi 氏は HTTPプロキシを使いアプリの挙動を確認する方法も解説しており、読者や開発者が App Store のさまざまなアプリを検証したことから、同様の挙動をするアプリが多数見つかりました。単なる例外的なアプリの問題を超えて開発企業の倫理やプライバシー問題を巡る議論を呼び、またアップルの App Store 運営への批判が集まる事態となっています。アップルはこの問題について沈黙を保ってきましたが、Thampi 氏の公表から約一週間後の15日(米国時間)、リンク先 AllThingsD に対して問題を認める回答をしています。いわく、「ユーザーの連絡先データを許可なく収集または送信するアプリはアップルのガイドラインに違反しています」加えて、「ユーザーにさらに良いものにするため、将来のソフトウェアリリースでは、すでに位置情報サービスで実装しているように、アプリが連絡先データにアクセスする際にはユーザーからの明示的な許可を要求させるべく作業しています」(下に続きます)。 .iOSではそもそも連絡先や予定といったユーザーデータへのサードパーティーアクセスに対する明示的なパーミッション管理の仕組みがなく、プライバシー保護は文書の形のガイドラインと、「悪質なアプリはアップルが App Store の審査で落としてくれるに違いない」という期待を前提にしています。このため実際のアプリの挙動は開発者の良心あるいはプライバシー意識に依存しており、この1週間に名前が挙がったアプリにも、ちゃんとユーザーに対して「当社のサーバに送信します」と説明するもの、「友人にこのアプリを紹介しますか?」などと説明になっていない説明があるもの、あるいは使い始めた途端に無断で丸ごと連絡先をアップロードする最悪パターンまで、さまざまな種類がありました (分類とアプリ名はたとえば The Verge のこちらの記事が参考になります)。特にSNS系のアプリでは、「連絡先からフレンドを探します」といった説明を添えることで一応はガイドラインを守っている体裁がよくあります。しかし実際の挙動としては、たとえばメールアドレスだけを安全な形と経路で送信しマッチングした結果を返すだけなのか、氏名や電話番号などすべてのデータをまるごと送信して自社のサーバに保存しつづけるのかは、明示的な説明がないかぎりユーザーからは分かりません。たとえば Twitter は「友だちを見つける」ボタンの下に「アドレス帳から Twitter を利用している人を見つけましょう」と細字の説明をつけています。しかし実際にアドレス帳にアクセスしデータを送信する前にポップアップなどで確認することはなく、またアドレス帳に含まれる全員分のメールアドレスと電話番号を Twitter のサーバに送信し18か月にわたって保持することについては明示的な説明がありません。(ヘルプから辿れるプライバシーポリシーには、サービスへアクセスした際のIPアドレスや「デバイスとアプリケーションのID」、検索キーワードなどの「ログデータ」を自動記録し、18か月後までに消去するかアカウントを特定できない形にすると説明がある)。iOSには連絡先などの個人情報を守る実効性のある仕組みがなく、ガイドラインを守らせるはずの審査も機能しているとは限らない事実が改めて注目を集めることになりました。やり玉に挙がったアプリの開発元では実際にどの情報を取得しどのように扱っていたのか説明したり、明示的な許可を求めるように仕様を変更するといった動きが続いています。アップルは「将来のソフトウェアアップデートで」改善すると予告しているものの、具体的な提供時期について、あるいはインストールしただけで許可も説明もなく個人データをアップロードするような「ガイドライン無視」アプリについてどう対応するのかについてはコメントしていません。iOS は位置情報のプライバシー管理については行き届いたインターフェースを備えているだけに、モバイル業界全体の課題である個人情報の管理についても、ユーザーへの説明と同意が確保される仕組みを率先して導入してほしいものです。なおアップルがこの問題についてコメントしたのは、米下院エネルギー商業委員会の商業・製造業・貿易小委員会 Henry A. Waxman議員、G.K. Butterfield 議員からクック CEO宛てに、 iPhone アドレス帳のプライバシー問題について2月29日までに回答を求める書簡が送られた直後。29日までには広報コメント以上の詳しい情報が明らかになるはずです。
(via 多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束 - Engadget Japanese)

多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束

多数の iOS アプリがユーザーの許可なくアドレス帳にアクセスしデータをアップロードしていた問題について、アップルがソフトウェアアップデートによる改善を約束しました。問題の発端は一週間ほど前、ソフトウェア開発者の Arun Thampi 氏が日記アプリ Path の通信を調べていた際に、Path が明示的な許可を求めないまま、iPhone の連絡先データを丸ごとサーバにアップロードする動作を発見しBlogで公表したこと。

Thampi 氏は HTTPプロキシを使いアプリの挙動を確認する方法も解説しており、読者や開発者が App Store のさまざまなアプリを検証したことから、同様の挙動をするアプリが多数見つかりました。単なる例外的なアプリの問題を超えて開発企業の倫理やプライバシー問題を巡る議論を呼び、またアップルの App Store 運営への批判が集まる事態となっています。

アップルはこの問題について沈黙を保ってきましたが、Thampi 氏の公表から約一週間後の15日(米国時間)、リンク先 AllThingsD に対して問題を認める回答をしています。いわく、「ユーザーの連絡先データを許可なく収集または送信するアプリはアップルのガイドラインに違反しています」加えて、「ユーザーにさらに良いものにするため、将来のソフトウェアリリースでは、すでに位置情報サービスで実装しているように、アプリが連絡先データにアクセスする際にはユーザーからの明示的な許可を要求させるべく作業しています」(下に続きます)。 .

iOSではそもそも連絡先や予定といったユーザーデータへのサードパーティーアクセスに対する明示的なパーミッション管理の仕組みがなく、プライバシー保護は文書の形のガイドラインと、「悪質なアプリはアップルが App Store の審査で落としてくれるに違いない」という期待を前提にしています。

このため実際のアプリの挙動は開発者の良心あるいはプライバシー意識に依存しており、この1週間に名前が挙がったアプリにも、ちゃんとユーザーに対して「当社のサーバに送信します」と説明するもの、「友人にこのアプリを紹介しますか?」などと説明になっていない説明があるもの、あるいは使い始めた途端に無断で丸ごと連絡先をアップロードする最悪パターンまで、さまざまな種類がありました (分類とアプリ名はたとえば The Verge のこちらの記事が参考になります)。

特にSNS系のアプリでは、「連絡先からフレンドを探します」といった説明を添えることで一応はガイドラインを守っている体裁がよくあります。しかし実際の挙動としては、たとえばメールアドレスだけを安全な形と経路で送信しマッチングした結果を返すだけなのか、氏名や電話番号などすべてのデータをまるごと送信して自社のサーバに保存しつづけるのかは、明示的な説明がないかぎりユーザーからは分かりません。

たとえば Twitter は「友だちを見つける」ボタンの下に「アドレス帳から Twitter を利用している人を見つけましょう」と細字の説明をつけています。しかし実際にアドレス帳にアクセスしデータを送信する前にポップアップなどで確認することはなく、またアドレス帳に含まれる全員分のメールアドレスと電話番号を Twitter のサーバに送信し18か月にわたって保持することについては明示的な説明がありません。(ヘルプから辿れるプライバシーポリシーには、サービスへアクセスした際のIPアドレスや「デバイスとアプリケーションのID」、検索キーワードなどの「ログデータ」を自動記録し、18か月後までに消去するかアカウントを特定できない形にすると説明がある)。

iOSには連絡先などの個人情報を守る実効性のある仕組みがなく、ガイドラインを守らせるはずの審査も機能しているとは限らない事実が改めて注目を集めることになりました。やり玉に挙がったアプリの開発元では実際にどの情報を取得しどのように扱っていたのか説明したり、明示的な許可を求めるように仕様を変更するといった動きが続いています。

アップルは「将来のソフトウェアアップデートで」改善すると予告しているものの、具体的な提供時期について、あるいはインストールしただけで許可も説明もなく個人データをアップロードするような「ガイドライン無視」アプリについてどう対応するのかについてはコメントしていません。iOS は位置情報のプライバシー管理については行き届いたインターフェースを備えているだけに、モバイル業界全体の課題である個人情報の管理についても、ユーザーへの説明と同意が確保される仕組みを率先して導入してほしいものです。

なおアップルがこの問題についてコメントしたのは、米下院エネルギー商業委員会の商業・製造業・貿易小委員会 Henry A. Waxman議員、G.K. Butterfield 議員からクック CEO宛てに、 iPhone アドレス帳のプライバシー問題について2月29日までに回答を求める書簡が送られた直後。29日までには広報コメント以上の詳しい情報が明らかになるはずです。

(via 多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束 - Engadget Japanese)

  1. unknown999の投稿です