Googleの透明性報告を見ると各国政府がリクエストした個人情報の件数が分かる(2015年後半は記録的な多さ)

FILE - This Oct. 20, 2015, file photo, shows a sign outside Google headquarters in Mountain View, Calif. Google unveils its vision for phones, cars, virtual reality and more during its annual conference for software developers, beginning Wednesday, May 18, 2016. (AP Photo/Marcio Jose Sanchez, File)

Googleは2015年の後半に世界各国の法執行機関から、初めて40000件を超える記録破りのデータリクエストを受け取った。その年の前半には35365件、前年同期には30140件だった。Googleの最新の透明性報告(transparency report)が、そう報告している。

Googleの透明性報告は、それを見ると、各国の政府や州が私たちのデータを利用しアクセスしようとしている様子が分かるから、重要なリソースだ。また、常時大量のインターネットデータを保有しているGoogleが、どれだけそのリクエストに応じているかが分かる点でも重要だ。その詳細はかなり専門的だが、それは私たちの知る権利の端緒であり、Twitter, Facebook, Lineなど、ユーザーの機密データを扱うこともあるそのほかの消費者テク企業も、同様の報告を発表している。

“これらの報告を公開する義務を積極的に引き受けていることは、Googleの誇りである。それによって政府の国民監視法やその実践を全世界的に知ることができる”、とGoogleのブログ記事は述べている。

国別でデータリクエストがいちばん多いのはアメリカである。アメリカ政府は27157名のGoogleユーザーに関し12523件のデータをリクエストし、Googleはその79%に対して何らかのデータを提供している。リクエスト総数は2015年前半では12002件だった。

リクエスト数の次位から5位までは、

(以下、2015前半→後半)
・ドイツ(3903→7419)
・フランス(3489→4174)
・イギリス(3146→3497)
・インド(3087→3265)

下のスライドの3枚目の図が示すように、リクエスト総数に対するデータ提供件数の比率は、近年、下降気味である。

  1. screenshot-2016-07-19-19-33-11.png

  2. screenshot-2016-07-19-19-33-01.png

  3. screenshot-2016-07-19-19-32-53.png

国別の分類はここで見られる。報告にはHTTPSサイトの詳細と、安全なWeb閲覧やメール利用の詳報も記述されている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Uber、透明性レポートを公開。政府に1400万人分の情報を提出したことを暴露

shutterstock_300817475

【本稿のライターはKate Conger】
今日(米国時間4/12)Uberは、同社初の透明性レポートを公開し、主要IT企業に続き、政府と共有した同社の乗客およびドライバーに関する情報を明らかにした。

2015年7~12月に、Uberは約1400万人分のユーザー情報を、法執行および規制機関に提出したとレポートに書かれている。殆どのデータ ― 1200万人以上の乗客情報 ― は規制機関に渡っている。

Uberは今回の情報公開を規制当局への抗議に利用しており、Mediumへの投稿で、カリフォルニア公益事業委員会等の規制機関は必要をはるかに上回るデータを要求し、時には乗客のプライバシーを侵害する恐れがあったと訴えている。

「多くの場合彼らは、なぜ情報が必要か、それをどう利用するかの説明なしに、包括的な要求を送り付けてくる。この種の移動情報に個人情報は含まれていないものの、行動パターンを露呈させる可能性がある ― そしてそれは規制機関の業務に必要なレベルを超えている」とUberは記事に書いた。「われわれの透明性レポートによって、規制サービス事業者が当局に提出すべき情報の種類や量、およびどのような状況下で行うべきかに関する国民的議論が起きることを願っている」

Uberは、もし同社が乗車、下車位置のGPSデータ提供を要求されれば、乗客やドライバーのプライバシーに影響を与えると判断している。テキサス州オースチン等、一部の都市については、Uberは影響を受けた乗客またはドライバーの数をゼロと報告しているが、これは規制機関が具体的な位置情報を要求せず、乗客の集約データを受理したためだ。

Uberが乗客・ドライバーデータに関してカリフォルニア公益事業委員会(CPUC)と戦うのはこれが初めてではない。今年1月、CPUCはUberに対して利用可能車両数、郵便番号毎の乗車リクエスト数/受理数、およびドライバーの安全情報の報告義務を怠ったして、760万ドルの罰金を課した。Uberは罰金を支払ったが、上訴する予定だ。

法執行機関からの要求は、Uberが暴露したデータのごくわずかを占めるだけだ ― 州および国からの総数は469件。Uberによると、法執行機関に送ったデータの殆どが、クレジットカード盗難または詐欺事件の捜査目的だった。同社は透明性レポートに “warrant canary”[令状のカナリア:政府の召換に対して「無」を発表する戦術]を使用し、現時点で国家安全文書またはFISA裁判所命令を受け取っていないことを宣言した。

Uberは、規制および法執行機関からの要求に関する透明性レポートを、6ヵ月毎に公開していく計画であり、今後は米国以外からの情報もレポートに含めるよう拡大したいと広報担当者は話した。

[原文へ]

(翻訳:Nob Takahashi / facebook

Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

Appleは数ヶ月ごとにセキュリティー・スキャンダルに巻き込まれねばならないようだ。

Heartbleed脆弱性にはやられなかったものの、 今年2月には初歩的なプログラミング・ミスでSSL接続確認を無効にするgoto failバグが発覚した。昨年10月には 接続ポートを使ってiOSデバイスからデータが盗む方法がみつかった。ちょうど1年前にはセキュリティー専門家が AppleユーザーのIDにアクセスできる脆弱性を発見し、Appleに通報したにもかかわらず何の反応もなかったため、情報を公開して注意を促すという事件が起きた。

愚かなミスを繰り返す

そして今回のセレブ・ヌード流出事件だ。このスキャンダルはiCloudバックアップのセキュリティーをもっと高めてあれば防げたかもしれない。

どのケースでもAppleは脆弱性を修正し、サポート情報を発表している。しかし上記以外のケースも含めて、ほとんどあらゆるケースでAppleはできるかぎり情報を小出しにして、状況を不透明なままにしようと努力しているようにみえる。

この方針は改める必要があると思う。

Appleはユーザーのプライバシーには特に注意を払ってきた。たとえばAppleはiPadマガジンの購読者情報でさえ発行元と共有しようとしない。しかし、ことセキュリティー問題となると、このようなユーザー重視の姿勢が見えなくなる。Appleはプロダクトのあらゆる細部に神経を使うことで知られている。Appleはデザインについてはボタン一つにも異常なくらいこだわるのに、セキュリティーとなると愚かなミスを何度も何度も繰り返してきた。

透明性と対話の欠如

脆弱性を報告し、修正を助けようとした際のAppleの対応について私は多くのセキュリティー専門家から不満を聞いている。Apple側に透明性が不足しており、会話しようという意欲がないという。

「Appleには内部のセキュリティー専門家と外部の専門家とのコミュニケーションのチャンネルを開いてもらいたい。われわれ外部の専門家は、脆弱性に関してAppleに対策を促す唯一の道は情報を公開フォーラムに発表するしかないと感じている」とセキュリティー専門家の1人、Jonathan Zdiarskiは言う。 世界最大の企業の一つがこのような状態であってはならないだろう。”

最近ではAppleも外部からの脆弱性の指摘に積極的に反応する兆しをみせている。iPhoneのジェイルブレークを開発しているメンバーの1人がそもそもジェイルブレークを可能にしたバグを指摘したことに対してAppleは謝意を述べた。しかし多くのエンジニアやセキュリティー専門家がバグの発見に協力するようになるインセンティブをAppleは与えるべきだ。バグの発見に懸賞金をかけるなどもその方法一つだろう。.

同時に社内のセキュリティー対策も改善される必要がある。セレブ・ヌード事件の過程で知られるようになったiBruteスクリプトはFind my iPhoneログインの際にブルートフォース攻撃を許す脆弱性が存在することを利用したものだった。前述のSSLのgoto failバグも数ヶ月放置されていた。こうしたバグは厳重な内部監査が行われていれば、もっと早く修正できたはずだ。

なぜなのか?

Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。

その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。

しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。ことにスマートフォンが生活、ビジネスで中心的な役割を果たすようになり、そこに蓄積される情報の種類と量が巨大化している現在、セキュリティーはデバイスやサービスの最大のセールスポイントの一つとなってくる。業界のリーダーとしてAppleはセキュリティー問題に対する現在の態度を改めねばならない。透明性の高いオープンで率直なコミュニケーションを確立する必要がある。結局それがAppleのためにもユーザーのためにもベストの方向だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+