AppleがApp Storeでアプリのプライバシー関連の情報表示を厳格化するにあたって、12月8日から新表示に対応する情報の提出を開発者に求めるようになった。それにFacebook傘下のWhatsAppが不満を爆発させている。

新表示はプライバシーラベルと呼ばれており、トラッキング、データ収集、データ利用(広告、分析、パーソナリゼーションなど)、ユーザーにリンクするデータやサービスといったプライバシー関連の情報を、食品に付けられている成分表示のように分かりやすく整理して示す。今年6月にWWDC 2020でプラバシーラベルを公表した際に、Appleは「Privacy. That’s iPhone. – Over Sharing」というビデオを公開した。

バスの中で面識のない他の乗客に向かって「僕は今日、離婚専門の弁護士のサイトを8つ訪れたんだ」と突然話しかけ始めたり、公園前で雑踏に向かって拡声器を使って自分のクレジットカード番号を読み上げる。そうした現実離れしたことがプライバシーに配慮しないアプリ利用では起こる可能性がある。健康と安全のために食品の成分を確認するように、プライバシーに関することも確認できるようにするべき、ということだ。

  • プライバシーに関する情報を分かりやすく伝えるプライバシーラベル、App Storeのアプリ情報ページに表示

    プライバシーに関する情報を分かりやすく伝えるプライバシーラベル、App Storeのアプリ情報ページに表示

FacebookとAppleはユーザーデータの扱いを巡って過去に幾度か衝突してきた。プライバシーラベルも衝突の火種になり得るが、人々のプライバシー保護意識の高まりに応じてFacebookやGoogleがプライバシー重視に舵を切るようになって久しく、WhatsAppの主張を読むと的を射ているところがある。同社はAxiosに対して、ユーザーにプライバシーに関して読みやすい情報を提供するのは素晴らしいスタートであると認めた上で2つの課題を指摘した。

  • ラベルはファーストパーティのアプリとサードパーティのアプリに等しく一貫したものであるべき
  • データ共有や利用の問題の可能性に偏らず、保護に関してもユーザーに分かりやすく伝えるべき。

前者については、App Storeでダウンロードする前にプライバシー関連情報をチェックされる機会が多いサードパーティのアプリに比べると、Appleの「メッセージ」などOSにプリインストールされているアプリについてプライバシー情報をユーザーが確認することが少なくなる。サードパーティは不平等な競争を強いられるとしている。ちなみにAppleは同社のアプリにもプライバシーラベルを適用し、App Storeで配信しているアプリに同じようにラベルを表示し、Webサイトでも確認できるようにするとのこと。

後者については、WhatsAppは2016年からエンドツーエンドの暗号化を導入しており、ユーザーの通話、メッセージ、写真やビデオ、音声ノート、正確な位置情報などを知ることはできない。プライバシーラベルでは、そうしたセンシティブなユーザーデータを保護する取り組みが目立たないとしている。例えば、コンタクト情報へのアクセスはWhatsAppでユーザーのコミュニケーションを便利にするためだけに使用し、外部の組織やサービスはもちろん、Facebookとも共有していない。ところが、ラベルが大まかであるため、情報を共有している他のアプリと同じように見なされるとしている。そこでWhatsAppは、App Storeのラベルに関して、WhatsAppのデータの扱いと保護を詳細に説明するサポートページを用意した。しかし、多くのユーザーはラベルのみで判断すると懸念を抱いている。

OCSP問題でAppleも同じ立場に

プライバシーと利便性にはトレードオフの関係がある。「Privacy. That’s iPhone. – Over Sharing」のような状況は論外だが、情報の共有はインターネットの長所であり、インターネット経済の成長を支える基盤の1つである。例えば、ソーシャルメディアを軸に欧米でブッククラブが再び盛り上がっている。それによって、大型書店チェーン隆盛の時代には見過ごされていた作品や小規模な出版社の活動が世界中の読者に広まっている。

11月にAppleがmacOS Big Surをリリースした時に、Macのアプリケーションが起動しない、または非常に時間がかかるトラブルが広い範囲で数時間にわたって発生した。Big Surのアップデートで負荷が集中し、アプリのデジタル証明書の有効性を問い合わせるOCSP (オンライン証明書状態プロトコル)サーバーに障害が起きたためだ。その際に、Mac内のアプリケーションをAppleに問い合わせないと使えないことに多くのユーザーが違和感を覚え、セキュリティ研究者Jeffrey Paul氏の「あなたのコンピュータはあなたのものではない」というブログ記事が話題になった。Paul氏は、OCSPの通信が第三者に読み取れる状態で行われていることも問題視している。

ユーザーが起動しようとするアプリをネット経由で問い合わせたら、アプリの識別子とIPアドレスを結びつけてアプリの利用動向が浮き彫りになる可能性がある。だが、それは可能性の話だ。デジタル証明書を迅速かつ適切にチェックできるOCSPはマルウェアや改ざんアプリ対策として有効であることがセキュリティ界隈において認められている。Appleは過去にマルウェアを承認していまったことがあり、ユーザーが現実に直面しているセキュリティ問題のソリューションとしてOCSPを採用している。

プライバシーとセキュリティもトレードオフの関係にあり、OCSP問題でプライバシー保護の視点から批判を浴びて困ったAppleは、WhatsAppの言い分に共感するところもあるはず。プライバシーラベルが最終的にどのような表示になり、いつから表示が始まるかは不明だが、人々のプライバシー保護意識を高め、かつ共有を活用する価値も広めるものになって欲しいと思う。