米国時間9月10日、トレンドマイクロのiOS/Mac向けの一部アプリがAppleのストアから削除された。10月31日時点でもアプリは削除されたままとなっている。トレンドマイクロが削除されたアプリでユーザー情報を不適切に収集していたとの疑惑が指摘され、ユーザーなどから同社に対するさまざまな疑問や不信感が突きつけられる状況が続いている。今回の事態について、代表取締役社長兼最高経営責任者(CEO)のEva Chen氏が取材に応じた。
アプリ削除問題に謝罪
事態の発端は、9月7日ごろにセキュリティ研究者や米セキュリティ企業のMalwarebytesが、一部のMac向けアプリでユーザーのブラウザ履歴の情報が不適切に収集され、中国に送信されていたとの調査結果を公表したことにさかのぼる。研究者らによって指摘されたアプリは、AppleのApp StoreやMac App Storeから削除され、この中にトレンドマイクロの製品も含まれていた。
トレンドマイクロ 代表取締役社長兼最高経営責任者のEva Chen氏
Appleは削除理由を一般に公表していないが、Chen氏によれば、事前にAppleからトレンドマイクロへの削除連絡はなかったという。トレンドマイクロは、研究者らが疑惑を指摘した直後から問題の把握と原因の特定、修正方法の検討といった作業に着手していたといい、その間にAppleがアプリを削除したとしている。
トレンドマイクロは9月12日以降、今回の事態について見解や説明を同社サイトで段階的に公表した。削除されたアプリのうち「Dr.Cleaner(国内名称はライトクリーナー LE)」「Dr.Cleaner Pro(同ライトクリーナー)」「Dr. Antivirus」「Dr.Unarchiver」「Dr.Battery」「Duplicate Finder」の6製品は、ユーザーがアプリをインストールする24時間前までのブラウザ履歴をインストール時に取得し、同社が利用していたAmazon Web Services(AWS)の米国内のサーバに送信していたと説明していた。
しかし、10月24日になってDr.Batteryでは、事前にユーザーへ使用許諾契約書(End User License Agreement:EULA)などでブラウザ履歴の情報収集に関する説明をしておらず、9月10日にこれを修正対応していたほか、日本では未提供としていたDr.BatteryとDuplicate Finderが9月8日時点で“誤って”日本向けに公開されていたと従前の説明内容を修正、謝罪した。
Chen氏は、研究者らの指摘やAppleによる削除措置を受けて、問題の原因がアプリにおける不適切な情報の収集やユーザーに対する説明と同意取得の不備にあったと説明。その対応では、当該アプリから情報取得に関するモジュールの削除と、AWS上に保管していた取得済みの該当データの全削除を行ったとする。またAppleのアプリ開発ポリシーに基づき、EULAにおいて取得対象データとその利用目的、方法に関する説明内容の明確化、ユーザーへの通知方法や情報収集に関する同意の取得(オプトイン)方法の修正を図ったとしている。
トレンドマイクロは10月5日、これらの対応を講じてApple側に当該アプリの提供再開に向けた審査を申請し、近日中の公開再開が期待されると説明していた。しかし、削除から2カ月近くが経過する現在(10月31日時点)も再開されていない。
この点についてChen氏は、「問題の解決に非常に長い時間を費やしている。一連の対応をめぐって当社側が感情的になってしまった感は否めず、関係者へのコミュニケーションが不十分になり、結果的に問題を大きくしてしまった」と述べ、同社側の対応に一定の非があったことを認めた。しかし一方で、「当社の考えるセキュリティに必要な情報やその利用目的、方法などについてはギャップが生じている」とも主張する。
トレンドマイクロに対する疑念
Chen氏の説明に基づけば、9月12日~10月24日に同社がウェブサイトで説明した対応や見解は十分なものではなく、結果的にユーザーらに多くの疑問と不信感を抱かせたことになる。同社に対するユーザー側の主な疑問は以下の点になるだろう。
- ブラウザ履歴以外のユーザー情報も取得していたのではないか
- セキュリティ目的以外のアプリ(Dr.CleanerやDr.Batteryなど)でも、なぜブラウザ履歴などの情報を収集していたのか
- アプリの削除を回避するためにEULAの内容やオプトインの仕組みなどを密かに修正したのではないか
- 問題性が疑われる情報取得に関するモジュールの利用を製品開発時に把握できなかったのか
- 削除アプリを含む製品の店頭販売を継続しているのは不適切ではないか
まず「ブラウザ履歴以外の情報」の収集について、同社は今回の事態に関する説明では「ブラウザ履歴」しか言及していないが、実際には以前からウェブサイトの別のページで収集対象としている情報の内容を記載しているという。例えば、ライトクリーナーの場合、ユーザーのシステム情報などを取得している。また、「セキュリティ目的以外のアプリ」での情報の収集・利用は、当該アプリで提供する機能の実行において必要となるためだという。
EULAやオプトインにおける修正は、5月に欧州で施行されたGDPR(一般データ保護規則)などへの対応や今回の研究者らの指摘を受けてのタイミングであったとし、Appleによるアプリの削除措置を回避する目的で実施したものではなかったと否定している。問題性が疑われる情報取得に関するモジュールの利用については、製品開発時の作業効率の観点から、その問題性に気が付かないまま採用してしまったとし、同社側のミスを認めている。
削除アプリを含む製品の店頭での販売継続は、現行製品の構成が複数OSでの利用に対応(WindowsやAndroid、iOS、macOS)したものであるため、販売を中止すれば、例えば、iOSやmacOS以外の環境での利用もできなくなるためだという。Chen氏によれば、削除されたアプリの既存ユーザーではライセンス期間の延長を実施しており、購入検討者には店頭での状況説明を行っている。同氏は、「ユーザーに多大な不利益を生じる事態を招いてしまい心からお詫びしたい。一刻も早く解決できるよう務めている」と話した。
主な疑問について同社は一定の説明や対応を講じているが、Chen氏はそれでもユーザー側の十分な理解を得るまでには至っていないとの認識を示しており、引き続きコミュニケーションの改善に努力したいと述べている。
プライバシー関連データに対する意識
Chen氏は、同社のこれまでの対応に不十分な点があったことを認めるが、ユーザーのプライバシーに関わるデータをめぐっては、同社の見解がまだ十分に受け入れられていないとも主張する。
同氏の説明するところでは、現在の企業ビジネスはユーザーのデータから得られる知見をいかに価値につなげるかがテーマであり、そうした試みが世界的に実施される一方、企業側の行き過ぎたデータ利用がユーザーのプライバシーリスクにつながりかねず、その対応としてGDPRをはじめとする規制やコンプライアンスが強化されている。
またセキュリティでも、巧妙かつ高度で複雑な脅威をとらえるためには、ユーザーの多様な情報が不可欠であり、同社に限らず多くのセキュリティ企業がユーザーのプライバシーにも関わるデータを含めて収集・分析して脅威の検知や防御に役立てている実態がある。さらには、セキュリティ企業同士や警察などの法執行機関の間でも日常的にセキュリティ関連情報を収集、共有しており、サイバー空間の安全の確保のために利用している。
Chen氏は、「例えば、あるウェブサイトを10分前に訪れたユーザーは安全でも10分後には攻撃者の踏み台にされ、その後に訪問したユーザーがマルウェアに感染するような変化が常に起きている。その変化をとらえるには多くの情報が必要であり、ある種のデータがあれば容易に脅威を特定できるというわけではない。一方、企業ビジネスではデータを適切に利用するために、目的を明確にしたり、目的外利用を厳格に規制したりする必要がある。セキュリティにおけるデータの利用はこの部分の線引きが非常に難しく、企業ビジネスと同じように収集対象データの種類や利用方法といったものを厳格に規定すれば、現在のサイバー空間の安全を一丸となって確保していくセキュリティ業界の仕組みや役割を後退させてしまう懸念がある」と主張する。
Appleは、10月からApp Storeで提供するアプリでの新しいプライバシーポリシー要件の適用を開発者に求めており、アプリが収集するデータの種類や収集方法、用途の明確化が必要となった。Chen氏の主張は、セキュリティを主目的とするアプリ、あるいはセキュリティ企業がセキュリティに関連して提供するアプリにおいて、Appleの求めるポリシーへの厳格な対応が難しいという課題であり、この点が、同社アプリの提供を再開する上でも懸案事項になっているようだ。
Chen氏は、Appleの求める要件がこれからのITにおいて必須であることを理解しており、トレンドマイクロとしてもAppleの方針に賛同し、そのプロセスに対応していく考えであると話す。ただ、懸案事項に関する結論はまだ出ておらず、Appleとトレンドマイクロとの間で事態の打開に向けた具体的な協議をこれから本格化させていくという。
今回の事態は、Chen氏が認め謝罪する通り、トレンドマイクロでの不十分な取り組みやコミュニケーションが、ユーザーに疑念や不信感を抱かせることとなった。ただ、昨今は企業がユーザーの個人情報やプライバシー関連のデータを不適切に収集したり、利用したりしているのではないかと指摘されるケースが国内外で相次ぐ。こうしたデータを取り扱う上での基本的なルールなどは、各種の規制やコンプライアンスを通じた整備が進むものの、サービス/アプリの実装や事業運営で不適切な状況を招く危険性をはらみ、より具体的で適切な方法などの確立が求められそうだ。また、Chen氏の主張のような業界レベルでの議論や取り組みも課題になると見られる。