今回はまず、セキュリティ関連の興味深い調査についてのブログを紹介する。一つめは米シマンテックが「The Symantec Smartphone Honey Stick Project」というプロジェクトを立ち上げて実施したスマートフォン紛失によるリスクの調査だ。

 同プロジェクトでは、50台のスマートフォンにダミーの企業および個人データを搭載して故意に「紛失」した。ニューヨークシティー、ワシントンD.C.、ロサンジェルス、サンフランシスコ、そしてカナダのオタワに配置し、これらスマートフォンを見つけた人がどのような行動を取るか遠隔監視した。置いた場所は、エレベーターやショッピングモール、フードコート、駅や停留所など、人通りの多いところを選んだ。

 残念なことに、見つけた人のうち持ち主に返そうとした人は半数だけだった。「半数だけ」ではなく「半分も」と考えるべきだという人もいるかもしれないが、返そうとした人でさえスマートフォンのデータを見ようとしていた。結果的に、紛失した50台を見つけた人の96%がスマートフォンのデータにアクセスした。

 初めはスマートフォンの所有者を確認するためだったかもしれないが、発見者は所有者の名前以外にも、よく言えば「好奇心」を示していることが分かった。発見者の6割はソーシャルメディアの情報や電子メールを見ようとし、8割は「給与」「人事」など明らかに企業情報と分かるファイルなどにアクセスしようとした。さらに半数は、企業ネットワークにアクセス可能と思われる「Remote Admin」という名前のアプリケーションの稼働を試みている。

 企業で重要情報のセキュリティに関わる人だけでなく、一般ユーザーにとっても衝撃的なことが調査から判明した。プライベートな写真やソーシャルメディアのアカウント、電子メールなどのほか、発見者のほぼ半数が所有者の銀行口座にアクセスしようとした。

 シマンテックはこの結果を受けて、誰でも目の前に興味をそそるものがあればつい見たくなるのは当然で、要は所有者がモバイルデバイスを確実に保護すべきだと指摘する。そのうえで、実験に使ったスマートフォンの場合、パスワード保護を設定すること、紛失したスマートフォン内の情報をリモートで消去するツールを用意することの二つの対策を施していればすべての個人、企業データの保護が可能だとしている。紛失デバイスの位置を特定できるソフトウエアをインストールしておくこと、スクリーンロックを有効にして強力なパスワードと組み合わせることなども同社は勧めている。

 また企業に対しては、従業員が仕事にモバイルデバイスを用いる際のセキュリティポリシーを定めるほか、従業員を啓発すること、企業ネットワークにアクセスするモバイルデバイスを把握しておくこと、モバイルデバイスを紛失した際の正式な手続きを決めておくことなどを推奨している。

スマートフォンのユーザー情報がはるかな国のサーバーへ

 「モバイルアプリケーションの情報転送に関する調査」という調査もある。英紙「Sunday Times」に報告が掲載された(これを英ソフォスがブログで紹介)。

 「In a flash your details are on a server in Israel(個人情報がまたたく間にイスラエルのサーバーに)」と題された同レポートでは、機能上必要としている以上の情報を探ろうとしていると見られる70種類の初歩的なアプリケーションを調べた。その結果、70種類のうち電話番号を転送していたアプリケーションは21種類に及び、電子メールアドレスは6種類、GPS座標は6種類あった。さらに半数以上が端末のID番号を転送していた。

 データ収集の許可については、プライバシーポリシーのどこかに記載されているかもしれないが、ほとんどのユーザーは一方的で長ったらしく分かりにくい約定を読まない。さらに心配なことに、調査対象になったアプリケーションの利用規約では、データの送り先を明らかにしていない。

 Sunday Timesによれば、個人情報は欧州連合(EU)のデータ保護関連の法規が及ぶ範囲から出て、中国、インド、イスラエル、米国の企業やサーバーに送られている。例えば子犬の壁紙アプリケーションを含む15種類のアプリケーションは、ロサンジェルスにあるインターネット広告事業者に電話番号を送っていた。また1種類は電子メールアドレスと電話番号をインドのデリーのサーバーに送信した。

 欧州のデータ保護指令(DPD)第25条では、データが欧州経済領域を超えて「第三国」に送信される場合、第三国がDPDと同水準のデータ保護措置を導入していることを求めている。DPD相当の基準を満たしている国は、EUとのデータのやりとりが認められる。

 アプリケーションがデータを送信していた4カ国について見ると、米国はEUと個人情報保護を目的としたセーフハーバー合意(Safe Harbor Agreement)を結んでおり、イスラエルはDPD水準であることが認められている。中国とインドはこうした承認は受けていない。

 商業的な現実を考えると、アプリケーション開発者は作成したアプリケーションから収益を得なければならないが、漠然と役に立つと思われるすべてのデータを収集して転送するビジネスモデルは、ユーザーの観点から持続可能とは思えない。ソフォスは、アプリケーション開発者が持続可能なビジネスモデルを確立しつつ、消費者を不当なデータ収集から保護するには、法規制ではないアプローチが有効だと考えている。まずはデータ収集を最小限にとどめることを一層厳守し、プライバシーポリシーをより明確にすることが第一歩になる。