2014年3月、「Replicant」と呼ぶオープンソースOSの開発者が韓国サムスン電子のスマートフォン「Galaxy」にバックドアが存在しているのを発見したことを明らかにした。今回は、この問題をきっかけに、個人情報を扱う製品の説明責任について考えてみたい。

メーカーが勝手にファイルの読み書きや削除が可能に

 この問題は、「Replicant developers find and close Samsung Galaxy backdoor」という記事で明らかになった。

 記事を要約すると、Galaxyを動かしているOS「Android」自体に改造や機能追加がなされていたわけではなく、Galaxyの心臓部にあたるアプリケーションプロセッサ内で、外部からの指令によりスマートフォン内ファイルの読み書きと削除ができる機能が組み込まれていたとのことである。ただし私自身はこの記事にあるバックドアの仕組みを直接検証したわけではない。

 このバックドアについてうがった見方をすれば、メーカーが利用者に何も言わずに勝手に裏口を用意していると受け取れる。しかし一般的には、システムソフト(OS)とは無関係にシステムの更新などが可能になる機能をチップが装備し、システムソフトがクラッシュするほどの重大な障害が発生しても対応できるよう基盤を整備していたという見方も一方ではできる。

 この問題について、サムスンはセキュリティ上のリスクはないと釈明したようだが、意図的か、そうでないかは別として、端末内の情報に第三者がアクセスできる仕組みがあるとすれば、理由のいかんに問わず、メーカーはより明確な説明責任を果たさなくてはならない。

 ただ私は、多くの機器がつながって重要な仕事を遂行するIoT(Internet of Things:モノのインターネット)の時代では、こうした機能は必要だと考える。ここで問題になるポイントは、その利用目的と説明責任、悪用回避(万全の管理)そして監査報告である。