SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

Windows 10とプライバシー

この記事をシェア

Windows 7以上のユーザーならWindows 10に無償でアップグレードができる(2016年7月28日まで)。ユーザーとしてはお金をかけずに機能性の高いOSが入手できることは歓迎できる。だが一方で、その新機能によって個人情報への照会が数多く発生するため、プライバシー対策が十分なのか、世間では不安が広がり始めている。ESETの専門家がこの問題に深く切り込む。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

Windows 10とプライバシー

注 以下は、ESET上級研究員であるアリエ・ゴレツキー(Aryeh Goretsky)がWindows 10のプライバシー対策について検証した、Windows 10に関するホワイトペーパーの一部を抜粋したものである。

Windows 10とMicrosoft 10年計画

Microsoftは2015年7月29日にWindows 10をリリースした。しかも、Windows 7以上のバージョンを使用しているユーザーは、リリースして1年以内(2016 年 7 月 28 日まで)であれば無償でアップグレードできるという、これまでにない野心的な試みである。

これは、Windows XPとVista以降に現れた2つのバージョンであるWindows 7とWindows 8との間に見られたユーザーの受け止め方の激しい落差がきっかけとなっている。すなわち「Windows 8」(以下ではWindows 8、Windows 8.1およびWindows 8.1アップデートをカバーする包括的な用語として使用する)の導入はいまひとつ盛り上がらなかったのである。

ようやく2015年初めにWindows XPの利用者数を上回ったものの、引き続きWindows 7がデスクトップに君臨し続けているのが現状である。

そのためMicrosoftはWindows 10を投入することで、単にWindows 7からアップグレードするにふさわしい良質のバージョンを提供するだけでなく、Windows 8を受け入れていない人たちを振り向かせる必要もあったのである。

Windows 10はまた、デスクトップ・ユーザーにとっては、Windows版「SaaS」である「Windows as a Service」(WaaS)の最初の導入となる。つまりユーザーに対してOSを有償の商品として販売することをやめて、無償のサービスとしてユーザーに提供する、といった大きな転換がここには見られる。

ライセンス契約を基本としている法人の場合、最新のWindowsバージョンに自動的にアクセスできるのが一般的であるが、常にWindowsの1バージョンのライセンスを購入し、新しいOSが欲しければ別途費用をかけなければならなかった個人ユーザーにとっては、極めて大きな変化となる。

これまでならば、大半のユーザーは無償サポートが続く限り最初に入手したOSを大事に使い続けてきた。しかしWindows 10では、Microsoftは今後10年間、新たな機能やサービスなどを次々とリリースする計画になっている。すなわちWindows 10の「10」はこれからの「10」年を指すのである。

このことは、Windows 8のスタート画面ほどは画期的に見えないかもしれない。だが、実際のところMicrosoftがいかにWindowsを今後維持しようとしているかがうかがえる。Microsoftはこれまでとは大きく路線を変えたのである。

Microsoftは2018年までに10億台の機器でWindows 10が動作していることを目標としている。この目標の達成には、過去にこの10桁の数字に到達するために用いてきたのとは異なる戦略が必要なのだ。

Windows 10とユーザーのプライバシー

OSがOSとしての存在感をあまり出さずに、それでいてユーザーの望むような対応ができるものでありたい――MicrosoftはこれからのWindows体験の方向性についてそう述べている。少なくともWindows 10においては「シームレス」ということが喧伝されている。

他の企業であれば、これはあくまでもマーケティング上の売り文句としてそれほど深く考える必要はないし、ある意味ではそうすべき類いのものである。だがMicrosoftの場合、これを真のWindows体験としてユーザーに提供しようという意志が強く感じられる。言い換えれば、Windows 10 のアップグレードには、Microsoftが真のWindows体験とは何であると考えているかが、はっきりと表れているのである。

Windows 10において「シームレス」というのは、ユーザーが、スマートフォンやタブレット、PCなどの異なる機器の間を自在に移動できることである。単に指先の操作で情報を獲得できるようにするだけでなく、時と場所に応じて適切な方法でさまざまな機器にアクセスできることを意味するのである。

これは、過去数年にわたってスマートフォンを使用してきた人たちにとっては、決して目新しいことではない。だが、Windows 10は初めてこうした「パーソナル化」を行おうとしているのであり、その統合が、かつてスマートフォンの領分であったデスクトップOSを介して提供されるようになるのである。

こうした「シームレス」のコンピューターは、常に起動したまま、絶えず耳をそばだて、休むことなくユーザーの挙動を見ている。こうした世界においては、当然のことながらプライバシーにもこれまでとは異なる影響が及ぶはずである。

プライバシーへのこだわり

伝統的にMicrosoftのプライバシーポリシーは、ややしゃくし定規ではあったものの、基本的にはユーザーを尊重したものであった。ユーザーから集められた情報は、Microsoftの製品とサービスの向上目的の使用のためだけに収集されていたし、会社は個人を特定できる情報の収集を避けてきた。さらに言えば、収集した任意のデータが個人を特定するために使用されないよう常に匿名化するとともに暗号化などを施してきた。

Windows 10のインストール画面には「インストール中に簡易セットアップオプションを選択しない場合は、Windows 10はプライバシー関連の設定を細かく調整する機能を提供する」と書かれている。

Windows 10のインストール画面には「インストール中に簡易セットアップオプションを選択しない場合は、Windows 10はプライバシー関連の設定を細かく調整する機能を提供する」と書かれている。

Microsoftが製品を改善する目的で匿名の情報(テレメトリ)を収集することは特に新しいものではない。「Microsoft カスタマ エクスペリエンス向上プログラムのプライバシーに関する声明」(CEIP)は、2009年2月に立ち上げられたが、当時のWindows OSの最新バージョンはWindows Vistaだった。

このときでさえMicrosoftはプライバシーへの影響を考慮していたが、2015年になって新たに、Microsoftが顧客データをいかに保護しているかに関する追加情報を提供するために、よくある質問(FAQ)プライバシーに関する声明が公開された。もちろんCEIPはWindows 7Windows 8およびWindows 8.1のデスクトップバージョン、ならびにそれぞれに対応するWindows Serverから継続してきたものだ。すなわち、Windowsユーザーのコンピューターは過去6年間にわたってMicrosoftに匿名情報を提供してきたのである。

Microsoftは、ユーザーがWindows 10にアップグレードする重要な理由の一つとして音声対応パーソナルアシスタント「コルタナ」へのアクセスがあると考えている。この検索エージェントの音声認識機能は、ユーザーの興味に合わせた情報を提供するために電子メールや過去のアクセス履歴などを調べるものである(2015年11月現在日本語版は開発中)。

今のところコルタナはデスクトップ上では何の情報も提供していないものの、Windows Phone 8.1を実行しているスマートフォンにおいては、例えば航空会社がフライトの確認メールを送ってくるとスケジュールにその予定が記載されるようになっている。といってもこれはWindowsだけの機能ではない。Androidスマートフォンにおいては、電子メールに荷物の運送状が送られてくると、Googleが運送状況を更新してくれる。

これらの二つの例は、MicrosoftもGoogleも電子メールの内容を取得し、それをサービスに利用している、ということを示している。

これはプライバシーの侵害なのだろうか。……いや、そうとは思えない。機器を設定する際に、これらのサービスを有効にするかどうか尋ねられて、それに同意した結果だからである。

では、こうしたサービスは便利なのだろうか。……確かに、便利だと言える。特に、コピーして貼り付けなくてもフライトの予定がカレンダーに表示されるのは、大変ありがたいものだ。だが、利便性は常にセキュリティを犠牲にするものでもある。

こうしたサービスは余計なお世話、あるいは単になんとなく不気味ではないだろうか。……これは個人差があるかもしれず、安易に結論づけることができないが、個人やビジネスにおいてどういったプライバシーが必要とされるかによって変わってくるだろう。

例えば、個人が医者や弁護士との面談や、さらには不妊治療のためのクリニック訪問といった情報については、たとえ相手が人工知能であったとしても、外部の第三者に解析されたくないのではないだろうか。そうした状況は、各人さまざまに異なってくるとしても、間違いなくあるはずだ。

同様に、運輸業など政府から規制を受けるような産業におけるビジネス、あるいは単に合併や買収の関与やリストラの予定のある企業は、たとえ集合的な匿名化されたデータであっても、電子メール、カレンダーの予定や会議出席依頼の解析を望まないであろう。

どのようなソフトやサービスを使用していようとも、そのプライバシー設定とポリシーを確認することには意味があり、それはWindows 10でも例外ではない。Windows 7または8からWindows 10に移行するに当たっては、自分や家庭、そしてビジネスにどのような影響があるか、十分慎重に確認を行う必要があると考えられる。

国家機関との関係

暮らしの中で生まれるさまざまな情報にアクセスするということは、これまでAppleのiOSやGoogleのAndroidといった人気のスマートフォンのOSだけが可能だった。今ここにMicrosoftのWindows 10が加わろうとしているわけだが、Microsoftは過去数十年にわたってさまざまな、そして極めて膨大な法的問題を取り扱ってきたものの、振り返ってみれば、ユーザー個人が特定できるような情報(PII)を開示してしまうような漏えいはなかった。

他方、世界中の国家機関のことを考えてみよう。彼らは、ブロガーたちに政府ブログへの読者登録を要求することもあれば、インターネットアクセス(あるいはインターネットアクセスを可能にする機器の購入)に政府から発行されているIDを要求する場合もある。また、監視システムや国産のファイアウォールをインストールしたり、もちろん市民のコミュニケーションを大々的に監視したりすることもある。どう見てもMicrosoftが同様のことをするとは思えない。

確かに、こうした国家機関も、実際の通信内容を盗み見ているのではなく、あくまでもキャプチャされたメタデータを見ている。だが、たとえそうだとしても、そうした形でのメタデータの使用が正当化されると、極端な行動まで認められてしまうかもしれない。例えば、NSA長官を務めたこともある米軍人マイケル・ヘイデン氏は2014年に、「我々が行う殺人とは、メタデータに基づいたものだ」とさえ述べている。

これは、なぜMicrosoft国外に保管しているデータへのアクセスを求める米国の捜査令状に対して差し止めを要求したのか、そして、なぜ他国の政府もまたMicrosoftの考えに同調したのか(同じ政府が10年前にはMicrosoftを捜査していたことを思うと大きな変化である)を理解するのに役立つだろう。

インターネットの安全を守るためには何も犯罪者や無法国家だけが問題なのではない。暗号化などの技術に疎い国家機関に対してもなすべきことがある。

これまでMicrosoftはユーザーのプライバシーのために率先して闘ってきた。それはプライバシーがしっかりとしていなければ製品やサービスが利用されなくなる、という理由からだけではない。そうすることが正しいことであると理解していたからだ。それゆえ、Microsoftが闘い続けている限り、ユーザーは安全に製品を使用し続けることができるだろう。

Microsoftの議論は続く

Microsoftは「Microsoft on the Issues」というブログでプライバシー権について議論し続けている。その一部についてはこれまでの文中に随時リンクを貼った。しかし、それはほんの一部にすぎない。Microsoftは巨大企業であり全てのOSやサービスに多くのプライバシーポリシーがある。もし興味があれば、下記の幾つかを読んでいただきたい。

なお、もしもここで「マルウェア情報局」のプライバシーポリシーが気になった場合は、キヤノンITソリューションズの「個人情報の取り扱いについて」を、また、ESETのプライバシーポリシーについては、「Privacy」を、それぞれ参照されたい。キヤノンITソリューションズは日本国の個人情報の保護に関する法令、国が定める指針その他の規範を遵守するとともに、プライバシーマークを2003年に取得している。またESETはヨーロッパに本社を置き、顧客のプライバシーはEUの法律を遵守しており、それは世界でも最も強いものの一つである。

この記事をシェア

ビル管理システムのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!