マイクロソフトは、Office アプリを通じて個人データを「大規模かつ秘密裏に」収集し、欧州のプライバシー規則に違反した。
これは、オランダ政府の委託を受けて今月発表された報告書[PDF]によるもので、オランダの職員30万人の情報がMicrosoftのOffice ProPlusスイートによってどのように処理されているかが調査されています。このソフトウェアはPCにインストールされ、Office 365サーバーに接続します。
報告書の著者らは、Windowsの巨人がOfficeアプリケーションからテレメトリやその他のコンテンツを収集していたことを発見した。これにはメールの件名や翻訳機能やスペルチェッカーが使用された文章などが含まれる。そして、そのデータを米国のシステムに秘密裏に保存していた。これは絶対にあってはならないことだ。
これらの行為は欧州の新しいGDPRプライバシー保護規定に違反するものであり、マイクロソフトは数千万ドル規模の罰金を科される可能性があると主張されています。オランダ当局はマイクロソフトと協力して状況の改善に取り組んでおり、罰金を脅しとしてその実現を促しています。
GDPRマゲドン:もう終わったと思っている人もいるかもしれないが、実は始まったばかりだ。
続きを読む
この調査は、マイクロソフトがユーザーに関してどのような情報を収集しているかを公表しておらず、また、Office ソフトウェアがどの程度適切に機能しているかを監視し、ソフトウェアの問題を特定する方法として同社に送信される診断データおよびテレメトリ データをオフにするオプションを提供していないという事実から始まった。
他の企業は通常、ソフトウェアの機能に関するデータを送信するかどうかを決定するオプションをユーザーに与えています。
研究者らの調査によると、Microsoftが収集するデータの多くは診断情報であり、Office文書をEU内のサーバーに保存することでシステムをGDPRに準拠させようとしているようだ。しかし、個人情報を含むその他のデータも収集しており、その一部は依然として米国のサーバーに保存されていた。
「マイクロソフトは、Word、Excel、PowerPoint、Outlookの個人使用に関するデータを体系的に大規模に収集しています。しかも、密かに、ユーザーに通知することなく」と、プライバシー・カンパニーが報告書を要約したブログ記事で述べられています。プライバシー・カンパニーは、オランダ政府から公共部門におけるOfficeの使用状況を調査するために委託を受けていました。
「データ ストリームはエンコードされているため、Microsoft では、データの量に関する選択肢や、収集をオフにする可能性、収集されるデータを確認する機能などは一切提供していません。」
一例を挙げると、バックスペース キーを何回も続けて使用した場合 (特定の単語のスペルがわからないことを示します)、またはシステムを使用して単語を検索または翻訳した場合、Microsoft はそのイベントの前後の文を保存します。
なぜ保管するのですか?
報告書の研究者たちは、システムを機能させるためにユーザーがIPアドレスとメールヘッダーをマイクロソフトに提供することは避けられないと指摘する一方で、同社がそれらの情報を保存する必要はないと述べている。「例えばセキュリティ上の理由など、保存が厳密に必要な場合を除き、マイクロソフトはこれらの一時的な機能データを保存すべきではない」と報告書は主張している。
報告書によると、マイクロソフトは約2万5000種類の「イベント」を追跡しており、20~30人のエンジニアからなるチームでデータを分析している。これらの技術者は、記録する新しいイベントを追加することもできる。
こうしたすべての結果、オランダのデータ保護当局は、マイクロソフトが「透明性と目的の制限の欠如、そして処理の法的根拠の欠如」を含む「多くの点で」GDPRに違反していると結論付けました。
シアトルを拠点とする同社はGDPRに基づき巨額の罰金を科される可能性があり、オランダ当局によると、規制当局が「すべての違反をなくす」と満足する「改善計画」を同社に提出したという。
米国でGDPR?「1年前は絶対に無理だった…今はもっと多くの人が受け入れている」下院議員、EUのような法律が検討される可能性
続きを読む
規制当局は、マイクロソフトが「これらの変更を2019年4月に検証のために提出することを約束している」と指摘した。同社はまた、Officeの「ゼロエミッション」版を提供しており、研究者らはシステム管理者に対し、これらの新しい設定を適用することを推奨している。さらに、マイクロソフトの「接続サービス」の使用を禁止し、ユーザーがOfficeの「改善に役立てる」ためにデータを送信するオプションを削除することも提案している。
また、Office 365のWeb版やSharePoint Onelineの使用は避けることを推奨しています。さらに、VIPユーザーのActive Directoryアカウントを定期的に削除し、新しいアカウントを作成することで、それらのアカウントに関連付けられた診断データが最終的に削除されるようにすることを推奨しています。
そして、レドモンドの幹部を激怒させるであろうアドバイスの一つとして、研究者らはシステム管理者に対し、「代替ソフトウェアを使った試験運用を検討する」ことを推奨している。これは「オープンスタンダードとオープンソースソフトウェアを推進するというオランダ政府の方針に沿うもの」となるだろう。
オランダのプライバシー監視機関は、状況を注視していると警告し、「進展が不十分と判断された場合、または提示された改善が不十分と判断された場合、SLM Microsoft Rijkは立場を再考し、データ保護当局に事前協議の実施と強制措置の導入を求める可能性があります」と警告した。つまり、巨額の罰金が科される可能性があるということだ。
この問題は、Office 2016 および Office 365 の ProPlus サブスクリプションおよび Office 365 のオンライン バージョンをご利用のユーザーに影響します。
マイクロソフトの広報担当者は声明で次のように語った。「当社は顧客のプライバシー保護に尽力しており、顧客が自らデータを管理できるようにし、Office ProPlusやその他のマイクロソフト製品とサービスがGDPRやその他の適用法に準拠していることを保証しています。」
「オランダ法務省とOffice ProPlusの診断データ処理方法について話し合う機会をいただき感謝しており、懸念事項がうまく解決されることを期待しています。」®
