AirTag を悪用したストーカーの被害にあった 2 人の米女性が Apple を提訴している (訴状: PDF、 Ars Technica の記事、 Neowin の記事、 Mac Rumors の記事)。

訴状によれば、Apple が AirTag を発表するとストーカーによる悪用を懸念する声がサイバーセキュリティーの専門家やドメスティックバイオレンス被害者の支援団体などから寄せられたが、Apple は AirTag が「ストーカープルーフ」だなどと称して製品を発売。しかし、Apple のストーカー対策は十分ではなく、AirTag を悪用した追跡の被害が相次いだ。Apple はさまざまな対策を発表したが、いずれも十分な効果を上げるには至っていない。米国では AirTag によるストーキングの末に被害者が殺害された事件が少なくとも 2 件発生しているという。

原告はいずれも AirTag を悪用した元パートナーからのストーキング被害にあっており、原告が AirTag を取り除いても次々と新しい AirTag で追跡されたという。Apple デバイスによる Find My ネットワークで追跡を行う AirTag は他社製品と比べて効果が高く、Apple のデバイスを所有していれば簡単に追跡を実行できる。また、AirTag は価格が安く、被害者が見つけて破棄しても簡単に代替品を投入できる。一方、Apple は悪用を防ぐ十分な仕組みを搭載していない。

そのため、原告は Apple が被害を防ぐための責任を果たしていないことや、欠陥のある製品の販売、不当利益、原告のプライバシーの侵害など、合計 12 件の不当行為で Apple を訴えている。訴訟はクラスアクション訴訟の形をとっており、ストーキング被害にあった全米の iOS ユーザーのクラスと Android ユーザーのクラス、ストーキングのリスクがある全米の iOS ユーザーのクラスと Android ユーザーのクラス、ストーキング被害にあった 36 州 の住民のサブクラスとニューヨーク州住民のサブクラスの認定を求めるほか、AirTag の販売差止や損害賠償などを求めている。

headless 曰く、

米サンフランシスコ市・郡監督理事会は6日、サンフランシスコ市警(SFPD)の装備に関する規定改正案について、最終承認の見送りを決めたそうだ (AP News の記事、 BBC News の記事、 The Verge の記事、 Neowin の記事)。

この改正案には先日話題になった容疑者殺害用ロボットの使用許可が含まれている。これにはEFFなどが強く反対しており、EFFは50の市民団体とともに反対の書状 を市長や理事に送っていた。理事会は 11 月 30 日にいったん承認したものの、6 日に行った最終承認すべきかどうかの採決 (PDF) では全会一致で最終承認を見送り、委員会での再検討を決めたとのことだ。

headless 曰く、

やや旧聞であるが、ドイツのデータ保護機関 (DSK) が Microsoft 365 は欧州の一般データ保護規則 (GDPR) に違反するとの報告書を 11 月 25 日に公開したところ、Microsoft が即日反論している (DSK の報告書概要: PDF、 Microsoft のニュース記事、 heise online の記事、 Ghacks の記事)。

報告書では Microsoft が 2022 年 9 月に更新したデータ保護追加契約(DPA)について、いくらかの改善はみられるものの Microsoft がどのような場面で個人データの処理者となるのか明確にされておらず、処理の目的も具体的でないと指摘。また、米国へデータを送信することなく Microsoft 365 を使用することはできず、Schrems II 判決により EU 域内で合法的に使用することが困難であるとし、Microsoft は 2022 年 12 月からEU域内の顧客のデータを原則として EU 域内で保存・処理するようになるが、実施状況は今後評価していく必要があるなどと結論付けている。なお、ジョー・バイデン米大統領は 10 月 7 日に米国と EU 間でのデータ保護の枠組みを作るよう命ずる大統領令に署名しているが、具体的に実施されていないことから報告書では考慮されていない。

一方、Microsoft は顧客データを顧客の所在地域内にとどめる Advanced Data Residencyやデジタル主権ソリューション Microsoft Cloud for Sovereignty、2022 年末までに EU 域内の顧客のデータをすべて EU 域内で保存・処理できるようにする EU Data Boundary を挙げ、Microsoft 365 が GDPR に準拠するだけでなくそれを上回る個人データ保護を提供していると反論する。Microsoft は米国と EU 間のデータ保護の枠組みを支持しており、米国では個人監視に関する法令が改正されて個人情報の保護も改善されている。そのため、2023 年には欧州委員会が GDPR に基づいて適切な判断を下すことを期待しているとのことだ。

TwitterがCOVID-19関連デマ情報規制を11月23日に撤廃したことが報じられている。この規制は2020年1月から続けてきたもので、2022年9月までの期間に1170万件のアカウントを停止し、4110件のアカウントを凍結し、7万2062件のコンテンツを削除してきた。公式なリリースは出していないが、英語版のCOVID-19関連のページで「Twitterは2022年11月23日から、COVID-19の誤解を招く情報の規定を適用していない」との記載があることから判明したという（ロイター、NHK、ITmedia）。

headless 曰く、

Samsung が「SELF REPAIR ASSISTANT」という商標を米国で出願していることが判明し、セルフサービス修理をアシストするアプリケーション提供を準備しているのではないかと注目されている (US Serial Number 97690023、 Sam Mobile の記事、 The Verge の記事、 Android Police の記事)。

この商標は青い背景に歯車とレンチをデザインしたもので、スマートウォッチやタブレット、携帯電話、ワイヤレスイヤフォンをセルフサービスにより設置・修理するための情報などを提供すると説明されている。

デジタルデバイスを修理に出すと多くの修理担当者が作業に必要ないファイルにアクセスするという調査結果も発表されており、故障しても修理に出したくないと考える人も多い。Samsung は修理に出したスマートフォンからの個人情報漏洩を防ぐ「修理モード」を韓国で発表する一方、米国で iFixit と提携して 8 月から Galaxy デバイスのセルフリペアプログラムを開始している。

覚醒剤取締法違反で逮捕された夫婦が、静岡新聞の記事に自宅の住所を地番まで掲載されたことにより、プライバシーを侵害されたと訴えた裁判で、最高裁判所は原告の上告を退けた。原告となったのは静岡県に住むブラジル国籍の夫婦。2018年に覚醒剤取締法違反などの疑いで逮捕されたが、夫婦はその後不起訴となっていた（NHK）。

1審では「地番まで掲載する必要性が高いとは言い難い」としてプライバシーの侵害を認めたが、2審は「報道される必要性が高く、表現の自由の保障が及ぶ」として1審とは逆に訴えを退けた。最高裁判所はプライバシーの侵害にはあたらないとする2審の判決を確定させたとしている。

WhatsApp ユーザーのものとされる世界 84 か国、計 4 億 8,700 万件の電話番号データが売りに出されているそうだ (Cybernews の記事、 Neowin の記事)。

電話番号データの販売情報は、ある人物が 11 月 16 日によく知られたハッキングコミュニティに投稿したものだという。件数の最も多いのはエジプト (約 4,482 万件) で、イタリア (約 3,568 万件) と米国 (約 3,232 万件) が続く。数は少ないものの日本の電話番号も約 43 万件含まれている。

この人物は Cybernews に対し、米国のデータセットが 7,000 ドル、英国 (約 1,152 万件) が 2,500 ドル、ドイツ (約 605 万件) が 2,000 ドルだと説明したそうだ。Cybernews は英国 1,097 件分、米国 817 件分のサンプル提供を受け、確かに WhatsApp ユーザーのものであることを確認したとのこと。販売者は入手法について説明しなかったが、Cybernews はスクレイピングによるものだと考えているようだ。

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。

研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている

実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。

このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。

こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。

このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

headless 曰く、

フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。

この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。

国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。

ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。

米連邦請求裁判所は 18 日、ドイツ・Bitmanagement Software が海軍による大量のソフトウェア不正コピーを訴えた裁判で、賠償金 154,400 ドルの支払いを海軍側に命じた (裁判所文書: PDF、 The Register の記事)。

Bitmanagement は 3D 地理データを視覚化する同社のソフトウェア「BS Contact Geo」を海軍が 38 台分のライセンスで数十万台の PC にインストールし、著作権が侵害されたと主張して 2016 年に海軍を提訴した。Bitmanagement 側は海軍が不正コピーを開始した当時のシングルライセンス価格を 800 ユーロ(当時のレートで約 1,067 ドル 76 セント)、少なくとも 558,466 台にインストールされていたとして、損害額を少なくとも 596,308,103 ドルと主張。一方、海軍側はライセンス数が同時使用数であり、著作権は侵害していないと反論していた。

連邦請求裁判所は 2019 年に海軍側の主張を認めて訴えを棄却したが、2021 年に二審の連邦巡回区控訴裁判所は不正使用を認めて一審判決を破棄。連邦請求裁判所に差し戻して損害額の算定を命じていた。

今回、連邦請求裁判所では米海軍の BS Contact Geo ユニークユーザー数が 635 人だったと判断。購入済みの 38 ライセンスを差し引いて 597 人をライセンスのないユニークユーザー数、被告側証人の証言から 1 ライセンス当たり 200 ドルの支払いが必要であるとして、合計 119,400 ドルが適切なユニークユーザーライセンスの代金であると算定した。さらに、海軍は同時使用ライセンス 100 本分を 1 ライセンス当たり 350 ドルで購入することに合意していたことから、35,000 ドルを加えた 154,400 ドルを損害賠償額と算定している。

Apple が iOS デバイスから収集する解析データに「dsId」という識別子が含まれると Mysk が報告している (9to5Mac の記事、 The Verge の記事、 Mac Rumors の記事、 Mysk のツイート)。

Mysk は iOS の App Store アプリが個人を特定可能な情報を含めてアプリ内のユーザーアクティビティを Apple に送信していると報告しており、米国ではこれを受けたクラスアクション訴訟も提起されている。

Apple は iOS デバイス解析のサポート記事で収集された情報によって個人が特定されることはないと説明し、同じ iCloud アカウントを使用する複数のデバイスで解析情報の送信に同意するとデバイス間で一部の使用データを関連付けることもあるが、個人を特定しない形式で行われるとも説明している。

しかし、Mysk によれば dsId は「Directory Services Identifier」を意味し、iCloud アカウントを識別可能なユニーク ID だという。実際に iCloud の設定データに「dsPrsID」として同じ値が含まれるとのこと。Mysk はユーザーの設定にかかわらず送信される解析データの量が変わらないことも確認しており、App Store と プライバシーに関するサポート記事にも収集自体の無効化ができるとは書かれていない。そのため、Apple はユーザーに直接結びつけられた詳細な解析データを App Store から常に収集することになる。

知っている方も多いと思うが、日本国内では、iPhoneの商標をめぐってインターフォン機器販売のアイホン社とAppleが争っていた過去がある。現在、日本国内ではiPhoneの商標を使用するため、Appleが一定のライセンス使用料を支払いしている。この使用料の金額に関しては公開されていないが、読売新聞の記事によると、アイホン社の連結損益計算書には1.5億円程度を受取ロイヤリティーとして計上されていることから、アップルがこの額を使用の対価として支払っているとみられるとしている。同様の件としては独アディダスの名作スニーカー「スーパースター」があるという。こちらに関しては靴製造のムーンスターが類似した「SUPER STAR」の商標権を国内で保有しているという（読売新聞）。

あるAnonymous Coward 曰く、

'AirPort' も使用料貰ってた方が良かった…のか？

Meta がユーザーの政治・宗教観など一部のデータについて、12 月 1 日以降 Facebook プロフィールから削除すると該当項目を入力済みのユーザーに通知しているそうだ (BetaNews の記事、 Neowin の記事、 TechCrunch の記事、 通知を受け取った Matt Navarra 氏のツイート)。

Meta によれば、Facebook をより使いやすくするために複数のプロフィール項目を削除するのだという。削除される項目は興味・宗教観・政治観・住所の 4 つ。これらの項目は Facebook プロフィールの「基本データ → 連絡先と基本データ」に含まれるようだが、未入力の場合は項目が表示されず、新たに追加することもできない。

Meta では 1 年前に特定の広告ターゲティングオプションを削除すると発表しており、政治・宗教観も対象に含まれていた。

米国でGoogleの位置情報の不適切な追跡や収集を巡っておこなわれていた裁判で、米オレゴン州の司法当局は14日、同社が米40州に計3億9150万ドル（約550億円）を支払うことで和解が成立したと発表した。同社に対するプライバシーに関連する制裁としては過去最大であるようだ（時事ドットコム、ITmedia、日経新聞、ロイター）。

Google側は「この調査は数年前に更新済みの旧版の製品ポリシーに基づいたものではあるが、われわれが近年実施してきた改善に沿って解決した」と説明、今回の和解を受けて、今後数か月で位置データに関する透明性を提供するためのアップデートを行うとしている。位置情報をより容易に削除できるようにするといった変更がおこなわれる模様。

ピクシブが改定予定の利用規約がネット上で話題となっているようだ。同社は15日、運営している「BOOTH」「pixivFANBOX」「pixivリクエスト」といった決済をともなうサービスに関して、利用規約の改定を12月15日に実施すると発表した（pixivからのお知らせ、ITmedia、Togetter）。

同社によると、重要な変更となるため事前に方針を説明したとしている。国際的なクレジットカード会社の規約では、下記の項目を含むコンテンツや商品の取引が禁止されているとし、下記の項目を告知内に記載している。

• 児童ポルノまたは児童虐待
• 近親相姦
• 獣姦
• レイプ (同意の無い性的行為)
• 人または体の非合法的な切断

など公序良俗に反する行為

12月15日に改定予定の新しい規約ではこれに合わせた変更がおこなわれるようだ。同日以降に禁止されている商品を運営が発見した場合、商品の非公開化をおこなうとしている。ネット上では実質的にクレカ会社の表現規制圧力に屈したとする批判が強まっている模様。