オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >

身の周りのおもしろおかしい事を探す日々。ITを中心に。

百度(バイドゥ)のIMEによる不正な情報収集疑惑について

»

百度(バイドゥ)のIMEがいわゆるKeyloggerと同様の動作をしていたのではないか?という疑惑がニュースとなっています。これについて公式な報道発表がありました。リンクはこちらです。

『Baidu(バイドゥ)ニュース - Baidu.jp に関するニュース』
http://www.baidu.jp/info/press/jp/131226.html

誰もが気になる点として以下の引用部分があります。(赤字は筆者)

ユーザーが入力した情報については、原則として「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に沿って取り扱われます。ユーザーの入力情報を弊社サーバーに送る場合は、ログ情報の送信に事前に許諾を頂いており、許諾が得られないユーザーについてはログ情報の取得を行っておりません。

また、クレジットカード番号やパスワードなどの信用情報、または住所や電話番号などの個人情報については、ログ情報として収集しない仕様となっています。

普通に読むと「許諾を得られないユーザはログを一切取得しない」ことから、そうでないユーザのログは取得するんだなという感じがします。そして2文目に進むと、「クレジットカード番号(略)はログ情報として収集しない」となっています。まるで正規表現などを使って最初からログ情報を一切送信しないかのように見えます。

邪推かもしれませんが、「取得」と「収集」という言葉は意味が異なります。「取得しません」といえば端末からの(百度を含めた)外部送信を一切行わないということを示すと思われます。しかし「収集」というのは取得の先にあり、取得して蓄積することを指すのではないかと思います。とすれば、更に邪推すればストリーム処理のように取得しつつメモリ上でハッシュ化するなどして「もはやユーザの元データと同一とはいえませんよ。統計処理してますよ」というアリバイを作ってしまえば、その先は蓄積しても分析しても「ユーザデータは収集していません」と言い張れることになりはしないでしょうか?しかも、上のような報道発表とは矛盾しません。技術用語の相違だと言われれば追求することは難しいと思います。個人情報保護法や関連ガイドラインで「取得とは」というような定義がありますが、単なるIMEがそのような定義に沿わなくてはならないという制約はどこにもありませんので誤読するほうが悪いと言われたら言い返しようがありません。

さらにいえばこんな文章もありました。

なお、両製品に関わるサーバー機器およびデータは日本国内のみで管理しています。

これも管理だけを言っているのであって通信回線を通じてどのように閲覧しようが、統計処理して「両製品にかかわらないデータ」となったら誰に売却しようが、まったく追求を受けない文章となっているように思います。こうした文章が一度出てしまうと、上のような質問をしたとしても「公式発表にありますように」というように噛み合わない受け答えを繰り返されるフィリバスターを食らうだけですので、できるだけ動かぬ証拠を掴んでから徹底的に批判したほうが良いような気もしますが、それでも誤解して不快な思いをする人が増える前にこうして大きな騒ぎになってよかった面もあるかと思います。

かなり意地悪く見てこのようなことを書きましたが、かなり前からIMEと検索エンジンについては省庁や防衛関係の利用では国産化したほうが良いのではと言われていました。米国でも政府機関がサイバーインテリジェンスに力を入れているような情報が暴露されておりお、奇しくもそのような懸念が両方とも真実味が高まっているようです。

私は個人的には政府機関のIPアドレスをniftyやbiglobeのような家庭向けプロバイダと統合してしまったほうが良いのではないかとも思っています。検索エンジンやIMEを国産化したとしても、IPアドレスは隠ぺいすることができません。ですので「●●省の人はやったらこのページにアクセスしてくるなー」と思っている人がかならずいるということです。それでいいんだろうか、と思います。

Comment(0)