Windows 10はMicrosoftにとってかなり物議を醸すオペレーティングシステムであり、Windows 8とは異なり、インターフェースデザインの選択が原因ではありません。今回の問題は、Windows 10のより広範なプライバシーポリシー、あらゆる種類のユーザー行動データのデフォルトの収集、そしてMicrosoftのより積極的なアップグレード戦略に起因しています。
フランスのデータ保護機関であるCommission Nationale de l'informatique et des Libertés (CNIL)は、MicrosoftのWindows 10オペレーティング システムがフランスおよびEUのプライバシー法に複数回違反していると判断し、Microsoftに正式な通知を送付した。
過剰なデータ収集
当局によると、最大の違反は、マイクロソフトがWindowsストアの利用状況に関するテレメトリデータを過剰に収集していることです。これには、システムにダウンロード・インストールされたすべてのアプリや、ユーザーが各アプリをどれだけ利用したかといったデータが含まれます。当局は、この種の収集は「サービスの運営に必要ではない」と考えています。
弱い(PIN)セキュリティ
CNIL はまた、Windows が Microsoft アカウントを通じて行われた支払いに関連するデータを含む機密データを保護するために PIN を使用しているため、Microsoft の PIN セキュリティが弱いと非難しています。
Microsoft が Windows Hello 認証プロトコルとその他の Windows 10 セキュリティ機能を発表したとき、認証方法の 1 つが、デバイスが一時的にアクセスをブロックするまでに試行できる回数に制限がない 4 桁の PIN 番号であったことは奇妙でした。
Microsoft のセキュリティ専門家は、4 桁の PIN は簡単に総当たり攻撃できる (最大 10,000 回の試行で十分であり、高速なハードウェアであれば数分で済む) ことを知っているはずなので、同社が総当たり攻撃に対する保護を追加していない理由は不明です。
iOSは最近6桁のPINに移行し、PIN入力の試行間隔がさらに長くなり、10回失敗すると自動的にデータを消去する設定も可能になりました。AndroidにもPIN認証に関する同様の保護機能が備わっています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
個人の同意の欠如
EUデータ保護法では通常、同意は暗黙的ではなく明示的であることが求められます。CNILは、Microsoftが広告IDをデフォルトで有効化し、ユーザーの明確な許可なくターゲティング広告のために閲覧行動を追跡していると非難しています。
クッキーをブロックするオプションはありません
同庁はまた、マイクロソフトがクッキーを送信するときにユーザーに警告を発しておらず、クッキーをブロックするオプションも提供していないと不満を述べた。
EUの「クッキー法」は、主に多くのサイトがクッキーの配信を継続し、ユーザーはサイトを利用するためにクッキーを受け入れることに同意する必要があるという点で、議論を呼んでいます。この問題は、EU側がこの法律に違反する企業に対して十分な執行措置を講じていないこと、つまり企業が行動を変えるよう圧力をかけられていないこと、そしてEUが今日のインターネットに適した形でこの法律を定義していない可能性があること、この2つの要因が重なって発生しています。
「セーフハーバー」基準に基づくデータ転送
欧州連合司法裁判所(CJEU)は昨年10月、EUと米国間のセーフハーバー協定を無効と判断しました。それ以来、セーフハーバー協定に基づく米国へのデータ移転は事実上違法となっています。しかし実際には、欧州委員会が代替案を可及的速やかに策定・実施すると約束したため、多くの企業が引き続きセーフハーバー協定に基づくデータ移転を続けています。
CNILはマイクロソフトに対し、すべての要求を遵守するよう3ヶ月の猶予を与えており、遵守しない場合は制裁を受ける可能性がある。しかし、マイクロソフトが要求を遵守した場合、つまり今回の場合は新たなプライバシーシールド協定に基づいてデータを移転することになるが、EUはこの件に関してマイクロソフトに制裁を科すことはないだろう。
「この通知の目的は、同社のサービスにおけるあらゆる広告を禁止することではなく、ユーザーが権利について適切に説明を受けた上で自由に選択できるようにすることです」と、フランスのデータ保護機関であるCNILは公式発表で述べた。「違反の深刻さと、対象となるユーザーの数(フランス国内のWindowsユーザー1000万人以上)などの理由により、正式通知を公表することを決定しました。記録に残る形で申し上げますが、CNILは、正式通知は制裁ではなく、同社が指定された期限内に法令を遵守した場合、それ以上の措置は講じないことを明言します。遵守した場合、通知手続きは終了し、この決定も公表されます。マイクロソフト社が指定された期限内に正式通知に従わなかった場合、委員長は内部調査員を任命し、データ保護法違反の調査を担当するCNILの限定委員会に対し、同社に対する制裁を科すことを提案する報告書を作成することができます」とCNILは付け加えた。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
