アドビがプライバシー問題を収拾

Adobe-Digital-Editions-250x250アドビ社は10月23日、Digital Editions 4 (DE4)のプライバシー侵害問題を終わらせるべく、セキュリティの強化とデータの限定を行った更新版の4.0.1をリリース。またプライバシー保護方針を説明したWebサイトを公開した。これにより、大手ユーザー(図書館)を巻き込んだ大事になる前に火を消し止めることができたと思われる。

早期発見+速攻対処で拡大を防止

privacy2更新により、送信情報はHTTPSで安全に送信されるようになり、また情報はDRMファイルのみ、起動後にアドビに送信されることになる。つまり、DRMの目的を逸脱して、非DRMコンテンツをスキャンしたりはしないということだ。HTTPSも絶対安全というわけではないが、業界標準のセキュリティ対策を行ったので、非難されることはないだろう。アドビは声明の中で「更新以前、一部の利用データが平文で送信されていたことは事実ですが、実際のユーザーIDやデバイスIDを平文で送信したことはありません。代りに攪乱のための固有値(GUID)を収集・格納していました」と述べている。

ネイト・ホフェルダー氏の記事(10/23)によれば、DRMコンテンツに関する暗号化送信が検証され、またコンテンツを消去することで送信も止まることが確認された。アドビのホームページには、収集している情報として、以下が列挙されている。

  1. ユーザーGUID(ユーザーIDに代替するもの)
  2. デバイスGUID(デバイスIDに代替するもの)
  3. ADEの認証済アプリID(DRM用)
  4. デバイスIP(インターネット・プロトコル)
  5. 累積読書時間
  6. 読了ページ割合
  7. E-Bookプロバイダーが提供する情報で、読者が購入した書籍に関連したもの。具体的には、
  • E-Bookの購入・ダウンロード日付
  • 配給元IDおよびアドビ社の Content Server Operator URL
  • コンテンツのメタデータ

比較的早期に決着を見たのは、何よりもリリース後間もなかった「早期発見」が大きい。DLしたユーザー、スキャンされたユーザーが少なく、最大ユーザー団体であるALAが迅速に対応したために、アドビも「速攻対処」で応じたものと思われる。データを集めたアドビの意図は、プラットフォームとしてのADEの機能拡張(例えばデバイス間の同期、多様なビジネスモデルのサポートなど)であったと思われるが、であればきちんとロードマップを示しておくべきだろう。それにしても、今回の事件、とくにArs Technica、The Digital Readerの検証報道で見せた米国のデジタル・ジャーナリズムの活動は見事なものだった。(鎌田、10/29/2014)

Scroll Up