今週(1999年3月第2週)のニュースサイトでは、Windows 98が個人情報を勝手に流しているのはプライバシー侵害であるという話題でにぎわっていました。つい最近、インテルのPentium IIIプロセッサのハードID問題で、プライバシー保護が議論になったと思ったら、今度はOSの方でも同じような問題が出てきた感じです。しかし、WindowsのIDについては、著作権保護がねらいではないかという憶測もあり、そっちの方に話が降られると、マイクロソフトの暴走という他人事なストーリーでは終わらないかもしれません。

Windows 98が個人情報を漏らしているという話は、CNETの記事に出ています。ここで言う個人情報というのは、住所氏名といった具体的なものではなくて、インストールしたWindows 98を個別に認識するための文字列のようです。この文字列は、インストール時に生成されて、オンライン登録をするとマイクロソフトのサーバーに送られていました。今回の指摘に対して、マイクロソフトは、送られたデータを商売に使うことはないと言っていますが、ユーザー登録の過程で送られるということは、そのIDと住所や電話番号と言った個人情報が対応しているわけで、ただのコードの流出というだけではすまなくなります。さらに、その後の報道では、このID(GUID:グローバリー・ユニークID)は、Windowsのレジストリ(システムの設定を記録しておく場所)のエントリー(GUID)に入っており、それをクッキーに登録して使っているWebサイトがあるとか、Webサイトにつなぐだけで、このIDを収集されているかもしれないという記事もありました。このIDは、ネットワークインタフェースに固有な番号であるMACアドレスを元に作られているということですが、私のWindowsマシンのGUIDを見たところでは、必ずしもそのままではないようです。また、インターネットのWebサーバーを使って盗むには、Windows 98の「RegWiz ActiveXコントロール」が必要なので、Windows 98とInternet Explorer 4.0の組み合わせで使っている人だけが問題を抱えていることになります。ですから、この話は大騒ぎになったわりに、問題になる人は限られていると思います。

マイクロソフトは、これをバグであると言っているようですが、この機能があることがバグだと言っているのではなくて、ユーザーの意志を確認せずにマイクロソフトにGUIDを送信することをバグだと言っているようです。それにしても、収集しても商売に使わないものをなんで集めているのかって考えると、おもいっきり怪しいですね。普通に考えれば、これはWindows 98の登録者とハードウエアを特定するために付けた機能であると考えてよいと思います。このコードは、マイクロソフト製品のExcelやWordが作るファイルにも、外から見えない方法で記録されているということです。ということは、ある文書がインターネットに流れた場合、そのファイルを作成したハードと登録ユーザーが、マイクロソフトには分かるということです。利用者が、このIDの存在を知らなかったということは、マイクロソフトとユーザーの間には、GUIDを含んだ情報を他に流さないという約束はないわけですから、場合によっては第三者に流れる可能性もあります。これは、非常に危険ですね。この問題については、早速アメリカの消費者団体が、インテルのCPUのID機能と合わせて監視すると言っていますが、CPUのIDに比べると問題は少ないと見ているようです。たしかに、そのパソコンにクッキーを植え付ければ、GUIDを使わなくてもユーザーを追跡できますからね。問題は、マイクロソフトがGUIDと個人情報を合わせたデータベースで商売をするかどうかにかかっています。

Pentium IIIについては、ノートパソコン用のPentium IIにもID機能がついていたって話が出てます。ネットワークを介した商売とか、資産管理に使えると言われても、今回の話は、インテルが存在を発表する前にユーザーが、ID機能がついていることを見つけているわけで、納得がいかないと思う人がほとんどだと思います。なんで、隠すのだろう。インテルは、モバイル用CPUのIDは間違いだったと言っているようですが。そう言われると、ますます怪しいと思うのが人情ですよね。CPUにIDを付けるのと、Windows 98がIDを生成するのとでは、CPUのIDの方が問題だというのがアメリカのプライバシー擁護団体の見解のようですが、私はむしろWindows 98の問題のほうが危ないと思いますね。なぜかって、ソフトメーカーは、顧客リストを必ず持っています。ソフトを買うと、職業から、勤め先の会社の規模から、年収から、興味の対象から、読んでいる雑誌の名前までアンケートされます。書かなくてもよいと言われればそうですが、たいていの人は言われるままに書くでしょう。それと、インターネットから収集できるGUIDとのペアは、最強のマーケティングツールだと思います。それを元に、バナー広告を出すことだってできるし、勧誘の電子メールを送り付けることもできます。確かに、ソフト的に作られたGUIDは、消すことが可能ですがOSが管理しているものを消してよいものか、ユーザーには分かりません。だから、OSが作るGUIDはCPUのハード的なIDと危険性は同じだと思います。

今回の問題は、ユーザーの意志にかかわらず、その持っているパソコンを第三者が特定できる機能を付けてしまった点にあります。ただし、逆に考えると、パソコンをネットワークから特定できると、例えばコピーしたパスワードで商品を買ってしまうといった犯罪を防止することができます。ネットワークに接続された計算機へのクラッキングも、パスワードを盗むばかりではなく、そのパスワードが使えるパソコン本体も盗まなくてはいけないので難しくなります。さらに、これをソフトウエアの管理につかえば、違法コピーソフトの利用も難しくなるでしょう。ソフトへのアクセス権とハードウエアをつなげることは、パラレルポートに差すセキュリティプラグみたいな形で、いままでもやられてきたことです。とくに、違法コピーソフトについては、以前ほどではないとは思いますが、まだまだ多いという報告があります。この報告は、BSAというソフトウエアの権利保護団体がまとめた、1997年のデータですが、日本で使われているソフトの32%は違法コピーだったそうです。おなじサイトにある表によると、これは世界で第三位だとか。ちなみに、一位はアメリカですね。こうした状況は、ソフトウエアの価格を引き上げているわけで、まじめに買っているユーザーにとっては損になります。では、GUIDを駆使すればこれが改善されるかといえば、必ずしもそうはならないでしょう。GUIDをパスするかコピーする、違法コピー支援ツールが出るのは目に見えてますもんね。ただ、こういう仕組みを導入する口実には十分なるでしょう。

プライバシーの侵害については、アメリカの方が敏感なようです。日本では、ぜんぜん話題になってませんから。そもそも、いかにプライバシーが守られていないかは、職場にしつこくかかってくる勧誘電話を受けると感じますね。卒業生名簿に名前と職場の電話番号を載せるのは、勧誘して欲しいからではなかったはず。それを、誰かがこずかい銭稼ぎで名簿業者に売ったばかりに、そのデータが転売されて、うっとうしい勧誘電話の嵐がおきる。かといって、名簿を売っても犯罪にはなりません。また、日本では、ソフトメーカーが収集した顧客情報の扱いについては、なんの責任もないかのようです。すると、なにか問題が起きた場合、「5年前にマイクロソフトのアンケートに個人情報を記入したでしょう、これは自業自得ですね」で終わるんでしょうか。どうせIDを付けるなら、個人情報につけてください。そして、情報を提供したユーザーがそれを追跡できるようにすれば、提供者の条件にあわない転用をした業者を訴えることができるでしょう。