2018年10月31日
お客さま各位
ご存知のとおり、9月に一時公開停止となって以来、トレンドマイクロのアプリはApple のApp Storeから提供できない状態となっております。
皆さまの継続したご理解ならびにご愛顧に感謝いたします。当社では問題解決に向けて積極的に取り組んでいます。これまで当社が行ってきている対応と進捗状況、ならびにアプリの提供再開に向けたプランについてご報告いたします。
まず最初に、ブラウザ履歴の問題に関して当社内で実施した追加調査についてご報告いたします。当初からご説明申し上げております通り、トレンドマイクロでは、個人情報を利益目的で販売するといったことはいたしませんし、当社30年の歴史上行ったこともありません。これは当社のDNAの中核をなすものであり、セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善する目的にのみ、お客さまから信頼いただいているセキュリティ企業としての立場と重要なお客さまのデータへのアクセスを利用すべきという考えに基づいたものです。これは、公然と行われる悪意ある活動や情報漏洩、不適切な形での広告収益化といった形で、許可なくお客さまのデータにアクセスして利益を得ようとするものからお客さまを守るためです。
Mac向けの6つのアプリで取得していたインストール直前の24時間のブラウザ履歴については、セキュリティの目的にのみ使用しており、当社が公開しているポリシーに従って取り扱われていたことを改めてご報告します。このブラウザ履歴に関するファイルは、処理に至るまで匿名化された形で取り扱われており、ユーザのプロファイリングは行われていなかったことを改めて確認いたしました。しかし、セキュリティに関連しないアプリの一つであるDr. Batteryにおいて、ブラウザ履歴を収集することを2018年9月10日時点(日本時間)までWebサイト上で明示していなかったことを把握しております。皆さまにご心配とご迷惑をおかけしましたことに改めて深くお詫び申し上げます。
次に、当社における対応の進捗と課題についてご報告いたします。
EquifaxやFacebookで発生した情報漏洩が報道を大きく賑わせて以来、個人情報の不適切な利用や、究極的にはプライバシーの保護について、IT業界全体がこれまで以上に懸念し、顧客を保護するために一層取り組むべきと考えています。トレンドマイクロも同様の懸念を持っていることをここでお伝えいたします。
ここで問題になるのが、どのようにして一般消費者の個人データやプライバシーを保護しながら、同時に効果的なセキュリティの提供を実現するか、ということです。
プラットフォーム事業者の大手として、Appleは一般消費者のデータやプライバシーの保護において重要な役割を果たします。その中で、アプリ開発ポリシーを変更し、不要なデータや機能に関係のないデータをアプリが収集することを制限したり、他のアプリに干渉しないようアプリの制限を強化するといった取り組みをAppleが行っていることを評価します。
デジタル情報を安全に交換できる世界を実現し、究極的にはハッカーからお客さまを守ることをミッションとするトレンドマイクロは、プラットフォームを安全なものにするためのプラットフォーム事業者各社の取り組みを称賛するとともに賛同します。しかし、セキュリティはインフラのレイヤに属するものであり、単一機能のアプリに制限するものではなく、エコシステム全体で考慮する必要があります。最善のセキュリティは、それが影響する領域に関する迅速な警告に基づくものであり、その実現に当たってはユーザからの自警団的なデータに依存することになります。
セキュリティとは関連性がないアプリ(例:バンキングアプリ)で悪いことが起きるのを適切に防ぐといった形で当社が一歩先を行くためには、一定レベルの状況把握が必要になると考えております。
1. 脅威の中には、ゼロデイ攻撃にも見られるように、瞬時に特定することが困難なものも存在します。そのため、ある一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要なものです。収集時には関連性のないイベントに見えたとしても、このデータを利用して感染の拡大を最小限にとどめることができます。
2. 当社では広告販売は行っていないため、特定の利用者のプロファイリングはこれまで行ったことがなく、またその必要性もございません。しかし、脅威の傾向を判断したり攻撃者のプロファイリングを行うにあたっては、当社では地域ごとに確認される情報に頼っています。医療の世界で見られるように、だれが何の病気を持っているかは担当医にしか共有されないとても繊細かつプライベートな情報ですが、どの地域でどのような病気が急速に流行しているかは、大流行を止めるために極めて重要な情報になりえます。
3. より良い保護を提供するにあたって、優れたセキュリティは「異常なふるまい」を特定することで脅威を阻止します。したがって、比較評価を行うにあたっては、何が正常と考えられるのかを理解する必要があります。
4. ユーザがハッキング被害を受けたりマルウェア感染したりするといった侵害があった際には、原因分析を行うことで何が起きたのかを理解し、その学びから同じような事態が発生しないようにすることが重要です。ある一定のデータへのアクセスなく、セキュリティ製品がこの問題への答えを出すことは不可能です。
5. メールやLINE、Facebookメッセンジャーといった正規のアプリ経由で拡散される悪意のあるリンクのように、正規のアプリ経由で拡散される脅威を特定することは重要です。当社では、このようなリンクが拡散されることを防ぐことは、VPN接続のような共通の関門的な場所でコンテンツをフィルタリングすることによって実現できると信じております。
収集が必要なデータが何で、何をもってほかのアプリに干渉すると考えられるのか、これらの点に関する見解の相違が、当社アプリの審査ならびに再公開に向けたプロセスの長期化をもたらしています。
アプリの審査や再公開プロセスでの想定外の遅延や、製品設計に対するAppleならではのアプローチに基づいて当社製品の再設計を求める新たな要求によって、当社のお客さまの安全性が損なわれてはならないと強く考えており、当社ではお客さまの保護に継続して献身的に取り組むとともに、Appleの要件を満たして迅速に当社の重要なアプリが再公開できるよう積極的に取り組んでまいります。
医療分野において過去100年間にもたらされた目覚しい発展によって、我々は恩恵を受けてきました。この成功の要因の一つは、エコシステム全体での世界レベルでのコラボレーションにあります。医師は世界中の事例を分析しています。サイバーセキュリティの分野でも同様で、エコシステム全体が役割を果たすことに頼っています。
本件に関する皆さまのご理解とご協力にあらためて感謝申し上げます。同時に、過去30年間取り組んできているように、当社は世界各地にいる数多くのお客さまに対して最善のセキュリティ保護、プライバシー保護を提供すべく、たゆまぬ努力を継続してまいります。
敬具
エバ・チェン
トレンドマイクロ株式会社 代表取締役社長 兼 CEO
2018年10月24日
ブラウザ履歴を取得するアプリに関して、当社内の調査により確認された現時点の事実についてご報告いたします。
本件につきましては、関係各位に多大なるご迷惑をおかけし、深くお詫び申し上げます。
当社製macOS向け6アプリ Dr. Cleaner(国内製品名:ライトクリーナー LE)、Dr. Cleaner Pro(国内製品名:ライトクリーナー)、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、Duplicate Finder が、アプリをインストールする直前の24時間以内のブラウザ履歴を一度だけ取得していた件について、一部のアプリ(Dr. Battery)が、ブラウザ履歴を収集することを2018年9月10日時点(日本時間)ではWebサイト上で明示しておらず、この事実を確認後にアプリが収集する情報に関する記載を修正したことが分かりました。
また、ブラウザ履歴を取得しているアプリで、日本国内で提供していたDr. Cleaner(国内製品名:ライトクリーナー LE)及びDr. Cleaner Pro(国内製品名:ライトクリーナー)のほかに、Dr. Battery、Duplicate Finderが9月8日時点(日本時間)で日本向けに誤って公開されていたことがわかりました。
なお、これまでにお客さまから収集したデータの流出は確認されておらず、またセキュリティ以外の目的で利用されたこともございません。
皆さまにご心配とご迷惑をおかけしておりますことを改めて深くお詫び申し上げます。
2018年10月5日
トレンドマイクロでは、App Store上の当社アプリに関する問題解決に向けてAppleとの調整をこの数週間行ってまいりました。本件に関する当社の一層の理解と調整における進展を受けて、これまでの経緯についてご報告いたします。
当社製macOS向け6アプリでのブラウザ履歴収集に関して、データ収集に関するプライバシーならびに情報開示の観点での懸念から、Appleでは9月10日に当社アプリを一時公開停止しました。当該アプリによって行われていたブラウザ履歴の収集は、最新の脅威の特定とブロックを目的にインストール直前の24時間以内の履歴に限定したものです。新たな脅威の出所を特定することは、お客さまを保護するとともにマルウェアやアドウェアの流通を阻止するためのセキュリティ上正当な取り組みです。前述のブラウザ履歴に関するファイルは、安全な形でAWS上のトレンドマイクロが運営するUSにあるサーバへアップロードされ、個人を特定できないよう匿名化された形で保存されており、当社のGDPRポリシーに則り収集から3か月後に自動的に削除されていました。また、第三者への共有、広告収入目的での利用といった、お客さまの保護以外のいかなる目的に対しても当該データは利用しておりません。
当社ではデータ収集とその利用にあたり、GDPRやその他プライバシー要件を満たす形で取り組んでおりますが、本件発生直後に2つの問題点を確認したため、更新版の提出にむけこれらの対応を速やかに実施しました。具体的には、共通モジュールの使用によりセキュリティに関連しない3アプリにおいてもブラウザ履歴の収集を行っていた点、1つの有料アプリでの匿名化されたユーザデータ収集に対し、追加でオプトインで同意を取得する仕組みが欠如していた点の2点になります。これらの問題点についてお詫びいたします。お客さまから収集したデータの流出は確認されておらず、またセキュリティ以外の目的で利用されたこともございません。
当社における実施済みの対応
ブラウザ履歴収集に関するお客さまのご懸念を踏まえ、当社では当該アプリからブラウザ履歴取得のモジュールを削除したうえで、収集プロセスをインフラ上で無効化し、AWS上から当該データの全削除を速やかに行いました。加えて、利用状況に関する匿名化されたデータの収集に関してオプトインで同意を得る仕組みを、App Storeから提供する該当のアプリに組み込みました。そのうえで、アプリ一時公開停止の措置から数日中に更新版アプリをAppleに再提出しました。当社では進展があるものと判断しており、近日中に問題が解決され、アプリを順次公開できるものと考えております。
当社アプリの一時公開停止を受け、当社では当措置がブラウザ履歴収集モジュールの入った6つのアプリによるものであることを確認しました。そのうえで、App Storeでの当社アプリ再公開に向けてAppleの正規プロセスを通じた対応を継続して行ってきております。それと並行して、App Store経由で提供する当社アプリすべてにおいて一層透明性を持たせるための改善に取り組んでおります。
今後の対応について
セキュリティ企業として、当社ではプライバシー並びにコンプライアンスを重要事項として、お客さまを最優先に取り組んでまいりました。当社では、消費者のプライバシー保護におけるAppleの模範的な取り組みに賛同するとともに、本件からの教訓を活かし、徹底した法規制準拠プログラムの維持ならびにプライバシーに関する利用者の信頼と利用体験へのより一層の注力という点で当社の今後の取り組みのさらなる改善に取り組んでまいります。
お客さまの信頼と利用体験のさらなる改善を行う目的で、当社では以下のような対応を実施 いたします。
本件に関して、Appleならびにお客さまの要件に沿う上で必要なアップデートに関して理解を当社では一層深めております。アプリ審査並びに更新のプロセスには時間を要するため、お客さまにはご不便、ご迷惑をおかけしますが、ご理解のほどよろしくお願いいたします。
2018年9月12日
当社のmacOS、iOS向けアプリがMac App StoreおよびApp Store上で一時公開停止されていることを確認しています。詳細は現在確認中です。
該当製品の詳細はこちら(https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271)をご覧ください。
トレンドマイクロがユーザデータを不正に取得し、中国のサーバへ送信しているという報道がありましたが、それは誤りです。
トレンドマイクロのmacOS向け製品であるDr. Cleaner(国内製品名:ライトクリーナー LE)、Dr. Cleaner Pro(国内製品名:ライトクリーナー)、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、Duplicate Finder は、アプリをインストールする直前の24時間以内のブラウザ履歴を一度だけ取得します。
これらのデータを取得するのは、ユーザがアドウェアやその他の脅威に遭遇したかを分析するなど、セキュリティの目的及び製品やサービスの品質改善のためです。
上記以外の当社の法人向け及び個人向け製品にはブラウザ履歴を取得する機能は含まれておりません。
なお、日本国内で提供しているのは、ライトクリーナー LEならびにライトクリーナーです。
前述のブラウザ履歴などのデータは、AWS上のトレンドマイクロが運営するUSにあるサーバへアップロードされておりました。
当社はお客さまのご懸念を踏まえて、製品からブラウザ履歴に関するデータを取得する機能を削除しました。
加えて、USのAWSサーバ上にあるブラウザ履歴に関するデータも削除しました。
お客さまにはご不便、ご迷惑をおかけしますが、ご理解のほどよろしくお願いいたします。