海外ニュースサイトReclaim the Netは、Safari設定の「Safariとプライバシー」にて、ユーザーのIPアドレスを中国テンセントに送信することを認めている記述を発見したと報告しています。日本版iOS 13でも、[設定]>[Safari] >[プライバシーとセキュリティ]項目の下にある[Safariとプライバシーについて]内の「詐欺サイトの警告」において、下記のようにテンセントのセーフブラウジング（Tencent Safe Browsing）に送信するとの記述が確認できます。

これと併記されているGoogleセーフブラウジングとは、GoogleのセキュリティチームがWebの安全性を高めるため、安全ではないサイトを検出して警告を表示するしくみのこと。こうしたシステムが、テンセント側にも用意されているわけです。

この機能はiOSの「詐欺Webサイトの警告」の一環として組み込まれているもの。デフォルトではオンになっているため、何百万人ものユーザーが影響を受ける可能性があることを意味しています。なお設定から無効化はできますが、引き換えにフィッシングサイトを踏むリスクに晒されることになります。

ジョンズ・ホプキンス大学の暗号の専門家マシュー・グリーン氏によれば、これがおそらく中国版iOSユーザーのみに影響すると思われるとのこと。ただし、アップルがセーフブラウジングにテンセントのサーバーを使うことがどのようにプライバシーに影響するかをあまり説明していない点が問題視されています。

懸念されているのが、テンセントがそうして得たデータをどんな目的で使うのかということ。テンセントは中国共産党と密接な関係にあり、協力して「愛国的な」ビデオゲームを開発中との報道もありました。

さらにグリーン氏は、悪意のあるプロバイダーであれば、Googleのセーフブラウジングから何千もの閲覧履歴を特定のユーザーに関連付け、匿名性を解除することも可能だと述べています。もしもテンセントのセーフブラウジングがGoogleと同じアプローチを使っているなら、中国政府が反体制派を突き止められるかもしれないわけです。

アップルは2018年10月、中国において国内のユーザー情報は中国に置かれるサーバーで管理しており、それは現地の法律を遵守しなければならないからだと説明していました。さらに中国国営メディアから警告を受けた直後に、一度は承認したアプリをApp Storeから取り下げた一件もありました。

どちらのケースでも、ティム･クックCEOは現地の事情を尊重する一方で、個人情報の保護を強化する必要性を訴え、あるいはユーザーの保護を最優先したと述べており、ただ中国政府の意向に従ったわけではないことも説明しています。

とはいえ、アップルがテンセントに閲覧履歴などが送られることを警告せずに、標準でこの機能をオンにしたことは少なからず問題視されそうです。今のところ同社からのコメントはありませんが、続報を待ちたいところです。