PCの操作履歴をすべて記録してAIで履歴検索するWindowsの新機能「Recall」の安全性をイギリス当局が調査
2024年5月20日に発表されたWindows 11向けAI機能「Recall」は、「PC上で見たものや行ったことをすべて記録して検索できる」とうたわれています。しかし、Recallにはプライバシー保護の観点で懸念があるとして、イギリスのデータ監視機関「情報コミッショナーオフィス(ICO)」が調査に乗り出しました。
Giving Windows total recall is a privacy minefield • The Register
Windows 11向けのAI機能であるRecallは、画面のスクリーンショットを数秒ごとに撮影することで、ユーザーが過去PC上で行ったあらゆる動作を検索できるという機能です。Microsoftは「Recallは次第に洗練され、今後は実際のソースドキュメントやウェブサイト、または電子メールのスクリーンショットを撮影し、検索に対応できるようにします」と述べています。
MicrosoftがWindows 11の新AI機能「Recall」を発表、PCで見たもの行ったことをすべて記録しあとから検索できるパワフルすぎるAI検索機能 - GIGAZINE
しかし、Recallではコンテンツモデレーションが実行されず、入力したパスワードや銀行口座の番号などももれなくスクリーンショットとして保存されてしまいます。Mozillaの最高製品責任者であるスティーブ・テイシェイラ氏は「ブラウザには、保存すべきデータと保存すべきでないデータがあります。Recallは、ブラウザの履歴だけでなく、ユーザーがブラウザに入力したデータも保存してしまいます。データは暗号化された形式で保存されるとMicrosoftは主張していますが、この保存されたデータはサイバー犯罪者にとっての新たな攻撃対象となり、共有コンピューターでは新たなプライバシー上の懸念が発生します」と批判しました。
また、Recallはウェブブラウザに搭載されている「プライバシーモード」を使用している場合でもスクリーンショットの保存を実行するとのこと。ウェブブラウザ・Vivaldiの開発者兼プライバシー専門家であるタルキン・ウィルトン=ジョーンズ氏は「プライバシーモードを実装して、これまでユーザーの閲覧データを消去しようとしてきたブラウザ開発者の試みがまったく尊重されていません。Recallは、個人データを扱う組織にとって大きなプライバシーリスクとなります」と述べています。
一方でMicrosoftの標準ブラウザであるMicrosoft Edgeを使用すると、Recallによるスクリーンショット撮影の対象外となるウェブサイトを指定できるほか、Microsoft EdgeとChromiumを使用したブラウザではプライバシーモードでのスクリーンショット保存を停止することが可能です。テイシェイラ氏は「MicrosoftはWindowsで使用されるブラウザ競争で有利になるゲートキーパーを演じています。今のところ、FirefoxなどのChromiumベースでないサードパーティーブラウザが、Recallからユーザーのプライバシーを保護する仕組みは存在していません。Microsoftが全てのブラウザにスクリーンショット保存の例外規定を設けてくれれば、ユーザーがどのブラウザを選んだとしても、プライバシーに関する真の主体性を与えることが可能でした」と指摘しました。
セキュリティソフトウェア企業のESETでグローバルサイバーセキュリティアドバイザーを務めるジェイク・ムーア氏は「Recallの使用は、サイバー犯罪者が攻撃するための新たな道を開きます」と批判。また、AI専門家のゲイリー・マーカス氏は「自分のやることなすこと全てをコンピューターにスパイされたくありません」と語りました。
F^ck that. I don’t want my computer to spy on everything I ever do.
Sticking with my Mac, thank you. https://t.co/9wTa90fsGg— Gary Marcus (@GaryMarcus) May 21, 2024
さらに、ICOは2024年5月22日、RecallについてMicrosoftに対し問い合わせを実施。ICOの広報担当者は「私たちは、保存したデータがどのように使用されているかについてユーザーに対し透明性を確保し、ユーザーのプライバシーを保護するために実施している保護措置を理解するためにMicrosoftに問い合わせを行いました」と述べています。
またICOの広報担当者は「私たちはMicrosoftに、特定の目的を達成するための必要な範囲でのみ個人データを処理することを期待しています。産業界では、製品を市場に投入する前に、データ保護を考慮し、ユーザーの権利と自由に対するリスクを厳密に評価して、リスクの軽減を実施する必要があります」と指摘しました。
なお、Microsoftは「コンテンツはローカルに保存され、撮影されたスクリーンショットがMicrosoftに送信されることはありません」「Recallではデジタル著作権管理(DRM)で保護されている素材のスクリーンショットを保存することはありません」と述べています。