Adobeが電子書籍の読書ログなどの個人情報を暗号化せずサーバに送信していたことが発覚

Adobeは2014年9月8日に電子書籍リーダー「Adobe Digital Editions」の最新バージョンとなる「Adobe Digital Editions 4.0」(以下、DE4)を公開していますが、匿名のハッカーの情報によって、ユーザーのメタデータなどの個人情報が、暗号化されていないプレーンなテキスト(平文)の状態でAdobeのサーバーに送信されていたことが発覚しました。

Adobe is Spying on Users, Collecting Data on Their eBook Libraries - The Digital Reader
http://the-digital-reader.com/2014/10/06/adobe-spying-users-collecting-data-ebook-libraries/#.VDP-8ildW2_

Adobe Responds to Reports of Their Spying, Offers Half Truths and Misleading Statements - The Digital Reader
http://the-digital-reader.com/2014/10/07/adobe-responds-reports-spying-half-truths-misleading-statements/#.VDRpCvldWIV

The Digital Readerによると、匿名のハッカーが「DE4」のDRMを教育目的のために調査していたところ、大量のユーザーデータをサーバーに送信していることに気付きました。The Digital Readerが調査を行ったところ、送信されたデータはアプリの起動時にプレーンテキストでAdobeのサーバーに送信されていたため、サーバーの管理者などでも簡単に閲覧できる状態であったとのこと。

Ars Technicaによると、DE4のアプリが収集していた情報は「どのページを読んだか」「どのくらいの時間読んでいるか」「どこまで読んだか」といった読書ログ、「ローカルライブラリ内の電子書籍のタイトルと著者」「自費出版履歴」「購入した電子書籍」といったメタデータ、「ユーザーID」「デバイスID」「アプリの保証ID」「デバイスのIPアドレス」などで、接続したPCのHDD内の電子書籍のメタデータをスキャンしていることも確認されています。

この件についてThe Digital ReaderがAdobeに問い合わせたところ、AdobeはDE4からデータを収集していたことを認めましたが、「DRMのライセンスの検証のために収集していたもので、エンドユーザーライセンス契約およびAdobe個人情報保護方針に沿ったもの」と説明しています。国によってプライバシーに関する法律が異なるため、法律違反かどうか、ということについては調査が行われているところですが、Ars Technicaは「DRMがかかっていない文書データまで収集していることの説明がつかない」と指摘しています。

Adobeのコメントを受けて、Electronic Frontier Foundationは、「Adobeはユーザーの全てのライブラリデータにアクセスしている可能性があり、問題の規模は定かではないものの、大問題になり得る」と言及。ソニーは数年前に音楽ファイルへのDRMを試みて失敗していますが、状況が酷似しており、電子書籍にDRMをかけることは読者・著者・出版社にとっても危険なことである、と分析しています。

なお、Adobeはこの問題を解決するアップデートを準備中とのことです。