更新、2010 年 3 月 20 日午後 9 時 (東部標準時):Microsoft 副社長兼副法務顧問の John Frank 氏が次のように発表しました。声明この状況とユーザーのプライバシーに関するポリシーについてのさらなる洞察を提供します。この記事の下部に全文が埋め込まれています。
新たな裁判所への提出文書では、ブロガーのプライベート Hotmail やチャット データへのアクセスという、知的財産を保護するために Microsoft がとる並外れた手段を講じていることが詳述されています。
水曜日は、最初に報告された元マイクロソフト従業員のアレックス・キブカロ氏が、同社勤務中に企業秘密を盗んだ疑いで連邦刑事告発に直面しているという。
関連項目:
によると刑事告訴で起訴, キブカロは、2012 年 8 月に「Windows 8 RT 用の独自のソフトウェアとプレリリース ソフトウェア更新プログラム、および Microsoft Activation Server ソフトウェア開発キット (SDK) を個人の SkyDrive (現在の OneDrive) アカウントにアップロードしました」。この話の興味深い部分は次のとおりです。 Microsoft がキブカロのリークをどのように追及したか。
2012 年 9 月 3 日、当時 Microsoft の Windows 部門の社長だった Steven Sinofsky は、匿名の情報源から電子メールを受け取りました。この情報源は、スクリーンショットや初期のソフトウェア リリースの漏洩で Windows コミュニティでは知られているフランスのブロガーからコードを受け取り、それを Sinofsky が見る必要があると考えたという。
このコードは Microsoft Server SDK のサンプル コードであることが判明しました。 Sinofsky 氏は、その情報を Trustworthy Computing Investigations (TWCI) に引き渡しました。この部門は、Microsoft 内で外部および内部のセキュリティ脅威から会社を守る任務を負っています。
情報筋はTWCIと話した後、コードを送ってきたブロガーの電子メールアドレスを明らかにした。 TWCIはすでにこのブロガーの存在を認識しており、彼の身元を明らかにしようとしていたことが判明した。
Microsoft にとって都合の良いことに、ブロガーは通信に Hotmail アカウントを使用しました。これは、たとえ裁判所命令がなくても、Microsoft が彼のアカウントにアクセスできることを意味しました。
どうしてそんなことが可能なのでしょうか?さて、マイクロソフトの規定では、プライバシーポリシー同社は「Microsoft またはその顧客の権利または財産を保護する」ためにあなたのアカウントにアクセスできると非常に明確に述べています。
条項全体には次のように書かれています(私たちの条項を強調してください)。
当社は、以下の目的で、お客様の通信内容を含むお客様に関する情報にアクセスまたは開示する場合があります。(a) 法律を遵守するか、合法的な要求または法的手続きに対応する。(b) お客様によるサービスの使用を管理する当社の契約またはポリシーの執行を含め、Microsoft または当社の顧客の権利または財産を保護するため;または (c) マイクロソフトの従業員、顧客、または公衆の個人の安全を保護するためにそのようなアクセスまたは開示が必要であるという誠実な信念に基づいて行動する。
このブロガーが Microsoft の独自コードにアクセスしたことにより、Microsoft は彼の Microsoft アカウントにアクセスする正当な理由を得ました。
法廷文書によると、2012 年 9 月 7 日、マイクロソフトの法令順守局は「ブロガーの Hotmail アカウントからのコンテンツの取得を承認した」という。
Microsoft はブロガーの電子メールにアクセスしながら、ブロガーと当時の従業員キブカロとの間の通信を追跡しました。これには、流出したデータを含むキブカロの個人 OneDrive アカウントへのリンクを含むメッセージが含まれていました。
この暴露は、キブカロ氏との面談を含むその後の捜査につながり、裁判所文書によると、キブカロ氏はマイクロソフトのコードを部外者に漏洩したことを認めたという。
Mashableへの声明の中で、Microsoftはブロガーのデータへのアクセスに関して自社の行為を擁護した。
Microsoft の広報担当者は次のように述べています。
「従業員の調査中に、その従業員が当社のアクティベーションプロセスに関連するコードを含む、盗まれたIPを第三者に提供していたという証拠を発見しました。当社の顧客と当社製品のセキュリティと完全性を保護するために、当社は調査を実施しました。これには、関与した犯罪行為の証拠に関連する家宅捜索の裁判所命令の発行も含まれており、この調査では、関与した第三者が Microsoft IP の販売を意図しているという明確な証拠が繰り返し確認されました。そして過去にもそうしていました。
調査の一環として、このサードパーティの Microsoft 運営アカウントを限定的に調査する措置を講じました。 Microsoft の利用規約には、この種のレビューに対する許可が明確に記載されていますが、これは最も例外的な状況でのみ発生します。当社はそのようなコンテンツを審査する前に厳格なプロセスを適用します。この事件では、捜査チームとは別の法務チームによる徹底した調査が行われ、他のサイトを捜索する法的命令を得るのに必要な基準と同等の基準を満たす犯罪行為の強力な証拠があった。実際、上で述べたように、捜査の他の側面でもそのような裁判所命令が出された。」
さて、これは合法であるように見えますが、少なくとも Microsoft のプライバシー ポリシーに準拠していますが、倫理的でしょうか?少なくとも、マイクロソフトが漏洩元を突き止めるためにユーザーのアカウントにアクセスするという皮肉を認識しなければなりません。
結局のところ、これは反 Google を立ち上げたのと同じ会社です。」くしゃくしゃ」広告キャンペーンで、ライバルのプライバシーとデータ収集ポリシーを批判した。
これは、NSA がなくてもテクノロジー企業がデータにアクセスできることを思い出させるものでもあります。
興味深いのは、特にこのインシデントが Microsoft ソフトウェアに関係していたために、Microsoft がブロガーの電子メールにアクセスできたことです。漏洩したデータが Google や Apple、あるいは別の企業からのソース コードであった場合、Microsoft は、少なくとも裁判所命令がない限り、介入することはできないでしょう。
この事件は、重要な教訓も示しています。企業に関する情報を匿名で漏洩したい場合は、通信にその企業の製品を使用する前によく考えてください。