インド、スマホメーカーにソースコード提出案 83項目の安全基準で攻防
インドで、スマートフォンの安全対策をめぐる新たな規制案が波紋を広げています。政府がメーカー側に「ソースコードのレビュー」などを求める方向で検討しており、AppleやSamsungなど大手企業が水面下で懸念を示しているとロイターが報じました。
何が検討されているのか:83のセキュリティ基準
報道によると、インド当局が協議しているパッケージは、計83項目のセキュリティ基準からなります。柱の一つが、脆弱性(ぜいじゃくせい)分析とソースコードレビューです。
- ソースコードの確認:メーカーが「完全なセキュリティ評価」を行い、インド国内の試験ラボがソースコードのレビューと分析で検証できる仕組み
- アップデートの事前通知:主要なソフトウェア更新やセキュリティパッチを、利用者に配信する前に国立通信セキュリティセンター(National Centre for Communication Security)へ通知し、同センターがテストできる権利
- マルウェアの自動・定期スキャン:端末上での定期的な検査を義務化
- ログの保存:端末のシステム活動ログ(デジタル記録)を端末内に少なくとも12カ月保存
- ソフト面の追加要件:プリインストールアプリ(最初から入っているアプリ)のアンインストールを可能にする/アプリがバックグラウンドでカメラやマイクを使うことをブロックして「悪用を避ける」
企業側の反発点:「前例が乏しい」「機密が露出する」
業界側は、政府の意図を理解しつつも、要件の設計が過度になり得ると見ています。ロイターが確認した機密文書によれば、インドの業界団体MAITはソースコード提出・レビューの義務化について「秘密性とプライバシーの観点から不可能」と記載したとされています。
ほかにも、次のような実務上の論点が挙げられています。
- 知的財産・機密情報:ソースコード共有が「プロプライエタリ(独自)情報」の露出につながる懸念
- アップデート運用:セキュリティ更新は迅速性が重要で、事前通知やテスト手続きが「非現実的」との主張
- 端末負荷:定期的なマルウェアスキャンがバッテリー消費を増やす可能性
- 保存容量:12カ月分のログ保存について「端末内に十分な空きがない」との指摘
政府の狙い:オンライン詐欺と情報漏えいの増加に対応
報道では、今回の検討がナレンドラ・モディ首相のデータ安全強化の取り組みの一環とされています。インドは約7億5000万台のスマートフォンを抱える巨大市場で、オンライン詐欺やデータ侵害(漏えい)が増えるなか、利用者データの保護を政策課題として前面に出しています。
インドIT省のS.クリシュナンIT次官はロイターに対し、業界の「正当な懸念にはオープンマインドで対処する」と述べ、「現時点で深読みするのは時期尚早」とも語ったとされています。省報道官は、企業との協議が続いているとして追加コメントを避けたと報じられました。
市場への影響:Android勢・iPhoneの双方に重い宿題
インド市場では、GoogleのAndroidを採用するSamsungや中国本土のXiaomiなどが大きなシェアを持ち、Appleも一定の存在感を持ちます。ロイターが紹介した推計では、Xiaomiが19%、Samsungが15%、Appleが5%とされています。
規制案がこのまま進めば、OSや端末設計そのものよりも、アップデートの運用、検査体制、情報の取り扱いが競争力やコストに直結しそうです。一方で、バックグラウンドでのカメラ・マイク利用制限や不要アプリの削除容易化は、利用者が体感しやすい安全対策として支持を得る可能性もあります。
今後の焦点:どこまで折り合えるか
現段階では、協議が継続中で最終形は見えていません。焦点は、(1)ソースコードレビューの範囲や手続き、(2)アップデートの事前通知の実務設計、(3)ログ保存やスキャン頻度など端末負荷の調整――といった「安全」と「運用」の両立に置かれそうです。
インドが目指すセキュリティ強化は、巨大市場ゆえに国際的な端末運用にも影響し得ます。企業側が何を守り、政府側が何を確かめたいのか。その境界線の引き方が、次の焦点になっています。
Reference(s):
India requires smartphone makers to give source code for security
cgtn.com
