出典:Tada Images / Shutterstock
米国におけるTikTokの今後に関する取引が具体化し始める中、サイバーセキュリティの専門家にとっての課題は、企業構造の変更がリスクプロファイルをどのように、またどの程度変えるのかという点です。
ウォール・ストリート・ジャーナルや他のメディアは今週、米中交渉担当者が、米国のテクノロジー企業、ベンチャーキャピタル、プライベートエクイティ投資家によるコンソーシアムがTikTokの米国事業の約80%を所有する計画に取り組んでいると報じました。このコンソーシアムには、現在すでにTikTokの米国ユーザーデータをホスティング・管理しているOracle、ベンチャーキャピタルのAndreessen Horowitz、プライベートエクイティのSilver Lakeが含まれます。
新たな米国拠点の法人
この取引では、米国を拠点とし、過半数が米国人で構成される取締役会(政府指定のメンバー1名を含む)を持つ新法人が、米国内でTikTokを運営することが求められています。これは、中国との関税戦争が始まる直前の4月にトランプ政権に提示された取引案とほぼ同様です。
この目的は、ソーシャルメディア大手のデータ管理慣行や誤情報拡散の可能性に対する深刻かつ広範な懸念に対応しつつ、TikTokが米国で運営を継続できる方法を見つけることです。
TikTokを所有する中国のByteDanceは、他の中国企業と同様に、中国の国家安全保障法の下で政府から命令があればデータを提供する義務があります。これは、ソーシャルメディアプラットフォームの約1億7,000万人の米国ユーザーや、従業員が業務用デバイスでTikTokを利用している組織にとって、重大なデータプライバシーおよびセキュリティリスクとなると多くの人が認識しています。
2024年4月、当時のバイデン大統領は、ByteDanceに対し1年以内にTikTokの所有権を米国企業に売却するか、米国内での全面禁止に直面することを義務付ける法律に署名しました。2025年1月に米国最高裁が禁止を支持した際、TikTokは一時的に米国で利用できなくなりましたが、トランプ大統領が一時的な猶予を与える大統領令に署名したことでサービスが復旧しました。
広がる懸念
TikTokのデータ取扱い慣行や中国政府への義務に対する懸念は、米国だけに限ったものではありません。今年初め、アイルランドのデータ保護委員会(DPC)は、同社の保護データの取扱いに関するEU一般データ保護規則(GDPR)違反の疑いで、5億3,000万ユーロの罰金をTikTokに科しました。2023年には、欧州委員会とEU理事会が、データセキュリティへの懸念から政府職員や契約者によるTikTokの利用を禁止しました。カナダも政府用デバイスでのTikTok利用を禁止し、昨年11月にはTikTokのカナダ子会社の閉鎖を命じました。
現在の課題は、TikTokの米国事業に関する提案された取引が、これらの懸念をどこまで緩和できるかという点です。Arctic Wolfの最高情報セキュリティ責任者(CISO)であるアダム・マレー氏は、「現在の構造のまま提案が進めば、TikTokが米国データをどこに保管し、誰が管理するかという主要な問題には対応できる」と述べています。「米国事業を米国主体の所有下に移し、Oracleがテキサスでデータを管理することで、外国政府による直接的なアクセスのリスクは減少するでしょう。しかし、所有権や地理的要素だけではプラットフォームの安全性は確保できません。透明性、説明責任、継続的な監督が同じくらい重要です。」
正しい方向への一歩
サイバーセキュリティやデータプライバシーの観点から見ると、提案された取引によって消費者は自分の個人データが直接海外に流出しないという安心感を得られるかもしれません。しかし、企業にとってはリスクプロファイルはあまり変わらないとマレー氏は述べています。「TikTokは依然としてデータ集約型のアプリケーションであり、従業員が会社のデバイスやネットワークで利用すればリスクを持ち込む可能性があります。」
組織は、再編が完了した後もTikTokが安全だと安易に考えるべきではありません。マレー氏は、「このアプリは依然として大量のデバイス情報や行動データを収集します。その情報が悪用される可能性があり、最大の企業リスクは従業員の活動を通じたソーシャルエンジニアリングやデータ漏洩であることに変わりはありません」と述べています。
Metaverse Lawの創設者であるリリー・リー氏は、TikTokのデータをテキサス州のOracle所有施設に保管することで、中国のサイバーセキュリティ法の適用を免れることができると指摘します。中国政府は、これらの施設からデータの復号や提供をOracleに要求することはできません。「この米国法人の最終的な構造や組織はまだ未定です」とリー氏は述べています。
しかし、Oracleの本番システムやデータに管理者アクセスを持つ人物についての透明性も必要です。「企業データの海外流出や外国勢力によるスパイ行為を防ぐためには、管理者アクセスや制御、暗号鍵を保有する人物は米国に在住し、米国の経営陣に報告する米国人であるべきです」とリー氏は述べています。
また、追加の管理策だけでは不十分であることも念頭に置くべきです。TikTokは依然として一般公開されているソーシャルメディアプラットフォームだからです。「軍事や政府資産の身元や所在地など、機密情報を扱う組織は、そうした情報をソーシャルメディアで公開することを禁止するポリシーを引き続き持つべきです」とリー氏は述べています。さらに、個人が投稿方法やタイミングに注意しなければ、TikTokやTikTokピクセル、その他のトラッカーとのやり取りを通じて、機密の位置情報やデバイスデータをうっかり共有してしまう可能性があると警告しています。
レコメンデーションアルゴリズムの問題
TikTokのコンテンツ推薦アルゴリズムの問題もあります。ウォール・ストリート・ジャーナルによると、TikTokのエンジニアは、ByteDanceからライセンスされた技術を使って米国版アプリ向けのアルゴリズムを再構築しています。「これは最も解決が難しい部分です」とマレー氏は述べています。アルゴリズムは人々が何を見て何を信じるかを左右します。もしコードがByteDanceからライセンスされていて完全な透明性がなければ、隠れたデータ収集や影響工作に対する懸念は解消されない可能性が高いです。「影響力の観点はプライバシーと同じくらい重要かもしれません。セキュリティはデータの保管場所だけでなく、プラットフォームがどのように行動や言論を形成するかにも関わっていることを認識する必要があります。」
Black Duckの主任セキュリティコンサルタントであるサティッシュ・スワルガム氏は、米国事業がByteDanceからライセンスするTikTokの推薦アルゴリズムについて、データ漏洩や影響工作の可能性を慎重に評価する必要があると述べています。「Oracleや他の米国企業はこのような取引に慣れています」と彼は述べ、Oracleによる医療大手Cernerの283億ドルでの買収を例に挙げています。それでもTikTokの取引には慎重さが求められます。
「米国外のアルゴリズムが米国ユーザーのデータを抽出したり、米国内で影響力キャンペーンを行う可能性があります」とスワルガム氏は述べています。「TikTokの取引では、より厳格なセキュリティ管理、関係するすべてのソフトウェア成果物の包括的なセキュリティ分析、そして詳細な脅威モデルが求められます。」
翻訳元: https://www.darkreading.com/cyber-risk/tiktok-deal-enterprise-risks