Mailbox.orgは11月10日(現地時間)、「Warning: New Outlook sends passwords, mails and other data to Microsoft|mailbox.org」において、新しいMicrosoft Outlookを使用すると機密データがMicrosoftに送信される危険性が高くなるとして、注意を呼び掛けた。送信されるデータはメールだけではなくカレンダや連絡先のデータも含まれ、対象はWindowsユーザー限らずiOS、macOS、AndroidのOutlookユーザーも含まれるという。

  • Warning: New Outlook sends passwords、mails and other data to Microsoft|mailbox.org

    Warning: New Outlook sends passwords, mails and other data to Microsoft|mailbox.org

Mailbox.orgによると、新しいOutlookはアカウントの設定が行われるとアカウントの認証情報をMicrosoftに送信するという。これにより、Microsoftはユーザのメール、カレンダー、連絡先への完全なアクセスを手に入れる。そして、設定されたアカウントがMicrosoftアカウント以外の場合、Microsoftクラウドとデータを同期するためメール、カレンダー、連絡先などのコピーをMicrosoftへ送信するという。

Mailbox.orgはすべてのユーザーに対し、この新しいOutlookを使用しないことを推奨している。このために、次のような代替案を提示している。

  • 「Thunderbird」に代表されるような一般的な電子メールクライアントに切り替えることを推奨する。モバイルデバイスでは「FairEmail」や「K9 Mail」など、さまざま選択肢が存在する
  • 信頼できるWebメールポータルを使用する。Thunderbirdのようなメールクライアントの代替手段として利用できる

ドイツ連邦データ保護・情報自由委員会のUlrich Kelber委員もこの問題に警鐘を鳴らしているという。委員はこのデータ収集を「憂慮すべきもの」として、データ保護当局を通じて欧州レベルでこの問題を追求する意向を表明したとされる。

Mailbox.orgはこのような方法で法人顧客が個人データを保存すると、故意でなくてもEU一般データ保護規則(GDPR: General Data Protection Regulation)違反となり、罰金の対象となる可能性があると警告している。

Microsoftクラウドにデータを保存することは、法的にMicrosoftとのデータ処理契約(DPA: Data Processing Agreement)の締結を必要とするデータ処理に該当し、企業はデータ保護宣言およびデータ処理ディレクトリにその旨を明記しなければならない可能性があるという。これは経営者によって意図的に行われたものであろうと、従業員個人が無意識に行ったものであろうと関係ないとしている。