- 世界中の市民団体・非営利組織・技術企業38団体が、GoogleのAndroidアプリ外部配布に対する開発者登録義務化政策に反対の立場を表明
- これらの団体は、AndroidにはすでにOSレベルのセキュリティ・アプリ署名・Play Protectなど多様な保護手段が備わっていると指摘
- 中央登録制度はイノベーションと競争、プライバシー、ユーザーの自由を脅かし、Googleがすべてのアプリ配布を統制できる構造を作ると批判
- またこの政策が、小規模開発者・オープンソースプロジェクト・制裁対象国の開発者・人権活動家などに対する参入障壁を高めると警告
- 署名団体はGoogleに対し、政策の撤回と開放性・中立性の回復、そしてコミュニティとの透明な協議を求めている
政策反対の背景
- Googleは今後、Playストア外でアプリを配布しようとするすべての開発者に中央登録を義務付ける計画
- 登録手続きには身分証の提出、規約への同意、手数料の支払いが含まれる
- 署名団体は、この措置がGoogleサービスと無関係な領域にまでゲートキーピング権限を拡大するものだと指摘
- Googleが世界中のアプリを恣意的に無効化できる権限を持つことになると警告
参入障壁とイノベーション阻害
- 登録義務化は、個人開発者、小規模チーム、オープンソースプロジェクトに不利に働く
- リソース不足、インフラへのアクセス制限、制裁対象国への居住などにより、登録が難しい事例が多数ある
- プライバシー重視の開発者、人権活動家、緊急対応組織などもリスクにさらされる
- こうした事務的負担は、ソフトウェアの多様性の低下と大企業中心への集中につながり得る
個人情報と監視への懸念
- Googleの登録制度は、すべてのAndroid開発者に関する個人情報データベースを形成する
- 収集情報の保管・活用・政府からの要請への対応方法について懸念が示されている
- プライバシー保護や政治的にセンシティブなアプリを開発する人々にとって、不要な監視リスクが生じる
恣意的執行とアカウント停止のリスク
- Googleの既存のアプリ審査システムは、不透明な判断と限られた異議申し立て手続きによって以前から批判されてきた
- 自動化された判断、明確な理由のない停止、政治的・競争上の要因が介在する可能性などが問題視されている
- 単一企業がすべての配布権限を統制する構造は、健全な競争エコシステムに反する
競争制限と規制の問題
- Googleは登録を通じて、すべてのアプリ開発動向と競合他社の戦略を把握できるようになる
- これは市場情報の非対称性を招き、競合製品を事前に遮断・模倣するリスクを高める
- 欧州連合や米国などの規制当局は、すでにプラットフォーム独占と自社優遇行為を調査中であり、
署名団体はGoogleが開放性と相互運用性を維持すべきだと強調している
既存のセキュリティ体制の十分性
- Androidにはすでにサンドボックス化、権限システム、署名認証、サイドローディング警告などのセキュリティ機能がある
- 17年間にわたり、こうした仕組みによってユーザー保護は維持されてきたとして、
Googleが本当にセキュリティを懸念するなら既存メカニズムの強化に集中すべきだと主張
共同要求事項
- 第三者配布向け開発者登録義務の即時撤回
- 市民社会・開発者・規制当局との透明な協議の実施
- プラットフォーム中立性の保証により、Googleの商業的利益とプラットフォーム運営を分離
- Androidの開放性を回復し、自由ソフトウェアとデジタル主権を保護するよう求める
署名団体
- EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Projectなど38団体が参加
- これらの団体はGoogleに対し、開発者検証プログラムを中止し、
セキュリティと開放性のバランスを共同で模索すべきだと表明している
1件のコメント
Hacker Newsの意見
この書簡で最も議論を呼んでいる部分は、「Existing Measures Are Sufficient(既存の対策で十分)」という主張だ。
Googleは2025年11月の発表で、公式ブログを通じて明確な攻撃ベクトルを説明していた。
たとえば東南アジアでは、詐欺師が被害者に電話をかけ、「銀行口座がハッキングされた」と不安をあおり、セキュリティ用の「確認アプリ」をインストールするよう誘導する。このアプリは実際にはマルウェアで、通知を横取りし、2FAコードを盗んで口座から金を奪う。
Googleは、こうした攻撃を防ぐには開発者の本人確認が必要だと主張している。本人確認がなければ、悪意あるアプリを無限に作り続けられ、いたちごっこが繰り返されるというわけだ。
私も登録義務化は行き過ぎだと感じるが、「今のままで問題ない」という反応よりは、より良い代替案が必要だと思う。たとえば通知・SMSの傍受のような機微な権限にだけ登録を義務付けたり、登録しない開発者には高価な証明書を要求したりするような折衷案もあり得る
人には自分で誤った選択をする自由もあるべきだ。詐欺師の電話を信じてアプリを入れるのは攻撃ベクトルではなく個人の選択だ。その理由でユーザーが自分の端末にアプリを入れられなくするのは、銀行が「酒場で使うかもしれないから出金禁止」と言うのと変わらない
たとえばAndroid 13〜14のRestricted Settingsは、電話でAPKのインストールを誘導する詐欺を防ぎ、Android 15のEnhanced Confirmation Modeは、システム設定を改変しようとする悪意あるアプリを防ぐ。
こうした機能はすでに効果を上げているのに、Googleが突然全体を締め付けようとしているのは、これまでの方向性との断絶だ。マルウェアは常に存在してきたし、Play Store内にもある。今のような極端な措置を正当化する根拠は乏しい
本当の問題は、技術リテラシーの不足、人が他人を信じやすいこと、捜査能力の欠如、そして一部の国で詐欺組織が放置されていることだ。
私の銀行アプリは、通話中または遠隔操作中だと起動しない。だがroot化された端末では打つ手がない。結局、各国がGoogleだけを責めるのは責任逃れだ。
こうした制限は数日で回避され、一般ユーザーだけがより不便になるだろう
複雑な「アンロック」手順を設けることもできるが、それは結局、一般ユーザーが非公式アプリをインストールできなくするのと同じだ。
詐欺問題が実際に深刻なのは事実だが、提案されている解決策は病気よりひどい処方に見える
裁判官はGoogleに対して、「Appleは自社プラットフォーム上に競争相手がいないので反トラスト法違反ではない」と判断した(Epic訴訟関連)。
Googleはその言葉をそのまま受け取った。だから今の方針が出てきたということだ。これは近年の判決の中でも最悪の部類だと思う
EUがAppleとGoogleをゲートウェイ・プラットフォームに指定したアプローチの方がはるかに良いと思う。米国議会は現代的な対応のための法的枠組みを整えられていない
開発者登録の問題は、Googleと政府がアプリを検閲する権限を持つようになることだ。
政府が「VPNアプリを禁止しろ」と要求すれば、Googleは登録要件を使って遮断できる
たとえば、ICE追跡アプリを入れた人が政府に報告され、テロリスト名簿に載せられるかもしれない
登録制度は、何千人もの正当な開発者にだけ摩擦コストを課し、悪意ある行為者はダミー会社や盗難IDで何度でも戻ってくるだろう。
本人確認と犯罪抑止は別の問題だ
すでにPlay Storeでは個人開発者に実名公開を強制し、アプリの露出順位を下げ、「このアプリはインストール数が少ない」といった警告まで表示している。
結局のところ、大企業アプリ中心のエコシステムを作ろうという戦略だ。保守負担を減らし、収益を増やしたいのだろう
このバランスに価値があるかは分からないが、完全に無意味だとまでは言いにくい
Googleにはこう言いたい。Play Store内のマルウェアを先に一掃してから、サイドローディングの話をしてほしい
Play Store外からのインストールを禁止したら、パワーユーザーにとっては大惨事になるだろう。
私はroot化はやめたが、広告ブロックなどはAPKで対処してきた。こうしたアプリが塞がれたら、Androidを使う理由がなくなる
今回の署名者リストは、Googleが消し去りたがっている団体の一覧のように見える
今回の措置が、人々がGoogleの代替を探すきっかけになってほしい
AndroidとiOSがどちらもクローズドになるなら、私は毎回iOSを選ぶ。
Androidを使う理由はオープンさにある。それが失われるなら、Appleの滑らかなUXとエコシステムを選ぶ
正直に言えば、「疎外されたコミュニティに不均衡な影響」という言葉は、ハッカーよりも第三世界の高齢の被害者にこそ当てはまると思う。
彼らは詐欺アプリにだまされて財産を失うことが多い
「Don’t be evil」は、「政府発行IDを登録した上で悪になるな」に変わったようなものだ。
Googleは法廷でAndroidのオープン性を盾に反トラスト訴訟を防いできたのに、いまや自らその扉を閉じようとしている。
建前としてはセキュリティを掲げているが、実際に解決したい問題は「制御できない開発者」ではなく、収益化できない開発者なのだ