◇ 西側諸国の政策対応
米国の議員は、Temuがユーザーデータを収集、保存、および処理する方法について懸念を表明しているうえ、国家安全保障上のリスクが高まっていることから、より厳格な規制が必要になる可能性があると示唆している。政策提言としては、当時のバイデン大統領のデータセキュリティに関する大統領令の下で、Temuのような外国製アプリの規制を優先すること、および商務省のICTS(情報通信技術およびサービス)プログラムがTemuに関連する国家安全保障上のリスクを評価し、米国のデータへのアクセスを制限する措置を講じるべきであるという案が挙げられている。
◇ やはりアプリにセキュリティの懸念
スイスの国家サイバーセキュリティ試験センター(NTC)が実施した包括的なセキュリティ分析では、Temuアプリに「異常な技術的特異性」が確認されたものの、直ちに「致命的なセキュリティリスク」とは分類されなかった。しかし、これらの特異性は当然ながら、プラットフォームのリスク評価を著しく困難にしている。主要な技術的特異性として特定されたのが、アプリが独自のランタイム環境内で動的コードローディング(DCL)を実行する機能である。これは、TemuがGoogle PlayストアやApple App Storeでの公式アップデートを経由せずに、リモートで新しいコードをダウンロードおよび実行することで、アプリの動作をリアルタイムで変更できることを意味する。オペレーティングシステム(OS)には、この新しいコードを検証したり、その動作を監視する手段がない。専門家は「Temuがユーザーの知らないうちに機能を追加、操作を変更、あるいは最悪の場合、ユーザーのアクティビティを追跡したり、個人情報を盗んだり、デバイス全体を侵害したりする悪意のあるコードを挿入する可能性がある」と警告している。この種の挙動は、モバイルマルウェアが使用する手法と「驚くほど類似している」と指摘されている。さらに、NTCは追加の暗号化レイヤーの使用についても言及した。これらのレイヤーは、データの保護を強化する可能性がある一方で、望ましくないデータ転送を隠蔽するために使用される可能性も指摘されている。外部からのフォレンジック分析を極めて困難にするこの技術的な難読化は、Temuを監査が難しい「ブラックボックス」として認識させる要因となっている。すなわち、マルウェアとしての動作をインジェクション(挿入)することができる可能性を示唆している。DCLと重度の難読化レイヤーの展開は、Temuが意図的にグローバルなコンプライアンス義務(EU DSAの第34条に基づくリスク評価の透明性など)に反する技術戦略を採用していることを示している。アプリの挙動を監査しにくい設計にすることで、Temuは決定的な「マルウェア」分類に抵抗しつつも、規制当局が抱く秘密裏の操作や不正なデータ抜き取りに関する最悪の懸念を裏付けている。このため、企業レベルではサイバーセキュリティ専門家が、特に機密性の高いクライアントデータや運用データが存在する可能性のある企業環境において、監視されていないデータアクセスや漏洩の潜在的なリスクを理由に、Temuを仕事用デバイスにインストールしないよう強く推奨している。また、米・ケンタッキー州司法長官は、Temuが州の消費者保護法に違反しているとして訴訟を提起した。報道によると、Temuがマルウェアによって住民のデバイスを感染させ、個人データを盗み、それを中国政府に直接送る可能性があると主張している。また、ネブラスカ州司法長官も、Temuが「ネブラスカ州民の電話データを抜き取っている」と主張し、不正なデータ収集や製品の虚偽表示に関する消費者保護違反を理由に訴訟を提起している。
◇ Temuのウイグル強制労働疑惑
Temuは、強制労働に関連する国際的な規制コンプライアンスにおいて、極めて重大なリスクを抱えている。米下院の中国共産党特別委員会は中間報告書を発表し、Temuがサプライチェーンから奴隷労働を排除するために「ほとんど何もしていない」と詳細に述べている。この報告書は、Temuのサプライチェーンが強制労働によって汚染されているリスクが「極めて高い」ため、米国の消費者が知っておくべきであると結論付けている。それによると、Temuは、UFLPA遵守を積極的に検証し確保するための監査を一切実施せず、コンプライアンスシステムも報告していないうえ、報告した唯一の措置は強制労働の使用を禁じる定型的な取引条件をサプライヤーと合意することであった。Temuは「サードパーティセラーが新疆ウイグル自治区を起源とする製品を販売することを明示的に禁止していない」と認めている始末だ。
◇ Temuの脱税手法、製品品質への疑惑
Temuと他のファストファッション企業は、米国の輸入規則における少額免税の抜け穴(800ドル未満の商品の無税・無検査輸入)を悪用することで事業基盤を築いている。これにより、数百万の貨物が検査なしで米国に流入し、通常米国の衣料品ブランドが支払う関税を回避している状態だ。Temuの超低価格・大量の直接出荷モデルは、本質的にこのデ・ミニミスの閾値を利用することに基づいている。この抜け穴の悪用は、単なる税制上の優位性に留まらず、強制労働禁止法執行のために設計された必要な税関検査と執行メカニズムを回避し、強制労働禁止法違反の積極的な促進剤として機能している。これにより、サプライチェーン汚染のリスクは、受動的なコンプライアンス不備ではなく、積極的なコスト最小化戦略に組み込まれたリスクになる。また、Temuは製品の品質と知的財産権(IP)の整合性についても問題を抱えている。州司法長官が提起した訴訟では、Temuのプラットフォームが「欺瞞的な出品で溢れ」ており、「ネブラスカのブランドや創作物を盗用する」製品が存在すると指摘した。ケンタッキー州の訴訟でも、模倣品の販売疑惑が挙げられている。カスタマーレビューによると、Temuは販売業者に対して「何らかの品質管理基準を設けているようには見えず」、販売業者が「商品について真っ赤な嘘をつく」ことを許しているという認識が示されているため、消費者は信頼できる販売者と詐欺師を区別することが困難。
◇コンプライアンスが滅茶苦茶
Temuは、デジタルサービス法(DSA)に基づき、中国を拠点とする4つの「非常に大規模なオンラインプラットフォーム」(VLOPs)の1つに指定されており、厳しい規制監督下に置かれている。欧州委員会は、Temuが市場で違法な製品の拡散を防ぐ努力において重大な欠陥があると厳しく指摘。またDSAの義務違反の予備的判断を下している。委員会が実施したミステリーショッパー調査の分析によると、EUの消費者がプラットフォーム上で、乳幼児向けのおもちゃや小型電子機器など、規格非準拠の危険な製品に遭遇する可能性が極めて高いことが判明した。さらに、Temuが2024年10月に提出したリスク評価報告書は不十分であると見なされている。当然、独自の市場に関する具体的な詳細ではなく、一般的な業界データに依存しており、違法製品の拡散に対する緩和策が不適切になった可能性があるとされている。この予備的判断が最終的に確定した場合、Temuは年間世界売上高の最大6%に相当する罰金を科されるリスクがあり、これは財務上重大な影響を及ぼすだろう。また、Temuは2023年に、米・INFORM消費者法に基づく最初の執行措置の対象となっている。この法律は、消費者が盗品、偽造品、または危険な商品を発見し、報告するために必要な情報とツールをオンラインマーケットプレイスが提供することを義務付けるものだ。米・連邦取引委員会(FTC)によると、Temuは以下の具体的な義務を果たさなかった。
1. 人気が高い「ゲーミフィケーション化されたショッピング体験」において、消費者が疑わしい活動を報告するための必要な手段(電子的および電話的)を提供しなかった。
2. 高額取引を行うサードパーティセラーに関する必要な識別情報を、明確かつ目立つ方法で開示しなかった。
これについてTemuは、違反を解決するために200万ドルの民事罰を支払うことに合意し、強制的なコンプライアンス義務(電話による報告メカニズムの提供、セラー開示の改善など)を実施する命令を一応受け入れている。DSAとFTCの規制措置は、Temuが、市場の運営者として必要とされる基本的なメカニズム(販売者の透明性、消費者報告、正確なリスク評価)の実施を怠っているというパターンを示している。これは、同社が核となるコンプライアンスインフラよりも急速な世界展開と販売量を優先する企業戦略を採用していたことを示唆しているが、その責任意識は依然として低いままだ。