フィンランドのNokia製携帯端末からユーザの個人情報が中国のサーバに送信されていることが確認されました。

ユーザの位置情報などを中国の携帯キャリアであるChina Telecomが保有するサーバへ送信していたようです。

結論から言うと、恐らく大丈夫？

送信されていた情報はアクティベーションデータと見られています。

つまり中国向けの携帯端末用アクティベーションクライアントが誤ってフィンランド国内向け販売端末に紛れ込んでいたということのようです。

中国国内向けに販売される予定だった端末がフィンランドの国内販売向けへ振り替えらる、というようなことがあったのかもしれませんし、単純なソフトウェアパッケージミスかもしれません。

2019年2月のアップデートでアクティベーションサーバは既に「正しい国」に置き換え済みとなっています。

ただし疑問点も

China Telecomのサーバの他にaps.c2dms.comというドメインに向けた送信も一部で確認されているようです。

これはランサムウェア拡散容疑でマークされている中国企業のサーバです。

フィンランド情報保護当局が捜査を始めているとのことです。

争点はGDPRに抵触するか

2018年にEU域内で施行されたGDPR（一般データ保護規制） という個人情報保護の枠組みがあります。

日本の個人情報保護法との違いは、IDやメールアドレス、IPアドレス、履歴情報も個人情報として保護の対象になります。
また、欧州経済領域外へのデータ移転を原則禁止しています。

Nokia端末が送信していたデータがこの規制に引っかかるかが争点となりそうです。

Nokiaの声明では「このデータでに基づいて個人を特定することはできませんでした」としています。

アクティベーションデータの保存場所は端末購入国によって異なる

欧州、米国、インドで購入した端末の場合、データはシンガポールサーバに保管されます。
中国で購入した端末の場合、データは中国サーバに保管されます。

これはNokia製に関してのものですが他の企業の端末にしても似たような形態を取っているだろうと思われます。

そして、それぞれのサーバはその国のサイバーセキュリティ法に準拠します。

端末の製造国を正確に知ることは難しいですが、もし海外市場向けのSIMフリースマホを購入するのなら、特定の市場向けを避ける、というような自衛は一応可能です。

逆に言うとそれくらいしか出来ません。