【編集部注】執筆者のJose Nazario博士は、Fastlyにてセキュリティリサーチ部門のディレクターを務めており、”Secure Architectures with OpenBSD”や”Defense and Detection Strategies against Internet Worms”の著者でもある。
巨大なテック企業から街角の商店を含め、全ての企業はデジタル企業だ。パートナーやサプライヤーといった関係者から成り立つ大きなエコシステムの存在によって、企業はサービスを提供することができている。そして、日々生活がデジタル化していくのを目の当たりにしている顧客もそこにいる。
デジタルサービスがちゃんと機能するため、もしくは無料であり続けるために、ユーザーデータの収集が必要であると多くの消費者が理解している。例えば、地図サービスで位置情報が把握できなければ、サービスの訴求力が弱まってしまう。つまり便利さとプライバシーはトレードオフの関係にあり、ほとんどの人はそれを問題視していない。そして、トレードオフに関する交渉は、消費者とオンラインサイトまたはオンラインサービスとの間で発生している。
しかし、消費者と直接関わりを持つ企業に対してサービスを提供している企業はどうだろうか?舞台裏で動いているパートナーやサードパーティといった存在のことだ。そのうちの多くが、ISPやクラウドサービス企業、コンテンツデリバリネットワーク(CDN)で、インターネットのトラフィックの45%がこのような企業を介している。オリンピックの映像を途切れることなく高速配信し、ECサイトで何十億件もの決済を処理しているのも彼らなのだ。そして彼らのようなサードパーティも、ユーザーのネット上での行動をトラックし、データとして販売している可能性があるということに多くの消費者は気づいていない。
連邦通信委員会(FCC)は、同意なしにユーザーデータを販売しているISPの取り締まりを行っており、最近CDNにもその目を向けはじめた。しかし、ユーザーデータの悪用を止めるためには、規制が作られるのを待っていれば良いということではない。全てのサードパーティは、自分たちがどのようなデータを集めているかをはっきりと公に開示する道徳的責任を負っている。そして、このような情報は契約がむすばれる前に、消費者や法人顧客に対して提供されるべきだ。さらに各企業は、このような消費者中心の個人情報の取扱方法に従うよう、関係するサードパーティに対して強く求めるべきである。
ユーザーデータは少ないほど良い
ユーザーデータの収集は、むしろ善意に基いてはじめられるケースもある。例えばオンラインサービスでは、ユーザーがモバイル端末とデスクトップ端末のどちらを利用してサイトにアクセスしているかというのを知ることで、ユーザーエクスペリエンスを向上させることができる。しかし、オンラインサービスが性別などの人口統計情報を集め出し、消費者にとっては少しパーソナライズされ過ぎているとも映るようなコンテンツを表示するようになると、ユーザーデータの収集・保管に悪意を感じるようになる。
今こそ、全てのサードパーティに対してユーザーデータ保護の水準を高く保ち、データ利用の目的を開示するよう求めるべきだ。
プロバイダは、保管するユーザーデータの量が減ることで、時間と共にその利点を感じられるようになるだろう。もしもプロバイダがユーザーデータを保管しなければ、政府からデータ提出要請を受けても、提出できるデータがないことになる。さらに、サイバーアタックやデータ漏洩から守らなければならないデータの量も減少する。ISP・CDNに関しては特に、ユーザーデータ無しでも何ら問題なく業務を行うことができるのだ。
透明性を向上させユーザーにデータコントロールを返上せよ
Pew Researchの調査によれば、90%以上の大人が、自分たちのデータを企業がオンラインでどのように収集し共有するかに関してコントロールを失ってしまったと感じている。ユーザーデータのアクセス権やデータ保管の期間、また広告をパーソナライズするため、どのようにデータが結合・再構成されるかなどについて、近いうちに企業はユーザーへ情報を開示するよう義務付けられることになるだろう。テック企業最大手のGoogleが、ユーザーデータ収集周りの透明性向上に向けた動きを先導しており、同社のサービスでは、ユーザーがどの情報が共有されても良く、どの情報は共有して欲しくないかというのを簡単に選べるようになっている。
企業が失うものとは?
企業がどのようなデータを収集・販売することができ、どのくらいの期間データを保管できるかについては、まだ法整備が進んでいない。現存する規制も州によってまちまちで、内容もそこまで厳しくはない。しかし、企業がデータ収集を収益源とするのは賢明ではないだろう。オンライン広告ブロッカーが普及していく中、市場ではすでに自己補正の動きが見えはじめている。さらに、ISPのデータ収集量を削減しようとする動きを、FCCは止めないかもしれない。
サードパーティの中には、消費者と直接関わりを持つ企業が受け取った承諾の影に隠れていることに満足している企業がいる一方で、それではいけないとちゃんと感じている企業も存在する。この曖昧な承諾が現状なのかもしれないが、これもそう長くは続かないだろう。今こそ、全てのサードパーティに対してユーザーデータ保護の水準を高く保ち、データ利用の目的を開示するよう求めるべきだ。自分たちのサービスにとって必須ではないユーザーデータを収集・共有・販売したいという気持ちに打ち克った企業こそが、最終的に日の目を見るのだ。
[原文へ]
(翻訳:Atsushi Yukutake/ Twitter)
