フランスがClearview AIにデータ削除命令、EU他国でも同様の措置の可能性

インターネットから自撮り写真を収集し、約100億枚の画像データベースを構築して法執行機関にID照合サービスを販売する、物議を醸している顔認証企業Clearview AI(クリアビューAI)が、またしてもデータの削除命令を受けた。

フランスのプライバシー保護当局は現地時間12月16日、Clearviewが欧州の一般データ保護規則(GDPR)に違反したと発表した。

違反認定の発表の中で、CNIL(情報処理・自由委員会)はClearviewに対して「違法な処理」を停止するよう正式に通知し、2カ月以内にユーザーデータを削除しなければならない、としている。

当局は、2020年5月以降に寄せられたClearviewに対する苦情に対処している。

ClearviewはEUに拠点を置いていないため、同社の事業はEU全域で各国のデータ保護監督機関からも規制措置を受ける可能性があることを意味する。CNILの命令は、同社が保有するフランス領の人々に関するデータ(CNILは「数」千万人のインターネットユーザーが対象となると推定)にのみ適用されるが、EU各国の当局からもこのような命令が出される可能性が高い。

CNILは、調査結果を共有することで他の当局との協力を模索してきたと述べている。これは、Clearviewが、GDPRを国内法に移項した他のEU加盟国およびEEA諸国(合計で約30カ国)の当局からデータ処理の停止命令をさらに受けるかもしれないことを示唆している。

2021年、Clearviewのサービスはすでにカナダオーストラリア英国(EU離脱後も現在GDPRを国内法に残している)でプライバシー規則違反と認定され、罰金の可能性がある他、2021年11月ユーザーデータの削除を命じられた。

関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

2つのGDPR違反

フランスのCNILは、Clearviewが2つのGDPR違反を犯したと認定した。法的根拠なく生体データを収集・使用したことによる第6条(処理の合法性)違反、そして第12条、第15条、第17条に規定されたさまざまなデータアクセス権の違反だ。

第6条の違反は、Clearviewが顔認証の使用について人々の同意を得ておらず、データの収集と使用について正当な利益の法的根拠にも依拠できないことによる。

「さまざまなウェブサイトやソーシャルネットワークで写真やビデオにアクセスできるこれらの人々は、国家が(警察などの)目的のために使用できる顔認証システムに供給するために、自身の画像がClearview AIによって処理されることは望まないでしょう」とCNILは書いている(フランス語からの翻訳)。

また、GDPRデータアクセス権を取得しようとした際に遭遇した多くの「困難」に関して、個人からの苦情も寄せられている。

CNILは、Clearviewが「正当な理由なく」個人のデータアクセス権を年2回に制限したり、過去12カ月間に収集されたデータに限定したり「同1人物からの過剰な数の要求」の後にのみ特定の要求に応じるなど、多くの点で規制に違反していることを明らかにした。

Clearviewは、人々のデータの削除要求に応じることを含め、データ主体の権利を適切に促進するよう命じられている。

同社がフランスの命令に従わない場合、さらなる規制措置(罰金の可能性も含む)に直面する可能性があるとCNILは警告している。

GDPRでは、DPAは2000万ユーロ(26億円)または企業の世界年間売上高の最大4%のいずれか高い方の制裁金を科すことができる。しかし、EUに拠点を持たない企業に対して罰金を科すことは、規制上の課題となっている。

TechCrunchはCNILの命令についてClearviewにコメントを求めている。

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

アップル、プライバシー保護の懸念を受けて児童性的虐待コンテンツへの言及をひっそり取り止め

Apple(アップル)は、iOS 15とmacOS Montereyにその新しい技術が組み込まれることを発表してから数カ月後、ウェブサイトから児童性的虐待スキャン機能に関するすべての言及を静かに削除した。

8月にAppleは、CSAMとして知られる児童性的虐待コンテンツを同社が検出し、法執行機関に報告することを可能にする機能を導入すると発表した。当時Appleは、すでに違法となりうるコンテンツをチェックするための包括的なスキャンを提供しているクラウドプロバイダとは異なり、画像やデバイスを取得することなく、またその内容を知らなくてもユーザーのデバイス上のCSAMを特定できる技術なので、ユーザーのプライバシーを保護しながら違法画像を検出することができると主張していた。

関連記事
アップルがiCloud上の児童虐待画像を検出する新技術「NeuralHash」導入へ
また批判を浴びるアップルの児童虐待検出技術

これに対し、Appleは大きな反発を受けた。セキュリティの専門家やプライバシー擁護団体は、このシステムが政府のような高度なリソースを持つアクターによって悪用され、無実の被害者を巻き込んだり、システムを操作されたりする可能性があると懸念を表明した。また、児童の性的虐待の画像を特定するのに効果的でないと揶揄する人もいた。このため、数十の市民の自由団体がAppleに対してこの論争の的となっている機能を展開する計画を放棄するよう求めた。

恐怖を和らげるための広報活動を行ったにもかかわらず、Appleは譲歩し、CSAMスキャン機能の展開の延期を発表した。同社は「顧客、支援団体、研究者などからのフィードバックに基づいて、今後数カ月間、さらに時間をかけて意見を集約し、これらの極めて重要なチャイルドセーフティ機能をリリースする前に改善を行うことにしました」と述べた。

関連記事:アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

現在、この機能は完全に廃止された可能性があるようだ。

MacRumoursは、AppleのチャイルドセーフティのウェブページからCSAMに関するすべての言及がひっそりと削除されていることに最初に気づいた。12月10日まで、このページにはCSAM検出の詳細な概要と、この物議を醸す機能が「iOS 15、iPadOS 15、watchOS 8、macOS Montereyのアップデートで2021年後半に登場」するとの約束が含まれていた。更新されたバージョンのページでは、CSAM検出に関するセクションが削除されただけでなく、この技術に関するすべての言及と、CSAMプロセスを説明し評価する文書へのリンクを提供するセクションが削られている。現在、Appleのチャイルドセーフティページには、今週初めにiOS 15でデビューしたメッセージのコミュニケーションセーフティへの言及とSiri、Spotlight、Safari検索への拡張ガイダンスのみが含まれている。

関連記事
アップル、iOS 15.2開発者ベータ第2弾で「メッセージ」アプリに子供向け新安全機能を搭載
アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

Appleの広報担当者Shane Bauer(シェーン・バウアー)氏はTechCrunchに対し、9月に発表した同機能の遅延に関する声明について「何も変わっていない」と述べたが、CSAM機能への言及が削除された理由については言及しないとしている。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

探し物トラッカーTileを買収したLife360が数百万人の正確な位置情報データを販売

探し物トラッカーTileを買収したLife360が数百万人の正確な位置情報データを販売

子供の見守りや家族との位置情報共有サービスを提供するLife360が、探し物トラッカーTileを買収したとお伝えしました。そのLife360が、数百万人ものユーザーの正確な位置情報を販売していると報じられています。

The Markup(米ニューヨークを拠点とする非営利団体)The Markupの報告によると、Life360のスマートフォン用アプリは全世界で3300万人が利用しているとのこと。そのアプリが集めた子供と大人の位置情報データが12のデータブローカーに販売され、他の第三者に提供されていたと伝えられています。

Life360の元従業員2人は、同社が業界最大級のデータ供給元でありながら、データの使用方法や悪用を防ぐためのセーフガードがない、すなわち位置情報の履歴から個人をたどれなくする予防措置が取られていないと証言。最も明白な(直接、個人に紐付けられた)ユーザー識別情報は削除されているが、プライバシー保護のためにデータを集約したり、精度を下げたりしないと語られています。

この件につきLife360のCEOであるクリス・ハルス(Chris Hulls)氏は、データは同社の中核的なサービスを無料で提供するための「ビジネスモデルの重要な一部」であると回答。つまりユーザーの位置情報データを販売することが前提で、無料サービスが成り立っていると言いたい模様です。

同じく位置情報データをブローカーに販売するX-Modeに勤務していたエンジニアいわく、Life360の提供する生の位置情報データは「データの量と精度の高さ」から、同社の「最も価値ある商品」の1つだと述べています。X-Modeは、Life360のデータ販売先としてCuebiqやArity、Safegraphとともに公開されている企業でもあります。

逆にいえば、Life360が公開していない提供先の企業もあるということ。ハルスCEOによれば、パートナー企業から透明性を求められたり「そうする特別な理由」がある場合にのみ公開されるとのこと。そうしたパートナーを公開することを義務付ける法律を支持する、とも付け加えられています。

Life360はデータ販売していることをプライバシーポリシーの細則に明記しており、秘密にしていたわけではありません。が、ここで問題視されているのは、データブローカーに提供された後、データがどのように扱われているのか、ユーザーが自覚していないかもしれない点です。一応はオプトアウト(提供を拒否)オプションもありますが、全てのユーザーがそれに気づいているとは限りません。

Life360アプリは主に親が子供やティーンエイジャーを追跡するために使うもので、その性質上プライバシーに関する懸念が指摘されていました。同社は13歳未満の位置情報は共有しないとしている一方で、13歳以上の子どもや大人のデータは(第三者への販売についても)公平に扱われています。

かたやLife360に買収されたTileは、探し物トラッカーを製造し、モノやペットを探すサービスを提供している企業です。Life360はTileと一緒になることで、ペットや人、物の位置を特定する「包括的なソリューション」を提供できると謳っていましたが、今回の報道を合わせて考えると、プライバシー保護に関する懸念が高まりそうです。

(Source:The Markup。Via MacRumorsEngadget日本版より転載)

フェイスブックがエンド・ツー・エンド暗号化の全面導入を「2023年中まで」延期

Facebook(フェイスブック)改めMeta(メタ)が、エンド・ツー・エンド暗号化を同社の全サービスに全面展開することを「2023年中まで」延期する。このことは、同社の安全部門のグローバル責任者であるAntigone Davis(アンティゴン・デイビス)氏が英国のTelegraph(テレグラフ)紙に寄稿した論説記事によって明らかになった。

Facebook傘下のWhatsApp(ワッツアップ)には、すでに2016年からエンド・ツー・エンド暗号化が全面的に導入されているが、ユーザーがメッセージデータを暗号化する鍵をユーザーのみに持たせるこの機能は、同社の他の多くのサービスではまだ提供されていない。つまり、エンド・ツー・エンド暗号化が提供されていないそれらのサービスでは、メッセージデータを公権力に提供するよう召喚されたり令状が発行されたりする可能性があるということだ。

しかし、Facebook創業者のMark Zuckerberg(マーク・ザッカーバーグ)氏は、Cambridge Analytica(ケンブリッジ・アナリティカ)のデータ不正利用スキャンダルを受けて、2019年にはすでに「プライバシー重視のプラットフォームへと転換させる」取り組みの一環としてエンド・ツー・エンド暗号化を同社の全サービスに全面導入する計画であることを発表した。

ザッカーバーグ氏は当時、エンド・ツー・エンド暗号化の全面導入の完了時期について具体的な日程には言及しなかったが、Facebookは2021年初めに、2022年中には全面導入が完了する予定であると示唆していた。

それがこの度、同社は、2023年中の「いずれかの時点」まで完了する予定はないと発表した。明らかに先送りされているようだ。

デイビス氏によると、今回の延期は、子どもの安全に関わる捜査を支援するために情報を法執行機関に提供する能力を同社が保持できるようにして、安全性を確保しながらエンド・ツー・エンド暗号化を実装することに時間をかけたいと同社が希望しているためだという。

デイビス氏は次のように語る。「当社でもそうだが、ユーザーのメッセージにアクセスできない状態で、テック企業が虐待問題に立ち向かい続けることと法執行機関の重要な任務をサポートし続けることをどのように両立できるのかという点については、今も議論が続いている。プライバシーと安全性のどちらかを選ばなければならないような状態にしてはいけないと当社は考えている。だからこそ当社は、適切な方法でこの技術を導入するために、強力な安全対策を計画に盛り込み、プライバシー分野や安全分野の専門家、市民社会、政府と協力している」。さらに、同社は「プロアクティブな検知テクノロジー」を使用して不審なアクティビティを特定することに加え、ユーザーのコントロール権限を強化し、問題を報告する能力をユーザーに付与する予定だと同氏はいう。

Facebookが2年以上前に「全サービスへのエンド・ツー・エンド暗号化導入」計画を公に発表してからこれまで、英国を含む西側諸国の政府は、最高レベルの暗号化を全サービスに全面導入する計画を延期または断念するよう同社に対して強い圧力をかけ続けている。

英国政府はこの点で特に、Facebookに対して苦言を呈してきた。内務大臣のPriti Patel(プリティ・パテル)氏は、Facebookのエンド・ツー・エンド暗号化拡大計画は、オンラインの児童虐待を防止する努力を阻害するものになると、公の場で(繰り返し)警告し 、同社を、児童性的虐待コンテンツ(CSAM)の制作と配信を防ぐ闘いにおける無責任な悪役であるとみなした。

したがって、Metaが今回、英国政府ご贔屓の新聞に論説記事を寄稿したのは偶然ではなかったのだ。

Telegraph紙に寄稿された前述の論説記事の中で、デイビス氏は「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ」と述べ「この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」と同氏は付け加える。

デイビス氏はさらに、Meta / Facebookは過去の事例をいくつも調査した結果「エンド・ツー・エンド暗号化をサービスに導入した場合でも、重要な情報を当局機関に報告することができていた」との結論に達したと述べ「完璧なシステムなど存在しないが、この調査結果は、当社が犯罪防止と法執行機関への協力を継続できることを示している」と付け加えた。

ところで、Facebookのサービスにおいてすべてのコミュニケーションがエンド・ツー・エンドで暗号化された場合に、同社は一体どのようにして、ユーザーに関するデータを当局機関に渡すことができるのだろうか。

Facebook / Metaがそのソーシャルメディア帝国において、ユーザーのアクティビティに関する手がかりを集めている方法の詳細をユーザーが正確に知ることはできない。しかし、1つ言えることとしてFacebookはWhatsAppのメッセージ / コミュニケーションの内容がエンド・ツー・エンドで暗号化されるようにしているが、メタデータはエンド・ツー・エンドで暗号化されていないということだ(そしてメタデータからだけでも、かなり多くの情報を得ることができる)。

Facebookはまた、例えば、2016年に議論を呼んだプライバシーUターンのように、WhatsAppユーザーの携帯電話番号データをFacebookとリンクさせるなど、アカウントとそのアクティビティを同社のソーシャルメディア帝国全体で定期的にリンクさせている。これにより、Facebookのアカウントを持っている、あるいは以前に持っていたユーザーの(公開されている)ソーシャルメディアアクティビティが、WhatsAppならではの、より制限された範囲内でのアクティビティ(1対1のコミュニケーションや、エンド・ツー・エンド暗号化された非公開チャンネルでのグループチャット)とリンクされる。

このようにしてFacebookは、その巨大な規模(およびこれまでにプロファイリングしてきたユーザーの情報)を利用して、たとえWhatsAppのメッセージ / コミュニケーションの内容自体がエンド・ツー・エンドで暗号化されていたとしても、Facebook / Metaが提供する全サービス(そのほとんどがまだエンド・ツー・エンド暗号化されていない)において、誰と話しているのか、誰とつながっているのか、何を好きか、何をしたか、といったことに基づいて、WhatAppユーザーのソーシャルグラフや関心事を具体的に把握できる。

(このことを、デイビス氏は前述の論説記事で次のように表現している。「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ。この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」)。

Facebookは2021年の秋口に、WhatsAppが透明性に関する義務を遂行しなかったとして欧州連合から多額の罰金を科せられた。WhatsAppがユーザーデータの使用目的と、WhatsApp-Facebook間においてそのデータを処理する方法について、ユーザーに適切に通知していなかったことが、DPAの調べによって明らかになったためだ。

関連記事:WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

FacebookはGDPRの制裁金に関して控訴中だが、米国時間11月22日に、欧州の規制当局からの求めに応じて、欧州のWhatsAppユーザー向けのプライバシーポリシーの文言を少し変更することを発表した。しかし、同社によると、ユーザーデータの処理方法については、まだ何の変更も加えていないとのことだ。

さて、エンド・ツー・エンド暗号化そのものに話を戻すと、2021年10月、Facebookの内部告発者であるFrances Haugen(フランセス・ハウゲン)氏が、同社によるエンド・ツー・エンド暗号化テクノロジーの応用に関して懸念を表明した。このテクノロジーはオープンソースではなく、専有テクノロジーであるため、ユーザーはFacebook / Metaのセキュリティ方針を信じなければならず、同テクノロジーのコードが本当にそのセキュリティ方針を順守しているかどうか、独立した第三者が検証する術がない、というのが同氏の主張だ。

ハウゲン氏はさらに、Facebookがエンド・ツー・エンド暗号化をどのように解釈しているのかを社外の者が知る方法がないことも指摘し、同社がエンド・ツー・エンド暗号化の使用を拡大しようとしていることについて「Facebookが本当は何をするつもりなのかまったくわからない」と述べて懸念を表明した。

「これが何を意味するのか、人々のプライバシーが本当に保護されるのか、私たちにはわかりません」と英国議会の議員たちに語ったハウゲン氏は、さらに次のように警告した。「これは非常に繊細な問題で、文脈も異なります。私が気に入っているオープンソースのエンド・ツー・エンド暗号化製品には、14歳の子どもがアクセスしているディレクトリや、バンコクのウイグル族コミュニティを見つけるためのディレクトリはありません。Facebookでは、社会的に弱い立場にある人々を標的にすることが、この上なく簡単にできてしまいます。そして、国家政府がそれを行っているのです」。

ハウゲン氏は、エンド・ツー・エンド暗号化の支持については慎重に言葉を選んで発言し、エンド・ツー・エンド暗号化テクノロジーは、外部の専門家がそのコードや方針を厳正に調査できるオープンソースで対応することが望ましいと述べた。

しかし、Facebookの場合は、エンド・ツー・エンド暗号化の実装がオープンソースではなく、誰も検証できないため、規制当局による監視が必要だとハウゲン氏は提案した。ユーザーのプライバシーをどの程度確保するか(したがって、政府当局などによる潜在的に有害な監視からの保護をどの程度確保するか)、という点についてFacebookが誤解を招く指針を打ち出さないようにするためだ。

「私たちはプライバシーを保護し、危害の発生を防ぐ」という見出しの下で書かれた前述のデイビス氏の論説記事は、Metaが「外部の専門家と引き続き協力し、虐待と闘うための効果的な方法を構築していく」ことを誓う言葉で締めくくられており、英国議会の議員をなだめることによって、Facebookが一挙両得を狙っているように感じられる。

「Facebookはこの取り組みを適切な方法で進めるために時間をかけており、当社のすべてのメッセージングサービスでエンド・ツー・エンド暗号化を標準機能として導入することが、2023年中のある時点までに完了する予定はない」とデイビス氏は付け加え「Facebookはユーザーのプライベートなコミュニケーションを保護し、オンラインサービスを使用する人々の安全を守る」という、具体性のない宣伝文句をまた1つ発して記事を締めくくった。

英国政府は間違いなく、Facebookが今回、規制に配慮を示しながら非常に厄介な問題に関する記事を公に発表したことについて、喜ばしく思うだろう。しかし、同社が、パテル内相などからの長期にわたる圧力を受けて、エンド・ツー・エンド暗号化の延期の理由を「適切に導入するため」だと発表したことは「では、非常にセンシティブなプライバシーに関する問題という文脈において、その『適切』とは何を意味するのか」という懸念を強めるだけだろう。

もちろん、デジタル権利の擁護活動家やセキュリティの専門家を含むより大きなコミュニティも、今後のMetaの動向を注意深く見守っていくだろう。

英国政府は最近、児童性的虐待コンテンツ(CSAM)の検知または報告、作成阻止を目的として、エンド・ツー・エンド暗号化サービスにも応用できる可能性があるスキャニング/フィルタリング技術を開発する5つのプロジェクトに、およそ50万ポンド(約7700万円)の税金を投じた。「代替ソリューション」(プラットフォームにエンド・ツー・エンド暗号化を実装する代わりに、スキャニング / フィルタリング技術を暗号化システムに組み込むことによってCSAMの検知 / 摘発を行う)を開発することによって、革新的な方法で「テクノロジーにおける安全性」を確保するよう閣僚たちが求めたためだ。

したがって、英国政府は(ちなみに現在、オンライン安全法案の制定に向けても動いている)、子どもの安全に関する懸念を政治的な圧力として利用して、暗号化されたコンテンツを、エンド・ツー・エンド暗号化の方針のいかんに関わらず、ユーザーのデバイス上でスキャンすることを可能にするスパイウエアを実装するようプラットフォームに働きかける計画のようだ。

そのようにして埋め込まれたスキャンシステムが(閣僚たちの主張とは相容れないものの)堅牢な暗号化の安全性にバックドアを作ることになれば、それが今後数カ月あるいは数年のうちに厳密な調査と議論の対象になることは間違いない。

ここで参考にできるのがApple(アップル)の例だ。Appleは最近、コンテンツがiCloudのストレージサービスにアップロードされる前に、そのコンテンツがCSAMかどうかを検知するシステムをモバイルOSに追加することを発表した。

Appleは当初「当社は、子どもの安全とユーザーのプライバシーを両立させるテクノロジーをすでに開発している」と述べて、予防的な措置を講じることについて強気な姿勢を見せていた。

しかし、プライバシーやセキュリティの専門家から懸念事項が山のように寄せられ、加えて、そのように一度は確立されたシステムが(著作権下のコンテンツをスキャンしたいという市場の要求だとか、独裁政権下の国にいる反政府勢力を標的にしたいという敵対国家からの要求に応えているうちに)いや応なく「フィーチャークリープ」に直面する警告も発せられた。これを受けてAppleは1カ月もたたないうちに前言を撤回し、同システムの導入を延期することを表明した。

Appleがオンデバイスのスキャナーを復活させるかどうか、また、いつ復活させるのか、現時点では不明である。

AppleはiPhoneのメーカーとして、プライバシー重視の企業であるという評判(と非常に高収益の事業)を築いてきたが、Facebookの広告帝国は「利益のために監視する」という、Appleとは正反対の野獣である。したがって、全権力を握る支配者である創業者が、組織的に行ったプライバシー侵害に関する一連のスキャンダルを取り仕切った、Facebookという巨大なソーシャルメディアの野獣が、自社の製品にスパイウエアを埋め込むようにという政治的な圧力を長期にわたって受けた結果、現状を維持することになれば、それは自身のDNAを否定することになるだろう。

そう考えると、同社が最近、社名をMetaに変更したことは、それよりはるかに浅薄な行動だったように思えてくる。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

WhatsApp、メッセージの自動消去をデフォルト設定可能に

WhatsAppユーザは、送信あるいは受信するすべての新規メッセージを簡単に消すことができるようになった。世界最大のインスタントメッセージングサービスは、同社幹部のいう次のプライバシー標準に向けて、機能を拡張している。

世界で20億人以上が使っているMeta(メタ)傘下のサービスは、ユーザーがすべてのチャットをデフォルトで自動消去させるオプションを米国時間12月6日に提供開始した。これまでユーザーは、新しいチャットごとに手動で自動消去を有効にする必要があった。

またWhatsAppは、メッセージを24時間あるいは90日後に消去させるオプションを、2020年最初に同機能を導入した際の7日間の期間に加えて提供する。

「自動消去によって、より自由で正直な会話が可能になります」とWhatsAppの消費者プロダクト責任者であるZafir Khan(ザファー・カン)氏がTechCrunchのインタビューで語った。全新規メッセージをデフォルトで自動消去させるオプションができることで、ユーザーが友達との気まずさを回避するのに役立つだろうとのことで、新機能の開発中、チームがユーザーからのフィードバックを得たことを付け加えた。

画像クレジット:WhatsApp

メッセージは、会話参加者のいずれかが自動消去オプションを有効にしていれば、一定時間後に消去する、と同氏は説明した。また、グループメッセージ向けにもこのオプションを提供する予定で、グループ作成時に選択できるようにする、と語った。

自動消去はWhatsAppが拡大展開する上での大きな焦点のようだ。「プライバシーは常にWhatsAppの中心にあります。私たちはエンド・ツー・エンド暗号化を提供しており、メッセージングの世界で標準となるずっと前にデフォルトにしました」と同氏はいう。

「自動消去はメッセージングの新たな業界標準だと考えています」とMetaのCEOであるMark Zuckerberg(マーク・ザッカーバーグ)氏はFacebookの投稿で述べ「すべてのメッセージが永遠に残る必要はありません」と付け加えた。

メッセージが消える仕組みは絶対ではないので念の為。

今後もメッセージを転送したりスクリーンショットを取ることで、消去プロセスを回避できる。しかしカン氏は、これは技術の問題ではないことを示唆した。メッセージを送る相手がこちらの要求に従いたくなければ、連絡するのをやめる以外にできることはほとんどない。

画像クレジット:Kirill Kudryavtsev / AFP / Getty Images

原文へ

(文:Manish Singh、翻訳:Nob Takahashi / facebook

GDPRコンプライアンスを自動化する英Soverenが約7.4億円のシード資金を得て脱ステルス

ロンドンを拠点とし、プライバシーリスクの検出を自動化して企業のGDPR(EU一般データ保護規則)およびCCPA(カリフォルニア州消費者プライバシー法)への準拠を支援するスタートアップSoverenは、650万ドル(約7億4000万円)のシード資金を得て、ステルス状態から脱却した。

同社は、組織のインフラ内のリアルタイムのデータフローを分析して個人データを発見し、プライバシーリスクを検出することで、CTOやCISOがプライバシーギャップを認識して対処することを容易にする。Soverenによると、全世界でおよそ1千万社の企業が、プライバシーインシデントの検出と解決を怠ったために、GDPRやその他の規制上の義務に違反するリスクを抱えているという。

Soverenの創業者兼共同CEOであるPeter Fedchenkov(ピーター・フェドチェンコフ)氏は、TechCrunchにこう語った。「セキュリティソフトウェアは、セキュリティ上の脅威にはうまく対処できますが、プライバシー上の課題への対処には限定的な影響しか与えません。これは、簡単に隔離できる他の機密データとは異なり、個人データは実際に日々の業務の中でアクセスされ、使用され、共有されるようにできているためです。当社は、プライバシーは新しいセキュリティであると信じています。なぜなら、同じように自動化された継続的な保護対策が必要だからです」。

フェドチェンコフ氏は、Soverenのアイデアは、EC分野での個人的な経験から生まれたという。「今日、データ保護とプライバシーのコンプライアンスがいかに手作業で複雑であるかを目の当たりにしました。時間もお金も労力も、必要以上にかかっています」。

Sovernはこれまでに、北米および欧州において、ソフトウェア、eコマース、旅行、フィンテック、ヘルスケアなどの分野で、10社のライトハウスカスタマーを確保している。

今回の投資ラウンドは、Northzoneの参加を得てFirstminute Capitalが主導し、Airbnb(エアビーアンドビー)やMulesoft(ミュールソフト)などから11人のユニコーン創業者、Sir Richard Branson(サー・リチャード・ブランソン)の家族ファンド、Palo Alto Networks(パロアルトネットワークス)の会長CEOであるNikesh Arora(ニケシュ・アローラ)氏をはじめとするひと握りのグローバルCEOが参加した。

フェドチェンコフ氏によると、Soverenはまず、この資金を使って製品チームを拡大し、セールスとマーケティングに投資する予定だという。「マーケティング面ではまだ何もしていないので、それを強化したいと考えています」と同氏はTechCrunchに語っている。

画像クレジット:Bortonia / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

ツイッターが安全ポリシーを拡大、本人承諾なしの人物画像投稿を禁止

Twitter(ツイッター)は米国時間11月30日午前、private information safety policy(個人情報に関するポリシー)を改訂し、個人のプライベートな画像や動画を本人の承諾なくシェアすることを禁止した。すでに同プラットフォームは、ユーザーが他人の個人情報を許可なくシェアすることを禁止している。住所や位置情報、個人を特定する文書、非公開の連絡先、財務情報、医療情報などだ。しかし今回の改訂によって、反ハラスメントや反ドキシング(doxxing、他人の個人情報をインターネット上にさらす行為)に関わるポリシーがさらに厳格化された。

これは、投稿前に写真やビデオに写っている人全員の承認を得ることを要求するものではない。しかし、写っている人がメディアの削除を要求した場合、Twitterは削除する。

「描写されている個人あるいは正式な代理人から、自分のプライベートな画像また動画がシェアされることを承諾していないという通知があれば、当社はそれを削除します」とTwitterがブログに書いた。「このポリシーは著名人や公人が写っているツイート・テキストをともなうメディアで、公共の利益のため、あるいは公的発言に価値を付加するものには適用されません」。

しかし、著名人のケースについてTwitterは、嫌がらせを目的としたコンテンツは、攻撃的な行為および相手の意に反するヌード画像を禁止する現行ポリシーに沿って削除する場合があることを明確にした。また同社は、著名人に関するコンテンツを削除するかどうかを判断する際、その情報がすでにテレビ、新聞など他の公開メディアに掲載されているかどうかを評価すると語った。

それでも、多くのTwitterユーザーがこの新ポリシーへの懸念をプラットフォーム上で表明している。例えばフットボールの試合で観衆の写真を投稿するとき、全員の承諾を得なくてはならないのではないか、このポリシーはユーザーを沈黙されるために使われるのではないかと、などを心配している。このため、懸念にこたえるべく、後に専用アカウントのTwitter Safetyが発表のスレッドにコメントを追加した。

「この意味をわかりやすく説明します」と同アカウントは書いた。「このポリシー改訂は、メディアの乱用による嫌がらせ、恫喝、個人情報の暴露など、女性、活動家、反対意見の人々、少数コミュニティのメンバーなどを不当に傷つける行為を抑制するものです」。

Twitterはさらに、大規模イベントに参加している人々を写した画像やビデオはポリシーに反しないことを説明した。もし、画像に写った人物、あるいはその人物の正式な代理人からの報告を受けた場合、Twitterは投稿を削除する決断を下す前に、そのツイートが「公的発言に価値を付加しているか」どうかを検討する。それでも、批判する人々は、どのコンテンツが価値を付加しているか、Twitterがどうやって判断するかについて懸念を示している。

「文脈が重要です。当社の現行の情報ポリシーには、ニュース価値の高いイベントや公共の利益になる発言に関する妥協のない報道を可能にするために、多くの例外が示されています」と同社は言った。

ちなみに、昨日インターネットを見なかった人のために書いておくと、Jack(ジャック・ドーシー氏)はTwitterのCEOを退任した。ただし、今回のポリシー改訂が彼の離脱と関係しているという痕跡はない。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Amanda Silberling、翻訳:Nob Takahashi / facebook

Safariのプライバシー保護を迂回したトラッキングに対する損害補償を求める英国の集団訴訟上訴審でグーグルが勝訴

Google(グーグル)は英国最高裁で集団訴訟形式のプライバシー訴訟上訴審で勝訴した。もし敗訴していたら、最大30億ポンド(約4602億円)の罰金が課せられるところだった。

この長期に渡る訴訟は老練の消費者権限活動家Richard Lloyd(リチャード・ロイド)氏が起こしたものだ。同氏は2017年以来、グーグルがApple(アップル)のSafariのプライバシー保護設定を回避して、2011~2012年の間にSafariブラウザーのiPhoneユーザーのプイバシー設定を上書きしていたとして、400万人を超えると推定される英国のiPhoneユーザーのプライバシー侵害に対する補償を求めて集団訴訟裁判を戦ってきた。

ロイド氏の訴訟はプライバシー被害の損害賠償を求めて起こされたものだが、より広い意味では、データ保護違反の損害賠償を求めて英国で代表訴訟を起こせるようにしたいと考えてのことだ。英国の法律では一般に集団訴訟を起こすための体制が確立されていない。

2018年、高等法院はこの訴訟の審理停止を言い渡したが、翌2019年、控訴院はその判決を覆し、審理の継続を許可した。

しかし、今回、最高裁判決では、全会一致で、高等法院の見解は基本的に覆され、集団訴訟は停止された。

最高裁判事は、賠償を請求するには損害 / 損失を被っている必要があり、個人ベースでの損害 / 損失を証明する必要性を省略することはできないという考え方を示した。つまり、代表集団の個々人の個人データの「コントロールの喪失」について、ロイド氏の訴訟で要求されてきたように一律に補償を行うことはできないということだ。

「こうした事項を証明できなければ、損害請求によって賠償金を獲得することはできない」と最高裁は自身の判決について記述している。

この判決はトラッキング業界に対する集団訴訟を起こすことができるようにしたいという英国運動家の望みに大きな打撃を与えた。

グーグルがこの訴訟に負けていたら、プライバシー違反に対するより多くの代表訴訟への門戸が開いていたことだろう。しかし、グーグル勝訴したことで、近年、商業訴訟資金提供者を惹き付けてきた、データマイニングテック大手を相手取った英国の集団訴訟の動きに水を差すことになるだろう。

関連記事:オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展

今回の判決を受けてBLMという法律事務所は次のように書いている。「今回の結果は、大量のデータを処理したり、個人データの利用にビジネスモデルの基盤を置いているグーグルやその他の企業(およびそうした企業の株主や保険業者)にとってうれしい知らせとなるでしょう」。

別のLinklaters LLPという法律事務所は、この判決を「データ漏洩領域における損害で新しいオプトアウト体制を作り上げようとしてきた原告の法律事務所や資金提供者には大きな痛手」と評している。

「判決後にたくさんの似たような訴訟が起こると期待していましたが、それも消えてなくなりました」とLinklatersの紛争解決パートナーHarriet Ellis(ハリエット・エリス)氏は付け加えた。「原告の法律事務所は今回の判決を慎重に見直して、それでもまだオプトアウト集団訴訟を戦える可能性が残されていないか調べていますが、かなり難しいようです」。

TechCrunchは前回ロイド氏の代理人を引き受けた法律事務所Mishcon de Reya(ミシュコンデレイヤ)に連絡し、コメントを求めた。同事務所によると、この件に関しては前回ロイド氏の代理人を務めたものの、最高裁訴訟では代理人の務めを果たしていなかったという。

同事務所のデータ実務責任者Adam Rose(アダム・ローズ)氏は次のように付け加えた。「被告が勝訴したものの、今回の判決でデータ保護違反の補償請求が終わりを告げると判断するのは時期尚早だと思います」。

「最高裁はグーグル側の主張を支持したものの、この判決は主に、現在は廃止された1998年データ保護法のもとでこうした訴訟を起こす法的メカニズムに関して判断を下したもので、データ保護法の包括的な権利と原則を否定するものではありません。つまり、まだ説得力ある議論を行う余地は間違いなく残されています。とりわけ、新しい英国GDPRの枠組みのもとでは、特定の集団訴訟の審理が認められていますし、データ保護法違反で補償が適切と認められるケースはあると思います」とローズ氏はいい、次のように付け加えた。「今回の判決でバトンは議会と情報コミッショナーに渡された形になります」。

「議会では、データ保護法のもとでオプトアウト訴訟をより簡単に起こせるようにするには法律が必要だということになるかもしれません。情報コミッショナーの立場からすると、故意かつ大規模なデータ保護法違反に対する断固たる強制行動と、データ主体に対して効果的な司法救済を与えることが早急に必要とされています。これは英国GDPRと現行のデータ保護フレームワークで約束されていることです」。

グーグルは今回の最高裁判決を受けて、裁判の詳細に関する考察は避け、次のようにコメントするだけに留めている。

この訴訟は、10年前に起こり当時当社が対処した出来事に関連するものです。人々はオンライン上でも安全かつセキュアでいたいと思っています。我々が人々のプライバシーを尊重し保護する製品とインフラストラクチャを構築することを長年重視してきたのもそうした理由からです。

グーグルの広報担当はtechUK事業者団体によって出された声明も提示した。同団体は、今回の訴訟でグーグル支持の立場で仲裁に入り、今回の判決について次のようにコメントしている。「今回の上訴が棄却されていたら、膨大なデータを操作するデータコントローラー企業に対して思惑的にいやがらせで訴訟を起こす扉が開かれることになり、民間企業、公的機関の双方に広範な影響が出ていたでしょう」。

techUKはさらに次のように続ける。「我々は代表訴訟に反対するものではありませんが、訴訟を起こすのであれば、まず、データ侵害の結果として個人に損害がもたらされたかどうかを明確にする必要があります。補償請求はその後です」。

ただし、最高裁の判事は「オプトイン」(オプトアウトではない)訴訟の裁判費用について、1人当たりの補償額が数百ポンド(数万円)にしかならない場合、裁判に持ち込むメリットがまったくなくなってしまう(ロイド訴訟では提示額は1人あたり750ポンドだった)と指摘している。というのは、原告1人あたりの裁判費用が補償額を容易に上回ってしまう可能性があるからだ、と指摘している。

はっきりいうと、techUKは、ほぼすべてのデータ侵害に対して代表訴訟を起こすことに反対の立場をとっている。

一方、英国のデータ保護監視機関は、データマイニングアドテック産業に対する法執行についてはまったく消極的だ。2019年以来、ICO(プライバシー監視機関)が違法トラッキングのまん延について警告しているにもかかわらずだ。

英国政府は現在、国内のデータ保護体制の弱体化対策に取り組んでいる

このように、英国の法律に記載されている平均的な英国市民のプライバシーの権利は、今かなりあいまいになっている。

米国では、グーグルは10年前、SafariのCookieトラッキング問題についてFTCと同意し、Safariのプライバシー設定を迂回して消費者にターゲット広告を配信したことについて、2012年に2250万ドルの罰金を支払うことに合意した(ただし、不正行為については認めなかった)。

人権グループも、今回の最高裁判決を受けて、政府に集団的回復の法制化求めた。

Open Rights Groupの事務局長Jim Killock(ジム・キロック)氏は次のように語った。「市民が大規模なデータ侵害に対して、家を手放すリスクを負うことも、情報保護監督機関のみに依存することもなく、回復を求める手段があってしかるべきです」。

ICOはすべてのケースに対応できるわけではなく、ときには、対応を渋ることもあります。我々は2年間にわたって、ICOが違法行為を認めているアドテック業界に対する対策を待ち続けてきました。しかし、対策が実施される様子はありません」。

「このようなケースで法廷費用を支払うために家を手放すリスクを負うのはまったく不合理です。しかし、集団訴訟ができなければ、残された道はそれしかありません。多くの場合、テック大手相手にデータ保護を実施するのは極めて困難です」。

「政府は約束を守り、GDPRのもとでの集団訴訟の実施を検討すべきです。しかし、政府は2月に、ロイドvs.グーグル訴訟で既存のルールのもとでも回復は可能であることが示されたという理由で、集団訴訟の実施を明確に拒否しました」。

画像クレジット:Chesnot/Getty Images / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

イタリア、アップルとグーグルに対して「強引」なデータ処理で各13億円の罰金

イタリアの競争・市場当局(AGCM)は、Apple(アップル)とGoogle(グーグル)が、ユーザーのデータを商業的に利用する際にユーザーに十分な情報を提供せず、同国の消費者規則に違反したとして、両社にそれぞれ1000万ユーロ(約13億円)の罰金を科した。

また、AGCMは、両社がユーザーに商業利用を承諾させるために「強引」な商業慣行を展開していたと非難している。

AppleとGoogleにACGMの制裁への対応を尋ねたところ、両社とも控訴すると述べた。

Googleは、アカウント作成時やユーザーのサービス利用時に関連情報を省略していたと非難されている。これらの情報は、商業目的でのデータ利用に同意するかどうかをユーザーが判断するために提供されるべきものだと規制当局は指摘する。

AGCMはまた、ユーザーがApple IDを作成したり、App Storeなどのデジタルストアにアクセスしたりする際に、情報を商業目的でどのように使用するかについての明確な情報をユーザーに即座に提供していないとして、Appleを非難している。

これは、消費者のプライバシー擁護者としてのAppleのイメージを考えると、かなり驚くべき制裁だ(もちろん、同社のデバイスやサービスは、Google製のような広告付きの安価な代替品と比較して、プレミアムが付く傾向にあることはいうまでもない)。

イタリアの規制当局は、今回の制裁を発表したプレスリリースの中で、両社の慣行をひとまとめにし、特にアカウント作成の段階で、それぞれのユーザーに利己的な商業条件を強引に押し付けていると非難している。

Googleについては、ユーザーが商業的処理を受け入れることを前もって決めている点をACGMは指摘している。また、アドテック大企業である同社は、アカウント作成のステップが完了した後、ユーザーがこれらのデータ転送への同意を後で撤回したり、選択を変更したりするための明確な方法を提供していないことも指摘している。

そして、Appleのアプローチについては、ユーザーが自分のデータの商業利用について適切に選択する能力を否定しているという見解を示している。規制当局は、Appleのデータ取得慣行とアーキテクチャは、本質的に消費者が商取引条件を受け入れることを「条件」としていると主張している。

かなりのマーケティング費用を投じて、自社のデバイスやソフトウェアが他の製品(Googleのものなど)よりも優れていることを示唆しているAppleにとっては、ユーザーのプライバシーを重視していると主張しているだけに、厄介な指摘だ。

Appleは声明の中で、ACGMの指摘を否定し、次のように述べている。

「我々は、当局の見解が間違っていると確信しており、この決定については不服として控訴します。Appleは、ユーザーのプライバシーを尊重することに長年にわたって取り組んでおり、顧客のデータを保護する製品や機能を設計するために、非常に努力しています。当社は、すべてのユーザーに業界最高レベルの透明性とコントロールを提供し、共有する情報、共有しない情報、およびその使用方法を選択できるようにしています」

Googleの広報担当者もこの調査結果に同意せず、次のような声明を出した。

「Googleは、ユーザーに便利なツールと使用状況に関する明確な情報を提供するために、透明で公正な慣行を行っています。ユーザーには、自分の情報を管理し、個人データの使用を制限するための簡単なコントロールを提供しており、消費者保護規則に完全に準拠するよう努めています。当局の決定には同意できず、控訴する予定です」

ACGMの決定内容の全文はこちら(AppleGoogle)で閲覧できる。

イタリアの規制当局はここ数日、大手テック企業の非難で忙しかった。今週初め、当局はAmazon(アマゾン)のイタリア市場でのApple製品販売をめぐる談合の疑いで、AppleとAmazonに総額2億3000万ドル(約260億円)の罰金を科した。

関連記事
イタリアがアマゾンとアップルに約264億円の制裁金、Beats製品の再販で
イタリア公正取引委が支配的地位乱用でグーグルに約130億円の罰金を命令

また、ACGMはここ数年、ハイテク企業に対する調査を強化しており、2021年初めには、ユーザーのデータを商業的に利用した同様の問題でFacebook(フェイスブック)に罰金を科し、今夏には、Android Autoに関連してGoogleに1億2300万ドル(約139億円)の罰金を科した。また、Googleの広告表示事業についても公開調査を行っている

近年、ACGMが科した罰金には、iPhoneの防水性についてユーザーに誤解を与えたとしてAppleに対するものや、デバイスの速度低下についてAppleとSamsung(サムスン)に科したものなどがある

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

欧州のデジタル規制の再改定でフェイスブックの態度が変わる可能性、内部告発者フランシス・ホーゲン氏が欧州議会で証言

Facebook(フェイスブック)の内部告発者Frances Haugen(フランシス・ホーゲン)氏は、先に行われた英国と米国の国会議員の前でのセッションの後、欧州議会で洗練された証言を行った。

ホーゲン氏のコアメッセージは、大西洋の両側で発せられたのと同様の深刻な警告だった。「Facebookは安全より利益を優先し、個人、社会、民主主義に悪影響を及ぼす有害コンテンツの増幅を無視することを選んでいる。そして、欧州の規制監督は、こうした無責任な運営を行うプラットフォームを統制し、責任あるものにするために不可欠であり、立法者たちがソーシャルメディアに規制を課すことに一刻の猶予もない」。

Facebookの内部告発者として(これまでで)最も注目度の高い人物であるホーゲン氏は、欧州議会から非常に好意的な反応を受けた。議員たちは、同氏が時間を割いてくれたことや、彼らが同氏の「勇気」と表現する、懸念を公に表明してくれたことへの感謝の言葉を惜しまなかった。そして同氏が発言する前や、約3時間にわたるプレゼンテーションと質疑応答の最後にも、同氏を称賛した。

議員たちはさまざまな問題について同氏に質問した。最も大きな関心が寄せられていたのは、新たに導入されるEU全域のデジタル規制が、不安定なプラットフォーム大手に対して、効果的な透明性と説明責任をいかに最大限にもたらし得るかということだった。

Digital Services Act(DSA、デジタルサービス法)は、欧州議会議員の知性の前に置かれている。欧州委員会の提案に対する修正の検討と投票が行われており、この過程で同法案が大きく変化する可能性もある。

一部の議員が行動広告の全面禁止を求める動きを見せたことなどを受け、コンテクスチュアル広告のようなプライバシー保護に配慮した代替手段が法案に盛り込まれた。あるいは最近支持を得た別の修正案では、ニュースメディアをプラットフォームコンテンツの削除から除外するよう求めている

蓋を開けてみると、ホーゲン氏はこうした修正案に好意的ではないことがわかった。しかし、この規制を総じて支持すると同氏は発言した。

DSAの全般的な要点は、信頼できる安全なオンライン環境を実現することに置かれている。そして本日のセッション中に発言した多くの欧州議会議員たちは、ホーゲン氏が欧州議会で発言することに世界的な注目が集まっていることを受けて、EUの警笛を吹く街頭演説的なオポチュニティを捉えた。Facebookの(さらに)別のパブリシティ危機の真っただ中にある中、デジタル規制が審議中であるだけでなく、採択に向かって急速に進んでいる進歩的な状態であることを知らせるものだ。

Facebookの内部告発者は政治的エゴを満たすことに快く応じてみせた。EUがプラットフォーム規制に真剣に取り組んでいることに「感謝する」と述べ、EUはDSAにより「グローバルなゴールドスタンダード」を築くオポチュニティを有していると示唆した。

とはいえ、同氏は2021年10月に行われた別の証拠審議の際にも、英国議会で同様の表現を用いている。そこで同氏は、同国のオンライン安全法について同じように熱弁を振るった。

ホーゲン氏は欧州議会議員たちに対し、Facebookは「データを使ってごまかす」ことに並外れて長けている、と英国の立法者たちに警告した内容を繰り返し、Facebookのプラットフォーム上で起きていることに関するデータを提出することを単純に要求するだけのような甘い法律を通過させてはならない、と議員らに印象つけた。むしろFacebookは、データを引き出して監視監査を生成するのに使用するクエリの詳細に至るまで、同社が引き渡すデータセットのすべてについて説明を求められるべきだということだ。

法制化においてこのようなステップを取らなければ、EUの新しいデジタル規則に大きな抜け穴ができ、Facebookはチェックマークを付ける構図を描くのに必要なあらゆるクエリを実行して、選択的に自己利益的なデータを提供することでうまく乗り切るだろう、とホーゲン氏は警鐘を鳴らした。

Facebookのように信頼できないプラットフォームでも規制が効果を発揮するためには、市民社会組織や外部の研究者たちの幅広いエコシステムからの多層的で動的かつ継続的なインプットが必要だと同氏は提言した。新たに発生してくる弊害を掌握し、法律が意図した通りに機能していることを確保するためだ。

AIがもたらすインパクトに関して求められている説明責任を真に果たすためには、現在DSAが提案している「吟味された学識者」だけではなく、より広範な分野の外部専門家にプラットフォームデータを提供することで、監視に対する広い視野を持つべきだと同氏は強く要請した。

「Facebookがデータで偽ることは明らかです」と同氏は欧州議会で語っている。「DSAの導入を奨励します。Facebookはデータを提供する際、その取得方法を示す必要があります【略】データを引き出すために使用したプロセス、クエリ、ノートを開示することが極めて重要です。これを確認できない限り、提供された情報を信頼することはできません」。

ホーゲン氏は単に警告を発するだけではなかった。同氏はさらに賛辞を重ね、欧州議員たちに次のように伝えた。「欧州がこれらのプラットフォームを規制する上で重要な役割を担うことを強く信じています。欧州は活気に満ちた、言語的に多様な民主主義国家だからです」。

「言語的にも民族的にも多様な4億5000万人のEU市民のためのDSAの権利を獲得すれば、世界に向けたゲームチェンジャーを創出できます。ビジネスのオペレーションに対する社会的リスクの評価を各プラットフォームに義務づけることで、構築するプロダクトやその構築方法の決定は、利益の最大化だけに基づくものではなくなります。言論の自由を保護しつつ、リスクに対処する体系的なルールや基準を確立し、透明性、監視、執行がどのように機能すべきかを世界に示すことができるでしょう」。

「プラットフォームは自社がどのような安全システムを持っているのか、それらの安全システムがどのような言語に対応しているのか、言語ごとのパフォーマンスを明らかにしなければなりません。これを確実にすることが、深刻に、切実に求められています」と同氏は続け、包括的な情報開示の必要性に関する自身の主張を具体化した。「正直なところこれは欧州人の大多数にとって危険なことなのだろうか?と思われるかもしれません」。

ホーゲン氏によると、このようなアプローチは、そのプラットフォームが稼働するすべての市場と言語にまたがる弊害に対処する上で必要な「言語に依存しないコンテンツ中立的なソリューション」をFacebookに迫ることで、欧州を超えた規模のメリットをもたらすという。

Facebookの(限られた)安全予算における偏り、つまりどれだけの予算が英語圏の市場に向けられているのか、そして / または規制を恐れている少数の市場に向けられているのかという点は、Facebookの非常に多くの内部文書が漏洩したことで増幅された核心的な問題の1つである。そして同氏は、FacebookのAIモデルに状況に応じた透明性を持たせることで、強力なプラットフォームがどのように運用されているのか(そして何を優先するのか、何を優先しないのか)というグローバルな公平性の欠如に対処できると提言。そのためには一般的なパフォーマンス指標に加え、市場、言語、安全システム、そしてターゲットを絞ったコホート単位においても、詳細な情報が必要になると指摘した。

安全性を体系的な要件としてFacebookに取り組ませることは、欧州全域の市場でプラットフォームが引き起こす問題を解決するばかりでなく「世界の脆弱な地域に住んでいて、あまり影響力を持たない人々のために声を上げることにもなる」と同氏は主張する。そして次のように言い添えた。「世界で最も言語的な多様性に富む地域は、往々にして最も脆弱な地域であり、欧州が介入する必要性を抱えています。欧州は影響力を有しており、そうした地域の人々のために真に力を発揮できるのです」。

ホーゲン氏の発言の多くは以前の証言や記者会見でもお馴染みのものであった。一方、質疑応答では多くのEU立法者たちが、有害なコンテンツの増幅というFacebookの問題がマイクロターゲット / 行動広告(当議会で活発に議論されている)の全面禁止により解決されるのではないか、という論点に同氏の声を引き込もうとした。これによりアドテックの巨人は、背後にある人々の情報をデータ駆動型操作を通じて利益を得るために使用することができなくなるだろう、ということだ。

これについてホーゲン氏は異議を唱え、規制当局が決定するのではなく、人々が自分でターゲティング広告の有無を選択できるようにすることを支持すると述べた。

全面禁止の代わりに、同氏は「特定の事柄や広告は【略】実際に規制される必要があります」と提案し、規制の対象となる領域の1つとして広告料金を挙げた。「現在のシステムはヘイトを助成しています。つまり、ヘイト的な政治広告を掲載する方が、そうではない広告を掲載するよりも5倍から10倍安いのです。それを考えると、広告料を均一にする必要があると思います」と同氏は説明した。「ただし、特定の人をターゲットにした広告を規制すべきであるとも考えています」。

「ご存じかどうかわかりませんが、特定の広告について100人のオーディエンスをターゲットにすることも可能です。それが悪用されていることはまず間違いないと思います。政治広告に過剰にさらされているのはどのような人かを分析したところ、驚くことではありませんが、最も影響を受けているのはワシントンD.C.の人々で、それは極端に過度な露出状態です。私たちは月に何千もの政治広告について話し合っています。ですから、特定の人々を彼らの認識なしにターゲットにするメカニズムを持つこと【略】は容認できないと私は考えます」。

ホーゲン氏はまた、Facebookはサードパーティのデータソースを利用して、広告ターゲティング目的でユーザーのプロファイルを充実させていることに言及し、その利用を禁止するよう主張した。

「プロファイリングとデータ保持に関して、サードパーティのデータを取得することを許可すべきではないと思います。Facebookはクレジットカード会社やその他の形態と協働していますが、これは彼らの広告の収益性を根底から高めています」と同氏は述べ、次のように付け加えた。「データソースと連携する際にはその都度承諾する必要があると思います。人々は、Facebookに自分たちのデータの一部があることを知ればとても不愉快に感じるはずです」。

しかし、行動広告ターゲティングに関しては、全面禁止の支持を慎重に避けている。

それはこのセッション中に生じた興味深い波紋だった。この問題にはEU内部でモメンタムがあり、それにはホーゲン氏自身の内部告発が地域の立法者たちのFacebookに対する懸念を増幅させた結果としての影響も含まれていた。そしてホーゲン氏はそれを喚起するのに貢献したかもしれないのだ(しかしそうしないことを選んだ)。

「ターゲット広告に関しては、人々がどのようにターゲティングされるかを選択できるようにすべきであると強く提言します。そして、人々に選択を強要するダークパターンを禁止することを推奨します」と同氏はある回答の中で述べている(しかし「ダークパターン設計」のようなシニカルで多面的な要素に対し、規制当局がどのようにして有効な法律を作ることができるのかについての詳細には触れていない)。

「プラットフォームは、そのデータをどのように使うかについて透明である必要があります」と同氏は自身の提案のすべてを包含する本質を伝えてから、次の提案を繰り返すことに依拠した。「すべての政治広告に均一の広告レートを提供するようプラットフォームに義務づけるポリシーを公表すべきであることは、私が強く提唱するところです。政治広告でヘイトを助成すべきではありません」。

行動広告を禁止することに反対する同氏の主張は、規制当局が完全に包括的なプラットフォームの透明性を達成することに集約されている(むしろそれに依存している)ようだ。それは、Facebook(およびその他の同業各社)が人々のデータを使って実際に行っていることの正確な実態を提示できること、つまり、ユーザーがそのようなターゲティングを望むかどうかについて真の選択ができるようにすることだ。したがって、全面的な説明責任の遂行が重要な意味を持つ。

しかしセッションの別の局面で、それは子どもたちがFacebookのようなプラットフォームによるデータ処理に本当の意味で同意できるかどうかを尋ねられた後だったが、ホーゲン氏は、子どもはもちろんのこと、大人たちも、Facebookが自分たちのデータで何をしているのかを(現時点で)理解できているのか疑問であると主張した。

「自分がどのような情報をトレードしているのかを子どもたちが理解できるかということに関してですが、大人である私たちはほぼ間違いなく、何をトレードしているのかを理解していないと思います」と同氏は議員たちに語った。「アルゴリズムに何が含まれているのか、子どもたちにインフォームドコンセントが与えられるような形でターゲット設定されているのか、私たちにはわかりません。インフォームドコンセントが与えられているとは思えませんし、子どもたちの能力も限られています」。

これを踏まえると、同氏の信念、つまり「前述のような包括的な透明性は可能であり、すべての大人が操作的な行動広告を受け入れるか否かの判断を真に情報に基づいて下すことができるデータ駆動型操作、という普遍的に包括的な構図を描き出すだろう」との考えは、何というか、やや希薄に見える。

ホーゲンの論理、すなわち、規制当局がユーザーに提供されているあらゆるものについて不適切 / 不正確に伝達すること、および / または規制当局がユーザーに自らのリスクと権利に関する適切かつ普遍的な教育を保証していないことを含む、根本的な透明性の欠如に対して同氏が提案した解決策に従うならば、データ駆動型の搾取が(今まさに法律に組み込まれているフリーパスで)続いていくリスクがあることは確かであろう。

ここでの彼女の議論は一貫性に欠けているように感じられた。行動広告を禁止することに対する同氏の反対、そしてそれゆえに、ソーシャルメディアの操作的な有害性を助長する1つの根本的なインセンティブに対処することに反対している同氏の主張は、論理的というよりむしろイデオロギー的なものであるかのようだ。

(確かに、世界中の政府は同氏が主張しているような高い機能を備えた「完全な」監視機能を緊急に導入することができるという信念の飛躍は必要なように思える。とはいえ、同時に同氏は、何週間もかけて立法者たちに対し、プラットフォームは非常にコンテキストに特化した、データが詳細に記述されたアルゴリズムマシンとしてしか解釈し得ないものだと強く訴えてきた。同氏が今回の質疑応答で述べたようなFacebookの「驚くべき」データ量を考えれば、目の前にあるタスクの規模の大きさはいうまでもない。Facebookからデータを生の形で取得した場合、規制当局にとってあまりにも膨大すぎることが示されている)

これはおそらく、権利の専門家ではなく、データサイエンティストに期待される視点でもあるだろう。

(前述のような、行動広告の禁止に対する同氏の即座の拒否は、害が流れてそれが感じられるマシンの外にいるのではなく、ブラックボックスに内通してアルゴリズムやデータを操作することに専念してきたプラットフォームのインサイダーに見られるような、一種のトリガー反応といえよう)

セッション中の別の場面で、ホーゲン氏は、ソーシャルメディアの問題に対する唯一の万能薬として徹底的な透明性を求める自身の主張をさらに複雑にした。EUがこのような複雑な問題の施行を最大27の国家機関に任せることに対して警告を発した。

もしEUがそうするなら、DSAは失敗するだろうと同氏は示唆した。代わりに立法者たちに助言したのは、Facebookレベルのプラットフォームを包み込むために必要だと同氏が指摘する、非常に詳細で階層化された動的なルールの実施に対処するための中央EUの官僚機構を作ることだった。同氏はさらに、自身のような元業界のアルゴリズムの専門家たちがそこに「居場所」を見つけ、彼らの専門的な知識への支援や「公的な説明責任に貢献することによる還元」が推進されることを提唱した。

「アルゴリズムが実際にどのように機能し、その結果がどのような結果をもたらすのか、これらの分野の正式な専門家の数は、世界的に見て非常に少ないのが現状です。この分野に修士号や博士号はありません。そのため、分野に携わる企業の1つで働き、社内で実地訓練を受ける必要があります」と同氏は説明し、さらに次のように付け加えた。「この機能を27の加盟国に委譲した場合、1つの場所でクリティカルマスを獲得できなくなることを、私は深く懸念しています」。

「十分な専門家を確保し、それを広く分散させることは、非常に難しいでしょう」。

プラットフォームが人々の目をたやすく欺くことを防ぐためには、利己的なデータセットや「脆弱な」AIの中の悪質な詳細を明らかにする必要があると立法者たちに警告する声が非常に多い中、広告に個人データを使用しないなどの単純な制限を規制当局が実際に設定することにホーゲン氏が反対していることは、教訓的であるように思える。

同氏はまた、規制当局はプラットフォームがデータを使って実行できることに制限を設けるべきか、および / またはアルゴリズムに使用できるインプットに制限を設けるべきかについて、欧州議会議員らから直接質問を受けた。この質問に対しても、同氏は制限ではなく透明性を優先した(しかし他のところでは、前述のように同氏は、広告プロファイリングを充実させる目的でFacebookがサードパーティのデータセットを入手することは少なくとも禁止すべきだと主張している)。

結局のところ、このアルゴリズムの専門家のイデオロギーには、データ駆動型ソフトウェアマシンのための効果的な規制を考え出す方法について、ブラックボックスの外で考えることに関してはいくつかの盲点があるようだ。

民主主義社会がデータマイニングテクノロジーの巨人たちからコントロールを奪い返すためには、ある程度の急ブレーキは必要なことかもしれない。

したがって、ホーゲン氏の最大のアドボカシーは、デジタル規制を致命的に台無しにする抜け穴のリスクに関する極めて詳細な警告であろう。ここでのリスクが多元的であるという点で、同氏は間違いなく正しい。

同氏はプレゼンテーションの冒頭で、もう1つの抜け穴の可能性を指摘した。立法者たちに、ニュースメディアのコンテンツをDSAから除外しないよう求めた(これも議員たちが検討している修正案の1つだ)。「コンテンツ中立性のルールを作るのであれば、本当に中立でなければなりません」と同氏は主張した。「何も選ばれず、何も除外されないということです」。

「現代の偽情報キャンペーンはいずれも、システムを操作することで、デジタルプラットフォーム上のニュースメディアチャンネルを不当に利用していくでしょう」と同氏は警告した。「プラットフォームがこれらの問題に取り組むことをDSAが違法とする場合、私たちは法の有効性を損なうリスクを負うことになります。実際、今日の状況よりも状況が悪化する可能性があります」。

質疑応答の中でホーゲン氏は、いわゆる「メタバース」の構築に向けて計画されているFacebookの方向転換に照らして、規制当局が直面するであろう新たな課題について議員たちからいくつかの質問を受けた。

関連記事:ザッカーバーグ氏は110兆円規模のフェイスブックを「メタバース」企業にすると投資家に語る

これについて、同氏は議員らに対し「非常に懸念している」と述べ、家庭やオフィスでのメタバース供給センサーの普及によってデータ収集量が増加する可能性に警鐘を鳴らした。

同氏はまた、Facebookがワークプレイス用ツールの開発に注力していることが、ビジネスツールに関して従業員がほとんど発言権を持っていないことを考えると、オプトアウトが選択肢にさえならない状況をもたらすのではないかという懸念を表明した。これは人々が将来、Facebookの広告プロファイリングと、生計を立てることのどちらかを選ぶというディストピア的な選択に直面する可能性を示唆している。

Facebookが「メタバース」に新たな焦点を当てたことは、ホーゲン氏がFacebookの「メタ問題」と呼んだものを浮き彫りにしている。これはつまり、同社が現在のテクノロジーによって生じた問題を終わらせて修復するよりも「先に進む」ことを優先しているということでもある。

規制当局はこのジャガーノート(圧倒的な力を持つ存在)に対して、安全性に重点を置いた新たな方向性を計画させるためのレバーを投入しなければならない、と同氏は強調した。

​​画像クレジット:BENOIT DOPPAGNE/BELGA MAG/AFP / Getty Images under a license.

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EU最高裁顧問がドイツの大規模データ保持法は違法と指摘

国民のデータを(曖昧かつ包括的な「セキュリティ」目的のために)保持したい欧州加盟国政府の欲求と、無差別な大規模監視はEU法の基本原則(プロポーショナリティー、プライバシー尊重など)と相容れないとする主張を繰り返し、基本的権利の擁護を続けるEUの最高司法機関である欧州司法裁判所(CJEU)との戦いは、大規模データ保持に関する国内法令に対する辛辣な法的批判を再度呼び込んだ。

今回矢面に立たされたのはドイツのデータ保持法で、CJEUは、ISP(インターネット・サービス提供者)のSpaceNet(スペースネット)とTelekom Deutchland(テレコム・ドイチュラント)が提起した顧客の通信トラフィックデータを保持する義務に異議を唱える複数の訴訟に続いて裁定する。

判決はまだ出ていないが、現地時間11月18日、CJEU顧問から影響力のある意見として、トラフィックおよび位置データの概略的で無差別な保持は、例外的(国家安全に対する脅威に関連するもの)にのみ認められるものであり、データは永続的に保持されてはならないという見解が示された。

EU司法裁判所のManuel Campos Sánchez-Bordona(マヌエル・カンボス・サンチェス-ボルドナ)法務官の意見を発表したプレスリリースで裁判所は、同法務官は「言及されたどの論点に対する答えも、すでに同裁判所の判例法に含まれているか、そこから容易に推測できると考えています」と述べ、ドイツ法の「極めて広範囲のトラフィックおよび位置データを対象とする」「概略的で無差別な保持義務」は、データを一括収集するものであり、対象を絞った方法(特定の国家安全保障目的など)ではないことから、保管に課せられた制限時間内にEU法と合致させることはできない、とする司法官の見解を明確に提示した。

同司法官は、無差別な一括収集は個人データの漏洩あるいは不正アクセスなど「深刻なリスク」を生むと指摘している。そして、市民のプライベートな家族生活と個人データ保護の基本的権利に対する「重大な干渉」をもたらすと繰り返した。

この見解に法的拘束力はないものの、CJEUの裁定はアドバイザーに合わせられる傾向にある。ただし、この訴訟の最終裁決が下されるのはまだ数カ月先のことだ。

CJEUは、類似の事例を1年前に裁定している。複数のデジタル権利団体が、英国およびフランス法に基づいて行われた国の大規模データ収集および保持に対して異議を申し立てた訴訟で、当時裁判所は限定的なデータ収集および一時的な保持のみが許されるという裁定を下した。

(しかしPoliticoによると、その後フランスは判決の回避方法を探っている。同紙は去る3月に、政府は最高裁判所に裁定に従わないよう要求したと報じた。)

2014年の画期的判決でCJEUは、圏内でデータ保持規則を調和させることを目的とした2006年のEU司令を却下し、この制度は市民の権利に対する過度の介入を構成すると裁定した。それなら加盟国はこれまでにそのメッセージを受け取っているはずだと思うだろう。

しかし、この法的衝突が一段落する見込みはなさそうだ。とりわけ、各国政府の間で汎EUデータ保持法を復活させようとする新たな動きがあることを示す漏洩した討議資料Netzpolitik(ネッツポリティック)が入手し、この夏に報道してたことを踏まえると。

画像クレジット:Vicente Méndez / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nob Takahashi / facebook

フェイスブックの広告ツールが特定の個人をターゲティングできることを研究者グループが発表

スペインとオーストラリアの学者とコンピュータ-科学者のチームによって執筆された最新の研究論文で、Facebook(フェイスブック)のプラットフォームがユーザーに割り当てる関心事項について十分に認識していれば、Facebookのターゲットツール使用して、特定の個人のみに排他的に広告を配信できることが実証された。

「Unique on Facebook:Formulation and Evidence of (Nano)targeting Individual Users with non-PII Data(Facebook上での一意性:非個人データによる個人ユーザーのナノターゲティングの定式化と証拠)」と題するこの論文では、Facebookのプラットフォームによってユーザーに割り当てられた趣味・関心事に基づいて、ユーザーを一意に識別できる可能性を示すメトリックを定義する「データ駆動モデル」が説明されている。

研究者たちは、Facebookのアドマネージャーツールを使用して、意図した特定のFacebookユーザーのみに届くように多数の広告をターゲット配信することができることを実証した。

この研究では、Facebookの広告ターゲットツールが有害な目的に利用される可能性について、新たな疑問を投げかけている。さらには、Facebookがユーザーについて収集している情報を使用して個人を特定できる、つまり、ユーザーの趣味や関心のみに基づいてFacebook上の膨大なユーザーから1人を選び出すことができるという状況を踏まえ、Facebookの個人データ処理帝国の合法性についても疑問を呈している。

この研究結果により、行動ターゲティング広告の禁止または段階的廃止を求める議員に対する圧力が強まる可能性がある。行動ターゲティング広告は、個人的にも社会的にも害を及ぼす可能性があるため、何年にも渡って非難の対象になってきた。少なくとも今回の論文によって、こうした侵襲的なツールの使用方法について確固とした抑制と均衡を求める声が高まりそうだ。

また、この研究では、こうした独立系の研究機関でもアルゴリズムを利用したアドテックを調査できることの重要性も浮き彫りになっており、研究者のアクセスを遮断しないように求める対Facebookの圧力も強まるに違いない。

Facebookの関心は個人データ

「私たちのモデルで検証した結果、Facebookによってあるユーザーに割り当てられた関心事集合のうち4つの大変珍しい関心事または22のランダムな関心事によって90%以上の可能性でそのユーザーをFacebook上で一意に特定できることが明らかになりました」とマドリード大学Carlos III、オーストラリアのGraz University of Technology(グラーツ工科大学)、スペインのIT企業GTD System & Software Engineering(GTDシステム&ソフトウェアエンジニアリング)の研究者は書いている。これにより、1つの重要な事実がわかる。つまり、Facebookが認識している珍しい関心事または多くの関心事を持つ個人は、Facebook上で、数十億人という膨大なユーザーの中からでも容易に特定できるということだ。

「この論文は、私たちの知るかぎりでは、世界規模のユーザーベースを考慮した上で個人の一意性について調査した最初の研究です」と彼らは続け、28億人のアクティブなユーザーに対するデータマイニングというFacebook固有のスケールについて言及した(注:Facebookはユーザー以外の情報も処理している。つまり、Facebook上でアクティブなインターネットユーザーよりもさらに広範なスケールの人たちにリーチしている)。

研究者たちは、今回の論文は「Facebookの広告プラットフォームを体系的に悪用してインターネット上の非個人識別情報データに基づくナノターゲティングを実装できる可能性」について最初の証拠を提示するものであることを示唆している。

Facebookの広告プラットフォームが、1対1で相手を巧みに操るためのパイプの役割を果たしていることについては早くから論争が繰り広げられてきた。例えば2019年のDaily Dotの記事には、性生活に不満を抱えている夫に、妻やガールフレンドを心理的に操作するサービスを販売していたSpinner(スピナー)という会社の例が紹介されている。挑発的で無意識に相手を操作する広告がターゲットのFacebookやインスタグラムのフィードにポップアップ表示されるというものだ。

今回の研究論文では、2017年に起こった英国の政治生命に関する事例にも言及している。労働党の選挙運動の最高責任者がFacebookのカスタムオーディエンス広告ターゲティングツールを利用して、党首のJeremy Corbyn(ジェレミー・コービン)氏をだますことに成功したのだ。ただし、このケースでは、ターゲットになったのはコービン氏だけではなかった。彼の同僚や彼と同じ考えの数人のジャーナリストにも広告が送られた。

今回の研究チームは、Facebookのアドマネージャーツールを利用すれば、特定の1人のFacebookユーザーに広告を送ることができることを実証している。彼らはこのプロセスを「ナノターゲティング」と呼んでいる(現在のアドテックで「標準的」な「インターネットベース」の広告をユーザーグループに送るマイクロターゲティングとは異なる)。

「本稿では、21のFacebook広告キャンペーンによって実験を実施することで、広告主がユーザーの関心事を十分に認識していれば、Facebook広告プラットフォームを体系的に悪用して特定のユーザーに排他的に広告を配信できることを論文の3人の執筆者が証明する」と論文には書かれており、この論文は「ターゲットユーザーの関心事のランダム集合を認識するだけで、Facebook上に1対1のナノターゲティングを体系的に実装できる」という「最初の経験的証拠」を提示するものだとしている。

彼らが分析に使用した関心事データは、彼らが作成し、2017年1月以前にユーザーによってインストールされたブラウザ拡張機能を介して、2390人のFacebookユーザーから収集されたものだ。

この拡張機能はData Valuation Tool for Facebook Users(Facebookユーザー向けのデータ評価ツール)と呼ばれ、各ユーザーのFacebook広告設定ページを解析して、ユーザーに割り当てられた趣味や関心を収集すると同時に、Facebookのブラウジング中にそのユーザーに配信される広告によってFacebookにもたらされる利益のリアルタイムの推測値を計算する。

関心事データは2017年以前に収集されたものの、Facebookの広告プラットフォームを介して1対1のターゲティングが可能かどうかをテストする研究者たちの実験は2020年実施された。

「具体的には、この論文の3人の執筆者たちをターゲットとするナノターゲティング広告キャペーンを設定しました」と彼らはテスト結果について説明する。「私たちは、Facebookが各ターゲット執筆者に割り当てた関心事のリストから5、7、9、12、18、20、22個をランダムに選択したものを使用して各執筆者向けにオーディエンスを作成することで、データ駆動型モデルが実際に機能するかどうかをテストしました」。

「2020年の10月から11月の間に合計21回の広告キャンペーンを実施して、ナノターゲティングが現在実現可能であることを実証しました。実験でモデルの実施結果を評価したところ、攻撃者があるユーザーについて18個以上のランダムな関心事を認識していれば、そのユーザーに対して非常に高い確率でナノターゲティングを実行できることが分かりました。実験で18個以上の関心事を使用した9つのうち8つの広告キャンペーンで、当該ユーザーのナノターゲティングに成功しました」。

したがって、Facebookに18個以上のあなたの関心事が登録されている場合、あなたを巧みに操ることを目論んでいる人物にとって、それらの関心事は極めて興味深いものになる。

ナノターゲティングは止められない

1対1のターゲティングを防ぐ1つの方法として、Facebookが最小オーディエンスサイズに厳しい制限を課す方法が考えられる。

今回の論文によると、Facebookは、キャンペーンのオーディエンスサイズが1000人を超える(以前は21人以上だったが2018年にFacebookが制限値を上げた)可能性がある場合、アドキャンペーンマネージャーツールを使用して「Potential Reach(潜在的リーチ)」値を広告主に提示しているという。

しかし、Facebookは、実際には、この潜在的リーチよりも少ないユーザーをターゲットとするキャンペーンを広告主が実施することを禁止していない。ただ、メーッセージがリーチする人の数が極めて少ないことを広告主に知らせないだけだ。

研究者たちは、複数のキャンペーンで、1人のFacebookユーザーに無事広告が届いたことによってこの事実を実証することができた。その結果、広告のオーディエンスサイズはFacebookの広告レポート生成ツールによって生成されたデータを参照したものであること(「Facebookにより1人のユーザーだけにリーチしたことが報告された」)、ウェブサーバー上にユーザーが広告をクリックすることによってのみ生成されるログ記録が存在することによって確認された。さらには、ナノターゲティングの対象ユーザーに広告とそれに付随する「この広告が表示されている理由」オプションのスナップショットを取得してもらった。このオプションの値は、ナノターゲティングに成功したケースのターゲティングパラメーターに一致していたという。

実験結果のサマリーには次のように追記されている。「本実験から得られた主な結論は次のとおりである。(i)攻撃者がターゲットユーザーから18個以上の関心事を推測できる場合、Facebook上の特定の1人のユーザーをナノターゲティングできる可能性は非常に高い。(ii)ナノターゲティングは非常に低コストで実現できる。(iii)本実験によると、ナノターゲット広告の3分の2は有効キャンペーン期間中7時間以内にターゲットユーザーに配信されると予想される」。

ナノターゲティングの防止対策について議論されているこの論文の別のセクションでは、Facebookが課しているとされるオーディエンスサイズの制限は「まったくの無効であることが判明した」と主張しており、20人というオーディエンスサイズ制限は「現在適用されていない」と断言している。

また、Facebookがカスタムオーディエンス(広告主がPIIをアップロードできる別のターゲティングツール)に適用しているという100人制限の回避策も提示されている。

以下論文より抜粋する。

広告主による極めて少数のオーディエンスをターゲットとする広告の配信を防ぐためにFacebookが実装している最も重要な対策は、オーディエンスを形成するユーザーの最小数に制限を課すというものだ。しかし、この制限はまったくの無効であることが判明した。本論文の結果に動機付けられたFacebookは、アドキャンペーンマネージャーを使用して20人を下回るサイズのオーディエンスを設定することを禁止した。我々の調査では、この制限は現在適用されていない。その一方でFacebookは、最小カスタムオーディエンスサイズを100人とする制限を課している。セクション7.2.2で説明するとおり、この制限を回避して、カスタムオーディエンスを使用してナノターゲティングによる広告キャンペーンを実装するさまざまな方法が文献で紹介されている。

この論文では、全体を通して、インターネットベースのデータを「非個人識別情報(non-PII:Personally Identifiable Information)」と呼んでいるが、このような枠組みは欧州の法律のもとでは無意味であることを忘れてはならない。欧州では、一般データ保護規則(GDPR)のもとで、個人データについて非常に広い見方をしているからだ。

PIIという言葉は米国でのほうがより一般的だ。米国では、欧州のGDPRに相当する包括的な(連邦)プライバシー法というものがないからだ。

アドテック企業もPIIという言葉を使いたがる。ただし、それはずっと限定されたカテゴリでの話だ。アドテック企業が実際に処理するすべてのデータ(個人を識別およびプロファイリングして広告を配信するために使用できるデータ)という意味ではない。

GDPRのもとでは、個人データとは個人の名前やメールアドレス(つまり、PII)などの明白な識別子だけでではなく、個人を特定するために間接的に使用できる情報(居場所や関心事など)も含まれる。

以下に、GDPR(第4(1)項)の関連部分を抜粋する(強調部分はTechCrunchによる)。

「個人データ」とは、識別されている、または識別可能な自然人(データ主体)に関する任意の情報を指す。識別可能な自然人とは、特に、名前、識別番号、場所データ、オンライン識別子などの識別子、またはその人の身体的、生理的、遺伝的、精神的、経済的、文化的なアイデンティティに固有の1つ以上の要素を参照することで、直接または間接に識別可能な自然人のことである。

他の研究でも数十年に渡って繰り返し示されていることだが、個人は、クレジットカードメタデータNetflixの視聴習慣など、わずかな「非個人識別情報」があれば再特定できる。

膨大な数の人たちをプロファイリングし広告のターゲットにするFacebookは、継続的かつ広範囲にインターネットユーザーの行動をマイニングして関心事ベースのシグナル(つまり、個人データ)を収集し、個人プロファイリングを行って各個人に合わせた広告を配信する。そのFacebook帝国が、世界中のほとんど誰でも巧みに操作できる(ただし、相手について十分な知識があり、その相手がFacebookのアカウントを持っていることが条件)可能性のある攻撃ベクトルを作り出したとしても何も驚くには当たらない。

しかし、それが法的に問題のないことであるとは限らない。

実際、人々の個人データを処理して広告ターゲティングを行ってもよいというFacebookの主張の法的根拠は、EUで長年に渡って問題とされてきた。

広告ターゲティングの法的根拠

Facebookは以前、ユーザーは自身の個人データが広告ターゲティングに使われることについて同意していると主張していた。しかし、Facebookは、行動ターゲティングのためにプロファイリングされることを承諾するのか、ただ友人や家族とつながりたいだけなのかのどちらかをユーザーに選択してもらう際に、見返りを求めず、具体的で、明確な情報に基づいて選択できるようにしていない(ちなみに、見返りを求めず、具体的で、明確な情報に基づく同意というのは、同意についてのGDPRの基本的なスタンスだ)。

Facebookを使うには、自分の情報が広告ターゲティングに使用されることを承諾する必要がある。これは、EUのプライバシー運動家が「同意の強制」と呼ぶものだ。つまり、同意ではなく、強制だ。

しかし、2018年5月のGDPR施行以来、Facebookが合法的にヨーロッパ人の情報を処理できるのは欧州のユーザーが広告の受信についてFacebookと契約している状態だからだ、という主張に切り替えたようだ。

FacebookのEU規制当局として主導的立場にあるアイルランドのデータ保護委員会(DPC)によって今週始めに公開された仮決定では、こうした暗黙の主張変更は透明性に欠けるとして、Facebookに対し、3600万ドル(約40億9500万円)の罰金を課す提案をしている。

DPCは、Facebookの広告契約の主張には問題があるとは考えていないようだが、欧州の他の規制当局は問題があると考えており、アイルランドの仮決定に意義を唱える可能性が高い。この件に関するFacebookのGDPRに対する不満をめぐる規制当局側の調査は今後も続き、当分は終わりそうもない。

仮にFacebookがEUの法律を回避しているという最終判断が下った場合、Facebookはユーザーに対し、ユーザーの情報を広告ターゲティングに使用できるかどうかについて見返りを求めない選択肢をユーザーに与えることを強制されることになる。そうなると、Facebook帝国に存在の根幹に関わるような風穴をあけることになる。というのも、この研究でも強調しているとおり、(ターゲティング広告に利用せずに)保管しているだけの関心事データでも個人データになるからだ。

それでも、Facebookは、問題など存在しないと主張するいつもの常套手段を使っている。

今回の研究に対して回答した声明の中で、Facebookの広報担当はこの論文を「当社の広告システムの動作原理についての理解が間違っている」として一蹴している。

Facebookの声明では、この研究者たちの結論の核心部分から注意をそらして、彼らの研究結果の重要さを矮小化しようとしている。以下に、広報担当の言明を示す。

この研究は当社の広告システムの動作原理を間違って把握しています。広告ターゲティングに使用する特定の人に関連付けられた関心事のリストは、その人がそのリストを共有することを選択しないかぎり、広告主が見ることはできません。このリスト、つまり広告を見た人を特定する具体的な詳細情報がなければ、この研究者たちの手法を使って広告主が当社のルールを破ろうとしても無駄です。

Facebookからの反論に答えて、論文の執筆者の1人であるAngel Cuevas(アンヘル・クエバス)氏は、同社の議論を「残念だ」と表現し、問題がないなどと主張するのではなく、ナノターゲティングのリスクを防止するためのより強力な対策を実装すべきだとしている。

この論文では、ナノターゲティングにともなう数多くの有害なリスクが指摘されている。例えば心理的説得、ユーザーの操縦、脅迫などだ。

「驚くのは、ナノターゲティングが実現可能であり、対策は広告主がユーザーの関心事を推測できないと仮定することくらいしかないことをFacebook自身が暗黙に認識していることです」とクエバス氏はいう。

「広告主がユーザーの関心事を推測する方法はいくらでもあります。この論文でも、(ユーザーからは研究目的で行うという明示的な同意を得た上で)ブラウザのプラグインを使って実際に試してみました。それだけではありません。関心事の他にも、(今回の研究では試しませんでしたが)年齢、性別、都市、郵便番号などのパラメーターもあります」。

「これは残念なことです。Facebookのようなテック大手は、広告主がFacebookプラットフォームでのオーディエンスサイズを決めるために後で使用できるようユーザーの関心事を推測することなどできないという前提に頼らずとも、もっと強力な対応策を実現できるはずです」。

例えば2018年のCambridge AnalyticaによるFacebookデータの悪用スキャンダルを覚えているだろうか。Facebookのプラットフォームにアクセスした開発者が、クイズアプリを使って、気づかれることも同意を得ることもなく、数百万人のユーザーのデータを抽出することができたという事件だ。

つまり、クエバス氏のいうとおり、広告主 / 攻撃者 / エージェントが同じような不透明でずるいやり方を実装してFacebookユーザーの関心事データを取得し、特定の個人を巧みに操ることは決して難しくない。

論文の注には、ナノターゲティングの実験を行った数日後、テスト用キャンペーンに使用したアカウントがFacebookによって何の説明もなく閉鎖されたと記載されている。

Facebookからは(アカウントが閉鎖された理由も含め)論文に記載した具体的な質問に対する回答はなかった。だが、もしFacebookがナノターゲティングの問題を認識していたから閉鎖したのであれば、なぜそもそも特定の1人のユーザーをターゲットとする広告の配信を防ぐことができなかったのだろうか。

訴訟の増加

この研究結果は、Facebookの事業にどの程度広範囲な影響を及ぼすだろうか。

あるプライバシー研究者の話によると、この研究はもちろん訴訟に役立つという。欧州では、特にFacebook(広くはアドテック全般)に対するEU規制当局のプライバシー保護対策が遅々として進んでいないため、訴訟の数が増えている。

また別の研究者は、今回の研究結果は、Facebookが、個人データは処理していないと見せかけておきながら、実はユーザーの体系的な再特定化を大規模に行っていることを浮き彫りにしていると指摘する。つまり、Facebookは膨大な数のユーザーの膨大なデータを蓄積しており、個人情報の処理に制限を設ける程度の範囲の狭い法的規制など事実上回避できてしまうことを示唆している。

このため、行動ターゲティング広告がもたらす害を抑える有意義な制限を課そうとする規制当局は、Facebook独自のアルゴリズムが同社が保持する膨大なデータ内を検索して、その中からユーザーの代理人に相当するパラメーターを探し出して利用するという方法に気づく必要がある。また、同じような論法でFacebookのアルゴリズムによる処理は法的な制限を回避する可能性がある(例えばFacebookが慎重に扱うべき関心事の推測の問題で使った戦術)ことも認識しておく必要がある。

別のプライバシーウォッチャーで独立系の研究者でコンサルタントのDr Lukasz Olejnik(ウカシュ・オレジニク)博士は、今回の研究を驚くべきものだとし、過去10年間で最も重要なプライバシー研究結果のトップ10に入る内容だと説明する。

「28億人から1人を特定するのはとてつもないことです。Facebookプラットフォームは、そのようなマイクロターゲティングが行えないようにする予防策を講じていると主張しているにもかかわらず、です。この論文は、過去10年間で最も重要なプライバシー研究結果のトップ10に入ります」と語る。

「関心事は個人データに含まれるとするGDPR第4(1)項の意味する関心事によってユーザーを特定することができるようです。ただし、こうした処理をどのようにして大規模に実行するのかは明確に示されていませんが(ナノターゲティングのテストは3人のユーザーに対してのみ実行された点を指摘して)」。

オレジニク氏は、この研究はターゲティング広告が個人データ、そして「おそらくGDPR第9項の意味における特殊なカテゴリのデータにも」基づいて行われていることを示していると指摘する。

「これはつまり、適切な保護対策が行われていないかぎり、ユーザーの明示的な同意が必要であることを意味します。しかし、論文の内容から、私たちは、そうした対策は存在しているとしても不十分だという結論に達しました」と同氏は付け加えた。

今回の研究はFacebookがGDPR違反を犯していることを示していると思うかという質問に対し、オレジニク氏は「DPAは調査を行うべきです。その点は疑問の余地がありません」と話す。「技術的には難しい案件かもしれませんが、立件は2日もあればできるはずです」。

我々はこの研究結果をFacebookの欧州DPAで主導的立場にあるアイルランドDPCに知らせ、GDPR違反があるかどうかを判定するための調査を行うかどうか聞いてみたが、本記事の執筆時点では回答がなかった。

マイクロターゲティングの法的禁止に向けて

この論文によってマイクロターゲティングの法的禁止を肯定する論拠が補強されるかという質問に対し、オレジニク氏は、歯止めをかけることは「前進ではある」が、問題はその方法だと答えた。

「全面禁止にする場合、現在の業界および政治環境の対応準備ができているかどうかは分かりません。とはいえ、少なくとも、技術的な防止策は求めるべきです」と同氏はいう。「(Facebookによれば)すでに防止策は講じているということですが、(ナノターゲティングの件については)防止策は存在しないも同然のようです」。

オレジニク氏は、グーグルのプライバシーサンドボックス案に組み込まれているアイデアを一部利用すればすぐに変化が起こる可能性があると提案する。しかし、同案はアドテック各社が競争監視につながるとして不満を表明したため頓挫してしまっている。

マイクロターゲティングの禁止についてクエバス氏に意見を聞くと、次のように答えてくれた。「私の個人的な立場から言わせていただくと、我々はプライバシー保護のリスクと経済(求人、イノベーションなど)とのトレーオフについて理解する必要があるということです。私たちの研究によると、アドテック業界は、個人識別情報(メール、電話、住所など)について考えるだけでは不十分であり、オーディエンスの範囲を特定する(絞り込む)方法についてより厳しい対策を実装する必要があることは明らかです。

「その上で申し上げますが、私どもはマイクロターゲティング(少なくとも数万人規模のユーザーにオーディエンスを限定できる能力と考えます)を禁止することには反対です。マイクロターゲティングには重要な市場が存在しており、そこでは多くの仕事が生まれています。また、必ずしも悪いこととは限らない興味深いことが行われている極めて革新的な分野でもあります。ですから、マイクロターゲティングの潜在能力をある程度制限してユーザーのプライバシーを保護するというのが私どもの立場です」。

「プライバシーの分野で未だに解決されていない疑問は同意だと思います」と同氏はいう。「研究コミュニティとアドテックエコシステムは、(理想的には協力して)十分な説明を行った上での同意をユーザーから得るための効率的なソリューションを作成するために取り組みを進める必要があります」。

大局的な話をすると、欧州では、AI駆動形ツールの法的要件がおぼろげに見え始めたところだ。

EUでは2021年初めに提案された人工知能の高リスクの応用を規制する法律が施行される予定だ。この法律では「人の意識を超えて作用する行動を大きくねじ曲げるためのサブリミナル技術で、その人または別の人に心理的または身体的な害を及ぼすかその可能性のある技術」を展開するAIシステムの全面禁止が提案されている。

そのため、Facebookのアドツールが脅迫や個人の心理的操作に利用されないようにするための適切な保護策を同社がまだ実施していない場合、FacebookのプラットフォームがEUの将来のAI規制のもとで禁止に直面するのかどうかを推測してみるのは少なくとも興味深い。

とはいえ、現時点では、Facebookのターゲティング帝国にとっては、相変わらずもうかるビジネスである。

クエバス氏にFacebookプラットフォームに対する今後の研究計画について尋ねると「次の研究で是非やりたいのは、関心事と他の人口統計情報を組み合わせることでナノターゲティングが『より容易になる』のかどうかという調査です」。

「というのは、広告主がユーザーの年齢、性別、都市(または郵便番号)といくつかの関心事を組み合わせてユーザーに対してナノターゲティングを実行できる可能性が非常に高いからです」と同氏はいう。「こうしたパラメーターをいくつ組み合わせる必要があるのかを知りたいのです。年齢、性別、住所と数個の関心事をユーザーから推測するほうが、数十の関心事を推測するよちもはるかに簡単です」。

このナノターゲティングの論文は2021年12月のACM Internet Measurement Conferenceでのプレゼンテーションとして受理されている。

画像クレジット:NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

マネーツリーがオルタナティブデータ活用促進の新事業「データリサーチ部門」、匿名化した消費者の金融行動データ提供

個人向け資産管理サービス「Moneytree」(Android版iOS版)運営のマネーツリーは11月10日、グローバル金融業界から注目の高まるオルタナティブデータの活用を事業化する「データリサーチ部門」の新設を発表。統計データ化された消費者の金融行動データの一部をオルタナティブデータとして外部へ提供することで、金融市場、経済活動における金融データの新たな活用方法の普及を推進する。

多様なデータ収集の基盤整備が進む中、新たなデータ活用・分析の糸口となるオルタナティブデータが注目を集めていることを背景に、マネーツリーは非個人情報として扱える統計データをオルタナティブデータとして提供。資産管理サービス「Moneytree」「Moneytree ID」に紐づくデータを、個人が特定されないよう匿名化処理を施し照合性をなくし、データプライバシーを守った状態で提供する。

マネーツリーは、オルタナティブデータと公的データの掛け合わせにより消費者行動をデータ分析することで、市場調査、事業会社などにおける新規事業の立案、投資調査、学術研究、公共政策の策定に貢献したいという。また、国内でのオルタナティブデータに対する責任ある活用の推進に向け、11月10日をもって「一般社団法人オルタナティブデータ推進協議会」に正式加盟したことも発表した。

データリサーチ部門の新設にあたって、今後はオルタナティブデータの活用推進と事業との相乗効果に注目し、ユーザーのプライバシー保護を重視しつつ金融データエコシステムのさらなる拡張、顧客体験(UX)向上への貢献と高度化、将来的な新規ビジネス創出の活性化を目指したいという。

現在、オルタナティブデータは投資判断をより適切に実行するためのデータセットの1つと認識されており、今後はより広範囲での活用の可能性が期待されているという。すでに、POSデータや購買データ、人工衛星で取得した画像データの解析において、既存の公的な統計データを越えた新たなデータの利活用も進行している。

フェイスブックがユーザーの政治的信条、宗教、性的指向を広告ターゲットにすることを禁止予定

Facebook(フェイスブック)は米国時間11月9日、個人の健康、性的指向、宗教的・政治的信条などの、潜在的に「センシティブ」な属性に基づいてユーザーをターゲティングすることを、この先広告主に許可しないことを発表した。たとえば「Lung cancer awareness(肺がんの知識)」「LGBT culture”(LGBTカルチャー)」「Jewish holidays”(ユダヤ教の休日)」などが、2022年初頭からターゲット外となるカテゴリーの例だ。

同社はブログに「こうした詳細なターゲット設定オプションを削除する決定は容易ではなく、この変更が一部の企業や組織に負の影響を及ぼす可能性があることは承知しています」と記し、その上で公民権の専門家、政策立案者、その他の関係者からの意見が今回の決定を後押ししたと述べている。広告収入はFacebookの主要な収入源であるため、広告ポリシーの大幅な変更は大きな副次的影響を及ぼす可能性がある。

Facebookは年齢、居住地、性別(ジェンダー)など、プロフィールに記載されている情報に基づいて、ユーザーをターゲットにすることができる。しかしFacebookプラットフォームが、ユーザーのプロフィールに記載されている性的指向に基づいてターゲットを絞ることはこれまでもしていなかったと、同社の担当者はTechCrunchに語った。この先、削除される広告とは、ユーザーのプロフィール内の関心カテゴリーに基づいて提供されている広告を指すという。

これまでFacebookは、ユーザーのアクティビティに基づいて、そうした関心カテゴリをユーザーのプロフィールに割り当てていた。Facebookのコンテンツにどのように関わったかに応じて、ユーザーには「米国のユダヤ文化」「LGBTの権利」「バラク・オバマ」など、Facebookが「センシティブ」と呼ぶカテゴリーが割り当てられる可能性がある。2022年1月19日から、広告主はこれらのような関心事に基づいて広告をターゲティングすることができなくなる。なお「ロッククライミング」や「編み物」など、センシティブではない他の関心グループは引き続きターゲットとして使われる予定だ。センシティブかどうかに関わらず、そうしたカテゴリーは何万もあるのだ

いまでもユーザーは、デスクトップの「設定とプライバシー→設定→広告→広告設定→広告のターゲット設定に使用されるカテゴリ→興味・関心のカテゴリ」で、自分のプロフィールにひも付けられた関心グループを確認することができる。また特定の関心事に基く広告を見たくない場合は、そこでオプトアウトすることができる。

この広告ポリシーの変更は、Facebookプラットフォームの親会社として新たに社名を変更したMeta(メタ)が、内部告発者のFrances Haugen(フランシス・ハウゲン)氏がリークした文書に関連した一連の上院公聴会の後、厳しい監視の目に晒されていることに起因している。より多くの文書が報道機関にリークされるにつれて、Metaは一部のジャーナリストの報道が同社の振舞を誤って伝えていると主張し、防御の姿勢を強めている。

とはいえ、Facebookの広告ポリシーは何年も前から問題視されていた。2020年の米国大統領選挙に向けて、Facebookは、作成できる政治広告の種類に制限を設けた。また2018年には、米住宅・都市開発省(HUD)が、家主や住宅販売業者たちが公正住宅法(Fair Housing Act)に違反する行為をFacebookが幇助していた件告発したことを受けて、Facebookは広告の5000以上のターゲティングオプションに対して同様の削除を実施した。その前の2016年には、Facebookは住宅、雇用、クレジット関連の広告に関する「民族的親和性」ターゲティングを無効にしている。これはProPublica(プロパブリカ)のレポートで、そうした機能が差別的な広告に使われる可能性があると指摘されたことを受けたからだ。住宅や雇用に関しては、特定の社会属性に基づいて広告を出すことは違法なのだ。また、ProPublicaの別の報告書によって、Facebookは反ユダヤ的な関心事のカテゴリーに基づく広告ターゲティングも削除している。

また同社は「私たちは、プラットフォーム上でどのように人びとにリーチできるかについての広告主の期待によりよく沿うと同時に、私たちが利用可能にしているターゲティングオプションを広告主が乱用することを防ぐことの重要性に関する公民権専門家、政策立案者、その他の利害関係者からのフィードバックにも対処したいと考えています」とブログ投稿を行っている。「こうした、詳細なターゲティングオプションを取り除く決定は容易ではなく、この変更が一部の企業や組織に負の影響を及ぼす可能性があることは承知しています」。

Facebookは、データが悪意ある者に悪用される可能性を懸念してこれらの決定を下したとしているものの、このデータが潜在的にポジティブな方向に使用される場合もあるため、一部の関係者を心配させている。たとえばこれまでは「糖尿病の知識」に興味がある人には、コンディションの管理に取り組んでいる非営利団体を紹介することができていたのだ。

それでも、Facebookには、特定のオーディエンスにアクセスするためのツールがまだ数多く残されている。例えばユーザーがiPhone上で広告トラッキングを許可した場合、Facebookの広告主はその情報を広告のターゲティングに利用することができる。また企業は「エンゲージメントカスタムオーディエンス」「類似オーディエンス」などを活用して、ユーザーにリーチすることができるが、その概要については同社のブログ記事で紹介されている。

画像クレジット:Lionel Bonaventure / Getty Images

原文へ

(文:Amanda Silberling、翻訳:sako)

【コラム】イーサリアムはプライバシーの基準も変える

イーサリアムは世界で最も人気のあるデジタル契約コンパイラーで、多くの人によって管理されているものの、誰かが所有しているわけではない。イーサリアムが普及している要因の1つで最も興味深いのは、おそらくイーサリアムが描く未来だろう。イーサリアムは、今後所有権、価値の創造、そしてこれが最も重要であるが、プライバシーに関する現在のインターネットの基準を変えていくだろうと思われる。

どのような変化が今後起こるのだろうか?

イーサリアムでは、アプリを開発できるだけでなく、写真、音楽ファイル、ビデオ、お母さんのお気に入りのかぼちゃパイのレシピ(他にも日々生み出されるさまざまな可能性があるが)など、デジタルなものなら何でも一意に有償で所有、交換、保管できる。

多くの人々がインターネットはさまざまな保護によって階層化されると予想してきたが、Tim Berners-Lee(ティム・バーナーズ-リー)氏の言葉の言い換えになるが、結局は基盤となるテクノロジーを誰もが利用できるようにすることで、その受容と有用性が大幅に向上することがわかった。

イーサリアムとWeb 3.0の出現によって、インターネットが単にプライベートであるというだけでなく、オープンで透明性のあるものである、という概念が生まれ、状況が変化しつつある。

イーサリアムのこれまで

2013年、Vitalik Buterin(ヴィタリック・ブテリン)氏は、イーサリアムのアイディアを思いつき、イーサリアムは2年後に開発されサービスの提供を始めた。このプラットフォームは、インターネットにアクセスできる世界中のだれもが、永続的なアプリケーション(分散型アプリ、またはdAppsとして知られる)を開発できるように設計された。この分散型アプリは誰もが使えるが変更はできないもので、厳密な整合性を備えたオープンソースソフトウェアである。これらのアプリの基本機能はスマートコントラクトと呼ばれ、デジタル契約を可能にする。

つまり、言い換えると、もはや仲介者を通して財務サービスや法務サービスを行う必要がないということである。イーサリアムは基本的に証書保管代理人、公証人、IDをチェックする銀行の出納係、または住宅ローンの原資産所有者を必要とせず、それらを一瞬のデジタル取引に置き換えてしまう。

この非常に貴重な機能によりイーサリアムは、現在多くの競争者の先を行く最も有名な暗号資産そしてブロックチェーンの1つとなった。ビットコインの価格は最近史上最高値を記録し、イーサリアムの周辺は大いに沸き立っている。

これに関連する概念であるWeb 3.0は、これらのピアツーピアのブロックチェーンを用い、ユーザーが仲介者なしに、データを取り扱い、価値を保存し、エンティティとやりとりする、といったことを可能にする、未来のインターネットと目されている。

イーサリアムの現在

イーサリアムが法務、財務、契約締結などの基本インフラになるにつれ、その強みや弱みを理解することが財産の所有と譲渡の基本的な性質になるだろう。

Stephen Hawking(ステファン・ホーキング)氏の「基礎的コンピュータープログラミングは学ばなければならない必須のスキルである」という言葉をこの状況に即して言い換えれば、イーサリアムでのスマートコントラクトの基礎を学ぶことは、基本的な法務スキルや財務スキルになるだろう。

現在イーサリアムで最も注目を集めているアプリケーションはNFT(non-fungible tokens:代替不可能なトークン)である。NFTは比較的新しいものであるが、価値の保存だけでなくデジタルな一意の所有権を主張するものとして、消費者、アーティスト、投資家に人気である。

NFTは、操作、変更、複製ができない、つまり代替不可能であるため、インターネット上であらゆるデジタル(ファイル)を所有または取引することができる。Ape、Kitty、Punkを巡りソーシャルメディア上で騒ぎが起こっているが、それらはすべて、高価なデジタルアートにファンが群がる急成長中の現象に関連している。

このテクノロジーの1つの使用例として予測されるのが、惑星間のマイニングである。地球を本拠地にしている企業は、社員が実際に訪れることがほとんどない小惑星の鉱業権を売買する必要がでてくるだろう。

他に予想される使用例としては住宅ローン、不動産購入、イベントチケット販売、音楽祭、ファイルストレージ、ゲーム(例えばAxie InfinityはプレイヤーがNFTに基づくゲーム世界でしっかり生計をたてることができるという証拠である)などがある。

可能性は無限であり、日々好奇心がありエネルギーに溢れたコミュニティによってアイディアが生み出されている。

今後のイーサリアムの課題

この基盤となるテクノロジーに規制が追いついてきている現在、多くの人がそれを制御する試みを目にすることになるのか確信を持てないでいる。暗号戦争で長年たたかわされてきた議論には暗号化を抑制または損なう要求がともなっていたが、それと同様に、イーサリアムの「変化しない性質」に変更を加えると、その重要な特性である「永続的整合性」が損なわれる可能性がある。

イーサリアムの不変性とそれが広く受容されている状況との間には、潜在的な対立が存在する可能性がある。つまり金融規制当局が何らかの形でその展開に対して所有権を得たりまたは管理しようとするかもしれないということである。これらの規制当局が「広くつながったノードの領域を、その真の価値である分散性自体を損なうことなく慎重に管理するにはどうしたらよいか」という疑問にどう答えるか大変興味深い。

このテクノロジーが直面するその他の課題や限界はと言えば、パフォーマンスの持続可能性ではないかと思われる。イーサリアム上にアプリなどを作成する際、ガス代といわれる料金が必要になるが、近年この料金が上昇しており、プラットフォームの処理時間が遅くなっていることが知られている。イーサリアム2.0は非効率性を解消できると考えられているが、すべての取引を保存し計算するために最適化されたブロックチェーンにおいて、スピードを維持し続けるにはどうしたらよいのだろうか?

セキュリティも課題の1つであり、広く悪用されているわけではないもののイーサリアムには脆弱性の問題があることが知られている。Poly Networkは「契約呼び出し間の脆弱性」に起因するハッキングがあったことを2021年報告している。

スマートコントラクトは作成するには複雑な機能であるため、ネットワークに展開する前に十分な監査が必要である。イーサリアムのセキュリティもパスワードを必要としない、非対称暗号化に基づいて構築されている。量子コンピューティングが最終的に非対称暗号化標準を混乱させる可能性は多いにある。

私たちは、イーサリアムやブロックチェーンがいかに存続し続け、それを私たちがメタバースへ、そしてそれを超えて維持していけるのかに興味がある。

編集部注:本稿でAshley Tolbert(アシュリー・トルバート)氏とTarah Wheeler(タラ・ウィーラー)氏によって述べられた見解は両氏の個人的見解であり、両氏が関係する団体の見解ではありません。アシュリー・トルバート氏は、情報セキュリティの研究者およびエンジニア。タラ・ウィーラー氏はハーバード大学ケネディスクールオブガバメントのベルファーセンターサイバープロジェクトフェローで、情報セキュリティ研究者。

画像クレジット:Prostock Studio / Getty Images

原文へ

(文:Ashley Tolbert、Tarah Wheeler、翻訳:Dragonfly)

【コラム】大手テックの考えや政策で変化し続けるインターネットの世界で道を切り開くために

現代のインターネット事情を語るとき、まず1番に頭をよぎるのはGoogleの圧倒的な市場シェアである。

最新のレポートによると、Googleは世界の検索市場の87%近くを、Chromeは世界のブラウザ市場の67%以上を占め、全世界で26.5億人のユーザーを擁している。そのため、オンラインツールを開発するスタートアップは誰もが何らかの形でGoogleのパートナーであると考えなければならない。しかしGoogleがこのように市場を支配しているということは、ブラウザの優位性を活かして規制を好きなように変更できてしまうということでもある。

実際、Googleは過去10年間にわたり、オンラインスタートアップに対する一定の制限をChrome上に織り込んできた。数年前からGoogleは「単一目的の拡張機能」ポリシーを施行し、拡張機能を一焦点やブラウザ機能に限定するよう求めている。

近年、Googleはユーザーのセキュリティとプライバシーを向上させることを目的としたChrome拡張機能を構築するための新しい仕様であるManifest V3の計画を発表した。原則的にChromeウェブストアは、2022年1月以降従来のManifest V2ガイドラインで構築された新拡張機能を受け付けなくなり、またその翌年までにManifest V3の規制に準拠していない既存のプログラムはすべて停止されることになる。

これにより多くのスタートアップは生死を分けるシナリオに直面することになる。時間とリソースを費やして自社製品をManifest V3に適応させるか、あるいはChrome内で完全に存在しなくなるかのどちらかを迫られるということだ。実際、他の企業と同様にこの問題に直面しているのが、私の雇用主であるGhosteryである。

こういった課題に落胆している人々も多いかもしれないが、実際のところGoogleはこの障害がこの分野の個々のプレイヤーにどのような影響を与えるのか、真摯に耳を傾けてくれている。開発者らの見識を集めるため、ロールアウトのスケジュールを延長さえしてくれているのだ。スタートアップはこの延期期間を最大限に活用して、自社の移行に関する具体的な課題を伝えておくべきである。

Chromeの今回のアップデートは、オンラインでイノベーションを起こしているスタートアップが、いつ何時、不意打ちを受けてもおかしくないということを示す一例であり、これらのポリシーを常に把握し、このような細かな変更に対応できる適切なエンジニアを配置するためのリソースを常に確保する必要があるというリマインダーでもある。

何であれ、コアビジネスをインターネット上で行うというのは、自社のことを広く認知してもらうことができ、簡単にインストールでき、熱心なユーザーにアクセスできるなどの紛れもない利点がある。Googleのような大手企業がスタートアップと協力して、すべての関係者にとって最適なソリューションを見つけようとしているならば(実際にそうしているように感じられる)、このようなオープンなコミュニケーションチャネルを利用して、自社の製品をアピールできるか否かは中小企業次第なのではないだろうか。

ネットワークを活用する

幸いなことに、変化し続けるインターネットの世界でスタートアップが一社で立ち向かう必要はない。あらゆる企業が同じエコシステムの中で活動しているため、サポートやアドバイスを得るために関連企業の広大なネットワークを利用することが可能だ。オンライン分野のスタートアップは、自分たちの課題内で孤独に戦うのではなく、エコシステム内のすべての企業に影響を与える絶え間ない変化において団結すべきなのである。

例えば私たちはManifest V3に対応するため、ウェブ拡張のW3Cグループに参加した。このコミュニティで当社のユースケースを共有し、影響を受けた他の企業と協力することにより、最新のガイドラインに合わせて当社の技術を調整することができる。リソースを共有して共同作業を行うことで、適応プロセスの早い段階でトラブルシューティングを行うことができるのである。

同じようなグループを探したり、創業者やビジネスリーダーのネットワークに直接相談したりして製品や一般的なビジネスの方向性を決めるため、このような過渡期にはスタートアップコミュニティに寄り添うべきなのである。

さまざまな方法で適応できるようになる

オンラインでイノベーションを起こしているスタートアップ企業は、ヒーロー製品に適応するためのリソースを積極的に配分するだけでなく、製品のロードマップを常に見直し、提供する製品を多様化するためのユニークな機会を模索する必要がある。

インターネットの歴史において変化のない年はなく、安定しているのは、エコシステムの中で人々は常にカスタマイズのオプションを望んでいるということだけである。鋭敏なスタートアップはeコマースツールからパスワード保護システム、プライバシースイートなど、最新かつ最高のソリューションを提供する準備を整えている。

企業によっては、Chrome以外の製品開発にも時間を割き、FirefoxやSafariなどの代替ブラウザが提供する機能を研究する必要があるかもしれない。大手企業はブラウザのカスタマイズに関する独自のポリシーを持っているため、スタートアップはまったく新しいユーザー層に門戸を開き、異なるシステムに対応した独自の機能を構築することができるのである。

モバイル分野に進出し、オンライン上の革新的な技術をiOSやAndroidでどのように利用できるか試すこともできるだろう。最終的にはインブラウザからモバイルアプリケーションまで、私たちのオンライン生活を網羅する製品範囲を持つことで、企業はオンライン世界の絶え間ない変化に対応できるようになる。最初から多角化をビジネスプランの一部にしておけば、このようなレジリエンシーの構築はずっと簡単になる。

常に変化することを受け入れる

オンラインツールやプログラムを開発しているスタートアップは政策の変更、規制の変更、市場の要求などの課題に常に直面しているが、ビッグテックとのコラボレーションを恐れずに適応可能な製品戦略を追求する企業は、消費者に最高の製品と体験を提供するための道を歩み続けることができるだろう。

自社のミッションを堅持し、かつ途中でアプローチを変更することを厭わないということが、将来にわたってイノベーションを成功させることにつながるのである。

編集部注:本稿の執筆者Pete Knowlton(ピート・ノウルトン)氏は、デジタルプライバシー企業Ghosteryの運用およびコミュニティのシニアディレクター。

画像クレジット:alengo / Getty Images

原文へ

(文:Pete Knowlton、翻訳:Dragonfly)

各アプリの機密情報の取り扱い方を教えてくれるアップルのApp Privacy Reportがベータ版に

Apple(アップル)は「App Privacy Report(アプリ・プライバシー・レポート)」のベータ版の提供を開始した。この新機能は、日常的に使用しているアプリがどれくらいの頻度で機密情報へのアクセスを要求しているか、またその情報がどこで共有されているかといった詳細を、iOSユーザーに提供することを目的としている。この機能は、EメールのトラッキングピクセルをブロックするツールやプライベートVPNなど、プライバシーに焦点を当てた改善が行われているなかで、6月に開催されたAppleの世界開発者会議で初めて紹介された。Appleは当時、この新しいレポートには、アプリがユーザーの位置情報、写真、連絡先などのユーザーデータやセンサーにアクセスした際の詳細や、アプリがコンタクトするドメインのリストが含まれると説明していた。


iOS 15のアップデートの一部として発表されたものの、2021年の秋口に新バージョンのiOSが公表された時点では、App Privacy Reportは利用できなかった。このレポートはまだ一般には公開されていないが、iOS 15.2およびiPadOS 15.2のベータ版のリリースにともない、より広範なベータテストが開始された。

新しいレポートは、アプリがどのような機密データを収集し、それがどのように使用されているかを詳細に示す潜在的に誤る可能性があるApp Privacy(アプリプライバシー)ラベルにとどまらないものだ。開発者は、誤って、あるいはエンドユーザーに誤解を与えようとして、ラベルを正確に記入しないことがあり、AppleのApp Reviewチームがそのような記入漏れを常に見つけられるとは限らない。

関連記事:アップルがアプリのプライバシー方針を明らかにするラベルを全App Storeで公開

その代わりに、新しいApp Privacy Reportは、アプリがどのように振る舞っているかについての情報をより直接的に収集する。

ユーザーがデバイスのプライバシー設定で有効にすると、App Privacy Reportは、アプリの過去7日間のアクティビティのリストを作成する。アプリをタップすると、そのアプリが最後にセンシティブなデータやデバイスのセンサー(例えば、マイクや位置情報など)にアクセスした日時などの詳細が表示される。これらの情報は、各アクセスがタイムスタンプとともに記録されたリストで見ることができる。

別のセクション「App Network Activity(アプリ・ネットワーク・アクティビティ)」では、アプリが過去7日間に通信したドメインのリストを見ることができる。このリストには、アプリ自身が機能を提供するために使用したドメインを含んでいるだけではなく、アプリが分析や広告の目的で提携している第三者のトラッカーや分析プロバイダーのドメインも明らかにする。

「Website Network Activity(ウェブサイト・ネットワーク・アクティビティ)」は、同様のリストを提供しているが、ドメインにコンタクトしたウェブサイトに焦点を当てており、その中にはアプリが提供したものも含まれている。また、最もコンタクトのあったドメインを見たり、いつ、どのトラッカーやアナリティクスが使用しているのか、さらにはどのアプリがいつコンタクトしてきたかを確認するために個別のドメインを掘り下げたりもできる。

ベータ版の公開に先立ち、Appleは「Record App Activity(アプリ・アクティビティの記録)」という機能を提供した。これは、App Privacy Reportが利用可能になったときに、ユーザーに表示される内容を開発者がプレビューできるようにするものだ。このオプションは、アプリが予想どおりに動作していることを確認できるJSONファイルが生成する。この機能は、すでにいくつかの興味深い発見をもたらしている。例えば、中国のスーパーアプリWeChatは、新しい写真を見つけるため数時間ごとにユーザーの携帯電話をスキャンしていることがわかった

App Privacy Reportは、ユーザーにとってデータの宝庫となる一方で、開発者にとっては複雑な問題となる可能性がある。開発者は、これらのデータ要求が、アプリの機能を提供するためのもので、プライバシー侵害ではないということを、ユーザーに説明しなければならなくなるかもしれない。例えば、天気予報アプリでは、旅行の準備のために、嵐の情報など、変化する天気パターンに関するプッシュ通知をユーザーが要求した場合、位置情報を定期的に取得する必要がある。

開発者に提示する際、Appleは、このレポートが、アプリが行っていることについて透明性を提供することで、ユーザーと「信頼関係を築く」機会になると述べた。また、開発者自身がインストールを選択したSDKについて、その動作が開発者の要望や期待に沿ったものであることを確認するための、より良い洞察を与えることができるとしている。

Appleは、この新機能がいつベータ版を終了するかについては言及していないが、iOS 15.2が一般公開されたときに出荷される可能性がある。

画像クレジット:Apple

原文へ

(文:Sarah Perez、翻訳:Yuta Kaminishi)

デルタ航空が生体認証による手荷物預けを開始、TSA PreCheckと提携で

米国時間10月27日、デルタ航空は、TSA(米国運輸保安庁)PreCheck(プレチェック)との提携によって、バイオメトリクス(生体認証)の利用を拡大し、乗客が顔を見せるだけで手荷物を預け、保安検査を通り、飛行機に乗ることができるようにすることを発表した。最も新しいサービスであるPreCheckのバッグドロップ(手荷物預け)が行われているのは、現段階ではアトランタ空港のみで、デルタ航空のマイレージプログラム「スカイマイル」の会員でTSA PreCheckにも登録している利用客を対象とした試験的なものだ。


このプロジェクトは、デルタ航空がハブ空港であるデトロイトやアトランタ空港の国際線で行ってきた作業をベースに、さらに発展させたものだ。そこに、顔認証を利用したバッグドロップも可能にしたのが今回の取り組みだ。

デルタ航空とTSAがこの試験を実施しているアトランタでは、デルタ航空のマイレージプログラム「スカイマイル」の会員で、TSA PreCheck会員でもある乗客は、セルフサービスのPreCheckバッグドロップエリアを利用できるようになった。このプログラムを利用する乗客は(フライトにチェックインするたびに、デルタ航空のアプリで利用指定を行う必要がある)、新しい手荷物預け入れ機の前に行き、顔をスキャンする。するとTSAのデータベースを通じて本人であることが確認され、手荷物ラベルが印刷される。ラベルを貼り付けた後、スーツケースをコンベア上に置くと、新しい自動手荷物預け入れ機がスーツケースの重量を量り、カメラがサイズを確認する。

画像クレジット:デルタ航空

デルタ航空のエアポートエクスペリエンス担当マネージングディレクターであるGreg Forbes(グレッグ・フォーブス)氏は、正式公開に先立つプレスイベントで「目標は30秒です」と語った。「これを実現するために、私たちは技術開発を行うだけではなく、アプリを立ち上げたり運転免許証を探したりといった特定の振舞を行わないだけでもなく、似たようなスタイルで移動する乗客を集めることにしました」。

フォーブス誌は、このサービスは通常のローラーバッグ、スーツケース、ダッフルバッグにしか使えないと指摘している。これは基本的に、自分が何をしているかを知っているフリークエント・フライヤーのためのバッグドロップエリアなのだ。

画像クレジット:TechCrunch

フォーブス誌は「サーフボードやゴルフクラブをご持参のお客様には、建物の外で車寄せがあるチェックインカウンター(カーブサイド)のSkycap(スカイキャップ)の方がお勧めです。またもし2年生の遠足で子どもが30人いて、それぞれチケットにひと悶着ある場合にも、おすすめできません」という。

現在、アトランタを起点とするデルタ航空の利用者の約4分の1が、この方法で荷物を預ける資格をすでに得ている。この体験はスカイマイルのアカウントと連動しているため、デルタ航空のマイレージプログラムへの登録を促すことにもなり、その結果、デルタ航空はマイレージプログラムの利用者に向けた新たなマーケティング手段を得ることになる。

実際に体験してみたところ「30秒でバッグドロップ完了」という約束は、十分実現可能なものに思えた。マスクをちょっとずらして行う顔認証は数秒で完了する。ラゲッジタグを手で貼り付ける方がよほど時間がかかる。

現段階では、デルタ航空はこのために機械が4台だけが置かれた小さなスペースを設けているが、フォーブス誌によると、処理能力が問題になった場合には、空港内の別の場所に2つ目のバッグドロップエリアを設ける計画がすでにあるとのことだ。

また、目の不自由な乗客のための設備や、本人確認に問題が起きた場合の搭乗券読み取り装置も設置されている。

バッグドロップした後は、PreCheckの列に並び、そこでまた顔面スキャンを受け、さらに搭乗口でも再び顔面スキャンを受ける。すべてが順調にいけば、搭乗券や身分証明書を出す必要はない(もちろん身分証明書は持っていくべきだが)。

画像クレジット:TechCrunch

一般的には、バイオメトリクスを使用すると、プライバシーに関する問題が発生する。デルタ航空は、画像は本人認証のためにTSAに送るだけだということを強調している。そもそも、乗客がPreCheckやGlobal Entry(グローバル・エントリー)を選択した段階で、TSAはすでに乗客の顔と旅行スケジュールを把握しているのだ。フォーブス誌はまた、デルタ航空自身は生体データには一切触れず、その技術を提供するパートナーに任せているとも述べている。彼らの技術の安全性は政府によって検証されているが、100%安全であると保証されたシステムは存在しないことはご存知の通りだ。

個人的には、2021年に入ってから何度も米国境を越えていて、そのほとんどはGlobal Entryを利用している。Global Entryも現時点では完全に顔認証に依存している。最初は少し奇妙な感じもしたが、国土安全保障省はすでに私の情報をすべて把握しているので実際には問題ということはなく、単に接続までの時間を短縮することができた。またデルタ航空のシステムを使った、上述のカーブサイド経由の搭乗も、かなり似ていると感じた(何も触らなくていいというのは、コロナの時代にはありがたい特典だ)。

しかし、すべての人がこのようなトレードオフを望んでいるわけではない。そうした人たちにとっては何も変わらないままだ。結局これらはオプトインであることに変わりはない。

今のところ、少なくとも現在のパイロットプログラムでは、これはデルタ航空とTSAとの間の独占的なパートナーシップで運営されている。もちろん他の航空会社もすでに同様の取り組みを行っていることだろう(ユナイテッド航空の場合はCLEARとの提携だが、次に導入する可能性が高い)。デルタ航空が空港内のさまざまな顧客接点でこれを展開し、他の企業もすぐに追随することを期待している。

画像クレジット:Delta

関連記事:航空会社もCES参入、デルタはAR活用の新アプリやパワードスーツをお披露目

画像クレジット:TechCrunch

原文へ

(文:Frederic Lardinois、翻訳:sako)

グーグルで18歳未満やその親が検索結果からの写真データ削除を申請可能に

Google(グーグル)は、18歳未満のユーザーとその親が、同社の画像検索結果から写真を削除することを申請できる機能を導入する。

この新しいプライバシーオプションは、Googleが2021年8月に発表した多くの変更点の1つで、18歳未満のユーザーをより厚く保護するために先行導入される。この他にも、アップロードされた動画をデフォルトで非公開にしたり、開封動画などの「過度に商業的な」YouTubeキッズコンテンツを無効にしたり、排除したりすることが計画されている。

関連記事:グーグルが検索やYouTubeなどの自社プラットフォームにおける未成年者保護を強化


18歳未満のユーザーまたはその親や保護者は、このリクエストフォームに必要事項を記入して、検索結果に表示される画像の削除をGoogleに依頼できる。その際「現在18歳未満の個人が写っている画像」を削除して欲しいと明示し、個人情報、画像のURL、検索結果に表示される検索クエリを示す必要がある。

Googleは、すべてのリクエストをレビューし、フォローアップのために必要に応じて確認のために追加で質問するという。問題のある画像が削除されたら、同社から通知が来るため、待たされたままになることはない。

米国をはじめとする多くの国では、オンライン上の「忘れられる権利」を扱う国内の法的枠組みが存在しない。強力なプライバシー規制の金字塔として広く知られているEUの包括的ルール「GDPR」では、写真を含むある種のオンライン識別情報の削除を要求する手段が用意されている。

Googleの新しいリクエストツールは便利で、世界中で利用可能だが、GDPRが定める要件には及ばない。Googleの場合、写真の削除を要求するには、対象となる人物が18歳未満でなければならない。GDPRはさらに進んでおり、画像がアップロードされた時点で本人が未成年であった場合、本人の要求に応じて画像を削除することをインターネット企業に義務付けている。

Googleが発表した上記の画像削除オプションをはじめとする一連の変更は、米国で同社や他のテック企業に対する規制当局の監視が厳しくなっていることを反映したものだ。10月26日には、YouTubeは上院商務委員会で同社の動画プラットフォームを利用する若くて脆弱なユーザーを保護する取り組みについて証言し、最近発表した変更点をアピールした。

画像クレジット:Alex Tai/SOPA Images/LightRocket / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Nariko Mizoguchi

Acompanyが秘密計算エンジンQuickMPCに線形回帰分析・ロジスティック回帰分析が可能な分析機能群PrivacyAI実装

名古屋大発スタートアップAcompanyが暗号化したままの計算処理が可能なMPC秘密計算エンジンを独自開発

秘密計算スタートアップAcompany(アカンパニー)は10月26日、秘密計算エンジン「QuickMPC」上で利用できる、秘密計算による機械学習を含めた高度な分析機能群「Privacy AI」(プライバシーエーアイ)の提供開始を発表した。これに伴い、「線形回帰分析」と「ロジスティック回帰分析」という2つの高度な分析手法が提供される。

秘密計算とは、データを暗号化したまま分析が行える暗号技術。複数の組織間で暗号化されたデータをやりとりして分析する場合でも、その都度暗号を解除する必要がないため安全が保たれる。だが、Acompanyが開発を進める秘密分散法(秘密データを複数のグループに分散し、それらを合わせることで元データが復元されるという手法)による秘密計算は、高度な専門性が必要で実装が困難だった。そのため、平均や相関など基本的な統計手法しか製品化できず、複数のデータを用いた複雑なデータ分析は難しかった。

そこでAcompanyは、Privacy AIの機能として、複雑な分析を可能にする「線形回帰分析」と「ロジスティック回帰分析」を実装した。線形回帰分析とは、複数のデータの関係性から、特定の値の変動が他の要素にどのように影響を与えるかを分析する統計手法だ。ロジスティック回帰分析とは、複数の要因から特定の結果が起こる確率を説明、予測する統計手法。これらにより、店舗の来客数と特定商品の売上げとの相関関係や、営業マンのアポイント数、残業時間、勉強会への参加の有無と営業成績との相関関係の分析などが行えるようになる。

今後は、「勾配ブースティング木」などの複雑な分析手法をPrivacy AIに加えてゆき、「プライバシー保護とデータ活用の両立」の実行可能領域を拡張させてゆくとAcompanyは話している。

Acompanyは、「データを価値に進化させる。」というミッションのもと、プライバシー情報や機密情報などの活用が難しいデータに対し秘密計算技術を軸に、プライバシー保護とデータ活用の両立を実現する名古屋大学および名古屋工業大学発スタートアップ。主に、QuickMPCの提供を軸に、プライバシー保護およびセキュリティに関するソリューションを展開している。