アップルがアプリ追跡の透明性をユーモラスに表現した「iPhoneのプライバシー|追跡」CMを公開

アップルがアプリ追跡の透明性をユーモラスに表現した「iPhoneのプライバシー | 追跡 」CMを公開

Apple

今年4月末に配信されたiOS 14.5ではアプリトラッキング透明性(App Tracking Transparency/ATT)が導入され、今後アプリが異なるWebやアプリをまたいでユーザーを追跡する際には、ユーザーの明示的な許可を得ることが義務づけられるようになりました。アプリがユーザーのIDFA(広告識別子)を取得する前には、プロンプトを表示してユーザーの許可をもらうことが必須となっています。

これを受けてアップルは、ATTをユーモラスに表現したテレビCM「iPhoneのプライバシー|追跡」の公開を開始しました。

アップルいわく、アプリのトラッキング透明性とは「あなたのデータを、あなた自身がコントロールできる新しい機能」とのこと。それを朝の一杯のコーヒーを買った人の一日を追うかたちで分かりやすく可視化しています。

その人がコーヒーを買ったり店で買い物するたびに後を付いてくる店員(勝手にプライバシーを追跡するアプリの擬人化)が続々と増えていき、気が付けば部屋は追跡者で満員に。そこでiPhoneに「アクティビティを追跡することを許可しますか?」というプロンプトが表示され、「Appにトラッキングしないように要求」をタップすると追跡者がドロンと消えてゆくという流れです。

アップルはプライバシーが基本的人権であり、ユーザーが自分の情報を自分でコントロールできるように製品を設計していると述べています。そうした信念は昨日今日のことではなく、共同創業者スティーブ・ジョブズ氏がCEOだった時代まで遡り長年にわたって追求されてきたものです。4月初めに公開されたプライバシー保護原則やATTに関するデジタルブックでも、ジョブズ氏の「彼らのデータで自分たちが何をしようとしているのか、正確に説明すべきです」との言葉が引用されていました。

かといってアップルは広告一般に反対しているわけではありません。ティム・クックCEOも人々がオンラインで費やす時間が長くなるなかで、デジタル広告が増えていくのは自然な成り行きであると認めていました。その上で「このような詳細なプロフィールの構築(追跡から得た情報に基づいて作ったユーザー属性)をお客様の同意なしに行うことが許されるかどうかです」として、広告関係者には事前にどんな情報を集めるかを知らせ、ユーザーが自らのデータを制御できる権利を尊重するよう呼びかけているしだいです。

iPhoneにATTが導入された直後、米国ユーザーの96%がアプリ追跡を無効にしたとの調査結果もありました。その一方でマーケティング業界団体は一時的にはiOS向けの広告費は減りながらも、いずれはユーザー追跡なしの広告が増えていくという楽観的な見通しも発表しています

無料でアプリやサービスが楽しめる対価として広告が表示されるビジネスモデルはテレビやラジオから引き継がれたものであり、もしも否定してしまえばあらゆるコンテンツが有料になりかねません。

ATTはあくまで異なるWebやアプリをまたいだユーザー追跡に同意を求めるにすぎず、自社アプリやサイト上でのデータ収集は今まで通り続けられるはず。今後はその会社の経済圏内に留まり続けるかぎり行動履歴に基づくパーソナライズド広告が表示され、一歩外に出ればテレビのスイッチを切るように追跡もオフにされる、という新たな行動様式が定着していくのかもしれません。

(Source:Apple(YouTube)Engadget日本版より転載)

関連記事
ユーザーをだます「ダークパターン」デザインを集めて企業の恥を晒す通報窓口ができた
米国iOS 14.5ユーザーの96%が「アプリトラッキング透明性」(ATT)でアプリ追跡を無効にしたとの調査報告
アップルに続きグーグルもGoogle Playへの「セーフティ」セクション追加を予告
アップルがApp Storeの検索タブに新たな広告枠を導入
ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと
モバイル関係者が震撼、AppleのATT導入でマーケティングはこう変わる
マイクロソフトの「Edge」ブラウザーがGoogleの広告技術「FloC」を無効化、事実上の「NO」か
米国上院議員が個人情報の輸出を制限する法案を提出
米国のプライバシー保護団体が「監視広告」の禁止を米議会に強く要請
GoogleがCookieに代わる広告ターゲティング手段FLoCをChromeでテスト開始
中国がアプリによる過剰なユーザーデータ収集を5月から禁止
フェイスブックとインスタグラムが「最も個人情報をかき集めるアプリ」トップに、第三者と多くの個人データ共有
Facebookがパーソナライズされた広告の利点を訴えるキャンペーンを展開
Appleのティム・クック氏がアドテックは社会の破滅をもたらすと警告、同社アプリトラッカーのオプトイン機能を擁護
グーグルはCookieに代わるターゲット方式による広告収入はほぼ変わらないと主張するもプライバシー面は不透明
中国のインターネット規制当局は強制的なユーザーデータの収集を標的に

カテゴリー:セキュリティ
タグ:Apple / アップル(企業)App Tracking Transparency / ATT / アプリのトラッキングの透明性(用語)広告 / アドテック(用語)広告業界(用語)個人情報 / 個人情報保護(用語)プライバシー(用語)メディア(用語)

ユーザーをだます「ダークパターン」デザインを集めて企業の恥を晒す通報窓口ができた

「dark pattern(ダークパターン)」という言葉は聞き慣れないかもしれない。しかし、この操作的デザイン現象は我々が日常的に使っているアプリやサービスに蔓延している。

ダークパターンは、消費者が企業を儲けさせる選択をするよう誘導し、多くの場合出費がともなう。個人データをうっかり渡してしまう誤解を招く表現や、おそらくキャンセルしたいサブスクリプションを更新する結果になる隠しボタンなどだ。

これからは、不審なダークパターンデザインを見つけた時には、Darkpatternstipline.orgに通報できる。Consumer Reports(コンシューマー・レポート)が主催する専用サイトだ。この新しい通報窓口は、EFF(電子フロンティア財団)、PEN America(ペン・アメリカ)、Consumer Reports、Access Now(アクセス・ナウ)をはじめとするデジタル権利保護団体による共同プロジェクトだ。

ダークパターン報告を集めるこの取り組みは、操作的デザインを標的とする新しい法律のおかげで、実効力をともなうものになった。

2021年3月、カリフォルニア州は画期的なプライバシー法であるカリフォルニア消費者プライバシー法(CCPA)を改定し、 テック企業によるダークパターンを禁止した。「この改定は、データプライバシー権を行使する上で混乱したり欺かれたりすることがないよう消費者を保護するものです」とカリフォルニア州司法長官のXavier Becerra(ザビエル・べセラ)氏が新たな規則について語った。

議会もダークパターンに懸念を示している。2019年、DETOUR Actと呼ばれる超党派法案が提出され、1億人以上のユーザーを持つ大企業による「曖昧、破壊的、あるいはユーザーの自律を損なう」ユーザーインターフェイスを禁止しようと試みた。同法案はその後進展しなかったが、威圧的なデザイン選択は、大手テクノロジー企業に対する連邦規制を実施しようとしている立法府にとって、数多い懸念材料の1つとなっている。

どこかのメールリストに騙して登録させようとする、矛盾したチェックボックスを見たことがありませんか?それがダークパターンです。

(訳注:画像のチェックボックスは、オプトインする / オプトアウトしない/ オプトインしなくない。最後に薄く小さく「すべてオプトアウトする」が見える)

通報窓口を作った人たちにとって、テクノロジー政策を具現化する規制当局に対する懸念は優先順位だ。「インターネットやその先でダークパターンを止めさせるためには、まず、今起きていることを分析し、その結果を使って政策立案者と立法者に働きかける必要があります」とEFFのデザイナーであるShirin Mori(シリン・モリ)氏はいう。

「このダークパターン通報窓口が、テクノロジー製品やサービスを全員にとってより公正かつ公平で利用しやすくしようとする私たちの活動を後押ししてくれることを願っています」。

関連記事:ユーザーを騙すダークパターンを禁じる超党派法案を米議会に提出

カテゴリー:パブリック / ダイバーシティ
タグ:ダークパターン個人情報プライバシー

画像クレジット:NurPhoto / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Nob Takahashi / facebook

クラウドインフラプロバイダー大手DigitalOceanが顧客の請求データ流出を発表

DigitalOceanが請求データに関わるデータ侵害の警告メールを顧客に送ったことが、TechCrunchによって明らかになった。

クラウドインフラストラクチャの大手であるDigitalOceanは、TechCrunchが入手した米国時間4月28日の電子メールで「アカウントの請求プロファイルに関連する詳細が不正に公開されたことを確認しました」と顧客に伝えた。同社は4月9日から4月22日までの2週間の間に、不明な人物が「修正済みの欠陥を利用して、お客様の請求アカウントの詳細の一部にアクセスしました」と述べている。

メールによると、アクセスされたのは顧客の請求書の名前や住所のほか、決済カードの下4桁、有効期限、カード発行銀行名などだという。DigitalOceanは顧客のアカウントは「アクセスされていない」としており、パスワードやアカウントトークンは今回の侵害に「関連していない」としている。

「念のため、お客様のアカウントに追加のセキュリティ監視を実装しました。今後このような不具合が発生する可能性を減らすため、セキュリティ対策を強化しています」。とメールには書かれている。

DigitalOceanは、この脆弱性を修正し、データ保護当局に通知したと述べているが、顧客の請求情報を危険にさらす明らかな欠陥が何であったかは不明だ。

DigitalOceanのセキュリティ責任者Tyler Healy(タイラー・ヒーリー)氏は声明の中で、課金プロフィールの1%が今回のセキュリティ侵害の影響を受けたと述べたが、脆弱性がどのように発見されたのか、またどの当局に知らされたのかなど、具体的な質問には答えなかった。

欧州に顧客を持つ同社はGDPRの対象となり、全世界の年間売上高の最大4%の罰金を科せられる可能性がある。

2020年、このクラウド企業は1億ドル(約110億円)の新規資金調達に続き、さらに5000万ドル(約54億円)の資金調達を行い、その数カ月後には財務状況を懸念して数十名のスタッフをレイオフした。同社は2021年3月には株式を公開し、約7億7500万ドル(約840億円)を調達した。

関連記事:クラウドインフラプロバイダーのDigitalOceanが融資で約110億円を調達

カテゴリー:セキュリティ
タグ:DigitalOceanデータ漏洩個人情報

画像クレジット:New York Stock Exchange / file photo / Getty Images

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

TikTokが米国に続き欧州に「透明性」センターを設置、専門家に取り組みを開示

TikTok(ティックトック)は米国時間4月27日、コンテンツモデレーションやレコメンデーション、プラットフォームセキュリティ、ユーザープライバシーに同社がどのように取り組んでいるかを外部の専門家に示すセンターを欧州に設置すると発表した。

欧州Transparency and Accountability Centre(TAC、透明性・説明責任センター)は2020年の米国センター開所に続くもので、米国同様、同社の「透明性へのコミットメント」の一環と位置づけられている。

米国TACを発表してすぐにTikTokは米国でコンテンツ・アドバイザリー・カウンシルも設置した。そして2021年3月に異なる複数の専門家で構成される同様のアドバイザリー機関を欧州にも設けた。

関連記事:TikTokがコンテンツ管理改善のため欧州に安全諮問委員会を設置

そして今、欧州TACを設置することで米国におけるアプローチを完全に再現している。

これまでに専門家や議員など70人以上がバーチャルの米国ツアーに参加した、とTikTokは述べた。このツアーでは参加者はTikTokの業務の詳細を学び、安全性やセキュリティに関する慣行について質問することができる。

ショートビデオのソーシャルメディアサイトであるTikTokは近年、人気が高まるにつれ、コンテンツポリシーや所有構造をめぐって厳しい視線が注がれてきた。

TikTokが中国テック大企業の所有で、かつ中国共産党が定めるインターネットデータ法の対象となっていることから、米国における懸念は主に検閲のリスクとユーザーデータのセキュリティについてだった。

一方、欧州では議員や当局、市民社会が子どもの安全とデータプライバシーに関する問題などを含む幅広い懸念を提起してきた。

2021年初めに注目を集めたケースでは、TikTokでコンテンツチャレンジに参加していたとされているイタリアの少女の死を受けて、同国のデータ保護当局が緊急介入した。その結果、TikTokはイタリアのプラットフォームで全ユーザーの年齢を再度チェックすることに同意した

関連記事
TikTokが欧州で消費者、子どもの安全、プライバシーに関する訴えを受ける
「失神チャレンジ」による少女死亡事件でTikTokのイタリア当局への対応に注目

同社は、現在も続く新型コロナウイルスパンデミックのために、欧州TACがバーチャルで取り組みを開始すると述べた。しかし同社が欧州本社を置くアイルランドに実際のセンターを2022年に開所する計画だ。

欧州の議員らは最近、コンテンツレコメンデーションエンジンなどを含むAIシステムのアカウンタビリティーをさらに強調するため、デジタル法案に一連のアップデートを提案した。

欧州委員会が先週提示したAI規制の草案は、有害となり得る方法で人々の行動を操作するためのAIテクノロジーにおける潜在意識の使用の全面禁止も提案している。例えば自殺賛成のコンテンツやリスクのある問題を暗示的に展開することで自傷するようユーザーをそそのかすコンテンツレコメンダーエンジンなどが禁止の対象となる(草案には、違反した場合の罰金はグローバルの年間売上高の最大6%と盛り込まれている)。

欧州TACはレコメンデーションテクノロジーに関する詳細な洞察を提供する、とTikTokが明示したのは非常に興味深い。

「TikTokのチームがコミュニティのためにプラットフォームをポジティブで安全なエクスペリエンスにしようとしている取り組みを専門家、研究者、議員が確認する機会をセンターは提供します」と同社はプレスリリースに書いている。そして専門家は、同社が「TikTokコミュニティを安全なものにし続ける」ためにどのようにテクノロジーを使っているか、訓練されたコンテンツレビューチームがコミュニティガイドラインに基づいてコンテンツに関しどのように決断を下しているか「モデレーションの取り組みを補完する人間のレビュワーが潜在的なポリシー違反を見つけるためにテクノロジーを使っている方法」について知見も得る、としている。

EUのAI規制草案にはまた、人工知能のハイリスクな適用を人間が監視するという要件が盛り込まれている。規制の草案にある一連の現在のカテゴリーを考えた時、ソーシャルメディアプラットフォームが特定の義務に従うかどうかは不透明だ。

しかしAI規制は、プラットフォームにフォーカスした欧州委員会の規則制定の1つのピースにすぎない。

欧州委員会は2020年末、プラットフォームにデューデリジェンスを義務づけるDSAとDMAのもと、デジタルサービス向けのルールに広範なアップデートを提案した。そしてアルゴリズムを使ったランキングやヒエラルキーを説明するよう大手プラットフォームに求めている。そしてTikTokはおそらく義務の対象となる。

ブレグジットで現在はEU外となっている英国もまた2021年中に提示することになっている独自のOnline Safety regulationに取り組んでいる。つまり、数年のうちにTikTokのようなプラットフォームが欧州で遵守すべき、コンテンツにフォーカスした複数の規則制度ができる。そして外部専門家にアルゴリズムをみせることは、ソフトなPRではなく厳しい法的要件となりそうだ。

関連記事:2021年提出予定の英国オンライン危害法案の注意義務違反への罰金は年間売上高10%

声明の中での欧州TACの立ち上げについてのコメントで、TikTokの信頼・安全責任者のCormac Keenan(コーマック・キーナン)氏は次のように述べた。「欧州中に1億人超のユーザーを抱え、当社はコミュニティと広く社会の信頼を得るための責任を認識しています。当社の透明性・説明責任センターは、TikTokを喜び、クリエイティビティ、楽しみのための場所にし続けるために当社が展開しているチームやプロセス、テクノロジーを人々が理解できるようにする過程において次のステップです。すべきことがたくさんあるのは理解していて、待ち受けている困難を積極的に解決していくことに前向きです。当社のシステムをさらに改善できるよう、欧州中から専門家を迎え、率直なフィードバックを聞くことを楽しみにしています」。

カテゴリー:ネットサービス
タグ:TikTokプライバシー個人情報ヨーロッパEU

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと

Apple(アップル)のモバイルOSの最新バージョン「iOS 14.5」が、米国時間4月26日に配信開始となった。これに伴い、多くの議論を巻き起こした「App Tracking Transparency(アプリのトラッキングの透明性)」という新しいプライバシー保護機能が導入される。

この機能は約1年前に発表されたが、アップルはアプリ開発者に準備期間を与えるために導入を延期していた。以来、この機能への対応はすでにiOSで始まっており、いくつかのアプリがすでに採用している。例えば、Duolingo(デュオリンゴ)やVenmo(ベンモ)では、ユーザーにデータ追跡の許可を求めることが確認されている。だが、アップルは今回のアップデートから実際に新しい規定の施行を開始すると述べている。

関連記事
iOS 14.5でマスク着用時でのApple WatchによるiPhoneのロック解除、アプリ追跡の透明化、キス絵文字が追加
iOS 14でアプリの広告トラッキングの拒否が可能に、セキュリティとプライバシーをさらに強化
アップルが開発者によるユーザー追跡の明示的許可強制を来年まで延期

つまり、iPhoneユーザーは一般的なアプリケーションを使用していると、何度もプライバシーに関するプロンプトを目にするようになる。アプリごとに「他社のAppやウェブサイトを横断してあなたのアクティビティを追跡する」許可を求めて来るのだ。追跡(トラッキング)許可を求めるすべてのアプリは、iOSの広範な「プライバシー」設定の中の「トラッキング」メニューに表示され、個々のアプリまたはすべてのアプリについて、トラッキングのオン / オフをいつでも切り替えることができる。

関連記事:アップルが導入間近のデータトラッキング規制「App Tracking Transparency」の詳細をさらに公開

トラッキングのオン / オフを切り替えると、実際にどのような効果があるのだろうか?トラッキングをオフにすると、そのアプリケーションは、アップルのIDFA識別子を使ってあなたの行動に関するデータをデータブローカーやその他の第三者と共有し、広告のターゲットにすることができなくなる。また、アプリが他の識別子(ハッシュ化されたメールアドレスなど)を使ってあなたを追跡することもできなくなるが、アップルにとって実際にポリシーのこの部分を施行することは、より困難になるかもしれない。

画像クレジット:Apple

App Tracking Transparencyについては、リリースに向けて激しい議論が交わされてきた。賛否両論あるものの、賛成派の説明は簡単だ。これまで膨大な量の個人情報や活動が、消費者の同意なしに収集されていた(アップルは「あなたのデータの1日」と名づけられた報告書でその概要を説明している)が、その共有を簡単に制御できるようになるということである。

しかし、Facebook(フェイスブック)は、この新ポリシーが広告ターゲティングに深刻な打撃を与えることから、手頃な費用で効果的な広告キャンペーンを行うためにターゲティングを利用している中小企業に損害を与えると主張している。

さらにFacebookは、The New York Times(ニューヨーク・タイムズ)、The Wall Street Journal(ウォール・ストリート・ジャーナル)、The Washington Post(ワシントン・ポスト)に「世界中の中小企業のためにAppleに立ち向かう」と宣言する広告まで掲載した(電子フロンティア財団は、このキャンペーンを「Facebookのビジネスに悪影響を与えるアップルのプライバシー保護強化に向けた変更を阻止しようとしつつ、自社の反競争的な行動やプライバシー問題に関する失態から人々の目を逸らさせようとする、Facebookの笑えない試み」と断じた)。

関連記事:Facebookがアプリ追跡と広告ターゲティング制限に対してアップル批判を強化

なお、このような変更は一部の開発者や広告主に「存亡の危機」をもたらす一方で、アップルには利益をもたらすことにもなるという意見もある。

これがどれほどの影響をもたらすかということは、どれだけ多くの人がトラッキングの拒否を選択するかにかかってくるだろう。アプリ開発者はトラッキングの有無に応じて何らかの機能を制限することができないため、このようなプロンプトが表示されたときに、一般的なiPhoneユーザーの多くが「許可」を選択するとは考えにくい。しかし、モバイルアトリビューション分析会社のAppsFlyer(アップスフライヤー)によると、初期の調査結果によれば、「許可」選択率は39%にも達する可能性があるという。

カテゴリー:ソフトウェア
タグ:AppleiOSiOS 14IDFAApp Tracking Transparency広告Facebook個人情報プライバシー

画像クレジット:Getty Images

原文へ

(文:Anthony Ha、翻訳:Hirokazu Kusakabe)

EUデータ保護当局のトップ監督官が公共の場での顔認識の禁止を強く要請

欧州連合(EU)のデータ保護監督官は、次期AI関連法案の下で、公共の場での遠隔バイオメトリックサーベイランスを全面的に禁止するよう求めた。

欧州データ保護監察機関(EDPS)の介入は、欧州議会の議員らが中央ヨーロッパ時間4月21日に発表した、AI(人工知能)の適用先を規制するためのリスクベースアプローチに関する提案を受けたものだ。

欧州委員会の立法案には、法執行機関による公共の場での遠隔バイオメトリックサーベイランス技術(顔認識など)の使用を一部禁止することが含まれている。しかし、この文書には広範な例外規定が含まれており、デジタル権および人権団体は、EU市民の基本的権利の大幅な侵害につながると彼らが主張する抜け穴について、早くも警告を発している。そして先週、欧州議会の党派を超えたグループは、欧州委員会に対し、勇気を奮い起こしてこうした権利を侵害する技術を違法とするよう求めた。

欧州委員会のために勧告やガイダンスを発行する役割を担うEDPSは、これに同意する傾向にある。4月23日に発表されたプレスリリースでは、現在、EDPSの席を保持するWojciech Wiewiórowski(ヴォイチェフ・ヴィヴィオロフスキ)氏が再考を促している。

「EDPSは、顔認識を含む遠隔生体識別システムが公に利用可能なスペースで使用されることの一時停止を求める我々の以前の呼びかけが、欧州委員会によって対処されていないことを遺憾に思います」と同氏は書いている。

「EDPSは、商業や行政、あるいは法執行目的で使用されるかどうかにかかわらず、公共の場における人間の特徴(顔だけでなく歩行、指紋、DNA、声、キーストローク、その他の生体・行動信号)の自動認識について、より厳格なアプローチを提唱し続けていきます」。

「遠隔生体識別に関してはAIが前例のない発展をもたらす可能性がありますが、個人の私生活に深く非民主的に侵入するリスクが極めて高いことを考えると、より厳格なアプローチが必要です」とも。

ヴィヴィオロフスキ氏は、欧州委員会が提示した水平的アプローチと広範な範囲を歓迎すると述べ、この立法案に対してエールを送った。またAIの適用先を規制する際に、リスクベースアプローチをとることにも賛成している。

しかしEDPSは、EU議会が引いたレッドラインが、彼が期待していたよりもはるかにピンク色であることを明確にした。そして、欧州委員会が「信頼できる」「人間中心の」AIを確保するためのフレームワークを作成したという大々的な主張に応えていないという批判に、権威ある声を加えることになった。

今後、規制の最終的な形をめぐる議論では、欧州でのAIの一線をどこに引くべきかについて、多くの議論が交わされることになるだろう。最終的な文書の合意は、早くても来年になる見込みだ。

「EDPSは、個人および社会全体の保護を強化するためにEUの共同立法機関を支援するため、欧州委員会の提案を綿密かつ包括的に分析していきます。この観点から、EDPSは特に、データ保護やプライバシーに関する基本的権利にリスクをもたらす可能性のあるツールやシステムに的確な境界線を設定することに注力します」と、ヴィヴィオロフスキ氏は付け加えた。

関連記事:スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

カテゴリー:パブリック / ダイバーシティ
タグ:EU顔認証欧州データ保護監察機関(EDPS)プライバシー個人情報

画像クレジット:Stegerphoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Aya Nakazato)

米国上院議員が、個人データの輸出を制限する法案を提出

米国で(ロン・ワイデン)上院議員(民主党)が、ハイテク企業が国外で売買できる情報の種類と、その情報を合法的に販売できる国を制限する法案を提出した。この法案は想像力に富んでおり、具体性に乏しいものの、国際的なデータ取引に対する連邦レベルでの懸念が高まっていることを示している。

ワイデン上院議員は、法案に添付された声明の中で、「怪しげなデータブローカーは、米国人の個人データを、国家安全保障を脅かす可能性のある外国に売って金儲けをするべきではない」と、述べている。米国人の個人データを売って金儲けをするべきではないだろうが、国家安全保障はそれを円滑に規制するための拠り所となる。

この「Protecting Americans’ Data From Foreign Surveillance Act(米国人のデータを外国の監視から保護する法律)」は、消費者のデータをグローバル市場で取引される商品として分類し、保護するための第一歩となるだろう。現状では、個人に固有のデータ(購買習慣、行動、支持政党など)が外国で販売されることについて、ほとんど規制されていない。

つまり、例えば、米国のデータブローカーが、何百万人分もの米国人の好みのブランドや自宅の住所を、投資調査を行っている中国の銀行に売ることができるということだ。だが、このような取引の中には、全く問題のないものや、グローバルな商取引を促進するために望ましいものもある。では、何を基準に危険なもの、搾取的ものと判断するのだろうか?

特定の知的財産や武器の販売を制限しているような、「誰に、何を売るべきではないのか」という公式な定義はない。提案されている法律では、まず商務長官に、保護すべきデータとそれを保護すべき相手を特定するよう命じることになる。

保護すべきデータとは、全般的に「第三者によって輸出された場合、米国の国家安全保障に悪影響を及ぼす可能性がある」ものだ。保護すべき相手とは、データ保護や輸出管理が不十分な国、米国に対する諜報活動が最近行われている国、政府がそのような情報を強制的に引き渡すことができる法律を持つ国などである。これは明らかに中国やロシアを対象としたものだが、皮肉にも米国もこの条件にかなり当てはまる。

ただし、報道の精神に則ったものや、合衆国憲法修正第1条で保護された言論、暗号化されたデータ(例えば、暗号化されたメッセージを対象国のサーバーに保存する場合など)については例外となる。また、違法にデータを輸出していることを「知っていた、または知っているべきだった」経営者には罰則を設け、違法に輸出されたデータによって外国で被害を受けたり、拘束されたりした人には道を開く。これは例えば、他の国が米国の顔認証サービスを利用して、出国前の人を発見し、制止させ、逮捕した場合などが考えられる。

すべてが少々曖昧に感じられるかもしれないが、それは多かれ少なかれ意図的なものだ。このような法律に必要な定義は、議会が考案するものではなく、専門機関が調査を行い、議会が参照できるような報告書を作成しなければならない。今回の法案は、このような路線に沿った最初のステップが行われることを表している。つまり、物事の全般的な形を明らかにし、特定のクラスの望ましくないデータ商取引がまもなく違法になることを公正に警告するものだ。経営陣の責任を強調しているため、ハイテク企業は注目せざるを得ないはずだ。

この法案は、経済的・法的な理由で企業がデータの保存や処理を分散させている既存の仕組みに配慮する必要があるだろう。データの自由な移動は、常に相互に影響し合う世界規模のビジネスにはある程度必要であり、そのような確立されたプロセスを、お役所仕事や罰金で妨害すれば、特定の地域やビジネスに大きな損害を与えることになりかねない。

おそらくこれは今後の調査によって明らかになると思われるが、この法律が修正しようとしているデジタルエコシステムは、繊細とまでは言えないとしても、非常に複雑であるということを意味する。

この種の規制はまだ初期段階にあり、この法案は立法手続きを開始したばかりなので、この件についてさらなる発表があるまでには、少なくとも数カ月はかかると思われる。

関連記事:

カテゴリー:
タグ:

画像クレジット:Blue Planet Studio / Getty Images
原文へ
(文:Devin Coldewey、翻訳:Hirokazu Kusakabe)

近頃起こったデータ漏洩についてFacebookからの回答が待たれる

Facebookの欧州連合(EU)のデータ保護規制当局は、2021年4月第1週末に報告された大規模なデータ侵害について、この大手企業に回答を求めている。

この問題は、米国時間4月2日に Business Insiderが報じたもので、5億件以上のFacebookアカウントの個人情報(メールアドレスや携帯電話番号を含む)が低レベルのハッキングフォーラムに投稿され、数億人のFacebookユーザーのアカウントの個人情報が自由に利用できる状態になっていた。

ビジネスインサイダーによると「今回公開されたデータには、106カ国の5億3300万人以上のFacebookユーザーの個人情報が含まれており、その中には、米国のユーザーに関する3200万人以上の記録、英国のユーザーに関する1100万人以上の記録、インドのユーザーに関する600万人以上の記録が含まれる」。さらにその中には、電話番号、FacebookのID、氏名、所在地、生年月日、経歴、一部のメールアドレスなどが含まれていることを明らかにした。

Facebookは、データ漏洩の報告に対して、2019年8月に「発見して修正した」自社プラットフォームの脆弱性に関連するものだとし、その情報を2019年にも報告された「古いデータ」と呼ぶ。しかし、セキュリティ専門家がすぐに指摘したように、ほとんどの人は携帯電話の番号を頻繁に変更することはない。そのため、この侵害をそれほど重大でないものに見せようとするFacebookの反応は、責任逃れのための思慮の浅い試みのように思われる。

また、 Facebookの最初の回答が示しているように、すべてのデータが「古い」ものであるかどうかも明らかではない。

Facebookがまたしても起こったこのデータスキャンダルを、それほど重大でないものに見せようとする理由は山ほどある。欧州連合のデータ保護規則では、重大なデータ漏洩を関連当局に速やかに報告しなかった企業に対して厳しい罰則が設けられていることもその理由の1つだ。また、欧州連合の一般データ保護規則(GDPR)では、設計上およびデフォルトでのセキュリティが期待されているため、違反自体にも厳しい罰則が課せられる。

Facebookは、流出したデータが「古い」という主張を推し進めることで、それがGDPRの適用開始(2018年5月)よりも前であるという考えを宣伝したいのかもしれない。

しかし、欧州連合におけるFacebookの主なデータ監督機関であるアイルランドのデータ保護委員会(DPC)は、TechCrunchに対し、現時点ではそれが本当に古いと言えるのかどうかは十分に明らかではないと述べる。

DPCのGraham Doyle(グラハム・ドイル)副委員長は「新たに公開されたデータセットは、オリジナルの2018年(GDPR以前)のデータセットと、それより後の時期のものと思われるデータ接セットで構成されているようだ」との声明を出している。

ドイル氏はまた「情報が公開されたユーザーの多くはEUユーザーだ。データの多くは、Facebookの公開プロフィールからしばらく前に取得されたデータのようだ」とも述べている。

「以前のデータセットは2019年と2018年に公開されたが、これはFacebookのウェブサイトの大規模なスクレイピングに関連するものだ(当時Facebookは、Facebookが電話検索機能の脆弱性を閉鎖した2017年6月から2018年4月の間にこれが発生したと報告していた)。このスクレイピングはGDPR発効以前に行われたため、FacebookはこれをGDPRに基づく個人データ侵害として通知しないことに決めたのだ」。

ドイル氏によると、規制当局は週末にFacebookから情報漏洩に関する「すべての事実」を取得しようとしており、現在もそれは「続いている」。つまり、Facebookが情報漏洩自体を「古い」と主張しているにもかかわらず、この問題については現在も明らかになっていないということだ。

GDPRでは、重要なデータ保護問題について規制当局に積極的に知らせる義務が企業に課せられているにもかかわらず、この問題についてFacebookから積極的な連絡がなかったことがDPCによって明らかになった。それどころか、規制当局がFacebookに働きかけ、さまざまなチャネルを使って回答を得なければならなかった。

こうした働きかけによりDPCは、Facebookとしては、情報のスクレイピングは、Cambridge Analyticaのデータ不正利用スキャンダルを受けて確認された脆弱性を考慮して2018年と2019年にプラットフォームに加えた変更の前に発生したと考えていることが分かったと述べている。

2019年9月、オンライン上で、Facebookの電話番号の膨大なデータベースが保護されていない状態で発見された。

関連記事:Facebookユーザーの電話番号が掲載された大量データベースが流出

また、Facebookは以前、自社が提供する検索ツールに脆弱性があることを認めていた。2018年4月には、電話番号やメールアドレスを入力することでユーザーを調べられる機能を介して、10億から20億人のFacebookユーザーの公開情報が抽出されていたことを明らかにしているが、これが個人情報の貯蔵庫となっている可能性もある。

Facebookは2020年、国際的なデータスクレイピングに関与したとして、2社を提訴している。

関連記事:Facebookがデータスクレイピングを実行する2社を提訴

しかし、セキュリティ設計の不備による影響は「修正」から数年経った今でもFacebookの悩みの種となっている。

さらに重要なのは、大規模な個人情報の流出による影響は、インターネット上で今や自分の情報が公然とダウンロードにさらされるようになったFacebookユーザーにも及んでおり、スパムやフィッシング攻撃、その他の形態のソーシャルエンジニアリング(個人情報の窃盗を試みるものなど)のリスクにさらされていることだ。

この「古い」Facebookデータが、ハッカーフォーラムで無料で公開されるに至った経緯については、謎に包まれている部分が多い。

DPCは、Facebookから「問題となっているデータは、第三者によって照合されたものであり、複数のソースから得られたものである可能性がある」との説明を受けたと述べている。

Facebookはまた「十分な信頼性をもってその出所を特定し、貴局および当社のユーザーに追加情報を提供するには、広範な調査が必要である」と主張しているが、これは遠回しに、Facebookにも出所の見当がつかないということを示唆している。

「Facebookは、DPCに対し、確実な回答の提供に鋭意努めることを保証している」とドイル氏は述べている。ハッカーサイトで公開された記録の中には、ユーザーの電話番号やメールアドレスが含まれているものもある。

「ユーザーには、マーケティングを目的としたスパムメールが送られてくる可能性がある。また電話番号やメールアドレスを使った認証が必要なサービスを自ら利用している場合も、第三者がアクセスを試みる危険性があるため注意が必要だ」

「DPCは、Facebookから報告を受け次第、さらなる事実を公表する」と彼は付け加えた。

本稿執筆時点で、Facebookにこの違反行為についてのコメントを求めたが、同社はこれに応じなかった。

自分の情報が公表されていないか心配なFacebookユーザーは、データ漏洩について助言を行うサイト「haveibeenpwned」で、自分の電話番号やメールアドレスを検索することができる。

haveibeenpwnedのTroy Hunt(トロイ・ハント)氏によると、今回のFacebookのデータ漏洩には、メールアドレスよりも携帯電話番号の方がはるかに多く含まれている。

彼によると、数週間前にデータが送られてきた。最初に3億7000万件の記録が送られてきたが、その後「現在、非常広く流通しているより大規模なデータ」が送られてきたという。

「多くは同じものですが、同時に多くが異なってもいます」とハント氏は述べ、次のように付け加えた。「このデータには1つとして明確なソースはありません」。

【更新1】Facebookは今回のデータ流出についてブログ記事を公開し、問題のデータは2019年9月以前に「悪意のある者」が連絡先インポート機能を使ってユーザーのFacebookプロフィールからスクレイピングしたものと考えていることを明らかにした。またその際、ツールに修正を行い、大量の電話番号をアップロードしてプロフィールに一致する番号を見つける機能をブロックすることで悪用を防ぐ変更を施している。

「修正前の機能では、(Facebookの連絡先インポートツールのユーザーは)利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができました」とFacebookは説明し、これらの情報には利用者の金融情報や医療情報、パスワードは含まれていないと付け加えた。

ただし、悪意のある者がツールを転用することでどのようなデータを取得できたかについて、あるいは当該行為者を特定し、訴追しようとしたかどうかという点については明記されていない。

その代わりに同社の広報は、そのような行為は同社の規約に違反しているとし「このデータセットの削除に取り組んでいる」ことを強調した。同社はまた「機能を悪用する人々を可能な限り積極的に追跡していきます」と述べているが、ここでも悪用者を特定して確実に排除した実例は示していない。

(例えば、Facebookが2018年にCambridge Analyticaのスキャンダルを受けて実施すると述べたアプリ内部監査の最終報告書はどこにあるのだろうか。英国のデータ保護規制当局は最近、Facebookとの法的取り決めにより、アプリ監査について公の場で議論することはできないと述べている。つまりFacebookは、自社ツールの不正使用にどう取り組むかについての透明性を回避することに関しては、積極的なアプローチをとっているようだ……)

「過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります」とFacebookは広報の中で述べており、ユーザーのデータが同社のサービス上で安全であることを一切保証していない。

同社はユーザーに対し、アカウントに提供しているプライバシー設定をチェックすることを推奨している。その設定には、同社のサービス上で他人があなたを検索する方法を制御する機能も含まれている。これではデータセキュリティの責任はFacebook自身ではなくFacebookユーザーの手中にあると言っているようなもので、Facebookデータ漏洩の事実から逸脱し、責任転換をしようとしているだけである。

もちろん、実際はユーザー次第ではない。FacebookユーザーがFacebookから提供されるのはデータの部分的なコントロールだけであり、Facebookの設計と仕組み(プライバシーに配慮したデフォルト設定を含む)が全面的に関与するものだ。

さらに、少なくとも欧州では、製品の設計にセキュリティを組み込む法的責任がある。個人データに対して適切なレベルの保護を提供できない場合、大きな規制上の制裁を受ける可能性があるが、企業は依然としてGDPRの施行上のボトルネックから恩恵を享受している。

Facebookの広報はまた、ユーザーが二段階認証を有効にしてアカウントのセキュリティを向上させることを提案している。

それは確かに名案だが、二段階認証に関しては、Facebookが二段階認証用のセキュリティキーとサードパーティ認証アプリのサポートを提供していることは注目に値する。つまり、Facebookに携帯番号を与えるリスクを冒すことなく、この付加的なセキュリティ層を追加することができる。ユーザーの電話番号を大量にリークしていた過去もあり、ターゲティング広告に二段階認証の数字を使うことも認めているため、Facebookに自分の電話番号を託すべきではないといえるだろう。

【更新2】Facebookは追加の背景説明で、規制当局との通信内容についてはコメントしないことを明らかにした。

同社はまた、侵害についてユーザーに個別に通知する計画はないと述べ、さらに、データが取得された方法(スクレイピング)の性質上、通知が必要なユーザーを完全に特定することはできないとしている。

カテゴリー:ネットサービス
タグ:Facebookデータ漏洩GDPREUヨーロッパプライバシー個人情報

画像クレジット:Jakub Porzycki/NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

フェイスブックが2019年の個人情報流出で集団訴訟に直面する可能性

Facebook(フェイスブック)は2019年の大規模なユーザーデータ流出をめぐって訴えられることになりそうだ。このデータ流出は最近明らかになったばかりで、5億3300万超のアカウントの情報がハッカーフォーラムで無料でダウンロードできる状態だった。

Digital Rights Ireland(デジタル権利アイルランド、DRI)は現地時間4月16日、欧州連合(EU)の一般データ保護規則(GDPR)にある個人情報流出に対する金銭賠償を求める権利を引用しながら、Facebookを相手取って「集団訴訟」を開始することを発表した。

GDPRの82条では、法律違反によって影響を受けた人に「賠償と責任の権利」を認めている。GDPRが2018年5月に施行されて以来、関連する民事訴訟は欧州で増えている。

アイルランド拠点のデジタル権利のグループは、EUあるいは欧州経済圏に住むFacebookユーザーに、haveibeenpwnedウェブサイト(電子メールアドレスまたは携帯電話番号で確認できる)を通じて自身のデータが流出しなかったかどうかチェックし、もし該当するなら訴訟に加わるよう促している。

流出した情報には、FacebookのID、位置情報、携帯電話番号、電子メールアドレス、交際ステータス、雇用主などが含まれる。

訴訟についてFacebookにコメントを求めたところ、広報担当は以下のように述べた。

当社は人々の懸念を理解しており、引き続き許可なしのFacebookからのスクレイピングを困難なものにすべくシステムを強化し、そうした行為の裏にいる人物を追跡しています。LinkedInとClubhouseが示したように、完全にスクレイピングをなくしたり、スクレイピングによるデータセットの露出を防ぐことができる企業はありません。だからこそ当社はスクレイピングとの戦いにかなりのリソースをあてていて、引き続きこの問題の一歩先を進むよう対応能力を強化します。

Facebookは欧州本部をアイルランドに置いている。今週初め、同国のデータ保護委員会はEUとアイルランドのデータ保護法に基づき調査を開始した

国境をまたぐケースの調査を簡素化するためのGDPRのメカニズムにより、アイルランドのデータ保護委員会(DPC)がFacebookのEUにおける主なデータ規制当局だ。しかしながら、GDPR申し立てと調査の扱いやアプローチをめぐっては、クロスボーダーの主要ケースについて結論を出すまでの所要時間などが批判されてきた。これは特にFacebookの場合にあてはまる。

GDPRによるすばやいアプローチが導入されて3年になるが、DPCはFacebookの事業のさまざまな面に関する複数の調査を行っているものの、いずれもまだ結論が出ていない。

(最も結論に近いものは、FacebookのEUから米国へのデータ移転に関して2020年出した仮停止命令だ。しかし申し立てはGDPR施行のずいぶん前のことで、Facebookはただちにこの停止命令を阻止すべく裁判を起こした。解決は訴訟人がDPCプロセスの司法審査を提出後の2021年後半が見込まれている)。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

2018年5月以来、EUのデータ保護規制では、最も深刻な違反をした企業に対し、グローバル売上高の最大4%の罰金を科すことができる。少なくとも書面上はそうだ。

ただし繰り返しになるが、DPCがこれまでにテック企業(Twitter)に対して科したGDPRの罰金は理論上の最大金額には程遠いものだ。2020年12月に規制当局はTwitterに対し、45万ユーロ(約5860万円)の罰金を発表した。この額はTwitterの年間売上高のわずか0.1%ほどにすぎない。

この罰金もまたデータ流出に対するものだった。しかしFacebookの情報流出と異なり、Twitterのものは同社が2019年に問題に気づいたときに公表された。そのため、5億3300万のアカウントの情報流出につながった脆弱性にFacebookが気づいたものの公表せず、2019年9月までに問題を修正したという主張は、Twitterが科されたものよりも高額な罰金に直面すべきと思わせる。

ただ、たとえFacebookが情報流出でかなりのGDPRの罰金を受けることになっても、監視当局の取り扱い案件の未処理分と手続きのペースが緩やかなことからして、始まってまだ数日の調査のすばやい解決は望めない。

過去の案件からするに、DPCがFacebookの2019年の情報流出について結論を出すのに数年はかかりそうだ。これは、DRIが当局の調査と並行して集団での訴訟を重視している理由だろう。

「今回の集団訴訟への参加を意義あるものにしているのは賠償だけではありません。大量のデータを扱う企業に、法律を順守する必要があり、もしそうしなければその代償を払わなければならないというメッセージを送ることが重要なのです」とDRIのウェブサイトにはある。

DRIは2021年4月初め、Facebookの情報流出についてDPCにも苦情を申し立てた。そこには「アイルランドの裁判所での損害賠償のための集団訴訟を含め、他の選択肢についても法律顧問と協議している」と書いている。

GDPR施行までのギャップによって、訴訟資金提供者が欧州に足を踏み入れ、データ関連の損害賠償を求めて一か八かで訴訟を起こすチャンスが増えているのは明らかだ。2020年、多くの集団訴訟が起こされた

関連記事:オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展

DRIの場合、どうやらデジタル権利が支持されるようにしようとしている。しかしDRIは、プライバシーの権利が踏みにじられたユーザーに金を支払うようテック大企業に強制する損害賠償を求める主張が法に則った最善の方法だとRTEに語った。

一方、Facebookは2019年に明らかにしなかった情報流出について「古いデータ」だと主張して軽視してきた。これは、人々の出生日は変わらない(そして、多くの人が携帯電話番号や電子メールアドレスを定期的に変えたりもしない)という事実を無視する歪んだ主張だ。

Facebookの直近の大規模な情報リークで流出した多くの「古い」データは、スパマーや詐欺師がFacebookユーザーを標的にするのにかなり使い勝手のいいものになる。そして訴訟の関係者がデータ関連の損害でFacebookをターゲットとするのにも格好の材料となっている。

カテゴリー:ネットサービス
タグ:Facebookデータ漏洩EUヨーロッパGDPR裁判個人情報

画像クレジット:Jakub Porzycki/NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

中国がアプリによる過剰なユーザーデータ収集を5月から禁止

中国の最高規制機関である国家インターネット情報弁公室、工業情報化部、公安部、国家市場監督管理総局が共同で発表した文書によると、2021年5月1日以降、中国のアプリはユーザーに過剰な個人データの提供を強制できなくなる。

中国では、アプリがユーザーに機密性の高い個人情報の提供を求め、共有を拒否したユーザーはアクセスを拒否されることがよくある。ナビゲーションマップを使用するための位置情報のように正当なものもあるが、モバイル決済を行うための生体認証など不要なものも多い。

TechCrunchで報じたように、中国当局は2020年12月に、さまざまなアプリが収集する権利を持つデータの許容範囲を示した。

関連記事:中国のインターネット規制当局は強制的なユーザーデータの収集を標的に

新たな文書によると、人気が高まっている「ミニプログラム」など、あらゆる形態のアプリがこの要件の対象となっている。「ミニプログラム」とは、アプリストアをインストールしなくてもWeChatやAlipayといった包括的なネイティブアプリを通じてアクセスできるライトアプリのことだ。

現在のところ、この文書はガイドラインに過ぎず、規則をどのように施行するか、違反者をどのように処罰するかについては明記されていない。この文書は、データ保護に関して中国が少しずつ前進していることを示しているが、人々の日常生活が急速にデジタル機器と結びついているため、規制当局は規則を更新し続けなければならないだろう。

ここ数カ月の間、中国は、かつて同国が誇っていたテクノロジーの寵児たちを厳しく取り締まっている。中国は「プラットフォーム経済」を抑制するために包括的な独占禁止法を導入し、Ant GroupのIPOは失敗AlibabaとTencentは反トラスト的だと罰金が科されている。

関連記事
中国が独禁法違反でアリババとテンセント子会社に罰金処分
Antの超大型IPOが延期、中国当局がアリババ創業者から事情聴取

カテゴリー:パブリック / ダイバーシティ
タグ:中国アプリ個人情報データ保護

画像クレジット:Alibaba

原文へ

(文:Rita Liao、翻訳:Katsuyuki Yasui)