中国のインターネット規制当局は強制的なユーザーデータの収集を標的に

中国は、アプリの開発者によるデータの不正な収集の取り締りに一歩近づいた。今週、国のサイバーセキュリティ監視当局は、ライドシェアサービスやインスタントメッセンジャーなどさまざまなアプリが集めても良いとされるユーザー情報の範囲について、人民からのコメントを求めている(中国政府プレスリリース)。

この動きは、10月に公表されて今レビューされているデータ保護法案のための活動だ(China Law Transrate記事)。「その包括的なデータプライバシー法は、成立すればひとつの節目になる」と中国共産党の公式メディアであるChina Dailyの社説に掲載されている(China Daily記事)この法律は、民間企業のデータ慣行だけでなく、政府省庁におけるそれも制限する。

その党機関紙は「個人情報の遺漏は、その情報が金銭の詐取に利用された場合、個人の経済的損失に結果する。技術の進歩と高度化に伴い、個人情報の収集は個人の顔や、遺伝子など生物学的情報に対しても行われ、誤用による深刻な結果を招いている」。

中国のアプリは往々にして、同意を拒否すればアクセスを断るなどの方法で、ユーザーを屈服させて過剰な個人情報を出させている。今週発表されたルールの草案はデータ収集のタイプを定義して、このやり方をやめさせようとしている。すなわち、「合法的で妥当で必要な」データの収集ならいいと。

その草案によると、「必要な」データとは、「アプリの基本的な機能の正規の運用」を確保するものだ。ユーザーが必要なデータの収集を許せば、アプリは彼らにアクセスを認めなければならない。

以下は、さまざまタイプのアプリの「必要」と見なされる個人データの例だ。英語への翻訳はChina Law Translateによる。

  • ナビゲーション・アプリ:位置データ
  • ライドシェア:登録ユーザーの本物のID(中国では通常、携帯電話の番号)と位置情報
  • メッセージング:登録ユーザーの本物のIDと連絡先リスト
  • 決済:登録ユーザーの本物のIDと支払人/払受人の銀行情報
  • オンラインショッピング:登録ユーザーの本物のID、決済の詳細、氏名住所電話番号など受取人の情報
  • ゲーム:登録ユーザーの本物のID
  • デート:登録ユーザーの本物のID、年齢、性別、結婚やデートを求める者の婚姻状態

アプリのカテゴリーによっては、最初に個人情報を集めることなくユーザーのアクセスを認めるべきアプリがある。それらのカテゴリーは、ライブのストリーミング、ショートビデオ、ビデオや音楽のストリーミング、ニュース、ブラウザ、写真編集、アプリストアだ。

なお、草案はアプリが従うべき明確なルールを挙げているが、強制の方法や罰則の詳細はない。アプリストアは、その承認プロセスにベンチマークを含めるべきか?インターネットのユーザーが監視者になるのか?これらが、まだわからない。

関連記事:中国が考える「データセキュリティの世界標準」が明らかに

カテゴリー:セキュリティ
タグ:中国データ保護

画像クレジット:Kevin Frayer / Getty Images

原文へ

(翻訳:iwatani、a.k.a. hiwa

フェイスブックの国際デジタル通貨Libraはプライバシー対策が曖昧だと監視団体が警告

米国、欧州、アフリカ、オーストラリアから集まったプライバシー・コミッショナーたちは、計画中の暗号通貨プロジェクトLibraに組み込まれるデータ保護のための安全措置をFacebook(フェイスブック)が明確に示していないことを憂慮する共同声明文に署名した。

Facebookは、ブロックチェーン技術を利用した国際デジタル通貨を作るという大きな計画を6に公式発表した。これはFacebookを創設メンバーとするLibra Associationによって運営される。その他の創設メンバーには、Mastercard、PayPal、Uber、Lyft、eBayなど、決済や技術の巨大企業も含まれている。ベンチャー投資企業には、Andreessen Horowitz、Thrive Capital、Union Square Venturesなどが名を連ね、Kiva、Mercy Corpsといった非営利団体も参加している。

同時にFacebookは、この事業を執り行う子会社Calibraの新設も発表した。この会社は、メッセージアプリのMessengerとWhatsAppに来年組み込まれることを想定したスタンドアローンのウォレット・アプリを提供するなど、Libraネットワークのための金融サービスの開発を行うという。しかし、独自のウォレットを埋め込むつもりでいる同族のソーシャルプラットフォームの支配的地位を思うと、「オープンな」デジタル通貨ネットワークと表現されているものを、それが一気に独占してしまうのではないかとの懸念が浮かび上がる。

Calibraを大きく持ち上げた公式ブログ記事では、Facebookは、世界220億人以上のユーザーにそのウォレットを推奨できる能力を使って、どれだけの市場支配力を手にするかについて明言を避けている。だが、プライバシーに関しては、たしかに触れていた。こう書かれている。「私たちは、お客様のプライバシーを守る手順も踏んでいきます」。その根拠は、「アカウント情報と金融データは、Facebookにも第三者にも、お客様の同意なくして」渡すことはないという主張だ。

ただし、「限られた状況」においてはユーザーのデータを渡すこともあると同じ段落に書かれているように、例外を認める場合もある。それは、「お客様の安全確保のための必要性、法律の遵守、Calibraを利用される方への基本的な機能の提供を熟慮」した状況だとブログ記事には書かれている(顧客への誓約を記したCalibra Customer Commitmentには、「詐欺や犯罪行為の防止」などの具体例に加え、もう少し詳しい説明がある)。

これらはすべて、表面的には十分に安心できる説明かも知れないが、Facebookは、ユーザーの「安全」を守るために必要だとする曖昧な見解を、たとえばFacebookユーザーでないユーザーを主要なインターネット空間全域にわたってFacebookユーザーでないユーザーを主要なインターネット空間全域にわたってトラッキングするための正当化の隠れ蓑として利用している。

企業が何かをやるやらないと主張するときは、ほんの小さな部分に悪魔が宿っているものだ。

だからこそ、プライバシーとデータ保護へのLibraの取り組みに関する詳細が示されないことに、世界の監視のプロたちは疑念を抱いているのだ。

「世界中の無数の人々のプライバシーの強化を連帯して担う、データ保護とプライバシーの施行当局からなる国際的なコミュニティの代表者として、私たちは結集し、デジタル通貨Libraとそのインフラがもたらすプライバシーへのリスクに関する共通の懸念を表明します」と彼らは書いている。「その他の行政機関、民主的な政治家もこの計画に懸念を表明しています。Facebook社が関与しており、同社が数億人にものぼるユーザーから幅広い分野のデータを収集していることを考慮すると、そのリスクは金融上のプライバシーの問題に留まらず、さらなる懸念が浮上します。データ保護を担当する行政機関は、他の規制当局と密接に連携していきます」。

この声明文に署名したコミッショナーには、米連邦取引委員会(FTC)のロヒト・チョプラ(Rohit Chopra)氏も含まれている。先月、FTCで行われた採決で、Facebookの50億ドルでの和解命令案が賛成3反対2で可決されたが、そのとき反対票を投じた一人だ。

さらに世界の対象地域では、Libraをプライバシー関連の法律や人々の期待に添わせるにあたり、次の人たちがFacebookの透明性に対して懸念を表明している。カナダのプライバシーコミッショナーのDaniel Therrien(ダニエル・セリアン)氏、欧州連合データ保護監督官Giovanni Buttarelli(ジョバンニ・バタレリ)氏、英国情報コミッショナーのElizabeth Denham(エリザベス・デナム)氏、アルバニア情報およびデータ保護コミッショナーのBesnik Dervishi(ベスニク・デルビシ)氏、ブルキナファソ情報技術および市民の自由のための委員会委員長のMarguerite Ouedraogo Bonane(マグリート・ウートラウゴ・ブナン)氏、オーストラリア情報およびプライバシー・コミッショナーのAngelene Falk(アンジェリーン・ファルク)氏。

共同声明の中で、彼らは「Libraネットワークのグローバルなプライバシーに期待すること」として、次のように書いている。

今日のデジタル時代においては、組織は透明性を保ち、個人情報の取り扱いに責任を負うことがきわめて重要です。適切なプライバシーの管理とプライバシーバイデザインは、イノベーションとデータ保護を実現する鍵であり、そらは互いに排斥し合うものではりません。今日までに、FacebookとCalibraは、プライバシーに関する公式声明を公表しましたが、個人情報の厳重な管理と保護に用いられる情報の取り扱い方法に関しては、明確に述べてはいません。さらに、LibraとCalibraを性急に実施しようとする現在の計画を見るにつけ、私たちはいまだ詳細情報が提示されないことに驚き、不安を募らせています。

Libra Associationの創設メンバーとしてFacebook社が参加しているため、これは世界中の消費者の間に急速に普及する可能性があり、それにはデータ保護の法律が施行されていない国々の人たちも含まれます。ひとたびLibra Networkが稼働し始めれば、それは即座に無数の人々の個人情報の管理者となります。金融情報を含む膨大な個人情報と暗号通貨が組み合わされば、Libra Networkの構造や、データ共有に関する取り決めのプライバシー上の心配は増幅します。

彼らがLibra Networkに提示した質問のリストを下に転載する。「提案やサービスの内容に進展があったとき」に各機関が質問を追加することになっているため、彼らはこれを「すべてではない」と記している。

ユーザーのデータが何に使われるのか、その使われ方をユーザーはどこまで管理できるかを明らかにすることが、彼らが答として求めている詳細情報に含まれている。

また、ユーザーのプライバシー保護の力を弱め侵害するようなダークパターンが使われる危険性が、別の懸念として示されている。

コミッショナーたちは、ユーザーの個人情報の共有について、どのタイプのデータが共有されるのか、どのような非特定化技術が使われるのかを明確にすることも求めている。非特定化技術に関しては、たとえば、売買された匿名の個人情報から、わずか一握りのデータ点を使ってクレジットカードの利用者の再特定が可能になることを実証する研究が数年前から公表されている。

以下が、Libra Networkに送られた全質問のリストだ。

1. 国際的なデータ保護とプライバシーの施行機関が、Libra Networkはネットワークユーザーの個人情報を守る頑強な手段を持っていると確信できるようになるには、どうしたらよいか?特にLibra Networkは、参加者が以下のことを求めてきたときにどう対処するか?

a.個人情報がどのように使われるかに関する明確な情報(プロファイリングとアルゴリズムの使い方、Libra Networkのメンバーと第三者との間で共有される個人情報を含む)を、その件に特定された納得の上での同意をユーザーが適宜できるよう提示してほしい。

b.個人情報を第三者へ提供するよう促す、またはプライバシー保護を弱体化するナッジやダークパターンを使用しない、プライバシーを守るためのデフォルト設定がほしい。

c.プライバシー管理のための設定を目立たせ、簡単にできるようにしてほしい。

d.製品またはサービスに必要となる最低限の個人情報だけを、使用目的を明示した上で収集・処理をしてほしい。また処理の合法性を確保してほしい。

e.すべての個人情報を適切に保護してほしい。

f.アカウントの削除や要求を誠実に適時引き受けることを含む、プライバシーの権利を行使するための簡単な手段を人々に与えてほしい。

2. Libra Networkは、インフラ開発の際にプライバシーバイデザインの原理をどのように組み込むのか?

3. Libra Associationは、どのようにしてLibra Network内のすべてのデータ処理を確実に特定し、それぞれのデータ処理の規定に従わせるのか?

4. Libra Networkは、データ保護の影響調査をどのように実行するつもりなのか。そしてLibra Networkは、その調査をどのようにして確実に継続的に実施するのか?

5. Libra Networkは、データ保護とプライバシーに関する方針、基準、管理を、すべての対象地域で、どのようにしてLibra Networkの運用全体に一貫して適用させるのか?

6. Libra Networkのメンバー同士でデータを共有する場合、

aどのようなデータ要素が含まれるのか?

b.どの程度まで非特定化され、どのような手法で非特定化されるのか?

c.誰のデータが共有されたかを法的な強制力のある契約上の手段の使用を含め、データが再特定化されないことをLibra Networkはどのように保証するのか?

私たちはFacebookにコメントを求めている。

[原文へ]

(翻訳:金井哲夫)

オランダ当局がCookieウォールはGDPRの要件を満たさないと判断

(編集部注:この記事は米国時間38日に掲載された)

オランダのデータ保護当局(DPA)は、ウェブサイトに入るための料金的に、インターネットブラウジングが広告目的でトラッキングされることに同意するようウェブサイト訪問者に求めるCookieウォールは欧州データ保護法にそぐわないとの見解を昨日示した。

DPAによると、当局にはCookieの利用についての同意を拒否したあとにウェブサイトへのアクセスがブロックされたインターネットユーザーから何十もの苦情が寄せられた。そのため、この件について明確なガイダンスを示す運びとなった。

DPAはまた、ユーザーからの苦情が最も多かった複数の組織に、GDPRを遵守するよう促す忠告書を送ったことも明らかにし(組織名は伏せている)、今後さらに監視を強化する方針だ。

昨年5月に導入された欧州のGDPR(一般データ保護規則)は、法律に基づいて個人データを処理するよう、同意のルールを厳格化している。このルールでは同意を求める際は明確な説明がなされ、選択する自由をユーザーに与えることを定めている。

もちろん同意は個人データの処理に伴う法的な措置というだけでなく、多くのウェブサイトが、ユーザーがウェブサイトにアクセスした時に広告目的でのCookieに同意するよう求めている。

そしてオランダのDPAのガイダンスは、サードパーティのCookie、トラッキングピクセル、ブラウザの指紋テックなど、いかなる追跡ソフトウェアが使われようとも、インターネットビジターは前もって追跡の許可を尋ねられなければならない、と明確に示している。そしてその許可は自由に 基づいて得られなければならないともしている。つまり、そこには選択の自由がなければならない。

ゆえに別の言葉で言うと、アクセスしたければデータをよこせ的なCookieウォールは反している。DPAはこのように言っている。「真に自由な選択がなければ許可は自由ではない。または、許可しなかった結果、不利を被ることがあれば自由とはいえない」。

さらには「これはそれだけの意味があるウェブサイト訪問者が個人データがきちんと保護されていると信頼できる状態になければならない」(Google Translateでの翻訳)と明確にウェブサイトに記されている。

ウェブサイトがきちんと機能するため、そしてサイト訪問の一般的な分析のためのソフトウェアについては問題はない。ウェブサイト訪問者の行動のモニターや分析、そしてそうした情報を他のパーティーとシェアすることは許可がある場合のみ許される。その許可は完全に自由裁量によるものでなければならない」と付け加えている。

我々がDPAに問い合わせたところ、広報は個々の苦情についてはコメントできない、としながらも次のように述べた。「CookieウォールはGDPRの同意の原則に即したものではない。つまり、ウェブサイトにCookieウォールを活用しているパーティーは全てできるだけ早期にGDPRに沿うものにしなければならないことを意味する。きちんとGDPRに準じたものになっているか、我々は数カ月以内にチェックする。このチェックは必ず行う」。

説明に照らすと、インターネット広告協議会(IAB)の欧州サイトのCookieウォールは、まさしくしてはいけないことのいい例のようだ。このオンライン広告産業の団体は、たった1つの同意選択のもとに、複数のCookie(サイト機能用、サイト分析用、サードパーティー広告用)を使用している。

ウェブ訪問者に「同意しない」という選択はまったく提供していない(下の写真にある、さらなる情報やプライバシー・ポリシーのボタンをクリックしてもない)。

もしユーザーが「同意します」をクリックしなければ、ユーザーはIABのウェブサイトにアクセスすることはできない。ゆえに、ここでは選択の自由はない。同意するか、サイトへのアクセスをあきらめるかだ。

さらなる情報クリックすると、IABがどういう目的でCookieを使っているのかさらなる説明がある。そこには訪問者プロファイルをつくるために集めた情報を使っているわけではない、とある。

しかしながら、Googleプロダクトを使っているとも記されていて、そうしたプロダクトのいくつかは訪問者の情報を広告目的で集めるかもしれないCookieを使っていると説明している。よって、ウェブサイトのサービス同意に広告トラッキングを含ませているわけだ。

繰り返しになるが、サイト訪問者に提供される選択肢は「同意する」か、ウェブサイトにアクセスすることなくそのまま去るかとなっている。つまり、自由な選択ではない。

IABCookieウォールに関してデータ保護当局から何の接触もないとTechCrunchに対し述べた。

オランダDPAのガイダンスを考慮してCookieウォールを改める意思があるかどうかを尋ねたところ、広報はチームがそうする意向があるかどうかはわからない、と述べた。ただ、GDPRはアクセスを同意に基づく条件付きのものにすることをただちには禁止していない、と広報は主張した。また、ここで適用されると主張する(2002年の)ePrivacy Directiveを持ち出して、「ePrivacy Directiveには、十分に説明されたCookieの同意に基づいてウェブサイトのコンテンツが条件付きになることに言及する詳しい説明がある」とも説明した。

「我々はこの点についてCookieバナーの使用を変更しようとは考えていない。なぜなら、Cookie使用への同意なしに我々のウェブサイトにアクセスできるようにするよう法律では求められていないからだ」とIABでプライバシー政策を担当するディレクターMatthias Matthiesen氏は、その後の電話取材で話した。

IABの考えというのは、この件に関してはePrivacy DirectiveGDPRに勝る、というものだ。

しかし、彼らがどうやってその結論にたどりついたのかは不明だ。(GDPRが昨年施行されたのに対し、ePrivacy Directive15年以上前からあり、現在アップデートの最中だ)。

Matthiesen氏の言葉を引用すると、彼がいう法の一般原則は同じことに関する2つのルールの相違があった場合、より具体的な方の法律が優先される。(それから推測すると、GDPRePrivacy DirectiveCookieウォールの部分で相違があるようだ)。

IABが言及しているePrivacy Directiveの箇所は前文25のようだ。そこには以下のような文言が含まれる。

特定のウェブサイトコンテンツへのアクセスは、合法な目的で使用されるのであれば、十分に説明されたCookieまたは類似のデバイスに関する同意にもとづき、条件付きとなることがある。

しかしながら、特定のウェブサイトコンテンツは、すべてのサイトのアクセスを意味しない。たとえば、サイト全てへのアクセスをCookieウォールでブロックすることではない。

加えて、前文で指摘している合法の目的Cookie同意に基づいてアクセスを制限することとは相反していて、要注意点だろう。前文の文言には、合法な目的として情報社会サービスの提供を促進するものを例に挙げている。

情報社会サービスとは何だろう。先の欧州指令ではサービスを法的言葉として遠隔から電子上で、そして受け取り側の個々のリクエストに基づいて提供されるもの、と定義している。これから察するに、インターネットユーザーがネットサーフをするときにそうしたユーザーを裏で追跡する広告ではなく、インターネットユーザーが実際にアクセスするインターネットコンテンツ例えばウェブサイトそのもののことを指している。

ゆえに、別の言葉でいうと、時代遅れのePrivacy Directiveを根拠としていても、IABのサイトはそれぞれのサイトごとにCookie使用の同意をユーザーから得る必要がある。

しかし、それはウェブサイト訪問者が自身のブラウジングが普及している方法で広告事業者に追跡されることに同意しない限り、ウェブサイト全体にアクセスできるようになるということではない。

それは、ウェブサイト訪問者が求めている種類のサービスのウェブサイトではない。

加えて現在の話に戻すと、オランダのDPACookieウォールを解体する明確なガイダンスを打ち出している。

唯一、ここでの道理にかなった法的解釈はウォールがCookieウォールを指して書かれていることだ。

IABMatthiesen氏はもちろん意見を異にする。

「法律というのは複雑で、書かれているほどにシンプルではない」と、この点で異議を唱えた。「ブラウザがウェブサイトに接続するとき、テクニカル的にローディングされるものにリクエストを出す。なので、サイトにロードされたコンテンツにリクエストを出している」。

「ウェブサイトはウェブサイトオーナーの所有物だ。所有物に付随する基本的な権利もまたある」と彼は付け加えた。「GDPRでは自分のウェブサイトコンテンツを人々に公開しなければならないとは言っていない。私がつくっている所有物についての条件を自分で決めるのになんら問題はない」。

「このことについてはあなたには何の権利もない。あなたに追跡を受け入れるよう強制することはできないというのは、確かだろう。あなたが強制されないというのは、あなたが私の所有物を使う必要がないということだ。これは、Cookieウォールの使用禁止と私の考え方と根本的に異なる点だ」。

そして彼は、この件を法的に明らかにするのに欧州司法裁判所に判断をあおぐことを提案した。Cookieウォールを使用することがないよう当局によって監視のターゲットとなっているオランダのウェブサイトが訴訟に持ち込むことが想定される。

この記事はDPAIABのコメントがアップデートされた。

イメージクレジット: Tekke/ Flickr under a CC BY-ND 2.0license.

原文へ、翻訳:Mizoguchi)