消費者が自分のプライバシーデータを企業と共有、その見返りが得られるプラットフォームCadenが3.9億円調達

起業家のJohn Roa(ジョン・ロア)氏は、プライバシーの価値を信じている。2015年にデザインコンサルタント会社ÄKTAをSalesforceに売却した後、ロア氏はヨーロッパの島で数年間「世間から離れる」ことにした。

そして今、同氏はニューヨークに戻り、消費者が自分のデータを企業と共有し、その見返りとして報酬を得ることができるようにするスタートアップCaden(カデン)を立ち上げた。同氏はSalesforceで働いていたとき、長期休暇を始める直前に、データプライバシーの未来に関する論文の形で事業計画を書いたとTechCrunchに語っている。

事業計画を書いたときは「純粋に推論的なもの」だったとロア氏はいう。同氏は、サードパーティのデータ、つまり受動的に収集されたデータを保存する際に、規制によって企業に問題が生じると予想した。そして、ユーザーが自分の個人データを所有し、その使用について完全にコントロールして同意する「プライバシーファースト」の世界へ長期的には移行することを想定していた。

340万ドル(約3億9000万円)のプレシードラウンドでステルスモードから抜け出したばかりのCadenは、そうした世界を構築するためのロア氏の試みだ。このラウンドには、TechCrunchの親会社であるYahoo!の共同創業者Jerry Yang(ジェリー・ヤン)氏が、Starwood CapitalのBarry Sternlicht(バリー・スターンリヒト)氏、Citigroupの元CTO、Don Callahan(ドン・キャラハン)氏、その他のエンジェル投資家とともに参加した。

Cadenの創業者ジョン・ロア氏(画像クレジット:Caden)

同社は自らを「ゼロパーティ」データプラットフォームと呼んでいる。これは、ユーザーが自発的にのみブランドとデータを共有することを意味する。同社の主力製品の1つは、ユーザーが個人データを保存し、そこから導き出される洞察を見ることができる暗号化された「デバイス上の金庫」だ。この機能をロア氏は、Spotifyの「Year in Review」になぞらえたが、より広範な嗜好や行動パターンを網羅している。

Cadenの2つ目の主力製品はLinkと呼ばれるAPIで、ユーザーは自分のメールや銀行などのアカウントに接続し、データを抽出して金庫に保存することができる。ひとたび金庫に保存されると、ユーザーはCadenに保存されたデータの最終的な所有者であるため、いつでも信用する特定の企業にデータ使用の許可を与えたり、あるいは許可を取り消したり変更したりすることができる、とロア氏は話す。

同氏のチームは9カ月前にこの技術に取り組み始め、今後6カ月以内にベータ版のモバイルアプリを市場投入する予定だ。同氏はこのアプリを預金口座に例え「ユーザーは自分のデータに対する報酬をすぐに受け取り始めることができるようになる」と述べた。

米国の大多数の州では、2018年に制定されたカリフォルニア州消費者プライバシー法(CCPA)と同様の法案が成立、または検討されている。この法律では、消費者は企業による自身の個人情報販売をオプトアウトする権利が与えられている。企業は長年にわたってユーザーに関するサードパーティデータを収集してきたが、監査やコンプライアンスの要件が厳しいため、企業にとってサードパーティデータ収集は「資産というより負債」になっているとロア氏は話す。「ゼロパーティ」のデータは、ユーザーから直接取得するため、より正確で堅牢だと付け加えた。

Cadenは、まず消費者ブランドを引き付けたいと考えている。なぜなら、データへのより良いアクセスによって得られるものが最も大きいからだと、投資家のジェリー・ヤン氏はTechCrunchに電子メールで語った。

「データの収集と保存、洞察の推測、保護、サードパーティデータの購入、そしてそれらをすべて最新に保つためにどれだけの努力とリソースが必要でしょう。Cadenは多くの企業が自分たちでそれをせずに利用できるようなプラットフォームソリューションを作り出しているのです。最初の段階を超え、Cadenは消費者向け企業をしのぐことができると確信しています」とヤン氏はいう。

この分野に進出した企業は、Cadenが初めてではない。Datacoup(データクープ)は2012年に、ユーザーが自分のデータを企業に直接販売できるプラットフォームとして挑んだ。しかしユーザーがわずかな金額しか稼げなかったため、2019年に閉鎖に至った。消費者データは価値を評価するのが難しく、企業はその対価をできるだけ少なくする方法を探そうとする。

ロア氏は、Cadenが優れたユーザー体験を提供することでこうした課題を克服できると考えている。

一般にブランドは、ユーザーにデータを返したがらないが「今は、法律的には返さなければなりません。しかし、その手間を省く必要はありません」とロア氏は述べた。

「Cadenや他社がやっているのは、完全にユーザー主導のプロセスをより合理的なものにする方法を考案することです。ですので、サードパーティにデータを返すよう促す必要はないのです」と付け加えた。

また、直接的な支払いだけでなく、より良いブランド体験を通じて、消費者のために無形の価値を引き出したいと同氏は考えている。

「Cadenを使うことで、あなたの生活が少し楽しくなったり、あなたのためになることがあったり、話しかけられたりする。当社が注力している価値のポイントです。そしてこの点は、同業他社の多くが苦労しているところです」とロア氏は述べた。

画像クレジット:Caden

原文へ

(文:Anita Ramaswamy、翻訳:Nariko Mizoguchi

GDPRコンプライアンスを自動化する英Soverenが約7.4億円のシード資金を得て脱ステルス

ロンドンを拠点とし、プライバシーリスクの検出を自動化して企業のGDPR(EU一般データ保護規則)およびCCPA(カリフォルニア州消費者プライバシー法)への準拠を支援するスタートアップSoverenは、650万ドル(約7億4000万円)のシード資金を得て、ステルス状態から脱却した。

同社は、組織のインフラ内のリアルタイムのデータフローを分析して個人データを発見し、プライバシーリスクを検出することで、CTOやCISOがプライバシーギャップを認識して対処することを容易にする。Soverenによると、全世界でおよそ1千万社の企業が、プライバシーインシデントの検出と解決を怠ったために、GDPRやその他の規制上の義務に違反するリスクを抱えているという。

Soverenの創業者兼共同CEOであるPeter Fedchenkov(ピーター・フェドチェンコフ)氏は、TechCrunchにこう語った。「セキュリティソフトウェアは、セキュリティ上の脅威にはうまく対処できますが、プライバシー上の課題への対処には限定的な影響しか与えません。これは、簡単に隔離できる他の機密データとは異なり、個人データは実際に日々の業務の中でアクセスされ、使用され、共有されるようにできているためです。当社は、プライバシーは新しいセキュリティであると信じています。なぜなら、同じように自動化された継続的な保護対策が必要だからです」。

フェドチェンコフ氏は、Soverenのアイデアは、EC分野での個人的な経験から生まれたという。「今日、データ保護とプライバシーのコンプライアンスがいかに手作業で複雑であるかを目の当たりにしました。時間もお金も労力も、必要以上にかかっています」。

Sovernはこれまでに、北米および欧州において、ソフトウェア、eコマース、旅行、フィンテック、ヘルスケアなどの分野で、10社のライトハウスカスタマーを確保している。

今回の投資ラウンドは、Northzoneの参加を得てFirstminute Capitalが主導し、Airbnb(エアビーアンドビー)やMulesoft(ミュールソフト)などから11人のユニコーン創業者、Sir Richard Branson(サー・リチャード・ブランソン)の家族ファンド、Palo Alto Networks(パロアルトネットワークス)の会長CEOであるNikesh Arora(ニケシュ・アローラ)氏をはじめとするひと握りのグローバルCEOが参加した。

フェドチェンコフ氏によると、Soverenはまず、この資金を使って製品チームを拡大し、セールスとマーケティングに投資する予定だという。「マーケティング面ではまだ何もしていないので、それを強化したいと考えています」と同氏はTechCrunchに語っている。

画像クレジット:Bortonia / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

イタリア、アップルとグーグルに対して「強引」なデータ処理で各13億円の罰金

イタリアの競争・市場当局(AGCM)は、Apple(アップル)とGoogle(グーグル)が、ユーザーのデータを商業的に利用する際にユーザーに十分な情報を提供せず、同国の消費者規則に違反したとして、両社にそれぞれ1000万ユーロ(約13億円)の罰金を科した。

また、AGCMは、両社がユーザーに商業利用を承諾させるために「強引」な商業慣行を展開していたと非難している。

AppleとGoogleにACGMの制裁への対応を尋ねたところ、両社とも控訴すると述べた。

Googleは、アカウント作成時やユーザーのサービス利用時に関連情報を省略していたと非難されている。これらの情報は、商業目的でのデータ利用に同意するかどうかをユーザーが判断するために提供されるべきものだと規制当局は指摘する。

AGCMはまた、ユーザーがApple IDを作成したり、App Storeなどのデジタルストアにアクセスしたりする際に、情報を商業目的でどのように使用するかについての明確な情報をユーザーに即座に提供していないとして、Appleを非難している。

これは、消費者のプライバシー擁護者としてのAppleのイメージを考えると、かなり驚くべき制裁だ(もちろん、同社のデバイスやサービスは、Google製のような広告付きの安価な代替品と比較して、プレミアムが付く傾向にあることはいうまでもない)。

イタリアの規制当局は、今回の制裁を発表したプレスリリースの中で、両社の慣行をひとまとめにし、特にアカウント作成の段階で、それぞれのユーザーに利己的な商業条件を強引に押し付けていると非難している。

Googleについては、ユーザーが商業的処理を受け入れることを前もって決めている点をACGMは指摘している。また、アドテック大企業である同社は、アカウント作成のステップが完了した後、ユーザーがこれらのデータ転送への同意を後で撤回したり、選択を変更したりするための明確な方法を提供していないことも指摘している。

そして、Appleのアプローチについては、ユーザーが自分のデータの商業利用について適切に選択する能力を否定しているという見解を示している。規制当局は、Appleのデータ取得慣行とアーキテクチャは、本質的に消費者が商取引条件を受け入れることを「条件」としていると主張している。

かなりのマーケティング費用を投じて、自社のデバイスやソフトウェアが他の製品(Googleのものなど)よりも優れていることを示唆しているAppleにとっては、ユーザーのプライバシーを重視していると主張しているだけに、厄介な指摘だ。

Appleは声明の中で、ACGMの指摘を否定し、次のように述べている。

「我々は、当局の見解が間違っていると確信しており、この決定については不服として控訴します。Appleは、ユーザーのプライバシーを尊重することに長年にわたって取り組んでおり、顧客のデータを保護する製品や機能を設計するために、非常に努力しています。当社は、すべてのユーザーに業界最高レベルの透明性とコントロールを提供し、共有する情報、共有しない情報、およびその使用方法を選択できるようにしています」

Googleの広報担当者もこの調査結果に同意せず、次のような声明を出した。

「Googleは、ユーザーに便利なツールと使用状況に関する明確な情報を提供するために、透明で公正な慣行を行っています。ユーザーには、自分の情報を管理し、個人データの使用を制限するための簡単なコントロールを提供しており、消費者保護規則に完全に準拠するよう努めています。当局の決定には同意できず、控訴する予定です」

ACGMの決定内容の全文はこちら(AppleGoogle)で閲覧できる。

イタリアの規制当局はここ数日、大手テック企業の非難で忙しかった。今週初め、当局はAmazon(アマゾン)のイタリア市場でのApple製品販売をめぐる談合の疑いで、AppleとAmazonに総額2億3000万ドル(約260億円)の罰金を科した。

関連記事
イタリアがアマゾンとアップルに約264億円の制裁金、Beats製品の再販で
イタリア公正取引委が支配的地位乱用でグーグルに約130億円の罰金を命令

また、ACGMはここ数年、ハイテク企業に対する調査を強化しており、2021年初めには、ユーザーのデータを商業的に利用した同様の問題でFacebook(フェイスブック)に罰金を科し、今夏には、Android Autoに関連してGoogleに1億2300万ドル(約139億円)の罰金を科した。また、Googleの広告表示事業についても公開調査を行っている

近年、ACGMが科した罰金には、iPhoneの防水性についてユーザーに誤解を与えたとしてAppleに対するものや、デバイスの速度低下についてAppleとSamsung(サムスン)に科したものなどがある

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

EU最高裁顧問がドイツの大規模データ保持法は違法と指摘

国民のデータを(曖昧かつ包括的な「セキュリティ」目的のために)保持したい欧州加盟国政府の欲求と、無差別な大規模監視はEU法の基本原則(プロポーショナリティー、プライバシー尊重など)と相容れないとする主張を繰り返し、基本的権利の擁護を続けるEUの最高司法機関である欧州司法裁判所(CJEU)との戦いは、大規模データ保持に関する国内法令に対する辛辣な法的批判を再度呼び込んだ。

今回矢面に立たされたのはドイツのデータ保持法で、CJEUは、ISP(インターネット・サービス提供者)のSpaceNet(スペースネット)とTelekom Deutchland(テレコム・ドイチュラント)が提起した顧客の通信トラフィックデータを保持する義務に異議を唱える複数の訴訟に続いて裁定する。

判決はまだ出ていないが、現地時間11月18日、CJEU顧問から影響力のある意見として、トラフィックおよび位置データの概略的で無差別な保持は、例外的(国家安全に対する脅威に関連するもの)にのみ認められるものであり、データは永続的に保持されてはならないという見解が示された。

EU司法裁判所のManuel Campos Sánchez-Bordona(マヌエル・カンボス・サンチェス-ボルドナ)法務官の意見を発表したプレスリリースで裁判所は、同法務官は「言及されたどの論点に対する答えも、すでに同裁判所の判例法に含まれているか、そこから容易に推測できると考えています」と述べ、ドイツ法の「極めて広範囲のトラフィックおよび位置データを対象とする」「概略的で無差別な保持義務」は、データを一括収集するものであり、対象を絞った方法(特定の国家安全保障目的など)ではないことから、保管に課せられた制限時間内にEU法と合致させることはできない、とする司法官の見解を明確に提示した。

同司法官は、無差別な一括収集は個人データの漏洩あるいは不正アクセスなど「深刻なリスク」を生むと指摘している。そして、市民のプライベートな家族生活と個人データ保護の基本的権利に対する「重大な干渉」をもたらすと繰り返した。

この見解に法的拘束力はないものの、CJEUの裁定はアドバイザーに合わせられる傾向にある。ただし、この訴訟の最終裁決が下されるのはまだ数カ月先のことだ。

CJEUは、類似の事例を1年前に裁定している。複数のデジタル権利団体が、英国およびフランス法に基づいて行われた国の大規模データ収集および保持に対して異議を申し立てた訴訟で、当時裁判所は限定的なデータ収集および一時的な保持のみが許されるという裁定を下した。

(しかしPoliticoによると、その後フランスは判決の回避方法を探っている。同紙は去る3月に、政府は最高裁判所に裁定に従わないよう要求したと報じた。)

2014年の画期的判決でCJEUは、圏内でデータ保持規則を調和させることを目的とした2006年のEU司令を却下し、この制度は市民の権利に対する過度の介入を構成すると裁定した。それなら加盟国はこれまでにそのメッセージを受け取っているはずだと思うだろう。

しかし、この法的衝突が一段落する見込みはなさそうだ。とりわけ、各国政府の間で汎EUデータ保持法を復活させようとする新たな動きがあることを示す漏洩した討議資料Netzpolitik(ネッツポリティック)が入手し、この夏に報道してたことを踏まえると。

画像クレジット:Vicente Méndez / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nob Takahashi / facebook

アドビ、PhotoShopに作品の来歴や帰属を簡単に確認できるようになるコンテンツ認証機能を導入

Adobe(アドビ)は、クリエイターが自分の作品を盗用されないようにしたり、画像がどのように作成されたか(加工された可能性もある)を一般に公開するための新しいツールを米国時間10月26日からベータ版として提供する。同社は2年前にいくつかのパートナーと共同で「Content Authenticity Initiative(CAI、コンテンツ認証イニシアチブ)」を立ち上げた。今回の取り組みは、デジタルコンテンツの来歴や帰属のデータを保存して誤った情報に対抗するというミッションを拡大し、PhotoShopに直接反映させるものだ。


具体的には、Adobeは「コンテンツクレデンシャル機能」と呼ぶものを立ち上げる。これには、コンテンツクレデンシャルに対応した画像のメタデータと編集履歴を暗号化して署名するPhotoshopのオプトイン機能や、同社のストックイメージサービスAdobe Stockからコンテンツクレデンシャルなものを自動的にダウンロードする機能が含まれる。Photoshopで写真を編集すると、AIツールの使用を含む編集履歴や、画像の作成に使用したアセットのリストがアプリケーションによって自動的にバックグラウンドで更新される。

また、クリエイターは、Photoshop内からソーシャルメディアのプロフィールを暗号化されたウォレットのアドレスにリンクしたり、ウォレットをBehanceにつなげたりすることができる。

新しいVerifyサイトのおかげで、消費者はコンテンツの認証情報を簡単に見ることができるようになっている。

画像クレジット:Adobe

原文へ

(文:Frederic Lardinois、翻訳:Nariko Mizoguchi

【コラム】9.11から20年、制限のないデータ収集がもたらす米国の新たな悲劇

2001年9月11日朝。米国の成人のほとんどは、自分がその時どこにいたかを鮮明に覚えているだろう。筆者はホワイトハウスのウェストウィング2階で、米国国家経済会議のスタッフ会議に出席していた。シークレットサービスが突然部屋に入ってきて「すぐに部屋を出てください。ご婦人方はハイヒールを脱いで!」と叫んだことは忘れられない。

そのちょうど1時間前、私は全米経済会議のホワイトハウス技術顧問として、9月13日にオーバルオフィスで予定されている大統領との会談に向けて最終的な詳細を副参謀長に説明していた。そして、米国政府のプライバシー保護法案を議会に提出するために、大統領のサインを得る準備が整った。カリフォルニア州のプライバシー保護法の国家版ともいえるこの法案は、それよりも強力で、情報を共有する際には対象となる市民の選択による同意を得て市民のデータを保護するなど、データの収集方法や使用方法を規定するものだった。

しかし、その日の朝、世界は一変した。私たちはホワイトハウスから避難し、その日は悲劇に次ぐ悲劇が発生した。米国、そして世界中に衝撃が走った。あの日、ワシントンD.C.にいた私たちは、悲しみ、連帯感、不信感、力強さ、決意、緊迫、そして希望など、人間の感情のすべてを目の当たりにし、自ら体験することとなった。

当日については多くのことが語られているが、筆者はその翌日のことを少し振り返ってみようと思う。

9月12日、オフィスに国家経済会議のスタッフが集まったとき、当時の上司であるLarry Lindsey(ラリー・リンゼイ、Lawrence Lindsey)が私たちに言った言葉を今でも覚えている。「今ここにいることを不安に思う人がいるかもしれません。私たちは全員が標的なのだから。愛国心や信仰心をアピールするつもりはありません。しかし、この部屋にいる皆が経済学者である以上、私はみなさんの合理的な自己利益に訴えます。今、私たちが逃げ出してしまえば、他の人たちも同じように逃げ出すでしょう。誰が私たちの社会の要を守ることができるでしょうか?私たちは国を守ります。この国の誇りとなるように行動してください。そして、安全と安心という自由への献身を放棄しないでください」。

9.11の悲劇に対して、国が一丸となったこと、そして米国政府の対応については多くのことを誇りに思っている。しかし、私はサイバーセキュリティとデータプライバシーの専門家として、まず、ラリーが言ったこと、その後の数年間で学んだ多くの重要な教訓、特に社会の要を守るということについて振り返りたい。

あの日の記憶は未だに鮮明だが、20年が経過し、9.11同時多発テロに至るまでの数カ月間にデータが果たした(果たさなかった)致命的ともいえる役割が解明されている。不幸なことに、すぐそばにあったはずの情報データはバラバラに保管されており、何千人もの命を救うことができたかもしれない点と点をつなぐことはできなかった。データのサイロ化によって、情報を安全に共有する仕組みがあれば見つけられたはずのパターンが見えなくなっていたのだ。

その後、私たちは「こんなことは二度とごめんだ」と自らに言い聞かせ、当局は、市民の自由だけでなくデータのセキュリティにも重大な影響を与えることを考慮せずに、収集できる情報の量を増やすことに邁進した。そして、CIAや法執行機関による20年間の監視要請が詰め込まれた愛国者法が施行された。司法省とともに愛国者法を交渉する場にいた私がはっきりと言えるのは、次のテロ攻撃を防ぎ、私たちの人々を保護するという意図は理解できるものの、その結果として広範囲に及んだ悪影響は明白であった、ということだ。

国内での盗聴や大規模な監視が当たり前になり、個人のプライバシーやデータの安全性、国民の信頼が少しずつ損なわれていった。これはデータプライバシーに対する危険な前例となったが、その一方で、このレベルの監視ではテロとの戦いにおいてわずかな成果しか得られなかった。

残念なことに、個人のプライバシー保護を強固にするはずであった、まさに9月11日の週に議会に提出する予定だった米国政府のプライバシー法案は、頓挫してしまった。

その後数年が経ち、大量の監視データを安価かつ簡単に収集・保管できるようになり、テクノロジー関連やクラウド関連の大手企業が急速に規模を拡大し、インターネットを支配するようになった。官民を問わずより多くのデータが収集されるようになり、個人の機密データが公に晒されるようになったが、このようなアクセスの拡大に対処できる、有効性のあるプライバシー保護措置は講じられなかった。

巨大なテクノロジー企業やIoTデバイスが、私たちの行動、会話、友人、家族、身体に関するデータポイントを集める20年後の現在、私たちは過剰なまでに野放図なデータ収集とアクセスに翻弄されている。原因がランサムウェアであろうとクラウドバケットの設定ミスであろうと、大規模で代償が大きいデータ漏えいでさえも新聞の一面で取り上げられないほど頻繁に発生している。この結果は社会の信頼の喪失だ。人権であるはずのプライバシーだが、それが守られていないことは誰もが知っている。

このことは、アフガニスタンでの人道的危機を見れば明らかだ。一例を挙げてみよう。連合軍を支援したアフガニスタン市民の生体情報データが入った米軍のデバイスがタリバンに奪われてしまった。このデータがあれば、タリバンは対象となる個人や家族を容易に特定し、追跡できる。機密性の高い個人情報が悪人の手に渡るという最悪のシナリオであり、私たちはそれを防ぐための十分な努力をしてこなかった。

決して許されることではない。20年経った今、私たちは再び「こんなことは二度とごめんだ」とつぶやいている。私たちは9.11の経験を、情報データをどのように管理、共有、保護したらいいかを再認識する機会とするべきだったが、未だにそれを正しく理解していない。20年前も現在も、データの管理方法は生死を決する。

進歩がないわけではない。2021年、ホワイトハウスと米国国防総省は、サイバーセキュリティとゼロトラスト(すべてが完全には信頼できないことを前提とする考え方)のデータ保護にスポットライトを当て、米国政府のデータシステムを強化する行動を促す大統領令を出した。私たちには、このような機密データを保護しながら共有もできるようにするために必要な技術がある、というのは良いニュースだろう。データが本来データを持つべきではない人の手に渡ることを防ぐ緊急時対応策も用意されている。しかし、残念なことに、私たちのアクションはまだ十分ではない。データの安全な管理という問題の解決が遅れれば遅れるほど、罪のない人々の命が失われていく。

私たちには、次の20年を見据えて信頼を回復し、データプライバシーの管理方法を変革する機会がある。何よりもまず、私たちは何らかのガードを設置することが必要だ。そのためには、個人に自分自身のデータ管理の自律性をデフォルトで持たせることのできるプライバシー保護の枠組みを構築しなければならない。

つまり、各個人による自らのデータの所有と管理を可能にするためには、公的機関や民間企業がIDとデータを結びつけ、データの所有権を各個人に戻すという技術的な裏方の作業を行う必要がある。簡単にできることではない……しかし、不可能なことではなく、米国市民、米国居住者、世界中の同盟国の人々を守るために必要なことだ。

このようなデータ保護の導入を促進するためには、相互運用性と柔軟性を備えた、無料でアクセスできるオープンソースソリューションのエコシステムが必要である。既存のプロセスやソリューションにデータ保護とプライバシーを重ね合わせることで、政府機関は、個人のプライバシーを損なうことなく、データを安全に収集・集計して全体像を明らかにすることができる。今の私たちはこのような技術がある。今こそそれを活用するときだ。

大量のデータが収集・保管されている現在、米国のデータが悪用される機会は格段に増えている。タリバンに奪われたデバイスは、現在危険に直面しているデータのごく一部に過ぎない。2021年に入ってからも、国家レベルのサイバー攻撃は増加の一途をたどっている。人命を脅かすこのサイバー攻撃は、決してなくなることはない。

2001年9月12日のラリーの言葉は、今でも心に残っている。今、私たちが手を引いたら、誰が社会の要を守れるだろうか。人々の自由を損なうことなく、プライバシーを守り抜くことができるかどうかは、官民のテクノロジーリーダーである私たちにかかっている。

まずはデータに対する国民の信頼を回復しよう。今からでも遅くはない。20年後、私たちはこの10年間を、個人のプライバシー権を保護・支持する上でのターニングポイントとして振り返ることになるだろうか。それとも、またしても「こんなことは二度とごめんだ」と思っているのだろうか。

編集部注:本稿の執筆者John Ackerly(ジョン・アッカーリー)氏はVirtru Corporationの共同創立者兼CEO。以前は、Lindsay Goldberg LLCの投資家、ホワイトハウスの技術政策アドバイザー、米国商務省の政策・戦略計画ディレクターを務めていた。

画像クレジット:Mark Rainwater/Eye Em / Getty Images

原文へ

(文:John Ackerly、翻訳:Dragonfly)

中国で個人情報保護法が可決

中国で個人情報の保護を義務付ける法案が可決されたと、国営メディアの新華社が報じた。

この法律は「個人情報保護法(PIPL)」と呼ばれ、11月1日に施行される予定だ。

2020年提出されたこの法案は、ユーザー情報の収集に法的な制限を加えることで、商業分野における無節操なデータ収集を厳しく取り締まろうとする中国の共産党指導者の意図を示している。

関連記事:中国のインターネット規制当局は強制的なユーザーデータの収集を標的に

新華社によると、この新法はアプリメーカーに対し、個人の情報をどのように使用するか、あるいは使用しないか、そして使用する場合は個人の特性に基づいてマーケティングを行うか、あるいはマーケティングの対象としないか、といったことについての選択肢を、ユーザーに提供するよう求める。

また、この法律は、生体認証、医療・健康データ、財務情報、位置情報など、センシティブな種類のデータを取り扱う場合、個人から同意を得ることをデータ処理者に要求する。

ユーザーデータを違法に処理したアプリは、サービスの停止または終了を強いられるおそれがある。

中国でビジネスを行う欧米企業が、市民の個人データの処理をともなうビジネスを行う場合、この法律の域外適用に対処しなければならない。つまり、外国企業は、中国国内に代表者を配置し、中国の監督機関に報告しなければならないなどの規制上の要件に直面することになる。

表面上は、中国の新しいデータ保護制度の中核となる要素は、欧州連合(EU)の法律に長年にわたり組み込まれてきた要件とよく似ている。EUの一般データ保護規則(GDPR)では、個人データに深く関係する包括的な権利を市民に提供している。例えば、健康に関するデータなど、EU法が「特別なカテゴリーのデータ」と呼ぶ個人情報を処理する際には、同意に高いハードルを設けている(ただし、どのような個人情報が取り扱いに最も細心の注意を要するとみなされるかについては、各国のデータ法によって違いがある)。

また、GDPRの適用範囲も域外に及ぶ。

しかし、中国のデータ保護法が施行される状況の背景は、当然ながら欧州とは大きく異なる。特に、中国国家が膨大なデータ収集活動を利用して自国民の行動を監視し、取り締まっていることを考えるとなおさらだ。

PIPLが中国政府の各部門による市民のデータ収集に何らかの制限を課すとしても(この法律の草案では、国家機関も対象となっていた)、それはほとんど上辺だけの取り繕いに過ぎない可能性がある。中国共産党(CCP)の国家安全保障組織によるデータ収集を継続させ、政府に対する中央集権的な統制をさらに強化するためであると考えられるからだ。

また、中国共産党がこの新しいデータ保護規則を利用して、どのように国内のハイテク部門の力をさらに規制しようとする(「飼いならす」と言ってもいい)かも注目される。

中国共産党は、規制の変更をTencent(テンセント)のような大手企業に対する影響力として利用するなど、さまざまな方法を使ってこの分野を取り締まってきた。例えば今月初め、北京市はTencentのメッセージングアプリ「WeChat(ウィーチャット)」の青少年向けモードが、未成年者保護法に準拠していないと主張し、同社に対し民事訴訟を起こした

PIPLは、中国政府に国内のハイテク企業に制約を加えるための攻撃材料を豊富に提供することになる。

また、欧米の大手企業では当たり前のように行われているが、中国国内の企業が行うと摩擦が大きくなりそうなデータマイニングの実行に対しても、一刻の猶予も与えず攻撃している。

Reuters (ロイター)によると、全国人民代表大会(全人代)は同日、この法律の成立を記念して、国営メディア「人民法院報」に論説を掲載した。この論説では、この法律を称賛するとともに、レコメンドエンジンのような「パーソナライズされた意思決定」のためのアルゴリズムを使用する事業者は、まずユーザーの同意を得るよう求めている。

論説には次のように書かれている。「パーソナライズはユーザーの選択の結果であり、真のパーソナライズされたレコメンデーションは、強制することなくユーザーの選択の自由を確保しなければならない。したがって、ユーザーにはパーソナライズされたレコメンデーション機能を利用しない権利が与えられなければならない」。

中国以外の国でも、アルゴリズムによるターゲティングに対する懸念は、もちろん高まっている。

欧州では、議員や規制当局が行動ターゲティング広告の規制強化を求めている。欧州委員会は、デジタル市場法(Digital Markets Act)とデジタルサービス法(Digital Services Act)という、この分野を規制する権限を拡大する新たなデジタル規制案を2020年12月に提出し、現在協議を行っている過程にある。

インターネットの規制は、明らかに新しい地政学的な戦いの場であり、各地域はそれぞれの経済的、政治的、社会的な目標に合ったデータフローの未来を形作るために争っている。

関連記事:EUの主管プライバシー規制当局が行動監視に基づくターゲティング広告の禁止を求める
画像クレジット:George / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)

EUがAmazonに過去最大約971億円の罰金、ターゲット広告目的で顧客データを使用

ルクセンブルグのデータ保護当局National Commission for Data Protection(CNPD)は、ターゲット広告目的で顧客データを使用していたとして、Amazon(アマゾン)に対しGDPR(一般データ保護規則)の罰金として過去最大の7億4600万ユーロ(約971億円)を科した。

Amazonはこの決定を米国時間7月30日にSEC(米証券取引所)に提出した書類の中で明らかにした。その中で同社は、決定は根拠がないと批判し、また「この問題について強力に」異議を唱える意向も示した。

「顧客情報のセキュリティと信頼の維持は最優先事項です」とAmazonの広報担当は声明で述べた。「データ流出はなく、顧客データがサードパーティに漏えいしたこともありません。こうした事実は明白です」。

「当社はCNPDの決定に強く抗議します。そして控訴するつもりです。当社が顧客にどのように関連広告を表示していたかに関する決定は、欧州プライバシー法の主観的、かつ立証されていない解釈に基づいています。また示された罰金の額は、そうした解釈にすらもまったく見合っていません」。

今回の罰金は、プライバシー権を主張するフランスのグループLa Quadrature du Netによる2018年の訴えの結果だ。同グループは、政治的あるいは商業目的で行動を不正操作するために欧州人のデータがテック大企業によって使われることがないよう、多くの人の利益を代表していると主張する。Apple、Facebook、Google、LinkedInもターゲットにし、1万人超を代表して苦情を申し立てた同グループは、顧客がどの広告と情報を受け取るかを選ぶことでAmazonは商業目的のために顧客をコントロールしたと主張している。

La Quadrature du Netは「最悪の事態を懸念した3年間の沈黙の後に出された」CNPDの罰金の決定を歓迎した。

「我々のプライバシーと自由意思の搾取に基づく経済的支配のモデルは大いに規則に反しており、我々の民主的社会が擁護を主張するあらゆる価値観に背いています」と7月30日のブログ投稿で述べた

CNPDはまた、Amazonに商慣行の見直しも求めた。しかし、当局はこの決定について公にしておらず、Amazonもどのような商慣行の改善が求められているのか具体的に示さなかった。

GDPRに違反したとしてGoogleが2019年に科された5000万ユーロ(約65億円)を超える過去最大の罰金は、Amazonの欧州事業に厳しい目が向けられている中でのものだ。2020年11月に欧州委員会は、Amazonのプラットフォームを使っているサードパーティの事業者との競争で自社の立場を悪用したとして、Amazonに対し正式に独禁法違反を指摘した。と同時に、欧州委員会は自社サイトやパートナーのサイトでの自社プロダクトの優遇措置の疑いでAmazonに対する2つめの調査を開始した。

関連記事
仏データ保護当局がグーグルに罰金60億円超の支払い命令
不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる
ドイツ当局がFacebookに対し物議を醸している「WhatsApp」の利用規約を適用しないよう命令

カテゴリー:ネットサービス
タグ:EUAmazonGDPR罰金広告プライバシー個人情報データ保護

画像クレジット:Natasha Lomas

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

クラウド上で機密データを暗号化する技術をOpaqueが開発

バークレーのRISELab(ライズラボ)から新たに誕生したスタートアップ企業のOpaque(オペーク)は、複数の組織が関わっている場合でもクラウド上の機密データに安全にアクセスして、共同で作業するためのソリューションを構築している。同社はシードラウンドで950万ドル(約10億円)の資金を調達したと、米国時間7月7日に発表した。Intel Capital(インテル・キャピタル)がこの投資を主導し、Race Capital(レース・キャピタル)、The House Fund(ザ・ハウス・ファンド)、FactoryHQ(ファクトリーHQ)が参加した。

Opaqueは、顧客がクラウド上で安全にデータを扱うことを支援するとともに、作業中のデータがクラウドプロバイダーや他の研究参加者などに漏洩しないようにすると、同社のRaluca Ada Popa(ラルカ・アダ・ポパ)社長は述べている。

「当社では、Enclave(エンクレーブ)と呼ばれる非常にエキサイティングなハードウェアメカニズムを使用しています。これは物理的なブラックボックスであるプロセッサの奥深くで動作し、そこでのみ暗号化されます。つまり、クラウド上で管理者権限を持っている人でも、暗号化されたデータしか見ることができません」と同氏は説明する。

同社の共同設立者で、Databricks(データブリックス)の共同設立者でもあったIon Stoica(イオン・ストイカ)氏によれば、このスタートアップ企業のソリューションは、相反する2つのトレンドの解決に役立つという。企業はますますデータを活用したいと考えているが、同時にプライバシーを重視する傾向も強まっている。Opaqueは、顧客が安全かつ完全に暗号化された方法で自分のデータにアクセスできるようにすることで、この問題を解決するように設計されている。

同社はこのソリューションを「最先端のクラウドセキュリティの上に、安全なハードウェアエンクレーブと暗号化の強化という2つの重要な技術を重ねた斬新な組み合わせ」と言い表している。これにより、顧客は例えば機械学習モデルを構築するなど、データを他者に公開することなく、意味のある結果を生成できる。

例えば、がんの研究を共同で行っている病院が、患者データを他の病院に公開することなく、より良い治療法を見つけたい場合や、複数の銀行が顧客データを他の銀行に公開することなく、マネーロンダリングを調べたい場合などに役立つだろうと、ポパ氏は語っている。

投資家は、カリフォルニア大学バークレー校のコンピューターセキュリティと応用暗号化の教授であるポパ氏と、同じくバークレー校の教授でDatabricksを共同設立したストイカ氏の経歴に惹かれたのだろう。2人はバークレー校でRISELabsの設立に携わり、そこでソリューションを開発し、会社としてスピンアウトさせた。

今回の投資を主導したIntel Capitalは、Opaqueの設立当初から創業者たちと協力しており、このソリューションが、複数の組織が機密データを共有している場合でも、複雑な解決策を見出すのに役立つ可能性を秘めていることを認識していると、同社のバイスプレジデント兼シニアマネジングディレクターであるMark Rostick(マーク・ロスティック)氏は述べている。

「企業は、機密性やその他の懸念のために、データの貯蔵庫の枠を超えて価値を引き出すことに苦労しています。機密性を保ったコンピューティングは、機密性の高いデータからインサイトを抽出できる一方で、セキュリティやプライバシーを損なうことなくシームレスにデータをクラウドに移行させることもできるため、企業はデータの可能性を最大限に引き出すことが可能になります」と、ロスティック氏は声明で述べている。

「Opaqueは、データのセキュリティとクラウドの規模や経済性の間にあるギャップを埋め、組織間および組織内の協業を可能にします」と、同氏は付け加えた。

関連記事
サイバーセキュリティのZeroFoxがダークウェブ脅威インテリジェンスのVigilanteを買収
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

カテゴリー:セキュリティ
タグ:Opaque資金調達暗号化データ保護

画像クレジット:Westend61 / Getty Images

原文へ

(文:Ron Miller、翻訳:Hirokazu Kusakabe)

米上院議員が「データ保護局」新設を提案、米国人のデータを取り戻せ

民主党のKirsten Gillibrand(カーステン・ギリブランド)上院議員は、テック企業が自分の庭で行う自由な侵入行為から米国人を守るべく、新たな連邦政府機関を設立する法案を再提出した

ギリブランド議員(民主党・ニューヨーク州)は2020年、データ保護法を提案した。プライバシーおよび既存政府機関が十分に対応できないことがわかっているテック企業に関する法的措置を講じるための法案だ。

「米国はプライバシーとデータ保護のための新しいアプローチを必要としています。そして議会は、人命より利益を重んじる民間企業から米国人を守る有効な解決策を見つける努力をする義務があります」とジリブランド議員は言った。

改定された法案は「データ保護局」の新設を約束した主旨を維持しており、オハイオ州のSherrod Brown(シェロッド・ブラウン)民主党上院議員との共同提案で、いくつかの修正が加えられた。

現在進行中のあらゆるテック企業反トラスト規制を巡る議論の精神を受け、2021年バージョンの同法案は、大手テック企業によるデータ収集業者の関わる合併や、5万人以上のユーザーデータの移動をともなうその他の取引を審査する権限をデータ保護局に与えようとしている。

他に「データの正義を前進させる」公民権機関の設立や、アルゴリズム、バイオメトリック・データの利用、子どもなど立場の弱い人々からデータを収集するなどの高リスクなデータ利用行為を、同局が審査、処罰できる権利が追加されている。

ギリブランド議員は、最新技術に対応した規制改革を「極めて重要」と述べており、それは彼女だけではない。2021年に民主党と共和党はほとんど一致点を見つけていないが、数多くの超党派反トラスト法案は、テック業界で最強の諸企業を抑制することがいかに重要であり、さもなくば止めようがなくなることを、ようやく議会が認識したことを示している。

データ保護法は、一連の新テック法案のような超党派の支持を受けていないが、史上最高値のビッグテックとの戦いへの関心の高さから、多くの支持を得られる可能性がある。テック業界を標的にした法案が数多く進められ中、超党派の支持を増やすことなく本法案が前進することは考えにくいが、だからといってこの考えが考慮に値しないわけではない。

議会で検討中の他の提案と同じく、本法案はFTC(連邦取引委員会)がビッグテック企業の不品行に対して意味のある罰を与えていないことを認識している。ギリブランド議員の構想では、データ保護局はFTCにできなかった規制強化を実現できるという。別の法案では、FTCに新たな強制力を与えられたり、吠えるだけでなく噛み付くための資金を注入して強化しようとしている。

連邦政府機関の使える道具を現代風に変えるだけでは十分でないかもしれない。テック業界のデータ巨人たちが10年以上をかけて異常増殖させたものを削減するのは容易ではない。これらの会社をここまで裕福にした米国人データの備蓄は、すでに野に放なたれているのだからなおさらだ。

強力なテック企業の持つそのデータを規制する戦に特化した新たな政府機関は、欧州独自の強力なデータ保護法とこれまで米国に欠けていた連邦規制のギャップを埋めるかもしれない。しかし、何かが起きるまでは、シリコンバレーのデータ亡者たちが熱心にその権力の真空を埋めようとするだろう。

カテゴリー:パブリック / ダイバーシティ
タグ:プライバシーデータ保護アメリカ民主党独占禁止法

画像クレジット:Jaap Arriens / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Nob Takahashi / facebook

中国がアプリによる過剰なユーザーデータ収集を5月から禁止

中国の最高規制機関である国家インターネット情報弁公室、工業情報化部、公安部、国家市場監督管理総局が共同で発表した文書によると、2021年5月1日以降、中国のアプリはユーザーに過剰な個人データの提供を強制できなくなる。

中国では、アプリがユーザーに機密性の高い個人情報の提供を求め、共有を拒否したユーザーはアクセスを拒否されることがよくある。ナビゲーションマップを使用するための位置情報のように正当なものもあるが、モバイル決済を行うための生体認証など不要なものも多い。

TechCrunchで報じたように、中国当局は2020年12月に、さまざまなアプリが収集する権利を持つデータの許容範囲を示した。

関連記事:中国のインターネット規制当局は強制的なユーザーデータの収集を標的に

新たな文書によると、人気が高まっている「ミニプログラム」など、あらゆる形態のアプリがこの要件の対象となっている。「ミニプログラム」とは、アプリストアをインストールしなくてもWeChatやAlipayといった包括的なネイティブアプリを通じてアクセスできるライトアプリのことだ。

現在のところ、この文書はガイドラインに過ぎず、規則をどのように施行するか、違反者をどのように処罰するかについては明記されていない。この文書は、データ保護に関して中国が少しずつ前進していることを示しているが、人々の日常生活が急速にデジタル機器と結びついているため、規制当局は規則を更新し続けなければならないだろう。

ここ数カ月の間、中国は、かつて同国が誇っていたテクノロジーの寵児たちを厳しく取り締まっている。中国は「プラットフォーム経済」を抑制するために包括的な独占禁止法を導入し、Ant GroupのIPOは失敗AlibabaとTencentは反トラスト的だと罰金が科されている。

関連記事
中国が独禁法違反でアリババとテンセント子会社に罰金処分
Antの超大型IPOが延期、中国当局がアリババ創業者から事情聴取

カテゴリー:パブリック / ダイバーシティ
タグ:中国アプリ個人情報データ保護

画像クレジット:Alibaba

原文へ

(文:Rita Liao、翻訳:Katsuyuki Yasui)

アップルのプライバシー対策にフランスのスタートアップのロビー団体が苦情

Apple(アップル)は欧州でまたもやプライバシーに関する苦情に直面している。スタートアップのロビー団体であるFrance Digitale(フランスデジタル)は、EUの規則に違反している疑いについて、同国のデータ保護監視機関調査を依頼した。

Politico(ポリティコ)が報じたこの苦情は、EUのプライバシー保護活動団体「noyb」が2020年、ドイツとスペインで訴えた2つの苦情に続くものだ。

これらの苦情はすべて、(直接および間接的に)Appleの「IDFA」と呼ばれる広告主のためのモバイルデバイス識別子を標的にしている。noybはAppleがその独自の識別子(その目的は、名前が示すように、広告ターゲティングのためにデバイスの追跡を有効化すること)をデバイスに割り当てる前に、ユーザーから同意を得るべきだったと主張している。

一方、France Digitaleによる訴えは、近々行われるAppleのプライバシーポリシー変更が、競争を阻害するという懸念を提起するものだ。この変更が実施されれば、サードパーティーのアプリ開発者は、ユーザーに追跡の許可を得なければならなくなるが、それと対照的に、Appleがユーザーを追跡することができるiOSの「パーソナライズされた広告」設定は、初期状態で有効になっていることをFrance Digitaleは指摘している。

関連記事:アップルのフェデリギ氏はユーザーデータ保護強化でのアドテック業界との対決姿勢を鮮明に

初期状態では、EUの法規(GDPR、EU一般データ保護規則)で求める要件に反しているのではないかと、France Digitaleは提言しているわけだ。

France Digitaleの苦情はまた、Appleが広告ターゲティングに利用するデータアクセスのレベルについての疑問も浮かび上がらせた。Appleは、提供されているiOSユーザーのデータは「一般的なデータ(出生年、性別、場所)」だけで、完全なターゲティングデータではないと述べている。

訴状に対応する声明の中で、Appleの広報担当者は次のように述べている。

この訴状における主張は、明らかに事実に反しており、ユーザーを追跡している人たちが、自分たちの行動から目をそらし、規制当局や政策立案者を誤解させようとする粗末な企てのように思われます。

ユーザーのための透明性と規制は、当社のプライバシー哲学の基本的な柱であり、Appleを含むすべての開発者に、等しく「AppTrackingTransparency(アプリのユーザー追跡の透明性)」を適用するようにしたのはそのためです。プライバシーは我々がプラットフォーム上で販売する広告に組み込まれており、ユーザーを追跡することはありません。

パーソナライズ広告のためのデータの使用は、ファーストパーティであるAppleに限定されており、ユーザーがこれをオフにすることができるようにすることで、より高い基準を維持しています。

CNIL(フランスの「情報処理と自由に関する国家委員会」)にも、この訴えについてコメントを求めているところだ。

今回のAppleに対するIDFA関連の苦情は、プライバシー保護団体によるものではなく、スタートアップのロビー団体からのものという点で少々珍しい。

しかし、サードパーティーのトラッキングをiOSユーザーが許可する必要があるように(「許可しない」を選ぶことができるようにしたのではなく)変更したAppleの決定が、強い反発を招いていることは明らかだ(この動きは、2020年フランスでパブリッシャーのロビー団体が不公正な競争を訴える事態にもつながった)。このあまりにも微妙な意味合いを含んだ行為によって、Appleは偽善という非難を受けている。

France Digitaleに、Appleに対してプライバシーに関する苦情を訴えた理由を尋ねると、広報担当者は次のようにTechCrunchに答えた。「スタートアップはルールに基づいて事業を行っています。世界最大のハイテク企業もそうであることを我々は期待します。競争の場に公平な規制がなければ、どんなに事業を拡大しても繁栄はないと、我々は信じています」。

「我々はCNILに法の執行を求めているに過ぎません。個人情報保護の番人は、私たちスタートアップのメンバーを常に調査しています。彼らの専門知識を、もっと大きな企業にも適用させようということです」と、彼は続けた。

同グループのCNILに対する訴えが急速に注目を集めている一方で、GDPRのワンストップショップのメカニズムの下、この問題はEU内でAppleのデータ運用を監督するアイルランドのデータ保護委員会による参照が必要だ。その後、調査するかどうかについての決定が下されることになる。

だから、この問題に何らかの迅速な規制措置が取られる可能性は低い。

関連記事:Appleのティム・クック氏がアドテックは社会の破滅をもたらすと警告、同社アプリトラッカーのオプトイン機能を擁護

カテゴリー:ソフトウェア
タグ:AppleフランスGDPRデータ保護プライバシー広告

画像クレジット:Apple (livestream

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)