フェイスブックがイリノイ州のプライバシー保護法をめぐる集団訴訟で約694億円支払う

Facebookはイリノイ州の州民をプライバシーの侵犯から護る州法に違反したとして米国時間2月26日に、6億5000万ドル(約693億9000万円)の支払いを命じられた

Biometric Information Privacy Act(生体認証情報私権法、BIPA)は、近年テクノロジー企業がつまずいて転倒している強力な州法だ。Facebookに対する訴訟は2015年に始まり、Facebookが顔認識を利用して写真の中の人に同意なくタグを付けているのは州法に違反していると同社を告訴した。

カリフォルニアの連邦裁が下した最終示談によると、160万人のイリノイ州住民が1人あたり345ドル(約3万6800円)以上を受け取ることになる。この最終的な数は、2020年にFacebookが提示し判事が不当と判断した5億5000万ドル(約587億2000万円)よりも1億ドル(約106億8000万円)高い。Facebookは2019年に、自動顔認識によるタグ付け機能を無効にして、自動でなくオプトインにし、イリノイの集団訴訟で広まったプライバシーへの批判の一部に対応した。

2020年、イリノイ州住民の顔が同意なく顔認識システムのトレーニングに使われていたため、同法の違反としてMicrosoftとGoogle、Amazonが、それぞれ個別の訴訟で訴えられている。

関連記事:顔認識のプライバシー侵犯でマイクロソフトやグーグル、アマゾンがイリノイ州住民に告発される

イリノイのプライバシー法は一部のテクノロジー大手を紛糾させたが、このBIPA法は、疑わしいプライバシー行為を行っている小規模な企業に対しても効力は大きい。議論の渦中にある顔認識ソフトウェアの企業Clearview AIは現在、州内でBIPAによる独自の集団訴訟に直面している。同社は訴訟を州外に持ち出そうとしたが失敗した。

関連記事:顔認識スタートアップのClearview AIがイリノイ州法違反で集団訴訟に発展

6億5000万ドルの示談は、通常の企業を倒産させるには十分な額だが、しかしFacebookは2019年の、50億ドル(約5338億5000万円)というFTCの記録的な罰金のときと同じく、平然と対応できるだろう。しかしイリノイ州の法律には牙がある。Clearviewの場合は、企業の事業活動を州外に追い出すこともできたのだ。

Facebookのような巨大な怪物を同じ方法で罰することはできないにしても、何年間もビジネスを行ってきたテクノロジー世界のデータブローカーたちにとって同法は、今後ますます無視できない脅威だ。連邦、州、そして議会のレベルで規制当局は、テクノロジーを抑制するための強力な措置を提案している。そしてイリノイ州の画期的な法律は、他の州が参考にするに十分な説得力のあるフレームワークを提供している。テクノロジー大手が国の監督に従うことを悪夢と思うならば、テクノロジー企業のやり方を州ごとに決めている先進的な州法の寄せ集めでも十分に彼らの口には合わないだろうが、未来にとって役に立つ規制になりうるだろう。

カテゴリー:ネットサービス
タグ:Facebookプライバシーイリノイ顔認証裁判

画像クレジット:Design Cells/Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Hiroshi Iwatani)

フェイスブックのEU米国間データ転送問題の決着が近い

アイルランドのデータ保護委員会(DPC)は、長期戦となっているFacebook(フェイスブック)による国際的な個人データ転送をめぐる訴訟を直ちに解決させることに合意した。これにより数カ月後には、FacebookはEU域内から米国へのデータ転送を停止せざるを得なくなる可能性がある。

プライバシー活動家であるMax Schrems(マックス・シュレムス)氏が2013年に提出した同訴状は、NSAの内部告発者Edward Snowden(エドワード・スノーデン)氏によって暴露された、米政府の知的機関が大規模な情報監視プログラムの下、Facebookユーザーのデータにアクセスしているという事実とEUのプライバシー権の衝突が発端にある。

シュレムス氏が率いるプライバシー保護団体であるNoybは、同氏の申し立てを中断して新たな訴訟手続きを開始するという決定に対して2020年に提訴したが、やっとのことでその司法審査のプロセスを最終化させ、迅速にシュレムス氏の申し立てを解決すべくDPCは取り組むこととなった。

Noybによると、アイルランド高等裁判所が調査の開始を許可した場合、和解という条件下でDPCの「独自の決断」による手続きとしてシュレムス氏のヒアリングが行われ、また同氏はFacebookによるすべての提出物にアクセスすることが可能となる。

当初の申し立てを再検討する以前にFacebook独自の司法審査の高裁判決を待つとDPCが決定した場合には、さらなる中断が起きる可能性があるとNoybは認識しているものの、シュレムス氏は7年半という長期にわたる訴訟は最終章に向かっており、今後数カ月以内に決着がつくのではないかと予測している。

シュレムス氏は現状を「もどかしいが最大限の可能性がある」と表現し「アイルランドの裁判所は期限の設定に消極的ですが、DPCはそれを利用してタイムラインが見えないと言い続けていました【略】アイルランドの法の範囲内で最大限に強い『迅速な』解決という決断を今回得ることができました」と同氏はテッククランチに語ってくれた。

この訴訟に対する最終的な決定がいつ下されると思うかと質問すると、早ければ2021年の夏だが、現実的には秋頃になるだろうと同氏は答えている。

シュレムス氏は自身の申し立てに対するDPCの対処方法や、さらにはペースの速い巨大テック企業と対照的なスピード感に欠ける政府の執行力に対して声高に非難し、アイルランドの規制当局は、シュレムス氏が申し立ての中で要求したように単にFacebookにデータ転送を停止するよう命じるのではなく、EU域内から米国へのデータ転送の仕組みの合法性についてより幅広く提起している。

この一連の訴訟はすでに莫大な影響力を及ぼしている。2020年の夏、欧州司法裁判所は、個人情報保護においてEUと同等の基準を米国が満たしていないと判断し、EUと米国間のデータ転送の取り決めを取り消すという画期的な判決を下している。

また欧州司法裁判所はデータが危険にさらされている場合にはEUのデータ保護規制当局が介入して第三国への転送を停止させる義務があることを明確にしており、アイルランドの法廷に事態を正すよう促している。

DPCに最新の進展についてコメントを求めると、本日中に回答するという答えが返ってきたため、それについてはまた更新したいと思う。

EUの一般データ保護規則(GDPR)に基づくFacebookのデータ規制当局であるDPCは、欧州司法裁判所による画期的な判決を受けて、2020年9月には同社に対してデータ転送を一時停止するよう予備命令を出している。

しかしFacebookは即座に反撃し、7年以上続く訴訟であるのに関わらず、DPCによる命令は時期尚早だとしている。

Noybは本日、Facebookが今後もアイルランド高等裁判所を利用してEU法の施行を遅らせようとするだろうと述べている。またFacebookは2020年、EUと米国間でデータ転送を行なっている数多くの企業に影響を与える問題の政治的解決策を考え出すために、また米国の新政権がこの問題に対処するための時間稼ぎのために、法廷を使って議員に「合図を送って」いることを認めている

しかし、Zuckerberg(ザッカーバーグ)氏が場当たり的なこの規制ゲームをいつまで続けることができるのかといえば時間の問題だ。今後半年以内に、EUのデータ流出問題は解決を迎えようとしているのだ。

EUと米国政府間の今はなきプライバシーシールドの代替案をめぐり、EUと米国の議員はかなりタイトなスケジュールで交渉を進めて行かなければならない。

欧州委員会は2020年秋、米国の監視法の改正なしには代替案を実現することは不可能だと述べている。米国企業が必要な変更をもたらすため働き掛け、大規模な努力をしない限り、ここまで抜本的な法改正が夏か秋までに実現するとは考え難い。

Facebookは2020年、DPCに予備命令を受けた際に提出した法廷文書の中で、データ転送に対してEUの法案が施行された場合、欧州でのサービス運用を停止しなければならない場合もあると述べている。

しかし同社のPRチーフであるNick Clegg(ニック・クレッグ)氏はすぐにそれを撤回。その代わりに「パーソナライズド広告」はEUにおけるポストコロナの経済回復に必要不可欠であると主張し、データに深く依存したビジネスモデルに対して好意的に見るようEUの議員らに呼び掛けた。

しかし、巨大テック企業にはさらなる規制が必要であり、緩和は必要ないというのが欧州連合の議員間の総意であった。

それとは別に、現在、Bobek(ボベック)法務官の意見に沿ったものであれば、欧州司法裁判所にとって影響力の強いアドバイザーの意見が今後の欧州でのGDPRの施行スピードに影響を与え得る可能性がある。国際的なケースを扱うためのGDPRのワンストップショップメカニズムの結果として起きている、アイルランドのような主要な管轄区域での障害に同氏が目をつけているとも受け取れるからだ。

ボベック法務官は国際的なケースを調査する主管規制当局に能力があるとする一方で「データ保護における主管当局は国際的なケースにおいてはGDPRの唯一の執行者とはみなされず、GDPRが定める関連規則と期限を遵守して、この分野でその意見が重要とされる関連する他のデータ保護当局と緊密に協力しなければならない」と記している。

同氏はまた「緊急措置」の採用を目的とする場合や「データ保護当局が事案を取り扱わないことを決定した後」に介入する場合など、各国のDPAが独自の訴訟を起こすための具体的な条件を提示している。

法務官の意見を受け、DPCのGraham Doyl(グレアム・ドイル)副長官は次のように述べている。「我々と協力関係にあるEUのDPAとともに、我々は法務官の意見に留意し、関連するワンストップショップ規則の解釈という点で裁判所の最終判決を待つこととします」。

アムステルダム大学でデータプライバシーのポスドク研究者を務めるJef Ausloos(ジェフ・オースルース)氏に法務官の発言についての見解を求めたところ、この意見は「実際の保護と執行がワンストップショップメカニズムによって損なわれる可能性があることを明確に認識したもの」だという。

しかし同氏によると、DPAが主管規制当局を回避するための新たな道が法務官の意見から見て取れたとしても、短期的には何の影響力もないとのことだ。「長期的な場合に限って、変化に向けた道は開けていると思います」と同氏はいう。

カテゴリー:ネットサービス
タグ:FacebookEUプライバシーアイルランド欧州司法裁判所

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EUの主管プライバシー規制当局が行動監視に基づくターゲティング広告の禁止を求める

欧州連合の主管データ保護監督機関は、インターネットユーザーのデジタル活動の追跡に基づくターゲティング広告の禁止を、他の重要な目標の中でもとりわけ事業者の説明責任を強化することを目的としたデジタルサービス法の抜本改革に盛り込むよう勧告した。

欧州データ保護監督官(EDPS)のWojciech Wiewiorówski(ヴォイチェフ・ヴィエビオロフスキ)氏は、EUの議員からの協議要請を受け、欧州委員会のデジタルサービス法(DSA)を参照して、行動監視に基づくターゲティング広告の禁止を求める決断を下した。

DSAの法案は、デジタル市場法(DMA)の案と共に12月に提出された。これにより、EUの(しばしば長期化する)共同立法プロセスが始まり、最終案が承認される前に、欧州議会と欧州連合理事会での修正案の議論と交渉が行われることになる。これは、数十年にもわたって行われてきたEU全体でのデジタル規則の大改革において、その最終形に影響を与えるためにすべてを賭けたせめぎ合いが始まることを意味する。

ターゲティング広告の禁止を求める欧州の主管データ保護監督機関による介入は、消費者の利益の保護を目的とした法案を骨抜きにしようとする試みに対する強力な先制攻撃だ。

欧州委員会の提案ではそれほど深く踏み込んでいなかったが、大手テクノロジー企業のロビイストは確かに反対に向けて力を注いでいたので、EDPSがここで強硬な措置を講じたことの意義は大きいと考えられる。

EDPSのヴィエビオロフスキ氏は、DSAに関する意見書において、欧州委員会が提案したリスク軽減措置を補完するために「追加のセーフガード」が必要であると述べ、「オンラインプラットフォームにおけるある種の行為は、個人の権利だけでなく、社会全体に対するリスクを増大させている」と主張している。

EDPSが特に懸念している分野は、オンライン広告、レコメンドシステム、コンテンツモデレーションだ。

ヴィエビオロフスキ氏は、「オンラインのターゲティング広告には数多くのリスクが関係するため、EDPSは、透明性からさらに踏み込む厳格な規則を検討するよう、共同立法者に強く求める」とし、「そのような措置には、広く浸透しているトラッキングに基づくターゲティング広告の禁止に向けた段階的な廃止、ターゲティングに利用できるデータカテゴリーに関する制限、およびターゲティング広告を可能または容易にするために広告主や第三者に開示しうるデータカテゴリーに関する制限が含まれるべきである」と述べている。

これは、欧州議会が昨年の10月、EUの議員に対して段階的禁止の検討を提案した際により厳格な規制を求めたことに続き、大衆の行動監視に基づくターゲティング広告をピンポイントで狙った直近の攻勢となる。

しかし、ここでも、EDPSは実際に同様のことを求めながら、さらにもう少し踏み込んでいる(FacebookのNick Clegg(ニック・クレッグ)氏は苦虫をかみつぶす思いだろう)。

最近、長年アドテックの利権を得てきた一人であり、欧州の大手出版社Axel Springer(アクセル・シュプリンガー)のCEOであるMathias Döpfner(マティアス・デップナー)氏は、米国の主導によるデータマイニング技術プラットフォームが市民を「資本主義的独占のマリオネット」に変えているとの(保護貿易主義的な)非難を公然と行い、地域のプライバシー規則を強化して、プラットフォームで個人データを保存することや商業利益を目的として利用することを一切禁止するようEUの議員に求めている。

同氏は2021年1月、Business Insider(ビジネス・インサイダー)に「自発的な同意を名目にしてデータ保護を弱体化させようとする目論見は、すべて排除されなければならない。データ使用の許可は、そもそも行えるようにすべきではない。機密性の高い個人情報は、市場を支配するプラットフォーム(いわゆるゲートキーパー)や国家が自由に利用できるものではない」と書いている。

Apple(アップル)のCEOであるTim Cook(ティム・クック)氏も2021年1月、(本来ならば)ブリュッセルで開催される予定だったカンファレンスのバーチャルセッションに登壇し、基幹法令である一般データ保護規則(GDPR)の施行を強化するよう欧州に要請した。

クック氏は演説で、アドテックの「データ企業集団」が、大衆操作で利益を得ようとして偽情報の拡散を促進し、社会の大惨事を引き起こそうとしていると警告した。同氏は、欧米両岸の議員に向けて、「ユーザーの個人情報に対する権利を主張する人に、何が許され何が許されないのか、普遍的かつ人道的な意思を示す」よう強く促した。つまり、アドテックにおけるプライバシー保護の改革を求めているのは、欧州の企業(と機関)だけではないということだ。

Appleは、アプリがiPhone内のデータを簡単に利用できないよう、トラッキングの許可をユーザーから取得しなければならないような仕組みにして、トラッキングをより厳格に制限することを検討している。当然、この動きは、「関連」広告を提供するために大衆監視を利用しているアドテック業界の反発を招いている。

そのため、アドテック業界は、同意のない監視を規制するプラットフォームレベルの動きを阻止するために、「独占禁止法違反」を訴えて競争規制当局を動かす戦術に頼ってきた。この点で注目に値することとして、市場で最も力のあるプラットフォームを仲介するための規則の追加を提案している、DMAに関するEDPSの意見書では、競争、消費者保護、データ保護法の3つは「オンラインプラットフォーム経済の観点では表裏一体の政策分野」であり、「ある分野が別の分野に取って代わったり、ある分野と別の分野が矛盾したりする関係ではなく、お互いに補完し合う関係であるべきだ」と述べ、これら3つの重要なつながりを改めて強調している。

ヴィエビオロフスキ氏はDSAの意見書でレコメンドシステムにも狙いを定めており、各地域のデータ保護規則(設計と初期設定によってプライバシーを保護することが法律で規定されているものと仮定する)を確実に遵守するために、レコメンドシステムは初期設定でプロファイリングに基づかないものとすべきであると述べている。

ここでも同氏は、「透明性とユーザーによる管理をさらに促進する」ことを目的に、欧州委員会の立法案を強化するための追加措置を求めている。

EDPSの主張によると、レコメンドシステムのようなシステムは「大きな影響力」があるため、このような措置がどうしても必要である。

コンテンツレコメンデーションエンジンがインターネットユーザーを憎悪に満ちた過激主義的な視点に誘導するのに一役買っているのではないかという点は、長い間、議論の的となってきた。例えば2017年には、英国の国会議員らがこの話題について数社のテクノロジー企業を厳しく追及した。その議員らの懸念は、ユーザーのエンゲージメントを高めることでプラットフォームの利益を最大化するように設計されたAI駆動ツールには過激化を自動的に促進する危険性があり、そのアルゴリズムが生み出す憎悪に満ちた視点は、のめり込んだ個人を害するだけでなく、疑心暗鬼の目が社会の結束をむしばむことによって市民全員に波及する有害な連鎖反応を引き起こすというものだ。

しかし数年経過した今も、このようなアルゴリズムによるレコメンドシステムがどのように機能しているのかについては、ほとんど情報が得られていない。これらのAIを運用して利益を得ている民間企業が、その仕組みを独占的な企業秘密として保護しているためだ。

欧州委員会のDSA案は、説明責任の妨げとなるこの種の機密性に狙いを定め、透明性確保の義務化を求めている。草案で提案された義務には、プラットフォームへの要件として、ターゲティング広告に使用される「意味のある」基準を提供すること、レコメンドアルゴリズムの「主なパラメータ」を説明すること、ユーザーコントロール(「プロファイリングを拒否する」というオプションを少なくとも1つ含む)を前面に表示することが含まれている。

しかし、EDPSは、個人情報の搾取から個人を保護するため(そして、取得した個人情報を基に人々を操作する産業が生み出す有害な副産物から社会全体を保護するため)、EUの議員がさらに踏み込むことを望んでいる。

コンテンツモデレーションについて、ヴィエビオロフスキ氏の意見書では、これが「法の支配に従って行われるべきである」と強調している。一方、欧州委員会の草案では、法の解釈をプラットフォームに委ねた方がよいとしている。

同氏は、この分野における最近のCJEU(欧州連合司法裁判所)の判決を暗黙の了解のようにして、「地域独自にすでに行われている個人の行動監視を考慮すると、特にオンラインプラットフォームの観点では、『違法コンテンツ』に対抗するために、その検出、識別、対処を行う自動化された手段の使用をいつ合法化するのか、DSAは明確にすべきだ」と書いている。

「プロバイダーが、DSAによって明示的に特定されたシステムリスクに対処するため、そのような手段が厳密に必要であることを示すことができない限り、コンテンツモデレーションを目的としたプロファイリングは禁止されるべきだ」と同氏は付け加えている。

また、EDPSは、非常に大規模なプラットフォームや(DMAによって)「ゲートキーパー」として指定されたプラットフォームに対して最低限の相互運用性要件を提案しており、欧州レベルでの技術標準の開発を促進するようEUの議員らに求めている。

同氏はDMAについても、「関係者の基本的な権利と自由の保護を強化し、現行のデータ保護規則との整合性を保つ」ことを求め、修正案が「GDPRを効果的に補完する」ものとなることを強く要請している。

EDPSの具体的な提言には、ゲートキーパープラットフォームにおける同意の管理方法をユーザーにとってより簡単でアクセスしやすいものとしなければならないことをDMAで明示すること、草案で想定されているデータポータビリティの範囲を明確化すること、集約したユーザーデータへのアクセスを他の企業に提供することをゲートキーパーに要求する条項を書き換えることが含まれており、これも「GDPRとの完全な整合性」を確保することを念頭に置いている。

EDPSの意見書では「効果的な匿名化」の必要性についての問題も提起しており、「ゲートキーパーのオンライン検索エンジンにおいて、有料無料を問わずエンドユーザーが生成した検索に関連するクエリー、クリック、閲覧のデータを共有する際の再識別テスト」を求めている。

停滞を脱するePrivacy改革

ヴィエビオロフスキ氏の提言はやがて始まるプラットフォーム規制を方向付けるものであったが、この提言が行われたのは、欧州連合理事会が既存のePrivacy規則をめぐるEUの改革への交渉姿勢について、予定からかなり遅れてようやく合意に達した日と同じ日だった。

欧州委員会は、この進展を発表するプレスリリースで、電子通信サービスの利用におけるプライバシーと機密性の保護に関する規則の改訂について、加盟各国が交渉権限に関する合意に達したと述べている。

「これらの『ePrivacy』規則の改訂版では、サービスプロバイダーによる電子通信データの処理や、エンドユーザーのデバイスに保存されたデータへのアクセスが許可されるケースを決めることになる」とした上で、「本日の合意により、EU理事会の議長国であるポルトガル(2021年1月現在)は、最終案について欧州議会との協議を開始できるようになる」と続けている。

ePrivacy指令の改革は、利害の対立のために何年にもわたって停滞しており、2018年にはすべての取り組みが無事片付くだろうという(先任の)欧州委員会の期待はすっかり外れてしまった(当初のePrivacy改革案は2017年1月に発表されたが、4年後、欧州連合理事会が主張するところの授権に落ち着いた)。

GDPRが初めて可決されたという事実は、アドテックと電気通信事業の両方の分野で、データに飢えたePrivacyのロビイストたちの利害関係を激化させたように見える(後者は、メッセージングやVoIPのサービスを提供するライバルのインターネット大手が長年利用してきた膨大なユーザーデータの宝庫を狙って、通信データに関する既存の規制障壁を取り除くことに強い関心を持っている)。

ePrivacyを利用してGDPRに組み込まれた消費者保護を無効にしようとする協調的な取り組みが行われており、そうした動きには、機密性の高い個人データの保護を骨抜きにする試みも含まれている。そのため、欧州議会との交渉が始まると、醜い利権闘争の舞台の幕が上がることになる。

メタデータとクッキーの利用許可の規則もePrivacyと密接に結びついているため、この件に関してもさまざまな利権が絡む難題を解決する必要がある。

デジタル権利擁護団体のAccess Now(アクセスナウ)は、ePrivacy改革の経過を要約して、欧州連合理事会が「極めて」的外れだと非難している。

アクセスナウのシニアポリシーアナリストであるEstelle Massé(エステル・マッセ)氏は声明の中で、「この改革はEUでのプライバシー権を強化するもののはずだ。[しかし]、各国がさまざまなケチを付けたため、改正案が穴だらけになってしまった。今日採択された法案は、議会の法案や欧州委員会の以前の見解と比べて見劣りがする。行動監視の手段に関する言及がいくつか追加されている間に、プライバシー保護のための前向きな条文が削除されてしまった」と述べた。

アクセスナウは、サービスプロバイダーがオンラインユーザーのプライバシーを初期設定で保護するための要件を元に戻すことや、クッキー以外のオンライントラッキングに対する明確な規則を確立することを、他の優先ポリシーの中でも特に強く推し進めていくと述べている。

一方、欧州連合理事会は、「追跡しない」という非常に弱体化された(そして、おそらく役に立たない)方策を支持しているように見える。欧州委員会によると、これは、ユーザーが「ブラウザーの設定で1つまたは複数のプロバイダーをホワイトリストに登録し、特定の種類のクッキー」の使用に同意できるようにすべきであると提案するものだ。

欧州連合理事会はプレスリリースで、「ソフトウェアプロバイダーは、ユーザーがブラウザーでホワイトリストを簡単に設定したり、修正したり、いつでも同意を取り消したりできるようにすることが奨励される」と付け加えている。

抵抗勢力が欧州連合理事会内部に潜んでいることは明らかだ。(それに対して欧州議会は以前、ePrivacyのための「法的拘束力があり、強制力のある」追跡禁止メカニズムを明確に承認している。つまり、ここでも衝突が予想される)。

暗号化もまた、ePrivacy論争の種となる可能性が高い。

セキュリティとプライバシーの研究者であるLukasz Olejnik(ルーカス・オレイニク)博士が2017年半ばに述べたように、欧州議会は通信データの機密性を保護する手段としてエンドツーエンドの暗号化を強く支持している。また、加盟各国は強力な暗号化を弱めるような義務をサービスプロバイダーに課すべきではないとも述べている。

ここで注目すべきなのは、欧州連合理事会はエンドツーエンドの暗号化について、少なくとも公的立場のPR版では、あまり多くを語っていないということだ(「原則として、電子通信データは機密扱いとなる。エンドユーザー以外の者によるデータの盗聴、監視、処理などの干渉は、ePrivacy規則で許可されている場合を除いて禁止される」という記載はあるが、まったく安心できない)。

暗号化されたデータへの「合法的な」アクセスを支持する欧州連合理事会レベルでの最近の取り組みを考えると、確かに憂慮すべき不作為にも見える。デジタル権と人権の擁護団体は抗議活動を起こすと予想される。

関連記事:WhatsAppが新プライバシー規約を同意しないユーザーへの対応内容を説明

カテゴリー:セキュリティ
タグ:プライバシー 広告業界 EU

[原文へ]

(文:Natasha Lomas、翻訳:Dragonfly)

WhatsAppが新プライバシー規約を同意しないユーザーへの対応内容を説明

WhatsAppは今週初めに、ユーザーが「自分のペース」で同社のプライバシーアップデートの計画を見直すことを認め、また用語の変更をわかりやすく説明するバナーを表示すると発表した。しかし、2021年5月15日の締め切りを守れないユーザーはどうなるのだろうか?

関連記事
イーロン・マスク氏が米議会議事堂での暴動受けてFacebookの代わりにセキュリティ重視のSignalを推薦
ユーザーからの激しい批判を受けWhatsAppがプライバシー規約更新についてのアプリ内バナー公開

TechCrunchでは、同社が商業者パートナーに宛てたメールを確認することができたが、Facebookがオーナーが所有するWhatsAppは、そのようなユーザーには、彼らが新しい規約に準拠してWhatsAppの全機能を利用できるように5月15日から「徐々に求めていく」という。

規約を同意しないユーザーも「短期間、通話や通知を受けとることはできるが、メッセージを読んだり送ることはできない」と同社はメモで述べている。そのメモが同社の計画の真意であることを、同社はTechCrunchに対して確認した。

「短期間」とは、数週間のことだ。そのメモには、WhatsAppが新たに設けたFAQページへのリンクがあり、非アクティブユーザーに関するポリシーは5月15日以降に適用されるとある。

WhatsAppの非アクティブユーザーに関するポリシーによると、アカウントは「通常120日間、何もなされなかった後に削除される」という。

このインスタントメッセージングサービスは、一部のユーザーから反発を食らった。それには、最大の市場であるインドも含まれている。そのときWhatsAppはアプリ内アラートで、プライバシー規約の計画への同意は2月8日までに、とある。これは同社のeコマースへの最近のテコ入れを反映したもので、サービスを使い続けたいのであればその日程を守れ、と述べている。

反発を食らったWhatsAppは、プライバシーアップデートの計画がユーザーの一部に混乱を招いたとし、2021年1月のブログで「最近のアップデートに関して、とても多くの人が混乱しているようだ。心配が生じたのは多くの誤報のためであり、今後は弊社の原則と事実を理解していただけるようにアナウンスしたい」と述べている。

2016年以降、WhatsAppのプライバシーポリシーは、ユーザーの電話番号やデバイスの情報などをFacebookと共有してよいことになった。新しい規約では、FacebookとWhatsappが、より良い広告ターゲティングのために決済や商取引のデータを共有できる。それはソーシャルの巨大モンスターがeコマースを拡大して、それを同社のメッセージングプラットフォームと合体させようとしているためだ。

WhatsAppは20億以上のユーザーが使っており、2021年1月には新たなポリシーの発効を3カ月遅らせ、その規約の説明に努めてきた。しかし規約を受け入れないユーザーへの対応は、その説明よくわかっていなかった

関連記事
WhatsAppのユーザー数が20億人に、2年前から5億人増
ユーザーの反発を受けWhatsAppがプライバシー規約の施行を3カ月延期

カテゴリー:ネットサービス
タグ:WhatsAppFacebookプライバシー

画像クレジット:SAJJAD HUSSAIN/AFP/Getty Images

原文へ

(文:Manish Singh、翻訳:Hiroshi Iwatani)

ユーザーからの激しい批判を受けWhatsAppがプライバシー規約更新についてのアプリ内バナー公開

Facebook(フェイスブック)傘下のWhatsApp(ワッツアップ)は2021年1月、混乱したユーザーからの批判を受けて新しいプライバシー規約の適用を遅らせると発表した。ユーザーの批判は後にインドでの訴訟につながり、さまざまな国の当局が調査に乗り出す事態に発展した。WhatsAppユーザーはプライバシーに関する更新について、WhatsAppアプリがユーザーのプライベートなメッセージを含むデータをFacebookと共有しようとしていると誤解した。そして米国時間2月19日、WhatsAppは問題を修正し、懸念されるようなことではないことをはっきりとさせるために次のステップを発表した。

関連記事:ユーザーの反発を受けWhatsAppがプライバシー規約の施行を3カ月延期

WhatsAppでのプライバシー規約更新の取り扱いミスは広い範囲の困惑と誤情報につながった。実際、WhatsAppはFacebookによって買収された後の2016年からユーザーに関する一部の情報をFacebookと共有してきた

しかし批判は、Facebookが多くのユーザーの信頼を損なってきたことの確かな証だ。人々はすぐさま最悪のケースを疑い、その結果、何百万というユーザーがSignal(シグナル)やTelegram(テレグラム)といった他のメッセージアプリに流れ込んだ

抗議を受け、WhatsAppはプライバシー規約更新は実際にはアプリのオプショナルの事業者機能にフォーカスしたものだと説明しようと試みた。この機能は事業者がエンドユーザーとのメッセージのコンテンツを閲覧できるようにし、Facebook上での広告を含むマーケティングの目的でその情報の使用許可を事業者に与えるものだ。WhatsAppはまた、顧客とのチャットを管理するためにFacebookからのホスティングサービスを使用している事業者との会話に、ユーザーが気づくようにラベルをつけるとも話した。

画像クレジット:WhatsApp

大失敗から数週間が経ち、WhatsAppはユーザーのフィードバックを集め、さまざまな国の人々の懸念に耳を傾けるのに時間を費やしたと話す。同社は、WhatsAppがプライベートメッセージを読んでいないこと、会話を聞いていないこと、ユーザーのコミュニケーションがエンド・ツー・エンドで暗号化されている保証をユーザーが求めていることを把握した。ユーザーらはまた、ユーザーが誰にメッセージを送っているのかWhatsAppが記録をとらないこと、コンタクトリストをFacebookと共有しないことを知りたがっていた、とも述べた。

Facebookが最近、Facebook、Messenger、Instagramのメッセージシステムの相互運用を可能にしたことを考えると、後者の懸念は現在も有効のようだ。1つ気になるのは、似たような統合がWhatsAppにいつおよぶのかということだ。

WhatsAppは2月19日、プライバシー規約更新についてユーザーに改めて案内すると話した。混乱を引き起こした点を明確にすることを目的に1月に提供したStatusアップデートに続くものだ。

画像クレジット:WhatsApp

数週間内にWhatsAppは、ユーザーにプライバシー規約を再確認するよう尋ねる小さなアプリ内バナーの展開を開始する。ユーザーがポップアップやフルスクリーンアラートを好むことが示されたための変更だち同社はいう。

ユーザーが「レビューする」をクリックすると、WhatsAppがどのようにFacebookと協業しているかについて追加された詳細を含め、変更の詳細な概要が表示される。変更はWhatsAppの規約更新がユーザーの会話のプライバシーに影響を与えないことを強調し、オプショナルの事業者機能についての情報を繰り返している。

最終的にWhatsAppはユーザーにアプリを使い続けるためにアップデートをレビューして同意するよう、ユーザーへの通知を開始する。先の発表によると、5月15日まで新しい規約は適用しない。

画像クレジット:WhatsApp

それでもユーザーは事業者とのコミュニケーションがプライベートメッセージほど安全なものでないことは認識しておく必要がある。これは、今や1億7500万人が同アプリで事業者とやり取りしている、WhatsAppの成長中のユーザー数に影響をおよぼす、と2020年10月に同社は述べた。

変更に関する今回のブログ投稿内で、WhatsAppはライバルのメッセージアプリを批判した。ライバルアプリはWhatsAppのプライバシー規約更新をめぐる混乱に乗じて自社のアプリのプライバシーを声高に謳うことでWhatsAppから流出するユーザーを引き込んだ。

「一部の競合他社が、人々のメッセージを見ることはできないと主張してうまくやろうとしました。しかしもしそのアプリがエンド・ツー・エンドの暗号化をデフォルトで提供していなければ、そうしたアプリはユーザーのメッセージを見ることができます」とブログ投稿に書かれている。

これは特にTelegramに向けられたコメントのようだ。Telegramはしばしば「よりプライベートな選択肢として厳重に暗号化されたメッセージアプリ」と自らを謳っている。しかしWhatsAppとSignalはエンド・ツー・エンドの暗号化をデフォルトで提供しているが、Telegramはそうではない。Telegramはユーザーからサーバーへの接続を保護する「トランスポートレイヤー」を使っている、とWiredの1月の記事にサイバーセキュリティの専門家の話が紹介されている。その代わり、ユーザーが1対1のチャットをエンド・ツー・エンドの暗号化による体験にしたければ、ユーザーは「シークレットチャット」機能を使うことができる(この機能はグループチャットでは使えない)。

加えて、WhatsAppはユーザーに関する限定されたデータを持っているためにさほど安全ではないという特徴づけに対しても反論した。

「他のアプリは、WhatsAppよりも情報を持っていないから優れているといっています。たとえWhatsAppが限定されたデータを持っている必要があるとしても、人々は信頼でき、安全なアプリを求めていると信じています」とブログにはある。そして「当社は決断について思慮深くありたいと考えていて、より多くではなく、少ない情報でこうした責任に沿う新しい方法を開発し続けます」と記した。

カテゴリー:ネットサービス
タグ:WhatsAppプライバシー

画像クレジット:Thomas Trutschel / Getty Images

原文へ

(文:Sarah Perez、翻訳:Nariko Mizoguchi

Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

物議を醸し出している顔認識技術のClearview AIが、カナダ人の写真を断りなく無許可で収集したとして、同国政府直属のプライバシー監視団体から有罪を宣告された。

ニューヨークに本社のある同社は1年前に、30億以上の人の顔の写真を集めたと主張し、警察など法執行機関との関係を自慢して、派手に報道された。しかし同社はソーシャルメディアのサイトを同じく無許可でスクレイピングして大量の批判を浴び、FacebookやLinkedInやTwitterなどは同社に停止命令を送り、それを止めさせようとした。

カナダのプライバシー委員会(Office of the Privacy Commissioner)は声明で、調査の結果Clearviewは「個人の知らないうちに、あるいは個人の同意を得ずに、きわめて機密性の高い生体情報を収集した。」しており、同スタートアップは「カナダ人の個人情報を不適切な目的のために収集、使用、および開示したものであり、同意によって適切に提供することができないもの」と述べている。

Clearviewは反論し、カナダのプライバシー法は適用されない、なぜなら同社はカナダとの「現実的で実質的なつながりがない。スクレーピングした画像は一般的に公開されているものであり、同意は必要ない」と主張している。

これは、同社の法廷闘争の続編になる。というのも同社はすでにイリノイ州で、バイオメトリック保護法違反で集団訴訟に直面している。その州法は2020年に、Facebookに対して5億5000万ドル(約578億7000万円)の罰金を支払わせることとなった。

カナダのプライバシー監視当局はClearviewの主張を退け、カナダ人への情報収集の中止や以前に収集した画像のすべての削除などの勧告に同社が従わなければ「他の行動を取る」と述べている。

Clearviewは2020年7月に、その技術をカナダの顧客に提供中止を発表した。しかしながら、すでに王立カナダ騎馬警察とトロント警察が同社の技術を使用していやた。

「Clearviewがやっていることは大規模な監視であり、違法だ」とカナダのプライバシー委員会のDaniel Therrien(ダニエル・テリエン)氏はいう。「これは個人のプライバシーの権利を侵害するものであり、社会のすべての構成員に広範な害を及ぼす。これはまったく受け入れられるものではない」。

Clearview AIの弁護士であるDoug Mitchell(ダグ・ミッチェル)氏は次のように述べている。

「Clearview AIの技術はカナダで利用できず、カナダでは運用されていない。いかなる場合にもClearview AIが集めるものはインターネット上の公開情報のみであり、それはカナダの情報保護法PIPEDA(Personal Information Protection and Electronic Documents Act)により明示的に許可されている。連邦控訴裁はプライバシーに関する裁定で、「一般に公開されている情報は広い意味での一般市民が利用できアクセスできる情報である」と述べている。ここには、これと異なる基準を適用すべき理由は存在しない。Clearview AIは、カナダでの活動を許されているGoogleなどの大企業と同じく、公開データを集めている検索エンジンにすぎない」。

関連記事
セキュリティの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩
米移民局や検察局などが採用中の顔認識技術が一般企業にも売られていた

カテゴリー:ネットサービス
タグ:Clearview AIカナダ顔認証プライバシー

画像クレジット:Design Cells/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

アップルのApp Tracking Transparency機能はデフォルトで有効に、早春にiOSで実装

Apple(アップル)は、iOS 14で散々議論されているプライバシーポリシーの変更について、さらにいくつかの詳細を明らかにした。同社は2020年6月に行われたWWDCの発表で、複数のプロパティを横断する広告ターゲティングのためにIDFAを追跡し共有するためには、開発者はユーザーに許可を求めなければならない、としている。一方、2020年秋にiOS 14が登場した際、Appleは2021年まで追跡制限を延期し、開発者が必要な変更を加える時間を増やしたいと述べている。

そして、もう少し具体的なタイムラインが明かされた。計画では、これらの変更を今春の早い時期に公開し、機能を実装したバージョンは、次のiOS 14ベータリリースで公開する予定になっている。

Appleは新システムを次のように説明している。「ユーザーは『設定』でどのアプリが追跡許可をリクエストし、そのための変更をしたかを確認することができる。要求は今春の初めに幅広く展開され、今後のiOS 14とiPadOS 14とtvOS 14で実装される。この変更は、世界中のプライバシー擁護派からの支持を得ている」。

特に重要で基本的な要求をリストアップすると、次のようになる。

  • App Tracking Transparency機能は、IDFAの共有をユーザーがそれぞれオプトアウトしなければ無効にならない従来の方法から、デフォルトで無効、有効にするためにはオプトインしなければならない方法に変更する。ネットワークやデータブローカーなどのサードパーティやユーザーのIDFAを共有したいアプリは、事前にその許可をユーザーに求めなければならない。
  • この機能が最も目立つ証拠は、新しいアプリの起動時に通知があり、トラッカーが何に使われるのかを説明し、それにオプトインするように求めてくることだ。
  • IDFA共有はいつでもアプリごとに切り替えることができるようになった(以前は単一の切り替えだった)。「アプリに追跡のリクエストを許す」を無効にすると、どのアプリからもトラッキングの使用を求められなくなる。
  • Appleは、データ共有契約を含むすべてのサードパーティデータソースに対してこれを強制するが、プラットフォームはサードパーティデータを利用して広告を行うことができる。
  • Appleは開発者が、アプリで使用するAPIやSDKがユーザーデータをブローカーやその他のネットワークに提供していることを理解し、もしそうであるならば通知を有効にすることを期待している。
  • Appleは自社アプリに関しては規則を遵守し、もしそのアプリが追跡を行うのであればダイアログを表示して「アプリに追跡のリクエストを許す」の設定に従う。現時点では、多くのアプリが追跡を行っていない。
  • ここで重要な注意点は、パーソナライズされた広告の切り替えは、具体的にはApple自身が広告を提供するために独自のファーストパーティのデータを使用することを許可するか、または許可しない別の設定であるということだ。つまりAppleのデータのみに影響するオプトアウトの追加レイヤーだ。

Appleはまた、Adtribution APIの機能を強化しており、より良いクリック計測、動画コンバージョンの計測、アプリからウェブへのコンバージョンの計測を可能にしている。

このニュースはData Privacy Dayに発表され、CEOのTim Cook(ティム・クック)氏が米国時間1月28日の朝、ベルギーのブリュッセルで開かれたComputers, Privacy and Data Protectionカンファレンスでこの問題について講演を行った。同社はまた、平均的なアプリには6つのサードパーティのトラッカーがあることを示す新しい報告も発表している。

今回の変更はプライバシーの観点からは歓迎すべきものだと思われるが、広告業界からは批判もある。たとえばFacebookは、小企業への影響を強調したPRキャンペーンを始め、またこの変更を2021年に直面する「広告への最も大きな逆風の1つ」と指摘している。Appleのスタンスは、広告主中心のアプローチであり、ユーザー中心のデータプライバシーのアプローチをするというものだ。

関連記事
iOS 14でアプリの広告トラッキングの拒否が可能に、セキュリティとプライバシーをさらに強化
アップルが開発者によるユーザー追跡の明示的許可強制を来年まで延期
Facebookがアプリ追跡と広告ターゲティング制限に対してアップル批判を強化
Facebookは2021年のターゲティング広告と収入に大きな障害を予測する
Appleのフェデリギ氏のスピーチはユーザーデータ保護強化で対決姿勢を鮮明に

カテゴリー:ネットサービス
タグ:Apple個人情報広告Facebook

画像クレジット:Apple(スクリーンショット)

原文へ

(文:Anthony Ha、Matthew Panzarino、翻訳:Hiroshi Iwatani)

反クラウド論、プライバシーを保護できていない現在のクラウドアプリ

過去10年間に我々が世界と関わり、対話する方法に大きな変化が見られた。職業別電話帳はすでに細かく説明する必要がある概念であり、そんなことを試みれば我々は年齢を思い知らせることになる。今の世界はスマートフォンとそのアプリの中にある。

我々はGoogle(グーグル)が約束したように「あらゆる情報を指先に」置いた世界のメリットを享受しているが、利便性と引き換えにプライバシーはそのかけらさえ放棄して顧みない。

我々は巨大テクノロジー企業があるときは無謀さで、あるときは計算づくで構築してきた線をまたいでいる。この線はアプリの開発者とアプリストアのさまざまな要求に我々が同意するにつれ、長い時間をかけてできてきた。

個人データを吸い込むブラックホール

SymantecによればAndroidアプリの89%、iOSアプリの39%が個人情報へのアクセスを必要としている。このデータの使用はリスクを孕んでいる。アプリケーションのパフォーマンスを改善させる(フィットネスアプリには各種の個人データが必要だろう)場合もあるが、、広告ターゲティングのためのデモグラフィックデータを得たい場合もある。どちらの場合の我々の個人情報はクラウドサーバーに送られる。

データを得た大企業は、長期にわたって保存されていない、あるいは悪用されていないと主張するだろう。しかしモバイルアプリを使えば、詳細な利用ログが残るのはまぎれもない事実だ。テクノロジー企業はデータが移動中に失われないよう(複数のコピーを)保持している。世界中のサーバーが互いにデータを流し続けるにつれて、我々の個人データはますます遠く離れたサーバーに移っていく。

我々はきちんと規約を読まないまま、アプリの利用条件に同意してしまうのが普通だ。すると私たちのプライベートデータはもはやプライベートではなくなる。データはクラウドの中にあるわけだが、このコンセプトは長年にわたって正確な理解をすりぬけてきた。

まず、クラウドベースのアプリとクラウドコンピューティングの違いを説明する必要がある。企業レベルでのクラウドコンピューティングは、長年に渡って議論が続いたものの、多くの企業にとって安全でコスト効率の高い選択肢であるというのがコンセンサスだ。

2010年の時点でさえMicrosoft(マイクロソフト)は、クラウドベースまたはクラウド関連のプロジェクトに取り組んでいるエンジニアは70%に上り、この数字は1年以内に90%にアップなると予測していた。しかしこれは一般ユーザーが極めて個人的かつプライベートなデータを保存するためにクラウドに頼るようになる前のことだ。

クラウドにかかる雲が混乱を増幅

この問題をさらに複雑にしているのは「プラバシー保護アプリ」だ。こうしたアプリは、その名の通り、スマートフォン上にある他のアプリの活動からプライバシーを保護するためのアプリだということになっている。しかしプライバシーという飾りを剥がしてみれば、プライバシー保護アプリ自体が驚くべきレベルで個人データへのアクセスを要求していることがわかる。「プライバシー保護」という糧語彙リーでなければ、ユーザーは眉をひそめて警戒したに違いない。

秘匿鍵でデータを暗号化する場合を考えてみよう。どんな方式で何段階にもわたって鍵を暗号化したにせよ、最後の鍵、最も重要な鍵は暗号化できない。ここには「Win-Win」のシナリオはない。医師がカルテを読んで病歴以外の個人データを知るのと同様の容易さで、プライバシー保護アプリはユーザーが他のアプリで何を購入したか発見できる。

クラウドは目に見えず、データの提供者である我々が直接アクセスする方法もない。企業は独自のクラウドサーバーを持ち、それぞれが似たようなデータを収集している。しかし我々はなぜこのデータを提供するのかよく考えておかねばならない。見返りに何を得るのか?アプリは生活を楽にしたり、より良いものにしたりするのだろう。しかしこれらは本質的にはサービスだ。クラウド上行われるこのサービス、トランザクションのサービス側こそが問題なのだ。

アプリ開発者は、個人データを保存する必要のないサービス提供の方法を見つけなければならない。これには2つの側面がある。まず第一にユーザーのローカルデバイス内で機能するアルゴリズムを作ることだ。クラウドに吸い上げられ他のデータと混在する方式はリスクが大きい。第二に個人データに関するテクノロジー業界の態度全般を変えねばならない。現在は個人データが無料提供されるサービスのコストを担っている(最終的にはターゲティング広告といった企業マーケティングに利用される)。

個人データの収集と企業マーケティングの統合によって成功してきた既存の巨大データ企業に、この点の変化を求めてもムダだろう。だからこそ、新しい企業のチャレンジに期待する。つまりクラウドにおいてもプライバシーを提供しつつ料金を支払う価値のあるサービスを提供するというチャレンジだ。これにはリスクがあるが、この変化はどうしても必要だ。世の中に無料のものはない。そもそもこの状況に陥ってしまったのは我々が「無料」という看板に釣られてしまったからだともいえる。

プライバシーにかかる雲を吹き払わねばならない

最低限、我々が個人としてできることは、まず健全な警戒心を持つことだ。個人データが世界中に散在するクラウドサーバーへ流れていくことを止めることができないにせよ、不必要に個人データを収集するバカげた構造のアプリの利用を控えることはできる。たとえばゲームアプリは作動するために連絡先へのアクセスを必要とするはずはない。Facebook(フェイスブック)が我々のことを異常によく知っている理由は、カメラアプリをはじめスマートフォン内のほとんどの機能にアクセスできるからだ。銀行口座と連動していれば、Facebookは口座の残高まで知っている。

このデータ収集はアプリとクラウドの双方のレベルで行われる。アプリを使う時の条件をよく考慮する必要がある例の1つだ。アプリにサインインするときに、Facebookのようなソーシャルアカウントを利用すると個人データの収集はいっそう容易なものになる。

クラウドは別に全能の悪魔というわけではないが、個人データの大量収集を可能にするツールであり、また口実としても使われている。

将来はデバイスやアプリが自己完結型となり、ローカルのデバイス内でユーザーが個人情報ををコントロールできるようになる方向に向かうだろう。クラウド上のアプリやデータへのアクセス方法も変化し、サービス提供方法の変更を余儀なくされるような機能が必要となるはずだ。クラウドは公共データストレージ機能に限定される。プライベートデータは本来あるべき場所、つまりユーザーのデバイス上にのみ保存されるのでなければならない。外部に残したデータのプライバシーが失われないよう、我々は一丸となってこの変化を推進しなければなならない。

【Japan編集部】著者のMichael Huth(マイケル・フート)博士はXaynの共同ファウンダーでCTO。インペリアル・カレッジ・ロンドン教授。専門分野はサイバーセキュリティ、暗号化、数学モデリング、機械学習におけるセキュリティとプライバシー。

カテゴリー:セキュリティ
タグ:プライバシークラウドコンピューティングコラム

画像クレジット:PM Images / Getty Images

原文へ

(翻訳:滑川海彦@Facebook

ボストン・グローブ紙が記事内の実名や顔写真の削除を求める人々の要望を検討する委員会設置

The Boston Globe(ボストン・グローブ)紙は、新聞の記事が自分の評判を害していると感じた人が、その記事の更新や匿名化を求めることができる新しいプログラムを開始している。これはEUの「忘れられる権利」を連想させるが、物議を醸す可能性は少ないだろう。同紙の編集部のみに関係することで、コンテンツにとらわれない検索エンジンとは違うからだ。

この「Fresh Start(フレッシュスタート)」と名づけられた取り組みは、レストランの悪いレビューや重大な犯罪の報道を削除するためのものではなく、むしろ、ごく一般的な犯罪事件記事のためのものだ。たとえば「誰々が無秩序な行為で逮捕され、逮捕に抵抗した」と100語程度で書かれた顔写真つきの記事などである。

もちろん、このような記事は、読者に地域の犯罪を知らせるという目的を果たしている。しかし、グローブ紙の編集者であるBrian McGrory(ブライアン・マクグローリー)氏は、次のように指摘する。

短くて比較的重要ではないグローブ紙の記事が、その対象となった一般の人々の未来に影響を与えることは、決して我々の意図ではありませんでした。

刑事司法制度を考えると、これは有色人種に過度な影響を与えているというのが私たちの感覚です。このプログラムの背後にある考え方は、それに対処を始めるというものです。

警察官の偏見による証言が、報道で遺伝的な偏見に変わる。これは深刻な問題であり、米国が何十年にもわたって取り組んできた問題だ。しかし、それはデジタル記録の性質によって悪化している。

応募書類を見る雇用主は、名前や他のいくつかの詳細を検索するだけで、顔写真付きの犯罪記録のような目立った情報を見つけることができる。また、メディアは低所得層の逮捕者についてよく取り上げるが、低所得層者が無罪判決や不起訴処分になったことはほとんど取り上げない。結局、誰もそんな記事をクリックしないからだ。そのため、報道は不完全なものになり、記事に書かれた人にとって潜在的に不利益な情報となることが多い。

検索エンジンのレベルでこれを修正しようとする欧州での試みは、反対と困難に直面している。検索エンジンはそれ自体が索引を作成する情報に関わっているわけではないし、検索エンジンが何を削除するべきか、または削除するべきではないかを決定する立場に置かれるべきではないという意見もあるからだ。さらに、1つの記事が複製されたり、何十回、何千回と引用されたり、インターネットアーカイブのようなサイトにバックアップされたりすることがあるので、タスクは複雑になるだろう。では、どうすればいいのだろうか?

同時に、出版物の削除や内容の変更を求めるよりも、検索エンジンの検索する可能性に制限を求める方が、言論の自由を脅かすものではないことは確かだ。議論は現在も続いている。

グローブ紙のアプローチは、Google(グーグル)に人の記録を「忘れさせる」ほど包括的なものではないが、ずっと単純で反対意見も受けにくい。グローブ紙はもちろん自身の記事に対する編集権を行使しており、問題は情報の一部を消し去ることではなく、そもそもそれがニュース価値のあるものであったかどうかを再検討することだ。

グローブ紙の新しい試みの発表の中で、デジタル版担当のJason Tuohey(ジェイソン・トーヘイ)編集長は次のように述べている。「フレッシュスタート委員会でそんな記事を変更したとしても、我々はなぜ、来週も同じような記事を載せるのか?」

グローブ紙は、記事の更新を求める人々からの嘆願を審査するために10人の委員会を設置した。「更新」であり、決して「削除」されることはない、とつけ加えておくことが重要だ。以前のCleveland Plain Dealer(クリーブランドのプレイン・ディーラー紙)による同様の取り組みでは、人々は裁判所の記録抹消命令を提示する必要があったが、グローブ紙の場合は法的なハードルはない。

フレッシュスタートのチームは、これが複雑なものになるだろうということはすぐに認めている。自動化された要求や詐欺的な要求が確実に押し寄せてくるだろうし、公人はとりあえず要求してみるだろう。出来事や身元を確認するために証拠が必要な場合、それが何であるかについては意見が分かれるだろう。そして最後に達成されるのは、1本の記事、あるいはその1行だけが、変更されることになるだろう。そしてそれは、おそらくインターネット上で散々複製されたりアーカイブされた後のことになる。しかし、これはスタートだ。

1つの新聞だけがこれをやっても大きな効果はないかもしれないが、プログラムが成功すれば、他の新聞社も注目するかもしれない。そして、トーヘイ氏が指摘したように、実際に司法制度がどれほど凋落しているかを知ると、そもそも報道機関の英知が揺らいで見えるようになる。新たに発見した懐疑論を、人々が過去の出来事にも適用したくなるのは当然だろう。

フレッシュスタートの恩恵を受けられると思う人は、こちらからお申し込みを。

カテゴリー:パブリック / ダイバーシティ
タグ:メディアプライバシー

画像クレジット:terekhov igor / Shutterstock

原文へ

(翻訳:TechCrunch Japan)

LayerXがエンタープライズ向けブロックチェーン基盤比較レポート[プライバシー編]を公開

LayerXがエンタープライズ向けブロックチェーン基盤比較レポート[プライバシー編]を公開

暗号資産(仮想通貨)・ブロックチェーン技術に関連する国内外のニュースから、過去1週間分について重要かつこれはという話題をピックアップしていく。今回は2021年1月10日~1月16日の情報から。

ブロックチェーン技術などのテクノロジーを活用した業務プロセスのデジタル化を推進するLayerXは1月14日、代表的なエンタープライズ向けブロックチェーン基盤の分析結果について、同社独自のブロックチェーン基盤分析フレームワーク「LayerX Enterprise blockchain Analysis Framework」(LEAF。リーフ)とともに公開した。対象は、CordaHyperledger FabricQuorum。2020年6月公開の基本編に続くもので、今回はプライバシー編となっている。

同社によると、ブロックチェーンのエンタープライズにおけるユースケースは急速に増加しているという。複数組織間をまたがるデータ共有基盤としてのブロックチェーンの利用が進展しており、証券決済、サプライチェーン・ファイナンスクロスボーダー決済、トレーサビリティなど、国内外で多くの商用化事例が存在している。

ただ、ブロックチェーン基盤は基盤ごとに設計思想が異なる上、技術特性もそれに応じて変わってくるため、各基盤で充足可能なセキュリティ要件、適性のあるユースケース、プライバシーの要件、インターオペラビリティ実現の難易度には相違が見られるという。

そこで同社はLEAFを公開し、ユースケースに応じた基盤検討を行なう際の観点を明確化するとともに、各基盤の検討負荷を軽減し、ブロックチェーンの円滑な社会実装の推進に資することを目指すとしている。

また同社は、オープンソースソフトウェア(OSS)や先行するパブリックレポートなど、ブロックチェーンのコミュニティに蓄積されてきた優れた知見に基づきR&D活動に注力しており、LEAF公開を通じて中長期的にブロックチェーンコミュニティに貢献することも志向しているという。

LayerXがエンタープライズ向けブロックチェーン基盤比較レポート[プライバシー編]を公開

LEAFプライバシー編

ブロックチェーン技術は、データの真正性を複数の組織間で担保し、検証可能な形で共有可能なものの、同時にすべてのデータが全組織で共有されてしまい、機密情報も共有されてしまうという課題がある。

そのためこの課題の解決手段として、プライバシー保護技術に関する研究が盛んに行われている。LEAFのプライバシー編では、エンタープライズ向けブロックチェーンにおけるプライバシー保護技術に着目し、プライバシー保護技術の分類、プライバシー保護技術の比較軸の提案、そしてCorda、Hyperledger Fabric、Quorumが備えるプライバシー保護技術の分析及び比較を行った。

LEAFプライバシー編で提案するトランザクションフローの分析はCorda、Hyperledger Fabric、Quorum以外のブロックチェーン基盤にも応用可能としている。

関連記事
LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始
石川県加賀市がxIDおよびLayerXと連携、ブロックチェーンとデジタルID活用の電子投票システム構築へ
暗号資産・ブロックチェーン業界の最新1週間(2020.8.16~8.22)
LayerXが行政機関・中央銀行などと共同研究を手がけるLayerX Labs開設、デジタル通貨・スマートシティなど注力

カテゴリー:ブロックチェーン
タグ:QuorumCordaHyperledger Fabricプライバシー(用語)LEAF(LayerX)LayerX(企業)日本(国・地域)

インド政府がWhatsAppに「深刻な懸念」を表明、新たなプライバシーポリシーの撤回を求める

インドはWhatsApp(ワッツアップ)に対し、プライバシーポリシーの変更を撤回するよう求めており、この南アジアの国をユーザー数で最大の市場とするFacebook(フェイスブック)傘下のサービスにとって、新たな頭痛の種となっている。

WhatsApp責任者のWill Cathcart(ウィル・カスカート)氏に送った電子メールで、インドの通信IT省は、このアプリに近々適用されるデータ共有ポリシーの更新が「インド国民の選択と自律性への影響に関する重大な懸念を提起する【略】従って、提出された変更を撤回するように求めます」と述べた。

同省はさらに、Facebookや他の商業企業とのデータ共有契約の明確化をWhatsAppに求めており、EUのユーザーは新しいプライバシーポリシーから免除されるのにインドのユーザーは遵守する以外選択の余地がない理由を尋ねている。

「このような差別的な扱いはインドのユーザーの利益を害するものであり、政府は深刻な懸念を抱いています」と、同省はメールで述べており、そのコピーをTechCrunchは入手している。さらに「インド政府は国民の利益が損なわれないようにする主権者としての責任を負っており、それゆえこの手紙で提起された懸念事項に対応するようWhatsAppに求めます」と続いている。

WhatsAppは、2020年1月初めのアプリ内アラートを通じて、ユーザーに電話番号や位置情報などの個人データを、Facebookと共有することをアプリに許可する新しい条件の規約に同意するよう求めていた。

ユーザーがサービスの使用を継続したいと希望する場合、当初は2月8日より新しい規則を遵守する必要があるとされていた。

「この『オール・オア・ナッシング』アプローチは、インドのユーザーから意味のある選択を奪うものです。このアプローチは、WhatsAppの社会的意義を利用してユーザーに契約を強要するもので、情報プライバシーや情報セキュリティに関するユーザーの利益を侵害する可能性があります」と、同省はメールで述べている。

2021年1月13日、ニューデリーの屋台で新聞に掲載されたWhatsAppの広告が目に入る(画像クレジット:SAJJAD HUSSAIN/AFP via Getty Images)

WhatsAppからの通知は、ユーザーの間で多くの混乱と、いくつかのケースでは怒りと不満を促した。そのユーザーの多くは、最近の数週間でTelegram(テレグラム)やSignal(シグナル)などの代替となるメッセージングアプリを検討している。

WhatsAppの広報担当者は、1月19日の声明で次のように述べている。「この更新はFacebookと共有するデータを拡大するわけではないことを、私たちは強調したい。私たちの目的は、企業が顧客にサービスを提供し成長できるように、企業に結びつけるために利用できる新しいオプションと透明性を提供することです。WhatsAppは常に個人のメッセージを端から端まで暗号化で保護しているため、WhatsAppもFacebookも見ることができません。我々は誤報に対処するために努力しており、どんな質問にも答えられるようにしています」。

Facebookが2014年に190億ドル(約1兆9700億円)で買収したWhatsAppは、2016年からこのソーシャルの巨人であるFacebookと、ユーザーに関するいくつかの限定的な情報を共有している。そして一時期は、ユーザーがこれをオプトアウトすることを許可していた。先週の反発に対応して、世界中で20億人以上のユーザーにサービスを提供しているこのFacebook傘下のアプリは、計画されていたポリシーの施行を2021年5月15日に延期すると発表した。

さらにWhatsAppは先週、4億5000万人以上のユーザーを抱えるインドのいくつかの新聞に一面広告を掲載し、変更点を説明したり、いくつかの噂を否定したりした。

ニューデリーもまた、WhatsAppが2020年に発表したこのアップデートのタイミングに失望したことを明らかにした。同省は、ユーザーのデータが世界とどのように共有されるかを監視することを目的とした、歴史的意義のあるプライバシー法案である個人データ保護法案の見直しを行っていると述べた。

「インドのユーザーにとってこのような重大な変更をこのタイミングで行うことは、馬よりも荷車を先に走らせるようなものです。個人データ保護法案は『目的制限』の原則に強く従っているため、この法案が法律になった場合、このような変更はWhatsAppにとって重大な実行上の課題をもたらす可能性があります」と、同省は書簡で述べている。

1月19日にインドの通信IT・法相のRavi Shankar Prasad(ラヴィ・シャンカール・プラサド)氏はまた、Facebookに声を大にして助言を送った。「WhatsAppであれ、Facebookであれ、どんなデジタルプラットフォームであれ、インドでビジネスを行うことは自由ですが、そこで働くインド人の権利を侵害しない方法で行ってください」。

WhatsAppであれ、Facebookであれ、どんなデジタルプラットフォームであれ、インドでビジネスを行うことは自由ですが、そこで働くインド人の権利を侵害しない方法で行われるべきです。個人的なコミュニケーションの尊厳は維持されなければなりません。

関連記事:ユーザーの反発を受けWhatsAppがプライバシー規約の施行を3カ月延期

カテゴリー:ネットサービス
タグ:WhatsAppインドプライバシー

画像クレジット:Nasir Kachroo / NurPhoto / Getty Images

原文へ

(翻訳:TechCrunch Japan)

リモート試験の監視システムには「さらなる透明性が必要」と米上院議員が指摘

新型コロナウイルス感染症(COVID-19)流行のために遠隔試験を受けざるを得ない学生たちから、公正さに問題があるという主張が続く中、試験監督システムを手がける大手3社は、透明性の向上が求められている。

試験監督システムは、学生たちが自宅からリモートで試験を受けることを可能にする。学生たちは大学が選択した試験監督ソフトウェアをインストールするように指示される。これによってシステムはウェブカメラやマイクを含む学生のコンピュータに深くアクセスし、不正行為の可能性を発見するために学生の行動を監視することができる。

しかし、試験監視システムを提供するProctorio(プロクトリオ)、ExamSoft(エグザムソフト)、ProctorU(プロクターユー)のような企業は、その試験監視技術が公正さに欠けるなどの問題に満ちているという学生からの批判の嵐を受けている。

苦情の中でも特に多いのは、試験監視ソフトウェアが、肌の色が濃い人や宗教的なかぶり物をしている人の顔を認識できないこと、インターネットの通信速度が受験技術の基準を満たすことができない低所得地域の学生や障害を持つ学生を差別しているといったことだ。

米国民主党の上院議員数名は、2020年12月にProctorio、ExamSoft、ProctorUの3社に書簡を送り、各社に技術やポリシーをもっと詳しく説明するように求めた。TechCrunchが確認したその回答によると、各社は差別の主張を否定し、生徒がカンニングをしたかどうかを判断するのは教師であって、これらの企業自身ではないと述べている。

しかし、議員たちは企業の透明性が十分ではないと考えており、教師たちが学生の行動について、技術が伝える以上のことに基づいて判断しているのではないかと危惧している。

「Proctorio、ExamSoft、ProctorUは不公正の問題はないと主張していますが、学生からの憂慮すべき報告は違うことを物語っています」と、民主党のRichard Blumenthal(リチャード・ブルメンソール)上院議員(コネチカット州選出)は、TechCrunchに語った。「企業からのこれらの回答は、彼らがシステムをどのように運用しているのか、詳しく知るための最初のステップに過ぎません。しかし、学生の不正行為を告発する力を持つそのシステムには、はるかに多くの透明性が必要とされています。私は学生たちが確実に守られるように、必要なあらゆる修正に取り組むつもりです」。

全米の学生たちはすでに、プライバシーとセキュリティのリスクを理由に、学校に対して試験監督ソフトウェアの使用をやめるよう呼びかけている

我々は各社にいくつかの質問を送った。ProctorUの最高経営責任者Scott McFarland(スコット・マクファーランド)氏は、週末の休日を理由にコメントを拒否した。ProctorioとExamSoftは回答しなかった。

カテゴリー:EdTech
タグ:差別プライバシー

画像クレジット:Alain Jocard / Getty Images

原文へ

(翻訳:TechCrunch Japan)

副次的監視の時代を終わらせよう

著者紹介:Vijay Sundaram(ヴィジェイ・スンダラム)氏は、ManageEngineの親会社であるZoho Corporation(ゾーホー)のCTO(最高戦略責任者)。企業戦略および執行からチャネル管理、事業開発、企業販売に至るまで、複数の領域を指揮/担当している。

ーーー

我々消費者は、自分たちが使いたいサービスやソリューションにアクセスする際、Google、Facebook、Twitterなどの企業に個人データを提供することを気にしないものだ。しかし多くの人は、水面下でこうした企業がデータ収集をビジネスモデルに統合し、データ収集監視組織として機能していることを理解していない。

ユーザーには認識されていないが、多くの企業はサードパーティが自社のウェブサイトに埋め込みコードを設置することを許可しており、そのコードはユーザーの行動を捕捉し、収集または販売するために利用されている。ZohoのチーフエバンジェリストであるRaju Vegesna(ラジュ・ヴェジェスナ)氏が指摘するこの「副次的な監視」は、ユーザーや投資家を始め、ビジネスリーダーたちからの抵抗を受けずに一般的な慣行となってきた。

こうした監視の振り子が大きく揺れすぎていることは、思慮深い人の間で重大視されてきている。つまり企業がなんの規制もなくユーザーデータ収集や共有を行うことへの懸念だ。実際、副次的監視に対する規制が厳しくなってきており、EUのGDPR、カリフォルニアのCCPA、ニューヨークのSHIELD法、ブラジルのLGPDなどのデータプライバシーに関する法律がここ数年で次々と制定された。

政府の規制強化と社会意識の高まりを受けて、企業のリーダーたちはこの問題に目を向け始めている。しかし、政治家や規制当局の動きに頼るだけでは不十分だ。また法律用語や細かい文字で埋め尽くされた通知文書を根拠として法を遵守しているとしても、それでは十分とは言えない。この種のマキャベリ的な手法は形式的には正当かもしれないが、道徳的ではない。

テック業界のリーダーたちにとって、プライバシーに関する誓約を正式かつ明白に遵守する立場を示す時期に来ているだろう。

ユーザーへの通知なく広告会社にユーザーを追跡させない

企業がユーザーデータをサードパーティの広告主に販売することで事業を成り立たせている場合、データがどのようなことに使用されるのかをユーザーに知らせることが重要だ。場合によってはそうした情報をユーザーに開示しないことが法的に認められる可能性はあるが、これは適切ではない。

1996年の創業以来、ManageEngine(当時はZohoとしてビジネスを行っていた)は自社のウェブサイトや製品にサードパーティーの広告を掲載することを拒否してきた。すべての副次的な監視を阻止するため、サードパーティーの追跡コードを自社サイト内に埋め込むことを一切許可していない。ソーシャルメディアのシェアボタンは無害に見えるかもしれないが、本質的にトロイの木馬として機能し得るため、同様に排除されるべきであろう。

サードパーティとの統合がユーザーデータの追跡につながる可能性のある場合は顧客に通知する

もし企業がそうした活動に財政的に依存しているのであれば、透明性を保つ必要がある。たとえばGoogle(グーグル)を例にとると、Gmailを使うことに問題はないとほとんどの人が認識しているが、それは検索大手にデータを提供するだけの価値をユーザーが見い出しているからだ。しかし、Googleがユーザーデータを利用してクレジットカード会社やヘルスケア会社との提携を密かに結んでいるとすれば、話はまったく別だ。

Googleは2018年に医療団体Ascensionと提携し、Ascensionの患者には知らされていなかったデータ共有プロジェクト「Project Nightingale」を開始した。その後の調査で、Googleは実用面でHIPAAやその他の法律に違反していないことが判明したが、このスクープがなければ一般の人々はこの計画について知ることすらなかっただろう。また、この種の非公式な健康データのパートナーシップは他にも広く行われている可能性が高い。

もう1つの例として、GoogleはMastercard(マスターカード)と秘密裏に提携し、Amazon(アマゾン)と競合して消費者小売支出データを収集していた。この秘密の提携関係が露呈した際、両社は顧客の個人情報を一切共有していないと主張した。Googleによると、ユーザーデータを統合し匿名化した形で保護するダブル・ブラインド式暗号化技術を利用したという。両社はユーザーの個人情報はすべて「身元が特定されていない」と繰り返し主張したものの、MastercardやGoogleのユーザーにこの契約が公表されたことは一度もなかった。おそらくこのMastercardとの提携はGoogleにとって単発のものではないだろう。GoogleはAdWordsのブログ(現在はGoogle広告コミュニティに統合)を通じて、クレジットカードとデビットカード所有者の情報のうち70%にアクセスがあることを言明している。

この話の教訓は何であろうか。Googleのようであってはならないということだ。

暗号化ツールを使用して、パブリックネットワーク経由で転送される顧客データを保護する

企業がパブリックネットワーク経由でユーザーデータを送信する場合、必ずすべてのサーバー接続で強力な暗号化を使用する必要がある。ハイパーテキスト転送プロトコルセキュア(HTTPS)およびトランスポート層セキュリティ(TLS)プロトコルに従って、ウェブブラウザ、企業のサーバー、およびすべてのサードパーティ製サーバー間に常に安全な接続があることを確実にする。TLSプロトコルは両者の認証を可能にするだけでなく、データを暗号化し、第三者がデータ転送プロセスを盗聴または妨害することを防ぐ。

社内データセンターへの投資を検討する

経済的に実現可能であれば、企業は自社のデータセンターに顧客データを保存するか、データセンター内のサーバーを所有するべきである。サードパーティのデータセンターやパブリッククラウドに依存しないことで、データプライバシーイニシアティブを強化できるだけでなく、時間の経過とともにコストも削減できる可能性がある。さらに、ユーザーデータを保護するために努力している企業を評価するユーザーが増えてくれば、企業にとってもメリットがある。

ManageEngineはプライベート企業であるため外部の株主に依存することはなく、経営者は財務的な視点ではなく理念的な視点で物事を見ることができる。創業当初からユーザーのプライバシーを重視する姿勢を貫いているが、現在の監視環境は組織内でかなりの反発を招いている。確かに同社はプライバシーに関するこのような強硬路線を取ることで、多少のビジネスチャンスを逃しているかもしれない。

しかし、ヴェジェスナ氏は次のように問いかけるという。「企業が金銭的に成功しても、道徳的に破綻した場合、価値はあるでしょうか」 。

関連記事:米上院議員クロブシャー氏がAmazonのフィットネストラッカーHaloについてプライバシー面の懸念を表明

カテゴリー:セキュリティ
タグ:コラム プライバシー

[原文へ]

(翻訳:Dragonfly)

米上院議員クロブシャー氏、アマゾンのフィットネストラッカーHaloについてプライバシー面の懸念を表明

ミネソタ州選出のAmy Klobuchar(エイミー・クロブシャー)上院議員は、Amazon(アマゾン)が新しく発表したフィットネストラッカーのレビューを受け、公開書簡を出している

クロブシャー上院議員は米国保健福祉省のAlex Azar(アレックス・アザー)長官宛に、「最近寄せられる報告から、Halo(ヘイロー)が個人の健康に関する、大変広範囲にわたるプライベートな情報にアクセスできることについて懸念せざるを得ません」と書き送ったのだ。そして、「ヘイローは、市販のコンシューマー向け健康デバイスの中でも前例のない規模の個人情報を収集すると考えられます」と危惧した。

このフィットネストラッカーに対する懸念を表明したのは、同議員が初めてではない。2020年8月のデバイス発表時に、人々が眉をひそめたのは事実だ。しかし、常時オンのマイクや装着者の全身ボディスキャン機能を搭載するこのデバイスに疑問を呈した人々の中で、彼女は製品に対して実際に行動を起こせる立場にある数少ない一人だ。

同議員は、TechCrunch(テッククランチ)とのインタビューの中で「私は今もFitbit(フィットビット)を着けていますよ」と述べた。それからすぐに訂正し、 「あら、今朝は着けるのを忘れていたみたい。 なんてこと。 フィットビットは、ほぼ毎日着けています。しばらく着けない時期があったんですが、2月からは大体ずっと着けています」と語った。

もちろん同議員だけではない。Pew(ピュー)が2020年1月に出したレポートによれば、米国では成人の約5人に1人がスマートウォッチかフィットネストラッカーを普段から装着している。筆者自身も着けているし、読者の中にも少なからずおられるだろう。ヘイローは一線を越えてしまったとする見方もあるかもしれないが、トラッカーにおけるプライバシー侵害の懸念はヘイローに始まったことではない。同議員は、ヘイローが収集するデータの規模が「何らかのルールと規制の必要性を感じさせるものだった」とはいえ、トラッカーの分野において全体的に監視と規制の強化が必要だ、とした。

「規定が必要だと本当に思います」とクロブシャー上院議員は述べる。「保健福祉省に書簡を送るのは、保健領域のデータのプライバシー保護について同省にもっと大きな役割を担ってほしいからですが、健康に関する個人情報が守られるためには、保健福祉省と連邦取引委員会の間で、何らかの規定を策定する必要があります。アマゾン・ヘイロー・バンドはその最たる例にすぎず、同様の問題を抱えるデバイスは他にいくつもあるのです。この点で、州レベルでの規制などはすでにありますから、あと必要なのは合衆国基準です」。

同議員が送った書簡では、アザー長官と保健福祉省に対し、健康データの保護において同省が果たす役割に関する4つの質問が提起されている。アマゾン側の言い分は、大きく次の2点だ。まず、ボディスキャンと会話検出はオプション機能であること、そしてローカルに格納されるこれらのデータに同社が直接アクセスすることはできないという点である。

クロブシャー上院議員が送った書簡について尋ねたところ、アマゾンから次のような回答が返ってきた。

「アマゾン・ヘイロー・バンドに関する質問の件につきましては、クロブシャー上院議員の事務所とやり取りさせていただいているところですが、当製品の設計と製造において、大前提にあるのはプライバシーです。ボディスキャンの『Body』や音声収集の『Tone』は任意選択の機能であって、製品の利用に必須ではありません。また、アマゾンはボディスキャン画像や収集された音声サンプルにアクセスできないようになっています。本サービスのプライバシーに対する取り組みは透明性の高いものであり、詳しくはアマゾン・ヘイロー・バンドのプライバシーホワイトペーパーにてお読みいただけます」。

クロブシャー上院議員は、「(書簡は)特に健康に関する個人情報の保護や、セキュリティとプライバシーの確保を求めているんです」と述べる。「それらすべての手段を講じているとアマゾンが言っているとしても、この分野に関わるすべての企業に対するルール作りは必要です」。

個人の健康情報に関するプライバシー保護が注目を集めるきっかけとなったのは、2019年11月にGoogle(グーグル)が21億ドル(約2100億円)でフィットビットを買収する計画を発表したことだ。その時は、この買収は2020年のどこかの時点で成立するものと思われていた。しかしフタを開けてみれば、その見込みは楽観的すぎたようだ。2020年8月の証券取引委員会への届出の際に、フィットビットは買収の成立が2021年5月にまで延びる可能性を示したのだ。

新型コロナウイルス感染症によるパンデミックもこの遅延の一因になったと考えられるが、グーグルが直面している最大のハードルは政府の承認だ。Amnesty International(アムネスティ・インターナショナル)をはじめ、多くの団体や個人がこの買収に対する懸念を表明している。欧州連合(EU)は、この買収によって「グーグルが広告の提供と表示のパーソナライズに活用できるデータが、すでに掌握している膨大なデータに加えて、さらに増加するため、グーグルのオンライン広告市場における支配的地位をより強固なものにする恐れがある」と8月に判断した。

この買収に関する調査が行われ、今週ついに欧州委員会は買収へのゴーサインを出したが、これには重大なただし書きが付いている。グーグルに課せられた最大の条件は、フィットビットの健康関連データを10年間はターゲティング広告に利用しないというものだ。また、EUは期間後に、この保護措置をさらに10年間延長する権利を留保している。

クロブシャー上院議員は、プライバシーに関する条件を課すことは必須だと考えていることを述べ、「条件が十分かどうかは、事実に基づいて、米国の規制当局がこの米国で判断すべきだと思います。データサイロを作成することになって良かったです。(……)それと、合併に対する調査を大いに強化することが必要だと思います。合併のタイミングを狙って、反競争的行為として許可を与えないか、条件を課した上で許可するようにすべきなのです」と語った。

独占禁止法違反への監視強化は、同議員にとって重要なプロジェクトになっている。2019年8月には、コネチカット州選出のRichard Blumenthal(リチャード・ブルメンソール)上院議員とともに、独占行為を抑止するための法案を提出しており、新大統領の着任後に法案が通過することを希望しているところだ。

「新たな会期が重要な転機になるでしょう」とクロブシャー上院議員は述べた。「トランプ政権のもとで、これらの重要な問題が取り上げられました。遅かったですが、最終的にはやるべきことをやってくれたのです。ただ、市場の独占に対処するための法律を実際に成立させるほど力を傾ける余裕が、トランプ大統領にはありませんでした。それで、これはバイデン政権と次期司法長官の仕事になると思います」。

とはいえ、テック企業の規模と影響力を有意に抑えるには、買収時点での規制当局の調査を強化するだけでは不十分だ。多くの事案において、その規制ポイントははるか昔に通過してしまっている。

同議員も、「今後の独占的な吸収合併について考えればいい、というものではありません」と述べ、次のように続けた。「すでに起こったことも見直すのです。Facebook(フェイスブック)訴訟はそういうことですし、グーグルの訴訟も、見る角度によってはそういうことです。 他にDoubleClick(ダブルクリック)などの事案もありますが、問題の大部分は、独占力がどのように行使されているか、という点です。過去の吸収合併について訴えられることもありますが(フェイスブックの事案がそうです)、『排除行為』と呼ばれる反競争的な行為について訴えられる可能性もあります」。

フィットビットユーザーの上院議員がインタビューの結びに付け加えたのは、彼女は決してアンチテクノロジー派ではない、ということだった。「イノベーションってすばらしいと思うんです。私もいつも利用しています。まあ、オンライン注文で愉快な体験をしたこともありますよ。今、家には900グラムのメープルヨーグルトが6個もあるんです。冷蔵庫に入れていた小さいパッケージのものと勘違いして、買ってしまいました。 イノベーションはすばらしいものだとは思いますが、競争を許容しても同じようにすばらしいと思います。むしろ、さらに良くなりますよ」。

関連記事:あなたのプライバシーを守ってくれるウェブブラウザー拡張機能6選

カテゴリー:セキュリティ
タグ:プライバシー アマゾン フィットネス

[原文へ]

(翻訳:Dragonfly)

あなたのプライバシーを守ってくれるウェブブラウザー拡張機能6選

インターネットはプライベートな場所ではない。広告は一番高く買ってくれる客にあなたの情報を売るために、できるだけ多くのユーザー情報を集めようとする。メールはいつあなたがそれを開封し、どのリンクをクリックしたかを知っている。そして、インターネット最大の詮索好き、つまりFacebook(フェイスブック)やAmazon(アマゾン)は、あなたがウェブで閲覧するサイトからサイトへと追いかけ続ける。

しかし、そうさせない方法はある。TechCrunchは、見えない広告やトラッキングのほとんどをブロックしてユーザーのオンラインプライバシーを向上させるウェブブラウザー拡張機能6種類をテストした。

これらの拡張機能は、すべての詮索行為をブロックするわけではないが、あなたのインターネットでの動きを追跡しようとする仕かけへの露出を劇的に減らしてくれる。広告主がターゲット広告を打つためにユーザーの好みや関心を知ろうとデータ収集することを、あなたはあまり気にしていないかもしれない。しかし、あなたが調べた病気の情報や個人的な購入の内容を広告の巨人たち(未訳記事)が見ているとしたら少し心配になるかもしれない。

隠された広告トラッカーが読み込まれるのをブロックすることで、ウェブサイトはあなたの情報を収集しにくくなる。必要のないデータを捨てることで、ウェブサイトの読み込みが早くなることもある。ただしウェブサイトによっては、追跡を許可しないと画面が正しく表示されなかったりサイトにアクセスできななくなるという代償もある。拡張機能は必要に応じてオンオフを切り替えることができる。あるいは、そもそもそのウェブサイトに価値があるかどうか、自分の探しているものはほかにないのかを考え直すこともできる。

HTTPS Everywhere

私たちは、ウェブサイトとHTTPS暗号化で繫がっていることを示すブラウザーの小さな南京錠アイコンを確認することに、すっかり慣れてしまった。これは開いたウェブサイトがアタッカーに乗っ取られたり改変されたりしていないこと、送信したデータがそのウェブサイト以外の誰にも見られないことを意味している。HTTPS Everywhere(HTTPSエブリウェア)は、非営利インターネット団体のElectronic Frontier Foundataion(EFF、電子フロンティア財団)が作ったブラウザー拡張機能で、HTTPSが提供されているウェブサイトでは自動的にそれを使って読み込み、HTTPSに対応していない少数派のウェブサイトをブロックすることができる。この拡張機能はChrome、Firefox、Edge、Operaなどほとんどのブラウザーで利用できる。

Privacy Badger

これもEFFが作った拡張機能のPrivacy Badger(プライバシー・バジャー)は、ウェブサイト上の見えないサードパーティー製トラッカーをブロックする有数のオールインワン拡張機能だ。この拡張機能はウェブページの要素をすべて調べ、ウェブサイトを横断してあなたを追跡するものを見つけて、ブラウザーが読み込むのを防ぐ。Privacy Badgerはユーザーがウェブを閲覧するにつれて学習するため、使うほど賢くなる。しかも設定は簡単で、インストールするだけだ。この拡張機能はほとんどの主要ブラウザー向けに提供されている。

uBlock Origin

インターネットを無料で使えるのは広告のおかげだが、ときとしてそのためにあなたの個人情報が犠牲になっている。広告はユーザーのことをできるだけ多く学習し(そのために閲覧行動を監視し、ウェブを横断して追跡する)、あなたがクリックする可能性の高い広告を表示するためのターゲティンクができるようにする。広告ブロッカーは、広告の読み込みを防ぐことで追跡を止めさせるとともに、追いかけてくるトラッキングコードもブロックする。

uBlock Origin(ユーブロック・オリジン)は軽量でシンプルながら効果的で多くの人々が使う信頼ある広告ブロッカーだ。上級ユーザー向けに山ほどの詳細な機能を備えカスタマイズもできる(なりすまし商品に注意。似たような名前で信用のおけない広告ブロッカーがたくさんある)。そして、もしあなたが広告収入を当てにしているサイト(本誌もそうだ!)を不快に感じるなら、そのサイトを有料購読することを考えることだ。つまるところ、広告トラッキングに依存して金を稼いでいる無料ウェブこそが、我々をプライバシーの悪夢に陥れている張本人なのだから。

uBlock OriginはChromeFirefoxおよびEdgeで動作するほか、オープンソースで公開されているので、どんな仕組みで動いているかを誰でも見ることができる。

PixelBlockおよびClearURLs

もしあなたが、ウェブサイトの隠されたトラッカーを悪だと思うなら、まずあなたのメールに何が潜んでいるかを知るべきだ。有名ブランドから送られてくるメールのほとんどには、ごく小さな、ときには見えないピクセルが潜んでいて、メールを開くと送り主に通知が送られる。PixelBlock(ピクセルブロック)はChromeブラウザー用の単純な拡張機能で、隠されたメール開封トラッカーが読み込まれて動作するのを防ぐ。トラッカーを見つけるたびに、小さな赤い目を受信箱に表示して知らせる。

その類いのメールのほとんどには、あなたがどのリンクをクリックしたかを送り主に知らせるトラッキングリンクも付いてくる。ClearURLs(クリアーURLズ)はChromeFirefoxおよびEdgeで利用できる拡張機能で、ブラウザーや受信箱の中のトラッキングリンクを静かに抹消する。そのためにClearURLsは、この種のどの拡張機能よりもブラウザーのデータをアクセスする必要があるが、メーカーはドキュメントでその理由を説明している。

Firefox Multi-Account Containers

Firefoxユーザー向けの特別賞は、ユーザーのブラウジング行動を分離できるMulti-Account Containers(マルチアカウント・コンテナ)に贈る。ブラウザーメーカー自身の作った拡張機能だ。たとえば1つのコンテナには仕事用のタブを、別のコンテナには個人用のタブを入れておくことで、複数のブラウザーを使う必要がなくなる。コンテナを使えばプライベートな閲覧を仕事の閲覧と区別できる。これは、FacebookやGoogleを1つのコンテナに入れておくことで、あなたが訪問したウェブサイトから好みや興味を推測することをずっと難しくすることができる、という意味でもある。コンテナの使い方は簡単でカスタマイズもできる。

カテゴリー:ネットサービス
タグ:ウェブブラウザープライバシー

画像クレジット:Warmworld/others / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook

プライバシーが新たな競争の戦場に

著者紹介:アレックス・アンドレードワルツ氏は、自己主権型アイデンティティーのマーケットリーダーであるEvernym(エバーニム)のマーケティングディレクターだ。

ーーー

11月にカリフォルニア州で、ビジネスのデータ収集に新たな規制を課す投票法案である住民投票事項24が可決された。CPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)の一環として、個人は自分の個人情報の共有と販売に関するオプトアウトの権利を有することになり、企業は「道理にかなった」範囲でデータ収集を最小限に抑え、ユーザーのプライバシーを保護しなければならない。

カリフォルニア州に本社があるApple(アップル)、Facebook(フェイスブック)、Uber(ウーバー)、Google(グーグル)などの企業にとって、この新たな要件は既存のデータ収集能力に対する制限のように見えるかもしれない。

しかし、さらに詳しく見ると、話は違ってくる。この新たな法規の要求を満たすだけでなく、それを上回る範囲のプライバシー保護を提供する企業には、データプライバシーを消費者の管理下に置く新たなテクノロジーによって、自社を競合他社から差別化し、最終的な収益を押し上げるチャンスがある。

たとえば、世界で最も企業価値の高いテック企業、アップルについて考えてみよう。アップルの最大の競合相手であるグーグルとフェイスブックがユーザーのデータを不正に利用しているとして非難されていたときに、CEOのTim Cook(ティム・クック)氏は、プライバシーを競争上の強みに変える機会を見て取った。

このテックジャイアントは、プライバシーを最大限に保護するための一連の新機能を公開した。これには「アップルでサインイン」という新しい機能が含まれており、この機能を使うと、ユーザーは個人情報をアプリの開発元と共有することなく安全にアプリにログインできる。さらに最近、アップルはプライバシーに関する情報を掲載したページを更新し、主力のアプリがプライバシーを念頭に置いてどのように設計されているかを紹介している。

このプライバシー強化戦略は、アップルのマーケティングキャンペーンでも中心的な位置を占めた。「プライバシーの問題」を世界中で、テレビのゴールデンタイムのスポット広告や1万以上の広告板の主要メッセージにしたのだ。

そしてもちろんアップルは、データに飢えた競合他社を牽制するチャンスを逃さなかった。

「実際のところ、顧客を製品のように扱い、顧客データをお金に変えることができるとしたら、アップルは莫大な利益を上げることができるでしょう。しかし、アップルはそうしないことに決めました」とMSNBCのインタビューでクック氏は述べた。

プライバシーを重視したアップルの戦略は、新たなCPRAの法規に準拠するアップルの立場を強化するのに役立つだけではない。これは、顧客データを利用して利益を得てきた業界への強力なメッセージであると同時に、個人データの尊重について消費者に強く注意喚起するメッセージになる。

プライバシーに対する要求が強まる

消費者の増大する懸念への対応を迫られるなか、消費者のデータプライバシーを重視する傾向が生まれている。近年、そうした懸念は絶えずニュースの見出しになってきた。Cambridge Analytica(ケンブリッジ・アナリティカ)のデータプライバシースキャンダルや、Equifax(エクイファクス)などの企業における大規模な情報漏えいといった、人々の注目を集めたニュース記事のために、消費者は誰を信頼できるのか、どうすれば自分自身を守れるのか、考えさせられてきた。調査によると、この点で消費者が企業や政府にもっと多くを求めていることは疑う余地がない。

  • 企業を信頼できると感じている消費者はわずか52パーセント、自国の政府を信頼できると感じている人々は世界のわずか41パーセントである(Edelman(エデルマン))。
  • 消費者の85パーセントは、企業はより多くの対策を取ってデータを積極的に保護すべきだと考えている(IBM)。
  • 消費者の61パーセントは、過去2年の間に個人データが侵害される恐れが強まったと述べている(Salesforce(セールスフォース))。

こうした信頼の欠如によって世界経済にどのような影響があるかを述べることは困難だが、#DeleteFacebook(フェイスブックを削除)の動きや、信頼してデータを任せられない企業からは商品を買わないと言う消費者が75パーセントもいるという驚くべき数字など、大規模な排斥運動がすでにいくつか見られる。

ビッグテック企業に限ったことではない。ロイヤルティプログラムから在庫計画、スマートシティ、選挙広告に至るまで、データを使用してプロセスを最適化したり、行動の変化を促進したりすることへの需要、そしてその効果は、非常に大きい。

今後10年も、データが大いに重視されることだろう。しかし、ビッグデータをめぐるこの激しい競争の代価に私たちは気づき始めている。消費者は民間企業に対しても行政機関に対しても信頼を失っている、ということだ。

プライバシーを重視したアップルの戦略といった民間企業の取り組みや、CPRAなどの公共政策の法律は、消費者の信頼を取り戻すだけでなく、プライバシー保護以外の益をもたらす可能性がある。自己主権型アイデンティティーなどの新たなテクノロジーのおかげで、企業はデータプライバシーポリシーを変革する一方、コストの節約や不正行為の削減を実現し、カスタマーエクスペリエンスを向上させることができる。

SSIの価値

自己主権型アイデンティティー(SSI)では分散型台帳技術と非常に進んだ暗号技術を利用しており、企業はプライバシーを危険にさらすことなく顧客の身元を証明できる。

簡単に説明すると、消費者はSSIによって自分の個人情報に対する制御を強化できる。消費者は、デジタル処理によって個人情報を検証可能な資格情報の形で保管および管理することが可能だ。その情報は、決して改変や粉飾、外部操作されない方法で、信頼できる機関(政府や銀行、大学など)によって発行および署名される。消費者はその後、身元を証明する手段として、必要に応じていつでも、どこでも、誰とでもこの情報を共有できる。

デジタル記録をオンラインで共有することは何も新しいことではないが、SSIは2つの根本的な点で非常に画期的である。

  1. 組織は、必要なデータを収集する際に、不要なデータまで取得してしまうことがない。運転免許証や保険証など、財布に入れて持ち運ぶ物理的な資格情報とは異なり、検証可能なデジタル資格情報は、個々の属性に分割し、各属性を別々に共有できる。

わかりやすい例として、バーに入って、法定年齢に達していることを証明するために運転免許証を見せることが挙げられる。免許証には必要なデータが記載されているが、名前や住所など、提示する必要のない情報も含まれている。検証可能なデジタル資格情報を使うと、不要な情報は一切開示することなく、年齢を証明する情報を共有できる。

より高い機密性が求められる場合、自己主権型アイデンティティーでは、暗号技術を使って、実際のデータを明らかにすることなく自分自身に関する何かの情報を証明することもできる。先ほどの例の場合、生年月日を明らかにすることなく、法定年齢に達しているかどうかについて、「はい・いいえ」の答えを示すことができる。

最小限のデータを開示することは、個人にとってはプライバシー保護の強化、企業にとっては過剰な個人情報の保管および保護よって生じる、膨大な負担を回避できることをそれぞれ意味する。

2. データの相互関連付けが非常に困難である。プライバシーは虚構であり、データはすべて、相互に関連付けることが可能である、と言う人がいるが、自己主権型アイデンティティーでは、ほかのデジタルIDソリューションに関連した主要な懸念事項の多くから保護される。

たとえば、シングルサインオンなど、ある程度のデータ可搬性を提供してくれるほかのツールを見ると、私たちのオンラインでの操作を仲介サービスが追跡できるという懸念が常にある。フェイスブックの広告はこれに関係しており、私たちを不安にさせる。フェイスブックは、私たちがフェイスブックの資格情報を使ってサインインしたあらゆるサイトやアプリを把握しているのである。

SSIでは、仲介サービスや、中央の登録台帳は不要である。検証者(本人確認を要求する者)は、暗号技術を使って真正性を検証できる。つまり、検証者は、資格情報の元の発行者に連絡する必要はなく、資格情報の発行者は、資格情報がいつ、どこで、誰に共有されたかを知るすべはない。相互に関連付けが可能な署名は共有されず、デジタルIDは完全にユーザーの制御下にあり、ユーザーだけが見ることができる。

その結果、消費者はプライバシーとセキュリティーの強化の恩恵を受け、企業には以下の利点がある。

  • アカウント作成時により効果的かつ正確にデータを検証し、不正行為を削減できる。
  • サインアッププロセスを大幅にスピードアップし、摩擦を低減できる。
  • 時間を節約し、KYC準拠(大手銀行の場合は通常、毎年5億ドル(約520億円)以上のコストがかかる)を合理化することによって、コストを削減できる。
  • 他社データ検証時の相互のやり取りを減らし、効率を向上させることができる。
  • データを収集せずに、カスタマーエクスペリエンスをカスタマイズしてオムニチャネル化し、その品質を向上させることができる。

これはサイエンスフィクションではない。すでにいくつかの主要な政府、企業、NGOが自己主権型のソリューションを立ち上げている。これには、UNIFY(ユニファイ)、Desert Financial(デザート・ファイナンシャル)、TruWest(トゥルーウェスト)などの金融機関Providence Health(プロビデンス・ヘルス)やNHS(National Health Service:国民医療サービス)などの医療機関、LGなどの通信業界や国際航空運送協会などの旅行業界の大手企業や組織が含まれている。

このテクノロジーがどれだけ早く普及するかははっきりしないが、プライバシーが次の競争の戦場として急速に浮上していることは明らかである。CPRAなどの新しく可決された法規によって、企業が準拠する必要のある基準が成文化されている。しかし、企業自体が長期的に変化していくには、消費者からの要求が必要なのである。

時代を先取りする企業には、大幅なコスト節約と成長が見込めるだろう。何と言っても、消費者のロイヤルティは、プライバシーを尊重して保護する企業に向かい始めているのだ。この点で出遅れている企業にとって、自分のデータを取り戻すことに対する消費者の要求は大きな警鐘となるだろう。

関連記事:プライバシープラットフォームのOneTrustが約5280億円のバリュエーションで310億円調達

カテゴリー:セキュリティ
タグ:プライバシー コラム

[原文へ]

(翻訳:Dragonfly)

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始

暗号資産(仮想通貨)・ブロックチェーン技術に関連する国内外のニュースから、過去1週間分について重要かつこれはという話題をピックアップしていく。今回は2020年12月20日~12月26日の情報から。

ジェーシービー(JCB)LayerXは12月22日、複数企業間をつなぐ次世代「BtoB取引履歴インフラ」に関する共同研究の開始を発表した。共同研究において両社は、プライバシーに配慮した利用者主体の商流情報の流通を実現し、それらを活用した高度なサービスを可能にする新たなデジタルサプライチェーン構築を目指す。

近年、中央銀行デジタル通貨(CBDC。Central Bank Digital Currency)をはじめデジタル通貨による決済プラットフォーム構築に向けた動きが活発化している。これらデジタル通貨に関する試みおよびメリットのひとつに、「様々な機能・ロジックを付加できるお金」という側面があり、こうした新形態のお金は「プログラマブルマネー」と呼ばれている。契約・請求・支払いなど一連のオペレーションのデジタル化・効率化、さらには自動執行が期待される。

これを受け共同研究では、JCBの強みを生かし、地域金融機関、BtoB決済に関わるソリューションプロバイダーなどとの協業も視野に入れ、BtoB取引履歴インフラの新モデルを検討していく。次世代インフラは、オペレーションの効率化に留まらず、業種・業界を超えたサプライチェーンプラットフォームならではの、商流情報を活用した高度なサービスの実現を目指すという。

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始

また、異なる業種・業界間における取引情報の共有においては、ブロックチェーン技術を用い取引情報を記録することで改ざん困難かつ確かなデータ流通が可能になるものの、両社はこれだけでは不十分という。社会実装においては、データ保護・プライバシーの観点から、情報主体(利用者)それぞれが「金融機関など業務上必要のある事業者には開示する」「不必要な事業者には開示しない」など取引情報の閲覧権限を柔軟に設定できるデータコントロールの仕組みが、情報提供者に対して求められる。

さらに与信情報の照会・確認などでは、データを秘匿したままデータ演算を行うといった高度なプライバシー技術を必要とする。

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始今回の共同研究では、TEE(Trusted Execution Environment)を応用しLayerXが開発したソリューション「Anonify」(アノニファイ)とブロックチェーンを組み合わせ、取引情報の秘匿性・信頼性を担保し、利用者による開示情報の取捨選択を実現する。

TEEは、PCやスマートフォンが搭載するプロセッサーのセキュリティ機能にあたり、アプリケーションを安全な実行環境で動作させるための技術。ユーザーであってもアクセス不可能なデータ領域を端末に構築し、アクセス制限をハードウェアレベルで保証する。これにより同環境下では、クラッキングやマルウェアによる攻撃などの脅威を防ぐことができる。

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始Anonifyは、TEEを活用した、ブロックチェーンのプライバシー保護技術。ブロックチェーン外のTEEで取引情報の暗号化や復号を行い、ビジネスロジックを実行することで、ブロックチェーンの性質を活かしながらプライバシーを保護する。複数の企業や組織が共同で利用する共通基盤において、秘匿性と監査性を両立させたアプリケーションを構築可能という。詳細は、ホワイトペーパーAnonify Book(JP)ソースコードをはじめ、LayerXサイトのAnonifyに関するページを確認してほしい。

LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始LayerXとJCBが複数企業間をつなぐ次世代BtoB取引履歴インフラの共同研究開始JCBは、デジタルによる取引が増えていく社会の中で、デジタル取引・送金の履歴を蓄積し、必要に応じて取り出して参照できるインフラの必要性が高まると考え、同共同研究に挑む。両社はBtoB決済におけるトランザクションの記録・活用に加えて、デジタル通貨を用いた国内外送金などの金融取引に関するマネーローンダリング(資金洗浄)防止(AML。Anti-Money Laundering)およびテロ資金供与対策(CFT。Counter Financing of Terrorism)強化に向けたトランザクション識別と追跡性担保を可能にするといった、今後は必要不可欠となるインフラへの応用も視野に入れて、研究開発に取り組んでいく。

関連記事
石川県加賀市がxIDおよびLayerXと連携、ブロックチェーンとデジタルID活用の電子投票システム構築へ
外国為替レート期間保証付きモバイルウォレットJCB Mobile Wallet(仮称)の実証実験を開始
Shopifyが実店舗とネットショップを統合する独自POSを提供開始、JCB・PayPay決済、BASEからの移行ツールも発表
LayerXが行政機関・中央銀行などと共同研究を手がけるLayerX Labs開設、デジタル通貨・スマートシティなど注力
ブロックチェーン技術活用で業務プロセスのDX化を目指すLayerXが30億円を調達
コカ・コーラ系自販機がNFC Type A/Bに対応、VISAやMastercardでキャッシュレス決済

カテゴリー:フィンテック
タグ:Anonifyオープンソース / Open Source(用語)JCBテロ資金供与対策 / CFTプライバシー(用語)ブロックチェーン(用語)マネーロンダリング防止 / AMLLayerX(企業)日本(国・地域)

プライバシープラットフォームのOneTrustが約5280億円のバリュエーションで310億円調達

プライバシープラットフォームのスタートアップOneTrust(ワントラスト)は、AirWatch(2014年にVMWareに約1553億円で買収された)を展開していたチームが4年前に立ち上げた。OneTrustは米国時間12月21日、51億ドル(約5280億円)という巨額のバリュエーションで3億ドル(約310億円)のシリーズCラウンドを発表した。

同社はかなりの短期間で、投資家から相当な関心を集めた。2019年7月に同社は13億ドル(約1346億円)のバリュエーションで2億ドル(約207億円)のシリーズAを実施し、型破り的に登場した。この数字はシリーズAにしては一般的というものではなく、典型的なスタートアップの例でもなかった。シリーズBも同様で、2020年2月に27億ドル(約2795億円)のバリュエーションで2億1000万ドル(約217億円)を調達した。

そうした経緯を踏まえた今回のシリーズCだ。バリュエーションはまたも倍になり、わずか18カ月でしかもパンデミックを含む期間に7億1000万ドル(約735億円)を調達した。シリーズCはTCVがリードし、既存投資家からInsight PartnersとCoatueが参加した。

こうした資金を集めるために、OneTrustは何をしているのか。GDPRやCCPA、その他同様のプライバシー法がすでに米国や世界中で施行されている時代にあって、企業は事業を展開する地の法律を遵守していることを確かなものにする必要がある。そこでOneTrustの登場だ。

「当社は企業が信用されるよう、またプライバシーや信用、リスクに関するあらゆる法律を遵守していることを確かなものにするのをサポートしています」とOneTrustの会長であるAlan Dabbiere(アラン・ダブビア)氏は筆者に語った。

ここには同社がすでに構築したり買収したりした一連のプロダクトが含まれ、プライバシー管理やディスカバリー、サードパーティリスク評価、リスク管理、倫理・コンプライアンス・同意の管理などを含む、顧客のあらゆるプライバシー要件をカバーするプライバシープラットフォームを提供するために同社はすばやく動いてきた。

OneTrustはすでにプラットフォームに7500もの顧客を引きつけた。そして四半期あたり1000の顧客を増やしている。ダブビア氏は、顧客がプロセスの構築や買収に多くの軋轢を加えることなく法律を遵守できるようにサポートしている、と話す。「目標は、プロセスのスピードを緩めるのではなく、スピードアップすることです。プライバシーバイデザインと呼ばれる新たな哲学があります」と同氏は述べた。つまり、プロダクトにプライバシーの透明性を盛り込む一方で、あらゆる法律や当局が求める要件に従っていることを確かなものにすることを意味する。

OneTrustは、プラットフォームを構成するものの、買収に資金を使うことを公言してきた。創業以来、わずか4年の間にすでに5件の買収を行った。従業員数は1500人で、2021年には約900人を加える計画だ。

こうした労働力を構築する際、アトランタのようなかなり人種が多様な都市に拠点を置くことが、従業員の多様性を構築する上で助けとなったとダブビア氏は話した。「アトランタのようなエリアでベストな従業員を見つけて事業を展開することで、当社は自然と多様性のある企業になっていました。私たちは多様性をかなり気にかけています」と同氏は述べた。CEOのKabir Barday(カビール・バーデイ)氏も、アトランタのコミュニティや米国中で起こったBlack Lives Matter運動への対応策として今夏、ダイバーシティ・平等・インクルージョンの評議会を社内に立ち上げた。

パンデミックが襲う前、OneTrustは展示会にかなり頼っていた。実際、同社は年間700もの展示会に参加していた、とダブビア氏は話す。パンデミックになって展示会がなくなり、OneTrustは当初、売上高ガイダンスを下方修正した。しかし顧客とともにデジタルチャンネルに移行するにつれ、売上高は予想に反して落ち込まなかった。

OneTrustにはこれまでの投資ラウンドで得た資金がまだ残っているが、さらに調達する理由がある、と同氏は話す。「資金を調達する最大の理由は、当社の持ち合わせ額でした。従業員、買収、そして成長に向けた次なるステップのために持ち合わせ額を再評価する必要がありました」と同氏は述べた。

カテゴリー:ネットサービス
タグ:OneTrustプライバシー資金調達

画像クレジット:ANDREI NIKOLAEV / Getty Images

原文へ

(翻訳:Mizoguchi

オンデバイスAIでプライバシー保護とパーソナライズを両立させる検索エンジン「Xayn」

TechCrunchの読者もご存知のように、現在のWebにはプライバシーと利便性のトリッキーなトレードオフがある。この「非常に私的な情報(プライバシー)の盗難」をうまく成功させるために登場したのが、オンライン追跡だ。インターネットユーザーが見ているものを大規模に監視することが、Google(グーグル)の圧倒的な検索エンジンとFacebook(フェイスブック)のソーシャル帝国を支えている。この2社は、広告から資金提供を受ける最も知名度の高いビジネスモデルだ。

TechCrunchの親会社であるVerizon(ベライゾン)もまた、モバイルデバイスやこのようなメディア資産など、さまざまなエンドポイントからデータを収集して、独自の広告ターゲティング事業を強化している。

他にも数え切れないほどの企業が、知覚価値を抽出するためにユーザーデータを取得している。これらの企業の中に、どのような種類の個人情報をどの程度集めているのか、あるいは実際にそれを使って何をしているのかを完全に開示している企業はほとんどない。しかし、Webはこんなことのために存在しているのではない、としたらどうだろう。

ベルリンを拠点とするXayn(ゼイン)はこのダイナミクスを変えたいと考え、パーソナライズとプライバシー保護を両立させるWeb検索を、まずスマートフォンで始めることにした。

本日同社は、(AndroidおよびiOS向けの)検索エンジンアプリをローンチする。このアプリでは、検索結果のパーソナライズによる利便性は確保されるが、通常のショルダーサーフィンは行われない。これが可能なのは、アプリが、ローカルで学習するオンデバイスAIモデルを搭載しているからだ。データがアップロードされることは決してない(ただしトレーニングされたAIモデル自体がアップロードされることはある)。

このアプリを開発したのは、博士号を持つメンバーが30%を占め、核となるプライバシーと利便性の問題に約6年前から取り組んでいるチームだ(同社は2017年に設立されたばかり)。当初は学術研究プロジェクトとしてスタートし、XayNetと呼ばれる、マスクされたフェデレーションラーニングのためのオープンソースフレームワークを提供するようになった。Xaynアプリは、このフレームワークをベースにしている。

同社はこれまでに、アーリーステージで950万ユーロ(約12億円)の資金を調達している。出資元は、ヨーロッパのVC企業Earlybird(アーリーバード)、Dominik Schiener(ドミニク・シーナー)氏(Iota(アイオータ)の共同創業者)、スウェーデンの認証および決済サービス会社Thales AB(タレスAB)だ。

同社は現在、XayNetテクノロジーをユーザー向け検索アプリに適用することによりXayNetを商品化しようとしている。CEOかつ共同創業者のLeif-Nissen Lundbæk(レイフニッセン・ルンドベーク)博士によると、無料・有料のユーザーを対象とするユビキタスなビデオ会議ツールである「Zoom」のようなビジネスモデルを目指しているとのことだ。

つまり、Xaynの検索エンジンは広告に頼らない。検索結果に広告が表示されないのだ。

その意図は、この消費者向けアプリを、広告を表示するためではなく、同じコアAIテクノロジーを搭載するB2B製品向けのショーケースとして機能させることにある。商用データのプライバシーを損なうことなく、企業・社内検索を高速化することが、企業・公共部門の顧客へのアピールポイントだ。

ルンドベーク氏は、企業は自社のデータに(安全に)適用するための優れた検索ツールを切実に必要としていると主張し、一般的な検索に掛かるコストは、世界的に見ると作業時間のおよそ18%になることが調査からわかったと述べている。同氏はまた、職員が勤務時間の37%を文書やその他のデジタルコンテンツの検索に費やしているとする調査にも言及した。

ルンドベーク氏はまた、「これはGoogleが試みたが成功しなかったビジネスモデルだ」と主張し、「当社は、普通の人々が抱えている問題だけでなく、企業が抱えている問題も解決する。人々や企業にとって、プライバシーはあると嬉しいオプションのようなものではなく、必須事項だ。プライバシーが確保されていなければ、なにも使うことできない」と付け加えた。

消費者側では、アプリ向けにいくつかの有料アドオンも提供されるため、フリーミアムのダウンロード版で提供される予定だ。

スワイプしてアルゴリズムを微調整

注目すべき重要な点は、Xaynが新たにローンチしたウェブ検索アプリでは、閲覧しているコンテンツが自分にとって有用かどうかをユーザーが自分で決められることだ。

これは、ユーザーがパーソナライゼーションアルゴリズムを適切に調整できる、Tinder(ティンダー)スタイルの右スワイプ(または左スワイプ)の仕組みによって実装されている。ホーム画面にニュースコンテンツ(国別にローカライズされる)を表示することはもちろんのこと、検索結果ページも表示できる。

もう1つの注目すべき機能は、ニュースにフォーカスしたホーム画面だ。将来的に、有料ユーザーはホーム画面にさまざまなフィードを表示させることができるようになるかもしれない。

このアプリのもう1つの重要な機能は、検索結果のパーソナライズのオン・オフを完全に切り替えられることだ。右上にある脳の形のアイコンをタップするだけでAIをオフ(またはオン)に切り替えることができる。AIをオフにしていると、検索結果はスワイプできない。ただし検索結果のブックマーク・共有は可能だ。

他にも、このアプリはデフォルト設定で過去7日間の検索結果を一覧表示する履歴ページを備えている。設定を変えれば、「今日」の検索結果、「過去30日間」の検索結果、「すべての履歴」も表示でき、「ごみ箱」ボタンで検索結果を削除することもできる。

また、ブックマーク用のフォルダを作成してアクセスできる「コレクション」機能もある。

検索結果をスクロールしながら、右にスワイプしてブックマークアイコンを選択すると、追加先を選択するプロンプトが表示され、コレクションにアイテムを追加できる。

スワイプ式のインターフェイスは親しみやすく直感的だが、TechCrunchがローンチに先駆けて調査したTestFlightベータ版では、コンテンツの読み込みにわずかな遅れがあった。

コンテンツを左にスワイプすると、警告の 「x」 が付いた明るいピンクのカラーブロックが開く。続けるとスワイプする項目が消える。おそらく今後はそのような項目を目にする機会が少なくなるだろう。

一方、右にスワイプするとコンテンツが有用だと認めたことになる。つまり、そのコンテンツはフィードに残り、Xaynグリーンでアウトライン表示される(右にスワイプすると、ブックマークオプションと共有ボタンも表示される)。

米国のDuckDuckGo(ダックダックゴー)やフランスのQwant(クワント)など、プライバシー重視・非トラッキングの検索エンジンは既に市場に出回っているが、そのようなライバル企業の検索エンジンは、検索結果の関連性と検索にかかる時間という点で、Googleのようなトラッキング検索エンジンで得られるユーザー体験には遠く及ばない傾向にある、とXaynは主張する。

簡単に言うと、求めている具体的な結果を「DuckDuckGo検索」や「Qwant検索」 で得るには、おそらくGoogle検索より多くの時間がかかる、つまり、Web検索時のプライバシー保護に関連する便益コストが発生するということだ。

Xaynの主張によると、「仮想的な隠れみの」を被ったまま(身元を隠したまま)オンライン検索をする第三のスマートな方法がある。この方法では、デバイス上で学習し、プライバシーを保護しながら組み合わせることができるAIモデルを実装する。そうすることで、人々のデータを危険にさらすことなく、結果をパーソナライズできる。

ルンドベーク氏はXaynチームが取り組んでいる、AIを利用した分散型・エッジコンピューティングのアプローチについてこう説明する。 「最も重視するのはプライバシーだ。つまり他のプライバシー対策と同様に、当社は何も追跡せず、何もサーバーに送信しない。もちろん何も保存しないし、何があっても追跡はしない。また、これは言うまでもないが、検索時の接続はどんな場合も基本的に安全性が確保されており、トラッキングを一切許可しない設計になっている」。

オンデバイスでの再ランキング

ルンドベーク氏によると、Xaynは、Microsoft(マイクロソフト)のBing(ビング)を含む(ただしこれに限定されない)数々の検索インデックスソースを利用しており、(独自のウェブクロールボットを持つ)DuckDuckGo(DDG)に「比較的似ている」という。

大きな違いは、Xaynではプライバシーに配慮したパーソナライズされた検索結果を生成するために、独自の再ランキングアルゴリズムも適用していることだ。一方、DDGはコンテクスト広告ベースのビジネスモデルを採用している。このモデルでは、位置情報や検索キーワードなどの単純なシグナルを見て広告のターゲティングを行うため、ユーザーをプロファイリングする必要がない。

ルンドベーク氏によると、この種のアプローチの欠点は、広告がユーザーに押し寄せる可能性があることだ。ターゲティングをよりシンプルにした結果、企業はクリックの機会を増やそうと、より多くの広告を提供する。また、検索結果に大量の広告が表示されたからといって、優れた検索体験を得られないことは明らかだ。

「Xaynではデバイスレベルで多くの結果を得ることができるが、アドホックなインデックス作成も行っており、デバイスレベルとインデックスレベルで検索機能を構築している。このアドホックなインデックスを使用すると、検索アルゴリズムを適用して結果をフィルタリングし、関連性の高いものだけを表示し、それ以外はすべて除外できる。また、基本的に機能は少し落ちます。しかし、当社は最新の機能を常に探究し続けようと努めています。Xaynの検索結果は関連性が著しく高いものではないかもしれません。しかし、ユーザーがフィルターバブルにとらわれて何も見えない状態に陥ることを防止します」。

Xaynは、フェデレーションラーニング(FL)の分野にも取り組んでいる。Googleも近年、FLに取り組んでおり、サードパーティーのトラッキングクッキーを置き換えるための「プライバシー保護」提案を推進している。しかし、Googleがデータ事業に高い関心を示しており、たとえ検索にFLを適用したとしても、Google自体がユーザーデータパイプへのアクセスを単純に遮断するわけではない、とXaynは主張する。

一方、ドイツを拠点とするプライバシー重視の小規模なスタートアップとしてのXaynの関心はまったく異なるところにある。同社が長年にわたって構築してきたプライバシー保護テクノロジーErgoは、人々のデータの保護に重きを置いている、というのがXaynの主張である。

「Googleでは、実際にフェデレーションラーニングに取り組んでいる人の数が当社のチームよりも少ない」とルンドベーク氏は言う。そして「当社はTFF(Googleが設計したTensorFlow Federated)をさんざん批判してきた。TFFはフェデレーションラーニングだが、実際にはまったく暗号化されていない。しかもGoogleのTFFには多くのバックドアがある」と付け加えた。

ルンドベーク氏はさらに次のように説明する。「ユーザーは、GoogleがTFFで実際に何をしたいのかを理解する必要がある。Googleは、トラッキングクッキー、特にユーザーに同意を求めるというような煩わしい処理を置き換えたいと考えている。もちろんGoogleがユーザーのデータを求めていることに変わりはない。Googleは、ユーザーにこれ以上プライバシーを与えたくないのである。そして最終的にはユーザーのデータをもっと簡単に手に入れたいと考えている。純粋なフェデレーションラーニングでは、実際にプライバシーを保護するソリューションを構築することはできない」 。

「プライバシーを保護するには、やるべきことが多くある。純粋なTFFは、確かにプライバシーを保護するものではない。そのためGoogleは、基本的にユーザー体験に関するあらゆることに、例えばCookieなどのテクノロジーを使うことになる。しかし、もしGoogleがCookieを検索に直接使うとしたら、私は非常に驚くだろう。たとえそうなっても、Googleのシステムには多くのバックドアがあるため、実際にはTFFを使用して非常に簡単にデータを取得できる。そのため、TFFはGoogleにとって都合のいい回避策なのである」。

「データは基本的に、Googleの基盤となるビジネスモデルである。Googleが何をするにしても、もちろん正しい方向への良い一歩だと私は確信している。Googleは、度が過ぎない程度に行動するという、非常に賢明な動き方をしていると思う」。

ところで、Xaynの再ランキングアルゴリズムはどのように機能するのだろうか。

アプリはデバイスごとに4つのAIモデルを実行し、それぞれのデバイスの暗号化されたAIモデルを、準同型暗号を使用して非同期に集合モデルに結合する。2番目のステップでは、この集合モデルを個々のデバイスにフィードバックして、提供されたコンテンツをパーソナライズするようだ。

デバイス上で実行される4つのAIモデルはそれぞれ、自然言語処理、関心のグループ化、ドメイン設定の分析、コンテキストの計算を実行する。

「ナレッジは維持管理されるが、データは基本的にデバイスレベルで保持される」と、ルンドベーク氏は説明する。

「スマートフォン上で多種多様なAIモデルをトレーニングすることにより、例えば、このナレッジの一部を組み合わせるかどうか、ナレッジをデバイス上にも維持するかどうか、といった点をを決められるようになる」。

ルンドベーク氏は、「Xaynは4つの異なるAIモデルが連携して動作する非常に複雑なソリューションを開発た」と述べ、このAIモデルでは、各ユーザーの「興味の中心と嫌悪の中心」を、これもまた彼が言うところの「非常に効率的でなければならない」スワイプに基づいて設定できること、そしてAIモデルは基本的に長い時間をかけて、ユーザーの興味に基づいて機能すべきものであることに言及した。

ユーザーがXaynを使えば使うほど、デバイス上での学習の結果、パーソナライゼーションエンジンの精度が増す。さらに、スワイプして好き・嫌いのフィードバックを与えることで、積極的に関与できるユーザーの層が厚くなる。

Xaynのパーソナライゼーションは個人に高度に特化しており、ルンドベーク氏はこれを「ハイパーパーソナライゼーション」と呼んでいる。XaynのパーソナライゼーションはGoogleのような追跡検索エンジンよりも高度である。ルンドベーク氏によると、Googleはユーザー間のパターンを比較し、どの結果を提供するかを判断しているという。Xaynではこのようなことは絶対にない。

ビッグデータではなくスモールデータ

「Xaynは個々のユーザーに集中しなければならないため、ビッグデータの問題ではなく『スモールデータ』の問題を抱えている。そのため、非常に速いスピードで学習しなければならない。8から20のやりとりだけで、ユーザーの多くを理解する必要があるためだ。ここで重要なのは、このような迅速な学習を行う場合には、いつも以上にフィルターバブルに注意を払う必要があるということである。検索エンジンがある種の偏った方向に進むのを防がなければならない」とルンドベーク氏は説明する。

このエコーチャンバーまたはフィルターバブルの影響を避けるために、Xaynチームはエンジンを、切り替え可能な2つの異なるフェーズで機能するように設計した。「探索」と呼ばれるフェーズと「搾取」といういうフェーズだ(「搾取」というのは残念な言い方だが、「エンジンはユーザーに関する何らかの情報を既に持っているため、かなり関連性の高いものを提供できる」という意味である)。

「我々は、常に新しい情報を取り入れ、探求を続けなければならない」とルンドベーク氏は語る。それが4つのAIうちの1つ(コンテキストを計算するための動的コンテキスト多腕バンディット強化学習アルゴリズム)を開発した理由である。

Xaynは、このアプリのインフラストラクチャがユーザーのプライバシーをネイティブに保護するよう設計されていること以外にも、多くの利点があると主張している。たとえば個人から非常に明確な興味の兆候を引き出せたり、追跡サービスのせいでユーザーが委縮する効果(将来の結果に影響を与えることを避けるために、特定の検索を行わないようになる)を回避できることなどがある。

「ユーザーは、スワイプするだけで、もっと詳しい検索結果を表示させるかどうか、つまりアルゴリズムに学習させるかどうかを決めることができる。操作は非常に簡単で、システムを手軽にトレーニングできる」とルンドベーク氏は説明する。

しかし、アルゴリズムが(オンの場合に)デフォルトで何らかの学習を行うと仮定すると(すなわち、ユーザーが好き/嫌いのシグナルを発しない場合)、このアプローチには若干のマイナス面もあるかもしれない。

なぜなら、Xaynから最良の検索結果を得るために、(フィードバックをスワイプして)やりとりするという負荷がユーザーにかかることになるからだ。スワイプはユーザーに対する積極的な要求であり、Webユーザーが慣れ親しんでいる、Googleのようなテック大手が提供する一般的な受動的なバックグラウンドデータマイニングやプロファイリング(プライバシーに関しては恐ろしい機能)とは異なる。

つまり、Xaynアプリを使うため、少なくとも最も関連性の高い結果を引き出すためには「継続的な」 やり取りという形の「コスト」が発生するということだ。例えば、山ほどのオーガニック検索結果がまったく役に立たず、関連性も低い場合に、最後までスクロールしながら見ることはお勧めしない。

Xaynアプリがその利便性を最大化するには、最終的には各項目を慎重に重み付けし、有用性の判定をAIに提供する必要があるだろう(オンラインの利便性に関する競争においては、少しのデジタルフリクションでも足枷になる)。

この点について具体的にルンドベーク氏に尋ねたところ、次のような答えが返ってきた。「スワイプしなければ、AIは、嫌いなものではなく非常に関心度の低い好みのみに基づいて学習する。そのため、(AIをオンにすると)学習は行われるが、学習量は非常にわずかで、大きな効果はない。これらの条件は非常に動的であるため、ウェブサイトにアクセスした後に何かを気に入ると、その経験からパターンが学習される。また、4つのAIモデルのうち1つだけ(ドメイン学習モデル)が純粋なクリックから学習する。残りの3つのモデルはこの学習は行わない」。

Xaynは、スワイプの仕組みがアプリの操作性を悪くしてしまうリスクを認識しているようだ。ルンドベーク氏によると、チームは将来的に「何らかのゲーミフィケーションの側面」を追加し、スワイプのメカニズムを単なるなフリクションから「何か楽しいこと」へと変えたいと考えている。Xaynが具体的にどんな方法でそれを実現するのかはまだ不明だ。

Xaynの使用には、Googleに比べて少しばかりのタイムラグが伴う。Xaynの場合は、オンデバイスAIのトレーニングを行わなければならないからだ(一方Googleは、ユーザーのデータをクラウドに集め、特注のチップセットを搭載した専用のコンピューティングハードウェアを使って超高速で処理する)。

「当社はこのプロジェクトに1年以上取り組んできました。最も優先してきたのは、Xaynを市場に出すこと、Xaynがユーザーの役に立つことを示すことだった。もちろん、XaynはGoogleよりも遅い」とルンドベーク氏は認めている。

「Googleは、デバイス上の処理を行う必要はない。そればかりか独自のハードウェアまで開発し、さらにこの種のモデルを処理するためにTPUを開発した。この種のハードウェアと比較して考えると、当社がスマートフォンでもXaynのオンデバイスAI処理を提供できたのは素晴らしいことだと思う。もちろんGoogleよりも遅いですが」とルンドベーク氏は続けた。

ルンドベーク氏によると、チームはXaynのスピードアップに取り組んでおり、この種の最適化にさらに注力することで、現在のバージョンよりも40倍高速になり、ユーザーにさらなるメリットがもたらされることを期待しているという。

ルンドベーク氏は次のように説明する。「Xaynが最終的に40倍高速になるわけではない。なぜなら、より広い視野を提供するために、分析するコンテンツが今後さらに増えるためだ。しかし時間の経過とともに速度は向上する」。

検索結果の精度についてGoogleと比較した場合、エッジAIが「スモールデータ」を適切に操作して獲得できる検索結果を考えると、Xaynが、Googleのネットワーク効果の競争上の優位性(より多くのユーザーを擁していることで得られる検索結果の再ランキングのメリット)に太刀打ちできないわけではない。

しかし、繰り返しになるが、今のところは検索のスタンダードであるGoogleの背中を追いかけている状況であることに変わりはない。

他の検索エンジンとのベンチマークの結果について尋ねると、ルンドベーク氏は次のように答えた。「現在当社は、XaynをBingやDuckDuckGoなどと比較しており、明らかに、Googleと比較した場合よりもかなり良い結果を得ている。しかし言うまでもなく、Googleはマーケットリーダーであり、非常に強力なパーソナライゼーションを使用してる」。

「しかし興味深いのは、Googleはパーソナライゼーションだけでなく、ネットワーク効果の一種も利用していることだ。PageRank(ページランク)は正真正銘のネットワーク効果である。PageRankはユーザーが何かをクリックする頻度を追跡し、ユーザーが多ければ結果の精度が向上する」。

「現在、例えば当社が使っているようなAIテクノロジーによって、ネットワーク効果が徐々に重要性を失っている、という興味深い現象が生じている。つまり、純粋なAIテクノロジーと本当に勝負したいのであれば、ネットワーク効果はもはや実質的に存在しないと言える。そのため、当社は今でも、Googleと同程度に関連性の高い結果を得られる。また、やがてはさらに優れた結果や、Googleと競り合える結果を、Googleとは違う方法で得ることができるようになるはずだ」。

ベータ版アプリを(簡単に)テストした際、シンプルな検索では、Xaynの検索結果は大きく期待を裏切るものではなかった(おそらく使用しているうちに改善されるだろう)。ただしこの場合も、通常の検索では、わずかな読み込みの遅れで多少のフリクションが発生することがすぐに明らかになった。

これもアリだろう。検索で期待されるパフォーマンスを実現するのは簡単ではないことに改めて気づくきっかけになる(たとえCookieを使用しないと断言できたとしても)。

競争のチャンスはあるか

「Googleにはこれまで、ネットワーク効果という強みがあったが、このネットワーク効果の優位性が徐々に弱まっており。Googleに代わるものがすでに次々と現れている」とルンドベーク氏は主張し、プライバシーへの懸念が、検索分野における競争を活発化させていることを示唆した。

「Facebookなどのように、誰もが1つのネットワークに所属しなければならないという考え方はもう通用しない。競争は技術革新にとっても、さまざまな顧客のニーズを満たすためにも有益なので、現在の状況は実にすばらしいと思う」とルンドベーク氏は語る。

もちろん、(欧州では90%を超える市場シェアを獲得している)Google検索に対抗しようとする企業の最大の課題は、Googleユーザー(の一部)をいかにして引き抜くかということだ。

ルンドベーク氏は、現時点ではマーケティングに数百万ドル(数億円)を投入する計画はないと言っている。実際、早期利用者の「緊密なコミュニティ」とともに製品を「一歩一歩」進化させていくことを目指しており、プライバシー保護技術分野の他者によるクロスプロモーションや、関連するインフルエンサーへの働きかけにより、持続的に利用を拡大させていきたい、と同氏は述べている。

ルンドベーク氏はまた、主流メディアはプライバシーの話題に興味があるため、ある程度はXaynの製品を後押ししてくれるのではないかと考えている。

「特に今の時代、当社にはとても重要な使命があると思っている。当社は、検索でプライバシー保護を実現できることを自身のためだけに示したいのではなく、どんな場合でもプライバシー保護を実現できるという優れた実例を示したいと考えている」とルンドベーク氏は言う。

「ユーザーのデータを当然のようにすべて取得してプロファイルを作成する、米国のいわゆる『最大手』企業は、ユーザーから必ずしも必要とされているわけではない。一方でユーザーは、小規模で魅力的なプライバシー保護ソリューションを利用できるが、そのようなソリューションはユーザーのデータを使用しない代わりに、ユーザー体験は良くない。だからこそ当社は現状で満足することなく、欧州の価値観に基づいた代替手段の構築を開始すべきだということを示したい」とルンドベーク氏は語る。

確かに最近、EUの議員たちがテクノロジーの主権について熱心に議論しているが、欧州の消費者のほとんどが大規模な(米国の)テクノロジーを受け入れ続けている。

もっと具体的に言えば、欧州地域のデータ保護要件により、米国ベースのサービスを利用してデータの処理を行うことがますます困難になっている。企業が考慮すべきもう1つの要素には、GDPRというデータ保護の枠組みへの準拠がある。そのため「プライバシー保護」テクノロジーに注目が集まっている。

ルンドベーク氏によると、Xaynのチームは、B2B側のビジネスを成長させることで、プライバシー保護の信条を一般ユーザーにも広めたいと考えている。そのため、最新のスマートフォン(および自分のデバイスを職場に持ち込む人々)を原動力としていた企業のコンシューマライゼーションの傾向を少し逆行させる形で、従業員が職場を通して便利なプライベート検索に慣れてくれれば、ある程度、家庭での利用が増えるのではないかと期待している。

「Xaynはこうした戦略をコミュニティ内で着実に実践して、評判を広げることができると思う。そのため、より多くのユーザーを獲得するために、マーケティングキャンペーンに何百万ユーロ(数億円)も費やす必要はない」とルンドベーク氏は付け加えた。

Xaynの市場投入第一弾としてモバイルアプリのリリースを目指してきたが、来年の第1四半期にはデスクトップ版をリリースすることも計画中だ。

課題は、このアプリをブラウザーの拡張機能として使用できるようにすることだ。チームは明らかに、Xaynを動作させる独自のブラウザーを構築することは避けたいと思っている。Google検索との競争は登り甲斐のある山である。Chrome(やFireFoxなど)を目指そうとする必要はない。

「当社は、安全な言語であるRustでAI全体を開発した。そしてセキュリティと安全性を非常に重視している。素晴らしい点は、Xaynは組み込みシステムからモバイルシステムまでどこでも動作することだ。またWebアセンブリにコンパイルできるため、あらゆる種類のブラウザのブラウザ拡張子としても動作する」とルンドベーク氏は語り、「もちろんInternet Explorerは除きますがね」と付け加えた。

関連記事:Googleが9月までに検索のモバイルファースト化完了へ

カテゴリー:ソフトウェア
タグ:プライバシー 検索エンジン

[原文へ]

(関連記事:Dragonfly)

企業がデータや情報開示についてスマートになる無料ツール「PrivacyGrader」

企業のプライバシーの問題が複雑で変化が著しいときは、PrivacyGraderと呼ばれるツールが事態の正常化を助けてくれるだろう。

Tom Chavez(トム・チャベス)氏とVivek Vaidya(ヴィヴェーク・ヴァイディヤ)氏が、データのコンプライアンスとセキュリティを扱うスタートアップであるKetchを作っていた際、このツールはその創業の一環として開発された。両氏はスタートアップ育成スタジオのsuper{set}(未訳記事)を作り、Ketchはそのポートフォリオの一部だ。

「実をいうと、この問題はずっと前から考えていました。10年前と違い、いまではこの問題が企業の生死を握るカギとなっています」とチャベス氏は語る。

PrivacyGraderを使うためには、分析したいウェブサイトに結びついた実際に使用されているメールアドレスが必要だ。そのためライバルの成績を見ることはできない。

ユーザーのリクエストとメールアドレスが検証され、OKであれば24時間以内に分析結果を得ることができる。50あまりの要素を採点した結果で構成されるサイトのスコアには、ユーザーを追跡するトラッカーや個人データの保存場所、GDPRやCCPAといった規制へのコンプライアンスなどが含まれている。

たとえばチャベス氏とヴァイディヤ氏は、TechCrunchの分析をやってくれたが、そのスコアは全体で56%だった。両氏はそれを「最初に想定したとおりだ」という。その報告書はユーザーのプライバシー体験を国別に概説し、改良すべき点を指摘している。

チャベス氏は、これで企業のプライバシーに関する話が終わるわけではない、と強調する。むしろ、プロダクトや法務のチームに役に立つ、高いレベルの視点と関心を持つべき対象がさらにある。

「だからPrivacyGraderのスコアはレントゲンのようなもので、MRI画像ではない。問題を示唆しているだけで、結論はない。重要な側面を照らしているだけです」とチャベス氏はいう。

チャベス氏とヴァイディヤ氏は、PrivacyGraderを使っている企業がKetchの有料プロダクトのユーザーになって欲しいのかもしれないが、でもヴァイディヤ氏によると、今後も無料サービスは改良を継続するし、メインのプロダクトの1つであって、決しておまけのようなサービスではない、という。

すでにPatreonやThe Home Depot、Chubbiesなどの企業がPrivacyGraderを使っている。たとえばPatreonの法律顧問代理であるPriya Sanger(プリヤ・サンガー)氏は、このサービスが「マーケティングと営業をより有効化するために必要な、データガバナンスの改良点を指摘してくれた」と述べている。

カテゴリー:ネットサービス
タグ:PrivacyGraderプライバシー

画像クレジット:Ketch

原文へ

(翻訳:iwatani、a.k.a. hiwa