GitHubがCookie追放を発表、わずらわしいCookieバナーも消える

Microsoft(マイクロソフト)傘下のGitHubは12月17日、必須ではないCookieをプラットフォームからすべて追放すると発表した。これにより、GitHub.comとそのサブドメインにCookie配置への同意を求めるバナーが表示されなくなる。仕事に取りかかる前のわずらわしいクリックが1つ少なくなるわけだ。

GitHubのCEOであるNat Friedman(ナット・フリードマン)氏は声明に「Cookieバナーが好きな人間は誰もいない。しかしCookieは至るところにある!」と書いている。

わずらわしいバナーを表示しなければならない理由はEUのGDPR(一般データ保護規則)やこれに相当する米国での規制によるものだ。Cookieの使用がオンラインにおけるプライバシーを低下させるおそれがあるため、ユーザーにCookieを拒否する権利を与えるために、デベロッパーはCookieバナーを表示する義務を課せられている。なるほどこうした規制はユーザー保護を最大の狙いとしているが、その結果はどんなサイトを見るにもまずCookieバナーをクリックしなければならないという状態だ。

フリードマン氏は「GitHubは開発者のプライバシー保護を追求している。しかしCookieバナーはいらだたしい。そこで解決策を探すことにした。その方法はすぐ判明した。必須ではないCookieを使用しなければいいのだ。まったく簡単なことだった」と書いている。

公平を期すためにいえば、GitHubのようなデベロッパー向けサービスの場合、通常のコンテンツサイトよりCookie廃止は簡単だったはずだ。実際、このTechCrunchサイトを開くときにCookieバナーが表示される読者は多いはずだ(もちろ私はこれに気づいているが、大勢の読者がコメントで指摘してくるに違いない)。結局のところGitHubは有料サービスを提供しているし、オーディエンスの大半は十分に知識があるので拡張機能を使用して不要なCookieやトラッカーをブロックしているに違いない。そのためCookieでは、さほど意味あるデータは収集できないのかもしれない。とはいえGitHubはCookie追放を決めた最初の大規模サイトの1つであり、多少でもトレンドを動かす可能性がある。

関連記事:グーグルはChromeでのサードパーティCookieのサポートを2年以内に段階的に廃止

カテゴリー:ネットサービス
タグ:GitHubCookieプライバシー

画像クレジット:mrs / Getty Images

原文へ

(翻訳:滑川海彦@Facebook

英国のEU離脱を受けFacebookが同国の個人データをEU個人情報保護法の管轄外へ移転

英国の欧州連合(EU)離脱による取引条件の変更が迫る中、Facebook(フェイスブック)は、先行したGoogle(グーグル)に倣って(未訳記事)、英国の数千万人にのぼるユーザーの個人データを、EUの個人情報保護法の管轄外となる米国(そのような包括的な個人情報保護の枠組みを持たない)に2021年に移動させることになっていると、米国時間12月15日にReuters(ロイター)が報じた

この切り替えを認めたフェイスブックは、ロイターに次のように述べている。「他の企業と同様に、フェイスブックはBrexit(英国のEU離脱)に対応するための変更を行う必要があったので、フェイスブックアイルランドから(米国の)Facebook Inc.(フェイスブック・インク)に、英国のユーザーのための法的責任と義務を移転することになります」。

「プライバシー管理やフェイスブックが英国の人々に提供するサービスに変更はありません」とフェイスブックは付け加え、EUから米国への移行は、データとプライバシーの法的保護において大幅な格下げを必然的に伴うという事実を無視した表現を用いている。

ロイターによると、フェイスブックは今後6カ月以内にこの切り替えについてユーザーに通知するという。この法的な変更に不満がある場合、ユーザーはInstagram(インスタグラム)やWhatsApp(ワッツアップ)も含むフェイスブックが提供するサービスの使用を停止する「選択肢」が与えられる。

グーグルが2月に(未訳記事)英国のユーザーに関して同様の法的移行を発表したときにお伝えしたように、EU子会社から米国に移動させるという動きは、EUの基準から離れることを決めた英国の国民投票の結果を受けてのものだ。そのEUの基準の中には、長年維持されてきたデータ保護の枠組みも含まれる。

Brexit移行期間の終了まであと数日となった現在、英国がEUとの貿易協定を得るのか、それとも協定なしで離脱するのかはまだ不明だ。後者の場合、英国はEUからデータの適切性に関する協定も得られない可能性が高まり、データ保護基準に関する将来の乖離が生じやすくなる(EU・英国間における摩擦のないデータフローの維持に向け、継続的な協力を行うための「ニンジン」がないため)。

英国はまた、データを活用した経済復興を望んでいることを明らかにし、9月に(未訳記事)「国家データ戦略」を発表した。これは新型コロナウイルス感染拡大時におけるデータ共有を、復興後の新たな基準とするものだ。

この文書で、英国政府は「国内のベストプラクティスを推進し、国際的なパートナーと協力して、データが国境や分断された規制体制によって不適切な制約を受けないようにして、その潜在能力を最大限に活用できるようにする」ことを計画していると述べている。これはデータ保護の概念全体に影を落とすものだ。

それ以来、プライバシーの専門家たちは、(EU離脱後の)日英貿易協定が英国の既存のデータ保護体制(これはいまのところ、転換されたEUの規定に基づいている)を弱体化させており、Open Rights Group(オープン・ライツ・グループ)が2020年11月に警告した(Open Rights Groupブログ)ように、「データ保護の取り決めが弱い、または自主的に行っている」国への個人データの流出を可能にするおそれがあると、懸念を表明している(Open Rights Groupブログ)。

米国は、データ保護のための包括的な枠組みを欠いている国の1つだ。カリフォルニア州は独自の消費者プライバシー法を可決し、11月には住民投票でこの制度を強化することを決めている。しかし、連邦レベルではGDPR(EU一般データ保護規則)に相当するものはまだない。

英国のEU離脱後の基準がどこに向かっているのかという不確実性が非常に強いため、グーグルやフェイスブックのような大手テック企業が、EUのプライバシー規則の下における責任を軽減する機会を得ようとしていることは不思議ではない。フェイスブックの場合、ダブリンにある子会社の管轄から4500万以上の英国ユーザーを削除することになる。

ヨーロッパの最高裁判所が下した最近の「シュレムスII」判決(未訳記事)もまた、個人データをEUから米国へ転送することに関する法的リスクと不確実性を増大(未訳記事)させており、フェイスブックにその英国における契約条件を再構築するためのもう1つの潜在的な理由を与えている。

もちろん、英国のユーザーが失うプライバシー保護を考えれば、これはあまり良いことではない。

しかし、今回問題なのは、巨大テック企業ではなくBrexitの方だ。Brexitはこの場合、英国のユーザーは2021年から、自分たちの政府が米国のような国と貿易取引を結ぶために、国家のプライバシー基準を廃棄すると決めないように祈らなければならないことを意味する。フェイスブックが自分たちのプライバシーの利益に気を配ってくれると信じつつ(未訳紀伊J)。

そう、英国のデータ保護法は適用され続ける。幸運(未訳記事)にも英国個人情報保護監督機関(未訳記事)があなたの権利のために立ち上がってくれたらだが。

しかし、EUの法律によって定められている包括的な保証は2021年に消え失せる。

2018年に成立した米国のクラウド法(未訳記事)では、すでにインターネットサービスの利用者に関するデータを、捜査目的などで英米の機関が容易にやり取りできるようになっている。

その一方で英国政府には、監視社会(未訳記事)や暗号化への攻撃(未訳記事)に対する憂慮を巻き起こした実績もある。

英国が新たに打ち出した、インターネットサービスを規制する「子供の安全に焦点を当てた(未訳記事)」計画では、コンテンツ監視やIDチェックを義務づけるため、強力な暗号化を使用しないようにデジタルサービスに圧力をかけているようにも見える。

つまり、Brexitとは、簡単にいえば、英国人のプライバシーとオンラインの自由を速やかに減らし、データの分野におけるコントロールを取り戻すことの反対を意味するようになっているということだ。

関連記事
カリフォルニア州消費者プライバシー法が1月1日に発効
英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

カテゴリー:ネットサービス
タグ:イギリスEUFacebookGoogleプライバシー個人情報GDRPBrexit

画像クレジット:Justin Sullivan / Getty Images

原文へ

(翻訳:TechCrunch Japan)

Facebookがユーザーを監視するVPNアプリ「Onavo」を使用したと豪州が提訴

Facebook(フェイスブック)にまたも頭痛の種ができた。オーストラリア競争・消費者委員会(ACCC)は、商業目的でユーザーを監視するOnavo(オナボ)のVPNアプリを2016年と2017年に使ったとしてフェイスブックを提訴する。

ACCCは、フェイスブックがOnavo Protectアプリを奨励し、多くのオーストラリアの消費者に対して虚偽、ミスリーディングあるいは欺瞞的な行動を取ったと主張している。同アプリは、フェイスブックの事業をサポートするためにデータを集めていたとき、ユーザーの個人アクティビティデータをプライベートに保って保護し、他の目的では使わないとうたっていた。

「Onavo Protectを通じてフェイスブックは何千人ものオーストラリアの消費者のかなり詳細で価値ある個人アクティビティデータを商業目的で収集し、使っていました。これは、フェイスブックがこのアプリ奨励の中心に据えた、保護と秘密保持、プライバシーという約束に完全に反しています」とACCC会長のRod Sims(ロッド・シムズ)氏は声明文で述べた。

「消費者はオンラインプライバシーを気にかけているため、往々にしてVPNサービスを使います。これはフェイスブックのプロダクトが提供するといっていたものです。しかし実際は、Onavo Protectはかなりの量の個人アクティビティデータをそのままフェイスブックに送っていました」。

「そうした行為は、フェイスブックとOnavoが個人アクティビティデータを収集して使用していると知らされる機会をオーストラリアの消費者から奪ったと確信しています」とシムズ氏は付け加えた。

ACCCは、2016年2月1日から2017年10月までフェイスブックと同社の子会社Facebook Israel Ltd、Onavo, Incがダウンロード無料のOnavo Protectアプリの機能を偽って表示することでオーストラリアの消費者をミスリードしたと主張している。

裁判上の命令と罰金を模索していると当局は話している。

裁判についてフェイスブックの広報担当は「人々がOnavo Protectをダウンロードしたとき、当社は収集する情報について、そしてどのように使用するかについて常にクリアにしていました」と述べた。

そして「当社はこの件についてのACCCの調査にこれまで協力してきました。ACCCの訴状をレビューし、この件に対する当社の考えを引き続き主張していきます」と語った。

フェイスブックは2019年、ユーザーを詮索するために2013年に買収したOnavo Protectアプリをいかに使用してきたかについて激しい反発を浴びたのちに、同アプリを閉鎖すると発表した。

合法の証拠収集で入手されたフェイスブックの内部資料では、フェイスブックのユーザーがどのサードパーティのアプリをダウンロードして使っているかを知ろうと、商業目的の情報分析ソースとしてOnavoのチャートをフェイスブックが使っていたことが示されている。この資料は英国議会がオンライン誤情報についての調査の一環として押収し、2018年に開示された(未訳記事)。

Onavo経由で集められたデータでは、WhatsApp(ワッツアップ)がフェイスブックのMessenger(メッセンジャー)アプリの脅威となりそうなことが明らかになった。このマーケット洞察を得て間もなく、フェイスブックはライバルのWhatsAppを買収するために190億ドル(約1兆9700億円)という大金を払った(未訳記事)。

フェイスブックは現在、米国で膨大な独禁法訴訟に直面している。2020年12月初めに46州が独占的な事業慣行を通じて競争を抑制していたとしてフェイスブックを提訴した。独占的な事業慣行の主な例としてInstagram(インスタグラム)とWhatsAppの合併を挙げた。

米連邦取引委員会と議員らはそうした合併の解消とフェイスブックのソーシャル帝国の解体が不可欠だと要求している。

このほか、フェイスブックはドイツでも訴訟を抱えている。連邦カルテル庁(FCO)は、所有するサービス間でフェイスブックがいかにデータを統合できるか、制限を設けることを検討している(未訳記事)。

FCOはまた、新規のOculusユーザーはキットを使うためにフェイスブックアカウントを持っていなければならないと指摘したうえで、フェイスブックが最新のOculus VRキットの使用をFacebookアカウントと紐付けている件も調査していると2020年12月に発表した。今夏、フェイスブックは既存のOculusアカウントのサポートを2023年までに終了すると明らかにしている。

関連記事:Facebookが全米46州からの大型反トラスト訴訟に直面

カテゴリー:ネットサービス
タグ:FacebookOnavoオーストラリアプライバシー訴訟

画像クレジット:Onavo Protect

原文へ

(翻訳:Mizoguchi

石川県加賀市がxIDおよびLayerXと連携、ブロックチェーンとデジタルID活用の電子投票システム構築へ

石川県加賀市がxIDおよびLayerXと連携協定、ブロックチェーンとデジタルID活用の電子投票システム構築へ

石川県加賀市xIDLayerXは12月3日、同市におけるブロックチェーンおよびデジタルIDを活用した「安全かつ利便性の高いデジタル社会」の実現に向けて、連携協定を締結したと発表した。今後は、行政サービスのデジタル化推進に向けた取り組みの一環として、加賀市の政策に関する電子投票実現に向けた検討を開始する。

今回の提携を機に、加賀市における課題解決の手段としてブロックチェーン技術をどう活用ができるかの討議を、三者間で協力して取り進める。その取り組みの第1弾として、ブロックチェーンおよびデジタルID技術を活用した市の政策に関する電子投票(インターネット投票)の実現に向けて、検討を開始する。

デジタル化が進む北欧・エストニアでは、2004年の提供開始以来、電子投票は一般的なものとなっており、2019年の国政選挙では高齢者を含む半数近くの投票者が、インターネットを介した電子投票を利用したという。特に過疎地に住む市民にとっては、選挙時に遠く離れた投票所に足を運ぶ必要がなくなり、また自分のペースで投票できるなど、その利便性の高さは一定の評価を受けているとした。

日本の公職選挙法における電子投票は、投票所においてタッチパネル式の投票用デバイスなどを使用する方法は地方選挙において認められているものの、システムの安定性、投票用デバイスの費用などが課題となっており、加賀市においても実現に至っていないという。また、インターネットを介した投票については、二重投票の防止、投票の秘密を守るための高い技術ハードル、投票用デバイスの費用など、より多くの課題がある。

今回、投開票プロセスの透明性と投票内容の秘匿性を両立した電子投票プロトコルを研究・開発したLayerXと、本人であることが証明でき、かつひとりにつきIDひとつのみ発行できる技術を持つxIDを連携させることで、投票の秘密を守ると共に一人一票主義を担保できる、利便性が高い電子投票技術の構築が可能であると考えているとした。

今後は、電子投票プラットフォームを提供する事業者との提携を視野に入れながら、根幹技術に関する議論を進める。また、民意の反映や、市政の透明性の担保を目的として、加賀市の施策に関する電子投票の実現可能性を検討する。

石川県加賀市は、人口減少や高齢化が急速に進む中で行政のデジタル化にも力を入れており、利便性の高い行政サービスの提供を進行。2018年に「ブロックチェーン都市宣言」を発表し、RPA(ロボティック プロセス オートメーション)による市役所業務の一部自動化などデジタル化を推進。2019年にはブロックチェーンの要素技術を採用したデジタルIDソリューションを提供しているxIDとの連携協定を締結。2020年8月には同ソリューションを活用した電子申請サービスを提供開始するなど、着実にデジタル化に向けた歩みを進めている。

加賀市ではブロックチェーンを広く活用することで、より耐改ざん性と透明性の高い行政システムの構築を目指しているものの、ブロックチェーン技術はその特性上、透明性が高いがゆえにデータ保護、プライバシーの観点から情報の秘匿性・匿名性の担保が容易ではなく、それらが社会実装における課題となっていた。

LayerXは、ブロックチェーンの社会実装にかかる次世代プライバシー保護技術「Anonify」(アノニファイ)をはじめ、プライバシー保護と個人情報の活用の両立のため、秘匿化・匿名化技術の研究開発を推進しており、今回デジタルIDを用いることで、利便性が高くかつ安全なデジタル社会の実現を目指している加賀市・xIDのビジョンが一致し、連携協定の締結へと至ったという。

xID」は、マイナンバーカードと連携することで、より手軽に本人認証ができるデジタルIDアプリ(Android版iOS版)。初回登録時にマイナンバーカードに格納されている基本4情報(氏名・住所・性別・生年月日)をスマートフォンのNFC経由で読み取り、マイナンバーカードとxIDを紐付ける。その後、連携するオンラインサービスのログイン用の暗証番号と電子署名用の暗証番号を設定し、利用時に認証・電子署名することで本人確認を完結し、様々なオンラインサービスの安全な利用を実現する。

LayerXのAnonifyは、PCやスマートフォンに備えられたプロセッサーのセキュリティ機能であるTEE(Trusted Execution Environment)を活用した、ブロックチェーンのプライバシー保護技術。ブロックチェーン外のTEEで取引情報の暗号化や復号を行いビジネスロジックを実行することで、ブロックチェーンの性質を活かしながらプライバシーを保護する、LayerX独自のソリューション。

石川県加賀市がxIDおよびLayerXと連携協定、ブロックチェーンとデジタルID活用の電子投票システム構築へ

xIDは「信用コストの低いデジタル社会を実現する」をミッションとして掲げ、マイナンバーカードに特化したデジタルIDソリューションを中心に、次世代の事業モデルをパートナーと共に創出するGovTech企業。デジタルID先進国のエストニアで培った知見・経験をもとに、情報のフェアな透明性を担保し、データ・個人・企業・政府の信頼性が高い社会をデジタルIDを通して創出する。

LayerXは、「すべての経済活動を、デジタル化する。」をミッションに、ブロックチェーン技術を軸として、金融領域を始めとした様々な産業のDXを推進。信用や評価のあり方を変え、経済活動の摩擦を解消し、その恩恵を多くの企業や個人が受けられるような社会を実現していく。

関連記事
暗号資産・ブロックチェーン業界の最新1週間(2020.9.6~9.12)
暗号資産・ブロックチェーン業界の最新1週間(2020.8.16~8.22)
従業員コンディション分析のラフールがデジタル身分証アプリxIDと連携、データ閲覧を明確化
LayerXが行政機関・中央銀行などと共同研究を手がけるLayerX Labs開設、デジタル通貨・スマートシティなど注力
ブロックチェーン技術活用で業務プロセスのDX化を目指すLayerXが30億円を調達
新型コロナ蔓延のいま、我々は安全なオンライン投票について検討しなければならない

カテゴリー:ブロックチェーン
タグ:xID電子投票プライバシー(用語)マイナンバー(製品・サービス)LayerX(企業)LayerX Labs日本(国・地域)

GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念

欧州の消費者保護団体を統括する組織BEUC(ビューク)は新しい報告書を発表し、EUにおける個人データ保護の枠組みの要であるGDPR(一般データ保護規則)の効果的な執行が国境によって阻害されていると伝えた。EU域内の今後数十年間にわたるデジタル環境の監視体制を形作ろうと模索する各国の議員や規制当局には読むのが辛い内容となった。

BEUCの参加団体は、2018年11月(未訳記事)にGoogle(グーグル)の位置情報の利用に関して数多くの訴えを起こしている。このプライバシー侵害の懸念が提起されて2年が経つが、いまだに解決策は見られていない。

The Consumer Voice 2年で火星着陸ミッションは成功できても、グーグルの位置追跡がGDPR違反ではないのか、その不正に罰金を課すか否かは、2年経っても決められずにいる。
The Consumer Voice 2018年からEU、米国、オーストラリアで、位置情報の収集と利用に関してグーグルが告訴されている。それからグーグルが2510億ドル(約26兆1200億円)もの広告収入を得る間、何もできていない。

この巨大テック企業は、インターネットユーザーの位置情報を処理して商品化しつつ、数十億ドル(数千億円)単位の広告収入を稼ぎ続けている。GDPRの下で国境を越えた告訴に対応するワンストップショップであり、データ保護監督の中核であるアイルランドのデータ保護委員会(DPC)は、2020年2月(未訳記事)になってようやく捜査を開始した。

だが欧州で、位置情報の追跡に関してグーグルに何らかの法的措置が下されるのは、これから何年も先になるだろう。

なぜなら、GDPRが施行されて2年半になるにも関わらず、アイルランドDPCは国境を越えたGDPRとしての判断を何ひとつ示していないからだ。だが、先日お伝えしたとおり、Twitterのデータ漏洩に関するケース(未訳記事)は、ゆっくりながらも間もなく示されるはずの結論に近づいている。

それとは対照的に、フランスのデータ監視組織CNILは、グーグルのデータ処理の透明性に関するGDPRの捜査を、ずっと手早く(未訳記事)2019年のうちに済ませている。

しかも今年の夏(未訳記事)、フランスの裁判所はグーグルの訴えを退け、CNILが求めた5700万ドル(約60億円)の罰金の支払いを言い渡した。

だが、この一件はグーグルがDPCの司法権の下に入る前のものだ。さらに、アイルランドに拠点を置く多国籍テック企業の多さを考えると、このデータ規制当局は膨大な数の企業を相手にしなければならない。

Apple(アップル)、Facebook(フェイスブック)とWhatsApp(ワッツアップ)、LinkedIn(リンクトイン)といった数々のテック企業に対する20件以上のGDPR捜査を含むDPCの国境を越える案件には、強力な支援者がある。グーグルも、2019年から(未訳記事)アドテック関連の捜査をアイルランドで受けている。

今週、EUの域内市場委員のThierry Breton(ティエリー・ブルトン)氏は、各国の議員はGDPRの執行力の「ボトルネック」(未訳記事)をよくわかっていると話した。

欧州委員会は、その摩擦から教訓を得たと彼は示唆している。つまり彼は、自身が公言しているデータの再利用に関連する将来の規制案作り(未訳記事)に、同様の懸念が影響を与えることはないと主張しているのだ。

欧州委員会は、EUの個人データ監視体制に組み込まれているものと同様の監視メカニズムを提唱する新しいデータガバナンス法(DGA)を通じて、EU域内における人権を尊重した産業データの再利用(未訳記事)に標準条件を構築したいと考えている。これには、コンプライアンスを監視する国家機関や、中央集権的なEUの運営機関(これを彼らは欧州データ保護委員会の姉妹組織として欧州データイノベーション委員会と命名する計画だ)。

EUのデジタル規則の枠組みを改善して拡張するという欧州委員会の計画は野心的だが、つまりこれは、GDPRへの提案書のインクが乾く前にDGAの輝きが失われてしまうとのGDPRへの批判だ。またこれは、GDPRの執行力の「ボトルネック」を解消する創造的な方法を探すよう、議員たちにプレッシャーを与えるものでもある(国家機関は日々の監視に責任があり、EU加盟国はDPAを支援する責任があるため創造性が求められる)。

20202年夏に行われた最初の審査では、欧州委員会はこの規制が、カリフォルニアのCCPA(消費者プライバシー法)や、世界中で成立され始めたデジタルプライバシー保護のための枠組みに影響を与えたと断言し、「現代的で水平的な法律」であり「グローバルな基準点」だと称賛した。

だが同時に、GDPRの執行力に関する内容が欠けていることを、彼らは懸念している。

この懸念に対する最良の答えは「重要な案件はアイルランドのデータ保護機関が判断すること」だとEUの司法担当委員Didier Reynders(ディディア・レインダーズ)氏は6月に述べている(未訳記事)。

あれから5カ月が経過するが、ヨーロッパの人々はまだ待ち続けている。

BEUCの「ザ・ロング・アンド・ワインディング・ロード:GDPRから2年:消費者の視点による国境を越えたデータ保護問題」と題された報告書は、どの国のDPCに提訴すべきかという段階で、EU加盟国の各団体が直面した手続き上の障壁を詳しく説明している。

これには、アイルランドDPCが不必要な「情報と有効性のチェック」を行っており、第三者による是正が禁じられているアイルランドの法律では権限がないとして、現地の関係団体から持ち込まれた訴訟を拒否しているとの懸念も含まれている(オランダの消費者団体はオランダの法律に従って訴訟を起こし、受理されている)。

報告書はまた、アイルランドDPCがグーグルの位置情報に関連する活動に対して独自の判断で(苦情にもとづくものではなく)取り調べを開始した理由についても疑問を呈している。これが苦情そのものに対する判断を遅らせてしまいかねないと、BEUCは恐れている。

さらにこれは、アイルランドDPCによるグーグルの捜査の対象は、苦情が申し立てられた2018年からではなく、2020年2月からの活動のみであることも指摘している。つまり、まだ捜査されていないグーグルの位置情報処理については不明のまま残されることになる。

グーグルへの訴訟に参加しているEU加盟国の3つの団体は、アイルラドDPCの判断について司法審査の申請を考えていた。他の団体はその方法に頼っている(未訳記事)。しかし、それにかかる訴訟費用が膨大であることから、彼らは申請を取りやめた。

またこの報告書は、訴訟の処理を、捜査を受けている企業の所在地に移してしまうGDPRのワンストップショップ式のメカニズムには、本来的にバランスの偏りがあるとも指摘している。そのため、「司法へのアクセスが簡単なほう」が有利になってしまう(これに対して一般消費者は、言葉も違うであろう別の国での司法手続きを強いられることになる)。

「主導的な委員会が、アイルランドのような判例法に従う伝統を持つ国にあった場合は、物事はより複雑になり、コストも嵩む」とBEUCの報告書では述べられている。

報告書が提起するもう1つの問題に苦情を申し出た側が、「動く標的」と呼ばれるものと戦う権利に関する大変に重要なものがある。大きな力を持つテック企業は、規制当局の遅延をいいことに、業務内容を(表面的)に微調整し、誤解を招くPRキャンペーンによる不正な活動を円滑化できてしまう(グーグルがそうしていると、BEUCは批判している)。

各国のDPCは、「その執行方法を、より迅速に直接的に介入する方向に調整すべき」と報告書は結論付けている。

「GDPRが適用されてから2年以上が経過し、私たちは転換点に差し掛かっています。GDPRは、今こそその力を発揮し、喫緊の課題であるビジネス慣行の変革の触媒になるべきです」とBEUCは提言の結論部分で述べている。「私たちのメンバーと、他の市民社会団体の経験から、GDPRの効果的な適用と、その執行システムの適正な機能を大きく阻害する数々の障壁が浮き彫りにされています」。

BEUCはEUおよび各国の政府機関に、規則の敏速な執行、データ主体とその代表となる団体の、とりわけ国境を越えた執行案件の枠組みの中での地位の向上を確実にするための、総合的、協働的な取り組みを推奨します」。

TechCrunchでは、同委員会とアイルランドDPCに対して同報告書に関する質問を送った。現在、これを書いている時点では、まだどちらからも返事がない。またグーグルにもコメントを求めている。

【更新情報】アイルランドのDPC副委員長Graham Doyle(グラハム・ドイル)氏は、2020年初めにグーグルの位置情報活動について「前向きな」取り調べを開始した理由として、前に戻って物事がどうだったかを再現するのではなく、「リアルタイム」での捜査を可能にしたかったからだと話した。

またドイル氏は、位置情報に関連するグーグルへの訴訟は、別の時期に別のDPCに提出されていると言う。つまり、一部の苦情がアイルランドに届くまでに非常に長い時間がかかり、2018年11月に届いていないものもあるということだ。そこで、現在の欧州のDPCが主監督DPCに苦情を届ける際の手続きの非効率性という問題が見えてくる。

「問題の苦情は、別の監督機関に2018年11月以降の別の日に届けられています」と彼は話す。「当DPCがそれらの苦情を受け取ったのは2019年7月でした。それを受けて、私たちはBEUCに報告しました。そして、リアルタイムで私たちが入手した情報の裏付けが取れるよう、2020年2月、独自の取り調べを開始したのです」。

BEUCは2月、同委員会に8つの「効率的」なGDPR執行方法(BEUCリリース)の提言を送っている。

関連記事:カリフォルニア州消費者プライバシー法が1月1日に発効

カテゴリー:ネットサービス
タグ:GoogleGDPREUプライバシー

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)

新型コロナ追跡アプリのデータを豪情報当局が「付随的」に収集していたことが明らかに

オーストラリアの情報機関が、新型コロナウイルス接触追跡アプリCOVIDSafeの立ち上げから6カ月間にわたって「付随的」にデータを収集していたことを政府の監視当局が発見した。

政府のスパイ・盗聴機関を監督する豪政府の情報活動コミュニティ監察官が米国時間11月23日に公開したレポートには、アプリデータが「他のデータを合法的に収集する過程」で入手された、と書かれている。

しかし監視当局は、機関が「COVIDアプリのデータを暗号化前の状態に戻したり、アクセスしたり、使ったりした」という証拠はないと述べた。

付随的な収集は、故意に狙ってはいなかったものの幅広い情報収集の一環として入手したデータを表現するのにスパイがよく使う言葉だ。この手の情報収集はアクシデント的なものではなく、スパイ機関がたとえば膨大な量のデータを運ぶ光ファイバーケーブルに侵入した結果だったりする。豪政府の広報官はこのニュースを最初に報じたメディア(iTnews記事)に対し、付随的な収集は「令状執行」の結果としてもあり得ることだ、と語った。

報道では、付随的な収集がいつ止まったのかについては言及していなかったが、情報機関が「法を遵守するために積極的な行動を取り、データは実行可能になり次第、早急に削除される」と具体的な日付なしで報じた。

政府の情報機関がCOVID-19接触追跡データにアクセスできるかもしれない、というのはあり得る最悪の結果だ。

新型コロナウイルスのパンデミックが始まって以来、国々、そして米国などの国の各州はウイルス感染拡大を阻止するために接触追跡アプリの構築を急いだ。しかしこれらのアプリは機能とプライバシーという点においてかなり差がある。

大半のアプリは、ユーザーが接触したかもしれない感染者を追跡するのにBluetoothを使ったプライバシー尊重のアプローチを取った。またアプリの多くは、数百人もの学者が支援したApple(アップル)とGoogle(グーグル)のシステムを実装することを選んだ。しかしイスラエルやパキスタンのように一部の国は、位置情報を追跡するなどプライバシーを侵害するようなテクニックを活用している。この手法は、政府が人々の所在を監視するのに使うことができる。イスラエルの場合、追跡が大きな議論を巻き起こし、裁判所はアプリ閉鎖を命じた。

オーストラリアの監視当局は、どういうデータが情報機関によって収集されたのか具体的に示さなかった。アプリはBluetoothを活用しており、位置情報は使っていない。しかし、感染者と接触した可能性のある人に政府の衛生当局が連絡できるよう、アプリユーザーは名前や年齢、郵便番号、電話番号などの個人情報をアップロードする必要がある。

豪州ではこれまでに新型コロナの感染者2万7800人超、死者900人超が確認されている。

関連記事:AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

カテゴリー:セキュリティ
タグ:新型コロナウイルスCOVID-19オーストラリア個人情報プライバシー接触者追跡

画像クレジット:Icon Sportswire / Getty Images

原文へ

(翻訳:Mizoguchi

ヨーロッパが暗号化のバックドアを必要としている?

11月初頭にリリースされたプレスレポートによると、テロを気がかりにしているヨーロッパの議員らがエンドツーエンド暗号化の禁止を急いでいるという。実際はこれよりももう少し違ったニュアンスが含まれているので、実状を書いた我々の分析を読んでいただきたい。

ヨーロッパは、E2E暗号化を禁止するのだろうか?

答えは、ノーだ。

昨日のオーストリアプレスの同国における最近のテロ攻撃に関する見出しでは、エンドツーエンド暗号化の禁止を提案しているようにも見受けられた。実際、暗号化を規制するかどうか、そしてその方法といった暗号化の議題に関しては数年前から加盟国間で議論されている。

レポートは欧州連合理事会(CoEU)の11月6日の決議草案に基づいており、草案によると導入のためにさらなる修正が加えられた最終書類が11月19日に理事会に提出される見込みだ。

CoEUの意思決定機関は、加盟国政府の代表者で構成されており、議員連合の政治的方向性を決定する責任を有している。しかし、立法案を作成するのは欧州委員会であり、これは「EU法案ではない」ことは確かだ。

サイバーセキュリティ戦略に関与している委員会の内部関係者の1人は、この決議を内容がまったくない「政治的ジェスチャー」だと表現している。

CoEUの決議草案の内容とは?

この草案は「強力な暗号化の開発、実装そして使用」に対するEUの完全なサポートを主張することから始まっている。E2EEの禁止も意図しているのであれば、これは非常に理解が難しい主張だ。

次に、重要な市民のインフラストラクチャーを保護するために使用されているのと同じ技術に、犯罪者が簡単にアクセスできるという事実が生み出す公安への「課題」が書かれている。犯罪者がE2EEを使用すれば、彼らの通信に「合法的」にアクセスすることは「非常に困難」または「実質的に不可能」になると伝えている。

当然これはセキュリティ界では珍しくない議論で、ファイブアイズによるより優れた監視力の強化によって定期的に焚きつけられており、通信技術の発達により技術業界に関連して繰り返し議論されている。ただし、CoEUは、暗号化されたデータへのアクセスが実際に不可能であるとは一言も言っていない。

その代わりに決議は、正当な法の手続きとEUの権利そして自由(特に私生活を尊重する権利、および通信、個人データの保護に対する権利)を完全に尊重する一方で、有能な安全保障および刑事司法当局の権限を維持できるようにする方法についての議論に移っている。

本文書は、競合する利益の間で「より良い」均衡を作る必要があると示唆しており、「暗号化を介したセキュリティと暗号化の意に反したセキュリティの原理は完全に守らなければならない」としている。

「政府、業界、リサーチそして学界が戦略的にこの均衡を協力して作り出す」と言うのが具体的な決断だ。

決議草案では、暗号化をバックドアにする必要性を呼びかけているのか?

こちらも答えは、ノーだ。

閣僚評議会は、「監督当局は、サイバーセキュリティを維持しながら、合法的かつ的を絞った方法でデータにアクセスでき、基本的な権利とデータ保護管理を完全に尊重しなければならない。暗号化されたデータにアクセスする技術的なソリューションは、合法性、透明性、必要性および均整性に準拠する必要がある」と具体的に記載している。

つまり「安全保証の強化」を実施していることをアピールするための全体的な政治的動きを超えて、的を絞ったアクセスの改善とともに、そういった的を絞ったデータへのアクセスが、通信のプライバシーなどの基本的な権利を保証するEUの主要原則を尊重することが求められている。

だが、これはE2EEの禁止やバックドアにはならない。

決議案は法的枠組みに関して何と言っているのか?

閣僚評議会は、委員会が既存する関連規制の見直しを適切に行い、すべてが同じ方向に向かっていることを確認し、法執行機関が可能な限り効率的に運営できるようにすることを期待している。

この時点で「潜在的な技術的ソリューション」の言及があるが、強調するポイントは、EU法に準拠する国内の枠組み内での捜査権の使用をサポートする法執行の支援だ。また、さらに「基本的な権利の保護と、暗号化のメリットの維持」を強調している。情報セキュリティは文書で前述されている暗号化の重要なメリットであるため、文字通り詳しく説明せずにセキュリティを維持するよう要求する必要がある。

草案文書のこの部分には、取り消し線がいくつか引いてあるので、文章の変更が行われる可能性が非常に高い。しかし、進行方向の合図として、「ソリューション」の開発に関する通信サービスプロバイダーと共同で作業する場合においては透明性の必要性が強調されている(誰もが言うバックドアは、明らかにバックドアではない)。

草案のもう1つの提案は、関連当局の技術的専門知識や運用上の専門知識を向上させるためのスキルアップ、つまり警察に対するサイバートレーニングを求めている。

最後のセクションでは、CoEUは、EU全体で関連する調整と専門知識を向上するための共同作業は、当局の調査能力を強化するためのキーとなると再び強調している。

また、「新しい技術を視野にいれた革新的アプローチ」の開発に関する議論もあるが、結論では「暗号化されたデータへのアクセスを提供するための規定された技術的ソリューションはあるべきではない」と明確に述べている。つまり、黄金の鍵やただ一つのバックドアはないと言うことだ。

では、心配の必要はないのだろうか?

委員会は、新しいサイバー戦略に取り組んでおり、特定の政策案を政治的に推進する可能性があるため、この問題に圧力を感じる場合があるだろう。しかしおそらく来年までに大きな動きを見せることはないだろう。CoEUはまだ方針を固めておらず、せいぜい何かを策定するための支援を求めるくらいだ。

TechCrunchは、ヨーロッパを拠点とする独立したサイバーセキュリティ研究者兼コンサルタントであるLukasz Olejnik(ルーカス・オレイニク)博士に、決議草案についての考えを聞いた。同氏は、草案にはE2EEに対する反対意見はなく、またそこから法案が流れるという短期的な見通しもないことに同意している。実際、同氏はCoEUは何をすべきか分かっていないようだと述べ、学術界および業界外部の専門家に助けを求めているのではないかと言う。

「第一に、バックドアに関する議論はありません。このメッセージは、暗号化がサイバーセキュリティとプライバシー両方にとって重要であることを明確に示しています」とオレイニク博士は語る。「この文書の議題に関しては、現時点では長期的なプロセスの模索的段階にあり、問題とアイデアが特定された段階です。すぐに何かが起こるということはないでしょう」。

「E2EEの禁止に関してはいまだ具体性はなく、明確に何をすべきか把握していない状態だと言えます。よっておそらく、『高い知識を持つ専門家グループ』を配置するアイデアくらいはあると思います。この文書では、学界の関与について言及していますが、このプロセスは、政策プロセスで使用される場合と使用されない場合がある『推奨事項』を特定するために委員会によってイニシアチブがとられる場合があります。その後、誰がそのグループに参加するかを中心に発展しますが、これはケースによって大きく異なります」。

「例えば、AIグループは、非常に合理的だとみなされてきましたが、偽情報に関する他の専門グループは、実際、研究者や具体的な専門知識ではなく、EUのメディア関係者を対象としていました。これらがどこにつながるかはわかりません」と続けた。

オレイニク博士は、複雑性を考えるとこの場合評議会が独自に立法案を推し進めることができるかどうか疑問を感じるという。同氏はまた「法律制定について話をするのは早すぎます。EUにおける法律制定プロセスは、理解するには非常に複雑です。EU理事会はこのような複雑な事態を自分たちで解決することはできません」と語る。

しかし彼は、CoEUが「暗号化の意に反したセキュリティ」という言葉を作ったことは注目に値する発展だと強調しており、この新しい構想ポリシーの観点からどこにつながるのかが不明確であることを示唆している。よってこれまでと同様、暗号化に関するセキュリティの議論には注意が必要だ。

「特に重要だと思うのは、『暗号化の意に反したセキュリティ』という単語を作ったことです。これは不吉かつ独創的です。しかし、この技術的なポリシー用語での問題は、現在暗号化によって保護されているように、(物理的?)セキュリティを理解するポリシーと技術的なポリシーを意識的にブレンドさせる場合があるということです。これにより、2つは直接的に対峙することになります。副産物がどこにつながるのかは誰にも分かりません。このプロセスは終息にはかなり遠いと思っています」と同氏。

しかし、EU全体に何らかの「合法的傍受メカニズム」を導入する力はなかったのだろうか?

すべてのメカニズムを尊重する必要があるEUの法的原則と権利を考慮すると、そのようなステップには大きな課題があったと考えられる。

CoEUの決議草案はこれを何度も繰り返しており、例えば、通信のプライバシーや合法的原則、透明性、必要性そして均整性などの基本的権利を尊重するセキュリティ活動が必要であると強調されている。

EU加盟国の国内の監視法も、最近になってこの点に関してヨーロッパの最高裁判所で不十分であることが明らかとなった。そのため、裁判所でのセキュリティの行き過ぎに関して異議を申し立てることへの道が明確となった。

つまり、ある種の傍受メカニズムがEU立法プロセスで断行される可能性があるとした場合、十分な政治的意思をもって推進されたとしても激しい法的課題に直面し、裁判所が選ばない可能性があることは間違いない。

セキュリティとプライバシーの「より良い」均衡を模索するという決議草案で提唱された概念についての見解と、それが近年「 例外的なアクセスメカニズム(批評家らはユーザーの信頼を損ない、バックドアとほぼ同等の包括的なセキュリティリスクが発生すると主張)」としてGCHQによって提唱された「ゴーストプロトコル」のようなものを推進するのではないかという考えについて尋ねたところ、オレイニク博士は「現代の技術によりセキュリティはより強力になっているため、暗号化の弱体化は難しい領域であると言えます。最新のセキュリティエコシステムでは、電気通信インフラストラクチャーからの合法的な傍受はまず想像できません。民間企業にとっては信頼の問題でもあります。個々のユーザーはオンラインで今後も自由に社会的活動をし続けることができるのか?これは、答えを導き出すのに数十億ドルはかかる質問です」と述べた。

関連記事:人気スマホゲーム「アニマルジャム」でデータ流出、いますぐ親がすべきこととは

カテゴリー:セキュリティ
タグ:ヨーロッパ プライバシー

[原文へ]

(翻訳:Dragonfly)

IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明

広告業界団体のIAB Europeが作成した、行動ターゲティング広告でインターネットユーザーの同意を取り付ける主力のフレームワークが、データ保護で要求される法的基準を満たさないことが、EUデータ監督局の調査で明らかとなった。

プログラマブルな広告のリアルタイム入札(RTB)コンポーネントにおける個人データの利用に関する告発を受けて、ベルギーのDPAは調査を開始した。高速の個人データ取引は、EU法に組み込まれたデータ保護要求へ本質的に適合できないとするものだ。

IAB Europeの透明性と同意の枠組(TCF)はヨーロッパのあらゆるウェブに出現し、ユーザーへ広告トラッカーの同意(または拒否)を要求する。広告業者がEUのデータ保護規則に従いやすくするのが、表向きの目的だ。

これは、2018年5月にEUの一般データ保護規則(GDPR)が開始し、欧州地域のデータ保護規則が大幅に変更されたことに応えて、広告業界の規格団体が作成した内容である。GDPRは個人データ処理の同意に関する基準を厳しくし、準拠しない場合は大幅な罰則を適用するため、広告トラッキング業界の法的リスクが増している。

IAB Europeは2018年4月にTCFを導入し、その時点では「デジタル広告のエコシステムがGDPRとeプライバシー指令の要件に適合しやすくなった」と述べていた。

今年8月にフレームワークを導入したアドテックの巨人であるGoogleを含めて、同フレームワークは広範に普及している。

欧州以外でも、IABは最近、同じツールの別バージョンをカリフォルニア州の消費者保護法への「準拠」に使用するよう働きかけている。

しかし、ベルギーのデータ保護当局の調査部門が発見した内容は、フレームワークが名目上の目的を満たしていないことを示唆しており、フレームワークの採用に疑問を投げかけている。

TechCrunchがレビューしたベルギーDPAの捜査サービスのレポートでは、多数の懸念事項が発見されている。これには、TCFがGDPRの公開性、公平性、説明責任の原則に適合していないことや、データ処理の非合法性が含まれる。

また、TCFが特殊カテゴリー(健康情報、支持政党、性的嗜好など)で十分な規定を設けていないにも関わらず、データを処理していることも指摘されている。

また、IAB Europeの評判を著しく損なう事例も報告されている。DPAの検査官はデータ保護担当者の不在や、社内のデータ処理活動を記録していない事実を発見した。

IAB Europeのプライバシー方針も、十分とは言えないことが指摘されている。

私たちはIAB Europeに対し、検査官の発見内容に対するコメントを要求した。更新情報:本記事の末尾に、最初の回答が記載されている。更新情報2:広告規格団体は声明を発表し、TCFが「最小限のベストプラクティス」を含む「任意参加の規格」であることを説明している。また、「広告業者によるTCFの解釈に基づき、IAB Europeがデータを取得しているとする、(ベルギーDPAによる)法の拡大解釈に対し、敬意を表しつつも反対いたします。」とし、こう付け加えている。「(ベルギーDPAによる)解釈が認められた場合、業界に属する企業を支援し消費者を保護することを目的とした、オープンソースの準拠規格作成が大きく勢いをそがれます」。

過去2年間にわたり、イギリスとアイルランドを筆頭に、欧州全体でRTBに対して多数の告発が寄せられている

最初のRTB告発を提出し、アイルランドの人権評議会でシニアフェローに就任したJohnny Ryan博士は、TechCrunchにこう答えた。「TCFは、行動ターゲティング広告とトラッキング業界に深く浸透している、違法の可能性がある大量のデータ侵害に対してトラッキング業界が応急処置を施した成果です。今回、ベルギーDPAがそれをひき剥がし、違法性を暴露しました」。

Ryanは以前、RTB問題を「史上最大のデータ侵害」と呼んだことがある。

先月、彼はRTBがどれほど広範囲に、かつ問題ある方法で個人データを漏洩しているか、戦慄すべき証拠一式を発表した。データブローカーが2019年のポーランド議会選挙の結果を左右するため、RTBを使用してLGBTQ+コミュニティの人々をプロファイリングしていたことなどが記されている。また、別のデータブローカーがアイルランドのインターネットユーザーを「薬物乱用」、「糖尿病」、「慢性痛」、「睡眠障害」などのカテゴリーに分類してプロファイリングし標的としていたことも判明している。

RTBに対する最初の告発を手掛けた弁護士、Ravi Naikは声明を通じ、ベルギーの検査官が発見した内容についてこう述べている。「この発見結果は衝撃的で、しかも遅すぎます。模範を示すべき存在であったIABは、今やGDPRの違反の元凶です。監督局は、IABがデータ所有者に対するリスクを「無視」していることを、当然のごとく発見しました。IABの責任は今や、こうした侵害を止めることにあります」。

RTBに対する告発を受け、イギリスのデータ監視団体であるICOは2019年6月に行動ターゲティング広告に対して警告を発し、業界に対してデータ保護基準に適合する必要性を促している。

しかし、規制当局は強制力のある行動を起こせていない。口調の柔らかなブログ記事がいくつか発表されただけだ。最近では、コロナウイルス感染症が理由で、本件に関する(進行中の)捜査活動を一時的に停止している

昨年度起こったもう一つの事例では、アイルランドのDPCがGoogleのオンラインAd Exchangeに対する捜査を開始し、個人データの処理の違法性を調べ始めた。しかし、この捜査はほとんど手が付けられていない案件の山に埋もれたままである。また、アイルランドの規制当局は、ITの巨人が関わる大規模な国際GDPR事例では、決断までに時間がかかりすぎると批判を浴びている

アムステルダム大学でデータ保護を研究する博士研究員であり、かつベルギーの事例では原告の一人でもあるJef AusloosはTechCrunchに対して、DPAの行動は他のEU規制当局へも対応を迫っており、そうした組織の「身がすくんで全く何もできないでいる実態」を浮かび上がらせていると述べた。

彼はこう付け加えている。「今後数か月から1年の間に、アイルランド当局の行動を待たずに他のDPA組織がしびれを切らし、自身で対処を開始することになるでしょう。

データ保護当局がオンライン広告業界を根底から突き崩すため、ようやく動き出したことは歓迎すべき兆候です。監視資本主義を打破するための、重要な最初のステップと言えるでしょう」。

規制プロセスには多数の作業が存在するため、ベルギーDPAが検査官のレポート内容に従い、具体的な行動をとるまでにはまだ数段階のハードルがある。私たちはベルギーDPAへ意見を求めて打診した。更新情報:以下を参照していただきたい。

しかし、原告によれば、検査官が発見した内容は訴訟局へ移管されており、2021年初頭には何らかの行動がとられると予想されている。つまり、EUでプライバシー保護を求めて活動する人々は、近い将来に広告トラッキング業界/データ処理産業体に対して、ようやく自らの権利を主張できるようになる可能性がある。

広告業者にとっては、コンテンツを収益化する方法を変革しなければならないことを意味する。疑わしい広告に代わり、人権を尊重した代替の手法(個人データを利用しない、コンテキスト別の広告ターゲティングなど)がとられる可能性がある。一部の広告業者はすでにコンテキスト広告に切り替え、収益を上げる方法を見出している。会員制のビジネスモデルも可能となる(ベンチャーキャピタルの一部には反対する声もあるだろうが)。

更新情報 I:次の行動と決定を下すまでにかかる予想時間について、ベルギーDPAの広報担当者は私たちの質問にこう答えた:「手続きの点でいえば、調査サービスのレポートはベルギーDPAの訴訟局へ移管されたため、訴訟局が妥当性を評価して案件を審査します。

現時点では、訴訟局がこの案件に関して決断を下すまでにかかる期間を予想することは差し控えたいと考えています」。

更新情報 II:レポートに対する意見を求められたIAB EuropeのCEO、Townsend Feehanは、私たちに対して広告規格団体は間もなく声明を発表する用意があると答えた。また、レポートのタイトルについて、Feehanはこう述べている。「タイトルは誤解を招きかねません。事実とは異なっています」。

どの部分が事実とは異なっているのかについては、Feehanは「GDPR標準に適合しない」とした部分を指摘し、「規制当局の裁定であるとの印象を強く与える」と反論した。

私たちの報道は、ベルギーDPAからの説明と引用を含め、手続きが現在進行中であると明確に述べていると指摘した際、Feehanはこう述べている。「私の考えでは、タイトルが誤解を招きやすい表現になっています。捜査の初期段階において『TCFがGDPR基準を満たしていない』ことが判明したと述べていれば、より正確に事実を描写しているはずです」。

特殊カテゴリーのデータについては、Feehanはこう主張する。「TCFを通じて特殊カテゴリーを処理することはできません。

レポートの細部に踏み入ることは避けますが、タイトルだけをとれば、TCFがGDPRに違反しているとDPAが発見したかのような印象を受けますが、それは事実とは異なります」。また、こうも付け加えている。「数時間のうちに、さらに詳細な声明を発表します」。

更新情報 III:IAB Europeのウェブサイトで、ベルギーDPAの捜査で判明した内容に関する声明の全文が読めるようになり、そこではこう述べられている。「APDのレポートはAPDの捜査部門による初期見解に基づいており、IAB Europeがいかなる意味でも法律違反を犯したと断定する拘束力は持ちえません」。

関連記事:EUのウェブサイトにおけるGoogleアナリティクスとFacebook Connectの使用禁止を求め集団訴訟が発生

カテゴリー:セキュリティ
タグ:広告業界 プライバシー GDPR

[原文へ]

(翻訳:Dragonfly)

テックパブリッシャーの連合がブラウザレベルのプライバシーコントロールを推進

Do Not Track(トラッキング拒否、DNT)機能を覚えているだろうか。トラッカー愛好家のアドテック業界は、ユーザーフレンドリなプライバシーコントロールをブラウザに組み込むという、10年以上にわたる不毛の試みのことはもう忘れてほしいと考えている。しかしプライバシーを重視するテック企業、出版社、権利擁護団体の連合がこのたび、インターネットユーザーに自分のデータを保護するための非常に簡単な方法を提供する、新たな標準の策定を推し進めることを発表した。

この取り組みは、個人データの販売を阻止するために、プライバシー保護のシグナル機能をブラウザに組み込むというもので、Global Privacy Standard(グローバルプライバシー標準、GPC)と名付けられ、FTCの元CTOであるAshkan Soltani(アシュカン・ソルタニ)氏とプライバシー研究者のSebastian Zimmeck(セバスチャン・ジメック)氏が中心となって進めている。

GPCに対しては、The New York Times(ニューヨークタイムズ紙)、The Washington Post(ワシントンタイムズ紙)、Financial Times(ファイナンシャルタイムズ紙)、WordPressで有名なAutomattic(オートマティック)、開発者コミュニティのGlitch(グリッチ)、プライバシー検索エンジンのDuckDuckGo(ダックダックゴー)、トラッキング対策ブラウザのBrave(ブレイブ)、FirefoxメーカーのMozilla(モジラ)、トラッカーブロッカーのDisconnect(ディスコネクト)、プライバシーツールメーカーのAbine(アビーン)、Digital Content Next(デジタル・コンテント・ネクスト)、Consumer Reports(コンシューマー・レポート)、デジタル著作権グループのElectronic Frontier Foundation(電子フロンティア財団、EFF)が、さっそく支持を表明している。

GPC運営団体はこの取り組みに関するプレスリリースの中で「最初の実験段階では、各ユーザーがAbineBraveDisconnectDuckDuckGoEFFのサイトからブラウザと拡張機能をダウンロードして『販売も共有もしない』という考えを、GPCに参加するパブリッシャーに伝えることができます」と述べている。

「さらに、GPCを多くの組織によってサポートされるオープンスタンダードに発展させることを目指しており、この提案の実現にふさわしい場所を見つけているところです」と付け加えた。

冒頭で触れた「DNT」に似ている今回の取り組みは、少なくとも当面はカリフォルニア州消費者プライバシー法(CCPA)に合わせて構築される。CCPAは、州内のインターネットユーザーに、自分のデータが販売されることをオプトアウトする権利を与えており、Prop24と呼ばれる11月の投票法案が可決されれば、その権利がさらに強化される可能性がある。

同法はまた、ブラウザからのシグナルによるユーザーのオプトアウト要求を尊重することを企業に義務付けている。これはDNTの支持者たちが常にDNTに対して望んでいた、衝突の少ないブラウザレベルのコントロールの可能性を復活させるものである。

GPC運営団体の目的は、個人データ販売のブラウザレベルでのオプトアウト要求に対してCCPAの対象企業が法的に対応せざるを得なくなるような標準を策定することである。ただし、そのためにはカリフォルニア州法の下で、この標準が法的拘束力のあるものとして認められることが必要となる。

GPCはプレスリリースの中で「カリフォルニア州のBecerra(ベセラ)司法長官と連携して、GPCの法的拘束力がCCPAの下で認められるようになる日を心待ちにしています」と述べている。

TechCrunchは、GPCによるこの発表に対するベセラ氏の反応を取材するために、同氏の事務所に問い合わせてみた。また、同氏はGPCの提案について「消費者が自分のプライバシー権をオンラインで簡単に行使できるようにする、意義のあるグローバルなプライバシーコントロールに向けた第一歩だと思います」と肯定的にツイートしている。

さらに「カリフォルニア州司法省は、テクノロジーコミュニティがCCPAおよび消費者のプライバシー権を促進するためにグローバルなプライバシーコントロールを開発するのを見て心強く思っています」と付け加えた。

それと同時に、そしてGPCの名前が示す通り、目標は欧州のGDPRフレームワークのように、他の国のプライバシー制度に合わせて柔軟に変更できる標準を策定することだ(ちなみに、欧州のGDPRフレームワークは市民に対してデータに関する一連の保護的権利およびアクセス権を提供するものであり、データ販売に対するCCPAオプトアウトとは少し異なる)。

「欧州のGDPRは現在、具体的にGPCのような仕組みの導入を目指しているわけではありません。しかしEUのDPA(データ保護機関)が、GPCのような仕組みを、消費者がGDPRの下で(販売への異議を含め)権利を行使する有効な手段として検討する可能性がある、と私は考えています」とソルタニ氏はTechCrunchに述べ、「またこの仕様は、法律がCCPAと若干異なる場合にも対応できるように設計されています(例えば、GDPR下での特定の用途に対してユーザーが異議を唱えることも可能です)。また、来月CPRA(Prop24)法案が通過して、新たな権利が生まれた場合にも対応できる設計になっています」と付け加えた。

この取り組みについては1つ、明白かつ大きな疑問点がある。それは、CCPAのオプトアウトシグナルを発信する手段として、なぜDNTを復活させないのかということだ。

DNTがユーザーに受け入れられるように、何年にもわたって多くの労力とリソースが費やされてきた。ブラウザメーカーから幅広い支持を得られたことを考えると、DNTはまったくの失敗だったとは言えない。しかし、法的強制力がなくコンプライアンスが欠如しているため、DNTは空中分解しつつある。

しかし(少なくとも欧州とカリフォルニア州においては)個人のデジタルデータを保護する強固な法制度が整った今、DNTを復活させ、今回は定着させる機会があるかもしれない(実際、EUの一部の議員は近年、EU eプライバシー規則の計画的な改革の一環として、データ処理への同意を表明するために「Do Not Track」設定を使用することを提案している。おそらく、GDPRコンプライアンスへの取り組みによって急増している乱雑な同意ポップアップを整理することを念頭に置いてのことだろう)。

しかし、なぜDNT 2.0ではなくGPCなのかという疑問の答えは、Do Not Trackの周りに蓄積された問題も関係しているようだ。 「Do Not Track(追跡しないで)」という、的を射たCTA(行動喚起)の表現は今なおアドテック企業の重役の背筋をぞっとさせることができるのだ(一方「Global Privacy Control」は、アドテックのロビイストが思いつきそうな、無味乾燥な名称であるため、業界をそれほど動揺させないかもしれない)。

さらに深刻なのは、カリフォルニア州議会がCCPAを策定するときに、オプトアウトのシグナルを示すためにDNTを使用する可能について議論し、業界からのフィードバックを集めたことである。しかし、州議会が受け取ったフィードバックは「ほとんどの企業が(そのシグナルを)無視している」というものだった。ということは、DNTを復活させても、引き続き無視されるだけだと思われる。

したがって、ユーザーのプライバシーを守る手段に法的拘束力を持たせるには、DNTよりも精密な仕組みが必要だ。

さらに、GPCはその取り組みにおいて、DNTをオプトアウトのメカニズムとして使用しようとしていたし、実際に使用できると期待していたようだ。しかし最終的には、コンプライアンスに関する懸念を考慮し、より幅広いDNTシグナルを発信しても企業がそれを無視するという問題を回避するにはCCPA固有のメカニズムが必要だと判断した。

ダックダックゴーのCEO兼創設者であるGabriel Weinberg(ガブリエル・ワインバーグ)氏は支持声明の中で次のように発表している。「オンラインでプライバシーを確保する方法はシンプルで誰もが利用できるものでなければなりません。Global Privacy Control(GPC)は、ユーザーがプライバシーに対する自身の希望を表明できるシンプルで普遍的な設定を構築することで、私たちをこのビジョンの実現に一歩近づけてくれます。ダックダックゴーはこの取り組みの創設メンバーであることを誇りに思います。そして本日より、GPCは当社のモバイルブラウザおよびデスクトップブラウザの拡張機能でローンチされ、1000万人以上の消費者がこの設定を利用できるようになります」。

また、モジラのFirefox Desktop(ファイアフォックス・デスクトップ)担当副社長であるSelena Deckelmann(セレーナ・デッケルマン)氏も次のように語っている。「モジラはGlobal Privacy Control構想を喜んで支持します。人々のデータ権利は認められ、尊重されなければなりません。この構想は正しい方向への第一歩です。当社は、他のウェブ標準コミュニティと協力して、このような保護機能をすべての人に提供できることを楽しみにしています」。

提案されているGPC標準の全文はこちらを参照のこと。

アップデート:Ron Wyden(ロン・ワイデン)上院議員も「企業が消費者データを追跡・販売するのを阻止するための、現実的で強制力のある方法を消費者に提供するときが来ています。My Mind Your Own Business Actはまさにそれを実現するものであり、このプロジェクトはそれが可能であることを示しています」と述べて、GPC構想への支持を表明している。

関連記事:最新の4G「スティングレイ」携帯電話スヌーピングを検出できる新技術

カテゴリー:パブリック / ダイバーシティ

タグ:プライバシー CCPA

[原文へ]

(翻訳:Dragonfly)

最新の4G「スティングレイ」携帯電話スヌーピングを検出できる新技術

セキュリティ研究者たちは、最新のセルサイトシミュレーターを検出する新しい技術を開発したと述べている。

「スティングレイ」として知られるセルサイトシミュレーターは、携帯電話基地局になりすまし、その範囲内にあるすべての電話に関する情報(場合によっては通話、メッセージ、データなど)を取得することができる。米国では、警察が年に何百回も密かにスティングレイを使用しており、その過程で罪のない第三者のデータを収集することも多くある。

スティングレイについては意図的に秘密にされているため、詳細はほとんど知られていない。Harris Corp(ハリス社)が開発し、警察と法執行機関だけに販売されているスティングレイは、厳格な機密保持契約の対象となっており、警察がこの技術の仕組みについて述べることは禁じられている。しかし、スティングレイは携帯電話が2Gセルネットワークに接続する際の欠陥を利用しているということが分かっている。

これらの脆弱性のほとんどは高速で安全性の高い4Gネットワークでは修正されているものの、修正しきれていない部分もある。「ヘイルストーム」デバイスと呼ばれる最新のセルサイトシミュレーターは、4Gの同様の欠陥を利用し、警察が新しい携帯電話やデバイスを監視できるようにしている。

スティングレイなどのセルサイトシミュレーターを検出できると謳う携帯電話アプリも一部あるが、ほとんどは誤った結果をもたらす

しかし、Electronic Frontier Foundation(EFF:電子フロンティア財団)の研究者たちが、ヘイルストームデバイスを検知できる新しい技術を発見した。

これはオーストラリアの自然保護活動家Steve Irwin(スティーブ・アーウィン)氏が2006年にアカエイの棘によって亡くなったことにちなんで「Crocodile Hunter(クロコダイル・ハンター)」と呼ばれるEFFの最新プロジェクトで、セルサイトシミュレーターを検出し、近くにある4G信号をデコードして、携帯電話基地局が本物かどうかを判断する技術である。

携帯電話が4Gネットワークに接続するたびに、ハンドシェイクと呼ばれるチェックリストが実行され、携帯電話がネットワークに接続できることを確認する。これは、IMSI番号や位置情報など、ユーザーの携帯電話に関する固有の詳細情報を含む一連の暗号化されていないメッセージを携帯電話基地局と交換することによって行われる。これらのメッセージは、マスター情報ブロック(MIB)およびシステム情報ブロック(SIB)と呼ばれ、携帯電話がネットワークに接続しやすいように、携帯電話基地局からブロードキャストされるものである。

「ここにこそ4Gの脆弱性の核心部分が存在します。」と、研究を率いたEFFシニアスタッフテクノロジスト、Cooper Quintin(クーパー・クィンティン)氏は述べている。

セルサイトシミュレーターがどのように機能するかについてのEFFの技術論文を執筆したクィンティン氏と研究員のYomna Nasser(ヨムナ・ナサール)氏は、MIBとSIBメッセージを空中で収集してデコードすることで、不正な携帯電話基地局を特定できる可能性があることを発見した。

これがCrocodile Hunterプロジェクトの基礎となった。

Image Credits: U.S. Patent and Trademark Office

Crocodile Hunterはオープンソースで、誰でも実行できるが、動作するためにはハードウェアとソフトウェアの両方のスタックが必要である。Crocodile Hunterは4Gのセルラー信号をスキャンし、基地局のデータを解読し、三辺測量を使って基地局を地図上に視覚化する。

しかし、このシステムでは、実際のセルサイトシミュレーターを特定できるような異常を発見するために、ある程度の思考と人によるインプットが必要となる。これらの異常とは、どこからともなく現れた基地局、移動しているように思われる基地局、既存の基地局の既知のマッピングと一致しない基地局、意味をなさないように見えるMIBおよびSIBメッセージをブロードキャストしている基地局、といったものである。

クィンティン氏によると、そこが検証が重要である理由であり、スティングレイ検出アプリはこれをしないという。

「異常が見つかったからといって、セルサイトシミュレーターが検出されたわけではありません。実際的な検証を行う必要があるのです。」

クィンティン氏はあるテストで、サンフランシスコのカンファレンスセンターの外にあるトラックまで怪しい基地局を追跡したが、それは内部で行われる技術カンファレンス向けにセル容量を拡張するために契約された移動式の携帯電話基地局であることが判明した。「移動式の携帯電話基地局は珍しくありません。」とクィンティン氏は語る。「しかしセルサイトシミュレーターといくつかの興味深い類似点を持っています。すなわち、通常そこにはなく、突然現れ、そして去っていくポータブル基地局である点です」。

今年始め、クィンティン氏はワシントンD.C.で開催されたShmooConセキュリティカンファレンスで、Crocodile Hunterを使って別のテストを実施した。ここでは以前セルサイトシミュレーターが発見されているのだが、今回も2つの怪しい基地局が検出された。バミューダのセルネットワークに関連付けられたモバイルネットワーク識別子をブロードキャストしていた基地局と、セルネットワークに関連付けられているようには見えなかった基地局である。ワシントンD.C.はバミューダから遠く離れており、どちらもあまり意味をなすものではなかった。

クィンティン氏は、このプロジェクトはセルサイトシミュレーターを検知することを目的としているが、警察はセルネットワークが脆弱である限りセルサイトシミュレーターを使用し続けるだろうし、この脆弱性の修正には何年もかかる可能性がある、と指摘する。

脆弱性を修正する代わりに、携帯電話メーカーが攻撃を防ぐためにデバイスレベルでの対策を強化することはできる、と同氏は述べている。旧来型の2Gネットワークへのアクセスをオフにできるようにすることで、ユーザーが旧来型スティングレイ攻撃を事実上オプトアウトできるというものだ。一方で、セルネットワークや業界団体はHailstormデバイスが悪用する脆弱性の修正に取り組むべきであると同氏は述べている。

「これらのソリューションはどれも絶対確実なものではありません」とクィンティン氏は語る。「しかし私たちはまだ最低限のことさえできていないのです」。

関連記事:コロナ禍と社会動乱の同時発生によってはっきりしたAI規制の必要性

カテゴリー:セキュリティ

タグ:プライバシー スマートフォン

[原文へ]

(翻訳:Dragonfly)

物議を醸したClearview AIがまたまた米政府機関と顔認識ソフトウェアで契約

物議を醸し出している顔認識ソフトウェアのメーカーであるClearview AIが、こちらも物議を醸し出している米国の政府機関ICE(移民・関税執行局)と新たな契約を結んだ。Clearviewはトランプ政権における厳しい移民政策の実施で強く批判されている国土安全保障省の下部組織に協力していることですでに知られている。新しい契約は両者の関係が継続していることを明確にしており、同社は、テクノロジー企業が連邦政府との契約を獲得するための収益性の高い取り組みに、一役買っているだけではない。

テクノロジー業界の監視役を自称するTech Inquiryが最初に見つけたその契約(Twitter投稿)は総額22万4000ドル(約2400万円)に上るが、契約内容は「Clearviewのライセンス」としか書かれていない。同社のソフトウェアサービスにアクセスするという意味だろう。同社の落札通知(米国総務局リリース)によると、資金の出どころはHomeland Security Investigations(HSI、国家安全保障捜査)となっているが、これはICE内部の部局でドラッグや人身売買を含む「国境を越えた犯罪行動」にフォーカスしている。入札に参加したのは4社だ。

関連記事:セキュリティーの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩

Clearviewは論争の的になっている。同社の謎めいた顔認識技術(The New York Times記事)では、クライアントが誰かの写真をアップロードすると、ソーシャルネットワークを含むオンラインソースからかき集めた大規模な写真データベースと照合する。人権グループは、Clearviewの技術をプライバシーの悪夢と呼んでいるが、人を調べることが仕事である法執行機関にとっては夢のような技術だ。

それまで無名に近かったClearviewは、2020年1月に全国紙の記事になって(The New York Times記事)からは、プライバシー保護団体や大手テクノロジー企業から絶えず批判されている。Facebook(フェイスブック)やGoogle(グーグル)、Linkedin、Twitter(ツイッター)それにYouTubeなどは揃ってClearviewを批判し(Gizmodo記事)、自分たちのプラットフォームからデータを勝手に流用していることを非難した。一部の企業は、利用規約に違反しているとして停止命令の書簡を送った。

2020年5月にACLU(アメリカ自由人権協会)は、プライバシー侵害でClearviewを訴えていると発表した。訴訟ではイリノイ州のBiometric Information Privacy Act(生体認証情報私権法、BIPA)を同社に適用しているが、以前にはこの同じ法律で、イリノイ州住民がフェイスブックとの5億5000万ドル(約586億2500万円)の和解を引き出したこともある。

ACLUの上級常勤弁護士であるNathan Freed Wessler(ネイサン・フリード・ウェスラー)氏は、その訴訟について「Clearview AIのような企業は私たちのプライバシーをなきものにしてしまうため、止めさせなければならない」と述べている。

関連記事:顔認識スタートアップのClearview AIがイリノイ州法違反で集団訴訟に発展

カテゴリー:人工知能・AI

タグ:人工知能 Clearview AI プライバシー

画像クレジット:Bloomberg / Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

「トラッキングは広告収益増に絶対必要」という思い込みを覆すオランダ国営放送局の事例

「ウェブ上でユーザーを追跡し、その行動履歴を元にターゲットを絞って広告を配信するという、プライバシーに反した手法で、果たしてパブリッシャーはどの程度の収益を手にしているのか」と疑問に思ったことがあるだろうか。議論の的となってきたこの点について、プライバシー重視のブラウザBrave(ブレイブ)が、オランダの国営放送局NPOから許可を得て入手した興味深いデータを公開した。

このデータによると、NPOが今年1月から6月までターゲット広告用のトラッカー使用を停止したところ、広告収益が増えたという。しかも、3月に新型コロナウィルス感染症のパンデミックが始まり、世界的にデジタル広告が大きな打撃を受けたのにも関わらず、そのような結果となった(例えば、Twitter(ツイッター)は第二四半期の広告収入が約4分の1減少したと報告している)。

NPOが運営するさまざまなウェブサイトにおけるオンライン動画の視聴者数は月710万人、月あたりの表示リーチは580万人に達する。同局は今年1月に、それらのウェブサイトに表示する広告をコンテキスト広告に切り替えた。

Braveが今回公開した過去6か月分のデータの分析結果によると、当該期間中、NPOの広告収入は毎月増加している。監視資本主義を機能させるための基盤として使われてきたアドテック(広告テクノロジー)の泥沼から抜け出したNPOの広告収益は、以下のように毎月、前年比増を続けている。

  • 1月:62%、2月:79%、3月:27%、4月:9%、5月:17%、6月:17%

今月初め、BraveはNPOの5か月分の広告収益データを公開した。したがって、上記のデータは、このトピックについてBraveが少し前に投稿したブログ記事に掲載されたデータの最新版となる。NPOの広告販売会社であるSter(ステア)から提供されたこの最新のデータでは、数字が若干上方修正されている。要するに、非追跡型広告の収益は、パンデミック発生中も含めて半年間、増え続けているということだ。

行動ターゲティングからコンテキストターゲティングに切り替えることで広告収益が増加するという話を、現在、広告トラッキング業界とトラッカー擁護派から聞くことはない。いわゆる大手プラットフォームは、インターネットのアテンションエコノミー(人々の関心や注目の度合いが経済的価値を持つという概念)とデジタル広告を売買するためのデジタルインフラをがっちり押さえることによって、この5年間ほど莫大な収益を上げてきた。(一方で、このデジタル広告好況期においてもパブリッシャーの広告収入は多くの場合停滞または低下してきた)。

アドテック業界は、コンテンツ制作者が読者監視システムの排除を余儀なくされたら、パブリッシャーの収益は大幅に減少する、と主張し、トラッキングとターゲットの絞り込みは切っても切れない関係にあると考えたがる(Google(グーグル)の広告プラットフォーム担当副社長は昨年、AdExchanger(アドエクスチェンジャー) に対して、トラッカーをブロックすることでパブリッシャーのプログラマティック広告収入が減少すると、CPMが半分に削減される可能性があると述べている)。

驚いたことに、広告トラッカーの使用を中止した後パブリッシャーの広告収入が増大したという報告はこれが初めてではない。

Digiday(ディジデイ)が昨年報じたところによると、New York Times (ニューヨークタイムズ)が欧州の大幅な規制改正を前に追跡型広告を停止してコンテキスト・地理ターゲティングへと切り替えたところ、広告収益が増加したという。

ニューヨークタイムズには、すべてのパブリッシャーが持つわけではない、一定のブランド力がある。そのため、トラッキング業界は、ニューヨークタイムズのケースを他のパブリッシャーでも広く再現することは不可能だ、と反論している。そんな中で公開されたNPOのデータは、同局のコンテンツが支配的でないウェブサイトにおいてさえ広告収益が増加したことを示しているという点でより興味深いものだ、とBraveは分析する。

NPOのポリシー/インダストリー・リレーションズ最高責任者Dr Johnny Ryan(ジョニー・ライアン)博士は次のように書いている:

NPOとその広告販売会社ステアは、コンテキストターゲティング広告とそのテストに投資し、同社のコンテンツが支配的ではないサイトでも大幅な収益増を達成した。確かにステアにはNPOのメディアグループ全体の広告在庫を一手に扱えるという強みがある。2019年の収益増はそのおかげだったかもしれない。しかし、2020年の収益増はそれでは説明がつかない。パブリッシャーに市場優位性がない場合でも、サードパーティによるトラッキングを止めて、NPOのように大幅な収益向上を実現することは可能だ。

ライアン氏は、(ジャンクやクリックベイトなどではない)「正当な」パブリッシャーであれば、規模に関係なくNPOのように広告収益の増加を実現できると考えており、その理由を以下のように語っている。

NPOは国営放送グループではあるが、そのさまざまなウェブサイトはオランダのウェブトラフィックランキングの上位を占めているわけではない。NPOのウェブサイトのうち、その分野でオランダの上位5位以内に入っているサイトはNos.nlだけである。NPOの他のウェブサイトはオランダの上位100位以内にも入っていない。Similar Web(シミラー・ウェブ)が(オランダの他社サイトと比較して)算出した他のNPOサイトのトラフィックランキング推定順位は、オランダの人気サイトランキングの180位~5040位の範囲に収まる程度である。NPOウェブサイトの人気や各コンテンツ分野の市場での地位は、販売インプレッション数の増加とは無関係だ。全国サイトランキング、カテゴリ別のサイトランキング、ページビュー数はそれぞれのウェブサイトによって大きく異なるが、インプレッションの増加は、すべて83%を超えている。1つ例外があるが、原因ははっきりしている(該当期間中に技術的な問題が発生し、最も人気のあるプログラムの1つにおける広告表示が阻止されたことが原因だった)。

もちろん、トラッキングに反対する市場の価値観と一致した収益モデルを持つBraveにとって、これは自社を宣伝するチャンスだ。しかし、だからといって、追跡型広告の中止によりNPOの広告収益が増加したという事実が持つ意義が損なわれることは決してない。

NPOのプライバシー担当責任者であるJoost Negenman(ヨースト・ナインマン)氏はTechCrunchに取材に対し、「コンテキスト広告に切り替えることで広告収益が増加するなど思ってもみなかった」と答えた。同氏によると、コンテキスト広告への移行は、昨年半ば頃、NPOが使っていたプログラムによるターゲティング広告システムは、同局が担う「公的役割」と相反するものだと自ら確信したために実施されたのだという。

「広告収益はかなり減るだろうと思っていた」とナインマン氏は語る。コンテキスト型への移行時点で、ステアが自社のプログラム型広告システムに必要なCookieの使用についてユーザーから獲得していた許諾率は10%程度にすぎなかった。ちなみに、GDPR(一般データ保護規則)の施行前は許諾率は75%を超えていた(これはおそらく、当時のCookie同意モジュールが「明示的ではなく暗黙の同意」に基づくものだったからだと思われる。GDPRでは、同意を法的に有効なものとするには、具体的で、十分な告知がなされ、自由に決定できるものでなければならない)。

「当時は洗練された代替テクノロジーが存在しなかったこともあり、NPOとステアが市場で標準となっていたアドテックを拒否すれば、広告主から完全に無視されるだろうと思っていた。ところが幸いにもこれは我々の誤算だった。プログラマティック型広告ソリューションを信奉し広めていたのがオンラインの商売人や企業だったという点も幸いしたのだろう」。

ナインマン氏は、コンテキスト広告に切り替えたことで以外にも広告収益が増加した要因として、NPOとその関係放送局の「Aブランド」としての強みがあったことを指摘する。つまり広告主はコンテキスト広告への移行後もユーザーにリーチできることを望んだのだ。また、プライバシー保護を支持する時代精神を味方につけたことも収益増に貢献した。

「アドテックのユーザー監視機能が強化されていることには誰もが気づいていた。この点は説明不要だろう」とナインマン氏は言う。

NPOがコンテキスト広告へ移行するにあたり、かなりの投資が必要だったことも指摘しておく必要があるだろう。例えば、記述的メタデータを構築することで動画コンテンツでより精密なコンテキストターゲティングが行えるようにするなど、ウェブ資産全体でコンテキストターゲティングを実現するテクノロジーのためにNPOはかなりの額を費やした。NPOと同レベルの高度なコンテキスト広告ターゲティングを実行するための資金を、すべてのパブリッシャーが用意できるとは限らない。

それでも、NPOのようにコンテキスト広告への移行後も継続的に広告収益増を達成できるとなれば、投資は短期で回収できる。初期投資をするだけの資金的余裕のあるパブリッシャーにとっては、今回のNPOのケースはかなり説得力のある事例だ。

「投資は1か月程度で回収できた。グーグルや他の仲介業者に支払う料金がすべて不要になった点は大きい。1ユーロの広告が売れれば、その1ユーロすべてがSterの収益になるからね」とナインマン氏は語る。

同氏はまた、オランダではNPOに対して90%以上のコンテンツに字幕を付けることを義務化する法律が制定されたため、コンテキストターゲティングを構築するための厄介な作業の一部がすでに終わっていたという点も指摘する。

「字幕データは当然価値のある記述的メタデータとなる。つまり、必要な前準備はある程度整っていたということだ。ただし、最近は比較的容易に自動作成できるようになっている字幕以外にも、(サブ)ジャンル、クレジットの俳優名などの標準的な番組情報も動画コンテンツにコンテキストを追加するのに大いに役立つ」とナインマン氏は語る。

Braveのライアン氏は、NPOの広告販売会社ステアもコンテキスト広告の成功に重要な役割を果たしたと推測する。「小規模なパブリッシャーは、ステアがNPOのさまざまなウェブ資産に対して行っているように供給を集約できる評判の良い広告販売会社と連携することで利点を享受できる。広告主や代理店が評判の悪い販売会社から広告を購入する場合は別として、どんな規模のパブリッシャーでも、その利益は評判の良しあしによって決まる」と同氏は言う。

コンテキスト広告への移行がすべてのパブリッシャーでうまくいくと思うかという質問に対して、ナインマン氏は、「そこまでは思わない」という。同氏は「すべてのAブランドのパブリッシャーには、このアプローチは確実に機能する。報道機関も、そのようなシステムへのフィードとして完全な(メタ)データを所有している」とし、市場にはコンテキスト広告にもターゲット型広告にもそれぞれに適した需要があると指摘する。

「すべてのオンライン広告が同じではない。オンラインでしつこく追いかけてくる追跡型広告でAブランドの認知度を獲得することはできない。コンテキスト型システムを開始することでおそらく、ユーザーが追跡されることないプライバシー保護の『楽園』が構築される。このシステムはそこで、広告収益とオーディエンスの尊重の両方においてその価値を証明することになる」とナインマン氏は語る。

「他の国営放送局にも、少なくともコンテキスト型広告のテストを開始する道義的責任があると思う。「アドテックシステムによる個人データと行動データの利用は正当化できないレベルに達しているため、GDPRに規定されている情報に関する義務を順守するのはほとんど不可能になっている」と同氏は付け加える。

アドテックプラットフォームによるユーザー情報の利用がもたらすさまざまな被害が増える中、前述の通り、プライバシーを侵害する監視資本主義に代わる実行可能な代替策があるという証拠が次々に発見されている

あらゆるタイプのパブリッシャーにとってコンテキスト型広告が収益増につながるというわけではないが、追跡型でなければ絶対にダメだという考え方はまったくの間違いだ。

(低俗なパブリッシャーを支えているユーザーデータの乱用は社会的悪であり、したがって、他人の不幸を利用するクリックベイト(および膨大な広告詐欺)を支えているシステムを支持することも(利益を手にする悪質業者以外の)すべての人にとって悪であるという、筋の通った主張もできる)。

ライアン氏は、従来型のアドテックを「正当なパブリッシャーをむしばむガン」とまで言い切る。以前、PageFair(ページフェア)という広告ブロックの解除を行うアドテック企業に在籍したことがあり、自身が酷評する悪質な企業の内部で働いた経験がある同氏だからこそ、その批判には容赦がない。

ライアン氏は内部関係者としての専門知識を生かして欧州の規制当局に多くの問題点を提起しており、とりわけ、プログラマティック広告が依存しているリアルタイムビディング(RTB)に反対している。RTBは、大量のインターネットユーザーの個人情報を集めて、手当たり次第に吐き出すからだ。

このような個人データの高速なやり取りは、個人情報は安全に扱う必要があり、紙ふぶきのようにまき散らすべきではないと規定されている欧州のデータ保護フレームワークと真っ向から対立する、というのがライアン氏の意見だ(ただしRTBについては、個人データを除外した上でコンテキスト広告専用に使うのであれば問題ないと同氏は考えている)。

欧州のデータ保護規制当局は、現在のアドテックの利用には「合法性」の問題があることを認めてはいる。しかし、現時点では、問題が広範に及ぶことを考慮し、強制的な行動に出ることはせず手をこまねいている状態だ

(ナインマン氏によると、興味深いことに、NPOは個人データを除外した上でプログラマティック広告のRTB利用を継続することを検討したことがあるという。「とはいえ、結局のところ、このアイデアが実用段階まで進むことはないだろう。個人的には、規制に準拠した広告とRTBの組み合わせを想像することはできる。最も重要なのは、個人データを信頼できるデータパートナーの管理下から出したり広告主と共有したりしてはならない、という点だ」と同氏は付け加えた。)

アドテック業界という大型タンカーを方向転換させるには時間がかかる。この機会に追跡型の広告でユーザーを付け回すのを止めてコンテキスト広告を実験的に試すパブリッシャーが増えれば、市場全体がプライバシーを保護する方向にシフトする可能性は高くなる。そうなれば、NPOのケースが示すように、パブリッシャーとユーザーの双方にとって大勝利となる可能性がある。

一方、競争規制当局は大手アドテックの市場支配力の問題に迫っており、巨額のデジタル広告支出を大手プラットフォームへと流す役割を果たす「垂直統合された中間業者チェーン」によって生じる利害の対立にも注目している。公的機関の介入によってグーグルのビジネス帝国を分割しアドテックのアド(広告)とテック(技術)を切り離すことで強制的に市場を改革するという考えを思いつくのは難しくない。

監視資本主義の原動力である私利的な力は、その手法が個人データを搾取しているという事実に誰も目を向けることがないまま富を築いた。今、多くの目が大手プラットフォームに向けられており、彼らの天下が終わる日もそう遠くはない。変化が起きるかどうか、という段階はもう過ぎている。事態はすでに目まぐるしく変化しており、プラットフォーム各社自体もサードパーティによる追跡型Cookieへのアクセスを制限する方向へ動いている

パブリッシャーは、プラットフォーム各社の次のパワーゲームを見越して、すでに次の手を考えておくのが賢明だろう

関連記事:研究者にデータへの「有意義な」アクセス権を与えることとプライバシーは両立する

カテゴリー:セキュリティ

タグ:広告業界 プライバシー

[原文へ]

(翻訳:Dragonfly)

コロナ禍と社会動乱の同時発生によってはっきりしたAI規制の必要性

編集部注:Newman(ニューマン)氏は、Baker MacKenzie(ベーカーマッケンジー)の北米企業秘密部門を率いている弁護士です。本記事に掲載されている見解や意見はニューマン氏個人のものです。

筆者は、イノベーションを推進しつつ公衆の衛生と安全を保護するためのAI規制を長年にわたり提唱してきた者として、筆者が提案し現在は下院の討議用草案となっている「Section 102(b) of The Artificial Intelligence Data Protection Act(人工知能データ保護法第102(b)条)」法案を、米国連邦議会が超党派で成立させるのをこれ以上遅らせるべきではないと考えている。この第102(b)条で規定されるAIの倫理的使用に関する法令は、いわば防護柵として、個人の尊厳を守るためになくてはならないものだ。

人工知能データ保護法第102(b)条とはどのような法律なのだろうか。また、連邦政府がこの法案を早急に成立させる必要があるのはなぜなのだろうか。

これらの質問に答えるには、まず、我々の民主主義社会が2つの脅威に同時に直面するという歴史上まれな状況の中で人工知能(AI)がどのように使われているかを理解することが必要である。それを理解して初めて、AIが個人の尊厳に対してどのようにリスクとなるのかを認識し、米国市民が大切にしている自由を守り社会の基盤を支えるうえで前述の第102(b)条が非常に重要な措置の1つであることを理解できる。

米国では今、人種差別と警官による暴力行為を終わらせようと大規模な抗議活動が行われており、それと同時に、死をもたらす新型コロナウイルス感染症のパンデミックを鎮めようと苦戦する中で社会不安が高まっている。この二重の危機のいずれの場合においても―さらには生活のすべての側面において―我々がそれに気づいているかどうか、あるいは同意しているかどうかに関わらず、個人に関する重要な決定を下すために政府や民間組織によってAI技術が導入されている。多くの場合、AIは社会を補助する役割を担い、我々が新しい日常にできるだけ早く順応できるように助けるものとして利用されている。

しかし、これまで政策立案者たちは全体的に、AIの利用が公衆の衛生と安全に及ぼす深刻なリスクを見て見ぬふりをしてきた。今までAIといえば、そのアルゴリズムのトレーニングに使われるデータセットの公平性、偏見の有無、透明性が注目されることがほとんどだった。確かに、アルゴリズムに偏見が入り込んでいることには疑いの余地がない。雇用や融資の現場を見れば、女性や民族的少数派が不公平な方法で排除されているケースを目撃するのは簡単だ。

我々はまた、AIが想定外かつ、時には説明不能でさえある結論をデータから導き出すのを見てきた。一例として、裁判官が非暴力事件の被告に公明正大な判決を下すのをサポートする目的で導入された再犯予測アルゴリズムに関する最近の事例について考えてみよう。理由はまだ明らかにされていないが、そのアルゴリズムでは23歳より若い被告に対してより高いリスク点数が算出され、その結果、収監回数がより多い23歳以上の犯罪者よりも実刑期間が12%長くなり、収監期間も再犯予測率も軽減されなかった。

しかし、米国が直面している二重の危機は、往々にして見過ごされてきた別のもっと厄介な問題を浮き彫りにした。それは、AIアルゴリズムが正常に機能した場合でも、その結果に対して社会が倫理的な観点から不快に感じる場合にはどのように対処すべきなのか、という問題である。AIの主な目的は、正確な予測データを算出することにより、人間が決定を下す際の判断根拠を提供することである。政策立案者は今こそ、「AIで何ができるか」ではなく「AIがすべきではないこと」について措置を講じるべきだ。

政府や民間企業は、個人データを果てしなく集め続けている。現在、AIアルゴリズムは米国を含め世界中で、我々すべてに関するあらゆる種類のデータを正確に収集、分析するために利用されている。例えば、群衆の中から顔認識でデモ参加者を監視したり、一般市民が適切なソーシャルディスタンシングを守っているかどうかを判別したりするのにAIが使われている。また、接触者追跡のために携帯電話のデータが収集されており、特定の地域における新型コロナウイルスの感染状況や、抗議デモの場所、規模、暴徒化の有無を予測するために、公開されたソーシャルメディアのデータが収集されている。さらに、マスク着用や高熱の有無を分析するためのデータがドローンを使って集められていることや、入院している新型コロナウイルス感染症患者の重症化の可能性を予測するために個人の健康情報データが集められていることも忘れてはならない。

これだけの量の個人データをこれほど大規模に収集して分析するのは、AIを使わなければ不可能だ。

治安を維持し壊滅的なパンデミックを抑え込むためという大義名分の下でAIを使って携帯電話のデータ、社会的な行動、健康記録、移動パターン、ソーシャルメディアの投稿内容をはじめとする多数の個人データセットにアクセスして個人のプロフィールを把握できるということはすなわち、さまざまな政府系の機関や法人が我々にとって最もプライベートな個性、政治観、社交関係、社会的行動について恐ろしいほど正確に予測し得ること、また現実にそうなることを意味している。

このまま何の規制も課されなければ、AIがはじき出した分析結果のデータが、法執行機関、雇用者、家主、医師、保険会社をはじめ、その種のデータを収集あるいは購入し得るあらゆる個人、民間企業、政府機関によって個人に関する予測的な判断を下すために利用され、判断根拠になった予測が正確かどうかに関わりなく、その判断結果が個人の生活に影響を及ぼし、自由民主主義の根幹を揺るがすことになる。雇用の現場において面接、採用、昇進、解雇の対象者を選ぶ際にAIが果たす役割はかつてなく大きくなっており、拡大し続けている。刑事司法の分野では、収監対象者や判決内容を決めるためにAIが使われている。その他の場面でも、例えば自宅への訪問者に対する防犯チェックや、病院で特定の治療を制限すること、融資申請の却下、ソーシャルディスタンシング規制に違反した場合の罰則などにもAIが関わっている。

AIに関する規制に乗り気でない人々は、上記のような懸念を単なる仮説で大げさすぎる話として片付けてしまいがちだ。しかし、ほんの数週間前、ミシガン州に住む黒人男性のRobert Williams(ロバート・ウィリアムズ)氏が、AI顔認識のミスによって誤認逮捕されるという事件が起きた。報道や米国自由人権協会(ACLU)のプレスリリースによると、デトロイト警察はウィリアムズ氏の自宅の前庭、妻と恐怖に震える2歳と5歳の娘たちの目の前で、同氏に手錠をかけたという。警察は同氏を自宅から40分ほど離れた拘置所に連行し、一晩収容した。次の日の午後に行われた取り調べで警察官が「コンピュータの顔認識が間違っていた」と認め、同氏はやっと釈放された―この時、逮捕から約30時間が過ぎていた。

この事件はAIによる顔認識のミスが無実の市民の逮捕につながった最初の事例として広く知られることになったが、このような事件はこれからも起きるだろう。今回の事件では、法執行機関による逮捕という、国民に大きな影響を与える重大な決定を下す際にAIが主要な根拠として使われた。我々はここで、AIの顔認識が間違った人間を特定して、その人の自由を奪ったという事実だけに注目すべきではない。AIが特定の重大な決定を下す際の根拠として使われるべきでない状況を特定して、そのような状況ではたとえAIの分析結果が正しいとしてもAIの使用を禁止しなければならない。

民主主義社会に住む者として、我々は、考えたが実行しなかった犯罪のせいで逮捕されたり、最終的に必ず死に至ると分かっている病気の治療を拒否されたりすることについて、ウィリアムズ氏の誤認逮捕事件と同じくらい不快に感じることだろう。個人の自由を守るために、いわばAIの「飛行禁止区域」を設ける必要がある。ある種の重大な決定が人工知能のアルゴリズムによってはじき出された予測結果のみに依存して下されることを絶対に許してはならない。

もう少し明確に言うと、AIにインプットしたデータにも、それに基づいてアウトプットされた結果にもまったく偏見が含まれておらず、透明性と正確性にもまったく問題がないことに、関係するすべての専門家が同意している場合であっても、それをどんな形であれ予測的あるいは実質的決定に使うことを禁止する法令を設けなければならない、ということだ。確かにこれは、数学的な正確さを追求するこの世界にはそぐわないかもしれないが、それでも必要なのである。

人工知能データ保護法第102(b)条は、AIが正確な結果を算出した場合と不正確な結果を算出した場合のどちらのシナリオにおいても適切かつ合理的にデータを保護できる規制である。具体的には次の2つの方法でデータを保護する。

第一に、第102(b)条では、どのような決定においてAIを根拠の全体もしくは一部とすることが禁じられるのかが具体的に指定されている。例えば、対象組織が人工知能のみに依存して決定を下すことがAIの誤用として禁止される場合について列挙されている。それには、個人の新規採用、雇用、懲戒処分、医療行為の拒否または制限、医療行為の範囲について医療保険会社が決定を下す場合などが含まれる。社会で最近生じてきた出来事に照らして考えると、AIが人種差別や保護されたマイノリティに対するハラスメントを助長するツールとして使われるリスクをさらに抑えるために、AI使用禁止対象となる分野は今後拡大していくことだろう。

第二に、第102(b)条では、AIによる分析が全面的に禁止されるわけではないその他の分野については、意思決定のプロセスにおいて必ず人間を関与させることが義務付けられている。

第102(b)条を早急に成立させることによって、立法機関は個人の生活に影響を及ぼす重大な決定が人工知能アルゴリズムによって算出される予測データのみに基づいて下されることを防ぎ、個人の尊厳を守ることができるのである。

関連記事:コロンビアから学ぶ、テック業界と輸送産業の発展を阻む古い規制

カテゴリー:人工知能・AI

タグ:コラム プライバシー

[原文へ]

(翻訳:Dragonfly)

研究者にデータへの「有意義な」アクセス権を与えることとプライバシーは両立する

欧州委員会の委員らは年末までに起草予定のデジタルサービス法(Digital Services Act :DSA)に盛り込まれる透明性要件を討議中である。これはインターネットプラットフォームに対し拘束力を持つ要件である。しかし、規制当局や研究者にデータへの有意義なアクセス権を提供し、プラットフォームが自ら拡散するコンテンツに対し責任を負うことができるようにするガバナンス構造をどう構築するかという問題は一筋縄ではいかない。

データを外部に公開するというプラットフォーム自身の取り組みは、控え目に言っても困難なものになっている。2018年、FacebookはSocial Science Oneイニシアチブを発表し、厳選された研究者グループに対し約1ペタバイト相当のデータおよびメタデータを共有するアクセス権を提供すると述べた。しかし、研究者がデータにアクセスできるようになるのに約2年かかった。

「私の人生の中で最もストレスのたまる出来事でした」と、このイニシアチブに参加した研究者の1人は今年始めProtocolに語った。公開されるデータを厳密に決めるFacebookとの交渉は20ヶ月にも及んでいた。

Facebookの政治的広告アーカイブAPIも同様に研究者を苛立たせている2019年、Mozillaは「Facebookは自らのプラットフォームに掲載される全広告の全体像をつかむことを不可能にしている(これは彼らがやっていると言っていることのまさに逆の行為である)」と述べ、同社による上辺だけの透明性を非難した。

一方Facebookは、米国のFTCによる介入後に同社の事業に付された欧州データ保護規則およびプライバシー要件を指摘し、データへのアクセスに関する進展が遅々としていることを正当化している。しかし、Facebookを非難する人々は、これが皮肉にも透明性や説明責任から逃れる隠れ蓑になっていると主張している。さらに言えば、そもそもこれらの規制はいずれもFacebookが人々のデータを取得することを妨げてはいないのである

2020年1月、欧州の主要データ保護規制当局はデータ保護および研究に関する予備的見解を書き、透明性や説明責任逃れに対し警告を発している。

EDPSのWojciech Wiewiorówski(ヴォイチェフ・ヴィエビオロフスキ)氏はその見解の中で、「支配的力を持つ企業が、透明性や説明責任を逃れる手段としてデータ保護の義務を悪用することがあってはならない。それゆえ倫理的なガバナンスフレームワーク内で研究活動を行っている研究者は、有効な法的根拠を持ち、比例性原則と適切な保護手段を条件として、必要なAPIやその他のデータへアクセスできるようにすべきである」と記した。

もちろん、Facebookだけが反則者というわけではない。Googleは、同社が「透明性」を主張する領域で、自らがリリースするデータを極めて厳重に管理し、ユーザーデータへのアクセスを厳格に掌握していることを根拠に自らを「プライバシーの擁護者」としてブランド化している。一方、Twitterは何年にもわたり、そのプラットフォーム内でのコンテンツの流れを把握することを目的とした第三者による研究を非難していた。TwitterのAPIはプラットフォームの全データやメタデータへの完全なアクセスを提供するわけではないので、そうした研究は全体像を説明するものではないと主張していたのである。これは説明責任を回避するもう一つの便利な隠れ蓑である。

最近、同社は研究者に対し期待を抱かせる発表を行った。ルールを明確にするために開発ポリシーを更新し、またCOVID関連のデータセットを提供するというのである。ただしそのデータセットに含まれるツイートをTwitterが選択するという点に変更はない。つまりTwitterが研究に対する実権を握ったままというわけである。

AlgorithmWatch(アルゴリズムウォッチ)による新たなレポートは、プラットフォームがデータへのアクセスを仲介することによって説明責任を回避するという、複雑に絡み合った問題に取り組んでいる。レポートでは、議論されているガバナンス構造の中でも特に医療データへのアクセスを仲介する方法からインスピレーションを得るといった、透明性を実現し、研究を強化するための具体的なステップが示唆されている。

目標:研究者に対しプラットフォームデータへの「有意義」なアクセス権が提供されること。(あるいは、レポートのタイトル通り:プラットフォームガバナンスにおける研究アクセスの運用:他の業界から何を学ぶか?)

「その他の多くの業界(食品、輸送、消費財、金融など)には、説明責任と公益を実現するための厳格な透明性ルールが適用されています。COVID-19が大流行し、私たちは仕事、教育、人とのつながり、ニュース、メディア消費においてオンラインプラットフォームへの依存度を強めています。そんな時節だからこそ、透明性のルールをオンラインプラットフォームにも適用する必要があります」と、Jef Ausloos(ジェフ・オスルース)氏はTechCrunchに語っている。

同レポートの執筆者らが読者として想定しているのは、ガバナンスフレームワークをいかに効果的なものにするかを熟考中の欧州委員会の委員である。レポートでは、独立したEU機関が、データを公開する企業とデータの受け手との間を仲介する形での、義務的データ共有フレームワークが提案されている。

もちろん、こうしたオンライン管轄機関が検討されたのは初めてではないが、ここで提案されているのは、欧州で提案されている他のインターネット管轄機関よりも目的の点で限定的である。

レポートの要旨には、「この機関は、安全な仮想運用環境、公共データベース、ウェブサイト、フォーラムなどを含むアクセスインフラストラクチャを管理するとともに、開示にふさわしいデータを確保するため、企業データの検証および前処理に重要な役割を担う」と書かれている

オスルース氏は、このアプローチについてさらに踏み込み、現在の「データアクセス」に対する信頼の行き詰まりを打開するためには「二元的思考」から離れることが重要であると主張している。「開示vs不透明/不明化、とういう二元的思考ではなく、様々な度合いのデータアクセス/透明性を備えた、より繊細で階層化されたなアプローチが必要です。そうした階層化されたアプローチなら、データを要求する側のタイプや目的に合わせ柔軟に対処することができます。」

市場調査目的の場合は、極めて高いレベルのデータにしかアクセスできないが、学術機関による医学研究の場合は、厳格な要件(研究計画、倫理委員会審査による承認など)を満たすことを前提に、よりきめ細かいアクセスが与えられるというのはどうか、と彼は提案している。

「これを促進し必要な信頼を生み出すためには、独立した機関が間に立つことが必要不可欠なのではないでしょうか。私たちは、管轄機関の任務は特定の政策からは切り離されている必要があると考えています。その機関は、データ交換に必要な技術的・法的環境を整える、透明性/開示の促進者としての役割に集中すべきです。このようにして整えられた環境は、メディア/競争/データ保護/などの規制当局がその執行措置のために利用することができます。」

オンラインプラットフォームを監督する独立管轄機関設立に向けて多くの議論があるが、その中であまりに多くの任務と権限が提案されているため政治的コンセンサスを得るのが不可能となっているとオスルース氏は言う。透明性/開示に関し限定された権限を託された無駄のない組織こそ様々な反対意見を切り抜けられる、というのが彼の持論である。

Cambridge Analytica(ケンブリッジ・アナリティカ)の悪名高い例が「研究のためのデータ」に大きく立ちはだかっているのは確かである。この企業は、ケンブリッジ大学の研究者を雇いアプリを使ってFacebookユーザーのデータを取得し、政治的な広告の対象を絞り込むという恥ずべき行為を行った会社として知られている。Facebookはこの大きなプラットフォームデータの誤用スキャンダルを平気で、データを開示させることを目的とする規制法案を撃退するための手段とした

しかし、Cambridge Analyticaの例は、透明性、説明責任、プラットフォーム監視の欠如が招いた直接的な結果である。また、データを使用された人々から政治的な広告の対象となることへの同意を得られていなかったことを考えると、もちろんこれは大きな倫理的失敗でもある。したがって、これはプラットフォームデータへのアクセスの規制に対する反論としては全く良い議論ではないように思われる。

自己本位のプラットフォームジャイアントがこのような「シャープではない」技術的論点を、ガバナンスに関する話し合いへの働きかけに使用しているのを受け、AlgorithmWatchのレポートは、こうした議論に対する歓迎の意を伝えるとともに、現代のデータジャイアントを管理する効果的なガバナンス構造をどう構築するかについて堅固な提案を行っている。

レポートでは、階層化されたアクセスポイントに関し、プラットフォームデータへ最もきめ細かいアクセス権が与えられる場合は、最も厳密な管理の対象となることが示唆されている。これは医療データモデルを参考にしたものだ。「ちょうどFindata(フィンデータ:フィンランドの医療データ機関)が現在行っているように、きめ細かいアクセスについては、独立機関により管理された閉鎖仮想環境でのみ有効にすることもできます」と、オスルース氏は述べている。

同レポートで論じられているもう一つのガバナンス構造は、European Pollutant Release and Transfer Register(欧州環境汚染物質排出・移動登録制度:E-PRTR)である。同レポートではこれを、透明性を奨励し、それによって説明責任を果たさせる方法を引き出すための研究事例として取り上げている。この制度はEU全域での汚染物質の排出報告を管理するものである。これにより専用のウェブプラットフォームを介して排出データを独立したデータセットとして自由に誰でも利用できる。

同レポートはE-PRTRについて、「一貫した報告の仕組みがあるため、報告されたデータに信憑性、透明性、信頼性があり比較可能であることを保証することができ、その結果信用を築くことができる。企業側はこれらの完全性、一貫性、信頼性の基準を満たすため、可能な限り最善の報告手法を用いるよう勧告されている」と述べている。

さらに、「こうした透明性の形式を通して、E-PRTRは欧州の企業に対し、一般社会、NGO、科学者、政治家、政府、規制当局へ向けた説明責任を課そうとしているのである」とも説明している。

EUの委員らは、ある特定のコンテンツに係る問題への説明責任を実現する手段として、少なくとも違法なヘイトスピーチなど論争の少ない分野で、法的拘束力のある透明性要件をプラットフォームに課す意思を表明すると同時に、(非個人的な)データの再利用を促進することにより、ヨーロッパのデジタル経済を活性化させる包括的な計画を打ち出している。

研究開発やイノベーションをサポートするために産業データを利用することは、野心的なデジタルフォーメーションの一環として欧州委員会が今後5年間で行おうとしている、テクノロジーを駆使した優先政策の重要施策である。

これは、EUの委員らがデータの再利用を通した研究を可能にする基本的なデジタルサポート構造を作るというより広い目標を推進していることを考えると、プラットフォームデータを公開させようとする地域的な動きは、説明責任を実現するだけにとどまらない可能性が高いことを示唆している。したがって、プライバシーを尊重する形でデータを共有するフレームワークを作り込むことができれば、公的機関により管理されたデータ交換をほぼ何もせずに可能にするよう設計されたプラットフォームガバナンス構造を欧州で実現する可能性は高いだろう。

「汚染に関する研究事例で扱ったように、説明責任を果たさせることは重要です。しかし、研究を可能にすることも、少なくとも同じくらい重要です。特にこれらのプラットフォームが現代社会の基盤を構成していることを考慮すると、社会を理解するためにデータを開示する必要があります」と、アムステルダム大学情報法研究所でポスドク研究を行っているオスルース氏は言う。

AlgorithmWatchのプラットフォームガバナンスプロジェクト責任者のMackenzie Nelson(マッケンジー・ネルソン)氏は声明の中で、「DSAに向け、透明性に関する措置を検討する際、システムを再発明する必要はありません。同レポートは、委員会がユーザーのプライバシーを保護しつつ、必要不可欠な研究を行うため主要プラットフォームのデータへ研究者がアクセスすることを可能にするフレームワークをデザインするにあたり、どのようにすべきか具体的な提案を行っているのです」と説明している。

レポート全文は、ここで読むことができる。

関連記事:グーグルがプライバシーポリシーを一部変更、ユーザーがデータを自動削除可能に

カテゴリー:セキュリティ

タグ:プライバシー コラム

[原文へ]

(翻訳:Drgonfly)

iOS 14でアプリの広告トラッキングの拒否が可能に、セキュリティとプライバシーをさらに強化

iOSの新バージョンには、セキュリティとプライバシーの新機能も多く含まれる。米国時間6月22日、Apple(アップル)はiOS 14に組み込まれる新機能を多数発表した。iOS 14は2020年後半、新しいiPhoneとiPadがリリースされる際に登場する見込みだ。

アップルは、ユーザーがアプリに対して正確な位置情報を共有するのではなく、「大まかな位置情報を共有」できるようにすると述べた。これによりアプリは正確な現在地を特定するのではなく、大まかな現在地を取得できるようになる。これは、ユーザーがどのタイミングで位置情報を提供するかということに続く新しいオプションだ。2019年にアップルは、ユーザーが位置情報の利用を一度だけ許可するオプションを追加し、このオプションを選択するとアプリがその人の動きをずっと追跡することはできなくなった。

iOS 14が動作するiPhoneでは、ステータスバーに「カメラとマイクの記録インジケーター」も表示されるようになる。これはMacでカメラの動作中にライトがつくのと似た機能だ。この記録インジケーターは、前面または背面のカメラを利用している場合、あるいはマイクが有効になっている場合にiPhoneの画面上部に表示される。

しかしアップルは、最も大きく変わるのはアプリ開発者自身だと述べた。iOS 14では、アプリがユーザーに対して「追跡されたいかどうかを尋ねる」ようになる。これは影響力のある大きな変更だ。ユーザーが追跡を拒否できるようになることで、アプリが収集するデータの量が減り、ユーザーのプライバシーが守られる。

アップルは、アプリがどのような許可を要求するかを自己申告するようアプリの開発者に今後求めていくことも説明した。これにより透明性が向上し、ユーザーはそのアプリを使うためにどのようなデータを渡すのかを知ることができる。収集されたデータがアプリ外でどう追跡されるかも説明されるようになる。

Androidユーザーはすでに何年も前から、アプリが求める権限をGoogle Playストアで確認できる。

アップルはプライバシー重視の姿勢を常に口にしている。今回の動きは、その姿勢の一環として広告業界に対してアップルが繰り出した最新の攻撃だ。

広告主、そしてデータをかき集めるFacebook(フェイスブック)やGoogle(グーグル)などのテック大手は、ターゲット広告で巨額の利益を得ている。その両者を巻き込む論争の中で、広告業界はこれまで頻繁にアップルの批判の的となってきた。2015年にアップルのCEOであるTim Cook(ティム・クック)氏は、シリコンバレーのライバルたちは「あなたについて知り得るすべてを食い尽くして収益化しようとしている」と述べた(未訳記事)。ハードウェアを販売して収益を得ているアップルは「そのようにはしないことを選択する」とクック氏は語っている(The Guardian記事)。

ターゲット広告がさらに広まる中で、アップルは自社のソフトウェアにプライバシー関連の新しい機能を追加することで対抗した。例えばインテリジェントなトラッキング防止技術や、広告とトラッカーを読み込まないようにするコンテンツブロッカーをユーザーがSafariにインストールできるようにする機能などだ。

2019年にアップルは、開発者に対してサードパーティ製トラッカーを使用する子供向けアプリはApp Storeで却下されると伝えた。

関連記事:オンライン広告をもっとプライベートするアップルの提案
関連記事:WWDC20関連記事まとめ

画像クレジット:Apple(ライブストリーミング)

[原文へ]

(翻訳:Kaori Koyama)