あなたの行動データと広告のリンクをコントロールできるフェイスブックの新機能

昨年、Facebook(フェイスブック)のCEO、マーク・ザッカーバーグ氏は、サードパーティのウェブサイトやアプリがFacebookと共有するデータを削除する「履歴消去」機能を開発するつもりだと発表した。その機能がようやく現実のものとなった。現状では特定の地域のみで利用可能となっている。

とりあえず、その機能は「Off-Facebook Activity(Facebook外アクティビティ)」という名前で呼ばれている。Facebookのプライバシーおよびデータ利用チームを率いるプロダクトマネージメントの責任者、デイビット・ベイザー(David Baser)氏は、その名前は「的確にどのような種類のデータ」が見えるようになるのか、誰にとっても明らかなものでなければならない、と語った。

ベイザー氏がビデオでデモしたところによれば、ユーザーに関するデータをFacebookに送信してくるすべてのアプリやウェブサイトのリストがまず表示される。その中から、どれかをタップして選ぶと、そこで実際にどのようなデータが共有されているのかを見ることができる。これは共有されたくない、というデータをみつけたら、それをブロックすることができる。ブロックの指定は、ウェブサイトやアプリ単位でも、全面的にでも可能だ。

Facebookは、当然のこととして、ここ数年にわたってデータ共有に対する厳しい査察を受けている。それは、Cambridge Analytica(ケンブリッジ・アナリティカ)のスキャンダルに端を発するもの。また、Facebook上で拡まる偽情報に対する懸念もあって、同社は透明性を確保するため、広告やコンテンツに関するいくつかの新しいツールを開発することにした。

今回のツールでは、ユーザーの行動に関してサードパーティが収集した情報をFacebookが削除しようというのではない。その代わり、そうしたデータと、Facebook上の個人情報との間の接続を切断するのだ。また、そのアカウントに付随する過去のデータも削除される。

関連記事:Facebookが広告ターゲティングの理由説明を改善

ベイザー氏によれば、Facebookの外でのアクティビティを切断すると、Facebookログインを使用したウェブサイトやアプリから、直ちにログアウトしてしまうという結果を招くという。広い目で見れば、そのような接続を維持することは、消費者と企業の双方にとって利益があるのだという。それによって、より関連性の高い広告の表示が可能となるからだ。もしユーザーが、小売店のウェブサイトで、あるタイプの靴を探していたとする。接続が維持されていれば、Facebookは、そうした靴の広告をタイムラインに表示できるのだ。

またベイザー氏は、「Facebookとしては、こうした活動が行われていることを、人々に知ってもらいたいのです」と述べている。そうしたオプションが、隠しメニューの奥深くにしまわれているのではなく、メインの設定ページからアクセスできるようになっていることに気付いてもらいたいのだと。

また彼は、このような「包括的な画面」を作成して、ユーザーがデータをコントロールできるようにした企業は他にはない、ということも示唆している。Facebookとしては、ユーザーを怖気づかせたり、混乱させたりしない、適切なアプローチを見つけ出そうとしているわけだ。また「この機能は、隅から隅まで、漸進的開示の原則に従って設計されたものです」と説明している。つまり、最初は概要だけが表示されるが、ツールの中を掘り進んでいくと、どんどん詳しい情報が見られるようになる。

Facebookによれば、この機能はプライバシーの専門家と協力して開発されたもの。その舞台裏では、そうしたデータをユーザーに開示し、コントロールもできるようにするために、これまでの保存方法を変更する必要もあったという。

最終的にFacebookは、購入履歴や位置情報など、データのタイプを指定してコントロールできるような機能を実現するつもりがあるのかどうかを尋ねてみた。しかしベイザー氏によれば、そのようなものが使いたいと思うほど、「データについて十分に理解しているのは、ごく少数の人だけ」ということが分かっているという。

「あなたの願望は理解できますが、私たちが得たフィードバックには、そのようなものはありませんでした」と彼は言う。そして、もしユーザーからの強い要望があるなら「もちろん検討してみます」ということだった。

このOff-Facebook Activityツールは、最初はアイルランド、韓国、スペインの各国で利用可能となっており、順次他の国にも展開されることになる。

画像クレジット:Facebook

原文へ

(翻訳:Fumihiko Shibata)

iOS 13のプライバシー強化が競争を阻害するとアップルを非難するデベロッパー

アプリのデベロッパーのグループが、Apple(アップル)のCEO、ティム・クック(Tim Cook)氏に文書をしたためた。AppleのiOS 13に加えられるプライバシー重視の変更が、彼らのビジネスに悪影響を与えると訴える内容だ。The Informationのレポートによれば、デベロッパーは、アプリからユーザーの位置情報へのアクセスを可能にする機能について、Appleに反競争的行為があると非難したという。

AppleはiOS 13で、一企業としての大局的なプライバシー保護に対する取り組みの一環として、ユーザーの位置を追跡する機能の、アプリによる悪用を防止することを目指している。

現在、多くのアプリは、最初に起動された際に、アプリに対して位置情報の利用を「常に許可する」よう求めている。ユーザーは、これに1回タップするだけでいい。しかしその結果、多くの場合、実際に必要とされているより、はるかに多くの位置情報へのアクセスを、意図せずに許可してしまうことになる。

しかしAppleは、iOS 13で、アプリが位置情報へのアクセスをリクエストする方法を変更した。

起動時にユーザーに提示される確認についても、「1回だけ許可」という新たなオプションが追加された。これは、アプリが自分のニーズに合っているかどうかを判断するための猶予をユーザーに与えるためのもの。もし使えそうだと判断したら、アプリに対して継続的な位置情報のアクセスを許可すればいい。このオプションが、これまでにもあった「使用中のみ」および「許可しない」に並んで表示されるようになる。

「常に許可」のオプションも引き続き使用可能だが、ユーザーはiOSの「設定」を開いて、手動で有効にする必要がある。定期的に表示されるポップアップには「常に許可」のオプションも含まれるが、そのオプションはすぐに表示されるわけではない。

アプリのデベロッパーは、この変更が、あまり技術に詳しくないユーザーを混乱させる可能性があると主張している。

そのような変更がアプリに与える影響や、それに対するユーザーの行動を考えれば、こうしたデベロッパーの論点にも一理ある。アプリを機能させるためのスイッチを切り替えるために、いちいち「設定」を開かなければならないとなれば、ユーザーはそのアプリを使うこと自体をやめてしまいかねない。またこれは、Safariの広告ブロッカーや、iOSのキーボードを入れ替えるアプリなどが、けっして主流になれない理由を説明するものである。そうしたものも、iOSの「設定」を変更するという余計な手間をユーザーに課しているのだ。

とはいえ、AppleがiOS 13で導入する変更が、そうしたアプリを完全に機能不全にしてしまうわけではない。アプリを使い始めるための手続きを、うまくユーザーに説明することが必要となったのだ。いきなり「常に許可」を選ぶよう求めるのではなく、ユーザーに「設定」の変更方法を分かりやすく示したり、「常に許可」を選択してもらえるまでは、アプリの機能を制限しておく、といった配慮が必要となる。

また、デベロッパーの文書では、Apple純正の付属アプリ(「探す」など)は、このような扱いを受けていないことを指摘し、それが反競争的だという懸念を示している。

またこの文書は、AppleはiOS 13で、PushKitをインターネット上の音声通話(VoIP)以外の目的で使うことをデベロッパーに許していないことについても言及している。これは、一部のデベロッパーが、このAPIを悪用してユーザーの個人情報を収集していたことに端を発している。

レポートによると、その文書には「私たちは、一部のデベロッパー、主にメッセージングアプリのデベロッパーが、ユーザーのデータを収集するためのバックドアとして、これを使っていたことを理解しています」と記されている。「このような抜け穴が塞がれるべきであることには同意しますが、今Appleが(インターネット経由の音声通話機能へのアクセスを)無効にすることは、意図しない結果を招くことになるでしょう。それによって、リアルタイムの位置情報を正当な理由で必要とするアプリが、実質的に使えないものになってしまいます」。
(訳注:iOS 13では、バックグラウンドでVoIPサーバーに接続し続けることが禁止されると言われている)

この文書は、TileのCEO、CJ Prober(CJ プロバー)氏、Arity (Allstate)の社長、Gary Hallgren(ゲイリー・ホールグレン)氏、 Life360のCEO、Chris Hulls(クリス・ハルス)氏、デートアプリHappnのCEO、Didier Rappaport(ディディエ・ラパポート)氏、Zenly(Snap)のCEO、Antoine Martin(アントワーヌ・マーティン)氏、ZendriveのCEO、Jonathan Matus(ジョナサン・マタス)氏、ソーシャルネットワーキングアプリTwentyの最高戦略責任者、Jared Allgood(ジャレド・オルグッド)氏によって署名されている。

AppleはThe Informationに対して、オペレーティングシステムに対する変更は、すべて「ユーザーのためにする」ものであり、ユーザーのプライバシーを保護するためだと述べた。また、App Store上で配布するアプリは、すべて同じ手続きを遵守したものでなければならない、と念を押した。

これは、ユーザーのプライバシーの向上を狙った措置を誤ると、結果的にさまざまな弊害や使いにくさをユーザー自身に負わせかねない、という教訓と捉えることができる。考えられる解決策の1つは、個々のアプリ内で、iOSの「設定」画面を開けるようにすることだろう。そこで、アプリのすべての許可設定をユーザーが直接変更できるようにするのだ。位置情報へのアクセスから、プッシュ通知の許可、モバイルデータ通信の利用、Bluetooth共有の許可まで、すべての設定だ。

このニュースは、ちょうど米司法省がAppleの反競争的行為を調査することを検討している最中に伝えられた。AppleがThe Informationに伝えたところによれば、PushKitを利用していて、変更の影響を受けるデベロッパーの一部については、Appleも協力して別の解決策を探っているところだという。

原文へ

(翻訳:Fumihiko Shibata)

フェイスブックの国際デジタル通貨Libraはプライバシー対策が曖昧だと監視団体が警告

米国、欧州、アフリカ、オーストラリアから集まったプライバシー・コミッショナーたちは、計画中の暗号通貨プロジェクトLibraに組み込まれるデータ保護のための安全措置をFacebook(フェイスブック)が明確に示していないことを憂慮する共同声明文に署名した。

Facebookは、ブロックチェーン技術を利用した国際デジタル通貨を作るという大きな計画を6に公式発表した。これはFacebookを創設メンバーとするLibra Associationによって運営される。その他の創設メンバーには、Mastercard、PayPal、Uber、Lyft、eBayなど、決済や技術の巨大企業も含まれている。ベンチャー投資企業には、Andreessen Horowitz、Thrive Capital、Union Square Venturesなどが名を連ね、Kiva、Mercy Corpsといった非営利団体も参加している。

同時にFacebookは、この事業を執り行う子会社Calibraの新設も発表した。この会社は、メッセージアプリのMessengerとWhatsAppに来年組み込まれることを想定したスタンドアローンのウォレット・アプリを提供するなど、Libraネットワークのための金融サービスの開発を行うという。しかし、独自のウォレットを埋め込むつもりでいる同族のソーシャルプラットフォームの支配的地位を思うと、「オープンな」デジタル通貨ネットワークと表現されているものを、それが一気に独占してしまうのではないかとの懸念が浮かび上がる。

Calibraを大きく持ち上げた公式ブログ記事では、Facebookは、世界220億人以上のユーザーにそのウォレットを推奨できる能力を使って、どれだけの市場支配力を手にするかについて明言を避けている。だが、プライバシーに関しては、たしかに触れていた。こう書かれている。「私たちは、お客様のプライバシーを守る手順も踏んでいきます」。その根拠は、「アカウント情報と金融データは、Facebookにも第三者にも、お客様の同意なくして」渡すことはないという主張だ。

ただし、「限られた状況」においてはユーザーのデータを渡すこともあると同じ段落に書かれているように、例外を認める場合もある。それは、「お客様の安全確保のための必要性、法律の遵守、Calibraを利用される方への基本的な機能の提供を熟慮」した状況だとブログ記事には書かれている(顧客への誓約を記したCalibra Customer Commitmentには、「詐欺や犯罪行為の防止」などの具体例に加え、もう少し詳しい説明がある)。

これらはすべて、表面的には十分に安心できる説明かも知れないが、Facebookは、ユーザーの「安全」を守るために必要だとする曖昧な見解を、たとえばFacebookユーザーでないユーザーを主要なインターネット空間全域にわたってFacebookユーザーでないユーザーを主要なインターネット空間全域にわたってトラッキングするための正当化の隠れ蓑として利用している。

企業が何かをやるやらないと主張するときは、ほんの小さな部分に悪魔が宿っているものだ。

だからこそ、プライバシーとデータ保護へのLibraの取り組みに関する詳細が示されないことに、世界の監視のプロたちは疑念を抱いているのだ。

「世界中の無数の人々のプライバシーの強化を連帯して担う、データ保護とプライバシーの施行当局からなる国際的なコミュニティの代表者として、私たちは結集し、デジタル通貨Libraとそのインフラがもたらすプライバシーへのリスクに関する共通の懸念を表明します」と彼らは書いている。「その他の行政機関、民主的な政治家もこの計画に懸念を表明しています。Facebook社が関与しており、同社が数億人にものぼるユーザーから幅広い分野のデータを収集していることを考慮すると、そのリスクは金融上のプライバシーの問題に留まらず、さらなる懸念が浮上します。データ保護を担当する行政機関は、他の規制当局と密接に連携していきます」。

この声明文に署名したコミッショナーには、米連邦取引委員会(FTC)のロヒト・チョプラ(Rohit Chopra)氏も含まれている。先月、FTCで行われた採決で、Facebookの50億ドルでの和解命令案が賛成3反対2で可決されたが、そのとき反対票を投じた一人だ。

さらに世界の対象地域では、Libraをプライバシー関連の法律や人々の期待に添わせるにあたり、次の人たちがFacebookの透明性に対して懸念を表明している。カナダのプライバシーコミッショナーのDaniel Therrien(ダニエル・セリアン)氏、欧州連合データ保護監督官Giovanni Buttarelli(ジョバンニ・バタレリ)氏、英国情報コミッショナーのElizabeth Denham(エリザベス・デナム)氏、アルバニア情報およびデータ保護コミッショナーのBesnik Dervishi(ベスニク・デルビシ)氏、ブルキナファソ情報技術および市民の自由のための委員会委員長のMarguerite Ouedraogo Bonane(マグリート・ウートラウゴ・ブナン)氏、オーストラリア情報およびプライバシー・コミッショナーのAngelene Falk(アンジェリーン・ファルク)氏。

共同声明の中で、彼らは「Libraネットワークのグローバルなプライバシーに期待すること」として、次のように書いている。

今日のデジタル時代においては、組織は透明性を保ち、個人情報の取り扱いに責任を負うことがきわめて重要です。適切なプライバシーの管理とプライバシーバイデザインは、イノベーションとデータ保護を実現する鍵であり、そらは互いに排斥し合うものではりません。今日までに、FacebookとCalibraは、プライバシーに関する公式声明を公表しましたが、個人情報の厳重な管理と保護に用いられる情報の取り扱い方法に関しては、明確に述べてはいません。さらに、LibraとCalibraを性急に実施しようとする現在の計画を見るにつけ、私たちはいまだ詳細情報が提示されないことに驚き、不安を募らせています。

Libra Associationの創設メンバーとしてFacebook社が参加しているため、これは世界中の消費者の間に急速に普及する可能性があり、それにはデータ保護の法律が施行されていない国々の人たちも含まれます。ひとたびLibra Networkが稼働し始めれば、それは即座に無数の人々の個人情報の管理者となります。金融情報を含む膨大な個人情報と暗号通貨が組み合わされば、Libra Networkの構造や、データ共有に関する取り決めのプライバシー上の心配は増幅します。

彼らがLibra Networkに提示した質問のリストを下に転載する。「提案やサービスの内容に進展があったとき」に各機関が質問を追加することになっているため、彼らはこれを「すべてではない」と記している。

ユーザーのデータが何に使われるのか、その使われ方をユーザーはどこまで管理できるかを明らかにすることが、彼らが答として求めている詳細情報に含まれている。

また、ユーザーのプライバシー保護の力を弱め侵害するようなダークパターンが使われる危険性が、別の懸念として示されている。

コミッショナーたちは、ユーザーの個人情報の共有について、どのタイプのデータが共有されるのか、どのような非特定化技術が使われるのかを明確にすることも求めている。非特定化技術に関しては、たとえば、売買された匿名の個人情報から、わずか一握りのデータ点を使ってクレジットカードの利用者の再特定が可能になることを実証する研究が数年前から公表されている。

以下が、Libra Networkに送られた全質問のリストだ。

1. 国際的なデータ保護とプライバシーの施行機関が、Libra Networkはネットワークユーザーの個人情報を守る頑強な手段を持っていると確信できるようになるには、どうしたらよいか?特にLibra Networkは、参加者が以下のことを求めてきたときにどう対処するか?

a.個人情報がどのように使われるかに関する明確な情報(プロファイリングとアルゴリズムの使い方、Libra Networkのメンバーと第三者との間で共有される個人情報を含む)を、その件に特定された納得の上での同意をユーザーが適宜できるよう提示してほしい。

b.個人情報を第三者へ提供するよう促す、またはプライバシー保護を弱体化するナッジやダークパターンを使用しない、プライバシーを守るためのデフォルト設定がほしい。

c.プライバシー管理のための設定を目立たせ、簡単にできるようにしてほしい。

d.製品またはサービスに必要となる最低限の個人情報だけを、使用目的を明示した上で収集・処理をしてほしい。また処理の合法性を確保してほしい。

e.すべての個人情報を適切に保護してほしい。

f.アカウントの削除や要求を誠実に適時引き受けることを含む、プライバシーの権利を行使するための簡単な手段を人々に与えてほしい。

2. Libra Networkは、インフラ開発の際にプライバシーバイデザインの原理をどのように組み込むのか?

3. Libra Associationは、どのようにしてLibra Network内のすべてのデータ処理を確実に特定し、それぞれのデータ処理の規定に従わせるのか?

4. Libra Networkは、データ保護の影響調査をどのように実行するつもりなのか。そしてLibra Networkは、その調査をどのようにして確実に継続的に実施するのか?

5. Libra Networkは、データ保護とプライバシーに関する方針、基準、管理を、すべての対象地域で、どのようにしてLibra Networkの運用全体に一貫して適用させるのか?

6. Libra Networkのメンバー同士でデータを共有する場合、

aどのようなデータ要素が含まれるのか?

b.どの程度まで非特定化され、どのような手法で非特定化されるのか?

c.誰のデータが共有されたかを法的な強制力のある契約上の手段の使用を含め、データが再特定化されないことをLibra Networkはどのように保証するのか?

私たちはFacebookにコメントを求めている。

[原文へ]

(翻訳:金井哲夫)

アップルが各国政府によるApp Storeアプリの削除要求を公表

Apple(アップル)は、App Storeから特定のアプリを削除するよう、各国政府から受けた要求の件数を、初めて公表した。

米国時間7月2日に発表された最新のAppleの透明性に関するレポートは、2018年7月1日から12月31日の間に、ローカライズされたApp Storeから、合計634のアプリを削除することを求める80件のリクエストを、11カ国の政府から受けたことを明らかにした。

Appleは削除された個々のアプリ名は公開していないが、ほとんどの場合、アプリが削除されることになった理由は挙げている。大半の要求は中国からのもので、ギャンブルとポルノを取り締まる法律に違反しているとする517のアプリの削除を求めるものだった。ベトナムとオーストリアも、ギャンブルに関する法律に違反するとして、何本かのアプリの削除を要求した。またクウェートは、プライバシー関連の法律に違反するとして、いくつかのアプリの削除をAppleに求めた。

他にも、サウジアラビア、トルコ、レバノン、オランダ、ノルウェー、スイスが、何本かのアプリの削除を要求した国として挙げられている。

今回の最新の透明性に関するレポートから、数字を公表することにするとAppleが約束したのは、1年以上前のことだった。

Appleは、2020年半ばに計画されている次の透明性に関するレポートでは、同社のローカライズされたApp Storeからのアプリの削除を求める政府の要求に付随して受け取った訴状についても報告すると述べている。

さらにAppleは、公表の許可を受けたいくつかの国家安全保障文書を初めて掲示した。

国家安全保障文書(NSL=National Security Letters)は、FBIによって発行される召喚状で、司法による監視もなく、受け取った会社に、その存在すら口外することを禁止するものであるため、物議を醸している。2015年に米国自由法が導入されて以来、FBIは定期的に口外禁止令を見直して、必要ではなくなったと判断された場合には、解除しなければならなくなった。

Appleは最初2017年に、NSLを受け取ったことを明らかにしたが、これまでその文書の内容を明らかにしたことはなかった。最新の透明性に関するレポートで、Appleはついにその文書を公開した。あわせて、2019年の4月と5月に口外禁止令が解除された他の4つの文書も公開している。

Appleが公表した最初の国家安全保障文書。これまでは未公開だったもの(画像:Apple)

透明性に関するレポートの残りの部分によれば、ほとんどの政府からの要求は、以前のレポート期間に比べて、その6ヶ月間では減少しているという。

Appleは、昨年後半に、21万3737台のデバイスにアクセスできるようにするための2万9183件の要求を、各国政府から受けた述べている。これは前回のレポート期間と比べると10%ほど減少している。

ドイツが最も多く、2018年12月までの6ヶ月間に、1万9380台のデバイスに対するアクセスを求める1万2343件の法的な要求を提出している。こうした大量の要求は、主に盗まれたデバイスを警察が調査するためのものだと、Appleは明かした。

2位は米国で、1位からはかなり離れた4680件の要求を、1万9318台のデバイスに対して発行している。

またAppleは、iCloudに保存されている情報など、アカウントデータへのアクセスを求める4875件の要求も受けた。これは前のレポート期間にくらべて16%の上昇で、2万2503のアカウントに関するものだった。

さらにAppleは、最大3ヶ月間データを保存するようにという政府からの要求の件数も増加していることを明らかにした。それによれば、前期から15%増となる1823件の要求を受けた。これは5553のアカウントに関するものだった。それについては、法律の執行機関がデータにアクセスするための適切な法的命令を取得しようとしていたという。

画像クレジット:Jaap Arriens/Getty Images

 
原文へ

(翻訳:Fumihiko Shibata)

iOSとAndroidでGoogleのロケーション履歴を自動消去する設定が可能に

Google(グーグル)は「個人データを収集するのは広告事業だけでなく、ユーザーに提供するサービスの質を改善するのにも役立っているのだ」と主張してきた。しかしGoogleがありとあらゆる個人データを吸い上げ続けるのを好まないユーザーも少なからず存在する。

米国時間6月26日、Googleはユーザーが自分に関するデータをコントロールする能力を増やせるような機能を発表した。新機能を利用すればiOSとAndroidデバイスからロケーション履歴を自動的に消去できるよう設定できる。

Googleは去る5月、Google I/Oカンファレンスの直前にこの機能のリリースを予告していた。

ロケーション履歴はユーザーのお気に入りのレストランや店舗を記憶し、推薦するのに役立つという。しかし一部のユーザーは自分が訪問した場所をすべてGoogleに把握されていることを機能を気味悪いと感じており、同社もこのことを認めた。

新しいコントロールではGoogleのロケーション履歴を3カ月おきまたは18カ月おきに自動消去できるよう設定できる。

やり方はこうだ。まずGoogleアカウントにアクセスし、「アクティビティ管理」を開く。新機能が有効になっていれば「ロケーション履歴」の項目に「履歴を自動消去する」というオプションが表示されるはずだ。

次に表示される画面で履歴を消去する間隔を 3カ月、18カ月のどちらにするか選択できる。今までもその場でロケーション履歴を削除することは可能だった。

Googleによれば新機能は米国時間6月26日からiOSとAndroidで公開が始まるという。全ユーザーにロールアウトされるのには多少時間がかるのでまだ使えないユーザーもいるはずだ。

Googleが個人データを保存すること自体を好まないなら、これまでどおりGoogleアカウントの設定からデータ収集をオフにすることもできる。ロケーション履歴だけでなくYouTubeの検索、視聴履歴などについてもGoogleへの送信を停止できる。

【Japan編集部追記】一時的にウェブブラウズ履歴を保存したくない場合、Chromeにはシークレットモードが用意されている。これはChromeのハンバーガーメニューから「シークレットウィンドウを開く」を選べばよい。この機能を利用すれば情報はGoogleに保存されないが、デバイス、キャリヤ、訪問先サイトなどに何らかのデータが残る可能性はある。

原文へ

(翻訳:滑川海彦@Facebook

オンライン広告をもっとプライベートするアップルの提案

長年にわたり、オンライン広告のおかげでウェブのほとんどが無料で使えるようになっている。ただ問題は、広告がみんなに嫌われていることだ。無神経に画面全体を占領したり、自動的に表示されたりするとき以外も、インターネット上のどこへ行こうと、彼らは私たちの動きを見張っている。

広告は、私たちがどこへ行き、どのサイトを訪れたかを追跡でき、個人の特徴を蓄積できる。広告をクリックしなくてもだ。もしクリックすれば、何を買ったかが相手に知られて、他のサイトにも報告される。だから、あなたが夜更かしをしてアイスクリームやネコの餌や、もうちょっとプライベートなものを買っていることが知れ渡ってしまうのだ。

簡単な対策として、広告ブロッカーという手がある。しかし、それではインターネットの発展や利便性の向上は望めない。そこでApple(アップル)は、評判の悪い広告トラッキング能力は使わずに、広告を存続させる中間地点を見つけ出した。

巨大ハイテク企業のアップルが考え出したのは、Privacy Preserving Ad Click Attribution(プライバシー保護型広告クリック・アトリビューション)。舌を噛みそうな名前だが、その技術的な能力は確かなようだ。

背景を簡単に説明しておこう。インターネットで何かを買うごとに、広告を掲載した店舗は、あなたが何かを買ったことを知り、同時に、同じ広告を掲載している他のサイトにそれが伝わる。広告がクリックされると、店舗は、どのサイトで広告を継続させるべきかを考えるために、それがどのサイトの広告なのかを知る必要がある。これがいわゆる広告アトリビューションだ。広告はよく、トラッキング画像を使う。見えるか見えないかのピクセルサイズの微小なトラッカーがウェブサイトに埋め込まれていて、どこでウェブページが開かれたかを監視している。この画像にはクッキーが仕込まれていて、ページからページへ、またはウェブサイト全体にわたるユーザーの移動状況を簡単に追跡できるようになっている。この目に見えないトラッカーを使うことで、広告をクリックしてもしなくても、その人が訪れたいくつものサイトを通じて、興味や何を欲しがっているかといった個人的な特徴の数々を、ウェブサイトが蓄積してゆく。

その概要を説明した米国時間5月23日公開のアップルのブログ記事によると、広告は、オンラインストアで何かを買ったことを他人に知らせる必要はないと、同社では考えているようだ。広告に必要な情報は、誰か(個人は特定しない)が、どのサイトの広告をクリックして何を買ったかという情報だけだという。

個人の識別などはもってのほか。その新技術を使えば、広告キャンペーンの効率を落とすことなく、ユーザーのプライバシーが守れるとアップルは話している。

アップルeのこの新しいセブ技術は、間もなくSafariに組み込まれることになっているが、大きく分けて4つの部分で構成されている。

1つ目は、広告をクリックしても、個人が特定されないようにするものだ。広告には、ユーザーがどのサイトを訪れ何を買ったかを認識するための、長大な一意のトラッキングコードが使われていることが多い。なので、キャンペーンIDの数を数十個に限定すれば、広告主はその一意のトラッキングコードをクリックごとに割り当てることができなくなり、ウェブ上で特定の個人ユーザーのトラッキングがずっと難しくなる。

2つ目は、広告のクリック回数の測定は広告がクリックされたウェブサイトだけで許可されるというもの。これによりサードパーティーは排除される。

3つ目は、ユーザーがサイトに登録したときや何かを買ったときなど、ブラウザーは広告のクリックとコンバージョンに関するデータの送信を最大で2日間、不特定な時間だけ遅らせるというもの。そうすることでユーザーの行動をさらに見えにくくする。そのデータは、他の閲覧データが関連付けられないように専用のプライベートな閲覧ウィンドウを通して送られる。

最後に、アップルによれば、これらをブラウザーレベルで行うということだ。それにより、広告ネットワークや業者が取得できるデータが大幅に制限される。

誰が何をいつ買ったかを正確に調べるのではなく、アップルのブライバシー広告クリック技術は、個人を特定せずにクリックされたこととコンバージョンのデータを送り返す。

「サイトを超えたトラッキングによる問題を訴えるブラウザーが増えているため、私たちは、プライバシーを侵害する広告クリックのアトリビューションを過去のものにしなければなりません」と、アップルのエンジニアであるJohn Wilander氏はブログ記事に書いていた。

この技術の中核となる機能の1つに、広告が収集できるデータの量を制限する技術がある。

「今日の広告クリック・アトリビューションの実践方法には、データ量に実質的な制限がなく、クッキーを使用するユーザーの、サイトをまたいだ完全な追跡が可能になります」とWilander氏は解説する。「しかし、アトリビューションデータのエントロピーを十分に低く保つことで、報告はプライバシーを保護した状態で行えると信じています」。

要約すれば、キャンペーンとコンバージョンのIDの数を64個に限定すれば、サイトを超えて移動するユーザーの追跡を可能にする一意の識別子となる長い一意の値を、広告主が使えなくなるということだ。アップルによれば、この数を制限しても広告主は広告の効果を知るための十分な情報が得られると言っている。それでも広告主は、例えば特定のコンバージョンIDを使い特定のサイトで48時間以内に行った広告キャンペーンのうち、どれがもっとも顧客の購入に結びついたかを知ることができる。

アップルは、この技術が広く普及すれば購入のリアルタイムの追跡は過去のものになると考えている。広告のクリックとコンバージョンの報告を最大2日間遅らせることで、広告主は誰が何をいつ買ったかをリアルタイムで知ることができなくなる。アップルによれば、誰かが何かを買った途端にアトリビューションの報告が送られる間は、ユーザーのプライバシーを守る手立てはないという。

アップルは、このプライバシー機能が今年の後半にSafariのデフォルトに切り替わるよう設定しているが、それだけでは不十分だ。同社は、他のブラウザーのメーカーもこの松明を手に取って一緒に走ってくれるよう、この技術をワールド・ワイド・ウェブ・コンソーシアムで規格化するよう提案した。

最近のことを憶えている人なら、ウェブの規格はすべて成立するわけではないと思うだろう。哀れな運命を背負ったDo Not Track(トラッキング拒否)機能は、ブラウザーのユーザーからウェブサイトと広告ネットワークに追跡するなという信号を送れるようにするものだった。主要なブラウザーのメーカーはこの機能を受け入れたものの、議論が泥沼化して規格にはならなかった

アップルは、今回の提案は通ると見ている。その主な理由は、プライバシー広告クリック技術は、Do No Trackと異なり、他のプライバシー保護のための技術と協力してブラウザー内で効果を発揮できるからだ。Safariにはintelligence tracking prevention機能がある。GoogleのChromeMozillaのFirefoxなどの他のブラウザーも、プライバシーにうるさい人たちに対処するためにプライバシー機能を強化している。アップルはまた、ユーザーが積極的にこのプライバシー機能を欲しがると踏んでいる。その一方でこれは、広告やコンテンツのブロッカーをインストールするなどのユーザーの思い切った行動によって閉め出されることを恐れる広告主の懸念にも配慮している。

この新しいプライバシー技術は、先週公開になった開発者向けのSafari Technology Preview 82に搭載されている。ウェブ開発者向けには、今年後半に提供される。

[原文へ]

(翻訳:金井哲夫)

Chromeの変更がブラウザのプライバシーとセキュリティに及ぼす大きな意味

楽観的すぎると思われるのを覚悟で言えば、2019年はプライベートウェブブラウザの年になるかもしれない。

初期のころ、ブラウザはまだ混沌とした状態で、とりあえず中身をきれいに見せることに注力したものだった。セキュリティは二の次。Internet Explorerがその良い例だった。また、Google ChromeやMozilla Firefoxのような新しいブラウザが登場しても、ユーザーのプライバシーはめったに顧みられることはなかった。そうしたブラウザはスピードと信頼性に重点を置いていたからだ。

広告によって、長い間インターネットの利用は無料になっていた。しかし、侵略的な広告トラッキングが全盛をきわめるようになると、オンラインのプライバシーに対する懸念が、ようやく取り沙汰されるようになった。

Chromeは、全世界のブラウザ市場の3分の2近くのシェアを占めていると言われるが、最近改めてセキュリティとプライバシーを重視する姿勢を打ち出した。それ以前にも、先月Firefoxは、新しいトラッキング防止機能を発表していた。また、MicrosoftのChromiumベースのEdgeは、ユーザーデータに関する細かなコントロール機能の装備を約束している。さらにAppleのSafariも、広告業者がサイトを越えてユーザーをトラッキングすることを防止する機能を装備した。

毎年開かれるデベロッパーカンファレンスで、米国時間5月7日、Googleはプライバシー保護に関する2つの機能の追加を明らかにした。1つはクッキーのコントロールによって、広告業者がウェブサイトをまたいでユーザーの行動をトラッキングすることを制限する機能。もう1つは新しいフィンガープリント対策だ。

念のために説明すると、クッキーとは、ユーザーのコンピュータやデバイスにファイルとして保存される小さな情報で、それによってウェブサイトやアプリは、ユーザーが誰なのかを特定できる。ユーザーにとっては、ウェブサイトにログインしたままの状態にしておくことができるので便利だが、そのサイト上のユーザーの行動を追跡するのに利用されることもある。中には、異なるウェブサイト間で動作するものもあり、ユーザーのウェブサイト間の移動を追跡する。それにより、ユーザーがどこに行ってどこを訪問したか、といったプロファイルを構築することも可能になる。クッキーの管理は、これまでずっと、オンにするか、オフにするかを選ぶことしかできなかった。クッキーをオフにすると、広告業者が複数のサイトにまたがってユーザーを追跡することは難しくなるものの、そのウェブサイトに関するログイン情報は記憶されなくなる。これは不便だ。

近い将来Chromeは、ユーザーによる明示的な同意が得られなければ、ドメインが異なるサイト間でクッキーが機能することを禁止することになる。言い換えると、広告業者は、ユーザーから追跡の許可が得られない限り、ユーザーが訪問したさまざまなサイトで何をしているのか把握することができなくなるわけだ。

同じドメイン内でのみ機能するクッキーは影響を受けないので、これによってユーザーがいきなりログアウトさせられることはない。

この機能は、さらに別のメリットももたらす。クロスサイトのクッキーをブロックすると、ハッカーがクロスサイト脆弱性を突くことが難しくなるのだ。クロスサイトリクエストフォージェリ(CSRF)と呼ばれる攻撃では、悪意のあるウェブサイトが、ユーザーがログインしている正当なサイト上で、ユーザーに気付かれずにコマンドを実行することが可能となる場合もある。それによってユーザーのデータを盗んだり、アカウントを乗っ取ったりすることができる。

Googleは、いずれ、クロスサイトのクッキーはHTTPS接続でない限り送受信できなくするという。つまり、ハッカーがあるコンピュータに狙いを定めていたとしても、その通信を傍受したり、内容を変更したり、盗んだりすることができなくなる。

クッキーは、ユーザーをウェブ上で追跡する手段としては、ほんの一部に過ぎない。最近では、ブラウザに固有のフィンガープリントを使って、ユーザーがどのサイトを訪問したかを知ることも、かなり容易になっている。

フィンガープリントは、ウェブサイトや広告業者が、ユーザーが使っているブラウザに関する情報をできるだけ詳しく収集するための手法。使用しているプラグインや機能拡張から、動作してるデバイスについては、そのメーカー、モデル、画面の解像度などの情報も対象となる。そうした情報を集めて、ユーザーごとに異なるデバイスの「指紋」として採取するのだ。クッキーを使っていないので、ユーザーがシークレットモードやプライベートブラウズ機能を利用していても、ウェブサイトはブラウザのフィンガープリントを見ることができる。

Googleは、それをどうやって実現するのかについては詳しく触れてはいないものの、フィンガープリント対策について積極的に取り組む計画であると述べた。ただし、その機能がいつ利用できるようになるかについてのタイムラインは明らかにしなかった。

間違いなくGoogleも、Apple、Mozilla、そしてMicrosoftに次いで、プライバシーを重視する姿勢を打ち出してきている。Googleが仲間に加わったことで、Chromeがカバーするインターネットの3分の2も、すぐに利益を得ることになるはずだ。

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

今行動しなければ拡張現実はディストピアを招く

アクション俳優のジェット・リーが映画「マトリックス」の出演を断り、とうとう銀幕に登場しなかったのは、自分の格闘の動きを3Dキャプチャーされて他の人に所有されるのを嫌ったからだ。

もうすぐ、誰もが3D撮影機能のあるカメラを持ち歩き、AR(拡張現実、複合現実とも呼ばれる)アプリを使うようになる。そうなれば、みんなが日々の生活のさまざまな局面、つまりジェット・リーが重要な役どころを拒否し、Napsterの登場以来ミュージシャンが頭を悩ませてきたようなデジタルキャプチャー問題に対処しなければならなくなる。ARとは、誰もが現実そのものをリッピングし、ミキシングし、焼けるようになることを意味している。

アップルのティム・クックCEOは業界に対して「データ産業複合体」に関する警告を発し、人権としてのプライバシーの保護を訴えた。ARが、不愉快な視覚的雑音で世界を満たし、あらゆる目の動きや情緒的反応が監視され広告ターゲティングに利用されるというディストピアを、ハイテク業界の一部の企業が予言していたとしても不思議はない。しかしクック氏は「気味の悪い未来は避けられる」とも言っている。業界は、今日の技術的基盤を築くために、誤ったデータ収集をしてきた。それを繰り返さないことだ。

日常生活にいて、ARが何を意味するのか、(皮肉なことだが)それが現実に根ざしてることを、どうしたらわかるのだろうか?

ARを可能にしている技術スタックを見る場合、ARに固有の新しいタイプのデータ収集について知っておく必要がある。それはコンピュータービジョンによって生成され、機械が読み取り可能な世界の3Dマップだ。ARは、それを使って3D空間との(そしてARシステム同士の)同期や位置の確認を行う。このデータに基づくオペレーティングシステムのサービスは「ARクラウド」と呼ばれている。このデータは、これまで大きな規模では収集できなかったのだが、ARが大きな規模で有効に働くためには絶対に欠かせないものだ。

持続性、マルチユーザー、屋外でのオクルージョンといった基礎的な機能は、すべてがこれを必要とする。人用ではなく機械用の、Google Earthのもっとすごいやつと考えればいい。このデータセットは、ARアプリが使用するコンテンツやユーザー情報(ログインアカウントの詳細やユーザー分析、3Dアセットなど)とは完全に切り離される。

ARクラウドのサービスは、このデータを管理するための簡単なソリューションを導き出す「ポイントクラウド」だと考えることができる。データは、実際にはいくつものレイヤーにわかれていることがあり、そのすべてで利便性や使用事例の度合いが異なる。「ポイント」という言葉は、三次元空間の中の点という概念をひと言で示したものだ。そのポイントを選択し説明するためのデータ形式は、最新のARシステムでは、各社ごとに固有のものが使われている。

特に重要なのは、ARシステムを最適に運用するために、コンピュータービジョンのアルゴリズムとそのデータとを密接に結びつけ、実質的に一体化することだ。AppleのARKitアルゴリズムでは、GoogleのARCoreデータは使えない。たとえGoogleにアクセスを許可してもらったとしてもだ。HoloLensやMagic Leapなど、この分野のスタートアップもすべて同じだ。オープンソースのマッピング方式は、最新の商用システムに比べると数世代遅れている。

そのため私たちは、こうした「ARクラウド」を、しばらくの間は独自のものにしておくつもりで構築してきたのだが、具体的にどんなデータがそこにあるのか、はたしてデータを収集できるのかが心配になるところだ。

ARはあらゆるものをキャプチャーできる

保存できるデータは数多い。少なくとも、コンピュータービジョン(SLAM)マップデータは必ず含まれる。その他に、ワイヤーフレームの3Dモデル、写実的な3Dモデル、人の「ポーズ」のリアルタイムの更新データ(正確な居場所や何を見ているか)、その他たくさんのデータが対象となる。ポーズだけをとってみても、歩いた軌跡を辿ることで、商品の最良の展示場所や、店内の(または自宅での)広告の最良な掲示場所を提案するためのデータを小売業者に提供できるだろう。

このスタックの中の低層のレイヤーは機械にとってのみ有用なものだが、レイヤーを重ねてゆくほどに、それはたちまち非常にプライベートなものと化す。たとえば、自分の子どもの部屋の写実的な3Dモデルが、廊下を歩くお客さんにキャプチャーされ、ARグラスで中の様子が見られてしまうということもあり得る。

こうした問題を一発で解決する決定打はない。解決のために何度も挑戦することが必要だが、その挑戦の種類を増やすことも大切だ。

解決された技術的問題と解決が待たれるもの

ARクラウドのデータの大半は、普通のデータだ。他の普通のクラウドが行っているのと同じ方法で管理できる。強力なパスワード、強力なセキュリティー、バックアップといったGDPRの規制が有効に働く。事実、自主規制に消極的な巨大プラットフォームの行いを正すには、規制を課すしかない。この点において、欧州が一歩先を行っている。中国では、事情がまったく異なる。

ARデータに関する興味深い課題を3つほど紹介しよう。

  • マップやストリートビューのデータには「新鮮さ」が求められるが、歴史的なデータはどれほど残しておくべきか。先週、長椅子が配置された場所のマップを保存する必要はあるか。どの縮尺、どの解像度で保存するべきか。世界のマップにはセンチメートル単位のモデルは必要ないが、身の回りの環境なら必要になる。
  • 難しいが実現可能な最大の課題は、個人が特定される情報をスマートフォンから外に出さないということだ。スマートフォンのシャッターボタンを押す前に、画像が処理されてアップロードされてしまう状況を考えて欲しい。ユーザーは、何がアップロードされるのか、なぜそれをキャプチャーしても大丈夫なのかを把握している必要がある。個人が特定されるすべてのもの(3Dスキャンのカラーテクスチャーなど)は、事前の許可と、そのデータの利用目的の丁寧な説明が必須だ。デバイスから外に出るすべてのデータには、人が読める、または識別できる要素をすべて取り除くための準同型変換が適用されるべきであり、それでもデータは、ごく限定された再局在化機能のためにアルゴリズム(デバイスで実行される)が解釈できる状態にしておかなければならない。
  • 「プライベートクラウド」の問題もある。企業は従業員のプライベートで正確なARクラウドを欲しがることが考えられる。プライベートクラウドはプライベートサーバーで簡単に開設できる。厄介なのは、一般の人がARグラスを装着してその企業の近所を歩いたときに、新しいモデル(別の業者のプラットフォームに保存されている可能性がある)を取得できてしまうことだ。

AR業界が解決しなければならない技術的課題

問題であることは認識していても、その解決策がまだ見つかっていない課題がある。例を示そう。

  • 部屋の仕切り。自分のアパートのモデルをキャプチャーしたとき、中の壁の片側は自分の家だが、その裏側は他人の家だ。現在は、ほとんどのプライバシー対策は、自分のGPS位置を中心とした円形のプライベートな範囲に依存している。しかしARでは「自分の空間」をもっと正確に探知できなければならない。
  • 空間の権利を特定することは大変に難しい。幸いなことに、社会契約や既存の法律で、その問題の大半に対処できている。ARクラウドのデータも、ビデオの録画と非常によく似ている。空間には、公的な場所があり、準公的な場所(ビルのロビーなど)、準プライベートな場所(家の居間など)、プライベートな場所(寝室など)がある。問題は、ARデバイスに、自分の立場と、キャプチャーすべきものを教える方法だ(例えば、私のグラスは私の家をキャプチャーできるが、他の人のグラスでは私の家をキャプチャーできないというように)。
  • 複数の人間からの場所のキャプチャーを管理する場合、そしてそれをひとつのモデルに適用して、影になったり重複した部分を取り除いたとき、その最終的なモデルの所有権が誰にあるかは、大変に難しい問題となる。
  • ウェブにはrobots.txtファイルという概念がある。ウェブサイトの所有者は、自分のサイトでrobots.txtを使い、ウェブデータの収集エンジン(Googleなど)が読み出せるデータを、そのファイルが許可したものに限定することができる。しかし当然なことながら、それぞれのサイトに明確な所有者がいるウェブの世界で、これを徹底させるこは難しい。robots.txtのようなもので同意を取り付け、現実世界の場所に適用できたなら、素晴らしい解決策になる(非現実的ではあるが)。ウェブクローラーと同様、デバイスにこれを強制するのは難しいだろう。しかし、クッキーや数々の広告トラッキング技術で人々がそうしているように、少なくともどうして欲しいかをデバイスに告げることができれば、市場の力や未来のイノベーションによって、プラットフォームにそれを尊重するよう要求できるようになるかも知れない。この魅力的なアイデアの本当に難しい点は、「その場所に対して権限を持つのは誰のrobots.txtか」ということだ。ニューヨークのセントラルパークに私がrobots.txtを書くことはできないが、自分の家用のrobots.txtは書くべきだろう。これをどうすれば立証して実施できるだろうか?

社会契約が現れ合意されることが必要

ARのプライバシー問題を解決するにあたり、大いに役立つであろうものが、いつどこでデバイスを使うのが適切かを規定する社会契約の生成だ。2000年代の初頭、カメラ付き携帯電話が登場したとき、その乱用が心配されて、ちょっとしたパニックが起きた。例えば、トイレで盗撮されたり、公の場で知らない間に自分の写真が撮られるといった問題だ。OEM各社は、カメラを使うとシャッター音が鳴るようにして世間の不安を解消しようと考えた。その機能を追加した結果、その新技術は社会に受け入れられ、急速に浸透していった。技術を消費者の手に持たせたことで、世の中は社会契約を受け入れた。つまり、携帯電話を取りだして写真を撮影してよい場所はどこか、不適切な時間とはいつかを人々は学んだのだ。

プラットフォームはあらゆるデータを
取得する必要はない

企業も、この社会契約に参加した。Flickrなどのサイトは、プライベートな場所や物の写真を管理し、どのように公開するか(可能ならば)を定めたポリシーを打ち出した。Google GlassとSnap Spectaclesとの間でも、同様の社会学習が行われた。SnapはGlassから教訓を得て、社会問題の多くを解決した(たとえば、Spectaclesはサングラスなので屋内では外すようにするとか、録画中ははっきりとわかる表示を出すなど)。それは、広く世間に受け入れてもらうための問題解決に、プロダクトデザイナーも参加すべき分野だ。

業界が予測できない課題

ARは新しいメディアだ。新しいメディアは、およそ15年ほど待たなければ現れず、それがどのように利用されるかは、誰も想像ができない。SMSの専門家はTwitterを予想できなかったし、モバイルマッピングの専門家はUberを予測できなかった。善意に満ちたプラットフォーム企業ですら、過ちを犯す。

これは未来の世代が背負う未来の課題ではない。SFめいた理論に基づく話でもない。AR業界が製品開発において、今後12カ月から24カ月のうちに行う意志決定が、次の5年間を方向付けるのだ。

以下の仕事を立派に遂行するために、ARプラットフォーム企業が依存すべきは、そこにある。

  1. ビジネスモデルの誘因が、データを提供してくれた人々の正しい行いに沿うようにする。
  2. 企業の価値観を伝え、データを提供してくれた人々の信頼を得る。その価値観は、プロダクトデザインのより明確な側面となる。Appleは、これに関していつもうまくやっている。技術系製品がパーソナルになればなるほど、誰もがより真剣にならなければいけない。

不気味な存在にならないよう今のAR関係者がすべきこと

これは、高いレベルで行うべきことだ。ARの先駆者たちの最低限の方針を列挙する。

  1. デバイスからの個人データの持ち出し禁止。事前の許可があった場合のみ可能:サービスの提供に必要不可欠な非個人データのみデバイスの外に出られる。それ以上の個人情報の収集は、ユーザーがよりよいアプリが使えるようになる見返りとして、事前の許可により可能とするか否かをユーザー自身が決められるようにする。技術を運用する目的で、個人データをデバイスの外に持ち出す必要はない。これに異論を唱える者は技術的スキルが足りない証拠であり、ARプラットフォームを開発するべきではない。
  2. IDの暗号化。大まかなロケーションID(Wi-Fiネットワーク名など)はデバイス上で暗号化する。一般性を超えて、特定のSLAMマップファイルのGPS座標から位置を知らせることはできない。
  3. 位置を示すデータは物理的にその場にいるとき以外はアクセス不可。アプリは、本人がその物理的位置にいない場合は、その物理的位置のデータにアクセスすることができない。そこに物理的に入ることが社会契約によって許されるかどうかが、これに大きく貢献してくれる。肉眼で物理的に見ることができる光景なら、プラットフォームは、その光景がどのように見えるかを示すコンピュータービジョンのデータに自信を持ってアクセスできる。
  4. 機械が読めるデータのみ。スマートフォンから外に出るデータは、専用の準同型アルゴリズムによって解釈できるもののみとする。現状の科学では、このデータを人が読める形に逆変換できないようにする。
  5. アプリ開発者はユーザーのデータを自分たちのサーバーで管理。プラットフォームではない。ARプラットフォームを提供する企業ではなく、アプリ開発者が、アプリとエンドユーザーに固有のデータ、つまりユーザー名、ログイン、アプリの状態などを管理する。ARクラウドプラットフォームが管理できるのは現実のデジタル複製のみとする。ARクラウド・プラットフォームはアプリユーザーの個人データに触れたり見たりできないため、それを乱用することがない。
  6. データを売るのではなく利用料で利益を上げるビジネスモデル。開発者とエンドユーザーが利用の対価を支払うビジネスモデルにすることで、プラットフォームは販売目的で必要以上のデータを回収することがなくなる。第三者に販売するためのデータを集めることへの金銭的報償を生まない。
  7. 最初にプライバシー保護の価値観を。プライバシーに関する価値観を一般に伝える。方針を示すだけでなく、それに対する説明責任を持つよう求める。未知の事態には何度も遭遇することになる。人々は、過ちが起きたときの誠実な対応を見て、そのプラットフォームが信頼できるかどうかを判断する。MozillaやAppleのような価値観を原動力とする企業は、価値観が知られていない他の企業に比べて、信頼度では優位に立っている。
  8. ユーザーと開発者の所有権と管理権。デバイスが取得したデータの所有権と管理権を、どの程度ユーザーと開発者に渡すのかを明確に決めておく。とても複雑な問題だ。目標は、GDPRの標準に世界中で準拠することだ(まだ達成されていない)。
  9. 持続的な透明性と教育。市場の教育に力を注ぎ、方針と、既知の問題と未知の問題をできる限り透明にし、新しく生まれたグレーゾーン全体で、人々の意見からどこに「線引き」すべきかを考える。データをやりとりして利益を得る場合には、ユーザーと交わした契約のあらゆる面を明確にする。
  10. 常にインフォームド・コンセント。データを取得する際には、丁寧に説明して同意を得るために誠実に努力する(広告ベースのビジネスモデルを採用している企業は3倍努力する必要がある)。これはエンドユーザー向け使用許諾契約を超えるものであり、平易な言葉を使い、解説図なども含めるとよいと思う。そこまでして初めて、エンドユーザーに何が起きるかを完全に理解してもらえる。

気味が悪い要素を排除したとしても、プラットフォームが取得したデータをハックされたり、政府機関から合法的にアクセスされる可能性があることを忘れてはいけない。取得していないものを出すことはできない。そもそも取得する必要がない。そうしておけば、データが見られたところで、個人マップファイルが正確にどこを示しているかを知ることはできない(エンドユーザーが暗号化するので、プラットフォームは鍵を持たない)。もし、正確な位置情報を含むデータが見られたとしても、それは決して解読できない。

こうした問題を一発で解決する決定打はない

ブロックチェーンは、こうした問題の万能薬にはならない。とくに、基礎的なARクラウドSLAMデータセットに対しては有用ではない。そのデータは独自規格で中央集権化されているので、適正に管理されていれば、データの保護は確実に行われ、正当な人間が必要なときにだけアクセスできる状態になっているはずだ。私たちが把握してるブロックチェーンには、エンドユーザーに恩恵をもたらすものはない。だが、ARコンテンツのクリエイターには価値があると私は考える。ブロックチェーンがモバイルやウェブのために製作されたあらゆるコンテンツに価値をもたらすのと同じだ。ARコンテンツと言えども、本質的には他のコンテンツと変わらないからだ(ロケーションIDがより正確になるだけだ)。

ちなみに、W3CとMozillaのImmersive Web(没入型ウェブ)グループは、さまざまなリスクとその緩和方法を探る努力を開始している。

望みをどこに持つ?

それは難しい質問だ。ARスタートアップは、生き残るために金を稼がなければならず、Facebookが実証したように、顧客にOKをクリックするよう促しすべてを収集するビジネスモデルが有利だった。ビジネスモデルとしての広告は、データ取得に関して本質的に間違った誘因を生んだ。その一方で、取得したデータがよりよい製品を生んだ例は無数にある(WazeやGoogle検索など)。

教育と市場への圧力、そして(おそらく必須となるが)プライバシーに関する規制は助けになる。それ以外では、私たちが互いに受け入れた社会契約(適正な利用など)に準拠して行動することになる。

重要なポイントは2つ。ARはあらゆるデータの取得を可能にするということ。そして、ARのユーザーエクスペリエンスを高めるためでも、プラットフォームはあらゆるデータを取得する必要はないということだ。

どのコンピューターに、ウェブクローラーがデータを読み出せる許可を与えるかというGoogleの努力に習うなら、コンピュータービジョンを広く分布させるARでは、どのコンピューターに見る権利を与えるかを、私たちは決めなければならない。

[原文へ]

(翻訳:金井哲夫)

GoogleがChromeとアプリの履歴、位置情報履歴の自動削除機能を発表

Google

よほど知識があり、よほど慎重に設定しないとGoogleはユーザーのオンライン上の行動を驚くほど詳しく記録してしまう。ChromeやGoogleマップを使っているなら訪問したサイトの閲覧履歴や位置情報が含まれる。こうした情報を記録させないようオプトアウトしたり、すでに記録された情報を削除したりすることは常に可能だが、面倒な操作が必要だった。加えて、そうすべき理由はいろいろあるにせよ、オプトアウトしてしまうとGoogleのパーソナライズ機能のほとんどを失うことになる。そこでGoogleは利便性とセキュリティーの妥協地点を設けることとした。

米国時間5月1日、Googleはウェブ訪問およびアプリ利用の履歴と位置情報を自動削除できる機能を発表した。ユーザーはGoogleがこうした情報を記録しておく期間を指定できるようになった。ユーザーはこの期間として3カ月または18カ月を指定できる。

期限を過ぎたデータは自動的に削除される。Googleに許可したデータの保存期間に応じてユーザーは行動履歴に基づく推薦などのパーソナライズサービスを受けられる。Googleからの推薦やカスタム検索は最大3カ月ないし18カ月の期間に得られたデータのみをベースにしているので、保存期間の上限を設けなかった場合より精度は限定的なものとなる。とはいえばパーソナライズサービスが受けられるのは便利だ。

当面この自動削除機能はGoogleの各種アプリの履歴をカバーする。つまりChromeやGoogleマップの位置情報の他にもAndroid向けのGoogleの新しいホーム画面、Google Discoverからの通知データもすべて削除される。

もちろんこうしたデータが削除されてもユーザーのGoogleアカウントには大量の個人情報が残されている。例えば、音声入力やYouTubeの検索・視聴などのデータは手付かずだ。しかし今後はGoogleもこうしたデータを自動削除対象に含めていくものと個人的には期待している。

画像:Tomohiro Ohsumi/Getty Images / Getty Images

【編集部注】この機能は数週間以内にすべてのユーザーが利用できるようになる模様。なお現在でもブラウザ右上などに表示されるGoogleアカウントのアイコンからアクティビティ管理を開けば個別に履歴を管理できる。

原文へ

(翻訳:滑川海彦@Facebook

画像:Tomohiro Ohsumi/Getty Images / Getty Images

アップルがスクリーンタイム監視アプリ削除の正当性を主張

Apple(アップル)は、App Storeから一部のペアレンタルコントロールアプリを削除したことに関して新たな声明を発表し、正当性を主張した。

同社は、親が子供のスクリーンタイムをより強くコントロールすることを謳った一部のアプリを削除したとして、非難を浴びているが、Appleはそれらのアプリがプライバシーに立ち入りすぎるテクノロジーを利用しているためだと説明した。

「最近当社はいくつかのペアレンタルコントロールアプリをApp Storeから削除したが、理由は単純であり、それらのアプリユーザーのプライバシーとセキュリティーを危険に曝すからだ。なぜ、どうやってこれが起きたのかを理解することが重要だ」と同社は声明で述べた。

問題の核心は、同社がApp Storeから削除したペアレンタルコントロールアプリが使用していたモバイルデバイス管理(MDM)技術にある、と同社は言った。

このデバイス管理ツールは、端末ユーザーの位置情報、利用しているアプリ、メールアカウント、カメラの許可状況、閲覧履歴などの制御とアクセスをサードパーティーに与える。

「当社は非エンタープライズ・デベロッパーによるMDMの利用について2017年に調査を始め、2017年中頃にその結果に沿ってガイドラインを改定した」と同社は言った。

Appleは、企業が社有デバイスや内部データを監視する目的でこの技術を使うことは正当な利用方法であることを認めているが、パーソナルな消費者向けアプリがユーザーの端末にMDMをインストールすることは、明確なApp Storeポリシー違反であると言った。

Appleは該当するアプリデベロッパーに対してApp Storeガイドラインに違反している旨を知らせ、App Storeから削除されないために30日以内にアップデートを提出するように伝えた。

Appleがスクリーンタイムアプリに関してデベロッパーに警告していたことは昨年12月にTCが報じている

「何社かのデベロッパーはポリシーに沿うようアプリを改訂するアップデートを発行した」とAppleは声明で言った。「それ以外のアプリはApp Storeから削除された」

Appleが目を光らせるサードパーティ製スクリーンタイムアプリ

[原文へ]

(翻訳:Nob Takahashi / facebook

FacebookやTwitterの設定を調整するプライバシーアシスタントのJumbo

Jumboはハイテクの巨人たちにとっては悪夢かもしれないが、彼らの怪しげなプライバシー取扱手段の犠牲者たちにとっては救世主となるかもしれない。

Jumboは、30に及ぶFacebookのプライバシー設定を調整して、より強固なプライバシー保護を与えたり、古いツィートを携帯電話に保存したあと削除することなどによって、ユーザーの時間や気まずい気持ちを救ってくれるアプリだ。Google検索やAmazon Alexaの履歴を消去することも可能であり、またInstagramやTinderのクリーンアップ機能も準備中だ。

スタートアップは米国時間4月9日、沈黙を破ってJumboプライバシーアシスタントアプリをiPhone向けにリリースした(Android用も程なくリリースされる予定)。手動で行うためには膨大な時間と調査を必要としかねない作業が、Jumboを使うことでわずか数ステップで適切に完了する。

ここで浮かぶ疑問は、ハイテクの最大手企業たちがJumboの運営を許すのか、あるいはそのアクセスを潰すのかということだ。実際Facebook、Twitter、その他の企業は、Jumboのような機能を構築するか、それら自身のアプリを使いやすくする必要があった筈なのだ。なぜならそうすることで、ユーザーたちの自信と理解が高まり、アプリの利用頻度も上がる筈だからだ。しかし一方、彼らのビジネスモデルは、できるだけ多くの利用者のデータを収集して活用し、より広く表示されるコンテンツから利用者のエンゲージメントを絞り出すことに頼っていることが多いため、巨人たちにはJumboをブロックするための言い訳を探したくなる動機がある。
「プライバシーは人びとが望んでいるものですが、また同時に、それに対処するには時間がかかりすぎるものなのです」と説明するのはJumboの創業者ピエール・バラード氏である。バラード氏はかつて、人気カレンダーアプリSunriseを開発し、2015年にMicrosoftに対して売却した経験を持つ。「ということで、ユーザーには2つの選択肢が残ることになります。Facebookを離れるか、もしくは何もしないかです」。

Jumboはたとえ怠惰な人であっても、簡単に自分自身を保護することができる。「私はJumboを使って、自分のTwitter全体をきれいにしました。いまの個人的な気持ちは…より軽やかです。FacebookではJumboが私のプライバシー設定を変えてくれたので、より安全に感じるようになりました」。ケンブリッジ・アナリティカのスキャンダルに触発されて、彼はプラットフォームたちは、私たちの大量のデータを今までのように管理する権利は失ったと信じているのだ。

バラード氏のSunriseの実績と、Dropboxのボトムアップ式フリーミアム戦略(プレミアムサブスクリプションとエンタープライズ機能の追加)が、既に投資家たちをJumboに引きつけている。同社はThrive Capitalのジョッシュ・ミラー氏とNextview Venturesのロブ・ゴー氏が率いるシードラウンドで350万ドルを調達した。「お二人ともプライバシーが基本的人権であることを信じていらっしゃいます」とバラード氏は語る。ミラー氏は彼のリンク共有アプリBranchを2014年にFacebookへ売却した。つまり彼の投資は、内部の知識がある人にはJumboの必要性が見えていることを示している。ニューヨークにいるバラード氏の6人のチームは、調達した資金を使って、新機能を開発し、プライバシーを呼び覚まそうとしているのである。

Jumboの仕組み

まずJumboによるFacebook設定の修正を見てみよう。このアプリは、従来の「Facebook Connect」機能を使用するのではなく、Facebookにアクセスするミニブラウザーをオープンし、ユーザー名とパスワードの入力を求める。それはすぐにJumboをブロックするので、私たちはFacebookに対してそのアクセスが許されるべきものであることを教える。そうすることで、Jumboはプライバシー制御設定を、弱、中、または強に設定することができるようになる。とはいえ既に手動で厳しく設定しているプライバシー設定に関しては、それを緩めることはしない。

バラード氏の説明によれば、Facebookには設定を変更するためのAPIがないため、Jumboは「FacebookのWebサイト上で『ユーザー』として振る舞って、スクリプトとしてボタンをタップし、Jumboに依頼した変更をFacebookに対して加える」のである。彼は、Facebookがこの操作のためのAPIを作ることを望んでいると言っているが、彼のスクリプトがポリシー違反とみなされる可能性は高いだろう。

たとえばJumboは、電話番号を利用してユーザーを検索できる人を、強なら友達のみ、中なら友達の友達に変えるが、弱の場合はJumboは設定を変えない。時にはそれはより強い姿勢もとる。広告主がアップロードした連絡先情報に基づいて広告を表示する機能では、強と中の両方の設定ではこのタイプのすべての広告が非表示になる。一方弱では設定は変わらない。

Jumboが調整することができるリストに含まれる項目は、例えば、ユーザーの将来の投稿を見ることができる人、ユーザーのフォローしているページとリスト、ユーザーの友達リストを見ることができる人、ユーザーの性的嗜好を見ることができる人、写真やビデオの中で自分をFacebookに認識して欲しいか否か、ユーザーのタイムラインに投稿できる人、ユーザーの投稿に追加されようとしているタグをレビューできるようにするか否かなどである。完全なリストはここで見ることができる。

Twitterの場合は、これまでのツイートをすべて削除するのか、それとも1日、1週間、1カ月(推奨)、または3か月以上経過しているものを削除するのかを選択することができる。すべての処理が携帯電話上でローカルに処理されるので、Jumboがデータを見ることは決してない。ツイートを削除する前に、アプリがそれらのツイートをアプリのMemoriesタブの中にアーカイブする。残念ながら、現在そこからツイートをエクスポートする方法はないが、Jumboは間もなくDropboxとiCloudの接続を提供するので、ツイートを遡ってダウンロードすることが可能になるだろう。TwitterのAPIの制限により、ユーザーのツイートのうち数日ごとに3200ツイートだけしか削除できないため、大量にツイートを行っている場合には何回か繰り返し操作を行う必要があるだろう。

その他の統合はもっと簡単なものだ。Googleでは、あなたの検索履歴を削除する。Alexaの場合は、Amazonが保存した音声録音を削除する。現在開発が進んでいるのでは、古いInstagramの写真やビデオ、そして古いTinderマッチやチャットスレッドを一掃する機能である。

全体として、Jumboはユーザーのデータを一切見ることがないように設計されている。「ユーザーのデータをクラウド内で処理するサーバーサイドコンポーネントはありません」とバラード氏は言う。その代わりに、すべてがユーザーの電話機内でローカルに処理される。つまり、理論的には、データをJumboに預ける必要はなく、単にそこにあるものを正しく変更するだけなのだ。スタートアップは、ソースコードの一部をオープンソース化して、それがスパイではないことを証明する予定である。

ツイートを削除できるアプリは他にもあるが、本格的なプライバシーアシスタントになるように設計されたものは他にない。だがおそらく、ハイテク巨人たちが、Jumboが意図したとおりに実行できるままにしておくと考えるのは、少々理想主義に過ぎるだろう。バラード氏は、もしハイテク大手がJumboをブロックしたら、プライバシー擁護側からの盛大な反発が巻き起こるくらい、十分なユーザーからの支持が得られることを望んでいると語る。「もしソーシャルネットワークが私たちをブロックした場合、それらが再び機能できるようにするための解決策が見つかるまで、そのソーシャルネットのJumbo内への統合を無効にします」。

しかし、たとえそれがプラットフォームに禁止されたとしても、Jumboはプライバシーがオフラインでどのように扱われるべきかに関する、重要な議論を巻き起こすことになるだろう。私たちがあまり保護されていない状況の下でお金を稼いできた企業たちに、私たちはプライバシのデフォルト設定をお任せにしてきた。そのコントロールをユーザー自身の手に渡すべき時がやってきたのだ。

[原文へ]

(翻訳:sako)

ユーザーを騙すダーク・パターンを禁じる超党派法案を米議会に提出

テクノロジー企業が使う非常に不愉快なUIデザインの一つ、ダーク・パターンを禁止しようとする法案が米議会に超党派で提案された。ダーク・パターンは、ユーザーを知らず知らずのうちに望む方向に誘導しようとする悪質なデザインだ。多くの場合開発者はプライバシーの保護を無効化し、ユーザーの個人情報に自由にアクセスできるようにすることを狙っている。

Facebookの共同ファウンダーでCEOであるマーク・ザッカーバーグ氏の議会証言1週年を記念して、Mark Warner(民主党、バージニア州選出)とDeb Fischer(共和党、ネブラスカ州選出)の両上院議員は Deceptive Experiences To Online Users Reduction(欺瞞的オンライン・ユーザー体験の防止)という法案を提出した。DETOUR(迂回路)という頭文字語にごろを合わせるためにはいささか幅広すぎる法案名になっているが、ともあれ狙いは「何千万というユーザーの自己決定を誤らせ、プライバシーを放棄させようとして故意に紛らわしいユーザーインターフェイスを用いることを防止する」ことにある。法案の全文は記事末に添付した。

法案が議会を通過するには非常に複雑な手続きを経なければならないので今後の展開は不明だが、 この問題を扱うのに最適な政府機関はなんといってもFTC(連邦通信委員会)だろう。FTCはダーク・パターンを禁じるガイドラインを制定し、違反者には制裁金を課すことができる。昨年、ノルウェーの消費者保護活動グループがこの問題について調査したレポートによれば、米国でプライバシー保護活動を行う8団体もFTCに対策を取るよう要求している。

法案はダーク・パターン以外にも、13歳未満の児童を「強迫的なオンライン利用」に誘導するようなデザインや明示的承諾なしにユーザーの行動を調査する実験を行うことも禁じている。法案に示されたガイドラインによれば、大規模なテクノロジー企業は社内にコンプライアンスに関するレビューを行う委員会を設けなければならない。Institutional Review BoardないしIRBとして知られるこの種の委員会は製薬会社や医療機関に設置されて人間に対する実験に関してきめて強力な監督権限を持っている。

以下は法案の全文。

【日本版】カット画像はダーク・パターンUIの典型を説明したもの。「オプトインする、オプトアウトしない、オプトインしないことはしない」とオプションが並んでいるが、どの選択肢を選んでもユーザーはオプトインさせられてしまう。

原文へ

(翻訳:滑川海彦@Facebook

CloudflareのWarpはVPNなんて知らない人のためのVPN

2010年にTechCrunchのステージでデビューして以来、Cloudflareはインターネットの高速化と近代化に注力してきた。しかしモバイルについては、最近まで手つかずの状態が続いていた。米国時間の4月1日に、同社はWarpと呼ばれる新しいサービスを発表した。「VPNが何の略か知らない人のためのVPN」と銘打たれている。

実際にVPNが何の略なのか知らなくても、それほど恥ずかしくはない。VPNはVirtual Private Network(仮想プライベートネットワーク)の略だ。ユーザーと広域のインターネットとの間に入る仲介役として機能する。それによって、インターネットへの接続方法を、いろいろな意味でカスタマイズできるようになる。たとえば、見かけのアドレスを変更して、IPベースのトラッキングを回避することなどが可能となる。

こうしたサービスの問題点は、その多くがあまり善良とは言えないこと。これまでに聞いたこともないような会社に、インターネットのトラフィックをすべて委ねてしまうのは、あまり良い考えではないと誰でも思う。最も大きく、最も実績のあるVPNプロバイダーでさえ、まったくなじみのある名前とは言えない。さらに、そうしたサービスでは、反応の悪さなど、パフォーマンスの問題が発生しがちだ。ただでさえ、モバイルのウェブには問題があるというのに。細かな設定や調整が可能となっている場合もあるのが救いだが、普通のユーザーは、なかなかそこまでしない。

CloudflareのCEO、Matthew Prince氏のブログ記事によれば、Warpは、VPNの利点の多くを、何の欠点もなく提供するという。しかも接続スピードは速くなり、同時にプライバシーとセキュリティも確保される。

「私たちはこのアイデアに、3〜4年間も取り組んできました」と、Prince氏は言う。最初は、新たなブラウザを作るというアイディアもあった。「しかし、それはばかげた考えでした」とも。アップルとグーグルが潰しにかかるのは必至だからだ。また、今ではほとんどが、モバイル環境で使われるアプリベースで動いているので、最も効果的なのは、アプリと広域のインターネットの間のレイヤーに入り込むことだと考えている。「だからVPNなのです。しかも私たちにとって、まったく道理にかなったものでもあるのです」。

しかし彼らは、多くの小規模なVPNプロバイダーと競って、ニッチなパワーユーザーを横取りするようなことはしたくなかった。

「正直に言って、既存のほとんどのVPNユーザーにとっては、おそらくWarpは最適なソリューションではありません」と、Prince氏は認めている。「旅行中でもNetflixにアクセスできるように、実際とは違う国にいるように見せたいとしましょう。そのようなサービスを提供する業者はたくさんあります。しかし、私たちが狙っているのは、そのような市場ではありません。私たちは、もっと多くの人にとって魅力的なものを提供したいのです。すでにある市場を奪い合おうとしているのではありません」。

何百万ものユーザーにとって、欠点のないデフォルトのサービスとなるために、Cloudflareはそれほど多くの部分をゼロから開発したわけではない。ネットワーク分野の最先端にいる開発者によって生み出されているものを採用した部分も大きい。Wireguardによって開発された、もともと効率的なオープンソースのVPNレイヤーに手を加えて、さらに効率的なものにした。また、そこにNeumobによって開発されたUDPベースのプロトコルを追加した。Neumobは、Cloudflareが2017年に買収した会社だ。これに、世界中にある大規模なCloudflareサーバーのネットワークを加えれば、速くて安全なVPNサービスの出来上がりだ。ユーザーが普段利用している接続よりも優れ、高速なものとなるに違いない。

去年の今頃、Cloudflareが「1.1.1.1」というアプリによるDNSサービスを導入したことは、まだ記憶に新しいだろう。デスクトップとモバイル両方で使えるものだ。同社は、任意かつ無料のアップグレードとしてWarpを提供することで、そのアプリの存在価値をさらに高めている。

ところで、それはいったい何なのか? ユーザーがモバイルデバイスを使ってグーグル検索をしたり、アプリをアップデートしたり、その他もろもろ、インターネットを利用する際には、いろいろな手順が必要となる。たとえば、接続先の正しいIPアドレスを知るとか、保護された接続を確立するとか、そういったことだ。CloudflareのWarp VPNは、そうした手順をすべて代行する。これは他のVPNと同じだ。そして、普通は暗号化されていない通信も暗号化し、同時に高速化する。Neumobプロトコルを利用し、リクエストを独自のネットワークに通すようにすることで可能となるものだ。

こうした技術的な部分は、間違いなく公開され、やがて精査されることになるだろう。しかし、Cloudflareが主張するのは、Warpを使うことで、接続の品質が向上し、さらに安全も確保されるということ。DNS検索に付随するデータが収集されて販売されるといったことを防ぐこともできる。その中には、どのユーザーがどのサイトへの接続をリクエストしたかという情報が含まれているのだ。Prince氏のブログ記事では、あえて既存のVPNと直接比較することは避けたのだという。というのも、そのような比較は、これまでにVPNを使ったことがない何百万人もの人々には関係のないことであり、Warpがターゲットにしているのは、まさにそういう人だから、ということだ。

「それでも比較する人はいるだろうか? もちろん。Warpを褒めているツイートを見かけたら、私もリツイートするかって? 当然」、とPrince氏は言う。「ただし、私たちは既存のVPNプロバイダーから多くのユーザーを奪うつもりはないのです。それよりも、市場を拡大したいのです。私たちは世界最大のVPNになりたいと考えていますが、そのために他のプロバイダーから、1人のユーザーも奪いたくはないのです」。

そうした態度は、既存のVPNが持っている魅力的な機能のいくつかを、Warpがあえて備えていないことにも現れている。たとえば広告をIPレベルでブロックする、といったものだ。Prince氏によれば、彼自身も、会社の同僚も、特定のコンテンツを選抜するという考え方にはしっくりこないものがあったという。それは単に彼らの顧客の多くが、広告によって成り立っているサイトだからというわけではない。「インターネットの下部構造としてのパイプが、編集的な役割を果たすのは、どう考えても不気味なのです」とPrince氏は言う。「私たちがページのコンテンツに干渉し始めれば、たとえ人々が望むことだとしても、危険な先例となってしまうでしょう」。

Warpは無料で提供される。Cloudflareは、よりハイエンド寄りのサービスも計画していて、そちらは月額ベースで販売されるからだ。後に、エンタープライズ向けのバージョンが販売されれば、すでに出回っているデキの悪いバージョンを置き換えることになる。読者の中には、もう現在のバージョンを入手して楽しんでいる人もいるかもしれない。Prince氏は、子供が自宅のリビングに入ってきて「ねえママ、インターネットが遅いんだけど、ママの会社のVPN使ってもいい?」などと聞く日が来ることを空想しているという。ありそうもない話だが、大手インフラ企業のCEOにも夢があるのだ。お手柔らかに。

それまでは、Cloudflareの他のコネクティビティ機能と同様に、Warpは無料であり、それでいてほとんど制限なく使える。

とはいえ、1つだけ例外がある。それはまだ入手できないのだ。Cloudflareでは、Warpを4月1日に発表したかった。それは去年1.1.1.1を発表してからちょうど1年後となるからだ。しかしその日は外すことにした。4月1日だから(私はこれをみんなに言いふらしたかったのだが、技術運営チームに相談したら「やめてくれ、それは許可できない。そんなことをしたらネットワークがこける」と言われた)。というわけで、今できるのは、まず1.1.1.1アプリを入手し、Warpが使えるようリクエストして、順番待ちをすることだ。まだ発表したばかりなので、それほど長く待つこともないだろう… おっと。

18万1836番目だって?なるほど、わかったよ。

原文へ

(翻訳:Fumihiko Shibata)

FBIとアップルの法廷闘争の内幕を暴く本が出版へ

Apple(アップル)のCEOであるティム・クック氏の新たな伝記が、今月中にも発売予定となっている。そこには、FBIが前例のない法的命令をAppleに突きつけた当時の葛藤が明らかにされている。それはAppleの主力製品のセキュリティを骨抜きにしかねないものだった。

その本は、「Tim Cook:The Genius Who Took Apple to the Next Level」(Appleを次のレベルに押し上げた天才)というタイトルで、著者はLeander Kahney氏だ。当時のスタッフの生々しい言葉でAppleがその命令とどう闘ったかが記されている。クック氏は、その命令に従うのは「危険過ぎる」と言ったという。

3年前に起こったSan Bernardinoでのテロ攻撃では、12人が死亡し、数十人が負傷した。その後FBIはAppleに、特別バージョンのモバイルソフトウェアを作成して、iPhoneの暗号化、その他のセキュリティ機能をバイパスできるようにすることを要求した。テロの実行犯の一人がiPhoneを使っていたからだ。しかし、裏口を設けたソフトウェアが、やがて悪意の第三者の手に渡ることを恐れたクック氏は、公開書簡で、AppleはFBIの命令を拒絶し、法廷で戦うことを宣言したのだった。「そうしたソフトウェアは、誰かが実際に所有しているiPhoneのロックを解除する能力を持つことになります」と、クック氏は述べている。この件の帰結は、このハイテクの巨人と政府の公の戦いは数ヶ月も続き、その後政府はハッカーにお金を払ってデバイスに侵入させることを選ぶ、というものだった。

Appleが長いこと主張していたところによれば、司法省はAppleに対して公に闘いをしかけ、テロ攻撃の余波を利用して公衆を納得させることを狙っていたという。つまり、Appleをテロリストの味方のように見せかけて、同社が反論する前に裁判所の命令を引き出そうとしていた。

もしAppleがその訴訟に負けようものなら、これまでずっとプライバシーとセキュリティを守り続けてきた同社の理念は、粉々に砕け散ってしまう。クック氏は、この命令に背くことを決断するにあたり、「社運を掛ける」とまで言ったという。そのことは、この本に登場する元Appleの顧問弁護士、Brian Sewell氏の言葉として伝えられている。

Sewell氏によれば、FBIの命令は1つの転換点だった。その前には「数々の活動」が見られ、それを受けて当時のFBI長官、James Comey氏は、命令書に署名するよう判事に求めたのだ。

その命令は、All Writs Actとして知られているあいまいな法律に基づいて発行されたもの。FBIは、その法律以外ではカバーできないようなことを民間企業にさせる場合、その命令の発行を裁判所に依頼する際の切り札として使っている。命令は「ひどく負担が重い」ものにすることはできないとされているが、こうした主観的な言葉づかいは、その命令を発行する裁判所によって決められることも多い。

Sewell氏は、FBIは2014年ころからAppleに対して「スマホにアクセスする共通の手段」を提供するように求めていたという。それは、AppleがiOS 8をリリースして、iPhoneとiPadをパスコードで暗号化できるようになった時期だ。法執行機関は、犯罪調査のために必要だと彼らが認めたデバイスに侵入することが、なかなかできないでいた。正しいパスコードを入力する以外、iPhoneに侵入するための現実的な方法はなかった。たとえ裁判所の命令があってもだ。Apple自身ですら、デバイスのロックを解除できなかった。そして同社は、FBIの要求を拒否したのだ。

しかしこの本では、法執行機関は「Appleに強制的に協力させる絶好の機会ととらえていた」と、著者のKahney氏は書いている。

「FBIには、これは最悪な事態だという感覚もあったのです」と、Sewell氏は述べている。「われわれは今、悲劇的な状況にある。われわれにはiPhomeがある。加害者の死体もある。今こそやり遂げるべき時だ。そういうわけで、FBIは命令書の発行を決めたのです」と。

Appleは世論が分裂していることを知っていたが、妥協はしなかった。

次の2ヶ月間、かつてAppleの本社があった、クパチーノのOne Infinite Loopのエグゼクティブフロアは、「24時間年中無休の危機管理室」になった。そこでは、プレス対応が徹底的に強化された。Appleは、もともと秘密主義の会社として知られていて、そのような対応は過去にほとんどなかった。

この件は、結局裁判を経ずに解決した。Appleが、カリフォルニア州の裁判所で政府と直接対決することになっていた日の前日になって、政府はその法的措置を取り下げたのだ。政府が、ハッカーにほぼ100万ドル(約1億1000万円)を支払い、iPhoneに侵入することに成功したためだ。クック氏は、この訴訟が裁判にかけられなかったことに「失望した」と述べたと、Sewell氏は語っている。なぜなら、この件の解決は、Appleにとって好都合のものとして裁定が下ると信じていたからだ。その命令の合法性については、今日でもまだ結論が出ていない。それでも政府は、Facebookなど、他の会社に対して、警察がアクセスできるようにソフトウェアを作り直すよう強要することをもくろんでいる。

司法省報道官のNicole Navas氏はコメントを拒否した。Appleもコメントしなかった。

「Tim Cook:The Genius Who Took Apple to the Next Level」は4月16日に米国で発売される。

(参考記事日本語版:FBI、暗号化でアクセス不能な端末数を水増し報告

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

Facebookが数億人のパスワードを平文で保存していたと認める

Facebookでまたセキュリティー上の問題が見つかった。

コンピューターセキュリティを専門とする調査報道ジャーナリストのBrian Krebsは自身のサイトで「長年にわたってFacebookは数億アカウントのパスワードを平文で保存している」とするレポートを発表した。 Facebookは米国時間3月21日、公式ブログで事実だと認めた

FacebookのPedro Canahuati氏によれば、問題が発見されたのはは1月に行われた定例のセキュリティチェックの際で、パスワードを見ることができるのはFacebook社内の担当者だけだという。しかしKrebsは「Facebookでは2000人のエンジニア、デベロッパーがパスワードを含むログにアクセス可能だ」と指摘している。しかもFacebookがこの失態を認めたのは事実が判明してから何カ月もたち、外部のジャーナリストであるKrebs氏に指摘されてからだった。

Krebs氏によれば、バグは2012年にさかのぼるという。FacebookのCanahuati氏はブログでこう述べている。

我々のログインではユーザー以外がパスワードを見ることができないようにマスクするシステムを採用しており、これ(をチェックする際に平文で保存していること)がわれわれの注意を引いた。パスワードは社外からアクセスすることはできないし、社内でも悪用されたり、不適切なアクセスを受けたという証拠はまったく発見されていない。

しかしどのようにしてこの結論に達したのかは説明されていない。Facebookは数億人のユーザーにこの問題を通知するという。またInstagramのユーザーにも通知がいくはずだ。これには途上国など接続スピードが遅く、通信量が高価な地域向けの軽量版であるFacebook Lightのユーザーも含まれる。

Krebs氏は「6億人のユーザーが影響を受ける可能性がある」としている。これは同社の27億人のユーザーの約5分の1だが、この数字はまだFacebookによって確認されていない。

またどのようにしてこのバグがシステムに入り込んだのかもまだ説明されていない。パスワードを誰でも読める平文のまま保存するというのはもちろん適切な方法ではない。Facebookのような大企業はパスワードを保存する際にソルトを付加してハッシュ化するのが普通だ。どちらのテクニックも攻撃を著しく困難にする。この方法を用いればシステム側もパスワードの内容を知る必要がない。

昨年、TwitterGitHubでも似たような(ただしそれぞれ異なる)バグが発見された。両社ともパスワードにスクランブルをかけず平文のまま保存していた。

いずれにせこのバグはFacebookを襲っている一連のセキュリティ問題の最新の例だ。Facebookがユーザーの許可を得ずにサードパーティーに個人情報にアクセスすることを許す契約を結んでいた問題は刑事事件として捜査されることが報じられた。 最近の一連のセキュリティ問題は議会への証人喚問政府の諸機関による調査をもたらしている。

Facebookが事実を確認するのに長時間かかった理由、またデータ漏洩が発生した場合、米国、ヨーロッパにおいてはそれぞれ法で定められた通知義務が発生するがその通知を行ったのかどうか、Facebookにコメントを求めた。今のところ冒頭で紹介したブログ記事以上の回答は得られていない。

なおFacebookのヨーロッパにおける運営を管轄するアイルランド政府のデータ保護局は「Facebookからこの問題に関する通知を受けた。さらに詳しい情報を求めている」としている。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

iPhoneのいちばんのウリ「プライバシー」を強調するAppleの広告

Apple(アップル)米国内で3月14日から、ゴールデンタイムに新しいスポット広告のオンエアを始めた。プライバシーに焦点を当てたこのCMには会話はない。「Privacy. That’s iPhone」(プライバシー。それがiPhoneです)というシンプルなメッセージが表示されるだけ。

一連のユーモラスな場面は「あなたにもちょっとしたプライバシーが必要なときがある」ということを再認識させる内容。それ以外には、たった1行のテキストがあるだけ。それはAppleが長期的にも短期的にも主張しているプライバシーに関する1つのメッセージと呼応している。「あなたの生活にとってプライバシーが大切なら、あなたの人生が詰まった携帯電話にとっても大切なはず」。

このスポット広告は、米国で木曜の夜からゴールデンタイムに放送され、NCAAのバスケットボールトーナメント、March Madnessまで続く。その後、いくつかの他の国々でも放送されることになっている。

洞穴の中にでも隠れていたのでない限り、Appleがプライバシーを、他社と差別化するための要因と位置付けていることに気づかない人がいるはずはない。数年前からCEOのティム・クック氏は、Appleが自社のプラットフォーム上でのプライバシーに対するユーザーの「権利」をいかに大切に考えているか、それが他の会社とはどのように異なっているのか、ということを、ことあるごとに公に明確にしてきた。Appleがそうした立場を取ることができた背景には、Appleの当事者としてのビジネスが、ユーザーとの、かなり直接的な関係に依存してきたことがある。Apple製のハードウェアを購入したユーザーは、同時にそのサービスを受け入れるように、ますますなっているのだ。

これは、GoogleやFacebookのような他のハイテク大企業のモデルとは対照的だ。そうした会社は、ユーザーとの関係の中に収益化の戦略を実現するためのしかけを忍び込ませている。それはユーザーの個人情報を(ある程度匿名化した形で)扱うアプリケーションとして、広告主にとって魅力的なものに仕立ててある。もちろん、ユーザーにとっても便利なものに見えるはずだ。

とはいえ、倫理的に優位な立場をマーケティング戦略として利用することに落とし穴がないわけではない。Appleは、最近、iPhoneを盗聴器にしてしまうことを可能とするFaceTimeのハデなバグ(すでに修正されている)を発見した。また、Facebookが、App Storeの認証を操作していたことが露見したことは、その時代遅れになったEnterprise Certificateプログラムの見直しが必要となっていることを明らかにした。

今回の「Private Side」のスポット広告の象徴的な画面が、プライバシーとセキュリティの概念をかなり密接に関連付けているのは、非常に興味深いことだった。それらは独立した概念ながら、互いに関連していることは明らかだ。このスポットは、これらが同一であると主張する。セキュリティを無視してプライバシーを守ることが難しいのは当然だ。しかし、一般の人にとってこれら2つの違いはほとんどないようなものだろう。

App Store自体はもちろん、まだGoogleやFacebook製のアプリをホストしている。それらは、その他の何千というアプリと同様、さまざまな形でユーザーの個人データを扱っている。Appleが主張しているは、ユーザーがiPhoneに預けたデータを積極的に保護しているということ。そのために、デバイス上で加工し、最小限のデータだけを収集し、可能な限りユーザーとデータを分離し、さらにデータの扱いをコントロールできる、透明性の高いインターフェイスを可能な範囲でユーザーに提供しているのだ。それはすべて真実だし、競合他社よりも、はるかにまともな取り組みだろう。

それでも、まだやるべきことは残っていると感じられる。Appleは自社のプラットフォーム上で個人データを扱っているので、何が社会規範に則しているのかという判断を下さなければならないからだ。もしAppleが、世界で最も収益性の高いアプリケーション市場に出回っているものの絶対的な裁定者となるつもりなら、その力を利用して、我々のデータによって生計を立てている大企業に対して(そして小さな会社に対しても)、もっと強い態度に出てもよいのではないだろうか。

私がここまで、Apple抱えていた問題について述べたのは、皮肉のつもりではない。それでも、Appleがプライバシーをマーケティングの道具にすることは、傲慢と言えるほど大胆なものだと考えたがる人もいるだろう。私個人としては、状況によってはプライバシーを危険にさらすことがあったとしても、プライバシーを守ろうと組織的に努力している会社と、「プライバシーの侵害をサービスとする」ビジネスを展開することで存続しているような、この業界の他のほとんど会社との間には、かなり大きな違いがあると考えている。

基本的には、プライバシーを前面に出すのはむしろ使命であり、いくらかバグがあったとしても支持できることだと思う。しかし、プライバシーから利益を得るプラットフォームを運営しておきながらそれについて沈黙しているのは、ある意味まやかしようなものだ。

もちろん、そんなことを言うのは、キャッチフレーズとしては長すぎだろうが。

原文へ

(翻訳:Fumihiko Shibata)

プライバシーに税金を

モバイルデバイスを追跡することによるデータ収集は大きなビジネスであり、政府がこうしたデータを収益化するのを手助けする企業の可能性には莫大なものがある。消費者にとっては、誰が、何のために、どこでデータを流通させているのか、ということに対して自衛するのは、ほんの初歩的なものに過ぎない。現在の問題は、あなたのデータが、新しい税金、料金、債務として、あなたにお金の負担を強いていないことを、どうやって確かめるのか、ということにある。特に、このデータから恩恵を受けるのが政府だった場合は問題だ。それを保護する役割を担っているのも政府なのだから。

個人データ収集の発達は、プライバシーを擁護しようとする人にとって、大きな悩みのタネになってきている。そのほとんどの懸念は、どんなタイプのデータが収集されているのか、それを誰が見ているのか、そしてそのデータが誰に売られているのか、という点に集約されている。しかし、より深刻な問題は、その同じデータが、監査やコンプライアンスの料金という名目で金儲けに使われる可能性があるということなのだ。

実のところ、もはや企業や消費者を追跡して課税するために、大規模なインフラは必要ない。州政府と自治体にも、それが分かっている。

その結果、モバイル追跡技術を利用した年間数十億ドル規模のビジネスが、毎年指数関数的に成長することになった。

スマートシティ(あるいは州)の課税や料金徴収を手助けしている企業にとって、収益の上昇傾向は重要だが、それは矛盾をはらみ、複雑さに満ちたものとなっている。最終的には、そうした会社が採用しているビジネスモデルや、そうした会社に多額の投資を行っている投資家にとって深刻な問題を引き起こす可能性がある。

写真提供:Getty Images/chombosan

プライバシーの擁護者が、モバイルデータの収集に関して懸念を表明する際の、最も一般的な論点は、消費者がほとんどすべての場合にオプトアウトする権限を持っているか、ということ。しかしながら、政府がこのデータを利用するとき、必ずしも常にそのオプションが用意されているとは限らない。そしてその結果は、消費者のプライバシーを税金や、何らかの料金として収益化することにつながる。今は、カリフォルニアや、その他の州が、市民のプライバシーと承諾の積極的な擁護者であると自認しているような時代だ。そのため、こうした状況は、控えめに言っても、関係する人すべてをやっかいな立場に置くことになる。

スマートシティと次世代の位置情報追跡アプリの結び付きは、より一般的なものになりつつある。AI、常に稼働しているデータフロー、センサーネットワーク、および接続されたデバイスは、持続可能で公正な都市の名のもとに、新しい収益を生むものとして、すべて政府によって利用されている。

ニューヨークロスアンジェルス、およびシアトルは、最終的には何らかの形で個人データから収益を得ることになるような、一種の通行料制度を実施している。あるいは、実施しようとしている。1919年に最初のガソリン税を導入したオレゴン州では、2年前からOreGoと呼ばれるプログラムを始めた。それは、走行した距離のデータを利用して、運転者に料金を請求するというもの。一般道や高速道路のインフラ整備の問題に対処するためだ。

画像提供:Shutterstock

さらに多くの州政府や地方自治体が、同じような政策の採用を検討しているので、こうしたデータから収穫を得ようとしている企業や投資家にとっての収益機会は確かなものとなっている。Populus(ポートフォリオ会社)は、都市がモビリティを管理するのを補佐するデータプラットフォームだ。UberやLyftのような会社の車両からデータを取得し、都市が政策を制定して料金を徴収するのを支援する。

同様に、ClearRoadは「ロード・プライシング・トランザクション・プロセッサ」であり、自動車からのデータを活用して、政府が道路の利用状況を把握し、新しい収入源とすることを補佐する。一方、Safegraphは、アプリ、API、あるいはその他の配信情報を利用して、スマートフォンから毎日何百万もの追跡情報を収集している会社だ。多くの場合、それを開示する仕事はサードパーティに任せている。このようなデータは、スマートシティのアプリケーションへの道を切り開くものだ。その影響は、不動産市場からギグ経済まで、さまざまな業界に及ぶだろう。

「位置情報、3Dスキャン、センサートラッキング、その他の技術を利用している企業はたくさんあります。つまり、サービスの有効性を向上し、政府が新たな収入源を見つけるための機会もそれだけ多いのです」とClearRoadのCOO、Paul Salamaは述べている。「制定された法律ではなく、コンピュータによる規制を信頼できれば、もっとダイナミックな統制を認めることができます。それは自動車だけでなく、騒音公害、微粒子の排出、臨時の標識など、多くの領域に及ぶでしょう」。

こうしたプラットフォームやテクノロジーのほとんどは、善良な政策と持続可能な都市の基盤を生み出すことで、公共の利益に貢献しようとしているものの、個人のプライバシーと、差別の可能性についても懸念を投げかけている。それは本質的に矛盾をはらんでいる。というのも、州政府は、表面的には過剰なデータ収集を抑制するような任を負いながら、時には消費者による同意も選択肢もなしに、その同じデータを利用して州の財政を潤すという側面も持っているからだ。

画像提供:Bryce Durbin

「人々は自分のプライバシーを気にかけているので、徹底的な議論を要する側面もあります」と、Salamaは言う。「しかし、われわれは、そのデータの統括管理に関する多くの未知の部分について話をしているのです。ある時点で、ある種の展望がきっと得られるはずですが、それにはまだ時間がかかるでしょう」。

政策立案者や一般の人が、携帯電話の追跡と、それにともなう、ほぼまったく規制されていないデータ収集について意識するようになるにつれて、この分野の企業が直面する課題が明らかになってきた。それは、かなり深刻なプライバシーに関する懸念とのバランスを取りながら、どうやって社会的に有益なデータを抽出し尽くすか、ということだ。

「選択肢を用意すべきでしょう」と、Salamaは続ける。「その例が、ユタ州の方法です。来年から電気自動車は(ガソリン税に代えて)定額を支払うか、距離に応じて支払うかを選べるようになります。距離に応じた支払いはGPSによるものですが、その他の手法も用意されています。いずれにしても、実際の使用状況に応じた支払いとなるのです」。

結局のところ、政府にとって、規制と透明性を両立できるものが、今後最も有望な方法となるだろう。

画像提供:Getty Images

ほとんどの場合、消費者または納税者にアクセスする方法は、彼らが共有するエコノミービークル(自動車、スクーター、自転車など)か、彼らが使っているモバイルデバイスのいずれかを通したものとなる。車両に対する課税は間接的なものであり、政府がそうしたデータから収益を得ることに対する言い訳を与える余地も含んでいる。それに対し、モバイルアプリを通じて収集されたデータを利用して市民に直接課税することを言い訳することはできない。

政府にとって、そうした本質的な矛盾を回避するための最善のシナリオは、何らかのメリットと引き換えに自発的な利用を促すか、ユタ州のガソリン税に代わる道路使用料の支払い方法の選択肢のように、課金方法のオプションを用意することだろう。特に個人のデータを精査しようとしているのが政府であれば、それによってプライバシーに関する懸念がすべて払拭されるわけではないとしても、少なくとも選択という方策と、分かりやすいメリットを提示できる。

もし、データの収集と共有が、依然として主にB2Bビジネスやグローバル企業だけの特権だとしたら、おそらくデータ収集の方法や利用に対する抗議の高まりは、もっと目立たないままだっただろう。しかし、データの利用が日常生活のさまざまな部分に浸透し、スマートシティや政府によって全国規模で採用されるにつれて、プライバシーに関する疑問が厳しいものになることは避けられない。特に、市民たる消費者が、財布の中身の危険を察した場合にはなおさらだ。

人々の意識が高まり、本質的な矛盾があらわになるにつれて、規制が確実に追加されるはずだ。それに対応できないビジネスは、その収益を脅かすようなビジネスモデルの根本的な危機に直面することになるだろう。

画像クレジット:nolifebeforecoffeeFlickrCC BY 2.0ライセンスによる)

原文へ

(翻訳:Fumihiko Shibata)

最強のVPNプロトコル、WireGuardがmacOSアプリになった

何年も前からWireGuardはもっとも有望なVPNプロトコルと見られてきた。これはローカル・コンピューターとサーバーの間に速度と安全性を両立させつつVPN接続を確立する優れたプロトコルだ。

今日(米国時間2/18)、このプロトコルのデベロッパーがWireGurad for macOSMac App Storeにデビューさせた。

注意すべきなのはWireGuardはあくまでVPNプロトコルでありOpenVPNやIPsecのようなサービスではないという点だ。そのため、WireGuardはネットワークの状態によらずVPN接続を維持する。Wi-Fi機器やケーブルを交換しようとノートパソコンがスリープ状態になろうとVPN接続が切断されることはない。

もちろんWireGuardでVPN接続するためにはローカルマシンだけでなくサーバー側もこのプロトコルをサポートしている必要がある。すでにWireGuardアプリはAndroid(ベータ)版、iOS版がリリースされているが、今日のリリースはmacOS版だ。

しばらく前からWireGuardのチームはmacOS版の開発を始めていた。しかし単なるサービスと違ってプロトコルをアプリとして提供するためにはいくつかの困難があった。パッケージ・マネージャーのHomebrewを利用すれば WireGuardツールをインストールすることは可能だったが、VPN接続をスタートするにはMacのTerminalからコマンドライン入力を行う必要があった。

しかしMac App版の登場で操作が非常に簡単人あった。Mac App Storeからアプリをダウンロードし、サーバー・プロフィールに追加するだけでよい。アプリのメニューバーにはドロップダウンメニューが用意されており、簡単にVPNの接続を管理できる。たとえば、Wi-Fiでインターネットに接続するときだけVPNを起動し、Ethernetケーブルで接続するときは起動しない、などのシナリオを設定できる。

私は実際にアプリをテストしてみたが、信頼性、高速性は期待どおりだった。WireGuardはAppleが標準とするNetwork Extension API を利用してVPNトンネルを付加する。この操作は設定のネットワークのパネルから実行できる。

WireGuardをテストしてみる場合、Algo VPNを利用して自分自身でVPNサーバーを立ち上げることを強く奨める。有料無料を問わず、サードパーティーのVPNを使うことはできるだけ避けるべきだ。VPN企業は自分のサーバー上でユーザーのインターネット・トラフィックをすべてモニターできる。これは大きなセキュリティー・リスクだ。

つまりVPN企業はユーザーのブラウズ履歴を分析する、広告主に販売する、独自の広告を忍び込ませる、身元を盗んでなりすましに手を貸す、捜査当局にオンライン履歴を引き渡す、等々が可能だ。

VPN企業のプライバシー規約は明白な虚偽だったりする。Aboutページさえ用意されず、運営者も身元も不明なサービスもあるし、大金を払って好意的なレビューや口コミを投稿させることもある。VPN企業のサービスは避けるに越したことはない。

とはいえ、信頼できないWi-Fiを使わねばならなかったり、ウェブに検閲が行われている地域を旅行しているなど、止むをえずVPNサービスを必要とする場合もある。そういうときは信頼できるサーバーを接続先に選ぶべきだ。

原文へ

滑川海彦@Facebook Google+

FacebookにFTCが数十億ドルの罰金を課す可能性

Washington Postによると、FacbeookのFTC(連邦取引委員会)との争いは、同委員会史上最高額の罰金という結末になる可能性がある。交渉継続中と見られるなか、同紙は本件に詳しい筋2名から、FTCがFacebookに対して「数十億ドル規模の罰金」を課すという情報を得た。これは2016年の排ガス不正の際にVolkswagenと合意に達した 147億ドルの和解に匹敵する。

2012年にGoogleは、プライバシー規則違反でFTCと和解するために過去最高の2250万ドルを支払ったが、今日の基準では微々たる額だ。以前本誌が報じたように、FTCのその程度(あるいはその数倍)の罰金は、昨年わずか一四半期で130億ドルを稼ぎ出した企業にとっては容易に受け流せる金額だ。Facebookに億単位の罰金を課すことは、数百万ドルくらい一時の頭痛にしか感じない裕福な会社に罰を与える唯一の方法だ。

FacebookにFTCとの交渉状況について尋ねたところ、規制遵守に関するお決まりの文章を繰り返しただけだった。「われわは米国、英国その他の当局に協力している」とFacebook広報はTeChCrunchに伝えた。「当社は一般市民の証言を提示し、質問に回答し、当局の作業が続く限り協力することを約束した」

FTCがFacebookに記録的罰金を課す立場を固守すれば、Facebookは法廷で強く抵抗し、膨大な資金をつぎ込んで将来にわたって会社に影響を与える罰を避けようとするに違いない。このとてつもない金額はFacebookの最近のプライバシー違反の大きなシンボルとなり、たとえ実際に罰金が払われなくても、Facebookが何らかの透明性を担保し基準を明らかにするきっかけになるだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook

密かに画面を録画する有名なiPhoneアプリ

Air Canada、Hollister、Expediaなどの大手企業は、iPhoneのアプリ上のすべてのタップやスワイプ操作を記録している。ほとんどの場合、ユーザーはそれに気付かない。彼らは許可を求める必要もない。

ほとんどのアプリは、ユーザーに関するデータを収集していると考えてもいい。中には、ユーザーが知らないうちに、そのデータから収益を得ている場合もある。しかしTechCrunchは、ホテルや旅行サイト、航空会社、携帯電話のキャリア、銀行、金融会社など、さまざまな人気アプリの中に、ユーザーの了解をまったく得ていなかったり、はっきりと聞かないまま、情報を収集しているものがあることを発見した。それによって、彼らはユーザーがアプリをどのように使っているか、確実に知ることができる。

さらに悪いことに、特定のフィールドについてはマスクしようとしているものの、秘密にすべきデータを誤って曝してしまっているアプリもある。

Abercrombie & Fitch、Hotels.com、Singapore Airlinesなどのアプリも、Glassboxを利用している。これは、顧客の体験を分析する機能を提供する会社だ。同様の機能を提供する会社も何社かあるが、それを使うことで、デベロッパーは「セッションリプレイ」機能をアプリに組み込むことができるようになる。このセッションリプレイを利用すれば、アプリのデベロッパーは画面を録画し、ユーザーがアプリをどのように操作したのか、後から再生して見ることが可能となる。それにより、何がうまく動かなかったか、あるいはエラーが発生していたかどうかを把握することができるのだ。すべてのタップ、ボタンプッシュ、そしてキーボード入力が記録され、実質的にスクリーンショットが取られて、アプリのデベロッパーに送信される。

Glassboxは、最近のツイートで以下のように述べている。「御社のWebサイトやモバイルアプリが、顧客の行動をリアルタイムでありのままに見て、なぜそうしたのかをはっきりと知ることができる、ということを想像してみてください」。

モバイル技術に詳しいThe App Analystは、人気の高いアプリについての分析を同名のブログに書いているが、最近Air CanadaのiPhoneアプリが、セッションリプレイを送信する際に、適切にマスクしていないことを発見した。それによってそれらのセッションを再生する際に、パスポート番号とクレジットカードのデータが露出されてしまう。その数週間前に、Air Canadaは、そのアプリのデータに侵入され、2万人の個人情報が流出したと発表したばかりだった。

「これにより、Air Canadaの従業員、およびスクリーンショットのデータベースにアクセスできる他の人間は、暗号化されていないクレジットカードとパスワードの情報を見ることができるようになった」と、The App AnalystはTechCrunchに明かした。

Air Canadaのアプリの場合、そうしたフィールドはマスクされてはいるものの、そのマスクが必ずしも固着されていない。(画像:The App Analyst提供)

われわれは、The App Analystに依頼して、GlassboxがWebサイトに彼らの顧客として例示しているアプリを、いくつか調べてもらった。通信に介入して、アプリから送信されたデータを傍受できるツール、Charles Proxyを使えば、個々のデバイスからどのようなデータが送り出されるのか調べることができる。

必ずしもすべてのアプリがマスクされたデータをリークしているわけではないが、調べたアプリの中には、ユーザーの画面を録画していると明らかにしているものは1つもなかった。もちろん、それを自分の会社や、直接Glassboxのクラウドに送ったりしている、などと書いてあるものは、まったくない。

もし、Glassboxの顧客の誰かが、データを適切にマスクしていなければ、それは問題になり得ると、The App Analystは電子メールで指摘した。「このデータはGlassboxのサーバーに送信されることが多いので、機密の銀行口座情報とパスワードを収集した事例がすでにあったとしても、大した驚きではありません」。

The App Analystによれば、HollisterとAbercrombie&Fitchは、Glassboxにセッションリプレイを送信しているが、ExpediaやHotels.comをはじめとする他のユーザーは、セッションリプレイのデータを、自社のドメインのサーバーに送信するようにしているとのことだ。また、データは「ほとんど難読化されている」ものの、電子メールアドレスや郵便番号が見えてしまっている場合もあったという。シンガポール航空も、セッションリプレイのデータを収集しているが、その送信先はGlassboxのクラウドだった。

各アプリのデータを分析しなければ、アプリの使い方を調べるためにユーザーの画面を録画していることを知るのは不可能だ。各アプリの、細かい字で書かれたプライバシーポリシーを調べても、そうした記述は見つからなかった。

AppleのApp Storeに提出されるアプリは、必ずプライバシーポリシーを含んでいなければならない。しかし今回調査したどのアプリも、ユーザーの画面を録画していることを、そのポリシーに明記していなかった。Glassboxを利用するには、Appleの特別なパーミッションを取得したり、ユーザーの許可を得たりする必要はない。そのため、ユーザーは知る由もないのだ。

Expediaのポリシーには、画面の録画についての言及はなく、それはHotels.comのポリシーでも同様だ。そしてAir Canadaの場合にも、iOSアプリの利用規約プライバシーポリシーには、iPhoneアプリが画面データを航空会社に送り返していることを示唆する文面は、1行たりとも見つけることはできなかった。さらに、シンガポール航空のプライバシーポリシーにも、まったく言及はない

われわれは、これらのすべての企業に対して、ユーザーが自分の携帯電話で何をしているのかキャプチャすることを、プライバシーポリシーのどの部分に記述しているのか、正確に示してくれるように依頼した。

Abercrombieの返答は、Glassboxは「シームレスなショッピング体験をサポートするのに役立ち、お客様がデジタル体験において遭遇する可能性のある問題を特定して対処することを可能にする」ことを確認したというものだった。その広報担当者は、Abercrombieのプライバシーポリシーと、その姉妹ブランドのHollisterのポリシーに関して、セッションリプレイについては何も答えていない。

この記事が公開されると、Air Canadaの広報担当者は次のように答えた。「Air Canadaは、お客様から提供された情報を、旅行のニーズをサポートし、旅行に影響を与える可能性のある問題を解決できるようにするために使用します。これは、Air Canadaモバイルアプリに入力され、そこで収集されたユーザー情報を含んでいます。ただし、Air Canadaは、Air Canadaアプリの外で携帯電話の画面をキャプチャすることはありませんし、できません」。

その後シンガポール航空は、電子メールで次のように返答した。データの収集は「当社のプライバシーポリシーに準拠したもので、お客様のデータを問題の解決とテストのために使用するというものです。それは、当社のプライバシーポリシーの第3項に規定されています」。われわれは、もう一度調べてみたが、それに類するものは何も見つからなかった。

Hotels.comのオーナーであるExpediaは、返答しなかった。

「ユーザーは、自分のデータがどのように共有されるのかについて、積極的な役割を果たすべきでしょう。そして、その最初のステップは、企業がユーザーのデータをどのように収集し、それを誰と共有しているのかを、明らかにさせることです」と、The App Analystは述べている。

問い合わせに対してGlassboxは、顧客に対して、Glassboxを使っていることをプライバシーポリシー内で言及することを強制していない、と述べた。

「Glassboxには、モバイルアプリケーションのビューを視覚的に再構築する独自の機能があります。これは分析に別の視点を加えます。Glassbox SDKは、顧客のネイティブアプリとのみやりとりすることができ、アプリの境界を超えることは技術的に不可能です。たとえば、システムのキーボードが、ネイティブアプリの画面の一部を覆っているようなときには、Glassboxはその部分にアクセスできません」と、広報担当者は説明する。

Glassboxは、市場に出回っている多くのセッションリプレイ機能を持ったサービスの1つだ。他にも、たとえばAppseeは、デベロッパーが「ユーザーの目で自分のアプリを見ることができる」ようにする「ユーザー録画」技術を積極的に売り出している。また、UXCamは、デベロッパーに「ジェスチャーや操作のトリガーとなるイベントを含む、ユーザーのセッションの録画を見る」ことを可能にするとしている。機密情報をマスクする保護機能の不備により、Mixpanelが誤ってパスワードを収集していたことに対する怒りが巻き起こるまでは、このような機能は水面下で利用されていた。

この業界は、すぐになくなるような類のものではない。多くの企業は、この種のセッションリプレイのデータを利用して、なぜものごとがうまくいかなくなるのかを理解しようとしている。それは高収益を求める際には、大きな損失となり得るからだ。

そうだとしても、アプリのデベロッパーが、それを公表していないという事実は、かなり不気味なものに感じられる。彼らがそれに気づいていたとしてもだ。

Air Canadaとシンガポール航空からのコメントを受けて更新済。

(関連記事:Apple tells app developers to disclose or remove screen recording code

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)