タグ: プライバシー

アクション俳優のジェット・リーが映画「マトリックス」の出演を断り、とうとう銀幕に登場しなかったのは、自分の格闘の動きを3Dキャプチャーされて他の人に所有されるのを嫌ったからだ。

もうすぐ、誰もが3D撮影機能のあるカメラを持ち歩き、AR（拡張現実、複合現実とも呼ばれる）アプリを使うようになる。そうなれば、みんなが日々の生活のさまざまな局面、つまりジェット・リーが重要な役どころを拒否し、Napsterの登場以来ミュージシャンが頭を悩ませてきたようなデジタルキャプチャー問題に対処しなければならなくなる。ARとは、誰もが現実そのものをリッピングし、ミキシングし、焼けるようになることを意味している。

アップルのティム・クックCEOは業界に対して「データ産業複合体」に関する警告を発し、人権としてのプライバシーの保護を訴えた。ARが、不愉快な視覚的雑音で世界を満たし、あらゆる目の動きや情緒的反応が監視され広告ターゲティングに利用されるというディストピアを、ハイテク業界の一部の企業が予言していたとしても不思議はない。しかしクック氏は「気味の悪い未来は避けられる」とも言っている。業界は、今日の技術的基盤を築くために、誤ったデータ収集をしてきた。それを繰り返さないことだ。

日常生活にいて、ARが何を意味するのか、（皮肉なことだが）それが現実に根ざしてることを、どうしたらわかるのだろうか？

ARを可能にしている技術スタックを見る場合、ARに固有の新しいタイプのデータ収集について知っておく必要がある。それはコンピュータービジョンによって生成され、機械が読み取り可能な世界の3Dマップだ。ARは、それを使って3D空間との（そしてARシステム同士の）同期や位置の確認を行う。このデータに基づくオペレーティングシステムのサービスは「ARクラウド」と呼ばれている。このデータは、これまで大きな規模では収集できなかったのだが、ARが大きな規模で有効に働くためには絶対に欠かせないものだ。

持続性、マルチユーザー、屋外でのオクルージョンといった基礎的な機能は、すべてがこれを必要とする。人用ではなく機械用の、Google Earthのもっとすごいやつと考えればいい。このデータセットは、ARアプリが使用するコンテンツやユーザー情報（ログインアカウントの詳細やユーザー分析、3Dアセットなど）とは完全に切り離される。

ARクラウドのサービスは、このデータを管理するための簡単なソリューションを導き出す「ポイントクラウド」だと考えることができる。データは、実際にはいくつものレイヤーにわかれていることがあり、そのすべてで利便性や使用事例の度合いが異なる。「ポイント」という言葉は、三次元空間の中の点という概念をひと言で示したものだ。そのポイントを選択し説明するためのデータ形式は、最新のARシステムでは、各社ごとに固有のものが使われている。

特に重要なのは、ARシステムを最適に運用するために、コンピュータービジョンのアルゴリズムとそのデータとを密接に結びつけ、実質的に一体化することだ。AppleのARKitアルゴリズムでは、GoogleのARCoreデータは使えない。たとえGoogleにアクセスを許可してもらったとしてもだ。HoloLensやMagic Leapなど、この分野のスタートアップもすべて同じだ。オープンソースのマッピング方式は、最新の商用システムに比べると数世代遅れている。

そのため私たちは、こうした「ARクラウド」を、しばらくの間は独自のものにしておくつもりで構築してきたのだが、具体的にどんなデータがそこにあるのか、はたしてデータを収集できるのかが心配になるところだ。

ARはあらゆるものをキャプチャーできる

保存できるデータは数多い。少なくとも、コンピュータービジョン（SLAM）マップデータは必ず含まれる。その他に、ワイヤーフレームの3Dモデル、写実的な3Dモデル、人の「ポーズ」のリアルタイムの更新データ（正確な居場所や何を見ているか）、その他たくさんのデータが対象となる。ポーズだけをとってみても、歩いた軌跡を辿ることで、商品の最良の展示場所や、店内の（または自宅での）広告の最良な掲示場所を提案するためのデータを小売業者に提供できるだろう。

このスタックの中の低層のレイヤーは機械にとってのみ有用なものだが、レイヤーを重ねてゆくほどに、それはたちまち非常にプライベートなものと化す。たとえば、自分の子どもの部屋の写実的な3Dモデルが、廊下を歩くお客さんにキャプチャーされ、ARグラスで中の様子が見られてしまうということもあり得る。

こうした問題を一発で解決する決定打はない。解決のために何度も挑戦することが必要だが、その挑戦の種類を増やすことも大切だ。

解決された技術的問題と解決が待たれるもの

ARクラウドのデータの大半は、普通のデータだ。他の普通のクラウドが行っているのと同じ方法で管理できる。強力なパスワード、強力なセキュリティー、バックアップといったGDPRの規制が有効に働く。事実、自主規制に消極的な巨大プラットフォームの行いを正すには、規制を課すしかない。この点において、欧州が一歩先を行っている。中国では、事情がまったく異なる。

ARデータに関する興味深い課題を3つほど紹介しよう。

• マップやストリートビューのデータには「新鮮さ」が求められるが、歴史的なデータはどれほど残しておくべきか。先週、長椅子が配置された場所のマップを保存する必要はあるか。どの縮尺、どの解像度で保存するべきか。世界のマップにはセンチメートル単位のモデルは必要ないが、身の回りの環境なら必要になる。
• 難しいが実現可能な最大の課題は、個人が特定される情報をスマートフォンから外に出さないということだ。スマートフォンのシャッターボタンを押す前に、画像が処理されてアップロードされてしまう状況を考えて欲しい。ユーザーは、何がアップロードされるのか、なぜそれをキャプチャーしても大丈夫なのかを把握している必要がある。個人が特定されるすべてのもの（3Dスキャンのカラーテクスチャーなど）は、事前の許可と、そのデータの利用目的の丁寧な説明が必須だ。デバイスから外に出るすべてのデータには、人が読める、または識別できる要素をすべて取り除くための準同型変換が適用されるべきであり、それでもデータは、ごく限定された再局在化機能のためにアルゴリズム（デバイスで実行される）が解釈できる状態にしておかなければならない。
• 「プライベートクラウド」の問題もある。企業は従業員のプライベートで正確なARクラウドを欲しがることが考えられる。プライベートクラウドはプライベートサーバーで簡単に開設できる。厄介なのは、一般の人がARグラスを装着してその企業の近所を歩いたときに、新しいモデル（別の業者のプラットフォームに保存されている可能性がある）を取得できてしまうことだ。

AR業界が解決しなければならない技術的課題

問題であることは認識していても、その解決策がまだ見つかっていない課題がある。例を示そう。

• 部屋の仕切り。自分のアパートのモデルをキャプチャーしたとき、中の壁の片側は自分の家だが、その裏側は他人の家だ。現在は、ほとんどのプライバシー対策は、自分のGPS位置を中心とした円形のプライベートな範囲に依存している。しかしARでは「自分の空間」をもっと正確に探知できなければならない。
• 空間の権利を特定することは大変に難しい。幸いなことに、社会契約や既存の法律で、その問題の大半に対処できている。ARクラウドのデータも、ビデオの録画と非常によく似ている。空間には、公的な場所があり、準公的な場所（ビルのロビーなど）、準プライベートな場所（家の居間など）、プライベートな場所（寝室など）がある。問題は、ARデバイスに、自分の立場と、キャプチャーすべきものを教える方法だ（例えば、私のグラスは私の家をキャプチャーできるが、他の人のグラスでは私の家をキャプチャーできないというように）。
• 複数の人間からの場所のキャプチャーを管理する場合、そしてそれをひとつのモデルに適用して、影になったり重複した部分を取り除いたとき、その最終的なモデルの所有権が誰にあるかは、大変に難しい問題となる。
• ウェブにはrobots.txtファイルという概念がある。ウェブサイトの所有者は、自分のサイトでrobots.txtを使い、ウェブデータの収集エンジン（Googleなど）が読み出せるデータを、そのファイルが許可したものに限定することができる。しかし当然なことながら、それぞれのサイトに明確な所有者がいるウェブの世界で、これを徹底させるこは難しい。robots.txtのようなもので同意を取り付け、現実世界の場所に適用できたなら、素晴らしい解決策になる（非現実的ではあるが）。ウェブクローラーと同様、デバイスにこれを強制するのは難しいだろう。しかし、クッキーや数々の広告トラッキング技術で人々がそうしているように、少なくともどうして欲しいかをデバイスに告げることができれば、市場の力や未来のイノベーションによって、プラットフォームにそれを尊重するよう要求できるようになるかも知れない。この魅力的なアイデアの本当に難しい点は、「その場所に対して権限を持つのは誰のrobots.txtか」ということだ。ニューヨークのセントラルパークに私がrobots.txtを書くことはできないが、自分の家用のrobots.txtは書くべきだろう。これをどうすれば立証して実施できるだろうか？

社会契約が現れ合意されることが必要

ARのプライバシー問題を解決するにあたり、大いに役立つであろうものが、いつどこでデバイスを使うのが適切かを規定する社会契約の生成だ。2000年代の初頭、カメラ付き携帯電話が登場したとき、その乱用が心配されて、ちょっとしたパニックが起きた。例えば、トイレで盗撮されたり、公の場で知らない間に自分の写真が撮られるといった問題だ。OEM各社は、カメラを使うとシャッター音が鳴るようにして世間の不安を解消しようと考えた。その機能を追加した結果、その新技術は社会に受け入れられ、急速に浸透していった。技術を消費者の手に持たせたことで、世の中は社会契約を受け入れた。つまり、携帯電話を取りだして写真を撮影してよい場所はどこか、不適切な時間とはいつかを人々は学んだのだ。

プラットフォームはあらゆるデータを
取得する必要はない

企業も、この社会契約に参加した。Flickrなどのサイトは、プライベートな場所や物の写真を管理し、どのように公開するか（可能ならば）を定めたポリシーを打ち出した。Google GlassとSnap Spectaclesとの間でも、同様の社会学習が行われた。SnapはGlassから教訓を得て、社会問題の多くを解決した（たとえば、Spectaclesはサングラスなので屋内では外すようにするとか、録画中ははっきりとわかる表示を出すなど）。それは、広く世間に受け入れてもらうための問題解決に、プロダクトデザイナーも参加すべき分野だ。

業界が予測できない課題

ARは新しいメディアだ。新しいメディアは、およそ15年ほど待たなければ現れず、それがどのように利用されるかは、誰も想像ができない。SMSの専門家はTwitterを予想できなかったし、モバイルマッピングの専門家はUberを予測できなかった。善意に満ちたプラットフォーム企業ですら、過ちを犯す。

これは未来の世代が背負う未来の課題ではない。SFめいた理論に基づく話でもない。AR業界が製品開発において、今後12カ月から24カ月のうちに行う意志決定が、次の5年間を方向付けるのだ。

以下の仕事を立派に遂行するために、ARプラットフォーム企業が依存すべきは、そこにある。

1. ビジネスモデルの誘因が、データを提供してくれた人々の正しい行いに沿うようにする。
2. 企業の価値観を伝え、データを提供してくれた人々の信頼を得る。その価値観は、プロダクトデザインのより明確な側面となる。Appleは、これに関していつもうまくやっている。技術系製品がパーソナルになればなるほど、誰もがより真剣にならなければいけない。

不気味な存在にならないよう今のAR関係者がすべきこと

これは、高いレベルで行うべきことだ。ARの先駆者たちの最低限の方針を列挙する。

1. デバイスからの個人データの持ち出し禁止。事前の許可があった場合のみ可能：サービスの提供に必要不可欠な非個人データのみデバイスの外に出られる。それ以上の個人情報の収集は、ユーザーがよりよいアプリが使えるようになる見返りとして、事前の許可により可能とするか否かをユーザー自身が決められるようにする。技術を運用する目的で、個人データをデバイスの外に持ち出す必要はない。これに異論を唱える者は技術的スキルが足りない証拠であり、ARプラットフォームを開発するべきではない。
2. IDの暗号化。大まかなロケーションID（Wi-Fiネットワーク名など）はデバイス上で暗号化する。一般性を超えて、特定のSLAMマップファイルのGPS座標から位置を知らせることはできない。
3. 位置を示すデータは物理的にその場にいるとき以外はアクセス不可。アプリは、本人がその物理的位置にいない場合は、その物理的位置のデータにアクセスすることができない。そこに物理的に入ることが社会契約によって許されるかどうかが、これに大きく貢献してくれる。肉眼で物理的に見ることができる光景なら、プラットフォームは、その光景がどのように見えるかを示すコンピュータービジョンのデータに自信を持ってアクセスできる。
4. 機械が読めるデータのみ。スマートフォンから外に出るデータは、専用の準同型アルゴリズムによって解釈できるもののみとする。現状の科学では、このデータを人が読める形に逆変換できないようにする。
5. アプリ開発者はユーザーのデータを自分たちのサーバーで管理。プラットフォームではない。ARプラットフォームを提供する企業ではなく、アプリ開発者が、アプリとエンドユーザーに固有のデータ、つまりユーザー名、ログイン、アプリの状態などを管理する。ARクラウドプラットフォームが管理できるのは現実のデジタル複製のみとする。ARクラウド・プラットフォームはアプリユーザーの個人データに触れたり見たりできないため、それを乱用することがない。
6. データを売るのではなく利用料で利益を上げるビジネスモデル。開発者とエンドユーザーが利用の対価を支払うビジネスモデルにすることで、プラットフォームは販売目的で必要以上のデータを回収することがなくなる。第三者に販売するためのデータを集めることへの金銭的報償を生まない。
7. 最初にプライバシー保護の価値観を。プライバシーに関する価値観を一般に伝える。方針を示すだけでなく、それに対する説明責任を持つよう求める。未知の事態には何度も遭遇することになる。人々は、過ちが起きたときの誠実な対応を見て、そのプラットフォームが信頼できるかどうかを判断する。MozillaやAppleのような価値観を原動力とする企業は、価値観が知られていない他の企業に比べて、信頼度では優位に立っている。
8. ユーザーと開発者の所有権と管理権。デバイスが取得したデータの所有権と管理権を、どの程度ユーザーと開発者に渡すのかを明確に決めておく。とても複雑な問題だ。目標は、GDPRの標準に世界中で準拠することだ（まだ達成されていない）。
9. 持続的な透明性と教育。市場の教育に力を注ぎ、方針と、既知の問題と未知の問題をできる限り透明にし、新しく生まれたグレーゾーン全体で、人々の意見からどこに「線引き」すべきかを考える。データをやりとりして利益を得る場合には、ユーザーと交わした契約のあらゆる面を明確にする。
10. 常にインフォームド・コンセント。データを取得する際には、丁寧に説明して同意を得るために誠実に努力する（広告ベースのビジネスモデルを採用している企業は3倍努力する必要がある）。これはエンドユーザー向け使用許諾契約を超えるものであり、平易な言葉を使い、解説図なども含めるとよいと思う。そこまでして初めて、エンドユーザーに何が起きるかを完全に理解してもらえる。

気味が悪い要素を排除したとしても、プラットフォームが取得したデータをハックされたり、政府機関から合法的にアクセスされる可能性があることを忘れてはいけない。取得していないものを出すことはできない。そもそも取得する必要がない。そうしておけば、データが見られたところで、個人マップファイルが正確にどこを示しているかを知ることはできない（エンドユーザーが暗号化するので、プラットフォームは鍵を持たない）。もし、正確な位置情報を含むデータが見られたとしても、それは決して解読できない。

こうした問題を一発で解決する決定打はない

ブロックチェーンは、こうした問題の万能薬にはならない。とくに、基礎的なARクラウドSLAMデータセットに対しては有用ではない。そのデータは独自規格で中央集権化されているので、適正に管理されていれば、データの保護は確実に行われ、正当な人間が必要なときにだけアクセスできる状態になっているはずだ。私たちが把握してるブロックチェーンには、エンドユーザーに恩恵をもたらすものはない。だが、ARコンテンツのクリエイターには価値があると私は考える。ブロックチェーンがモバイルやウェブのために製作されたあらゆるコンテンツに価値をもたらすのと同じだ。ARコンテンツと言えども、本質的には他のコンテンツと変わらないからだ（ロケーションIDがより正確になるだけだ）。

ちなみに、W3CとMozillaのImmersive Web（没入型ウェブ）グループは、さまざまなリスクとその緩和方法を探る努力を開始している。

望みをどこに持つ？

それは難しい質問だ。ARスタートアップは、生き残るために金を稼がなければならず、Facebookが実証したように、顧客にOKをクリックするよう促しすべてを収集するビジネスモデルが有利だった。ビジネスモデルとしての広告は、データ取得に関して本質的に間違った誘因を生んだ。その一方で、取得したデータがよりよい製品を生んだ例は無数にある（WazeやGoogle検索など）。

教育と市場への圧力、そして（おそらく必須となるが）プライバシーに関する規制は助けになる。それ以外では、私たちが互いに受け入れた社会契約（適正な利用など）に準拠して行動することになる。

重要なポイントは2つ。ARはあらゆるデータの取得を可能にするということ。そして、ARのユーザーエクスペリエンスを高めるためでも、プラットフォームはあらゆるデータを取得する必要はないということだ。

どのコンピューターに、ウェブクローラーがデータを読み出せる許可を与えるかというGoogleの努力に習うなら、コンピュータービジョンを広く分布させるARでは、どのコンピューターに見る権利を与えるかを、私たちは決めなければならない。

[原文へ]

（翻訳：金井哲夫）