10月3日以降Apple App Storeのすべてのアプリにプライバシーポリシーが必要とされる

Appleは、ユーザーの個人情報をどのように使っているか、そして、その安全と共有について、ユーザーにちゃんと伝えていないアプリを取り締まろうとしている。AppleがApp Store Connectポータルにポストしたデベロッパー向けの発表によると、まだテスト中のものも含めてすべてのアプリに、2018年10月3日の時点で、プライバシーポリシーがなければならない。

Appleは従来から、ユーザーデータの保護に徹している企業だから、これまでプライバシーポリシーのないアプリがApp Storeに実際にあったことは、Appleの怠慢だったとも言える。しかしヨーロッパの規制GDPRが発効した今となっては、それはきわめて重要な方針発表になった。顧客データの取り扱いについて最終的な責任があるのはアプリのメーカーだが、そんなアプリをホストしているAppleにも、ある程度の責任はある。

今日では、アプリだけでなく、それらのアプリをホストするプラットホームも、アプリの振る舞いについて責任がある、とされる。また、アプリに関するプラットホームの方針から生ずるユーザーデータの悪用に関しても、もちろん責任がある。

たとえばFacebookのCEO Mark Zuckerbergは、Cambridge Analyticaのスキャンダルに関して合衆国上院に呼びだされた。8700万ものFacebookユーザーのデータが、Facebookのアプリを使って不正に取得されたのだ。

したがってAppleの新しい要求は、同社に新たな保護層を与えるものだ。Appleがうっかり見逃してしまったアプリでも、これからは、そのアプリのプライバシーポリシーとその文言により責任を問われる。

Appleは、プライバシーポリシーのリンクやテキストは、デベロッパーがそのアプリの新バージョンを提出するまで変えてはならない、としている。しかし、リンクが変わらなくてもリンク先のWebページの内容は変わるかもしれない、という抜け穴がここにはある気がする。

Appleによると、プライバシーポリシーはApp Store全域のすべてのアプリおよびアプリのアップデートに10月3日の時点で必要であり、TestFlightのテストプラットホームに関しても必要である。

すべてのアプリにプライバシーポリシーがあることと、その内容がユーザー保護の観点から適切であることを、Apple自身が検査するのか、そのへんは明らかでない。もしApple自身が検査と排除の作業をやるのなら、スタッフを増員しないかぎり、アプリの承認プロセスが長引いてしまうだろう。

Appleは、いかがわしいアプリのチェックと排除をこれまでもある程度やっており、最近の例では、Facebookのデータ泥棒的VPNアプリOnavoを、App Storeから排除したe。でも、そのアプリは長年無事だったのであり、App Storeのテキストは、それが集めたデータをFacebookが共有した、と開示している。今ごろになってやっと排除されたことは、ユーザーデータを集めることを主要な機能とするアプリに対して、Appleの姿勢がこれからはより厳しくなることを、意味しているのだろう。

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがMastercardとパートナーしてユーザーのオフラインの買い物を追跡する

Bloombergの記事によると、GoogleはMastercardとの秘密契約により、クレジットカードの利用データから小売の売上を調べられることになった。このことは、Googleの本当の顧客が広告主であることの、また新たな証拠だ。

オンライン広告は今や、他のすべての広告媒体を抜き去った。企業は、テレビや新聞などよりも多くの広告費をネット広告に支出している。

オンライン広告に人気があるのは、広告キャンペーンの効果を調べやすいからだ。GoogleやFacebookに広告を出せば、そこから何人の顧客が自分のオンラインストアに来たか分かる。しかも、彼らが何を買ったかすら分かる。

でもテレビ受像機のオンライン広告を見た人が、お店に来てテレビを買った場合はどうか? テクノロジー企業はこれまで何年も、このような、オンライン広告とオフラインの売上とのギャップを填める努力をしてきた。たとえばGoogleは、ユーザーが位置履歴を無効にしていても、常時密かに位置を追跡している日本語関連記事〕。GoogleがMastercardとパートナーしたのも、そのためだ。

Bloombergによると、Mastercardのアメリカ国内のトランザクションデータはすべて、暗号化されてGoogleへ送られる。GoogleはMastercardに金を払い、おそらく他のカード会社からも、同じ方法で情報を得ようとしている。

Googleに個々のトランザクションは見えないが、その大量のデータから有意な情報を取り出すことはできる。たとえば同社は、オフラインの購入をユーザーのプロフィールとマッチングできる。そしてそのユーザーが、広告をクリックしたことも分かる。

広告主はメールのデータベースをアップロードして、オフラインの売上をGoogleのプロフィールと広告クリックにマッチできる。Googleは彼らに、すべてのオフライン売上のレポートを送る。すると広告主は、自分たちのオンライン広告キャンペーンの売上寄与効果が分かる。

それは広告の顧客に、彼らのキャンペーンに効果があったと説得するための、うまい方法だ。オンライン広告の売上効果を確信した彼らは、次の広告予算でGoogleへの配分をさらに大きくするだろう。

このやり方は、大規模な広告ビジネスを構築するためには、プライバシーをある程度、二の次にしなければならないことを、あらためて示している。しかしGoogleがMastercardとの今回の契約を公表しないことは、かなり気持ち悪いな。ユーザーには、(自分のデータの使われ方について)知る権利があるからね。

このMastercardの一件は、ユーザーのGoogleアカウントの“Web and App Activity”(Webとアプリのアクティビティ)でオプトアウトできるそうだが、その設定は見つけにくいし、大量のものをかき分けて探さなければならない。そもそも、オフラインの購入は、“Web”でも“アプリ”でもないけどね。〔訳注: 今はアメリカ限定だから日本語のGoogleアカウント設定にはない。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Firefoxが近くデフォルトでトラッカー(ユーザー情報の収集)をすべてブロックする

Mozillaが今日(米国時間8/30)、そのFirefoxブラウザーがデフォルトでは自動的にすべてのクロスサイトトラッキングをブロックする、と発表した

この戦略には、3つの部分がある。まず、今ナイトリーリリースでテストしているバージョン63では、Firefoxはすべての遅いロードのトラッカー(広告に多い)をブロックする。遅いとは、ロードに5秒以上かかる、という意味だ。次にFirefox 65では、サードパーティのトラッカーからのすべてのクッキーとすべてのストレージアクセスを取り去る。そしてさらに今後は、暗号通貨の採掘をするスクリプトと、ユーザーの個人識別情報を取るトラッカーをブロックする。ただしこれらはいずれも、最初のテストの結果次第で提供が遅れることもある。

MozillaのNick Nguyenが、こう書いている: “物理的な世界では、いろんな店の何百人もの店員が店から店へとユーザーをつけ回して、見た物や買った物をスパイしたりしないだろう。でもWebでは、ユーザーがそんなことを予想しなくても、どこへ行ってもつけ回されている。それに対して、ユーザーがプライバシーのレベルを設定できるブラウザーは、まだ多くない”。

これらの新しい機能を今すぐ試したい人は、安定に達していないFirefox Nightlyリリースをインストールすればよい。それのプライバシー設定には、トラッカーをブロックする“Content Blocking”という項目がある。それを有効にすると、説明のメッセージと、‘厳しい設定にすると閲覧できなくなるサイトもある’、という警告が出る。

なお、この、トラッキングを防ぐプライバシー設定は、Firefox for iOSにはすでにある。

というか、AppleのSafariブラウザーには、すでに昨年からこのようなプライバシー機能がある。ただし、Appleが機械学習を使っているのに対してFirefoxは、従来的なブロックリストを使っている。もちろん、ねらいは同じだが。

このブロック機能は、ユーザーの選択権を奪わない。サイトが事前にユーザーに、データ収集の可否を尋ねて、ユーザーがOKしたら、そのサイトのトラッカーはブロックされない。Nguyenは書いている: “2004年にFirefoxがポップアップ広告をブロックしたときも、広告主にはユーザーに尋ねるオプションを与えた。2018年には、それと同じ考え方でユーザーに可否決定の権利を与えたい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

フェイスブックを超える大きなデジタルドリーム「オープンブック」

大手ソーシャル系技術企業は、自身の強力なプラットフォームが持つ特性と、的確な舵取りと価値の創出に失敗したこと(自ら設定したと主張する規定にすら準拠できていないことが明らかになっている)の結果の両方によって生じたと反社会的な魔物と格闘を続けているが、それでも、よりよい方法があると夢見ている人たちがいる。人の怒りを食べて成長する広告技術の巨人、フェイスブックやツイッターを超えるソーシャルネットワークだ。

もちろん、「よりよい」ソーシャルネットワークを作る試みは数多くあったが、そのほとんどは沈没している。成功や利用度には差があるものの、今でも使われているものもある(スナップチャット、エロー、マストドンの3つは元気だ)。だが当然ながら、ザッカーバーグの王座を強奪できる者はいない。

その原因は、そもそもフェイスブックがイスンタグラムとワッツアップを買収したことにある。フェイスブックはまた同様に、自分たちよりも小さな成功の芽を持つライバル企業を買収して潰している(tbh)。そうやって、ネットワークのパワーと、そこから流れ出るリソースを独占することで、フェイスブックはソーシャルの宇宙に君臨している。それでも、もっと良いものを想像する人々の気持ちは止められない。友だちが作れて、社会に大きな影響を与えることができる、倫理的に優れ、使いやすいプラットフォームだ。

そんな、二面性のある社会的使命を持った最新の夢想家を紹介しよう。オープンブック(Openbook)だ。

彼らの理想(今はそれだけなのだが、自己資金で立ち上げた小さなグループと、宣言と、プロトタイプと、間もなく終了するキックスターター・キャンペーンと、そしてそう、希望に満ちた大志がある)は、ソーシャルネットワークを再考して、複雑で不気味なものではなく、より親しみやすく、カスタマイズができるオープンソースのプラットフォームを作ることだ。

営利目的のプラットフォームとしてプライバシーを守るという彼らのビジョンは、常に利用者を監視する広告やトラッカーは使わず、公正な料金設定(そしてプラットフォーム上で通用するデジタル通貨)によるビジネスモデルに立脚している。

彼らの中核にある考え方は、とくに新しいものではない。しかし、巨大プラットフォームによる大量にして目に余るデータの不正利用にさらされていると、その考え方が理にかなっていると思えるようになる。そのため、おそらくここではタイミングがもっとも重要なエレメントになる。フェイスブックは、度重なる舵取りの失敗、知覚評価の低下、さらに退陣する幹部役員のなかの少なくとも一人が、人を操作することに長け倫理に無関心であることから営業哲学が攻撃されるなど、これまでにない厳しい調査にさらされ、利用者数の伸び悩み知覚価値の低下を招いている。

より良い方向を目指すオープンブックのビジョンは、Joel Hernández(ジョエル・ヘルナンデス)が描いたものだ。彼は2年間ほど夢想を続けている。他のプロジェクトの傍らでアイデアのブレインストーミングを行い、周囲の似た考えを持つ仲間と協力して、彼は新しいソーシャルネットワークの宣言をまとめた。その第一の誓いは、正直な関与だ。

「それから、データスキャンダルが起きて、繰り返されるようになりました。彼らはチャンスを与えてくれたのです。既存のソーシャルネットワークは、天から与えられたものでも、不変のものでもありません。変えたり、改良したり、置き換えることができるのです」と彼はTechCrunchに話してくれた。

Hernándezによるとそれは、ちょっと皮肉なことに、昼食時に近くに座っていた人たちの会話を聞いたことから始まった。彼らは、ソーシャルネットワークの悪い点を並べ立てていたのだ。「気持ち悪い広告、ひっきりなしに現れるメッセージや通知、ニュースフィードに何度も表示される同じコンテンツ」……これに推されて、彼は宣言文を書いた紙を掴み取り、新しいプラットフォームを実際に作ろうと(というか、作るための金策をしようと)決意した。

現在、この記事を執筆している時点では、オープンブックのキックスターター・キャンペーンのクラウドファンディングは残り数日となったが、集まっているのは(控えめな)目標額の11万5000ドル(約1270万円)の3分の1程度だ。支援者は1000人をわずかに超える程度しかいない。この資金集めは、ちょっと厳しいように見える。

オープンブックのチームには、暗号文の神と呼ばれ、メール暗号化ソフトPGPの生みの親として知られるPhil Zimmermann(フィル・ジマーマン)も加わっている。開始当初はアドバイザーとして参加していたが、今は「最高暗号化責任者」と呼ばれている。そのときが来れば、プラットフォームのために彼がそれを開発することになるからだ。

Hernándezは、オランダの電気通信会社KPNが内部的に使うためのセキュリティーとプライバシー保護用のツールをZimmermannと一緒に開発していたことがある。そこで彼はZimmermannをコーヒーに誘い出して、彼のアイデアに対する感想を聞いたのだ。

「私がオープンブックという名前のウェブサイトを開いた途端、これまで見たことがないくらいに彼の顔が輝いたのです」とHernándezは話す。「じつは、彼はフェイスブックを使おうと考えていました。家族と遠く離れて暮らしていたので、フェイスブックが家族とつながるための唯一の手段だったのです。しかし、フェイスブックを使うということは、自分のプライバシーをすべて捧げるということでもあるため、彼が人生をかけてきた戦いで負けを認めることになります。だから、彼はフェイスブックを使いませんでした。そして、実際の代替手段の可能性に賭けることにしたのです」

キックスターターの彼らのキャンペーンページに掲載された動画では、Zimmermannが、営利目的のソーシャルプラットフォームの現状について彼が感じている悪い点を解説している。「1世紀前は、コカコーラにコカインが含まれていて、私たちはそれを子どもに飲ませていました」とZimmermannは動画の中で訴えている。「1世紀前の私たちの行動はクレイジーです。これから数年先には、今のソーシャルネットワークを振り返って、私たちが自分自身に何をしていたのか、そしてソーシャルネットワークで互いに傷つけ合っていたこと気づくときが来るでしょう」

「今あるソーシャルネットワークの収益モデルに代わるものが、私たちには必要です」と彼は続ける。「深層機械学習のニューラルネットを使って私たちの行動を監視し、私たちをより深く深く関わらせようとするやり方を見ると、彼らがすでに、ユーザーの関わりをさらに深めるものは、激しい憤り以外にないと、知っているかのようです。そこが問題なのです」

「こうした憤りが、私たちの文化の政治的な対立を深め、民主主義制度を攻撃する風潮を生み出します。それは選挙の土台を崩し、人々の怒りを増長して分裂を拡大させます。さらに、収益モデル、つまり私たちの個人情報を利用する商売で、我々のプライバシーが破壊されます。だから、これに代わるものが必要なのです」

Hernándezはこの4月、TechCrunchの情報提供メールに投稿してくれた。ケンブリッジ・アナリティカとフェイスブックのスキャンダルが明るみに出た直後だ。彼はこう書いていた。「私たちは、プライバシーとセキュリティーを第一に考えたオープンソースのソーシャルネットワークを作っています」と。

もちろん、それまでにも似たような宣伝文句は、ほうぼうから聞かされていた。それでも、フェイスブックは数十億という数の利用者を集め続けていた。巨大なデータと倫理のスキャンダルにかき回された今も、利用者が大挙してフェイスブックから離れることは考えにくい。本当にパワフルな「ソーシャルネットワーク」ロックイン効果だ。

規制は、フェイスブックにとって大きな脅威になるだろうが、規制を増やせば、その独占的な地位を固定化することになるだけだと反対する人もいる。

オープンブックの挑戦的なアイデアは、ザッカーバーグを引き剥がすための製品改革を敢行することにある。Hernándezが呼ぶところの「自分で自分を支えられる機能を構築すること」だ。

「私たちは、プライバシーの問題だけで、今のソーシャルネットワークから多くのユーザーを引きつけることは不可能だと、率直に認めています」と彼は言う。「だから私たちは、もっとカスタマイズができて、楽しくて、全体的なソーシャル体験ができるものを作ろうとしているのです。私たちは既存のソーシャルネットワークの道を辿ろうとは思っていません」

この夢のためであったとしても、データの可搬性は重要な材料だ。独占的なネットワークから人々を乗り換えさせるには、すべての持ち物とすべての友だちをそこに残してくるよう言わなければならない。つまり、「できる限りスムーズに移行ができるようにする」ことが、もうひとつのプロジェクトの焦点となる。

Hernándezは、データ移行のためのツールを開発していると話している。既存のソーシャルネットワークのアーカイブを解析し、「そこに自分が持っているものを開示し、何をオープンブックに移行するかが選べる」ようにできるというものだ。

こうした努力は、欧州での新しい規制が助力になっている。個人情報の可搬性を強化するよう管理者に求める規制だ。「それがこのプロジェクトを可能にしたとは言わないけど……、以前の他の試みにはなかった特別なチャンスに恵まれました」とHernándezはEUのGDPR(一般データ保護規制)について話していた。

「それがネットワーク・ユーザーの大量移動に大きな役割を果たすかどうか、私たちには確かなことは言えませんが、無視するにはあまりにも惜しいチャンスです」

製品の前面に展開されるアイデアは豊富にあると、彼は話している。長いリストを広げるように教えてくれたものには、まず手始めに「チャットのための話題ルーレット、インターネットの課題も新しいコンテンツとして捉え、ウィジェット、プロフィールアバター、ARチャットルームなど」がある。

「馬鹿らしく思えるものもあるでしょうが、これはソーシャルネットワークに何ができるかを見極めるときに、現状を打破することが狙いなのです」と彼は付け加えた。

これまでの、フェイスブックに変わる「倫理的」なネットワーク構築の取り組みが報われなかったのはなぜかと聞くと、みなが製品よりも技術に焦点を置いていたからだと彼は答えた。

「今でもそれ(失敗の原因)が支配的です」と彼は示唆する。「舞台裏では、非常に革新的なソーシャルネットワークの方式を提供する製品が現れますが、彼らは、すでにソーシャルネットワークが実現している基本的な仕事をするための、まったく新しい技術の開発にすべての力を注ぎます。数年後に判明するのは、既存のソーシャルネットワークの機能にはまだまだ遠く及ばない彼らの姿です。彼らの中核的な支持者たちは、似たような展望を示す別の取り組みに乗り換えています。そしてこれを、いつまでも繰り返す」

彼はまた、破壊的な力を持つ取り組みが消えてしまうのは、既存のプラットフォームの問題点を解決することだけに集中しすぎて、他に何も生み出せなかった結果だと推測している。

言い換えれば、人々はそれ自身が大変に面白いサービスを作るのではなく、ただ「フェイスブックではないもの」を作ろうとしていたわけだ(しかし最近では、スナップが、フェイスブックのお膝元で独自の場所を切り開くという改革を成し遂げたことを、みなさんもご存知だろう。それを見たフェイスブックがスナップの製品を真似て、スナップの創造的な市場機会を潰しにかかったにも関わらずだ)。

「これは、ソーシャルネットワークの取り組みだけでなく、プライバシーを大切にした製品にも言えます」とHernándezは主張する。「そうしたアプローチが抱える問題は、解決した問題、または解決すると宣言した問題が、多くの場合、世間にとって主流の問題ではないということです。たとえば、プライバシーがそうです」

「その問題を意識している人にとっては、そうした製品はオーケーでしょう。しかし、結局のところ、それは市場のほんの数パーセントに過ぎません。この問題に対してそれらの製品が提供する解決策は、往々にして、人々にその問題を啓蒙することに止まります。それでは時間がかかりすぎます。とくに、プライバシーやセキュリティーの問題を理解させるのは、そう簡単ではありません。それを理解するためには、技術を使いこなすよりも、ずっと高度な知性が必要になります。それに、陰謀説論者の領域に入って実例を挙げなければ、説明が困難です」

そうして生まれたオープンブックの方針は、新しいソーシャルネトワークの機能や機会を人々に楽しんでもらうことで、そしてちょっとしたおまけとして、プライバシーが侵害されず、連鎖的に人の怒りの感情に火をつけるアルゴリズムも使わないことで、世の中を揺さぶろうというものとなった。

デジタル通貨に依存するビジネスモデルも、また別の課題だ。人々に受け入れてもらえれるかは、わからない。有料であることが、すなわち障害となる。

まずは、プラットフォームのデジタル通貨コンポーネントは、ユーザー同士の不用品の売り買いに使われると、Hernándezは言っている。その先には、開発者のコミュニティーが持続可能な収入を得られるようにしたいという展望が広がっている。すでに確立されている通貨のメカニズムのおかげで、ユーザーが料金を支払ってコンテツにアクセスしたり、(TIPSを使って)応援したりできる。

つまり、オープンブックの開発者たちが、ソーシャルネットワーク効果を使い、プラットフォームから発生する直接的な支払いの形で利益が得られるという考えだ(ユーチューブのクリエイターなど、広告料金にだけ依存する形とは違う)。ただしそれは、ユーザーがクリティカルマスに達した場合だ。当然、実に厳しい賭けとなる。

「既存のソリューションよりも経費が低く、素晴らしいコンテンツ制作ツール、素晴らしい管理機能と概要表示があり、コンテンツの表示方法が細かく設定でき、収入も安定して、予測が立てやすい。たとえば、毎月ではなく、5カ月に一度といった固定的な支払い方法を選んだ人には報償があるとか」と、現在のクリエイターのためのプラットフォームと差別化を図るためのアイデアを、Hernándezは並べ立てた。

「そんなプラットフォームが完成して、人々がその目的のためにTIPSを使うようになると(デジタルトークンの怪しい使い方ではなく)、能力が拡大を始めます」と彼は言う(彼はまた、計画の一部としてデジタル通貨利用に関するその他の可能性についてMedium誌に重要な記事を書いている)。

この初期のプロトタイプの、まだ実際に資金が得られていない段階では、彼らはこの分野での確実な技術的決断を下していない。誤って反倫理的な技術を埋め込んでしまうのも怖い。

「デジタル通貨に関しては、私たちはその環境への影響と、ブロックチェーンのスケーラビリティーに大きな不安を抱えています」と彼は言う。それは、オープンブックの宣言に明記されたグリーンな目標と矛盾することになり、収益の30パーセントを「還元」プロジェクトとして、環境や持続可能性への取り組み、また教育にも役立てるという計画を、絵空事にしてしまう。

「私たちは分散化した通貨を求めていますが、じっくり調査するまでは早急に決めるつもりはありません。今はIOTAの白書を研究しているところです」と彼は言う。

彼らまた、プラットフォームの分散化も目指している。少なく部分的には分散化させたい考えだ。しかしそれは、製品の優先順位を決める戦略的決断においては、第一の焦点ではない。なので、彼らは(他の)暗号通貨コミュニティーからファンを引き抜こうとは考えていない。もっとも、ターゲットを絞ったユーザーベースのほうがずっと主流なので、それは大きな問題にはならない。

「最初は、中央集権的に構築します。そうすることで、舞台裏を支える新技術を考え出す代わりに、ユーザー・エクスペリエンスと機能性の高い製品の開発に集中できます」と彼は言う。「将来は、特別な角度から、別のもののための分散化を目指します。アプリケーションに関することで言えば、回復機能とデータ所有権です」

「私たちが注目しているプロジェクトで、私たちのビジョンに共通するものがあると感じているものに、Tim Berners LeeのMIT Solidプロジェクトがあります。アプリケーションと、そこで使われるデータを切り離すというものです」と彼は話す。

それが夢なのだ。この夢は素晴らしくて正しいように思える。課題は、独占的なプラットフォームの権力によって競争の機会が失われ、別のデジタルな現実の可能性を信じられる人がいなくなったこの荒廃した市場で、十分な資金と幅広い支援を獲得することだ。これを「信念の価値」と呼ぶ。

4月上旬、Hernándezはオープンブックのオンライン・プライバシーに関する説明と、技術コミュニティーから意見を聞くための簡単なウェブサイトへのリンクを公開した。反応は、予想どおり悲観的なものだった。「返事の90パーセントは批判と、気持ちが折れるような言葉で占められていました。夢を見ていろとか、絶対に実現しないとか、他にやることはないのか、とかね」と彼は話す。

(米議会の公聴会で、独占していると思うかと尋ねられたザッカーバーグは、「自分ではそんなつもりはない!」とはぐらかした)

それでも、Hernándezは諦めていない。プロトタイプを作り、キックスターターで資金を募っている。ここまで辿り着いた。そしてもっともっと作ろうと思っている。しかし、より良い、より公正なソーシャルネットワークが実現可能だと信じる人を必要な数だけ集めることは、何よりも厳しい挑戦だ。

しかしまだ、Hernándezは夢を止めようとはしない。プロトタイプを作り、キックスターターで資金を集めている。ここまで辿り着いた。もっともっと作りたいと彼は考えている。しかし、より良い、より公正なソーシャルネットワークの実現が可能だと信じる人たちを十分な数だけ集めることは、これまでになく大変な挑戦となる。

「私たちはオープンブックを実現させると約束しています」と彼は言う。「私たちの予備の計画では、補助金やインパクト投資なども考えています。しかし、最初のバージョンでキックスターターを成功させることが一番です。キックスターターで集まった資金には、イノベーションのための絶対的な自由があります。紐付きではありませんから」

オープンブックのクラウドファンディングの詳しい説明は、ここで見られる

[原文へ]
(翻訳:金井哲夫)

AppleがFacebookのOnavoをアプリストアから削除、ユーザーデータの無断収集を処罰

Facebookの次の大きなプライバシー問題はなんだろう?と、座席から身を乗り出すようにして期待していた方、お待ちどおさまでした!。The Wall Street Journalによると、AppleはFacebookのOnavoアプリがApp Storeのポリシーに違反しているとして、近く削除することになった。

本誌TechCrunch宛ての声明で、Appleはその理由を説明している:

“私たちはAppleのエコシステム全体にわたって、ユーザーのプライバシーとデータのセキュリティの保護に力を入れている。私たちのガイドラインの最近のアップデートにより、分析や広告/マーケティングのために、アプリがユーザーのデバイスにインストールされているそのほかのアプリに関する情報を集めるべきではないし、またどのユーザーデータを何のために集めているかを明白にすべきである、と明確に決定した。”

しかし、Onavoがこんなに長く続いたことは、ある意味では不思議だ。

Facebookが2013年に買収したOnavoは、二つのことをする。まず、ふつうのユーザーには、OnavoはVPNのように振る舞い、“あなたとあなたのデータの安全を守り”、“有害なWebサイトをブロックしてあなたの個人情報の安全を確保する”。

しかしOnavoの本当の用途は、アプリの利用データを大量にその親会社に送り、人気勃興中のアプリや衰退気味のアプリを知らせて、モバイルのトレンドに関する貴重な鳥瞰図をFacebookに与えることだ。その情報はFacebookに、競争に勝つための戦略と(Snapchatがその好例)、今後の有利な買収候補に関するヒントを、他社に先駆けて与える。

ユーザーにとって便利なアプリと、密かな情報収集、このアプリの二重人格性を、Appleは問題視している。Onavoは、アプリの説明では“あなたの個人情報を守る”ことを強調し、合法的なVPNのふりをしている。

しかしOnavoのVPN機能を使うユーザーが、データをFacebookと共有することをためらったとしても、それはユーザーからの明示的なオプトインではなくて、デフォルトで勝手にonなのだ。このアプリの本当のねらいは、説明の中に奥深く埋(うず)もれている: “Onavoはあなたのモバイルデータのトラフィックを集めます。… その理由は、私たちはFacebookの一員なので、その情報をFacebookのプロダクトとサービスを改良するために使い、それらのプロダクトやサービスの人びとにとっての価値を知り、より良い体験を構築したいからです”。

今年の2月までで、OnavoアプリはiOSとAndroid合わせて3300万回ダウンロードされた。今AppleのApp Storeで検索すると、そのアプリは出てこないが、Googleのやや自由放任的なアプリストアではまだ生きている。だから今のところFacebookは、Androidの上では強力な目と耳を利用できるのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

密かにユーザーの位置追跡を続けている件についてGoogleが説明文を更新

4日前(米国時間8/13)には、位置履歴追跡が無効にされてもユーザーの追跡を続けていると認めたGoogleが、Webサイトを更新して、位置に関する同社のポリシーを詳細に説明した。

その、Googleアカウントのヘルプページにはこうある: “この設定は、Google Location ServicesやFind My Deviceなど、そのほかの位置サービスに影響を与えない。また、検索やMapsなどのサービスで、あなたのアクティビティの一部として何らかの位置データが保存されることもありえる。Google AccountでLocation Historyを無効にすると、そのGoogle Accountに結びついているすべてのデバイスでそれは無効になる。”

この更新は、今週初めの記事で追跡問題を初めて報じたAssociated Pressが再び報じた。Googleは最初、同社自身の不正確な報告を否定したが、その後否定を取り消し、説明をより明確にした、と述べた。

同社は今週初めに、次のように述べた,

Location Historyは全面的にオプトインのGoogleプロダクトであり、ユーザーはいつでもそれを編集、削除、無効化等にできる。その記事が言っているように、ユーザーがこのプロダクトを無効にしたときには、Googleで検索をしたり、運転の方向を知るためにGoogleを使用したときなどには、Google体験を改良するために位置の利用を続ける、とユーザーに確実に知らせている。

Googleは追跡を続けることへの理解を求めるために、言葉遣いを改めた、と言っている。同社はAPにこう語っている: “Location Historyを説明する言葉に関し、弊社のプラットホーム全体やヘルプセンターとの整合性および明確性の実現に努めた”。

もちろん、ヘルプページの言葉を直すことは、追跡の継続という問題への対応とは無関係だ。しかもそれは、同社のユーザー位置追跡ポリシーを完全に明らかにしていない。しかも率直に言って、ヘルプページでその情報を見ようとするユーザーは、ほとんどいないだろう。消費者の信頼を維持するためには、問題に関する透明性がまだまだ必要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

DefConでハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表した。このセキュリティカンファレンスでスピーチしたTencentのWu HuiYuとQian WenxiangはBreaking Smart Speakers: We are Listening to You(スマートスピーカーを破る: あなたを盗聴できる)と題するプレゼンを行い、彼らがAmazonのEchoスピーカーをハックして、それにスパイ役をやらせた方法を説明した。

このハックは、まずAmazon Echoのハンダ付けされている部品を交換するなどして、それを改造する。そしてハックの被害者となる正常なEchoは、改造Echoと同じネットワーク(同じLAN上)に接続していなければならない。

この設定で改造Echoは盗聴者になり、他のEchoスピーカーからの音声をリレーする。他のスピーカーたちは、何かを‘送信’をしてるわけではない。

この方法はとても難しいが、Amazonの人気増大中のスマートスピーカーを悪用するための第一歩だ。

研究者たちは、プレゼンの前にそのエクスプロイトをAmazonに通知した。そしてWired誌によると、Amazonはすでにパッチをプッシュしたそうだ。

しかしそれでもそのプレゼンテーションは、悪質なファームウェアを搭載した一台のEchoが、同じネットワークに接続している一群のスピーカーを変えてしまうことを示している。たとえばホテルの各室にEchoがある場合など、危ないだろう。

Wiredは、Echoのネットワーキング機能がハックを可能にした仕組みを説明している:

手術をされたEchoをターゲットデバイスと同じWi-Fiネットワークに接続できたら、ハッカーはAmazonのスピーカーのソフトウェアのWhole Home Audio Daemon呼ばれる部位を利用できる。同じネットワーク上のEchoは、この部位を使って互いにコミュニケートする。このデーモンに脆弱性があることをハッカーは発見し、それを、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得した。たとえばそのEchoに勝手な音を出させたり、もっと困るのは、オーディオを黙って録音したり、遠くのスパイに送ったりできる。

AmazonはWiredに、“セキュリティフィックスによるアップデートが自動的に行われたので顧客は自分のデバイスに何もする必要がない。この問題は、犯人がデバイスに物理的にアクセスできて、デバイスのハードウェアを変える能力を持っていることを必要とする”、と述べている。

ただしハックを実行するために犯人がアクセスできなければならないのは、犯人自身のEchoのみである。

Amazonは、その音声デバイスが顧客をモニタしているという懸念を一蹴したが、今年のDefConでハッカーたちは、それができることを証明した。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Googleドライブに暗号化サービス導入――Virtruと提携発表

企業及び個人ユーザー向けメール暗号化サービスで知られるVirtruは今日(米国時間7/25)、Googleと提携したことを発表した。これによりVirtruの暗号化テクノロジーがGoogle Driveで利用できるようになる。

数年前にはVirtruはGoogleの承認を得ないままGmailに自社の暗号化サービスを接続していたが、最近ではGoogleもVirtruの方式に価値を認め、全面的に協力するようになっていた。

Virtruの新しいData Protection for Google DriveはGmail向け暗号化サービスをGoogleドライブのファイルに拡張する。ファイルはクラウドにアップロードする前に暗号化される。万一ファイルが組織などの外に漏れても暗号化されたままなので安全だ。暗号化鍵はユーザーが全面的な管理権限を持つためGoogle自身もファイルの平文の内容にはアクセスできない。管理者は暗号化キーだけでなく、個別ファイル、フォルダー、チームドライブに誰がアクセスできるかを管理することができる。

VirtruのサービスはTrusted Data Formatを用いてる。これは同社の共同ファウンダー、CTOのWill AckerlyがNSA職員だった時代に開発したオープン規格だ。

Virtruはプログラマーのハックとして始まったプロジェクトだが、 今回の提携で Googleの G Suiteのデータ保護のための唯一のパートナーとなった。共同ファウンダー、CEOのJohn Ackerlyは私の取材に対して、「われわれは目指していたこと達成できた」と述べた。実際 VirtruのエンジニアはGoogleと密接に協力して開発を行っている。John AckerlyはまたEUのGDPR(一般データ保護規則)の施行に伴い、データのプライバシーに関して再び関心が高まっていることが、特にヨーロッパで、多くのビジネスチャンスを生んでいると述べた。Virtru自身、ヨーロッパにオフィスを開設し、現地のカスタマーサポートに当っている。トータルで8000の組織がVirtruのサービスを利用しているという。

なお今回Googleとの提携が発表されたが、同社はMicrosoftのOffice 365についてもメールの暗号化によりデータ保護をサポートしている

画像:Jaap Arriens/NurPhoto via Getty Images / Getty Images

[原文へ]

(翻訳:滑川海彦@Facebook Google+

AppleのiCloudの中国のユーザーはオプトアウトしないかぎりデータを国営企業に握られる

中国に住んでいる中国人で、iCloudのデータをローカルに保存させることをまだオプトアウトしていない人は、それを今やるべき良い理由がある。その情報は、中国のiCloudユーザーに帰属するデータであり、メールやテキストメッセージなども含まれる。それらをこれからは、中国の国営通信社China Telecomがどこかに保存するのだ。

この事業者のクラウドストレージ部門であるTianyiが、iCloud Chinaを支配する、とChina TelecomのWeChatポストが言っている。Appleも本誌TechCrunchに対して、この変更事項を確認した。

Appleのデータが同社のアメリカのサーバーから中国のサーバーへ移行することは、中国政府が個人や企業の微妙なデータに容易にアクセスできることを意味する、という大きな懸念がある。その発表の前には、中国のユーザーの暗号鍵もすべてアメリカに保存されていたから、当局が情報にアクセスするためにはアメリカの法律でそれを認められなければならない。それがこれからは、中国の法廷と、政府の情報管理者の管轄になる。

Appleの言い分は、中国当局の許可を得るためにはそうせざるを得なかった、というものだ。それは、納得できる説明ではない。

皮肉にもアメリカ政府は、国の安全保障を理由に中国の通信機器メーカーZTEを追及している。中国当局とのつながり、という嫌疑もある。それなのにアメリカの巨大企業のひとつが、ユーザーデータを中国の国営企業に委(ゆだ)ねているのだ。

唯一の救いは、中国のAppleユーザーはiCloudのアカウントで中国以外の国を指定すれば、ローカルデータの保存をオプトアウトできることだ。でも、今日(米国時間7/17)それをしても、実際にデータが移転したのか、中国のサーバーからは確実に削除されたのか、確認できない。だから新しいアカウントを作るのが現時点では最良のオプションかもしれない。

情報をありがとう、@yuanfenyang

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ユーザーデータの濫用を防ぎたいFacebookがAPIの利用制限をさらに発表

Cambridge Analyticaによるデータ濫用不祥事と、さらに最近の、Facebookのアプリが1億2000万人のユーザーのデータをリークしていたという発見を受けて、Facebookは今日(米国時間7/1)、ユーザー情報を保護するためのAPIの変更を発表した。この変更によって、デベロッパーが使用するAPIのうち、サイト上にソーシャルな体験を作るものや、メディアパートナーのためのAPIなどが影響を被る。

あまり使われないので閉鎖されるAPIもあるが、そのほかについてはアプリの見直しが必要だろう、とFacebookは言っているう。

今回の措置で発効するAPIの制約は、以下のとおり:

  • Graph API Explorerアプリ: このテストアプリは、今日から非推奨になる。今後Graph API Explorer上のクエリーをテストしたいデベロッパーは、自分のアプリのアクセストークンを必要とする。
  • Profile Expression Kit: プロファイルの写真を飾ったりビデオにしたりするこのAPIは、濫用の可能性があるからではなく、利用者が少ないから閉鎖されるAPIの仲間だ。10月1日に閉鎖される。
  • Media Solutions API集: 利用者の少ないTopic Search, Topic Insights, Topic FeedおよびPublic Figure APIsは8月1日に閉鎖される。ジャーナリストのためのTrending APIとSignalツール、Trending Topicsプロダクト、そして対話的テレビ体験のためのHashtag Votingは、すでに非推奨だ。今後は、パブリックなコンテンツの発見APIはパブリックなポストと、一部の検証済みのプロファイルに限定される。
  • Pages API: Pages APIによる検索は可能だが、ただしPage Public Content Accessの許可を要する。許可は、アプリのレビュープロセスによってのみ、得られる。
  • Marketing API: このAPIも、アプリのレビュープロセスで認められた者のみが使える。
  • Leads Ads Retrieval:これもアプリのレビューにおける許可が必要。
  • Live Video APIs: 同上。

変更の詳細はFacebook Newsroomのこの記事にある。それによると、変更は今後まだまだありそうだ。

Facebookは、データをリークしていたかもしれないアプリを見つけるために、アプリのエコシステムを監査していた。また、その取り組みと関連して、以前は、人びとの情報のアクセスや利用をFacebookが管理できるための一連のAPIの変更発表していた

今回のAPIの変更には、Facebookが4月に変更を加えたFacebook Login, Groups, Eventsなどのような、より高度なAPIが含まれていない。でも、デベロッパープラットホームのレビューは依然として行われているから、これからもいろんなAPIが検証の俎上に乗るだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

カリフォルニア州で画期的なデータプライバシー法が成立

【抄訳】
カリフォルニアのデータプライバシー法は、内密のデータ収集が生きる糧(かて)でもある多くのテクノロジー企業の強い反対を乗り越えて、あとは知事が署名するだけで成立の運びとなった。そのCalifornia Consumer Privacy Act of 2018は州議会を通り、今、成立のためにJerry Brown知事のデスクに向かっている。

アップデート: 知事が法案に署名したので、法は来年末に発効する:

[カリフォルニア州議会プライバシーと消費者保護委員会委員長Ed Chauの知事署名直後のツイート]

この法は、消費者が知らない間に自分のデータを集められて売られることを防ぐための、さまざまな強力な措置を集めている。その全文はここで読めるが、主な内容は以下のとおりだ:

  • 企業は自分が集める情報とその事業目的、およびそれらを共有するサードパーティを開示しなければならない。
  • 企業はそのデータを削除する消費者の公式の要求に応じなければならない。
  • 消費者は自分のデータが売られることを拒否でき、それに対し企業は料金やサービスのレベルの変更で報復してはならない。
  • しかしながら企業は、データの収集を許されることに対して“金銭的なインセンティブ”を提供してもよい。
  • カリフォルニア州当局は違反した企業に罰金を科すことができる。

ご覧のようにこれは、FacebookやGoogleのような企業に抑制を課すもので、とくにこの二社は、個人的にまたは業界団体等を通じて、法案に反対する勢力に加担していた。

また長年、顧客データを有料でサードパーティと共有していたAT&TやVerizonのようなインターネットプロバイダーも、法案に反対していた。

しかしこの法律は、詳細な条文を知らなくても誰もが支持するようなものだった。なぜならば、大手テク企業やISPたちのやり方に対して、すべての良識ある人びとが怒っていたからだ。

知事のデスクに向かっている法案は、お金持ちの活動家Alastair Mactaggartが提案していたものよりも、やや緩(ゆる)い。彼は11月の州民投票を呼びかけていたが、しかし議会が法律を成立させたなら活動をやめる、と言っていた。そして、そのとおりになった。

[知事署名前のツイート]

【後略】

〔参考: EUのGDPR

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

モバイルのプライバシーで頑張るKeepsafeが守秘機能を強調したブラウザーをリリース

プライベートな写真アプリKeepsafeを作っているKeepsafeが、製品ラインを拡大し、モバイルのWebブラウザーをリリースした。

協同ファウンダーでCEOのZouhair Belkouraによると、写真アプリ、VPN、プライベートな電話番号生成アプリなどKeepsafeの製品はすべて、プライバシーの保護で共通しているだけでなく、意図的にそれらの機能をシンプルで分かりやすくしている。Belkouraによるとそのやり方は、独特のジャーゴンや複雑な設定の多い、今のセキュリティ技術の対極にある。

さらにBelkouraによると、インターネット上のプライバシーには複数のレベルがある。たとえば政府機関や大手テクノロジー企業が個人データにアクセスしているが、そのことは知識のレベルでは気になっても、感情のレベルでは誰も本気で気にしていない。

そして、“うるさいご近所さん”という問題もある。つまりBelkouraによれば、“10億人がGmailを使っていて、それらのメールはすべて広告のためにスキャンされているにもかかわらず、ご近所の人に‘あなたのメール読ましてくれる?’と言ったら必ず断られる”。

Keepsafeの今度のブラウザーは、この二種類のプライバシーに対応しているようだ。まず、自分のブラウザーをPINでロックできる(Touch IDやAndroid Fingerprintも使える)。

Keepsafe browser tabs

また実際にWebを閲覧しているときは、通常の個々のタブで、ソーシャルサイトや広告やアナリティクスによる個人追跡をブロックできる(追跡者の種類も指定できる)。ただしクッキーとキャッシュは保存されるから、今ログインしているWebサイトやそのほかのセッションのデータは維持される。しかし、タブ全体をプライベートに指定すると、そのタブを閉じたら何もかも消え去る。

従来のブラウザーにもプライベート(匿名)モードがあるが、Belkouraに言わせると、Keepsafeのブラウザーはプライバシーを最前面に打ち出して設計されている。ユーザーには最初からそのことが、強烈かつ明確に訴求される。そしてこのブラウザーは、同社のさまざまなプライバシー製品の一環にすぎない。今後は、それら複数のプライバシー製品の統合も予定している。

そのKeepsafe Browserは、iOSもAndroidも無料だ。

収益化に関してBelkouraは、“プライベートなブラウザーそのものを売り物にしたくはない。今後もっと総合的なKeepsafe Suite(総合ソフトウェア集)が形をなしてきたら、そこらで課金を考えたい”、と言っている。

画像クレジット: Keepsafe

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple、広告トラッキングに対し厳しい姿勢を鮮明にーWWDC

Appleは、1年前のWWDCで発表した広告トラッキングブロッカーを活用してウェブブラウザーSafari上のプライバシー機能を強化するいくつかの策を今年の開発者会議で明らかにした。

Appleが‘Intelligent Tracking Prevention’(IPT)と呼ぶその機能は、ユーザーのウェブ閲覧履歴のトラッキングを制限する。閲覧から30日すぎるとトラッキングできないようにするというものだ。

IPTが発表されて以降、Facebookはデータ不正使用の大きなスキャンダルに飲み込まれた。このスキャンダルで、消費者はソーシャルプラットフォームやデータブローカーがいかに消費者をウェブ上で追跡し、詳細なプロフィールを作成してターゲティング広告を展開することにで消費者のプライバシーを侵害していたかを知ることとなった。

Appleはこの問題に関し、他社に先駆けたきた。ウェブインフラがユーザーの行動をどう監視しているのかという懸念が高まりつつあるが、Appleはトラッキングに厳しく対応することで、こうした懸念に応えようとしている。

Appleの主な収益源はデバイスの販売であるとはいえ、もちろんAppleのビジネスモデルはプライバシーとつながっている。デバイスに搭載する機能は、ユーザーのデータ保護をサポートするものだ。これは、ライバル他社のもの、例えばGoogleのAndroid OSで作動するデバイスに比べてクリアで、しかも他社と差別化を図れているポイントだ。

「Safariはあなたのプライバシーを守るために実によく働いているが、今年はさらに強化する」とAppleのソフトウェアエンジニア担当SVP、Creig Federighiは開発者イベントで語った。

そして彼はソーシャルメディアの大御所Facebookを直に取り上げた。Likeボタンのようなソーシャルプラグインや、Facebookのログインを使ったコメント欄がいかにウェブをまたがってユーザーを追跡するトラッキング構造の中核を成すものかを強調した。

米国の議員は4月、FacebookのCEOマーク・ザッカーバーグにFacebook以外のところでのウェブブラウジングで集めたユーザーについての情報をただした。そうした情報はトラッキングのCookieやピクセルを使って集められたものだ。しかしザッカーバーグからは曖昧な答えしか返ってこなかった。

Facebookはその後、履歴を削除する機能を追加すると発表した。この機能では、ユーザーはFacebookからブラウジング履歴を消すことができるのだという。しかし、Facebookのサーバーから全てデータを削除できるのかは不明だ。

この機能は、Facebookが表明した通りのことをきちんと実行するとユーザーが信じることが前提となるわけだが、実際のところ大いに疑問は残る。だからこそ、消費者サイドからすればトラッキングそのものをできないようにすればいいではないか、ということになる。これこそが、Appleが開発者会議で意図したことの要旨だろう。

「これら(Likeやコメント欄)はあなたがクリックしたかどうかをトラッキングしてきた。だから我々は今年、これができないようにする」とFederighiは述べ、WWDC参加者から拍手喝采を浴びた。

それからFederighiは、Safariがブラウジングをトラッキングするプラグインを許可するかどうかユーザーに尋ねるポップアップがどのように現れるかデモして見せた。

Appleの最初のIPTでは、Safariはウェブサイト利用の24時間後にCookieを分割するとしていたが、今後はすぐにトラッキング能力を持つことを認めたドメインと、Cookieを分割する。

また、第三者のコンテンツプロバイダーに使用されることはないが、案内型のリダイレクトを通じてユーザーをトラッキングする、といった“ファーストパーティ・バウンストラッカー”としてドメインが完全に使用されていることを検知する機能も開発した。検知された場合、Safariはウェブサイトのデータを全て削除する。

Federighiが明らかにした別のプライバシー策は、サイトをまたいでユーザーをトラッキングするフィンガープリントと呼ばれるテクニック対策だ。このテクニックは、Cookieが使えなくなってもトラッキングする手段となりえる。

「データ会社は賢く、容赦抜け目ない」とFederighiは語る。「あなたがウェブをブラウズしたら、コンフィギュレーションやインストールしたフォントプラグインといったものの性質を利用してあなたのデバイスは特定されてしまう、といったことになりかねない」。

Mojaveでは、トラッカーがフィンガープリントをつくりにくいようにしている。簡素化されたシステム構成でのみウェブサイトを表示し、ビルトインのフォントでのみ表示する。フィンガープリントにつながらないよう、legacyプラグインはもはやサポートされない。結果として、あなたのMacは他の誰かのMacと同じようなものになるが、データ会社にとってはあなたのデバイスを認識してあなたをトラッキングすることが難しくなる」。

IPT 2.0について詳しく述べているWebkitデベロッパーブログへの投稿で、AppleのセキュリティエンジニアJohn Wilanderは、アップルの研究者はサイトをまたぐトラッカーが“ユーザーを特定するのを互いに助けている”ことを発見した、と書いている。

「1人のトラッカーが別のトラッカーに‘これはユーザーABCだ’と伝える。そしてその2人目のトラッカーが3人目のトラッカーに‘トラッカー1はユーザーABCだと思っているが、私はユーザーXYZだと考える’と伝える。私たちはこれをトラッカーの共謀と呼んでいる。IPT 2.0ではこうした共謀の行動を感知し、それに関わった人全てをトラッカーとみなす」とWilanderは説明する。これはデベロッパーへの警告だ。ゆえに、「デベロッパーは’トラッキング能力を有すると分類されやすいドメインへの不必要なリダイレクトを避けるようになる」。あるいは間違ってトラッカーとされ、データ消去というペナルティを科せられることになる。

IPT 2.0はまた、Webページのリファラヘッダーを制限する。リファラヘッダーでは、システムがトラッカーかもしれないと分類し、ユーザーの行動を受け取っていないドメインに届くサードパーティー要請のための元ページを、トラッカーが受け取ることを可能にする」(Appleは、これはただのサイト訪問ではなく、タップやクリックといった動作を伴うものでなければならないと明示している)。

Appleは例として、‘https ://store.example/baby-products/strollers/deluxe-navy-blue.html’ というサイトにいったらどうなるかを示した。このページはトラッカーのリソースをロードする。IPT 2.0以前ではリファラ全部を含むリクエストを受けていた(ここには、どの商品が購入されようとしているのかや、どの個人情報がユーザーを表しているかといった情報も含んでいる)。

しかしIPT 2.0では、リファラは“https ://store.example” とだけになる。これだとプライバシーが守られる。

プライバシー関連で別の歓迎すべきMac向けアップデートはーたとえWindowsとiOSが抜きつ抜かれつを展開しているだけだとしてもーMojaveではカメラやマイクまわりでプライバシーコントロールが拡張されているので、どのアプリを使うときもデフォルトで保護されるという点だ。iOS同様、ユーザーはアクセスを認可することになる。

[原文へ]

(翻訳:Mizoguchi)

Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収

11月に罪を認めたカナダ人ハッカーKarim Baratov(23歳)は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下(くだ)された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した。

二人の職員、Dmitry DokuchaevとIgor Sushchinは、同じくYahooハックに関わったラトビア人のハッカーAlexsey Belanと共にロシアに居住する。その居住地からして、これら三名が関与に関して罪を問われることはないと思われるが、Baratovのカナダ国籍は、彼を訴追可能にした。

司法省によるBaratovの刑の宣告(要約)には、こう書かれている: “この共謀罪におけるBaratovの役割は、FSBで働いていた彼の共謀者にとって関心のある個人のWebメールのアカウントをハックし、それらのアカウントのパスワードを金と引き換えにDokuchaevに渡すことだった”。

カリフォルニア北部地区担当の連邦代理検事Alex G. Tseが、外国政府の不正行為に加担しようとする未来のハッカーに対して、厳しい警告を発している:

“今回の量刑は、人に雇われてハッキング行為をすることの重大な犯罪性を反映している。Baratovのようなハッカーは、彼を雇って金を払う人びとの犯罪目的を考慮することなく、自分の仕事に専心する。これらのハッカーは軽犯罪者ではなく、犯罪者が個人情報を不法に入手して悪用するために使用する、重要な道具である。Baratovに対する5年の懲役刑は、国民国家がスポンサーとなるサイバー攻撃に参加するハッカーに向けて、その重大な結果を知らしめるために法廷が送る、明確なメッセージである。”

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた。

Baratovの罪にはほかに、加重的個人情報窃盗と、コンピューター詐欺と悪用法に違反する共謀罪が含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GDPRの施行でアメリカのニュースサイト触法懸念でヨーロッパからの読者を敬遠

EUの新しいプライバシー法が施行された金曜日(米国時間5/25)には、アメリカの一部のニュースサイトがヨーロッパの読者にとって存在しなくなった。そのGeneral Data Protection Regulation(GDPR)と呼ばれる規則は、消費者の何らかの個人データを集めるインターネット企業が従うべき厳格な要件の集合を定めている。その影響はきわめて大きいので、アメリカのメディア企業Troncは、何かが違反と見なされることと、それがもたらす予期せざる結果を恐れて、ヨーロッパの読者をすべてブロックすることに決めた。

EUをブロックするTronc傘下のサイトは、Los Angeles Times, The Chicago Tribune, The New York Daily News, The Orlando Sentinel, The Baltimore Sunなど、地方の名門紙が多い。Lee Enterprises傘下の新聞、The St. Louis Post Dispatch, The Arizona Daily Starなども、ヨーロッパの読者をブロックした

[Tronc傘下の新聞はどれもGDPRに違反しているようだ、ヨーロッパからのトラフィックを遮断した]

ヨーロッパの人たちが読まなきゃ(当面)文句ないだろう、と考えたTroncと違って、アメリカの大手全国紙の多くは、Webサイトの問題箇所を削除改変したバージョンを提供したり、ユーザーデータの利用に関してオプトインを求めたりしている。NPRは、同サイトのプレーンテキスト・バージョンを読者にすすめて、喜ばれている。

[USA TodayのGDPR遵守バージョンは広告も自動再生ビデオもなく、すっきりしてとても良い]

多くの地方紙が、その多くがアメリカの市場に貢献しているEUのユーザーを遮断して良しとしているが、一部は、これを機にむしろ、国際的な読者を惹きつけて目立とうとしている。彼らは、のけ者にされたヨーロッパのユーザーに、遮断作戦を公然と批判するよう、すすめている。

彼らは、批判されて当然である。GDPRのプライバシー規則は2016年4月に採択されたから、企業がコンプライアンスを整備する時間は規則の施行まで2年もあったのだ。

GDPR入門記事(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴

2年の移行期間を経て個人データの保護を目的とした、欧州の新しいプライバシーフレームワークGDPR(EU一般データ保護規則)が施行された。これを受け、長らくFacebookのプライバシー侵害を批判してきたMax Schrems(日本語版編集部注:Schremsは弁護士である)は、‘同意するか、利用をやめるか’をユーザーに迫るテック企業を相手どり、すかさず4つの訴状を提出した。

この訴状は、不特定の個人を代表していて、Facebook、Facebook傘下のInstagram、同じくFacebook傘下のWhatsApp、そしてGoogleのAndroidに対するものだ。

Schremsは、これらの企業がユーザーの個人情報の使用を続けるために、ユーザーに“同意を強制する”戦略をとっていると批判している。その主張は、サービスを提供するにあたり同意が厳密に求められる場合を除き、ユーザーは自由な選択を与えられる、とする法律に準拠している(この点について、Facebookは同社の主なサービスは広告ターゲッティングのための個人情報蓄積ではなく、ソーシャルネットワーキングであると主張している)。

「これは極めて明快なことだ。同意は、サービスに必要なものではない。全てに対し、ユーザーはイエスかノーの選択権を持っているべきだ」とSchremsはコメントしている。

Schremsはさらに「Facebookはこれまで、同意しないユーザーのアカウントを強制ブロックしさえしてきた。つまり、最終的にユーザーはアカウントを削除するか、同意ボタンを押すかを選ばなければならなかった。それは自由な選択とはいえず、北朝鮮の選挙プロセスを思わせるようなものだ」と付け加えた。

我々は、訴状が出された4社にコメントを求めていて、反応があればアップデートする。[アップデート]Facebookは個人情報保護管理者Erin Eganの名で次のようなコメントを出した:FacebookはGDPRを順守すべく、18カ月にわたり準備を進めてきました。ポリシーをより明確なものにし、プライバシー設定も簡単に見つけられるようにしました。また、アクセスやダウンロード、情報の削除などができる、より良いツールも導入しました。こうしたプライバシーを改善する取り組みは5月25日でもって終わり、というわけではありません。例えば、現在、我々は履歴削除の機能の追加にも取り組んでおります。この機能では、ユーザーは、サービス使用の情報を我々に送るウェブサイトやアプリを確認でき、またそうしたサービス使用情報をアカウントから削除することができます。ユーザーの閲覧データの保存機能をオフにすることもできます。

Schremsはつい最近、GDPR発効に伴い、戦略的提訴にフォーカスした非営利のデジタル人権団体を立ち上げた。今回の提訴はクラウドファンディングで設立されたこのNGOを経由してのものだ。NGOの名称はnoyb(none of your businesssの略)だ。

これまでのGDPRの解説で指摘してきたように、今回の規則では、重要なことに関しては個人情報の強制収集を認める一方で、noybのような非営利団体が個人を代表して提訴を行うことを認める法の履行を強化している。つまり、大企業と個人消費者の権利の間に横たわっている不均衡を正そうとしているのだ。

GDPR にある不均衡是正の条項は、EUの加盟各国が適用を除外することもできる。なぜ4社への提訴がオーストリア、ベルギー、フランス、ドイツのハンブルグで行われたのかの理由はまさしくここにあり、こうした国々ではプライバシーの権利を守るための強力なデータ保護当局がある。

提訴されたFacebookとFacebook傘下の会社が欧州本部をアイルランドに置いていることを考えると、アイルランドのデータ保護当局もこの提訴に巻き込まれる可能性が高い。データ保護という点において、欧州内ではアイルランドの評判は高いものではない。

しかし、共通する懸念や国境を超えたサービスの場合、GDPR では異なる管轄でもDPAs(追訴延期合意)の適用を可能にしている。つまり、noybの提訴は、この新しい体制を試す狙いもあるといえる。

GDPRの罰則体系では、大きく違反した場合、その違反した企業の収益の最大4%にあたる罰金を科すことができる。FacebookやGoogleに当てはめて考えると、違反すればそれぞれ10億ユーロ超の罰金を科せられる可能性があるということだ。

少なくとも今回の初提訴に限っていえば、EUの新規則は法の執行をソフトに展開することになる。というのも、もし新ルールを満たしていないようであれば、企業はそれに応じたものになるよう見直すことができるからだ。

しかしながら、企業が法を意図的に自己解釈して歪めようとしているとなった場合は、それを取り締まるためにすみやかに行動に移す必要があると判断することになる。

「すぐさま数十億ユーロもの罰金を科すわけではない。しかし、企業が意図的にGDPRを反故にした場合には罰金が科せられるはずだ」とSchremsは述べている。

つい先日、Facebook創業者のマーク・ザッカーバーグはパリで開かれたVivaTech会議のステージで、FacebookはGDPR順守のために抜本的な変更を実施したわけではない、Facebookユーザーの“大方”は新たな同意フローを経てターゲット広告を喜んで選択している、と主張した。

「我々は、5月25日に間に合うよう、何週間にもわたってGDPRに合致するフローを展開してきた。その中で興味深かったのは、ユーザーが使っているウェブサイトやアプリから送られてくるデータを、私たちが広告を最適化するために使うことについて、人々の多くがよしとみなしていることだ。これはなぜかというと、もしあなたが、使っているサービスの中で広告を喜んで見ようという人であれば、関連のあるいい広告をのぞむからだ」と述べている。

ソーシャルネットワーク業界において圧倒的存在であるFacebookだが、ターゲット広告を受け入れるか、却下するかという、選択の提供は行わない、とは彼は言わなかった。FacebookがGDPR施行前に明らかにした新たな同意の流れでは、ターゲット広告を受け入れたくないという人にFacebookを完全にやめるという選択肢を用意しているだけだ。それが意味するのは、この強力なネットワークは人々にさほどの選択を与えていないということだ(加えて、Facebookが引き続き非ユーザーの追跡を行うということは、指摘するに値するだろう。というのも、たとえFacebookのアカウントを削除しても、Facebookがあなたの個人データを使用することを止めるという保障は得られないからだ)。

今回の新規則でFacebookのビジネスモデルがどれくらい影響を受けるかについて、ザッカーバーグは特に大きな変化ないと主張した。「なぜなら、自分のデータがどのように使われるかというコントロール権を人々に与えるというのは、サービス開始時からのFacebookの基本原則だからだ」。

「GDPRによっていくつかの新たなコントロールが加えられ、そこには我々が応じるべきものもあった。しかし全体的には、これまで我々が過去に取り組んできたことと大きな差はない」「軽視しようとしているわけではない。この新ルール順守のためにやらなければならないことはたくさんある。ただ、全体として、このルールの真意は私たちがとってきた姿勢と大きく変わるものではない」と述べている。

「人々が望む方法でつながるツールを提供し、GDPRのような規則に込められた理想の社会を築くために、どれくらい長い間考慮したことか。よって、受け入れるべき新ルールに消極的でいようとは思っていない。しかし、同時に、この手のことをどう考えてきたかという点でこの規則が大きな出発点となる、というふうには考えていない」。

ザッカーバーグはこうしたテーマで、今週はじめにあったEU議会との会合でかなり手厳しく、そして多岐にわたる質問を受けたが、意味のある回答は避けた

ゆえに、EUの議員はさっそく気概を試すことになりそうだ。その気概というのは、例えば、Facebookという巨大テック企業がビジネスモデルにおいて法を自己解釈した場合に、法的措置をとるかどうかということになる。

プライバシー法というのは欧州では特段目新しいものではない。しかし強力な拘束力を持たせたという点において風穴をあけた。少なくとも、GDPRには罰則体系が導入された。この罰則は威力を持つと同時にインセンティブをも与える。またSchremsやnoybといった先駆的な存在もあることから企業は訴訟も意識せざるを得なくなった。

Schremsは、GDPRが是正をサポートすべきかという賛否両論はあるものの、同意を得るためにユーザーに「同意するか、利用をやめるか」と迫るような強引なやり方を大企業はとることができる一方で、スタートアップや地方の企業はできないだろうと指摘する。

「同意強制に反対する取り組みは、企業がユーザーに同意を強制できないようにすることを保証するものだ。これは、独占企業が中小企業に対し優位に立つことにはならないという点で、とりわけ重要だ」と述べている。

イメージクレジット:noyb.eu

[本文へ]

(翻訳:Mizoguchi)

ご用心! Echoが勝手に会話を録音して知人に送信した――Amazonから説明あり

オレゴン州ポートランドの一家がKIROニュースで語ったところによれば、一家のAmazon Echoがプライベートな会話を録音し、登録されていた連絡相手に勝手に送信していたという。 Amazonでは「きわめてまれなケース」だとした(Amazonからのさらに詳しい説明を下にエンベッドしてある)。

ポートランド在住の女性、Danielleは夫の会社の社員から「Alexaのプラグを今すぐ抜いた方がいい。ハックされているかもしれない」という電話を受けた。電話してきた社員はAlexaから夫妻が木のフローリングについて会話している録音を受け取ったという。夫妻は事実そういう会話をしていた。

女性はなんとかAmazonの担当者を捕まえることに成功し、問題を報告した。Amazonのエンジニアが問題のAlexaのログをチェックすると報告のとおりの事態が起きていたと判明した。Amazonは声明を発表し、「問題を精査した結果、きわめてまれなケースだと結論した。われわれは将来同様の事態が再発することを防ぐために対策を準備している」と述べた。

いったい何が起きたのか? 私の推測ではEchoデバイスの音声認識システムが何かを聞き違え、会話を録音するよう命じられたと解釈したのだろう。さらに続けて録音したノートないしメッセージをある宛先に向けて送信するよう命じられたという聞き違いが起きたに違いない。しかもこうした一連の動作をユーザーに報告しなかったことになる。

この家庭には複数のAlexaデバイスがあったという。そこでAlaxaは間違ったデバイスで命令の確認を試みたかもしれない。Alexaは「私はスティーブにメッセージを送りました」とリビングのEchoデバイスに発声させたが、スティーブはそのときキッチンに移動していた。…なにかそんなことが起きていたかもしれない。

もちろんAlexaが勝手に会話の録音を知人に送信するなどとは誰も予期していなかったはずだが、EchoAlexaは電源が入っているかぎりいつも聞き耳をたてており、会話を録音してデータをインターネットにアップし続けていることが確認されたのは重要なポイントだろう。Alexaはますます賢くなっている。つまり「会話を録音して知人に送る」程度ではすまない被害をもたらす可能性があるということだ。

アップデート:私はAmazonに何が起きたのかもっと詳細な情報を明かすよう要請した。するとこの稿を公開した後、Amazonは以下のような説明を行った。内容はおおむね私の推測に近かった。

バックグラウンドにAlexaに似た発声があってEchoが起動されたものと思われる。Echoは会話の続きをメッセージ送信の命令と解釈した。Alexaは十分な音量で「誰に?」と尋ねた。その後の背景の会話の一部がAlexaに登録された連絡相手の名前と解釈され、Alexaは「[人名]ですね?」と確認の発声をしたが、それに続く背景の会話を「はい」の意味に取った。ミスがこのように連続することはきわめてまれなケースと考えられるが、われわわれはこうしたミスが再発する可能性をさらに下げるための方策を検討中だ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ザッカーバーグはどうやら欧州で味方をつくれなかったようだ

欧州連合の議員との会合で、Facebook創設者のザッカーバーグはEU一般データ保護規則(GDPR)の“コントロール、透明性、責任”という原則に言及した。この新たな規制GDPRは25日金曜日に施行され、そこには、反した場合に科す罰則も盛り込まれている。FacebookはGDPRを遵守すると、とザッカーバーグは明言した。

しかしながら、今回の会合では透明性や責任というものはほとんど見られなかった。会合に出席した議員からかなり突っ込んだ質問が1時間にわたって出されたが、ザッカーバーグは黙って顔をひきつらせながそうした質問を聞いたのち、そこから答えやすいものばかりを選んだ。

議員からの質問は多岐にわたり、その多くはFacebookの企業倫理について深く掘り下げるようなものだった。情報の不正使用によるプライバシーの侵害の影響はどの程度あったのか、Facebookが会社分割を必要とする独占状態にあるかどうか、データの不正使用についてユーザーはどのように償われるべきか、といったものだ。

Facebookは本当にGDPRを遵守しようとしているだろうか、という質問が何回も投げかけられた(当然のことだが、データ保護を専門とする懐疑派の議員からだ)。Facebookはなぜ15億人にものぼる世界のユーザーのデータ操作ステータスを変更し、GDPRの効力が及ばないようにしたのか。ユーザー情報をもとにしたターゲット広告をやめることを必死に回避してきた同社だが、そうしたターゲット広告のシステムを人々が拒否できるプラットフォームを提供する用意があるのだろうか。

そもそも、なぜ欧州議会との会合を公にすることを拒んでいたのか。EUのプライバシー規則に反対するロビー活動に、なぜ何百万ドルもの金を費やしたのか。サービスを運営している国で税金を払うのか。フェイクアカウントを防止するためにどんな取り組みをしているのか。いじめを防ぐ取り組みはどうか。コンテンツを規制するのか、それともニュートラルなプラットフォームなのか。

矢継ぎ早に厳しい内容の質問がなされ、ザッカーバーグは集中砲火を浴びた格好だった。しかしいざ質問に答える段になると、それは応答の体をなしていなかった。自分が選んだテーマで話したいことだけを話し、しかもそれは事前に準備されたものだった。

ここに、なとびきりの皮肉がある。人々の個人情報は、あらゆるトラッキング技術やテクニックを介してFacebookに大量に流れている。

Cambridge Analyticaによるデータ不正使用スキャンダルの詳細が物語っているが、個人情報はFacebookから大量にリークされたのだ。そのほとんどがユーザーの知らないところで行われ、もちろん同意を伴うものでもなかった。

Facebookの運営の話しになると、同社はかなりの秘密主義を展開している。ほんのわずかな’ニュースフィード“を公開し、どんなデータをどういう目的で収集しているのか詳細は一切明らかにしない。

先月もザッカーバーグは米国議会との会合に臨んだが、そこでもやはり基本的な運営についての質問にまともに回答することを避けた。もし今回の会合で真の透明性や責任の所在が明らかになることを期待していた議員がいたとしたら、完全に失望しただろう。

Facebook ユーザーは、Facebookに自らアップロードしたデータは、ダウンロードできる。しかし、Facebookがあなたについて収集した全情報をダウンロードできるわけではない。

欧州議会の会派の代表らの関心はいまやFacebookのビジネスに集中しているようだ。そして、今回のザッカーバーグの黙り芝居を、Facebookに罰則を適用するためのさらなる証拠としてとらえる向きもある。

EUの規則はお飾りではない。GDPRの欧州外への影響と、有力なパブリックプロファイルはさらなる政治的な論争を展開しそうな勢いだ。

ザッカーバーグが欧州議会の声に耳を傾け、これまで同様のことを語ることで、CEOがブリュッセルでの会合に出た、という事実を作ることをFacebookが今回望んでいたのなら、これは大きな誤算だったようだ。

「まったくザッカーバーグの対応には失望させられた。議員からの詳細な質問に答えなかったことで、欧州の市民の信頼を取り戻すチャンスを失った。それどころか、出席議員に‘より強い規則と監督が必要’との印象を与えた」と、欧州自由連盟議員でGDPR報告者でもあるJan Philipp Albrechtは会合後、我々にこう語った。

Albrechtは会合で、FacebookはWhatsAppとデータの共有をどう行なっているのか、とただした。この問題はデータ保護当局の怒りをかっている。当局がFacebookに対し、そうしたデータフローを止めるよう促しているのにもかかわらず、Facebookはいまだにデータ共有を続けている。

また議員は、そうした2つのアプリ間でのデータ交換はしないことを約束するよう迫った。しかし、ザッカーバーグは頑として約束は口にしなかった。

欧州議会で人権委員会(Libe)の委員長を務めるClaude Moraesは会合後、極めて厳しいトーンではあったものの、そつのないコメントをしていた。

「データ漏えいの結果、Facebookの信用は地に落ちた。こうした状況を打開し、Facebookは欧州のデータ保護法を完全に遵守していると人々に納得してもらうためには、ザッカーバーグ氏とFacebookは真摯に努力しなければならない。’私たちはユーザーのプライバシー問題を真剣に考えている‘といった一般的なコメントだけでは不十分だ。Facebookはそれを行動で示さなければならない。差し当たり的なものであってはならない」と述べている。

「Cambridge Analyticaスキャンダルの件はすでに現在のデータ保護ルールに違反しており、間もなく施行されるGDPRにも反するものだ。この法律に従い、欧州データ保護当局はしかるべき対応をとることになるはずだ」とはっきり語ったのは英国議会の文化・メディア・スポーツ省の委員長Damian Collinsだ。

同委員会はこれまでに3度ザッカーバーグを召喚しているがいずれも実現していない。完全にザッカーバーグに拒絶され、容赦ない姿勢は当然だろう。ザッカーバーグの代理として英国議会で証言に立ったCTOが質問に対してあいまいにしか答えなかったことでもFacebookを非難している。

Collinsはまた「欧州議員からの極めて重要な質問について綿密に調べる機会を逸したのは残念だ。シャドープロファイルやWhatsAppとのデータ共有、政治広告を拒否できるかどうか、データ不正使用の実際の影響度合いはどうだったのか、といったことに関する質問は図々しくも回避された」と指摘した。「残念ながら今回とった質問形式ではザッカーバーグに質問の選り好みをさせる結果になり、各指摘についての回答はなかった」。

「出席議員の、今回の会合はまったく意味をなさなかったという明らかな不満をここに代弁する」とも付け加えた。“ユーザーが知りたいこと”を議会で明らかにするという点では、今回の会合は結局4回目の失敗に終わった。

今回の会合の最後の方では何人かの議員が明らかに激昂した様子で、これまで答えなかったことについて再度ザッカーバーグを質問攻めにした。

ザッカーバーグが話しを次に移そうとするタイミングで、1人の議員は「シャドープロファイル」と言葉を挟んだり、ザッカーバーグが鼻息荒く笑ったり時間を稼ぐためにあらかじめ用意したメモをみたりすると別の議員が「賠償」と叫んだりといった具合だった。

そうした後に、やや不満な態度をあらわにしたザッカーバーグが追求する議員の1人をみて、議員のシャドープロファイルについての質問に答えると言い(実際のところ、認識していなかったというのを理由に、ザッカーバーグはシャドープロファイルという言葉を使わない)、Facebookはセキュリティ目的でそうした情報を収集する必要があると持論を展開した。

議員の1人が、Facebookは非ユーザーの情報をセキュリティ以外の目的で使用することがあるのかと質問したのに対し、ザッカーバーグは明確に答えなかった(後付けしたセキュリティ目的というのは、隠そうとしていることを逆に明らかにするようなものだ)。

ザッカーバーグはまた、非ユーザーはどうやって“データの収集をやめさせる”ことができるのか、という再三の質問も無視した。

話すべきポイントについて隣にいる弁護士の方を向く前に(“他に話しておくべきことはあるだろうか”と尋ねた)、ザッカーバーグは「セキュリティという面で、私たちは人々を守ることは大変重要だと考えている」と素っ気なく述べた。

FacebookにとってCambridge Analyticaの件は、将来あるかもしれないデータ強盗を未然に防ぐのにどうやってプラットフォームを厳重に監視するかということをPRする材料となった。弁護士は、話がCambridge Analyticaに戻るのに不満を表したものの、すぐさまそうしたスキャンダルの危機PR術を行動に移した。

今回の会合ではっきりとしたのは、Facebook創業者のコントロール方法の好みだ。それは、彼が現在訓練中のものだ。

Facebookが欧州の議員と会うことについて同意するのに先立って決められた会合形式の制限により、議員に追及を許可しないというのは明らかにFacebookにとっては好都合なことだった。

ザッカーバーグはまた、それとなくほのめかしたり、時間になったようだと言ったりして何度も会合をたたもうとした。議員はこうしたザッカーバーグのたたみ掛けを無視したため、自分の言うことがすぐさま実行に移されなかったザッカーバーグはかなりの不快感を露わにしていた。

議員から出されたそれぞれの質問について、Facebookから書面による回答を受け入れるかどうかという、議会議長と議員との間で展開されたやり取りをザッカーバーグは見守り、その後に書面で回答することにAntonio Tajani議長とその場で合意することになった。

あらかじめCollinsが議員に警告していたように、Facebookは自らのビジネスのプロセスについての質問に対し、多くの言葉を語りながらその実は何も語っていないという回答方法を十分に練習している。その回答方法というのは、質問されていることの意図や目的を巧みに避けるというものだ。

ザッカーバーグが演じた会合でのショーで見られた自制というのは、明らかに欧州議員がソーシャルメディアに必要だと考えているようなガードレールではない。何人かの議員がザッカーバーグの顔から感じた自制は、効果的ではなかったようだ。

最初に質問した議員はザッカーバーグに謝罪が十分でないとせまった。他の議員は、15年悔恨し続けることになる、と指摘した。

Moraesは、Facebookは欧州の基本的価値観に対し“法的そして道義的責任”を果たす必要があると発言した。Libeの委員長であるMoraesはさらに「GDPRが施行されるEUにあなたは今いることを忘れてはならない。EUのデータ保護法を確認し、また電子上のプライバシーについて考え、EUのユーザーならびに何百万ものEU市民、非ユーザーのプライバシーを守るために、法的そして道義的責任を果たしてほしい」と述べた。

自制、もしくはザッカーバーグがいうところの次善の策であるFacebook流の規則は、欧州議員の規制の話に対し、米議会で述べた言葉で答えるというものだった。その言葉とはこうだ。「ここでの問いは、規制があるべきかどうかだと考えていない。何が正しい規制なのか、ということだと思う」。

「インターネットは人々の暮らしにおいてとても重要なものになりつつある。ある種の規則が重要であり、不可欠のものでもある。ここで重要なのは、この規制を正しいものにすることだ」と彼は続けた。「人々を守る規則体系を有すること、革新の余地があるようフレキシブルであること、今後さらに進化するAIのような新技術を妨げるようなものでないことを確認しておく必要がある」。

彼はスタートアップのことも引き合いに出した。’好ましくない規制‘は将来のザッカーバーグの登場を妨げるものになると言っているのだろう。

もちろん、ザッカーバーグは自身が所有するFacebookというプラットフォームが注意を十分にひく存在であり、我こそはというエントレプレナーがひしめく次世代の中でも飛び抜けた存在であることに言及していない。

ブリュッセルでの会合で、味方をつくったり人々に影響を与えたりする代わりに、彼は欠席するよりももっと失うものがあったようだ。Facebookに適用されるEUの規則を刷新するのを仕事とする人たちを怒らせ、遠ざけたのだ。

皮肉にも、ザッカーバーグが答えたいくつかの質問の一つに、Nigel Farageによるものがある。Facebookが“政治的に中立なプラットフォーム”なのか、1月にアルゴリズムに変更を加えた後、中道右派の発言を差別しているのではないか、といったものだ。Facebookはフェイクニュース監視を行う第三者のファクトチェッカーの名前を明らかにしていない。

つまり、米国の上院と議会でも明白だったが、フェイスブックはあらゆるところから集中砲火を浴びている。

実際のところ、Facebookはファクトチェックのパートナーシップについて情報を開示していない。しかし、ザッカーバーグが大した意味もない質問に限られた時間を費やしたのは、十分に意味するところがある。

Farageは、彼の持ち時間の3分の間に、「Facebookや他のソーシャルメディアの存在なしには、英国のEU離脱やトランプ政権、イタリアの選挙結果はあり得なかった」と述べた。

ザッカーバーグがこの発言についてコメントする時間がなかったのは、滑稽としか言いようがない。

[本文へ]

(翻訳:Mizoguchi)

Facebookの二要素認証がユーザーの電話番号(SMS)を使わないようにできる

Facebookの二要素認証をより安全にするためのオプションが、もうすぐさらに増える。

すなわちFacebookは確認プロセスを単純化して、電話番号の入力を不要にする。同社は今日(米国時間5/24)、Duo SecurityやGoogle Authenticatorのようなサードパーティの認証アプリケーションのサポートを発表し、同時にそのセットアップ過程を簡素化して、それらを容易に使い始められるようにした。

二要素認証(Two-factor authentication, 2FA)は今や広くサポートされているセキュリティ方式で、防御ラインを二重化することによって、通常のログイン認証情報が盗まれても安心できる。第二の防御ラインとしてはSMSからの番号入力がよく使われているが、SIMをハックして別の電話に情報を転送することもありえる。そのハッキング行為はソーシャルエンジニアリング的な手口を使うから、認証用のハードウェアデバイスや、サードパーティのアプリケーションの方がまだ安全だ。

3月には、FacebookのCSO Alex Stamosが、Facebookは二要素認証用の電話番号をスパム行為に利用している、というユーザーのクレームに対して謝罪し、注目を浴びた。同社は、二度といたしませんと言い張ったが、そもそもそれは、ログインに電話番号を利用しなければ起きなかったことだ。

今度の新しいセキュリティ機能は、Facebookの設定ページの“Security and Login”(セキュリティとログイン)のタブで有効にできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Amazonの顔認識ソフトウェアを人権団体がプライバシー侵害で懸念、AMZNは歯牙にもかけず

Amazonは、Rekognitionを隠していたわけではない。2016年の晩(おそ)くに、この巨大ソフトウェア企業は、その顔検出ソフトウェアをAWSの比較的穏やかな記事で紹介し、その技術をすでに、オレゴン州ワシントン郡の保安官事務所が被疑者同定のために採用している、と発表した。

しかし今週、ACLU北部カリフォルニア州支部が、この技術に厳しい光を当て、このサービスが“市民の自由と権利に関する深刻な懸念をもたらす”、とする文書〔複数形〕を入手した、と発表した。

その問題の文書は、ワシントン郡が持つ30万の顔写真データベースと、郡の行政官などがそれらの顔を調べるためのモバイルアプリの存在を、とくに指摘している。また、Amazonはそのサービスの顧客を、ボディーカメラのメーカーなど郡以外にも拡大したい、と請願したとも言っている。

その北部カリフォルニアACLUのブログ記事(上記)を書いた同団体の弁護士Matt Cagleは、別の記事でこう述べている: “誰もが、政府に監視されずに通りを歩けるべきである。Rekognitionのような技術には、監視社会を自動化しこの自由を侵す危険性がある。とくに今日の政治的風土においてすでに不法に標的とされているようなコミュニティ〔複数形〕に、脅威をもたらす。このような強力な監視システムがいったん作られて展開されれば、その弊害を取り除くことはきわめて困難である”。

The Washington Post紙が、このACLUの記事に関して郡の広報担当Jeff Talbotに取材した。その担当官は同紙に対して、その技術は今あるシステムに限定されている、と語った。曰く、“われわれの目標は、防犯に関してわれわれがやっていることを公開して人びとにそれを正しく知ってもらうことだ。そのためにあえて言うならば、それは監視社会でも無差別監視でもない”。

Amazonは、その技術は本質的に人に対して侵襲的ではないか、という本誌の質問をはぐらかした。本誌宛ての社名入り声明で、こう述べている: “技術としてのAmazon Rekogniには現実世界で役に立つアプリケーションがたくさんある。そしてこのようなAIサービスの効用は、今後ますます多くの企業がAmazon Rekognitionのような先進的な技術を使い始めるに伴って、増加する一方である。一部の人びとが技術を悪用するからといって新しい技術を非合法化していたら、今日の私たちの生活の質は今よりずっと悪かったであろう。コンピューターが不法な目的に使われる可能性があるから、お客にコンピューターを買えないようにしたら、どうなっただろうか。AWSのどのサービスもそうであるように、Amazon Rekognitionに関しても私たちは、遵法性と責任ある使い方を顧客に要請している”。

画像クレジット: REMY GABALDA/コントリビューター

[原文へ]
(翻訳:iwatani(a.k.a. hiwa