タグ: プライバシー

【編集部注】執筆者のJose Nazario博士は、Fastlyにてセキュリティリサーチ部門のディレクターを務めており、”Secure Architectures with OpenBSD”や”Defense and Detection Strategies against Internet Worms”の著者でもある。

巨大なテック企業から街角の商店を含め、全ての企業はデジタル企業だ。パートナーやサプライヤーといった関係者から成り立つ大きなエコシステムの存在によって、企業はサービスを提供することができている。そして、日々生活がデジタル化していくのを目の当たりにしている顧客もそこにいる。

デジタルサービスがちゃんと機能するため、もしくは無料であり続けるために、ユーザーデータの収集が必要であると多くの消費者が理解している。例えば、地図サービスで位置情報が把握できなければ、サービスの訴求力が弱まってしまう。つまり便利さとプライバシーはトレードオフの関係にあり、ほとんどの人はそれを問題視していない。そして、トレードオフに関する交渉は、消費者とオンラインサイトまたはオンラインサービスとの間で発生している。

しかし、消費者と直接関わりを持つ企業に対してサービスを提供している企業はどうだろうか？舞台裏で動いているパートナーやサードパーティといった存在のことだ。そのうちの多くが、ISPやクラウドサービス企業、コンテンツデリバリネットワーク（CDN)で、インターネットのトラフィックの45％がこのような企業を介している。オリンピックの映像を途切れることなく高速配信し、ECサイトで何十億件もの決済を処理しているのも彼らなのだ。そして彼らのようなサードパーティも、ユーザーのネット上での行動をトラックし、データとして販売している可能性があるということに多くの消費者は気づいていない。

連邦通信委員会（FCC）は、同意なしにユーザーデータを販売しているISPの取り締まりを行っており、最近CDNにもその目を向けはじめた。しかし、ユーザーデータの悪用を止めるためには、規制が作られるのを待っていれば良いということではない。全てのサードパーティは、自分たちがどのようなデータを集めているかをはっきりと公に開示する道徳的責任を負っている。そして、このような情報は契約がむすばれる前に、消費者や法人顧客に対して提供されるべきだ。さらに各企業は、このような消費者中心の個人情報の取扱方法に従うよう、関係するサードパーティに対して強く求めるべきである。

ユーザーデータは少ないほど良い

ユーザーデータの収集は、むしろ善意に基いてはじめられるケースもある。例えばオンラインサービスでは、ユーザーがモバイル端末とデスクトップ端末のどちらを利用してサイトにアクセスしているかというのを知ることで、ユーザーエクスペリエンスを向上させることができる。しかし、オンラインサービスが性別などの人口統計情報を集め出し、消費者にとっては少しパーソナライズされ過ぎているとも映るようなコンテンツを表示するようになると、ユーザーデータの収集・保管に悪意を感じるようになる。

プロバイダは、保管するユーザーデータの量が減ることで、時間と共にその利点を感じられるようになるだろう。もしもプロバイダがユーザーデータを保管しなければ、政府からデータ提出要請を受けても、提出できるデータがないことになる。さらに、サイバーアタックやデータ漏洩から守らなければならないデータの量も減少する。ISP・CDNに関しては特に、ユーザーデータ無しでも何ら問題なく業務を行うことができるのだ。

透明性を向上させユーザーにデータコントロールを返上せよ

Pew Researchの調査によれば、90％以上の大人が、自分たちのデータを企業がオンラインでどのように収集し共有するかに関してコントロールを失ってしまったと感じている。ユーザーデータのアクセス権やデータ保管の期間、また広告をパーソナライズするため、どのようにデータが結合・再構成されるかなどについて、近いうちに企業はユーザーへ情報を開示するよう義務付けられることになるだろう。テック企業最大手のGoogleが、ユーザーデータ収集周りの透明性向上に向けた動きを先導しており、同社のサービスでは、ユーザーがどの情報が共有されても良く、どの情報は共有して欲しくないかというのを簡単に選べるようになっている。

企業が失うものとは？

企業がどのようなデータを収集・販売することができ、どのくらいの期間データを保管できるかについては、まだ法整備が進んでいない。現存する規制も州によってまちまちで、内容もそこまで厳しくはない。しかし、企業がデータ収集を収益源とするのは賢明ではないだろう。オンライン広告ブロッカーが普及していく中、市場ではすでに自己補正の動きが見えはじめている。さらに、ISPのデータ収集量を削減しようとする動きを、FCCは止めないかもしれない。

サードパーティの中には、消費者と直接関わりを持つ企業が受け取った承諾の影に隠れていることに満足している企業がいる一方で、それではいけないとちゃんと感じている企業も存在する。この曖昧な承諾が現状なのかもしれないが、これもそう長くは続かないだろう。今こそ、全てのサードパーティに対してユーザーデータ保護の水準を高く保ち、データ利用の目的を開示するよう求めるべきだ。自分たちのサービスにとって必須ではないユーザーデータを収集・共有・販売したいという気持ちに打ち克った企業こそが、最終的に日の目を見るのだ。

［原文へ］

（翻訳：Atsushi Yukutake/ Twitter）

時折ある企業がある市場でそれ以外にないというタイミングで事業を展開することがある。政府のスパイ活動や、データ漏洩、ハッキングや個人情報の盗難などオンライン上での脅威が次々と明らかになったことをうけ、今では4000以上もの顧客を抱えるメール・ファイル暗号化サービスのVirtruが、米国時間8月22日にシリーズAで2900万ドルを調達したと発表した。

Bessemer Venture Partnersがリードインベスターとなった今回のラウンドには、New Enterprise Associates（NEA）やSoros Fund Management（億万長者のジョージ・ソロスをトップとする投資会社。彼はさらに、透明性が高く寛容な民主主義を推し進める人権主義団体Open Society Foundationsの理事も務めている）のほか、Haystack Partners、Quadrant Capital Advisors、Blue Delta Capitalらが参加した。

投資ラウンド以外にも、Sonatypeの現CEOかつSourcefireの元CEO Wayne JacksonがVirtruの取締役に就任することが発表された。彼は今後、BVPのパートナーでありVeriSign、Good Technology、Defense.netといったサイバーセキュリティ企業を共同設立してきたDavid Cowanや、Authentic8のCEOであり過去にメールセキュリティ企業Postiniを設立したScott Petryらと取締役を務めることとなる。

Virtruを2014年に設立したAckerly兄弟（John AckerlyとWill Ackerly）は、どちらも公共セクターでテクノロジーに関わる仕事をしていた。具体的には、WillはNSA（アメリカ国家安全保障局）でクラウドセキュリティエンジニアとして勤務しており、Johnはプライベート・エクイティ・ファンドに参加する前にホワイトハウスに対してデジタルプライバシーを含む、テクノロジー関連の問題のアドバイザーを務めていた。

ふたりは当初、日常的に使われているアプリケーションのセキュリティやプライバシー保護機能を向上させるというアイディアを持っており、一般ユーザーが簡単に実装できるような方法を模索していた。彼らにとってのデビュー作となる製品は、Gmailなどの人気メールサービスに対応したChromeとFirexfox用の拡張機能だった。これによってユーザーは、メールのエンドツーエンド暗号化のほか、メールを受け手の受信箱から一定期間の後に自動削除することや、送信したメールを転送できなくすることができたのだ。

その後Virtruは、自社の暗号化やアクセス制限、データ損失防止（DLP）といった技術をGmail、Google Drive、Yahoo、Outlook（2010、2013、2016に対応）などのサービスへ組み込んでいった。さらに同社はスタンドアローンのメールアプリをGoogle PlayとiTunes App Store上で配布している。今回調達した資金は、Microsoft Office 365のようなクラウドプラットフォームへのサービス拡充のほか、ソフトウェアディベロッパーが自分たちのアプリにVirtruを組み込めるようSDKやAPIの開発に利用される予定だ。

Virtuの「サービスとしての暗号化」アーキテクチャは、Willが開発したオープンソーステクノロジーであるTrusted Data Format（TDF）上に成り立っており、ユーザーはTDFでコンテンツオブジェクトを包み込むことで、アクセス権を持つ人にだけファイルの中身を公開することができる。さらにユーザーは自分で暗号キーを管理することができ、ファイルが開封・共有された後でも受け手のアクセス権を無効化することができる。

今年に入ってから同社は新機能を導入し、メールやファイル内の暗号化されたコンテンツの秘匿検索や、ハードウェアベースの暗号鍵などがサービスに追加されたほか、SDKの配布もスタートした。

Virtruのテクノロジーが評価されている理由は、セキュリティの度合いではなく（John自身、オンラインコミュニケーションにおいてもっとセキュリティを高める方法があると以前認めていた）その使いやすさと価格にある。Virtruは誰でも使い方を理解できるくらいシンプルで、かつ様々なプラットフォームに対応している。さらに個人利用の場合は無料で、プロ・商用についても良心的な価格設定（月額5ドル）がされている。

そもそもの製品アイディアは、一般ユーザーのために情報セキュリティを簡素化するというものであったが、現在Virtruは個人に加えて多くの企業に利用されている。企業はVirtruを使って簡単にGmail、Google Drive、Google Appsなどのセキュリティや暗号化機能を向上させることができるほか、知的財産の保護やCJIS、CFPB、HIPAAなどの規制対応にもVirtruを利用している。また、現在Virtruは、メディア、エンターテイメント、政府、医療、金融、製造などの業界にサービスを売り込んでいる。

スタートアップの資金調達に影響を与える引き締めが行われている中での今回のラウンドは、特に今年のはじめに投資資金が「枯渇する」と言われていた競争の激しいサイバーセキュリティ業界での出来事だったため注目に値する。BVPのCowanは当時、同業界に参入してくるスタートアップの多くが、既に市場に出ている技術を真似ているか、ハッカーが既に回避方法を知っている製品を販売していると語っていた。結果としてスタートアップ各社は資金調達に時間がかかり、支出を抑えるかイグジットを模索せざるを得なかったのだ。しかし、Virtruはしばらくの間そのような問題に悩まされなくて良さそうだ。

「銀行や病院、学校、雇用主そして政府に個人情報を渡した途端、私たちのプライバシー保護は彼らの情報セキュリティ頼みになってしまいます。Virtruのメール・ファイル暗号化サービスの成功は、ビジネスシーンでのプライバシー保護に新たな基準が生まれようとしていることを表しているのです」とCowanは声明の中で述べていた。

［原文へ］

（翻訳：Atsushi Yukutake/ Twitter）