ユーザーを騙すダーク・パターンを禁じる超党派法案を米議会に提出

テクノロジー企業が使う非常に不愉快なUIデザインの一つ、ダーク・パターンを禁止しようとする法案が米議会に超党派で提案された。ダーク・パターンは、ユーザーを知らず知らずのうちに望む方向に誘導しようとする悪質なデザインだ。多くの場合開発者はプライバシーの保護を無効化し、ユーザーの個人情報に自由にアクセスできるようにすることを狙っている。

Facebookの共同ファウンダーでCEOであるマーク・ザッカーバーグ氏の議会証言1週年を記念して、Mark Warner(民主党、バージニア州選出)とDeb Fischer(共和党、ネブラスカ州選出)の両上院議員は Deceptive Experiences To Online Users Reduction(欺瞞的オンライン・ユーザー体験の防止)という法案を提出した。DETOUR(迂回路)という頭文字語にごろを合わせるためにはいささか幅広すぎる法案名になっているが、ともあれ狙いは「何千万というユーザーの自己決定を誤らせ、プライバシーを放棄させようとして故意に紛らわしいユーザーインターフェイスを用いることを防止する」ことにある。法案の全文は記事末に添付した。

法案が議会を通過するには非常に複雑な手続きを経なければならないので今後の展開は不明だが、 この問題を扱うのに最適な政府機関はなんといってもFTC(連邦通信委員会)だろう。FTCはダーク・パターンを禁じるガイドラインを制定し、違反者には制裁金を課すことができる。昨年、ノルウェーの消費者保護活動グループがこの問題について調査したレポートによれば、米国でプライバシー保護活動を行う8団体もFTCに対策を取るよう要求している。

法案はダーク・パターン以外にも、13歳未満の児童を「強迫的なオンライン利用」に誘導するようなデザインや明示的承諾なしにユーザーの行動を調査する実験を行うことも禁じている。法案に示されたガイドラインによれば、大規模なテクノロジー企業は社内にコンプライアンスに関するレビューを行う委員会を設けなければならない。Institutional Review BoardないしIRBとして知られるこの種の委員会は製薬会社や医療機関に設置されて人間に対する実験に関してきめて強力な監督権限を持っている。

以下は法案の全文。

【日本版】カット画像はダーク・パターンUIの典型を説明したもの。「オプトインする、オプトアウトしない、オプトインしないことはしない」とオプションが並んでいるが、どの選択肢を選んでもユーザーはオプトインさせられてしまう。

原文へ

(翻訳:滑川海彦@Facebook

Facebookの個人情報保護はまだ不十分、とドイツ司法大臣

ドイツの司法大臣はFacebookの個人情報流出問題に関して、サードパーティデベロッパーや他の外部プロバイダーがFacebookの情報を誤った形で使用することができないよう、内部統制と罰則を盛り込んだプラットフォームを要求する書簡をFacebookに送った。サードパーティがプラットフォームポリシーを遵守し、ルール違反した場合には厳しい罰則を課すことを求めている。

地元メディアに全内容が掲載されたこの手紙は、ロンドンのオブザーバー紙とNYタイムズが3月中旬にスクープして以来、Facebookが集中砲火を浴びている個人情報流出問題をさらに追求するものだ。このスクープ報道は、Cambridge AnalyticaがFacebookユーザー8700万人の個人情報をどうやって入手して選挙で不正利用したか、詳細を白日の下にさらした。

Facebook創業者でCEOのマーク・ザッカーバーグに宛てた書簡で、カタリーナ・バーレー司法大臣は、ユーザーのプライバシーに関してFacebookが最近とった対策について、“データディーラー”との協業を制限するのは“いいスタート”と評するなど歓迎の意を表明した。

しかし、バーレー司法大臣はFacebookにさらなる対応を求めている。データと利用者の保護という観点で一連の“必要不可欠な措置”をとるべき、というものだ。

大臣はまた、ドイツそして欧州におけるデータと消費者保護という点で、今回のCambridge Analyticaスキャンダルに伴いFacebookは長期の批判にさらされることになるとしている。加えて、Facebookの情報の扱いについてさまざまな告訴がなされたことも示唆している。

「遺憾ではあるが、Facebookはこれまで批判に対し十分に対応してこなかった」(Google Translateによる翻訳)。さらに「Facebookはデータ収集とデータの使用を拡大させ続けてきた。これは、プライバシー、そしてユーザーやサードパーティの自己決定を犠牲にしているものだ」と記している。

そして「必要なのは、Facebookが企業責任を果たし、抜本的に見直すことだ」と手紙を結んでいる。「(ザッカーバーグ氏は)インタビューや広告の中で、EUの新たな情報保護法はソーシャルネットワークにとって世界のスタンダードだ、と述べている。残念なことに、こうした考えをFacebookが履行しているかははなはだ疑問だ」と批判。さらに、EUの法律が適用されることがないよう、15億人にものぼる世界のユーザーのデータ操作ステータスを変更するとしたFacebookの決断についても懸念を示し、「だからこそ今後もFacebookが行うことを注視していく」と述べている。

Cambridge AnalyticaがFacebookの個人情報を使用していたという暴露が、Facebookにとって世界的なプライバシー問題へと発展して以来、同社はプラットフォーム上でのデータ保護を実行するためいくつかの見直しを明らかにした。

しかし、実際のところ、Facebookが発表したこの見直しのほとんどは、5月25日に施行されるEU一般データ保護規則(GDPR)への対応として少なくとも数カ月も前から準備が進められていたものだった。

にもかかわらず、Facebookの打ち出した策はプライバシー問題の専門家から手厳しく批判されている。GDPRに十分に対応しているものではなく、GDPRが適用されれば法的な問題とを引き起こす、とみている。

例えば、Facebookが先月発表した新たな同意の流れというのは、意図的な操作とみなされ、少なくとも新ルールの精神に反するものだと批判されている。

バーレー大臣はこうした批判を手紙の中で取り上げ、Facebookに下記の点を実行するよう、具体的に求めている。

・ユーザーにとっての透明性を高める

・ユーザーデータの取り扱いでの真のコントロール

・当然あるべきプライバシーと、Facebookのエコシステムへの同意についての厳密なコンプライアンス

・客観的、中立的、そして排他的でなく、ごまかしもないアルゴリズム

・設定や使用についてのユーザーの自由な選択

同意については、大臣はGDPR下では、Facebookはデータ使用ごとにユーザーの同意を得る必要があることを強調している。一括同意ですべての点で同意を得た、というふうにはできないというものだ。

これは、明らかにFacebookがいまやろうとしていることだ。例えば、欧州のユーザーに顔認証を選択するかどうかをたずねるとき、これによりユーザーの写真を外部の人が勝手に使用するのを防ぐことができるかもしれない、また、視覚障害を抱える人にとって助けとなるかもしれないと案内している。しかし、Facebookが必ず行う商業利用への同意の中には具体的な例は示されていない。

大臣はまた、GDPRではプライバシーをデフォルテ設定し、データの収集を最低限に抑えることが要求されると強調。GDPRに従うには、全てのデータ処理を見直す必要があるという主張だ。

“友達”からのデータ移送は、それぞれのケースで明白な同意の元行われるべきだ、とも述べている(2014年にデベロッパーがFacebookのプラットフォーム上でユーザー8700万人分のデータを収集してCambridge Analyticaに情報を流していたとき、同意は欠落していた)。

さらに、バーレー大臣ははっきりとFacebookに対し、シャドウプロファイルを作るべきではないと警告している。このシャドウプロファイル問題は先月、米議会がザッカーバーグ氏を呼んでただすなど、法的問題となっている。

Facebookは自社の開発者会議f8で、これまで同社が収集していたユーザーのブラウズ履歴を削除できるボタンを導入すると発表した。しかしこれは単に矛盾を強調するだけのものだ。Facebookによって追跡されている非ユーザーはこの削除ボタンを利用できないし、そもそも追跡などしないでくれとFacebookに言うこともできないからだ。

Facebookが、この非ユーザーのデータから発生した情報をどう扱っているのか明らかでもない。

確かに、このブラウズ履歴削除ボタンをクリックすることで、ユーザーは閲覧したサイトの履歴を消去することはできるだろう。しかしそれは、データから収集されたものを全て消去する、ということにはならない(おそらく見えないプロファイルに追加され、広告戦略目的に使用される)。

履歴削除のボタンは、FacebooknのPRにすぎない、と言ってもいいだろう。「ユーザーにしかるべき操作機能を提供している」と言えるようにする。これは、議員の追及をかわす戦略の一つなのだ(先月の米国議会でのやり取りは全く誠実さに欠けるもので、英国議会でもおおっぴらに批判された)。

TechCrunchでも、この履歴削除がどのように働くのか、なぜ導入するのかといった質問をFacebookに送っている。なぜなら、このボタンはデータ追跡を完全にブロックする機能を持っていないからだ。2日間にわたりこうした内容の電子メールを送っているが、Facebookからまだ一切返事はない。

主なWebサービスで使われているトラッキングピクセルやソーシャルプラグインを通じて集められた非ユーザーのデータの扱いをEUの規則に照らすと、Facebookはすでに苦境に陥っている。GDPRが施行されると、同意なくデータを利用するのは、そのアプローチを大幅に見直さない限り、明らかに大きな問題となる。

バーレー大臣は手紙の中で、政治的影響や意見操作を目的とする誤ったFacebookプラットフォームの使い方についても懸念を示している。そうした乱用や巧妙な操作の可能性を排除するため(例えばフェイクアカウントやソーシャルボットなど)、テクニカル面そして組織的面においてあらゆる方策をとる必要があると指摘する。その際は、客観的で中立的、そして排他的でないアルゴリズムを確保するよう述べている。

大臣はまた、独立したレビューを可能にするためにも対策をすべて開示するようFacebookに求めている。

Facebookは巨大だ。WhatsAppやInstagramといった人気のプラットフォームを傘下に抱え、効率的に収益を上げるエコシステムを急速に拡張してオフサイト追跡を展開している。バーレー大臣に言わせると、このエコシステムはドイツ、そして欧州のユーザーのプライバシーや自己決定権を犠牲にしているものとなる。

Facebookは大臣の手紙に対するコメントを複数から求められているが、この記事の執筆時点では応じていない。

[原文へ]

(翻訳:Mizoguchi)

IoTの普及によるプライバシー侵害の脅威

iot

【編集部注】執筆者のChristine Bannanは、2016年度のEdelson PC Consumer Privacy Scholarship奨学生で、ノートルダム大学ロースクールの第三学年に所属。Electronic Frontier Foundationリーガルインターン。

モノのインターネット(IoT)が普及する中、消費者は企業による監視やデータ漏えいに屈しないためにも、セキュリティや個人情報保護対策の改善を訴えなければならない。しかし、変化を訴える前に消費者はまず現状を知る必要があり、そのためには各企業の透明性の向上が必要になってくる。

IoTの最も危険な部分は、消費者がどんなデータがどのような経路で集められているかわからないため、気付かないうちに少しずつ個人情報をさらけ出してしまっているということだ。モバイルアプリやウェアラブルデバイス、その他のWi-Fiに接続された製品が市場の「スマートじゃない」デバイスを代替していくにつれ、消費者は自分たちを監視する機能を備えた製品しか購入できなくなってしまっている。消費者にとって家電をアップグレードすること自体は普通のことだが、新しいデバイスが自分たちを監視することになるとは気付かないことがほとんどだ。

先日、電子フロンティア財団(Electronic Frontier Foundation、EFF)に所属する活動家が、Samsung製Smart TVのプライバシーポリシーとジョージ・オーウェルの「1984」内の一節との不安になるような類似点をツイート上で指摘した。Samsungのプライバシーポリシーには、消費者に対して製品の近くで公にできないような内容の会話をしないようにという注意書きがされていたため批判が殺到し、Samsungは問題となったプライバシーポリシーを変更の上、Smart TVのデータ収集方法について明らかにしなければならなかった

しかし、ほとんどの人が購入したデバイスやダウンロードしたアプリのプライバシーポリシーを読まないばかりか、もし読もうとしてもポリシーのほとんどが法律用語で構成されているので、普通の消費者には理解できないようになっている。同様に理解不可能な利用規約がデバイスには通常同梱されていて、そこには消費者が製品で損害を被ったとしても裁判所で争うことができないように強制的仲裁条項が含まれているのだ。その結果、消費者のプライバシーは損なわれ、本当の意味での改善策もない状態で放置されてしまっている。

企業の透明性の向上は急を要する課題であり、IoTを利用する消費者のプライバシー向上のための施策の基礎となってくるだろう。そして企業の透明性の向上は、業界の自主規制か政府による規制にもとづいて、各企業がデータを収集する前に消費者から十分な情報提供に基づいた同意を得なければならないようにすることで実現できるだろう。

消費者はどのようなデータが集められ、それがどのように利用されているかという情報を要求しなければいけない。

ほとんどの場合、消費者がプライバシーの向上を求めれば業界団体がそれに応じるだろう。例えば、新車購入者がスマートカーのセキュリティや個人情報の扱いに不安を抱いているという調査結果への対応として、自動車工業会(Alliance of Automobile Manufacturers:自動車メーカー12社から成る業界団体)はプライバシーに関する基本原則をつくり、各社が従うことになった。

企業は業界全体で通用するサイバーセキュリティや保有データの最小化に関するベストプラクティスを構築し採択することで自己規制を行うことができる。ユーザーデータを収集するのであれば、収集する側の企業がデータ保護の責任を負わなければならない。逆に言えば、データ保護の責務を負いたくないのであれば、最初からデータを集めなければいいのだ。

Fitbitのように、自社のテクノロジーとプライバシー情報が密接に絡み合った企業も存在する。業界毎の自己規制を導入する利点は、顧客のニーズや集めるデータの敏感さに基づいた各業界の基準を設定できることにある。

多層構造のプライバシーポリシーこそ多くの企業で採択されるべきベストプラクティスで、クリエイティブ・コモンズ・ライセンスがその良いモデルとなり得る。クリエイティブ・コモンズ・ライセンスは、「法典」レイヤー、「一般人が理解できる」レイヤー、「機械が理解できる」レイヤーの3つの層から構成されている。

「法典」レイヤーは、実際のポリシーとして弁護士によって制定され、裁判官が参照することになるもの。「一般人が理解できる」レイヤーは、平均的な消費者が理解できるように、プライバシーポリシーを平易な文章で簡潔にまとめたもの。そして「機械が理解できる」レイヤーは、ソフトウェアやサーチエンジン、その他のテクノロジーが理解できるようなコードを指し、消費者が許可した情報にのみアクセスできるように設定されたものになるだろう。

このようなベストプラクティスは、消費者のプライバシーを保護する上で大きな進歩となるだろうが、それでも十分とは言えない。さらに企業が消費者との約束に法的責任を負うようにならなければいけないのだ。多くの業界で、利用規約に紛争前の強制的仲裁条項を含むのが一般的になっている。この条項によって、消費者は裁判で賠償を求めることができなくなってしまうものの、このような条項は判読できないほど小さく印刷されており、消費者はそれに気付かない場合がほとんどだ。

また、消費者金融保護局(Consumer Financial Protection Bureau)によって、集団訴訟を禁じた仲裁条項がさらに公益を害していることが判明した。というのも、裁判を通じて企業で何が行われているかを知るようになることが多いため、訴訟無しでは消費者がそのような情報を手に入れることができないのだ。そのため当局は、大方の消費者向け金融商品やサービスについて強制仲裁条項を禁じることを提案した

教育省も私立の教育機関に対して、紛争前強制的仲裁契約の利用を禁止し、彼らの食い物にされてしまっている生徒に学校を訴える権利を与える制度を提議した。連邦取引委員会も、IoT製品を扱う企業による紛争前強制的仲裁契約の利用を禁じるような制度の発案を検討すべきだ。

この問題は無数の業界に関係し、様々なプライバシー問題に示唆を与えるとても複雑なものであるため、有効な解決策を考案するにあたって、消費者、企業、政府の3者が協力し合わなければならない。消費者はどのようなデータが集められ、それがどのように利用されているかという情報を要求しなければいけないし、企業は消費者の期待に沿ったベストプラクティスを構築する必要がある。

そして連邦取引委員会は、自社で策定したプライバシーポリシーに反する企業に対して、不正を正し、消費者への説明責任を果たさせるような法的措置をとるべきだ。さらにはプライバシーが侵されたときに消費者が訴因を持てるよう、紛争前強制的仲裁条項の禁止についての検討を行うことにも期待したい。

しかしそれよりも前に、消費者はIoTデバイスがどのようなデータを集めているのかについて知ろうとしなければならない。

原文へ

(翻訳:Atsushi Yukutake/ Twitter