英国のEU離脱を受けFacebookが同国の個人データをEU個人情報保護法の管轄外へ移転

英国の欧州連合(EU)離脱による取引条件の変更が迫る中、Facebook(フェイスブック)は、先行したGoogle(グーグル)に倣って(未訳記事)、英国の数千万人にのぼるユーザーの個人データを、EUの個人情報保護法の管轄外となる米国(そのような包括的な個人情報保護の枠組みを持たない)に2021年に移動させることになっていると、米国時間12月15日にReuters(ロイター)が報じた

この切り替えを認めたフェイスブックは、ロイターに次のように述べている。「他の企業と同様に、フェイスブックはBrexit(英国のEU離脱)に対応するための変更を行う必要があったので、フェイスブックアイルランドから(米国の)Facebook Inc.(フェイスブック・インク)に、英国のユーザーのための法的責任と義務を移転することになります」。

「プライバシー管理やフェイスブックが英国の人々に提供するサービスに変更はありません」とフェイスブックは付け加え、EUから米国への移行は、データとプライバシーの法的保護において大幅な格下げを必然的に伴うという事実を無視した表現を用いている。

ロイターによると、フェイスブックは今後6カ月以内にこの切り替えについてユーザーに通知するという。この法的な変更に不満がある場合、ユーザーはInstagram(インスタグラム)やWhatsApp(ワッツアップ)も含むフェイスブックが提供するサービスの使用を停止する「選択肢」が与えられる。

グーグルが2月に(未訳記事)英国のユーザーに関して同様の法的移行を発表したときにお伝えしたように、EU子会社から米国に移動させるという動きは、EUの基準から離れることを決めた英国の国民投票の結果を受けてのものだ。そのEUの基準の中には、長年維持されてきたデータ保護の枠組みも含まれる。

Brexit移行期間の終了まであと数日となった現在、英国がEUとの貿易協定を得るのか、それとも協定なしで離脱するのかはまだ不明だ。後者の場合、英国はEUからデータの適切性に関する協定も得られない可能性が高まり、データ保護基準に関する将来の乖離が生じやすくなる(EU・英国間における摩擦のないデータフローの維持に向け、継続的な協力を行うための「ニンジン」がないため)。

英国はまた、データを活用した経済復興を望んでいることを明らかにし、9月に(未訳記事)「国家データ戦略」を発表した。これは新型コロナウイルス感染拡大時におけるデータ共有を、復興後の新たな基準とするものだ。

この文書で、英国政府は「国内のベストプラクティスを推進し、国際的なパートナーと協力して、データが国境や分断された規制体制によって不適切な制約を受けないようにして、その潜在能力を最大限に活用できるようにする」ことを計画していると述べている。これはデータ保護の概念全体に影を落とすものだ。

それ以来、プライバシーの専門家たちは、(EU離脱後の)日英貿易協定が英国の既存のデータ保護体制(これはいまのところ、転換されたEUの規定に基づいている)を弱体化させており、Open Rights Group(オープン・ライツ・グループ)が2020年11月に警告した(Open Rights Groupブログ)ように、「データ保護の取り決めが弱い、または自主的に行っている」国への個人データの流出を可能にするおそれがあると、懸念を表明している(Open Rights Groupブログ)。

米国は、データ保護のための包括的な枠組みを欠いている国の1つだ。カリフォルニア州は独自の消費者プライバシー法を可決し、11月には住民投票でこの制度を強化することを決めている。しかし、連邦レベルではGDPR(EU一般データ保護規則)に相当するものはまだない。

英国のEU離脱後の基準がどこに向かっているのかという不確実性が非常に強いため、グーグルやフェイスブックのような大手テック企業が、EUのプライバシー規則の下における責任を軽減する機会を得ようとしていることは不思議ではない。フェイスブックの場合、ダブリンにある子会社の管轄から4500万以上の英国ユーザーを削除することになる。

ヨーロッパの最高裁判所が下した最近の「シュレムスII」判決(未訳記事)もまた、個人データをEUから米国へ転送することに関する法的リスクと不確実性を増大(未訳記事)させており、フェイスブックにその英国における契約条件を再構築するためのもう1つの潜在的な理由を与えている。

もちろん、英国のユーザーが失うプライバシー保護を考えれば、これはあまり良いことではない。

しかし、今回問題なのは、巨大テック企業ではなくBrexitの方だ。Brexitはこの場合、英国のユーザーは2021年から、自分たちの政府が米国のような国と貿易取引を結ぶために、国家のプライバシー基準を廃棄すると決めないように祈らなければならないことを意味する。フェイスブックが自分たちのプライバシーの利益に気を配ってくれると信じつつ(未訳紀伊J)。

そう、英国のデータ保護法は適用され続ける。幸運(未訳記事)にも英国個人情報保護監督機関(未訳記事)があなたの権利のために立ち上がってくれたらだが。

しかし、EUの法律によって定められている包括的な保証は2021年に消え失せる。

2018年に成立した米国のクラウド法(未訳記事)では、すでにインターネットサービスの利用者に関するデータを、捜査目的などで英米の機関が容易にやり取りできるようになっている。

その一方で英国政府には、監視社会(未訳記事)や暗号化への攻撃(未訳記事)に対する憂慮を巻き起こした実績もある。

英国が新たに打ち出した、インターネットサービスを規制する「子供の安全に焦点を当てた(未訳記事)」計画では、コンテンツ監視やIDチェックを義務づけるため、強力な暗号化を使用しないようにデジタルサービスに圧力をかけているようにも見える。

つまり、Brexitとは、簡単にいえば、英国人のプライバシーとオンラインの自由を速やかに減らし、データの分野におけるコントロールを取り戻すことの反対を意味するようになっているということだ。

関連記事
カリフォルニア州消費者プライバシー法が1月1日に発効
英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

カテゴリー:ネットサービス
タグ:イギリスEUFacebookGoogleプライバシー個人情報GDRPBrexit

画像クレジット:Justin Sullivan / Getty Images

原文へ

(翻訳:TechCrunch Japan)

新型コロナ追跡アプリのデータを豪情報当局が「付随的」に収集していたことが明らかに

オーストラリアの情報機関が、新型コロナウイルス接触追跡アプリCOVIDSafeの立ち上げから6カ月間にわたって「付随的」にデータを収集していたことを政府の監視当局が発見した。

政府のスパイ・盗聴機関を監督する豪政府の情報活動コミュニティ監察官が米国時間11月23日に公開したレポートには、アプリデータが「他のデータを合法的に収集する過程」で入手された、と書かれている。

しかし監視当局は、機関が「COVIDアプリのデータを暗号化前の状態に戻したり、アクセスしたり、使ったりした」という証拠はないと述べた。

付随的な収集は、故意に狙ってはいなかったものの幅広い情報収集の一環として入手したデータを表現するのにスパイがよく使う言葉だ。この手の情報収集はアクシデント的なものではなく、スパイ機関がたとえば膨大な量のデータを運ぶ光ファイバーケーブルに侵入した結果だったりする。豪政府の広報官はこのニュースを最初に報じたメディア(iTnews記事)に対し、付随的な収集は「令状執行」の結果としてもあり得ることだ、と語った。

報道では、付随的な収集がいつ止まったのかについては言及していなかったが、情報機関が「法を遵守するために積極的な行動を取り、データは実行可能になり次第、早急に削除される」と具体的な日付なしで報じた。

政府の情報機関がCOVID-19接触追跡データにアクセスできるかもしれない、というのはあり得る最悪の結果だ。

新型コロナウイルスのパンデミックが始まって以来、国々、そして米国などの国の各州はウイルス感染拡大を阻止するために接触追跡アプリの構築を急いだ。しかしこれらのアプリは機能とプライバシーという点においてかなり差がある。

大半のアプリは、ユーザーが接触したかもしれない感染者を追跡するのにBluetoothを使ったプライバシー尊重のアプローチを取った。またアプリの多くは、数百人もの学者が支援したApple(アップル)とGoogle(グーグル)のシステムを実装することを選んだ。しかしイスラエルやパキスタンのように一部の国は、位置情報を追跡するなどプライバシーを侵害するようなテクニックを活用している。この手法は、政府が人々の所在を監視するのに使うことができる。イスラエルの場合、追跡が大きな議論を巻き起こし、裁判所はアプリ閉鎖を命じた。

オーストラリアの監視当局は、どういうデータが情報機関によって収集されたのか具体的に示さなかった。アプリはBluetoothを活用しており、位置情報は使っていない。しかし、感染者と接触した可能性のある人に政府の衛生当局が連絡できるよう、アプリユーザーは名前や年齢、郵便番号、電話番号などの個人情報をアップロードする必要がある。

豪州ではこれまでに新型コロナの感染者2万7800人超、死者900人超が確認されている。

関連記事:AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

カテゴリー:セキュリティ
タグ:新型コロナウイルスCOVID-19オーストラリア個人情報プライバシー接触者追跡

画像クレジット:Icon Sportswire / Getty Images

原文へ

(翻訳:Mizoguchi

Amazonが同社以外の店舗における購入データを消費者から買い取るプログラムを開始

米国Amazon(アマゾン)は、Amazon.com以外で何を買ったかに関する情報を提示し、簡単なアンケートに答えた利用者に直接報酬を支払うという新しいプログラムを立ち上げた。Amazon Shopper Panel(アマゾン・ショッパー・パネル)と呼ばれるこのプログラムの参加者は食料品店、デパート、ドラッグストア、映画館、テーマパーク、レストランなどの娯楽施設(営業している場合)など、アマゾン以外の店舗で買い物をした際のレシートを1カ月に10件送付することが求められる。

Whole Foods、Amazon Go、Amazon Four Star、Amazon Booksといったアマゾン傘下の店舗は対象外となっている。

このプログラムに参加したい人は、iOSAndroid用に新しくローンチされたAmazon Shopper Panelモバイルアプリを使い、紙のレシートなら写真を撮影して、またはメールで送られてきたレシートなら転送の形でreceipts@panel.amazon.comに送付すると、10ドル(約1050円)の報酬を得ることができる。これは自分のAmazon Balance(アマゾン・バランス、日本ではアマゾンチャージに相当)に追加するか、慈善事業への寄付に使える。

アマゾンによれば、すべてのアンケートに答えることで、毎月さらなる報酬が利用者に支払われるという。これはオプションだが、興味のあるブランドや製品、それをどれほど買いたいと思うかといった内容だ。また、広告について感想を聞くアンケートもある。報酬額はアンケートごとに異なる。

このプログラムは、現在は米国の消費者のみを対象として、招待され登録した人だけが参加できる。招待された参加者は、新しくローンチされたAmazon Shopper Panelアプリがダウンロードできるようになり、パネルの一員となる。招待者以外でこのプログラムに興味のある人も、予約リストに登録して招待を待つことができる。

画像クレジット:Amazon

処方箋の内容など、個人的な機密情報は削除されるとアマゾンは述べている。ただし、一般的な個人情報は削除せず、現在のプライバシーポリシーに準拠するかたちで保管される。参加者が望むなら、すでにアップロードしたレシートを削除することも可能だ。

消費者パネルはよく行われている活動だが、アマゾンのパネルには、取得したデータをいろいろなかたちに役立てる計画がある。

アマゾンのウェブサイトには、消費者のデータをAmazon.comとWhole Food Marketの品揃えの改善、さらにPrime Video(プライム・ビデオ)といったアマゾンのサービスで提供されるコンテンツの内容の改善に「使用する可能性がある」とある。

またアマゾンは、収集したデータを広告主が、広告と製品の購入との集団レベルでの関連性を知るために役立てたり、どの消費者グループがどのような製品に興味を持つかに関するモデルをアマゾンが構築する助けにするとも話している。既存の製品のフィードバックを得られるよう、データをブランドに提供する場合もあると同社はウェブサイトで触れている。

画像クレジット:Amazon

このプログラムは、米国内外での消費者の購入情報の使用法を巡り、アマゾンの競争を阻害するビジネス手法に対する監視の目が強まったことを受けて立ち上げられたものだ。

アマゾンが外部小売業者の販売データを自社のプライベートブランドの事業に役立ててきたその手法(CNBC記事)を、米国の規制当局は激しく非難している。同社CEOのJeff Bezos(ジェフ・ベゾス)氏は、2020年7月に米国連邦議会で証言を行い、アマゾンにはそれを行わないというポリシーがあるが、そのポリシーに違反したか否かを確認する手段がない(The Washington Post記事)と話した。アマゾンはまた、EUでの事業において独占禁止法違反(The Wall Street Journal記事)で起訴されるおそれもにも直面(Reuters記事)している。

そんな中でアマゾンは、広告事業への投資を増やし続け、第1四半期は前年比で44%増、39億1000万ドル(約4120億円)に達した。この伸び率は、総額ではまったく及ばないものの、Google(グーグル)の13%、Facebook(フェイスブック)の17%よりも大きい。ちなみにDigiday(ディジデイ)の記事によると、グーグルの広告事業費は同じ第1四半期で280億ドル(約3兆円)、フェイスブックは174億ドル(約1兆8000億円)となっている。

パンデミックによってeコマースへの移行が5年分ほど早まったこともあり、アマゾンのより効率的な広告スペースへの必要性も加速化された。そのため、自社のウェブサイトから直接収集できるよりも多くのデータを取り込む必要性が急激に増したようだ。

このプログラムの開始にあたって広告主に送られたメッセージの中で、アマゾンは自身のeコマース事業を、小売り市場全体のごく小さな一片だと位置づけている。これは規制の回避を期待して、同社がよく使う表現だ。

非常に競争の激しいこの小売り環境において、アマゾンはあらゆる規模のブランドと協力し、その事業が、私たちのストア内に限らず、お客様が買い物をするさまざまな場所においても成長できるよう支援いたします。また、販売パートナー、特に中小事業者が当ストアで成功できるよう、ツール、見識、データの提供に懸命に取り組みます。

しかし、当ストアはパズルの1ピースに過ぎません。お客様は日常的にアマゾンを利用し、製品を探して調べ、他の店舗で購入されています。事実、アマゾンの売上高は、米国全体から見るとわずか4%です。そのためブランドはさらなる情報を求めてNielsen、NPD、特定セグメント専門の情報プロバイダーなどのサードパーティーの消費者パネルやビジネス調査会社に頼ることが多くなっています。そうした登録型の消費者パネルには定評があり、顧客の意見や買い物に関する情報を集めたい数多くの業者が利用しています。それを執り行う企業は、複数の店舗での買い物行動に関するデータを収集し平均的な販売価格、販売総数、無数の人気商品による収益などのデータを報告します。

これに続きShopper Panelでは、アマゾンのストアにとらわれない付加的な見識を提供し、販売店やブランドを支援すると説明している。

プログラムの予約リストがいつまであるかは明示されていないが、米国時間10月20日より、誰でも登録できると同社は述べている。話している。

関連記事:新型コロナパンデミックで米国におけるeコマースへのシフトが5年分加速

カテゴリー:ネットサービス
タグ:Amazonネットショッピング個人情報

画像クレジット:Beata Zawrzel/NurPhoto / Getty Images
原文へ

(翻訳:金井哲夫)