犯罪ライブ配信「Citizen」が地域ジャーナリズムに取って代わることはない

地元で起こった犯罪を撮影するアプリCitizenが、1時間あたり25ドル(約2760円)で極秘にジャーナリストを雇って、犯罪現場の映像をサードパーティのウェブサイト経由でアプリからライブ配信していることがわかった。やれやれ。

Citizenが2016年に初めてApp Storeに登録されたときはVigilanteという名前で、透明性によって不正と戦うプラットフォームと銘打ってマーケティングを展開していた。というと聞こえはよいが、実際には、犯罪現場を探し出すよう故意にユーザーを煽って、その現場を報告させるというものだった。Vigilanteは、Apple(アップル)のアプリ開発者レビューガイドラインの「アプリはその使用によって身体に害を及ぼすことがあってはならない」という条項に違反しているとしてApp Storeから削除された。

もちろん、これでこの悪質なアプリの芽は摘まれるはずだった。が、大災害の後のゴキブリのように、このアプリも生き残っていた。VigilanteはCitizenと名前を変えて、利用者は犯罪現場に介入しないものとするという免責条項を追加してApp Storeに再登録を果たし、引き続きVCから資金を調達している。このアプリは現在、App Storeの同アプリページによると、クラウドソース型事件記録簿ということになっており「警察が対応する前に発生中の犯罪を市民に知らせる」のだという。しかし、このような行き過ぎた自警行為は、市民に安心感をもたらすどころか、混乱に拍車をかける可能性がある。アプリユーザーによる犯罪報告は、単なる間違いで済めばよいが、下手をすると人種差別につながり兼ねないことはいうまでもない。このアプリは911番通報からデータを取得しているが、911番通報の情報はすべて確認されているわけではないため、誤通報の原因となる可能性がある。

Citizenの代表は、このアプリは不審人物の通報を禁止しており「未確認のコンテンツや利用者によって報告された犯罪」は訓練を受けた専門家のレビューを受け許可されるまで配信されないと主張している。しかし、ほんの数カ月前、CEOのAndrew Frame(アンドリュー・フレーム)氏はライブ動画で放火犯と疑われる人物を追跡したCitizenのユーザーに情報提供料として3万ドル(約330万円)を支払ったが、結局その人物は犯人ではなかったことが判明した。

Citizenは十分なユーザー数が確保されないと機能しないため、同社はこのアプリを使うよう一般市民を囲い込もうとますます躍起になっている。SensorTower(センサータワー)によると、Citizenは、Black Lives Matter抗議活動の拡大に乗じて、2020年6月に月間最高ダウンロード数を記録した(米国全体が警察の残忍な行為に抗議する中、67万7000人の市民が警察アプリをダウンロードした)。しかし、その翌月のダウンロード数は20万7000件に低下し、以降、2020年3月は29万2000件、2021年3月は28万3000件と、ダウンロード数は頭打ちになっている。

Daily Dot(デイリー・ドット)は6月「ランドン」とうい名前のユーザーが1日に複数の犯罪現場からライブ配信を行ったという記事を掲載した。こうした犯罪現場に偶然出くわす頻度からして、この人物は単なる熱狂的なアプリユーザーではないように思われた。昨日もニューヨークポストに、1日で6つの犯罪現場をCitizenでライブ配信した「クリス」という名前の別のユーザーの記事が掲載された。Citizenによると、ランドンもクリスも、Street Team(ストリートチーム)のメンバーとしてアプリでの犯罪通報を行っているという。

「Citizenではいくつかの都市にチームを配置しています。これらの都市では、Citizenプラットフォームの動作方法をデモし、まさに犯罪が発生しようとしている状況での責任のある配信行為の見本を示すためにアプリを利用できます。最終的には、これらのチームが、効果的、有用かつ安全に配信を行う方法をユーザーに示すことになると信じています」とCitizenの広報担当は語った。

Citizenはアプリの立ち上げ以来、ストリートチームを配置しており、その事実を隠そうとしたことはないと同社の広報担当はいう。しかし、このストリートチームの仕事はCitizenのウェブサイトでは求人されておらず、Flyover Entertainmentというサードパーティのリクルート業者がJournalismJobs掲示板でCitizenの名前を出さずに求人広告を出している。NYU Journalismのウェブサイトでも、同じような求人広告を掲載しているが、こちらにはCitizenという名前が明記されている。Citizenによると、これらはどちらも、Citizenのストリートチームの求人広告だという。報酬は、ロサンゼルスでは10時間のシフトで250ドル(約2万7000円) / 日、ニューヨークでは8時間のシフトで200ドル(約2万2000円) / 日(25ドル[約2700円] / 時)となっている。

「放送記者たちには安全に責任を持って放送してきた経験があります。これこそストリートチームのメンバーに必須の条件です」とCitizenの広報担当は語り、これらの求人広告がCitizenのウェブサイトではなくサードパーティの求人掲示板に掲載されている点については、Citizenは本職の記者を求めていたからだという点を強調した。ただ、自社のウェブサイトでも本職の記者を募集することはできたと思われる。

監視による自警主義に対する懸念はさておき、ローカルニュースは瀕死状態であるし、Citizenは個人ジャーナリズムに替わるものとして開発されたわけではない。もちろん、地域の新聞も犯罪を報道するわけだし、詳細を調べるために報道記者を犯罪現場に送るというCitizenのやり方も前例のないことではない。しかし、ニュース報道と、監視アプリを使った犯罪現場からのライブ配信とでは意味が違う。しかも、Citizenは本職の記者が配信したのか、それとも一般市民が配信したのかを質問されない限り明らかにしない。「透明性の向上」を謳い文句にしているアプリにしては、求人広告に自社名を明記しないというのは透明性が高いとは思えない。また、福利厚生も有給もないのに、しっかりとした放送スキルを要する不定期のフリーランスの仕事にしては、時給25ドルというのはかなり低い報酬と言わざるを得ない。

現在、Citizen’sは、成長を目指す最新の試みとして、月額19.99ドル(約2200円)のProtectと呼ばれる有料サービスを提供している。このサービスを利用すると、ユーザーは、自分のカメラからProtectエージェントに自分の居場所とライブストリームを送ることができる。Citizenによると、Protectエージェントには、前警察官や911オペレーターが在籍しており、緊急時には「緊急対応部隊」を派遣できる。これは、個人向けの911オペレーターに料金を支払っているようなものだ。今でさえお粗末な警察システムのお粗末な代替システムのような感じだ。ユーザーが犯罪を恐れるほど、自分たちの身を守ってくれると信じて月額サブスクリプションサービスに料金を支払う動機も高まる。ニューヨーク市議会議員のJustin Brannan(ジャスティン・ブラナン)氏は、次のように書いている。「自分の近辺で起こった犯罪を絶えず把握できれば、都市の犯罪発生率が現在歴史的低水準になっているとはいえ、ユーザーは多少は安心できます。ただし、脱走したトラが実はアライグマだったなどということもあります」。

おそらくシリコンバレー育ちのテック企業では、1世紀近くの長きに及ぶ米国の警察の残忍行為、人種プロファイリング、監視を抑えることはできないのかもしれない。犯罪を減らすには、すべての人が医療施設を利用でき仕事にありつけ手頃な価格の住宅を購入できるようにしたほうが、よほど効果的なのかもしれない。答えは誰にもわからない。

関連記事:論議呼ぶ防犯アプリ「Vigilante(自警団員)」改め「Citizen」が月額約2180円のProtectサービスを開始

カテゴリー:パブリック / ダイバーシティ
タグ:CitizenジャーナリズムマスコミアプリApp Store透明性犯罪

画像クレジット:Citizen

原文へ

(文:Amanda Silberling、翻訳:Dragonfly)

フェイスブックがニューヨーク大学研究者からのアクセスを遮断、議員から反発を受ける

Facebook(フェイスブック)は米国時間8月3日、2人の学術研究者のアカウントを停止し、世界最大のソーシャルネットワーク上における政治広告や誤報を研究する力を奪った。

Facebookは、2人の研究者が「不正なスクレイピング」を行い、同社のプラットフォーム上でユーザーのプライバシーを侵害したと非難した。しかし、この主張に対し、Facebookの多くの批判者は、透明性に関する研究を阻止するための薄っぺらい口実だと酷評している。

Facebookが行動を起こした相手は、ニューヨーク大学の「Cybersecurity for Democracy(サイバーセキュリティ・フォー・デモクラシー)」プロジェクトに所属する著名な研究者で、以前からFacebookと対立していたLaura Edelson(ラウラ・エデルソン)氏とDamon McCoy(デーモン・マッコイ)氏の2人。この措置により、2人は「Ad Library(広告ライブラリ)」(これまでFacebookが行ってきた唯一の重要な透明性確保の取り組みだ)にアクセスできなくなり、さらにFacebookのモニタリングサービス「CrowdTangle(クラウドタングル)」から得られる人気投稿に関するデータも利用できなくなった。

Facebookとエデルソン氏やマッコイ氏との間には、過去に因縁がある。同社は2020年の米国大統領選挙の数週間前に、2人が作成した「Ad Observer(アド・オブザーバー)」と呼ばれるオプトインのブラウザツールを無効にして調査結果も公表しないように求める停止命令を送っていた。Ad Observerは誰でもインストールできるブラウザツールで、Facebookを1兆ドル(約110兆円)規模の企業に成長させた広告が、誰をどのようにターゲットにしているかを、研究者が知ることができるようにするものだ。

「この数年間、私たちはこのアクセスを使用して、Facebook広告ライブラリのシステム上の欠陥を明らかにし、選挙システムに不信感を植え付ける多くの政治広告の誤報を特定し、Facebookが党派的な誤報を明らかに増幅させていることについて調査してきました」と、エデルソン氏はTwitter(ツイッター)で述べている。

「Facebookは、私たちのアカウントを停止することで、これらすべての研究を事実上終わらせました。また、Facebookは、私たちのプロジェクトを通じてFacebookのデータにアクセスしている他の20数名の研究者やジャーナリストたちへのアクセスも、事実上遮断しました。それらの中には、Virality Project(バイラリティ・プロジェクト)と共同で行っているワクチンの誤報に関する調査や、私たちのデータを利用している多くのパートナーが含まれます」。

この事件をきっかけに、Facebookがより危険な行動におよぶ可能性において、透明性よりも不透明性を重視する姿勢が改めて批判されることになった。

翌8月4日になると、Facebookの行動は一部の連邦議会議員からも注目を集めた。民主党のRon Wyden(ロン・ワイデン)上院議員(オレゴン州選出)は、Facebookがユーザー保護の名目で研究者を罰する決定を下したことについて、同社が習慣的にプライバシーを侵害してきた長い歴史に照らし合わせて批判した。また、ワイデン上院議員は、Facebookが研究者のアクセス権を剥奪したのは、過去にユーザーのプライバシーを侵害したとして連邦取引委員会から出されたプライバシーに関する命令を遵守するためであるという同社の主張を「はったり」であると言い放った。

ロン・ワイデン
長年にわたってユーザーのプライバシーを侵害してきたFacebookが、その問題点を暴露する研究者を取り締まる口実として、プライバシー侵害という言葉を利用するのは、馬鹿げています。私はFTCに、この言い訳がインチキであることを確認するよう求めました。

ラウラ・エデルソン
今夜、Facebookは私のFacebookアカウントと、ニューヨーク大学のチームであるCybersecurity for Democracyに関連する数名のアカウントを停止しました。これにより、私たちはFacebookのAd LibraryデータやCrowdtangleへのアクセスができなくなりました。

民主党のマーク・ワーナー上院議員(バージニア州選出)も、Facebookの最新の論争について、この決定を「深く憂慮すべきもの」と意見した。ワーナー上院議員は、独立した研究者たちが「有害で搾取的な活動を明らかにすることで、ソーシャルメディアプラットフォームの品位と安全性を改善し続けている」と讃えている。

ワーナー上院議員は「詐欺や不正行為の主な原因となり続けているオンライン広告の影の世界に、より高い透明性をもたらすために、議会が行動を起こすべき時はとっくに来ています」と語った。

Firefox(ファイヤーフォックス)の開発元であるMozilla(モジラ)は4日、Ad Observerを擁護し、同社のストアフロントでこのブラウザ拡張機能を推奨する前に「コードレビューと同意フローの検証の両方を行って、2回レビューした」と強調した。Mozillaのチーフセキュリティオフィサーは、ブログ記事の中で、Facebookの主張は「まったく筋が通っていない」と述べている。

同日には、多くの独立した通信社、研究者、誤報専門家もFacebookの決定を非難した。The Markup(ザ・マークアップ)のJulia Angwin(ジュリア・アングイン)氏とNabiha Syed(ナビハ・サイード)氏は「Facebookのプライバシーに対するぞんざいなアプローチが、同社がこれほどまでに支配的になることを可能にしました」と、共同声明の中で書いている。

「しかし今、独立した研究者たちが、同社のプラットフォームとその影響力を調べようとすると、Facebookはユーザーのプライバシーを盾にして隠れようとしているのです」。

関連記事
なんとフェイスブックがまたもプライバシー設定を変更
フェイスブックもグーグルと同様に職場復帰する従業員にワクチン接種を義務付け
ザッカーバーグ氏は110兆円規模のフェイスブックを「メタバース」企業にすると投資家に語る

カテゴリー:ネットサービス
タグ:FacebookSNS透明性ニューヨーク大学プライバシーFacebook広告ブラウザ機能拡張

画像クレジット:TechCrunch

原文へ

(文:Taylor Hatmaker、翻訳:Hirokazu Kusakabe)

コラム】消費者の同意を取り付けるためだけのプライバシー通知をやめませんか?

編集部注:本稿の著者Leif-Nissen Lundbæk(レイフ-ニッセン・ルンドベック)氏は、Xaynの共同設立者兼CEO。専門はプライバシー保護を目的としたAIだ。

ーーー

「プライバシー」は誰もが気にする言葉であり、大手テック企業でさえもこの問題に取り組んでいる。最近では、Apple(アップル)がiOS バージョン14.5の要(かなめ)として「App Tracking Transparency(アプリのトラッキングの透明性)」というユーザーのプライバシー保護機能を導入した。2021年の初めには、同社CEOのTim Cook(ティム・クック)氏が、プライバシーについて気候危機と同等に言及し、21世紀の最重要課題の1つとしている。

Appleの対応は、正しい方向への強い働きかけであり、強力なメッセージとなっているが、これで十分なのだろうか?表面上は、消費者はアプリによる追跡方法について通知を受け、希望すれば追跡を制限したりオフにしたりすることを選択できる、ということになる。ソ連の風刺作家イリフ=ペトロフの言葉を借りれば「溺れる者を救う方法は、溺れる者自身が知っている」(風刺小説『12の椅子』の「溺れる者は、自分が救え」をもじったセリフ)とでもなるだろうか、歴史的に見ても、あまり良い結果を生む仕組みとはいえない。

今日、ネット上の消費者は、大量に表示されるプライバシーポリシー、Cookieのポップアップ、ウェブやアプリのさまざまなトラッキング許可に、まさしく溺れている。新しい規制はプライバシーの開示に関する同意の収集義務を増やすだけで、これには多くの企業が喜んで応じている。そして企業は情報管理の負担を消費者に押し付けている。消費者側は、大量の情報に1つ1つ目を通すことは合理的、経済的、主観的な観点から割に合わないので、これを盲目的に受け入れるしかない。責任を背負わされた消費者を救う選択肢はただ1つ……プライバシー通知を廃止することだ。

通知は見過ごされている

調査によれば、ネット上の消費者は往々にして「よくある」通知に悩まされている。ネットユーザーの大多数は、ウェブサイトに「プライバシー通知」または「プライバシーポリシー」という文書があれば、その企業は自分の個人情報を収集、分析、または第三者と共有しないはずだと期待している。同時に、大多数の消費者は、トラッキングやプライバシーを無視した広告のターゲットにされることに深刻な懸念を抱いている。

オンラインビジネスやプラットフォームの多くは、消費者に理解してもらうためではなく、消費者の同意を取り付けるために、プライバシーに関する通知やその他のデータの開示を行っている。

プライバシーの二重苦のようなものだ。消費者はプラットフォームを利用するために、プライバシーに関する通知を受け入れる必要がある。同意すると、トラッキングやプライバシーを無視した広告を許可することになる。同意する前にプライバシーポリシーを事細かに読めば、貴重な時間を無駄にすることになり、面倒で苛立たしい。Facebookのプライバシーポリシーが、ドイツの哲学者イマヌエル・カントの「純粋理性批判」のように難読なものだとしたら、それは問題だ。結局のところ、プライバシーに関する通知を拒否するという選択肢は形式的なものに過ぎず、プライバシーポリシーに同意しなければ、プラットフォームにアクセスできない。

このようなプライバシー通知にはどのような意味があるのか?企業にとっては、データ処理を正当化するという意味がある。一般的に、今のようなプライバシー通知は弁護士が弁護士のために作成した文書であり、実際のユーザーの利益は完全に無視されている。このような文言は誰も読まないとわかっているので、意図的に難解な文章にしたり、あらゆる種類のくだらない文章、あるいはおもしろおかしく本音を書き込んだりしている企業もある。

通知の中でユーザーの不滅の魂と永遠の命の権利を主張した企業もあった。一方、消費者にとっては、プライバシー通知への同意を押し付けられるのは面倒なもので、データの安全性について誤った認識を抱かせることにもつながる。

万が一、プライバシーに関する通知があまりにも不愉快なもので、消費者が別のプラットフォームに移動することがあっても、本当の解決策にはならないことが多い。ネット上ではデータの収益化が主流のビジネスモデルとなっていて、個人情報は最終的に同じ大手テック企業に流れる。たとえ消費者が直接的には彼らのプラットフォームを利用していなくても、代替のプラットフォームの多くは、プラグイン、ボタン、Cookieなどで大手テック企業とつながっているのだ。抵抗しても無駄なのだろうか。

旧態依然の規制の枠組み

もし企業が、誰も読まないような不透明なプライバシー通知を意図的に作成しているとして、立法者や規制当局が介入したら、消費者のデータプライバシーを改善することができるだろうか?うまくいったケースは歴史的にも見当たらない。デジタル化が進む前の時代でも、法律家は契約前に多くの情報を開示する義務があり、消費者はアパートを借りたり、車を買ったり、銀行口座を開いたり、住宅ローンを組んだりする際に、大量の書類に記入する必要があった。

特にデジタルの分野では、法律は後手に回り、技術の発展に大きく後れをとっている。EUでは、Google設立から20年、Facebook設立から10年を経て、包括的な法律である「EU一般データ保護規則(General Data Protection Regulation、GDPR)」を制定したが、いまだに横行するデータ収集行為を抑制できていない。これは、より大きな問題の一部にすぎない。今日の政治家や議員はインターネットを理解していないのだ。インターネットの仕組みを知らないのに、どうやって規制するというのか。

米国やヨーロッパの議員の多くは、ハイテク企業がどのように運営され、ユーザーデータでどのように収益を上げているのかを理解していない、あるいは(さまざまな理由で)理解していないふりをしている。議員たちは、自分たちで問題に取り組むのではなく、企業に「明確で理解しやすい」言葉でユーザーに直接通知するよう要求している。これは自由放任主義という名の無責任だ。

このような姿勢のせいで、私たちは、オンラインデータのプライバシー、プロファイリング、デジタル個人情報の盗難といった21世紀の課題に、古代ローマの法論理である「同意」を用いて戦うことを強いられている。ローマ法を非難するわけではないが、マルクス・アウレリウスにはiTunesのプライバシーポリシーを完全に読む必要はなかった。

オンラインビジネスや主要なプラットフォームでのプライバシーに関する通知やその他のデータの開示は、消費者にわかりやすく説明するのではなく、同意を得ることを目的としている。そうすることで、データフローを維持し、プライバシーに関する形ばかりの姿勢を示す機会があったときには、すばらしいアピールができる。とはいえ、消費者はこのでっち上げに気づきつつある。そろそろ変化が必要だ。

企業に真っ当な姿勢を求める声

ここまで、消費者がすべての「法律用語」を理解することは困難であり、理解したとしてもどうしようもないことを説明してきた。また、立法者にはテクノロジーを適切に規制するための知識やモチベーションが足りていないことも指摘した。ネットユーザーの多くが不満と苛立ちを表している今、デジタル企業は自らが行動を起こすべきだ。データプライバシーが21世紀の最大の課題の1つであるならば、一致団結した行動が必要だ。世界中の国々が二酸化炭素の排出量を減らすことを約束したように、企業も団結して消費者のプライバシーを守ることを約束しなければならない。

そこで、大小すべてのテック企業にお願いしたい。プライバシー通知の因習を捨てて欲しい。潜在的な法的請求から自社を守り、ユーザーの個人情報を収集し続けることを目的として、ほとんどの消費者が理解できない文章を書かないで欲しい。消費者に向けた、誰もが理解できるプライバシー通知を書いて欲しい。

文章だけでなく、行動も大切だ。個人データの収集や処理に依存しない製品を開発しよう。個人データの収集や処理に頼らない製品を開発し、インターネットのオープンソースやプロトコルのルーツに立ち返り、大手テック企業や広告主ではなく、自社のコミュニティに価値を提供しよう。これは可能であり、収益性があり、やりがいもある責務である。

関連記事
物議を醸すWhatsAppのポリシー変更、今度はEUの消費者法違反の疑いで
プライバシー重視の風潮に乗りユーザーの「同意」を管理するDidomiが好調
ニューヨーク市で生体情報プライバシー法が発効、データの販売・共有を禁止

カテゴリー:パブリック / ダイバーシティ
タグ:コラムプライバシー通知透明性

画像クレジット:

原文へ

(文:Leif-Nissen Lundbæk、翻訳:Dragonfly)

Evernoteの名前が反政府調査ロビーグループのウェブサイトから静かに消えていた

2013年、いわゆるPRISMプログラムの下、テック企業8社がユーザーのデータを米国国家安全保障局(NSA)に渡していたことを糾弾された。NSAの告発者であるEdward Snowden(エドワード・スノーデン)氏がリークした政府の高度機密書類によって明るみに出た。その6カ月後、そのテック企業らはReform Government Surveillance(政府による情報収集の改革)という名前の同盟を結成。名前が示すように、政府調査に関する法律の改訂を立法者に働きかけるのが目的だ。

狙いは単純だった。立法者に対し、標的となる脅威の監視方法を制限し、米国人の個人データを底引き網的に収集するのではなく、企業に大局的状況を提供し、ユーザーデータ提出に関する一種の秘密命令について、企業が透明性を保てるよう要求することだ。

Reform Government Surveillance(RGS)の創立メンバーはApple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、Microsoft(マイクロソフト)、Twitter(ツイッター)、Yahoo(ヤフー)、およびAOL(エーオーエル、後のVerizon MediaでTechCrunchの親会社[今のところ])の8社で、後にAmazon(アマゾン)、Dropbox(ドロップボックス)、Evernote(エバーノート)、Snap(スナップ)、およびZoom(ズーム)がメンバーに加わった。

ところが2019年6月のある日、EvernoteがRGSウェブサイトから説明もなく消えた。さらに奇妙なのは、そのことに2年間誰も気づかなかったことで、Evernote自身でさえ知らなかった。

「当社のロゴがReform Government Surveillanceウェブサイトから削除されていたことは知りませんでした」とEvernoteの広報担当者がTechCrunchのコメント要求に答えて語った。「私たちは今もメンバーです」。

Evernoteは2014年10月に同盟に参加した。PRISMが最初に世間にさらされてから1年半後のことだが、この会社はリークされたスノーデン文書に名前が載ったことがなかった。それでもEvernoteは強力な仲間として、RGSによる行政調査法改訂の要求活動はリークされたNSA文書に名前が載った企業以外からも支持を得ていることを示した。EvernoteはRGSの一員であること、および「政府による個人の監視と個人情報のアクセスを規制する慣行と法律を整備する」努力を支持していることを最新の透明性レポートでも表明している。このことからもRGSウェブサイトから名前が消えた謎はいっそう深まった。

TechCrunchは他のRGSメンバー企業にも、Evernoteが削除された理由を知っているかどうか尋ねたが、返信がなかったかコメントを拒んだか、思い当たらないかのいずれかだった。あるRGSメンバー企業の広報担当者は、さほど驚いていない。なぜなら企業が「業界団体を出入りする」のはよくあることだからと語った。

Reform Government Surveillance同盟のウェブサイト。Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが並んでいるが同じくメンバーであるEvernoteはない(画像クレジット:TechCrunch)

たしかにそうかもしれない。企業はいずれ自分のビジネスに役立つかもしれないロビー活動によく参加する。政府による情報収集は、シリコンバレーのビッグネームが一致して大義を支持している稀な難問だ。実際、テック企業の中には自社ユーザーに対する政府調査の増加を公かつ積極的に擁護しているところもある。なぜなら自分たちの使っているサービスにプライバシー強化を要求しているのはユーザー自身だからだ。

結局Evernoteが消えた理由は驚くほど穏やかなものだった。

「Evernoteは長年のメンバーですが、過去数年はあまり活動していなかったため、ウェブサイトから削除しました」とRGSの代理を務めているワシントンDCのロビー業者であるMonument Advocacy(モニュメント・アドボカシー)がメールで説明した。「貴社の質問は当組織内に新たな会話を生むきっかけになりました。今後ともお付き合いのほどよろしくお願いいたします」。

MonumentはRGSの設立初期に調査法改訂のロビー活動を行うために雇われて以来、ずっとこの件に関わっている。OpenSecrets(オープンシークレット)の調査によると、同社は2014年以来これまでに220万ドル(約2億4000万円)をロビー活動に費やしている。具体的には、愛国者法、外国諜報活動偵察法(FISA)など議会で検討中の法案を変更するよう議員に働きかけているが、結果はまちまちだ。RGSは、愛国者法に基づくNSAの情報収集を縮小する米国自由法案を支持したが、NSAに米国外在住外国人の情報を収集する権利を与えるFISA第702条に対する反対運動は失敗した。702条は2018年に再承認され6年延長された。

2020年RGSはほとんど活動がなく、大西洋横断データフローの重要性に関する声明を1件発行しただけだった。米国EU間のデータ移動は、テック企業が懸念する最新の重要問題であり、現地当局が監視できないヨーロッパのユーザーはサービスから削除される恐れがある。

声明には「RGS加盟企業は自社サービスを利用している人々のプライバシーを守り、個人データを保護することを約束します」と書かれ、Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが入っているがEvernoteの名前はない。

同盟の力はメンバーの力そのものであり、ウェブサイトからEvernoteを削除したが今でもメンバーである、というのは結束した企業共同体が高らかに発信するメッセージではない。そもそもテック大企業たちの間で最近見られるものではないが。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

カテゴリー:パブリック / ダイバーシティ
タグ:Evernote透明性Reform Government Surveillance / RGSプライバシー個人情報NSA

画像クレジット:Frederick Florin / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoft(マイクロソフト)の顧客セキュリティ責任者によると、同社が受ける顧客データに関する政府の要求のうち3分の1が、令状の対象者に捜査内容を開示できない秘密保持条項付きで発行されているという。

この数字は、トランプ政権下の米司法省がニューヨークタイムズ紙、ワシントンポスト紙、CNNの記者に機密情報が漏洩した事件の調査の一環として、通話記録や電子メール記録を秘密裏に入手しようとしたことを受け議員たちが立法措置を検討している中、米国時間6月30日の下院司法委員会に先立って行われたMicrosoftのTom Burt(トム・バート)氏による証言で明らかにされた。

バート氏は、このような秘密保持命令は「残念ながらありふれたものになっている」と述べ、Microsoftは「法的または事実的に意味のある分析に基づかない形式的な秘密保持命令」を定期的に受け取っていると語った。

バート氏は証言の中で、2016年以降、Microsoftは毎年2400~3500件、1日に7~10件の秘密保持命令を受け取っていたと述べた。同社は透明性レポートの中で、2020年、米国当局から1万1200件近くの法的命令を受けたと述べている。

一方、米国の裁判所が10年前の2010年に承認した秘密保持条項付き令状の数は全体で2395件であり、バート氏によると、これは過去5年間のいずれかの期間においても、Microsoft1社が1年に受けた秘密保持命令の数よりも少ないという。

「これは、クラウドサービスプロバイダーの1社であるMicrosoftが受けた要求にすぎません。この数字を、データを保持または処理するすべてのテクノロジー企業に掛け合わせれば、政府による秘密監視の乱用の範囲がわかるかもしれません」とバート氏は証言している。「私たちは、秘密保持命令を無理な基準でしか得られないように提案しているわけではありません。意味のある基準であることを求めているだけです」。

秘密保持命令をめぐる論争の多くは、ここ数週間でApple(アップル)、Google(グーグル)、Microsoftに出された秘密保持命令が失効し、トランプ政権下の司法省がデータをホストするハイテク企業にデータを要求することで記録を極秘に入手しようとしていたことを、各社が報道機関に開示できるようになったことに端を発している。

バイデン米大統領は、ジャーナリストの電話や電子メールの記録の収集を中止することを約束するとともに、機密保持に関する条項を一部削除した。しかし議員たちは、この政策を法制化するには法改正が必要であると指摘するだろう。

バート氏は、Microsoftは「秘密保持命令の乱用を防ぐために、できる限りのことをする」と述べている。ソフトウェアとクラウドの巨人は、2016年にも秘密保持命令の合憲性を問うために司法省を提訴した。

関連記事
プライバシー重視ブラウザ「Brave」、非追跡型検索エンジンのベータ版をリリース
グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない
全米で失業保険用に導入された顔認識システムが申請を次々拒否、本人確認できず数カ月受給できない人も
プライバシー重視を追い風に快進撃中の検索エンジン「DuckDuckGo」がブラウザとしても使えるデスクトップアプリ開発

カテゴリー:ネットサービス
タグ:アメリカマイクロソフトプライバシー透明性

画像クレジット:Jeenah Moon / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

TikTokが米国ユーザーの「顔写真や声紋」を含む生体情報の収集を表明

米国時間6月2日水曜日に発表されたTikTok(ティックトック)の米国におけるプライバシーポリシーの変更では、同社のソーシャルビデオアプリがユーザーのコンテンツから「生体識別子および生体情報を収集する場合がある」という項目が新たに追加された。これには「フェイスプリント(顔写真)やボイスプリント(声紋)」などが含まれると説明されている。TikTokにコメントを求めたところ、製品開発におけるどのような理由でユーザーから自動的に収集する情報に生体情報を加える必要が生じたのかは確認できなかった。しかし、そういったデータ収集活動を始める場合には、ユーザーに同意を求めると述べている。

生体情報収集の詳細については、同ポリシーの「自動的に収集する情報」の下に新たに追加された「画像および音声情報」セクションの項目として記述されている。

これは、TikTokのプライバシーポリシーの中で、アプリがユーザーから収集するデータの種類を列挙している部分であり、すでにかなり広範囲にわたっている。

新しいセクションの最初の部分では、TikTokがユーザーのコンテンツに含まれる画像や音声に関する情報を収集する場合があるとし「ユーザーコンテンツに含まれる物体や風景の識別、顔や体の特徴と属性の画像内の有無や位置、音声の特徴、テキスト化した会話内容など」と説明している。

気味が悪いと思うかもしれないが、他のソーシャルネットワークでは、アクセシビリティ(例えば、Instagramの写真の中に何が写っているかを説明する機能)の強化やターゲティング広告のために、アップロードされた画像の物体認識を行っている。また、AR(拡張現実)効果の演出のためには、人物や風景の位置を認識する必要があり、TikTokの自動キャプションは話し言葉をテキスト化することで実現している。

関連記事:TikTokが耳が悪い人のための自動キャプション機能導入、まずは英語と日本語で

また、このポリシーでは、新たなデータ収集は「映像の特殊効果、コンテンツモデレーション、人口統計学的分類、コンテンツや広告のリコメンデーション、個人を特定しないその他の処理」を可能にするためとも述べている。

新しい項目の中でも特に気になるのは、生体情報の収集計画の部分だ。

そこには次のように書かれている。

当社は、お客様のユーザーコンテンツから、フェイスプリントやボイスプリントなど、米国の法律で定義されている生体識別子および生体情報を収集することがあります。法律で要求される場合、当社は、そのような収集を行う前に、お客様に必要な許可を求めます。

この声明自体は、連邦法、州法、またはその両方を対象としているのかどうかを明確にしていないため、曖昧なものとなっている。また、他の項目と同様に、TikTokがなぜこのデータを必要とするのか説明しておらず「フェイスプリント」や「ボイスプリント」という言葉の定義さえもない。加えて、どのようにしてユーザーから「必要な許可」を得るのか、同意を得るプロセスは州法や連邦法を参考にするのかについても言及はない。

これは憂慮すべきことだ。というのも、現在のところ、生体認証情報プライバシー法を制定しているのはイリノイ州、ワシントン州、カリフォルニア州、テキサス州、ニューヨーク州など、ほんのひと握りの州にすぎないからだ。TikTokが「法律で要求される場合」にのみ同意を求めるのであれば、他の州のユーザーはデータ収集について知らされる必要がないということになりかねない。

TikTokの広報担当者は、生体情報の収集における同社の計画や、現在または将来の製品にどのように関わるかについて、詳細は明らかにしていない。

「透明性に対する継続的なコミットメントの一環として、当社が収集する可能性のある情報をより明確にするために、今回プライバシーポリシーを更新した」と同担当者は述べる。

そして、同社のデータセキュリティへの取り組みに関する記事、最新の透明性レポート、アプリ上でのプライバシーの選択についての理解を深めることを目的として最近立ち上げたプライバシーとセキュリティのページを紹介した。

画像クレジット:NOAH SEELAM/AFP via Getty Images

今回の生体情報に関する開示は、TikTokが一部の米国ユーザーの信頼回復に取り組んでいる時期と重なる。

Trump(トランプ)政権時、連邦政府は、TikTokが中国企業に所有されていることから国家安全保障上の脅威であるとして、米国内での運営を全面的に禁止しようとした。TikTokは、この禁止令への対抗として、TikTokの米国ユーザーのデータは、米国内のデータセンターとシンガポールにのみ保存していることを公表した。

関連記事
TikTokは来たるべき禁止令をめぐって米国政府を提訴する
TikTokがトランプ大統領に抵抗、禁止命令に対して差止めを申し立て

同社はまた、北京を拠点とするByteDance(バイトダンス)が所有しているにもかかわらず、TikTokのユーザーデータを中国政府と共有したことも、コンテンツを検閲したこともないと述べている。また、頼まれても絶対にしないとしている。

TikTokの禁止令は当初、裁判所で却下されたものの、連邦政府はその判決を不服として控訴した。しかし、Biden(バイデン)大統領が就任すると、同政権はトランプ政権の措置を再検討するため、控訴プロセスを保留した。そして、6月4日現在、バイデン大統領は、監視技術に関連する中国企業への米国の投資を制限する大統領令に署名しているが、同政権のTikTokに対する立場は不明のままだ。

関連記事
トランプ政権のTikTok禁止措置に対する米連邦判事の2度目の判決、米政府の制限一時差し止め
TikTok米国事業のオラクルへの強制売却が棚上げ

しかし、今回の生体情報収集に関する新たな開示は、ソーシャルメディアアプリがイリノイ州の生体認証情報プライバシー法に違反したとして、2020年5月に提起されたTikTokに対する集団訴訟における9200万ドル(約100億円)の和解を受けたものであることは注目に値する。この集団訴訟は、TikTokがユーザーの同意なしに個人情報や生体情報を収集・共有したことをめぐる、同社に対する20件以上の個別訴訟とも併合されていた。具体的には、特殊効果を狙ったフェイスフィルター技術への使用に関するものだ。

そういった状況のため、TikTokの法務部門は、アプリによる個人の生体情報収集に係る条項を追加することで、将来の訴訟に対する予防策を手早く講じたかったのかもしれない。

今回の開示は、米国向けのプライバシーポリシーにのみ追加されたものだ。EUなど他の市場では、より厳しいデータ保護法やプライバシー保護法があることも忘れてはならない。

この新しいセクションは、TikTokのプライバシーポリシーの広範な更新の一部であり、他にも旧版のタイプミスの修正から、セクションの改訂や新規追加まで、大小さまざまな変更が加えられている。しかし、これらの調整や変更のほとんどは、簡単に説明できる。例えば、TikTokのeコマースへの意欲を明確に示す新しいセクションや、ターゲティング広告に関するApple(アップル)の「App Tracking Transparency(アプリのトラッキングの透明性)」に対応する調整などが挙げられる。

関連記事:ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと

大局的に見れば、TikTokは、たとえ生体情報がなくても、ユーザーやコンテンツ、デバイスに関するデータをふんだんに持っている。

例えば、TikTokのポリシーには、ユーザーのデバイスに関する情報を自動的に収集するとすでに記載されている。その情報には、SIMカード・IPアドレス・GPSに基づく位置データ、TikTok自体の利用状況、ユーザーが作成・アップロードしたすべてのコンテンツ、アプリから送信したメッセージのデータ、アップロードしたコンテンツのメタデータ、クッキー、デバイス上のアプリやファイル名、バッテリーの状態、さらにはキーストロークのパターンやリズムなどが含まれている。

これは、ユーザーが登録したり、TikTokに連絡したり、コンテンツをアップロードしたりしたときに送られる「ユーザーが提供することを選択した情報」とは別だ。この場合、TikTokは、ユーザーの登録情報(ユーザー名、年齢、言語など)、プロフィール情報(名前、写真、ソーシャルメディアアカウント)、プラットフォーム上でユーザーが作成したすべてのコンテンツ、電話やソーシャルネットワークの連絡先、支払い情報、加えてデバイスのクリップボードにあるテキスト、画像、動画を収集する(Apple iOS 14の警告機能により、TikTokや他のアプリがiOSのクリップボードのコンテンツにアクセスしていることが発覚したことはご記憶にあるだろう。今回のポリシーでは、TikTokは「ユーザーの許可を得て」クリップボードのデータを「収集する場合がある」としている)。

プライバシーポリシーの内容自体は、一部のTikTokユーザーにとっては、すぐに気がかりになるものではなく、むしろ、バグだらけのロールアウトに関心が集まった。

一部のユーザーは、プライバシーポリシーの更新を知らせるポップアップメッセージが表示されたものの、そのページを読もうとしても読めなかったと報告している。また、ポップアップが繰り返し表示されるという報告もあった。この問題は全ユーザーに共通ではないようだ。TechCrunchによるテストでは、このポップアップに関する問題は発生しなかった。

【追加レポート】Zack Whittaker(ザック・ウィッタカー)

カテゴリー:ネットサービス
タグ:TikTok生体情報アメリカSNS個人情報プライバシーフェイスプリントボイスプリント透明性中国

画像クレジット:SOPA Images / Getty Images

原文へ

(文:Sarah Perez、翻訳:Dragonfly)

アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否

Ring(リング)は、家庭用ビデオドアベルの大規模な監視ネットワークや、問題のあるプライバシーセキュリティ運用に対してだけではなく、ドアベルの映像を法執行機関に提供していることでも、多くの批判を受けている。同社は透明性を追求しようとしているものの、これまで何人のユーザーのデータが警察に提供されたかについては開示を拒否している。

2018年にAmazon(アマゾン)に買収されたビデオドアベルメーカーのRingは、少なくとも1800の米国警察部門と、警察がRingのドアベルからのカメラの映像を要求できる提携を行っている(その数は現在も拡大中だ)。今週行われた変更の前には、Ringが提携している警察署であれば、捜査のためにドアベルカメラの映像を、顧客には無断で要求することができていた。今回Ringは、提携先の警察警察が同社の「Neighbors」(ネイバーズ)アプリを通じて、顧客からのビデオ映像の提供を公に要求するように変更した

この変更は、表向きには、警察がドアベルの映像にアクセスできるタイミングをRingのユーザーがコントロールできるようにするものだが、警察が令状なしにユーザーの映像にアクセスできるというプライバシー上の懸念は無視されている。

市民の自由の擁護者や議員たちは、Ringのドアベルカメラの広大なネットワークは個人ユーザーが所有しているため、警察は合法的な裏口を使ってRingのユーザーのカメラ映像を入手できると長い間警告を行ってきた。いまでも警察は、犯罪の証拠がある場合には、基本的なユーザー情報の提出要求や、ビデオコンテンツに対する捜査令状や裁判所命令などの法的要求をRingに対して行うことができる。

Ringが2021年1月にひっそりと発表した透明性レポートによれば、2020年の間にRingが受けた法的要求は1800件を超え、その前年の倍以上となっている。Ringは販売台数を公表していないが、「数百万人」の顧客がいると述べている。しかし、この透明性レポートでは、Ringが法的要求を受けて映像を警察に提出したユーザー数やアカウント数などの、ほとんどの透明性レポートには含まれている内容が省かれている。

Ringに問い合わせたところ、何人のユーザーの映像が警察によって入手されたのかについては開示を拒まれた。

検索の対象となるユーザーやアカウントの数は、本来は秘密ではないが、政府がユーザーデータを要求したときに企業がそれをどのように開示のするか(もし開示するならばだが)、は曖昧な領域である。義務ではないものの、ほとんどのハイテク企業は、年に1、2回、ユーザーデータが政府に取得された頻度を示す透明性レポートを発表している。

透明性レポートは、データ要求を受ける企業が、政府による強制的な大規模監視疑惑に対して、政府の要求に応えているのは企業のユーザーのほんの一部であることを示して反論するための手段だった。

しかし、そこでは実際の対応が肝心だ。Facebook(フェイスブック)Apple(アップル)Microsoft(マイクロソフト)Google(グーグル)Twitter(ツイッター)の各社は、法的要求を受けた数を明らかにすると同時に、データが提供されたユーザーやアカウントの数も明示している。場合によっては、影響を受けるユーザーやアカウントの数が、受け取った要求数の2倍から3倍以上になることもある。

Ringの親会社であるAmazonは、大手ハイテク企業の中では珍しい例外で、情報が法執行機関に引き渡されたユーザーの具体的な数を公表していない。

電子フロンティア財団(EFF)の政策アナリストであるMatthew Guariglia(マシュー・ガリグリア)氏は、TechCrunchに対して「Ringは、表向きにはユーザーの家に設置できる機器を作る防犯カメラの会社ですが、犯罪捜査や監視を行う国家のツールとしての側面も強くなって来ています」とTechCrunchに対して語った。

ガリグリア氏は、Ringが法的要求の対象となったユーザー数だけでなく、過去に何人のユーザーがアプリを通じて警察の要請に応じたかについても公表できるだろうと付け加えた。

Ringユーザーは、オプトアウトを行い警察からの要請を受けないようにすることができるが、たとえこのオプションを選択しても、法執行機関が裁判官から法的命令を受けてユーザーのデータを入手することは止めることができない。ユーザーは、エンド・ツー・エンドの暗号化をオンにすることで、ユーザー以外がビデオにアクセスすることを防ぐことができる(Ringも例外ではない)。

関連記事
アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
Amazonのただでさえ透明でない透明性レポートがいっそう不透明になった

カテゴリー:セキュリティ
タグ:RingAmazonプライバシー個人情報警察アメリカ透明性監視

画像クレジット:Chip Somodevilla / Getty Images

原文へ

(文:Zack Whittaker、翻訳:sako)

【コラム】スタートアップの株式報酬を透明化するために米証券取引委員会はもっと努力するべきだ

編集注:本稿の著者Yifat Aran(イファット・アラン)博士はイスラエル工科大学の客員研究員で、ハイファ大学法学部の次期助教授。スタンフォード大学ロースクールでJSDを取得したが、そこではシリコンバレーのスタートアップにおける株式報酬に焦点を当てた論文を書いている。

ーーー

あなたが夢見ていた会社に就職が決まったとしよう。契約の交渉を始め、1つのことを除けばすべてが順調に進んでいる。その1つとは、その雇用主はあなたの給料が何の通貨で支払われるのかを明言しないことだ。米ドルかユーロか、あるいは日本円かもしれないが、あなたはとりあえず大丈夫だと信じ、正当な報酬が払われることを願うことになる。不条理に聞こえるかもしれないが、これが現在のスタートアップ企業の株式報酬市場の仕組みだ。

典型的なシナリオは、雇用主がオファーレターの一部としていくつかのストックオプションや譲渡制限付き株式ユニット(RSU)を提供するが、会社の総株式数については言及しないというものである。この情報がなければ、従業員は自分が付与された株式が0.1%なのか、0.01%なのか、あるいはその他の割合なのかを知ることができない。従業員はこの情報の提供を求めることができるが、雇用主には提供する義務がないため、多くのスタートアップ企業では提供していない。

しかし、それだけではない。適切な情報開示がなされていないため、従業員は、スタートアップ企業の評価情報の中でも最も重要な形式である、会社の資本政策表や残余財産分配優先権総額(会社が売却された場合に、従業員が支払いを受ける前に投資家に支払われる金額を決定するもの)をまったく知らないのだ。従業員はベンチャーキャピタルによる資金調達の負債性を考慮していないため、自分が付与された株式の価値を過大評価する傾向がある。これは、特にユニコーン企業の従業員に関係している。なぜなら、後期の資金調達でよく見られるタイプの条件は、会社の普通株式の価値に劇的な、そしてしばしば誤解を招くような影響を与えるからだ。

この問題を解決するために、規制当局は何をしてきたか?あまり多くのことはしていない。現行の規制では、大半のスタートアップ企業は、オプションプランのコピー以外の情報を従業員に提供することを免除されている。ただし、1年間に1000万ドル(約10億8885万円)以上の有価証券を従業員に発行するスタートアップ企業のごく一部は、最新の財務諸表(2年分の連結貸借対照表、損益計算書、キャッシュフロー、株主資本等変動計算書)を含む追加情報の提供が義務付けられている。これらの開示には、スタートアップ企業の機密情報が含まれている可能性が高いが、従業員が答えを求める評価の問題にはほとんど関係がない。会社の直近の公正な市場評価と、さまざまなエグジットシナリオにおける従業員の予想支払額の説明があれば、はるかに有益な情報を伝えることができるはずだ。

現行の規制の問題点は、単に従業員への情報提供が多すぎる、あるいは少なすぎるということではなく、その両方であり、それ以上の話なのだ。Johnny Mathis(ジョニー・マティス)とDeniece Williams(デニース・ウィリアムス)の歌の歌詞にあるように「多すぎ、少なすぎ、遅すぎ」なのである。この規制が義務づけるのは、あまりに多くの無関係で潜在的に有害な情報の開示と、あまりに少ない重要な情報の開示であり、情報は従業員が効率的に意思決定できない時期(従業員が会社に入社してから)に開示されている。

このような状況は、従業員自身にとってだけでなく、ハイテク産業の労働市場全体にとっても不健全である。人材は、あらゆる規模の企業が依存する希少資源だ。情報が不足していると、競争が妨げられ、従業員がより良い有望な機会を得るのが遅くなる。長い目で見れば、従業員の情報面での不利益は、エクイティインセンティブの価値を低下させ、スタートアップ企業にとっての人材獲得競争がますます厳しいものとなるのだ。

Columbia Business Law Review(コロンビアビジネス法レビュー)に掲載した記事「Making Disclosure Work for Startup Employees(スタートアップ企業の従業員のための情報開示)」で、私はこれらの問題は比較的簡単に解決できると主張した。100人以上の従業員に株式クラス(クラスは問わない)のうちの10%以上を発行するスタートアップ企業に対しては、エグジットのウォーターフォール分析に従って従業員の個別の支払いを開示することを義務付けるべきである。

ウォーターフォール分析は、キャッシュフロー分配の取り決めの内訳を説明するものだ。スタートアップ企業の資金調達の場合、この分析では、企業の株式が売却されたと仮定して、その収益を、普通株主が最終的に残余請求権(存在する場合)を受け取るまで、それぞれの清算優先順位に従って異なる持分クラスの株式に「滝」のように配分する。モデルに含まれる情報は非常に複雑だが、結果はそれほど複雑ではない。ウォーターフォールモデルでは、X軸に記入された各可能性のある「エグジット評価」に対して、従業員の個別の「支払い」がY軸に示されたグラフを作成することができる。この作成は資本政策表管理プラットフォームを使えば、マウスを数回クリックするだけで簡単にできる。

このように視覚的に表現することで、従業員は、背景にある数学や法律の専門用語がわからなくても、さまざまな範囲のエグジットの価値においてどれだけの利益を得ることができるかを理解することができる。このような情報があれば、従業員はルール701で義務づけられている従来の形式の開示を必要とせず、スタートアップ企業は財務諸表に含まれる情報が悪人の手に渡るリスクの心配をしなくて済む。重要なのは、従業員はエクイティ型報酬を含む仕事の機会を受け入れるかどうかを選択する前に、オファーレターの一部としてこの情報を受け取るべきだということだ。

2021年の初め、SEC(米証券取引委員会)はルール701の改訂案を発表した。この提案には多くの進歩が見られ、財務諸表の開示に代わるものも導入されている。従業員に1000万ドル(約10億8885万円)以上の有価証券を発行するスタートアップ企業に対しては、財務諸表の開示か、有価証券の公正な市場価値に関する独立した評価報告書の提供のどちらかを選択できるようにしている。本案によると、後者は、内国歳入法第409A条に基づく規則や規定に従っている独立した評価によって決定される必要がある。

これは正しい方向へ進む第一歩だ。公正な市場評価は、会社の財務諸表よりも従業員にとってはるかに有用なのだ。しかし、409A評価の開示はそれだけでは十分ではない。409A評価が非常に不正確であることは、シリコンバレーではよく知られていることだ。鑑定企業は依頼者である企業との長期的なビジネス関係を維持したいと考えており、また、評価は経営陣から提供された情報に基づくものであり、取締役会の承認が必要であることから、スタートアップ企業は評価結果をほぼ完全にコントロールすることができる。したがって、企業の409A評価は、結果を出すために使用されたウォーターフォール分析が含まれている場合にのみ、情報的な価値を持つ。さらに、SECの提案では、大多数のスタートアップ企業は(1000万ドル、約10億8885万円という基準を回避しさえすれば)意味のある情報開示を行わずに株式交付を行うことが可能だ。

30年以上にわたり、SECはスタートアップ企業の株式報酬の規制をほぼ完全に緩和し、人材獲得競争において株式に依存するスタートアップ企業のニーズの高まりに対応してきた。しかしSECは、雇用の仕組みの相手側、つまり株式報酬の価値に関する情報を求める従業員のニーズには、これまでも、そして今も、ほとんど注意を払っていない。今こそ、投資家としての立場にある従業員の保護を、証券規制体制の下で再検討する時期に来ているのではないだろうか。

関連記事
【コラム】警察犬ロボのパトロールが嫌ならCCOPS法の検討を
【コラム】あなたは次世代の価値駆動型VCの在り方にフィットできているだろうか?
【コラム】アクセシブルなゲーミングの未来を創る

カテゴリー:その他
タグ:SEC株式報酬コラム透明性エグジット

画像クレジット:BreakingTheWalls / Getty Images

原文へ

(文:Yifat Aran、翻訳:Dragonfly)

欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す

欧州連合(EU)の欧州委員会が、域内市場のリスクの高い人工知能(AI)の利用に関するリスクベースの規制案を公表した。

この案には、中国式の社会信用評価システム、身体的・精神的被害を引き起こす可能性のあるAI対応の行動操作手法など、人々の安全やEU市民の基本的権利にとって危険性の高さが懸念される一部のユースケースを禁止することも含まれている。法執行機関による公共の場での生体認証監視の利用にも制限があるが、非常に広範な免除を設けている。

今回の提案では、AI使用の大部分は(禁止どころか)いかなる規制も受けていない。しかし、いわゆる「高リスク」用途のサブセットについては「ex ante(事前)」および「ex post(事後)」の市場投入という特定の規制要件の対象となる。

また、チャットボットやディープフェイクなど、一部のAIユースケースには透明性も求められている。こうしたケースでは、人工的な操作を行っていることをユーザーに通知することで、潜在的なリスクを軽減できるというのが欧州委員会の見解だ。

この法案は、EUを拠点とする企業や個人だけでなく、EUにAI製品やサービスを販売するすべての企業に適用することを想定しており、EUのデータ保護制度と同様に域外適用となる。

EUの立法者にとって最も重要な目標は、AI利用に対する国民の信頼を醸成し、AI技術の普及を促進することだ。欧州の価値観に沿った「卓越したエコシステム」を開発したいと、欧州委員会の高官は述べている。

「安全で信頼できる人間中心の人工知能の開発およびその利用において、欧州を世界クラスに高めることを目指します」と、欧州委員会のEVP(執行副委員長)であるMargrethe Vestager(マルグレーテ・ベステアー)氏は記者会見で提案の採択について語った

「一方で、私たちの規制は、AIの特定の用途に関連する人的リスクおよび社会的リスクに対処するものです。これは信頼を生み出すためです。また、私たちの調整案は、投資とイノベーションを促進するために加盟国が取るべき必要な措置を概説しています。卓越性を確保するためです。これはすべて、欧州全域におけるAIの浸透を強化することを約束するものです」。

この提案では、AI利用の「高リスク」カテゴリー、つまり明確な安全上のリスクをともなうもの、EUの基本的権利(無差別の権利など)に影響を与える恐れのあるものに、義務的な要件が課されている。

最高レベルの使用規制対象となる高リスクAIユースケースの例は、同規制の附属書3に記載されている。欧州委員会は、AIのユースケースの開発とリスクの進化が続く中で、同規制は委任された法令によって拡充する強い権限を持つことになると述べている。

現在までに挙げられている高リスク例は、次のカテゴリーに分類される。

  • 自然人の生体認証およびカテゴリー化
  • クリティカルなインフラストラクチャの管理と運用
  • 教育および職業訓練
  • 雇用、労働者管理、および自営業へのアクセス
  • 必要不可欠な民間サービスおよび公共サービスならびに便益へのアクセスと享受
  • 法執行機関; 移民、亡命、国境統制の管理; 司法および民主的プロセスの運営

AIの軍事利用に関しては、規制は域内市場に特化しているため、適用範囲から除外されている。

リスクの高い用途を有するメーカーは、製品を市場に投入する前に遵守すべき一連の事前義務を負う。これには、AIを訓練するために使用されるデータセットの品質に関するものや、システムの設計だけでなく使用に関する人間による監視のレベル、さらには市販後調査の形式による継続的な事後要件が含まれる。

その他の要件には、コンプライアンスのチェックを可能にし、関連情報をユーザーに提供するためにAIシステムの記録を作成する必要性が含まれる。AIシステムの堅牢性、正確性、セキュリティも規制の対象となる。

欧州委員会の関係者らは、AIの用途の大部分がこの高度に規制されたカテゴリーの範囲外になると示唆している。こうした「低リスク」AIシステムのメーカーは、使用に際して(法的拘束力のない)行動規範の採用を奨励されるだけだ。

特定のAIユースケースの禁止に関する規則に違反した場合の罰則は、世界の年間売上高の最大6%または3000万ユーロ(約39億4000万円)のいずれか大きい方に設定されている。リスクの高い用途に関連する規則違反は4%または2000万ユーロ(約26億3000万円)まで拡大することができる。

執行には各EU加盟国の複数の機関が関与する。提案では、製品安全機関やデータ保護機関などの既存(関連)機関による監視が想定されている。

このことは、各国の機関がAI規則の取り締まりにおいて直面するであろう付加的な作業と技術的な複雑性、そして特定の加盟国において執行上のボトルネックがどのように回避されるかという点を考慮すると、各国の機関に十分なリソースを提供することに当面の課題を提起することになるだろう。(顕著なことに、EU一般データ保護規則[GDPR]も加盟国レベルで監督されており、一律に厳格な施行がなされていないという問題が生じている)。

EU全体のデータベースセットも構築され、域内で実装される高リスクシステムの登録簿を作成する(これは欧州委員会によって管理される)。

欧州人工知能委員会(EAIB)と呼ばれる新しい組織も設立される予定で、GDPRの適用に関するガイダンスを提供する欧州データ保護委員会(European Data Protection Board)に準拠して、規制の一貫した適用をサポートする。

AIの特定の使用に関する規則と歩調を合わせて、本案には、EUの2018年度調整計画の2021年アップデートに基づく、EU加盟国によるAI開発への支援を調整するための措置が盛り込まれている。具体的には、スタートアップや中小企業がAIを駆使したイノベーションを開発・加速するのを支援するための規制用サンドボックスや共同出資による試験・実験施設の設置、中小企業や公的機関がこの分野で競争力を高めるのを支援する「ワンストップショップ」を目的とした欧州デジタルイノベーションハブのネットワークの設立、そして域内で成長するAIを支援するための目標を定めたEU資金提供の見通しなどである。

域内市場委員のThierry Breton(ティエリー・ブレトン)氏は、投資は本案の極めて重要な部分であると述べている。「デジタル・ヨーロッパとホライズン・ヨーロッパのプログラムの下で、年間10億ユーロ(約1300億円)を解放します。それに加えて、今後10年にわたって民間投資とEU全体で年間200億ユーロ(約2兆6300億円)の投資を生み出したいと考えています。これは私たちが『デジタルの10年』と呼んでいるものです」と同氏は今回の記者会見で語った。「私たちはまた、次世代EU[新型コロナウイルス復興基金]におけるデジタル投資の資金として1400億ユーロ(約18兆4000億円)を確保し、その一部をAIに投資したいと考えています」。

AIの規則を形成することは、2019年末に就任したUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)EU委員長にとって重要な優先事項だった。2018年の政策指針「EUのためのAI(Artificial Intelligence for Europe)」に続くホワイトペーパーが2020年発表されている。ベステアー氏は、今回の提案は3年間の取り組みの集大成だと述べた。

ブレトン氏は、企業がAIを適用するためのガイダンスを提供することで、法的な確実性と欧州における優位性がもたらされると提言している。

「信頼【略】望ましい人工知能の開発を可能にするためには、信頼が極めて重要だと考えます」と同氏はいう。「(AIの利用は)信頼でき、安全で、無差別である必要があります。それは間違いなく重要ですが、当然のことながら、その利用がどのように作用するかを正確に理解することも求められます」。

「必要なのは、指導を受けることです。特に新しいテクノロジーにおいては【略】私たちは『これはグリーン、これはダークグリーン、これはおそらく若干オレンジで、これは禁止されている』といったガイドラインを提供する最初の大陸になるでしょう。人工知能の利用を考えているなら、欧州に目を向けてください。何をすべきか、どのようにすべきか、よく理解しているパートナーを得ることができます。さらには、今後10年にわたり地球上で生み出される産業データの量が最も多い大陸に進出することにもなるのです」。

「だからこそこの地を訪れてください。人工知能はデータに関するものですから―私たちはガイドラインを提示します。それを行うためのツールとインフラも備えています」。

本提案の草案が先にリークされたが、これを受けて、公共の場での遠隔生体認証による監視を禁止するなど、計画を強化するよう欧州議会議員から要請があった。

関連記事
EUがAIのリスクベース規則の罰金を全世界年間売上高の最大4%で計画、草案流出で判明
欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

最終的な提案においては、遠隔生体認証監視を特にリスクの高いAI利用として位置づけており、法執行機関による公の場での利用は原則として禁止されている。

しかし、使用は完全に禁止されているわけではなく、法執行機関が有効な法的根拠と適切な監督の下で使用する場合など、例外的に利用が認められる可能性があることも示唆されている。

脆弱すぎると非難された保護措置

欧州委員会の提案に対する反応には、法執行機関による遠隔生体認証監視(顔認識技術など)の使用についての過度に広範な適用除外に対する批判の他、AIシステムによる差別のリスクに対処する規制措置が十分ではないという懸念が数多くみられた。

刑事司法NGOのFair Trialsは、刑事司法に関連した意義ある保護措置を規制に盛り込むには、抜本的な改善が必要だと指摘した。同NGOの法律・政策担当官であるGriff Ferris(グリフ・フェリス)氏は、声明の中で次のように述べている。「EUの提案は、刑事司法の結果における差別の固定化の防止、推定無罪の保護、そして刑事司法におけるAIの有意義な説明責任の確保という点で、抜本的な改革を必要としています」。

「同法案では、差別に対する保護措置の欠如に加えて、『公共の安全を守る』ための広範な適用除外において刑事司法に関連するわずかな保護措置が完全に損なわれています。この枠組みには、差別を防止し、公正な裁判を受ける権利を保護するための厳格な保護措置と制限が含まれていなければなりません。人々をプロファイリングし、犯罪の危険性を予測しようとするシステムの使用を制限する必要があります」。

欧州自由人権協会(Civil Liberties Union for Europe[Liberties])も、同NGOが主張するような、EU加盟国による不適切なAI利用に対する禁止措置の抜け穴を指摘している。

「犯罪を予測したり、国境管理下にある人々の情動状態をコンピューターに評価させたりするアルゴリズムの使用など、問題のある技術利用が容認されているケースは数多く存在します。いずれも重大な人権上のリスクをもたらし、EUの価値観を脅かすものです」と、上級権利擁護担当官のOrsolya Reich(オルソリヤ・ライヒ)氏は声明で懸念を表明した。「警察が顔認識技術を利用して、私たちの基本的な権利と自由を危険にさらすことについても憂慮しています」。

ドイツ海賊党の欧州議会議員Patrick Breyer(パトリック・ブレイヤー)氏は、この提案は「欧州の価値」を尊重するという主張の基準を満たしていないと警告した。同氏は、先のリーク草案に対して基本的権利の保護が不十分だと訴える書簡に先に署名した40名の議員のうちの1人だ。

「EUが倫理的要件と民主的価値に沿った人工知能の導入を実現する機会をしっかり捕捉しなれけばなりません。残念なことに、欧州委員会の提案は、顔認識システムやその他の大規模監視などによる、ジェンダーの公平性やあらゆるグループの平等な扱いを脅かす危険から私たちを守るものではありません」と、今回の正式な提案に対する声明の中でブレイヤー氏は語った。

「公共の場における生体認証や大規模監視、プロファイリング、行動予測の技術は、私たちの自由を損ない、開かれた社会を脅かすものです。欧州委員会の提案は、公共の場での自動顔認識の高リスクな利用をEU全域に広めることになるでしょう。多くの人々の意思とは相反します。提案されている手続き上の要件は、煙幕にすぎません。これらの技術によって特定のグループの人々を差別し、無数の個人を不当に差別することを容認することはできません」。

欧州のデジタル権利団体Edriも「差別的な監視技術」に関する提案の中にある「憂慮すべきギャップ」を強調した。「この規制は、AIから利益を得る企業の自己規制の範囲が広すぎることを許容しています。この規制の中心は、企業ではなく人であるべきです」と、EdriでAIの上級政策責任者を務めるSarah Chander(サラ・チャンダー)氏は声明で述べている。

Access Nowも初期の反応で同様の懸念を示しており、提案されている禁止条項は「あまりにも限定的」であり、法的枠組みは「社会の進歩と基本的権利を著しく損なう多数のAI利用の開発や配備を阻止するものではない」と指摘している。

一方でこうしたデジタル権利団体は、公的にアクセス可能な高リスクシステムのデータベースが構築されるなどの透明性措置については好意的であり、規制にはいくつかの禁止事項が含まれているという事実を認めている(ただし十分ではない、という考えである)。

消費者権利の統括団体であるBEUCもまた、この提案に対して即座に異議を唱え、委員会の提案は「AIの利用と問題の非常に限られた範囲」を規制することにフォーカスしており、消費者保護の点で脆弱だと非難した。

「欧州委員会は、消費者が日々の生活の中でAIを信頼できるようにすることにもっと注力すべきでした」とBEUCでディレクターを務めるMonique Goyens(モニーク・ゴヤンス) 氏は声明で述べている。「『高リスク』、『中リスク』、『低リスク』にかかわらず、人工知能を利用したあらゆる製品やサービスについて人々の信頼の醸成を図るべきでした。消費者が実行可能な権利を保持するとともに、何か問題が起きた場合の救済策や救済策へのアクセスを確保できるよう、EUはより多くの対策を講じるべきでした」。

機械に関する新しい規則も立法パッケージの一部であり、AIを利用した変更を考慮した安全規則が用意されている(欧州委員会はその中で、機械にAIを統合している企業に対し、この枠組みに準拠するための適合性評価を1度実施することのみを求めている)。

Airbnb、Apple、Facebook、Google、Microsoftなどの大手プラットフォーム企業が加盟する、テック業界のグループDot Europe(旧Edima)は、欧州委員会のAIに関する提案の公表を好意的に受け止めているが、本稿執筆時点ではまだ詳細なコメントを出していない。

スタートアップ権利擁護団体Allied For Startupsは、提案の詳細を検討する時間も必要だとしているが、同団体でEU政策監督官を務めるBenedikt Blomeyer(ベネディクト・ブロマイヤー)氏はスタートアップに負担をかける潜在的なリスクについて警鐘を鳴らしている。「私たちの最初の反応は、適切に行われなければ、スタートアップに課せられる規制上の負担を大幅に増加させる可能性があるということでした」と同氏はいう。「重要な問題は、欧州のスタートアップがAIの潜在的な利益を享受できるようにする一方で、本案の内容がAIがもたらす潜在的なリスクに比例するものかという点です」。

その他のテック系ロビー団体は、AIを包み込む特注のお役所仕事を期待して攻撃に出るのを待っていたわけではないだろうが、ワシントンとブリュッセルに拠点を置くテック政策シンクタンク(Center for Data Innovation)の言葉を借りれば、この規制は「歩き方を学ぶ前に、EUで生まれたばかりのAI産業を踏みにじる」ものだと主張している。

業界団体CCIA(Computer & Communications Industry Association)もまた「開発者やユーザーにとって不必要なお役所仕事」に対して即座に警戒感を示し、規制だけではEUをAIのリーダーにすることはできないと付け加えた。

本提案は、欧州議会、および欧州理事会経由の加盟国による草案に対する見解が必要となる、EUの共同立法プロセスの下での膨大な議論の始まりである。つまり、EUの機関がEU全体のAI規制の最終的な形について合意に達するまでに、大幅な変更が行われることになるだろう。

欧州委員会は、他のEU機関が直ちに関与することを期待し、このプロセスを早急に実施できることを望んでいると述べるにとどまり、法案が採択される時期については明言を避けた。とはいえ、この規制が承認され、施行されるまでには数年かかる可能性がある。

【更新】本レポートは、欧州委員会の提案への反応を加えて更新された。

カテゴリー:パブリック / ダイバーシティ
タグ:EU人工知能チャットボットディープフェイク透明性GDPR欧州データ保護委員会生体認証顔認証

画像クレジット:DKosig / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)