Cambridge Analyticaの元CEOが経営幹部就任を今後7年間禁止される

Cambridge Analytica(ケンブリッジ・アナリティカ)の元CEOが今後7年間、株式会社の経営に携わることをを禁止された。汚れたデータ会社となった同社は2016年のトランプ氏の選挙運動に協力し(未訳記事)、大量のFacebook(フェイスブック)データを利用して有権者を操作しようとしたスキャンダルで2018年に閉鎖した(未訳記事)。

Alexander Nix(アレクサンダー・ニックス)氏は今月初めに不適格処分を受諾する署名を行った。英政府は9月24日に署名を受け入れた(英政府リリース)と述べた。禁止は10月5日に始まる。

「ニックス氏は受諾文書で、倫理性を欠いていた可能性があるサービスを見込み顧客に提供するべくSCL Elections Ltdまたは関連会社に売り込みをさせた、またはそれを許可したとされたことに対し、異議を唱えなかった。商業的誠実さの欠如を示している」と英Insolvency Service(破産サービス)はプレスリリースで述べた。

ニックス氏はFacebookのデータスキャンダルがピークに達したときに、Cambridge AnalyticaのCEOの停職処分を受けた(未訳記事)。覆面のレポーターが撮影した映像で同氏は、偽情報を広めたりクライアントのニーズを満たすために政治家を罠にかけたりしたことを自慢していた。

Cambridge AnalyticaはSCLグループの子会社であり、同グループの傘下にはSCL Elections部門があった。ニックス氏は、同グループの主要人物の1人であり、SCL Group Ltd、SCL Social Ltd、SCL Analytics Ltd、SCL Commercial Ltd、SCL Elections、Cambridge Analytica(UK)Ltdのディレクターを務めていた。6社はすべて2018年5月に管理下に入り、2019年4月に強制清算が始まった。

ニックス氏が異議を唱えなかった、同社が行っていたとされる「倫理性を欠いていた可能性がある」活動は次のとおりだ。

  • 汚職を暴くために仕掛けた賄賂とハニートラップ
  • 有権者に対する投票棄権キャンペーン
  • 政敵の信用を傷つける情報の入手
  • 匿名での情報拡散

FTC(米連邦取引委員会)は昨年(未訳記事)、データ悪用スキャンダルに関してニックス氏と和解した。同氏は、今後自身が関与できる事業を制限する行政命令に同意した。行政命令は事業で収集した個人情報の削除と破棄も求めた。

ニックス氏は2018年、英議会のDCMS(デジタル・文化・メディア・スポーツ)委員会にも厳しく尋問された(未訳記事)。同氏は2回目の聴聞でCambridge Analyticaが「Acxiom、Experian、Infogroupなどの非常に大規模で著名なデータアグリゲーターやデータベンダーから、米国人に関する数百万のデータポイント」に関するライセンスを取得したと主張し、Facebookデータは同社の「基盤となるデータセット」ではなかったと主張した。

データ悪用スキャンダルには、いまだ答えられていない問いがまだ大量にあると言っても過言ではない。例えば英国のデータ監視当局は3月、データ分析調査に関する最終レポートを発行しないと発表した。同当局は2018年にCambridge Analyticaの英国事務所を捜索し(未訳記事)、証拠押収後に罰金を科し(未訳記事)、スキャンダルについてFacebookと和解した(Facebookは責任を認めなかった)。

Cambridge Analyticaに関する最終報告書の運命について尋ねられたICO(英個人情報保護監督機関)の広報担当者は次のように述べた。「データ分析調査の結論の一環として、2019年4月からの未解決の質問に回答するためにDCMS特別委員会に書簡を送る。我々の最終的な調査結果について特別委員会に最新の状況を伝えるが、これは報告書の更新という形にはならない」

DCMS委員会がICOに対する書面の回答を公開するかどうかは明らかではない。同委員会は新しい委員長とともに刷新された。オンライン偽情報の影響に関する調査の一環として、2018年にCambridge Analyticaのスキャンダルを掘り下げたのは別の委員長だった。昨年の最終報告書はデータ保護と競争の懸念に関してFacebookの事業の調査を求めていた(未訳記事)。

TechCrunchによるニックス氏へのインタビューをここで読むことができる(未訳記事)。Facebookのデータスキャンダルが起こる前の2017年のものだ。同氏はインタビューで、同氏の会社がトランプ氏の選挙運動をどう支援したかについて語っている。

画像クレジット:Matthew Chattle / Barcroft Images / Barcroft Media via Getty Images

[原文へ]

(翻訳:Mizoguchi

カリフォルニア州が調査への協力不十分としてFacebookを提訴

米国カリフォルニア州のXavier Becerra(ザビエル・べセラ)司法長官は、Facebook(フェイスッブック)とCambridge Analytica(ケンブリッジ・アナリティカ)に関する州の調査に資料を提出せず「調査の足を引っ張り続けている」としてFacebookを提訴した。

べセラ司法長官は11月6日、訴状の中でFacebookが1年以上前に始まった非公開の調査にかかる2回にわたる召喚状への対応が「明らかに不十分」だったと述べている。訴状には「Facebookは19件の質問に対して答えておらず、6件の提出要求では書類を出さなかった」と書かれている。

対象となる書類は、CEOのMark Zuckerberg(マーク・ザッカーバーグ)氏やCOOのSheryl Sandberg(シェリル・サンドバーグ)氏を含む役員のやり取り、そして同社のプライバシー変更に関係する資料だ。

訴状ではFacebookに関して、司法長官が言うところの「世界で最も金を持っている企業の1社による非合法的な事業プラクティスについての深刻な疑惑」にかかる「正当に発行された召喚状と質問にFacebookは対応しなかった」と説明している。そしてべセラ司法長官はいま、Facebookに書類を提出させるよう裁判所に求めている。

今はなきCambridge Analyticaは、米大統領選時に選挙関連の広告でどういった投票者に絞るべきかでトランプ陣営をサポートするために使われた幾千万ものFacebookプロファイルを廃棄した。Facebookはこの破棄されたプロファイルの分析を禁止し、有権者データの調査会社を締め出した。後にFacebookは、2012年にプライバシー法に違反したとして連邦取引委員会から50億ドル(約5400億円)の罰金を科せられた。このプライバシー法では企業にユーザーデータのプライバシー保護を求めている。

Facebookの広報はコメントの求めに応じなかった。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

Facebookが情報流出の罰金支払いで英当局と合意するものの責任は認めず

Cambridge Analytica(ケンブリッジ・アナリティカ)情報不正使用の件で、Facebook(フェイスブック)は罰金50万ポンド(約7000万円)を支払うことで英国のデータ保護当局であるICO(情報コミッショナー事務局)と合意した。

合意の一環としてFacebookは罰金に関する控訴を取り下げる。しかし合意の文言としては、罰金支払いに関する責任は一切認めていない。今回の罰金は、適用する英国データ保護法のもとでは最高額となる。なお、Cambridge Analyticaの情報不正問題は、欧州のGDPRが施行される前に存在していた。

ICOが課す罰金に対するFacebookの控訴は「英国のユーザーのデータがCambridge Analyticaによって不正に使用されたという証拠はない」という主張に基づいていた。

そしてさらに、勝訴した最初の裁判ではさらなるひねりがあった。6月にあった裁判では「手続きでの公正さとICO側の先入観のある主張」は考慮されるべきとした。

この決定により、ICOはFacebookへの罰金を決めた経緯に関する材料を公開することになった。電子メールをさかのぼってチェックすることに明らかに熱心でないICOは先月上訴した。Facebookに控訴を取り下げさせる合意に基づいて、ICOも取り下げる。

合意内容の骨子を記した発表文で、ICOは次のように書いている。「コミッショナーは、今回の合意はFacebookユーザーである英国の当事者の関心に応えるものだと考えている。FacebookとICOは、適用されるデータ保護法を遵守するよう引き続き取り組む」。

ICOの広報は、発表文に加えることはないとして、追加の質問には答えなかった。

合意の一環として「FacebookはICOが上訴の過程で公開した一部の文書(特定していない)を『他の目的』の使用のために保持することが許される」とICOは書いている。この目的には、Cambridge Analyticaをめぐる問題のさらなる独自調査が含まれる。さらに「ICOの意向で調査の一部が以前保留されていて、いま再開できる」とICOは加えている。

合意の条件として、ICOとFacebookはそれぞれの訴訟費用を払う。50万ポンドの罰金はICOが保持するのではなく、大蔵省の整理公債基金に入る。James Dipple-Johnstone(ジェームズ・ディプル・ジョンストーン)長官代理は声明文で次のように述べている。

Facebookが罰金通知に対する控訴を取り下げ、罰金を支払うことに合意したことをICOとして歓迎する。ICOの主な懸念は、英国市民のデータが深刻な害を受けるリスクにさらされたことだった。個人情報とプライバシーの保護は、個人の権利のためだけでなく、強固な民主主義の維持のためにも根本的な重要性を持つ。Facebookが基本原則を受け入れたこと、そして今後もそれを理解して則るために大きな一歩を踏み出したことを嬉しく思う。個人情報とプライバシーの保護に対する強い責任でもって、Facebookが前進し、今回のケースから学習すると期待している。

ICOのコメントにつけられたFacebookの見解として、同社のディレクターで顧問弁護士のHarry Kinmonth(ハリー・キンモス)氏は次のように加えている。

ICOと合意に至ったことは喜ばしい。以前述べたように、2015年のCambridge Analytica問題についての主張を調査するために我々はもっと多くのことをしたかった。その後、我々はプラットフォームに大きな変更を加え、中でもアプリデベロッパーがアクセスできていた情報に大きな制限を設けた。人々の情報とプライバシーの保護は、Facebookにとって最優先事項だ。そして我々は人々が自身に関する情報を保護・管理できるよう新たなコントロールを引き続き構築する。ICOは、EUのFacebookユーザーのデータがDr KoganによってCambridge Analyticaに送られた証拠は発見できなかった、と述べていた。しかしながら、我々は政治目的でのデータ分析使用についてのICOの広範で継続中の調査に今後も喜んで協力する。

ここでの慈善的な解釈は、FacebookとICOは互いに手詰まりとなり、さらに醜聞を呼ぶことになるかもしれない訴訟を長引かせるよりも終わらせることを選び、早急な結果で事態収拾を図ったということになる。

PR(ICOに罰金を払いFacebook問題に一線を画す)、そしてCambridge Analyticaスキャンダルに関するFacebookのさらなる内部調査への有用な情報、という意味での早急な結果だ。

ICOの隠匿した文書から何が得られるのかは定かではない。しかし、このスキャンダルをめぐりFacebookが米国で多くの訴訟に直面するのは確かだ。ICOはちょうど1年ほど前にCambridge AnalyticaスキャンダルでFacebookに罰金を科す意向を明らかにした。

2018年3月、ICOは令状をとって、今はないデータ会社の英国オフィスの家宅捜索を行い、ハードドライブや分析用のコンピューターを押収した。ICOはこれより前にFacebookに対して同社が行っていたCambridge Analyticaのオフィスの調査から手を引くよう命じた。

1年前の英国議会委員会への報告で、情報コミッショナーのElizabeth Denham(エリザベス・ダーハム)氏とDipple-Johnstone(ディップル・ジョンストーン)氏は、Cambridge Analyticaから押収したデータの調査について協議した。「Cambridge Analyticaが横領したFacebookユーザーデータは知られているよりも多くの会社に渡っていたかもしれないと確信した」と言っている。その時点で「ICOは約6社を調べている」と語った。

ICOはまた「Cambridge Analyticaがすべて消去したと主張していたにもかかわらずFacebookデータの一部を保持していたかもしれない」という証拠を持っていると委員会に語った。「フォローアップは強固なものではなかった。それが我々がFacebookに50万ポンドの罰金を科した理由の1つだ」と当時ダーハム氏は語っていた。

証拠の一部は、Cambridge Analytica絡みの訴訟での弁護に備える時、Facebookにとってかなり有用なものになりそうだ。またプラットフォームの監査の助けにもなる。スキャンダル後、Facebookはアプリの監査を実施し、かなりの量のユーザデータをダウンロードした全デベロッパーの正当性を調べる、と語っていた。Facebookが2018年3月に発表した監査はまだ継続中だ。

[原文へ]

(翻訳:Mizoguchi)

Instagramはデータ漏洩事件を受けて報奨金制度を拡充

Facebookは、個人情報の不正使用を可能にするバグ発見に対する報奨金制度をInstagramにも適用する。

Instagramの親会社であるFacebookは、Cambridge Analytica(ケンブリッジ・アナリティカ)のスキャンダルをきっかけに、データの不正使用の発見に対する報奨金制度を始めた。そのスキャンダルというのは、数千万人分ものFacebookの個人データが抜き出され、2016年の米大統領選挙で、浮動票をトランプ氏側に有利になるように仕向けるのに利用されたというもの。

この制度の基本は、セキュリティ研究者だけでなくFacebookの一般ユーザーも含め、サードパーティのアプリや、特定の会社が、本来とは異なった目的でFacebookのデータを抜き出し、収集し、あるいは販売していることに気付いたら、それを報告することができるようにするというもの。たとえば、有権者の名簿を作成したり、広範囲なマーケティングの資料を生成したり、といった行為が想定されている。

Cambridge Analyticaによる事件が、世間の注目を集めた後でさえ、Facebookにはユーザーのデータを不正に収集するアプリがあった。

Instagramも例外ではない。Instagramは今月、「信頼していた」マーケティングパートナーを出入り禁止処分とした。その会社が数百万ものユーザーのストーリーや、位置情報、他の数百万のユーザーに関連するデータを抜き出していたことが明らかになったからだ。その結果Instagramは、今後のデータ抜き出しを防ぐため、サービスに変更を加えることを余儀なくされた。これは、今年はじめに起きた他の2つの事件に続いて起きたものだった。1つは、1400万人ぶんにもおよぶInstagramの個人情報が抜き出され、パスワードもかけずに公開状態になっていたデータベース上にさらされているのを、セキュリティ関連の研究者が発見したというもの。そしてもう1つは、別の会社のプラットフォームが、Instagramのインフルエンサーの電子メールアドレスや電話番号を含む個人情報を抜き出していた、というものだった。

昨年Instagramは、Cambridge Analyticaのスキャンダルの余波を受け、プライバシーを保護する姿勢を再確認するため、デベロッパーによるAPIへのアクセス制限を厳しくしている。

InstagramのセキュリティエンジニアリングマネージャーであるDan Gurfinkel(ダン・ガーフィンケル)氏によれば、新たに拡張されたデータの不正利用に関するバグ発見の報奨金制度は、セキュリティ研究者を「その気にさせる」ことを目的としているのだという。

またInstagramは、信頼できるセキュリティ研究者のグループを招待し、Checkout(チェックアウト)サービスを国際的に展開する前に、セキュリティ上の欠陥の発見に努めてもらうつもりだという。もちろん、そこでバグが見つかれば、報奨金が支払われる。

関連記事

画像クレジット:Jaap Arriens/Getty Images

原文へ

(翻訳:Fumihiko Shibata)

ケンブリッジ・アナリティカ記事を書いた記者が訴訟費用を賄うために資金調達を開始

金を払って不法に入手した何百万ものFacebookプロフィールの使用を通じて、2016年の米大統領選挙や英国のブレグジット国民投票に影響を及ぼすためにCambridge Analytica(CA)がいかにトランプ陣営に使用されてきたか、というニュースについては何百万もの言葉で綴られてきた。最近の我々のレビューや、この事件のNetflixのドキュメンタリー分析だけではない。 FacebookのCEOであるMark Zuckerberg(マーク・ザッカーバーグ)氏が議会の前に引きずり出され、複数の調査が今も続いているほど、この論争は大きなものになった。

ドキュメンタリー映画、そして現在も継続中のニュースの主要人物はピューリッツァー賞にノミネートされたCarole Cadwalladr(キャロル・キャッドウォラダー)氏だ。彼女はフリーランスのGuardian(ガーディアン)紙のジャーナリストで、CA、トランプ、そしてブレグジットにつながる複雑に絡まった糸を最初に解きほぐした人物だ。

キャッドウォラダー氏は最近、TED Talkで高評価を得た講演を行った。この講演はかなり共有された。そして講演の中で彼女は、ブレグジット運動の展開者で出資者である事業家のAaron Banks(アーロン・バンクス)氏がロシア政府と持った一連の「密かな会談」について英国議会が発行した証拠を繰り返した。「Facebook’s role in Brexit and its threat to democracy」というタイトルの講演は200万回超視聴されている。

ブレグジットキャンペーンの資金調達、そしてNigel Farage(ナイジェル・ファラージ)氏、Donald Trump(ドナルド・トランプ)氏の2016年の大統領選キャンペーン、2016年の米国の選挙へのロシアの影響のつながりを取り上げたキャッドウォラダー氏の記事により、バンクス氏(トランプ氏と結びついている)は英国家犯罪対策庁(英国版FBI)犯罪調査の対象となった。

バンクス氏は、彼の財政的、政治的つながり、特にNetflixのドキュメンタリーに引用されているロシアの関係者との会合に関する記載は十分な証拠のない主張だとして、キャッドウォラダー氏に対し名誉毀損の手続きを始めた。さらにバンクス氏は、彼女の記事を掲載した出版元やバンクス氏の件についての講演を主催したTEDといった、法廷闘争を展開するリソースを持つところではなくキャッドウォラダー氏個人を訴えている。

この名誉毀損と戦う間、彼女のジャーナリズムをサポートするために、そして彼女の調査のリソースを増やすためにキャッドウォラダー氏はGoFundMeキャンペーンを立ち上げた。彼女はまた100万ポンドの名誉毀損の慰謝料に直面するかもしれない。

キャッドウォラダー氏の弁護団はこの訴訟が「完全にメリットなし」と自信を見せる一方で、同氏(社員ではないフリーランスの記者)は7桁の数字になるかもしれない訴訟のコストで破産する可能性がある。

報道の自由組織が「ジャーナリストを黙らせる」ための「法律の乱用」と指摘している動きの中で、同氏が何カ月も訴訟にかかりっきりになることになるかもしれないということを意味する。

「我々が報道したものは広範にわたる調査で、今回の訴訟に駆り立てたいくつかの深刻な犯罪調査のきっかけになったが、アーロン・バンク氏はTEDやGuardian、Observerを訴えていない」とキャッドウォラダー氏は声明文で述べている。

「その代わりアーロン・バンクスは私を脅し、苦しめるようと明らかに意図的に個人としての私をターゲットにすることを選んだ。大富豪がこのように法律を使うことができるというのは極めて憂慮すべきことだ。これは私への攻撃であるだけではない。ジャーナリズムへの攻撃だ」。

仲間のジャーナリストや報道の自由の運動者は、前外務大臣のJeremy Hunt(ジェレミー・ハント)氏へのオープンレターの中、でカドワルドラー氏へのサポートを呼びかけている。この手紙では、バンクス氏の主張を「市民参加に対する戦略的訴訟(SLAPP)」「公衆の関心事を追うジャーナリストを脅して黙らせる手段」と位置付けている。

バンクス氏の広報で、Leave.EUの広報担当でもあるAndy Wigmore(アンディー・ウィグモア)氏は、この訴訟はカドワルドラー氏がこじつけで真実ではない主張を続けるのを阻止するためのものだ、と話した。

[原文へ]

(翻訳:Mizoguchi)

ワシントンDC司法長官、FacebookのCambridge Analyticaスキャンダルを巡り訴訟

すでにユーザーたちの目は、Facebookの次の非道に向けられているかもしれないが、同社は今年前半のプライバシー問題の処理に今も追われている。

ワシントンDCのKarl Racine司法長官は水曜日(米国時間12/19)、Facebookを訴訟し,同社がユーザーデータ保護の責任を果たしていないと主張した。具体的にはCambridge Analyticaスキャンダルを取り上げ、Facebookの第三者とのデータ共有ポリシーが緩慢だったために、ユーザーの個人データが本人の許可なく金銭目的で収集されたと指摘した。

「Facebookはユーザーのプライバシー保護を怠り、データを誰がアクセスし、どのように使われるかを偽って伝えていた」と司法長官は訴訟理由を説明した。「Facebookは、Cambridge Analyticaなどの会社やその他のサードパーティーアプリケーションがユーザーの許可なく個人データを収集することを許し、ユーザーを危険にさらした。今日の訴訟はFacebookが約束を守り、ユーザーのプライバシーを保護することも求めるものだ」

発表によるとワシントンDCの司法長官事務局はFacebookに対して、ユーザーデータの共有を監視する「プロトコルとセーフガード」の実施と、ユーザー保護を容易にするプライバシーツールの実装を要求する強制命令の発行を見据えている。訴訟全文は以下に貼り付けてある。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook、データアクセスを許可していた52社名を米国議会に明らかに

Facebookは4月に米国議会の上院と下院の2つの委員会の議員から受けていた2000余りの質問に答える750ページに及ぶ書類を議会に提出した。

この書類(これは“人々のデータ…Facebookの情報”に要約できるーWord It Outのワードクラウドツールを使って調べた時、出現頻度の高い単語がこの2つの言葉だった)はおそらく、幼い子どもを眠らせる必要があるときには非常に有効なものとなる。というのも、これまで何回も繰り返してきた内容だからだ。

TextMechanicを使ってみたところ、この書類では重複している表記が3434カ所もあった。そこには、Facebookが最近、政治家に対してよく使うお気に入りの文言も含まれる。それは、「Facebookは一般に規則には反対しない。しかし正しい規則である必要がある」というものだ。Facebookは、議会のような規則に携わる人々と“正しい規則をつくる”ために共同作業を行うことを提案している。

この書類にあるFacebookのポリシーの多くが、間違った方向性と曖昧な言葉で盛られていて(うたた寝の繰り返しとともに)、唯一新たな情報はFacebookが特別にデータアクセスを許可していたー“インテグレーションパートナーシップ”と呼ぶAPI合意を介してー長いパートナーのリストだろう。

リストにあるいくつかの社名はNew York Timesが以前報じたものだ。New York Timesが先月指摘したように、Facebookを襲ったスキャンダルの核心は、プライバシーを尊重するとしていた主張を傷つけることになったデータ共有にある。というのも、ユーザーは明らかにデータ共有に同意していなかったからだ。

下記に、Facebookが今回議会に対して明らかにした52社のフルリストを案内するーただし、Facebookは「我々がいくつかのインテグレーションを確認できないというのはあり得ることだ。特に記録が集約されていない、社が立ち上がったばかりのころはそうした事態が想定される」と記し、このリストは完全なものではないかもしれない、と認めている。

リストに挙げられている会社名はデバイスメーカーだけではないーモバイル通信会社やソフトウェアメーカー、セキュリティ会社、そしてチップメーカーのQualcommすら含まれている。これは、Facebookがモバイルウェブのサービスに入り込むためにいかに動いてきたかを物語っているーそして、そんなにたくさんのサードパーティにユーザーデータを提供できたという事実を示している。

下記にある会社名で、*マークが付いているのはFacebookが言うところの“最終確定作業中”で(TobiiとApple、Amazonの3社は例外、2018年10月以降も続行する)、一方、**マークの企業はデータパートナーシップとなり、今後も続行するがフレンドのデータへのアクセスはない)。

  1. Accedo
  2. Acer
  3. Airtel
  4. Alcatel/TCL
  5. Alibaba**
  6. Amazon*
  7. Apple*
  8. AT&T
  9. Blackberry
  10. Dell
  11. DNP
  12. Docomo
  13. Garmin
  14. Gemalto*
  15. HP/Palm
  16. HTC
  17. Huawei
  18. INQ
  19. Kodak
  20. LG
  21. MediaTek/ Mstar
  22. Microsoft
  23. Miyowa /Hape Esia
  24. Motorola/Lenovo
  25. Mozilla**
  26. Myriad*
  27. Nexian
  28. Nokia*
  29. Nuance
  30. O2
  31. Opentech ENG
  32. Opera Software**
  33. OPPO
  34. Orange
  35. Pantech
  36. PocketNet
  37. Qualcomm
  38. Samsung*
  39. Sony
  40. Sprint
  41. T-Mobile
  42. TIM
  43. Tobii*
  44. U2topia*
  45. Verisign
  46. Verizon
  47. Virgin Mobile
  48. Vodafone*
  49. Warner Bros
  50. Western Digital
  51. Yahoo*
  52. Zing Mobile*

注記:リストの46番目ーVerizonーはTechCrunchを運営するOathの親会社だ。

先月New York Times の報道によると、FacebookはデバイスメーカーがAPIをインテグレートしたデバイスを通じてFacebookユーザーとそのフレンドの情報に十分にアクセスできるようにしていた。

このパートナーシップの数と範囲は、Facebookがいかにユーザーデータを扱っていたかという、プライバシーについての疑念を巻き起こした。そこには、他のデベロッパーが‘Kogan’のような行いをしたり(日本語版編集部注:KoganはCambridge Analyticaに個人情報を流していた)、フレンドAPIを通じて大量のデータを入手したりするのを防ぐためにAPIを変更したとき、Facebookが繰り返し“プラットフォームをロックダウンした”としていた主張に対しても何らかの疑いを持たざるを得ないものだ。

3月に表面化したCambridge Analyticaの一件以来、雪だるま式に膨れ上がったプライバシースキャンダルに対するFacebookの対応はまったく無残なものだったが、フレンズのデータAPIを閉鎖した2015年には、ユーザーデータへのアクセス制限を補強したと主張していた。

しかし、他企業とデータ共有する取り決めの範囲をみると、人々のデータ(フレンドデータを含む)を彼らが選んだ多くの企業に静かに渡していたという事実を意味する。ユーザーの許可なしでだ。

これは、FacebookがFTC(米連邦取引委員会)と合意に至った2011年の審決に直接関係する。この審決では、Facebookは、プライバシーやユーザーデータのセキュリティについて誤解を招く表現を避ける、“Facebookでの情報はプライベートに保存でき、それからシェアしたり公開したりもできると言いながら”顧客を欺いた点を改めることに同意している。

にもかかわらずそれから数年後、Facebookは50社とデータ共有APIインテグレーションを行い、そうした企業がFacebookのユーザーのデータにアクセスできるようにしていた。Cambridge Analyticaの件が国際的スキャンダルになった4月以降、明らかにこうしたパートナーシップは下火になりつつある。

書類ではFacebookは52社のうち38社とはすでにデータ共有していないとしている。しかしながらデータ共有の終了がいつだったのか明記しておらず、7社とのデータ共有を7月末までに、もう1社は10月末までに終わらせるとしている。

「3社とのパートナーシップは継続する:(1)Tobii 、ALSを患うユーザーがFacebookにアクセスできるようにするアプリ、(2)Amazon、(3)Apple、2018年10月以降も継続することで合意している」とのこと。ただ、AmazonがFacebookのデータで実際に何をするのかは省略している(おそらく、モバイル端末Fireシリーズとのインテグレーションだろう)。

「また Mozilla、Alibaba、そしてOperaとのパートナーシップも継続する見込みだ。これによりユーザーはそうしたウェブブラウザでFacebookのノーティフィケーションを受信できるようになる。しかし、このインテグレーションではフレンドデータへのアクセスはない」。この表現から思うに、この3社は以前はフレンドデータへのアクセスが可能だったのだろう。

こうしたインテグレーションのパートナーシップは、サードパーティのアプリデベロッパーがアプリをつくるために公開されたAPIを使用するのとは全く異なるもの、とFacebookは主張する。というのも、パートナー企業がつくるアプリケーションの場合はFacebookスタッフが承認しているからだ。

さらに、パートナーは“認可されたインテグレーションに関係のない目的のためにFacebookのAPIを通じて得た情報をユーザーの同意なしに使うことは禁じられている”としている。これに関し、こうしたパートナーシップに関わるスタッフやエンジニアリングチームは、認可されたAPIがパートナーの商品にどのように統合されたのか確かめたり、承認したりとパートナーシップを管理できると述べている。

「これとは対照的に、我々のデベロッパーオペレーション(“Dev Ops”)はサードパーティのデベロッパーを監督するが、このサードパーティのデベロッパーはどのようにアプリを作るかは自分たちで決めるーFacebookのプラットフォームポリシーと公開APIを使うための許可についてのDev Opsの承認に従わなければならない」としている。つまり、ユーザーデータへのアクセスに関して、Facebookは二重構造システムをとっていることになる。サードパーティデベロッパーは、Facebookがパートナー企業のインテグレーションをレビューするのと同じような扱いにはならない。

ケンブリッジ大学の教員Aleksandr Koganはクイズアプリをつくり、2014年にFacebookユーザーのデータをCambridge Analyticaに売る目的で集めていた。Koganは、Facebookが条件を適用しておらず、有効なデベロッパーポリシーを持っていなかったと主張している。

もちろんFacebookは、ユーザーデータを使ってデベロッパーが何をしているのかというチェックが、パートナー関係の企業に対するチェックに比べて少なかったことを認めている。

Facebookに“インテグレートする”ということが何を意味するのか説明するよう求めた米国議員への対応としてのこの書類は、2016年のデータポリシーに対峙するものだ。そこでは「サードパーティのアプリやウェブサイト、その他サービスを使うとき、また我々のサービスと統合されたものを使うとき、サードパーティーやインテグレーションを行なっている企業は、あなたの投稿や共有したものについての情報を入手するかもしれない」と記されている。Facebookはまた、インテグレーションパートナーシップについても“一般に、Facebookに認可された特別なインテグレーションを行うためのAPIを使用する権限を付与するという、特別な合意に基づくもの”と表記している。

ここで使用されている“一般に”という言葉には要注意だ。こうしたパートナーシップのいくつかではその範疇を超えていることをうかがわせる。しかしながらこれについてFacebookは詳細を明らかにしていない。

我々はFacebookに対し、さらなる情報を求めている。例えば、これらのインテグレーションパートナーシップの目的がリスト化される予定があるのかどうか、といったことだ。これには、パートナー企業が受け取ったユーザーそしてフレンドデータの種類、各パートナーシップの締結の日時や期間も含まれる。これに対し、Facebookのスポークスマンは、今のところ追加で出す情報はない、としている。

書類では、Facebookはユーザー情報の使用法4つをリストに挙げている。ここにはインテグレーションパートナーシップを結んでいる企業のデータ使用目的も含まれる。すなわち、いくつかのパートナー企業は自社のデバイスやOS、製品のためのアプリバージョンをつくっているということになる。このバージョンでは“私たちがFacebookのウェブサイトやモバイルアプリでつくった重要なFacebookの機能を模倣している”。複数のソーシャルサービスからのメッセージを集めるソーシャルネットワーキング“ハブ”だったり、Facebook機能をデバイスに搭載する(Facebookに写真をアップロードしたり、Facebookにある写真を端末にダウンロードしたり、あるいはFacebookにある連絡先をアドレスブックに統合したりといったもの)ために、Facebookデータ情報をシンクさせられるようにするというものだ。また、モバイルからインターネットアクセスがないフィーチャーフォンユーザーのための、Facebookのノーティフィケーションやコンテンツがテキスト経由で届けられるUSSDサービスも開発された。

ゆえに我々は、このパートナーシップにより、Facebookが承認するインテグレーションでどんなものがそのほかにつくられたのだろう、と思案している。

加えて、いつからインテグレーションパートナーシップが始まったのかFacebookが明らかにしていないのは特記に値する。それを明らかにする代わりに、彼らはこのように記している。

世界中の人々が携帯電話でインターネットにアクセスするのにiOSやAndroidを活用するようになる以前にインテグレーションは始まった。人々はテキストのみの電話やフィーチャーフォン、能力差のある初期のスマートフォンなどを使ってネットに接続できるようになった。そうした中で、FacebookやTwitter、YouTubeといったインターネットサービスに対する需要は、どの電話やOSでも使えるサービスのバージョンを作るという我々の能力を超えるものだった。解決策として、インターネット企業はデバイスの製造に注力するようになり、他のパートナーは人々が幅広いデバイスや商品でアクセスできる手法を作り出した。

データ共有がなぜ始まったのか、かなりもっともらしい説明に聞こえる。しかし、なぜほんの数週間前までデータ共有の多くが続けられていたのかについては不透明だ。

Facebookは他社とのデータ共有について、別のルール違反のリスクに直面している。というのも、EUと米国には法的枠組みPrivacy Shieldの調印があるからだ。この枠組みでは、何百万というEUユーザーの情報を処理するために米国へ移すことを許容している。

しかしながら、このメカニズムには法的重圧が加えられつつある。先月、欧州議会委員会は、Facebook、Cambridge Analyticaスキャンダルについて明確に懸念を表し、EU市民のデータを保護できなかった企業はPrivacy Shieldから除外されるべきなどとして、このメカニズムを一時停止するよう要求した。

現在のところFacebookはまだPrivacy Shieldに含まれているが、EU市民のデータを保護するための責任を果たさなかったとみなされた場合、米国の監督機関により除外される可能性がある。

3月に FTCはプライバシーの運用に関する新たな調査を開始したことを認めた。この調査は、何千万人というFacebookユーザーのデータが、ユーザーの認知しないところで、あるいは承認なしにサードパーティーに提供されていた事実が明らかになったことに続くものだ。

もし、Facebookが人々のデータを誤操作し、審決に反すると FTCが認めた場合、Privacy Shieldから除外されるようFacebookに重圧がかかることになるだろうー除外されるとなるとFacebookはEUユーザーのデータを移送するのに他の合法的な方法を模索しなければならない。または、EUが施行した新データ保護法GDPRに基づく巨額の罰金のリスクを負うことになる。

Facebookが現在活用しているもう一つのデータ移送の手法はー標準契約条項と呼ばれているーすでに法的に難しい状況に陥っている。

全てのアプリでデータ流用の延長

書類には、2015年5月にフレンズデータAPIを終了させたのちデータアクセス延長が認められた61のデベロッパー(下記の通り)のリストも記されている。こうしたデベロッパーは“2015年5月以降、1度限りの6カ月未満の延長”が与えられた。ただし、例外が一つある。アクセシビリティのアプリSerotekには2016年1月までの8カ月の延長が与えられた。

Facebookフレンドデータを流用するための期間延長が認められたデベロッパーが展開するものには、デートアプリ、チャットアプリ、ゲーム、音楽ストリーミングアプリ、データ分析アプリ、ニュースまとめアプリなどがある。

  1. ABCSocial, ABC Television Network
  2. Actiance
  3. Adium
  4. Anschutz Entertainment Group
  5. AOL
  6. Arktan / Janrain
  7. Audi
  8. biNu
  9. Cerulean Studios
  10. Coffee Meets Bagel
  11. DataSift
  12. Dingtone
  13. Double Down Interactive
  14. Endomondo
  15. Flowics, Zauber Labs
  16. Garena
  17. Global Relay Communications
  18. Hearsay Systems
  19. Hinge
  20. HiQ International AB
  21. Hootsuite
  22. Krush Technologies
  23. LiveFyre / Adobe Systems
  24. Mail.ru
  25. MiggoChat
  26. Monterosa Productions Limited
  27. never.no AS
  28. NIKE
  29. Nimbuzz
  30. NISSAN MOTOR CO / Airbiquity Inc.
  31. Oracle
  32. Panasonic
  33. Playtika
  34. Postano, TigerLogic Corporation
  35. Raidcall
  36. RealNetworks, Inc.
  37. RegED / Stoneriver RegED
  38. Reliance/Saavn
  39. Rovi
  40. Salesforce/Radian6
  41. SeaChange International
  42. Serotek Corp.
  43. Shape Services
  44. Smarsh
  45. Snap
  46. Social SafeGuard
  47. Socialeyes LLC
  48. SocialNewsdesk
  49. Socialware / Proofpoint
  50. SoundayMusic
  51. Spotify
  52. Spredfast
  53. Sprinklr / Sprinklr Japan
  54. Storyful Limited / News Corp
  55. Tagboard
  56. Telescope
  57. Tradable Bits, TradableBits Media Inc.
  58. UPS
  59. Vidpresso
  60. Vizrt Group AS
  61. Wayin

注記:リスト5番目にあるAOLは、TechCrunchの親会社Oathの前身だ。

Facebookはまた、Cambridge Analyticaスキャンダルをきっかけに現在も行われているアプリ監査についても述べている。それによると、“ベータテストの中でのAPIアクセスによる、限定されたフレンズデータに理論上アクセスが可能だった”企業の数は“かなり少ない”という。

その企業名は以下の通りだ。

  1. Activision / Bizarre Creations
  2. Fun2Shoot
  3. Golden Union Co.
  4. IQ Zone / PicDial
  5. PeekSocial

「我々はこうした企業がアクセスを活用したのかは認知していない。こうした企業がフレンズデータにアクセスできないような措置はすでにとられている」と付け加えている。

アップデート:フェイスブックは“ユーザーデータをより保護するため”さらなるAPIの利用制限を発表した。変更については、ここで詳細を見ることができる。

Facebookは好ましくないAPIを閉鎖したり変更したりするのに、デベロッパーと共同で取り組むとしている。

[原文へ]

(翻訳:Mizoguchi)

ユーザーデータの濫用を防ぎたいFacebookがAPIの利用制限をさらに発表

Cambridge Analyticaによるデータ濫用不祥事と、さらに最近の、Facebookのアプリが1億2000万人のユーザーのデータをリークしていたという発見を受けて、Facebookは今日(米国時間7/1)、ユーザー情報を保護するためのAPIの変更を発表した。この変更によって、デベロッパーが使用するAPIのうち、サイト上にソーシャルな体験を作るものや、メディアパートナーのためのAPIなどが影響を被る。

あまり使われないので閉鎖されるAPIもあるが、そのほかについてはアプリの見直しが必要だろう、とFacebookは言っているう。

今回の措置で発効するAPIの制約は、以下のとおり:

  • Graph API Explorerアプリ: このテストアプリは、今日から非推奨になる。今後Graph API Explorer上のクエリーをテストしたいデベロッパーは、自分のアプリのアクセストークンを必要とする。
  • Profile Expression Kit: プロファイルの写真を飾ったりビデオにしたりするこのAPIは、濫用の可能性があるからではなく、利用者が少ないから閉鎖されるAPIの仲間だ。10月1日に閉鎖される。
  • Media Solutions API集: 利用者の少ないTopic Search, Topic Insights, Topic FeedおよびPublic Figure APIsは8月1日に閉鎖される。ジャーナリストのためのTrending APIとSignalツール、Trending Topicsプロダクト、そして対話的テレビ体験のためのHashtag Votingは、すでに非推奨だ。今後は、パブリックなコンテンツの発見APIはパブリックなポストと、一部の検証済みのプロファイルに限定される。
  • Pages API: Pages APIによる検索は可能だが、ただしPage Public Content Accessの許可を要する。許可は、アプリのレビュープロセスによってのみ、得られる。
  • Marketing API: このAPIも、アプリのレビュープロセスで認められた者のみが使える。
  • Leads Ads Retrieval:これもアプリのレビューにおける許可が必要。
  • Live Video APIs: 同上。

変更の詳細はFacebook Newsroomのこの記事にある。それによると、変更は今後まだまだありそうだ。

Facebookは、データをリークしていたかもしれないアプリを見つけるために、アプリのエコシステムを監査していた。また、その取り組みと関連して、以前は、人びとの情報のアクセスや利用をFacebookが管理できるための一連のAPIの変更発表していた

今回のAPIの変更には、Facebookが4月に変更を加えたFacebook Login, Groups, Eventsなどのような、より高度なAPIが含まれていない。でも、デベロッパープラットホームのレビューは依然として行われているから、これからもいろんなAPIが検証の俎上に乗るだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

デジタル政治運動 vs 民主主義:英国の選挙監査人、早急の法改正求める

英国の選挙委員会によるレポートでは、政治運動に使用されるデジタルツールについての不信感が民主プロセスを脅しているとして、その透明性を高めるために早急な法の見直しが必要と指摘している。

選挙運動の支出も監視するこの委員会は、1年かけて2016年に行われたEUからの離脱を問う国民投票と2017年の総選挙においてデジタル運動がどのように活用されたのかを調査すると同時に、デジタル運動についての投票者の考えを分析した。

同委員会が改善すべきと考えているのは、選挙支出に関する透明性だ。これにより、英国内での選挙運動に海外から資金が流入するのを防ぐことができ、選挙資金規制を破った場合に重大なペナルティを科すなどの経済的罰則を強化できる。

先のブレグジット(欧州連合からの英国脱退)運動ー脱退を支持する公の運動も含めーが選挙資金規制に反しているのではないかという調査はまだ続いている。BBCは先週、その運動で規制違反があったと選挙委員会が認めるだろうという内容のレポートの下書きについて報じた。

また、Leave.EU Brexit運動は先月、選挙委員会の調査の結果、国民投票の期間中にいくつかの点で選挙法を破ったとして、7万英ポンドの罰金を科せられた。

選挙に巨額の資金が注ぎ込まれるのが当たり前になっているのを考慮してもー別の欧州脱退賛成グループVote Leaveは700万ポンドをつぎ込んでいる(こちらも超過を指摘されている)ー明らかに、選挙委員会は法の実行のためにさらなる措置を必要としている。

デジタルツールは、民主参加を促すと同時に、選挙詐欺もしやすくしてしまっている。

「デジタル運動において、我々の出発点というのは選挙への参加であり、だからこそオンラインコミュニケーションのいい面を歓迎している。投票者への新たなアクセス方法があるというのは、みなとにとって益があり、我々は投票者保護を模索する過程において言論の自由を害さないよう細心の注意を払わなければならない。と同時に、現在デジタル運動について疑念がわき起こっているのも事実で、この点については早急に対応する必要がある」と委員長のJohn Holmesはレポートで書いている。

「デジタル運動の資金調達は、選挙支出や寄付に関する法律でカバーされている。しかし、誰がどれくらいの額を、どこで、どのように使ったのかをはっきりさせる必要があり、法を破った人にはより厳重な処罰を科す必要がある」

「ゆえに、このレポートでは英国政府ならびに議会に対し、オンライン運動が誰をターゲットにしているのかを投票者にわかりやすくし、またあってはならない行為を未然に防ぐために、ルールの改正を求める。このレポートとともに公開する世論調査では、投票者の混乱や懸念が浮き彫りになり、新たな策の必要性も明らかになっている」

選挙委員会の主な提案というのは以下の通りだ。

・誰が運動を行なっているのかをデジタルマテリアルに明記するよう、英国政府そして議会が法律を変更する

・政府も議会も、費用についての申告書のルールを改める。運動を行う人に、出費申告書を出費のタイプごとに細分化させる。こうしたカテゴリー分けをすることで、デジタル運動にいくら費やしたのかがわかるようになる。

・運動を行う人に、透明性を高めるためにデジタルサプライヤーからのインボイスをより詳しく、かつわかりやすい形で開示させる

・ソーシャルメディア企業は、英国における選挙と国民投票のための運動材料や広告についてポリシーを改善すべく我々とともに取り組む

・ソーシャルメディアプラットフォームにおける英国選挙や国民投票への言及はソースを明らかにすること。政治的な言及についてのオンラインデータベースは、英国の選挙や国民投票についてのルールに則る

・英国政府も議会も、許可されていない海外の団体や個人が負担する選挙や国民投票にかかる費用について明らかにすること。言論の自由を脅かしていないかも考慮すべき

・運動を行う人や政府に対し、我々はどのようにルールや費用報告の締め切りを改善すべきか提案を行う。運動後、または運動中でも我々、そして投票者に対し速やかに情報開示することを望む

・政府、そして議会は、ルールを破った運動家に科す罰金の最高額を増やし、また調査以外の部分からも情報が得られるよう選挙委員会の権限を強化する

これらの提案は、Cambridge Analyticaの件を告発したChris Wylie(この記事のトップにある写真に写っている)の暴露の影響を受けている。Wylieはジャーナリストや法的機関に対し、Facebookユーザーの個人情報が、ユーザーの知らないところで許可なく政治運動での利用を目的に、今は廃業してなくなった選挙コンサルティング会社にいかに不正に流されたのかを詳細に語った。

Cambridge Analyticaのデータ不正使用スキャンダルに加え、Facebookもまた、クレムリンの息がかかったエージェント社会的な分断を招くようー2016年の米国大統領選挙もここに含まれているーいかにターゲティング広告ツールを集中的に使用したかという暴露で批判にさらされてきた。

Facebookの創業者マーク・ザッカーバーグは、Facebookのプラットフォームがどのように運営され、民主プロセスにどのようなリスクを与えているのか、米国欧州の議員に問いただされた。

Facebookはサードパーティーがデータを入手しにくくなるよう、また政治広告に関する透明性を高めるためにいくつかの変更を発表した。たとえば、政治広告に対しその資金はどういうものなのか詳細を明らかにする、検索可能なアーカイブを提供する、といったことだ。

しかしながらFacebookの対応が十分かどうかということに対しては批判的な見方もある。たとえば、どれが政治広告でどれが政治広告ではない、ということをどうやって決定するのかといった疑念だ。

また、Facebookはプラットフォーム上の全広告の検索可能なアーカイブを提供してない。

ザッカーバーグは米国、欧州の政治家の質問に対し、あいまいにしか答えなかったとして批判されている。Facebookのプラットフォームがどのように運営されているのかについての懸念や質問に対し、ごまかし、ミスリードし、そして国際社会を混乱させたとして、ザッカーバーグは議会に呼び出された。

選挙管理委員会は直にソーシャルメディアに対し、デジタル政治広告についての透明性をより高め、“適切でない”コメントは削除するよう求めている。

加えて、「もしこれが不十分だということになれば、英国政府、そして議会は直の規制を検討すべき」と警告している。

これに対し我々はFacebookにコメントを求めていて、反応があり次第アップデートする。

内閣府の広報官は、選挙委員会のレポートに対する政府の反応を間もなく伝えるとしていて、こちらも入手次第アップデートする。

アップデート:内閣府の広報官は「政府は、公正さ、適切な民主プロセスを維持するため、デジタル運動における透明性の向上を図らなければならない。デジタル運動で氏名を明らかにするという提案は今後検討する」と発表した。

英国のデータ保護の監視人であるICOは、引き続き政治運動におけるソーシャルメディアの活用を調査している。Elizabeth Denhamコミッショナーは最近、政治広告に関するさらなるルールの開示と、ソーシャルメディア運営会社の行動規範を要求した。長く展開されてきた調査の結果は間もなく明らかになると見込まれている。

と同時に、 DCMS(デジタル・文化・メディア・スポーツ省)委員会は、フェイクニュースやオンライン上の偽情報のインパクト、また政治プロセスに対するインパクトの調査を行なっている。ザッカーバーグに証言するよう求めたものの却下されている。ザッカーバーグは、CTOのMike Schroepfer含む何人もの手下を身代わりに送っている。Schroepferは憤まん募らせた議員から5時間にわたって集中砲火を浴びたが、彼の答えはまったく議員らを満足させるものではなかった。

DCMS委員会は、大きなテクノロジーが民主プロセスに及ぼした影響について、別のレポートにまとめておそらく数カ月内に公表する見込みだ。委員長のDamian Collinsは今日、「調査は、時代遅れの選挙法が巨大なテックメディアに支配されつつあるか、といったことについても焦点をあてている」とツイートした。

間もなく発表される、ブレグジット運動支出のレポートについて、選挙委員会の広報官は我々に次のように語っている。「実施方針に従って、選挙管理委員会は2017年11月20日から始まった調査の結果をVote LeaveのDarren Grimes氏とVeterans for Britainに対しすでに通知している。最終的な判断が出る前に、抗議する猶予として28日間が与えられている。最終決定が下されれば、委員会は調査結果を公表し、また調査のレポートを公表する」。

イメージクレジット: TOLGA AKMEN/AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi)

Facebook曰く、Cambridge Analyticaの不正に気付かなかったのは「古いタイプの脅威」に集中していたから

Cambridge Analyticaの2016年大統領選挙に関わる大規模なデータスキャンダルを見聞きした人々の多くは、どうしてそんなことが起きたのか不思議に思っている。実は、Facebookも、起きると思っていなかった。Facebook COOのSheryl Sandbergが今晩(米国時間5/30)のCodeカンファレンスで語った。

「2016年に戻って、人々が国や州や選挙機密について何を心配していたかを考えると、ほとんどがスパムやフィッシングによるハッキングだった」とSandbergは言った。「それがみんなの心配事だった」。

SandbergはSonyのメールハッキング事件を引き合いに出し、当時Facebookには、他の企業が抱えていた多くの問題はなかったと説明した。不幸なことに、Facebookはその分野で失敗はしなかったものの、「違う種類のもっと狡猾な脅威が来るとは思っていなかった」とSandbergは言った。

「われわれは新しい脅威がやってくることを予期していなかったことに気付いた。以前は古い脅威に集中していたが、今はこれがわれわれの抱えている問題であることを理解している」

今後に向けてSandbergは、今Facebookは問題を認識しており、将来の選挙に向けてこれらの脅威によりよい対応ができるようになったと語った。さらにSandbergは、Cambridge Analyticaの不正アクセスを発見したのが遅かっただけではなく、FacebookはいまだにCambridge Analyticaが何のデータをアクセスしたのかを正確にはわかっていないことも壇上で語った。Facebookは英国政府が独自の監査を行った際、まだ自社による監査の最中であったため、調査が一時中断した。

「われわれが当社のものであると識別できた可能性のあるデータを彼らは一切持っていなかった」とSandbergは言った。「今日にいたるまで、Cambridge Analyticaが何のデータを所有していたのか、まだわかっていない」。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebookの個人情報保護はまだ不十分、とドイツ司法大臣

ドイツの司法大臣はFacebookの個人情報流出問題に関して、サードパーティデベロッパーや他の外部プロバイダーがFacebookの情報を誤った形で使用することができないよう、内部統制と罰則を盛り込んだプラットフォームを要求する書簡をFacebookに送った。サードパーティがプラットフォームポリシーを遵守し、ルール違反した場合には厳しい罰則を課すことを求めている。

地元メディアに全内容が掲載されたこの手紙は、ロンドンのオブザーバー紙とNYタイムズが3月中旬にスクープして以来、Facebookが集中砲火を浴びている個人情報流出問題をさらに追求するものだ。このスクープ報道は、Cambridge AnalyticaがFacebookユーザー8700万人の個人情報をどうやって入手して選挙で不正利用したか、詳細を白日の下にさらした。

Facebook創業者でCEOのマーク・ザッカーバーグに宛てた書簡で、カタリーナ・バーレー司法大臣は、ユーザーのプライバシーに関してFacebookが最近とった対策について、“データディーラー”との協業を制限するのは“いいスタート”と評するなど歓迎の意を表明した。

しかし、バーレー司法大臣はFacebookにさらなる対応を求めている。データと利用者の保護という観点で一連の“必要不可欠な措置”をとるべき、というものだ。

大臣はまた、ドイツそして欧州におけるデータと消費者保護という点で、今回のCambridge Analyticaスキャンダルに伴いFacebookは長期の批判にさらされることになるとしている。加えて、Facebookの情報の扱いについてさまざまな告訴がなされたことも示唆している。

「遺憾ではあるが、Facebookはこれまで批判に対し十分に対応してこなかった」(Google Translateによる翻訳)。さらに「Facebookはデータ収集とデータの使用を拡大させ続けてきた。これは、プライバシー、そしてユーザーやサードパーティの自己決定を犠牲にしているものだ」と記している。

そして「必要なのは、Facebookが企業責任を果たし、抜本的に見直すことだ」と手紙を結んでいる。「(ザッカーバーグ氏は)インタビューや広告の中で、EUの新たな情報保護法はソーシャルネットワークにとって世界のスタンダードだ、と述べている。残念なことに、こうした考えをFacebookが履行しているかははなはだ疑問だ」と批判。さらに、EUの法律が適用されることがないよう、15億人にものぼる世界のユーザーのデータ操作ステータスを変更するとしたFacebookの決断についても懸念を示し、「だからこそ今後もFacebookが行うことを注視していく」と述べている。

Cambridge AnalyticaがFacebookの個人情報を使用していたという暴露が、Facebookにとって世界的なプライバシー問題へと発展して以来、同社はプラットフォーム上でのデータ保護を実行するためいくつかの見直しを明らかにした。

しかし、実際のところ、Facebookが発表したこの見直しのほとんどは、5月25日に施行されるEU一般データ保護規則(GDPR)への対応として少なくとも数カ月も前から準備が進められていたものだった。

にもかかわらず、Facebookの打ち出した策はプライバシー問題の専門家から手厳しく批判されている。GDPRに十分に対応しているものではなく、GDPRが適用されれば法的な問題とを引き起こす、とみている。

例えば、Facebookが先月発表した新たな同意の流れというのは、意図的な操作とみなされ、少なくとも新ルールの精神に反するものだと批判されている。

バーレー大臣はこうした批判を手紙の中で取り上げ、Facebookに下記の点を実行するよう、具体的に求めている。

・ユーザーにとっての透明性を高める

・ユーザーデータの取り扱いでの真のコントロール

・当然あるべきプライバシーと、Facebookのエコシステムへの同意についての厳密なコンプライアンス

・客観的、中立的、そして排他的でなく、ごまかしもないアルゴリズム

・設定や使用についてのユーザーの自由な選択

同意については、大臣はGDPR下では、Facebookはデータ使用ごとにユーザーの同意を得る必要があることを強調している。一括同意ですべての点で同意を得た、というふうにはできないというものだ。

これは、明らかにFacebookがいまやろうとしていることだ。例えば、欧州のユーザーに顔認証を選択するかどうかをたずねるとき、これによりユーザーの写真を外部の人が勝手に使用するのを防ぐことができるかもしれない、また、視覚障害を抱える人にとって助けとなるかもしれないと案内している。しかし、Facebookが必ず行う商業利用への同意の中には具体的な例は示されていない。

大臣はまた、GDPRではプライバシーをデフォルテ設定し、データの収集を最低限に抑えることが要求されると強調。GDPRに従うには、全てのデータ処理を見直す必要があるという主張だ。

“友達”からのデータ移送は、それぞれのケースで明白な同意の元行われるべきだ、とも述べている(2014年にデベロッパーがFacebookのプラットフォーム上でユーザー8700万人分のデータを収集してCambridge Analyticaに情報を流していたとき、同意は欠落していた)。

さらに、バーレー大臣ははっきりとFacebookに対し、シャドウプロファイルを作るべきではないと警告している。このシャドウプロファイル問題は先月、米議会がザッカーバーグ氏を呼んでただすなど、法的問題となっている。

Facebookは自社の開発者会議f8で、これまで同社が収集していたユーザーのブラウズ履歴を削除できるボタンを導入すると発表した。しかしこれは単に矛盾を強調するだけのものだ。Facebookによって追跡されている非ユーザーはこの削除ボタンを利用できないし、そもそも追跡などしないでくれとFacebookに言うこともできないからだ。

Facebookが、この非ユーザーのデータから発生した情報をどう扱っているのか明らかでもない。

確かに、このブラウズ履歴削除ボタンをクリックすることで、ユーザーは閲覧したサイトの履歴を消去することはできるだろう。しかしそれは、データから収集されたものを全て消去する、ということにはならない(おそらく見えないプロファイルに追加され、広告戦略目的に使用される)。

履歴削除のボタンは、FacebooknのPRにすぎない、と言ってもいいだろう。「ユーザーにしかるべき操作機能を提供している」と言えるようにする。これは、議員の追及をかわす戦略の一つなのだ(先月の米国議会でのやり取りは全く誠実さに欠けるもので、英国議会でもおおっぴらに批判された)。

TechCrunchでも、この履歴削除がどのように働くのか、なぜ導入するのかといった質問をFacebookに送っている。なぜなら、このボタンはデータ追跡を完全にブロックする機能を持っていないからだ。2日間にわたりこうした内容の電子メールを送っているが、Facebookからまだ一切返事はない。

主なWebサービスで使われているトラッキングピクセルやソーシャルプラグインを通じて集められた非ユーザーのデータの扱いをEUの規則に照らすと、Facebookはすでに苦境に陥っている。GDPRが施行されると、同意なくデータを利用するのは、そのアプローチを大幅に見直さない限り、明らかに大きな問題となる。

バーレー大臣は手紙の中で、政治的影響や意見操作を目的とする誤ったFacebookプラットフォームの使い方についても懸念を示している。そうした乱用や巧妙な操作の可能性を排除するため(例えばフェイクアカウントやソーシャルボットなど)、テクニカル面そして組織的面においてあらゆる方策をとる必要があると指摘する。その際は、客観的で中立的、そして排他的でないアルゴリズムを確保するよう述べている。

大臣はまた、独立したレビューを可能にするためにも対策をすべて開示するようFacebookに求めている。

Facebookは巨大だ。WhatsAppやInstagramといった人気のプラットフォームを傘下に抱え、効率的に収益を上げるエコシステムを急速に拡張してオフサイト追跡を展開している。バーレー大臣に言わせると、このエコシステムはドイツ、そして欧州のユーザーのプライバシーや自己決定権を犠牲にしているものとなる。

Facebookは大臣の手紙に対するコメントを複数から求められているが、この記事の執筆時点では応じていない。

[原文へ]

(翻訳:Mizoguchi)

Facebookはネガティブなメッセージに非対称の優位性を与えている


Facebookの批評家としてRoger McNameeほど適した人物はいない。Elevation Partnersのマネージイング・ディレクターでFacebookの初期の投資家でもあるMcNameeは、Mark Zuckerbergのメンターを務めただけでなく、彼にSheryl Sandbergを引き合わせた人物でもある。

このため、過去数年のFacebook、中でもCambridge Analytica 騒動に対する高まる世論の批判のなかでもMcNemeeの意見は決して軽視することはできてい。

McNameによると、Facebookは「人間の感情」に基づくテクノロジー企業を開拓した。Facebookがわれわれの「潜在的感情」をすべて知っていることから、第三者がこの国の民主主義と経済を根本から揺るがす事態が起きている。McNameeは、2016年の英国EU離脱の国民投票と、米国大統領選挙の両方でこれを目の当たりにし、Facebookはネガティブなメッセージに「非対称の優位性」を与えていると結論づけた。

McNameeは今もFacebookは修正可能だと信じている。しかしそのためには、ZuckerbergとSandbergのふたりが今起きていることに対して「正直」になり、民主主義を強化する「市民の義務」を認識する必要があると主張する。そして彼の言う「ダークサイド」を認めそれに直面するうえでは、テクノロジーも役割を担うことができるとMcNemeeは信じている。

もちろんMcNamee自身もそれを実践している。彼は元Googleの製品哲学担当者、Tristan Harrisと共にThe Center for Human Technologyを設立した。これはシリコンバレーの著名人たちによるアライアンスで、「テクノロジーを人間の最大利益に合わせて再編する」ことを目的としている。

原文へ]

(翻訳:Nob Takahashi / facebook

これがマーク・ザッカーバーグの議会証言の草稿だ

水曜日(米国時間4/11)に予定されているMark Zuckerbergの公聴会に先立ち、下院エネルギー・商業委員会はFacebook CEOの準備された声明文を公開した。

その中でZuckerbergは、Facebookは一貫して楽観的な企業であり、人々をつなぎ、発言の場を与えることに集中していることを説明した。しかしZuckerbergは、一連の理想主義的思考が、Facebookの持つツール群を悪用される可能性に関する判断を誤らせたかもしれないことを認めた。

しかし、ツールが害を与えるために使われるのを防ぐための努力が十分ではなかったことは明白だ。たとえば、偽ニュース、海外からの選挙妨害、ヘイトスピーチ、さらにはデベロッパーやデータのプライバシーなどが挙げられる。われわれは自分たちの責任を十分に捉えていなかった。それは大きな間違いだった。私の間違いであり申し訳なく思っている。私はFacebookを立ち上げ、経営してきたのでそこで起きるとの責任は私が負う。

声明は、Cambridge Analyticaスキャンダルとロシアの選挙妨害にも言及し、それぞれの状況で何が起こり、問題を解決するためにFacebookが何をしているかを詳しく説明している。

Zuckerbergは米国時間10日に上院で、12日に下院で証言する。本誌は両方の公聴会を報じる予定だ。

Zuckerbergの声明全文を下に埋め込んである。

[原文へ]

(翻訳:Nob Takahashi / facebook

ケンブリッジ・アナリティカ、Facebookデータ8700万人分入手を否定…実際には3000万人

本日(米国時間4/4)Cambridge Analyticaは、同社が8700万人分のユーザーデータを不正に入手したとするFacebookの発表に反論した。実際にはDr. Aleksandr Koganの調査会社、Global Science Researchから「ライセンスを受けたデータは3000万人分以下」だと主張している。さらに、2016年の米国大統領選挙でトランプ陣営に雇われた際にこのデータは利用しておらず、Facebook から通知を受けたあと直ちに原データを削除し、派生データの削除作業を開始したことも言明した。

Cambridge Analyticaの声明全文を以下に引用した。本誌はFacebookに、2社の主張の食い違いについてコメントを求めたが拒否された。

Facebookのプライバシーポリシーと強制力の弱さは、あのCambridge Analytica騒動を引き起こし、Facebookの時価総額を1000億ドル近く下げるスキャンダルへとつながった。そんな批判にFacebookが耐え続けるなか、言った言わないの議論は今後ますます激化しそうだ。

本日(米国時間4/4)Facebookは、影響を受けた可能性のある人数は最大8700万人であり、対象になるユーザーにはニュースフィードのトップで通知すると発表した。さらに同社は利用規約を改訂して外部デベロッパーとの関係を明確化するとともに、広範囲にわたるAPI制限を発表した。これによってFacebook上に作られた数多くのアプリが動作不能に陥るが、プライバシー侵害を未然に防ぐことができる。Zuckerbergは記者団との電話会議でニュース全般について洞察を述べた

Cambridge Analyticaは、同社のデータ取扱いに関するFacebookの主張を繰り返し否定してきたが、Facebookは撤回しなかった。むしろFacebookは自らが戦おうとしている悪用の事例として、また世界中のデベロッパーを善悪を問わず取り締まることを正当化する理由として、Cambridge Analyticaを利用した。

Cambridge Analytica、GSRのデータセットに8700万件のレコードが含まれていたとする発表に反論

本日Facebookは最大8700人分の情報が調査会社GSRによって不正入手されたと発表した。Cambridge AnalyticaがGSRからライセンスしたデータは3000万人分以下であり、契約書にも明記されている。それ以上のデータは受け取っていない。

当社は2016年の米国大統領選挙で行った業務にGSRデータを使用していない。

当社がGSRと交わした契約には、すべてのデータは合法的に入手されなくてはならないと記載されており、現在この契約書は公文書扱いになっている。当社はGSRがこの契約に違反したことを知ったとき同社に対して法的措置をとった。Facebookが当社にデータが不正入手されたことを知らせてきたとき、われわれは直ちに原データをサーバーから削除し、当社のシステム内にある派生物を探して削除するプロセスを開始した。

一年前にFacebookが追加の保証を求めてきた際、当社は社内監査を実施し、全データ、全派生物および全バックアップが削除されていることを確認し、それを示す証明書をFacebookに提出した。

現在当社システム内にGSRデータが残っていないことを示すために、独立した第三者による監査を実施している。

[原文へ]

(翻訳:Nob Takahashi / facebook

ザッカーバーグ、4月11日に下院で証言へ

Mark Zuckerbergは4月11日に下院エネルギー・商業委員会で証人台に立つことになった。今日午前、Greg Walden(共和党・オレゴン州選出)委員長と委員会の有力メンバーであるFrank Pallone, Jr.(民主党・ニュージャージー州選出)が発表し、ZuckerbergがFacebookのユーザーデータ利用および保護について語ることを明らかにした。

議会が準備した声明書には以下のように書かれている:

この聴聞は消費者データの重大なプライバシー問題を解明し、ネット上の個人データに対して起きていることを全米国民が理解するための重要な機会だ。委員会での証言を引き受けたZuckerberg氏の姿勢に感謝するとともに、4月11日のわれわれの質問に対する彼の回答に期待している。

証言は、Facebookが同社史上類をみない危機を迎えている中で行われる。

2014年、Aleksandr Koganが開発したサードパーティー製クイズアプリが約5000万人分の原プロフィールデータを収集した。同アプリをダウンロードしてアンケートに参加したのはわずか27万人程度だったが、当時Facebookは、サードパーティーが友達の友達の情報まで取得することを許していた。

現在Facebookはこのデータの共有を許可しておらず、2015年には収集したデータが削除されたことを示す証明書の提出を要求した。

Koganは、集めたデータを政治調査会社のCambridge Analyticaに売り、同社はその情報をソーシャルネットワークなどでターゲット層を識別するために用いて有権者に影響を与えようとした。2016年、トランプ陣営はCampridge Analyticaと契約を結んだ。

一連の新事実が暴露されたことで、インターネット全体に#deletefacebook運動が広まった。しかしユーザーの反応はそれだけではなかった。

3月21日、Zuckerbergはこのスキャンダルに対する最初の回答を公開し、「仮に、私がFacebookでもっとも事情をよく知る人物であり、証言する最適な立場にあるなら、よろこんで応じるつもりだ」と付け加えた

そのわずか2日後、下院および上院はZuckerbergに通告を送り、彼が証言すべき人物であることを伝えた。3月27日にCNNは、Zuckerbergは自分が証言しなくてはならないという事実を受け止めるべきであり、Facebookは彼が証言台に立つ日に備えて準備を始めるべきだと報じた。

その日は、4月11日に決まった。

[原文へ]

(翻訳:Nob Takahashi / facebook

トランプの新大統領補佐官は、ケンブリッジ・アナリティカとつながっていた

トランプ政権3代目の国家安全保障担当補佐官、ジョン・ボルトン氏は、初代補佐官だったマイケル・フリン氏と少なくとも1つ共通点がある。ふたりとも、炎上するFacebookのプライバシー問題の中心をなす政治データ分析会社、Cambridge Analyticaと結びつきがある

The New York Timesの最新記事によると、ジョン・ボルトンの政治活動団体であるThe John Bolton Super PACは、Cambridge Analyticaと2014年8月に契約を結んでいた。同社が設立された数カ月後で、まだFacebookデータを収集していた時期だ。

Cambridge Analyticaの設立当初、Boton Super PACは、市場調査および「サイコグラフィック・メッセージング」を用いた精密な行動ターゲティングのために2年間にわたり120万ドルを同社に注ぎ込んだ。

この作業を行うために、Campbridge社はFacebookのデータを使ったことが、文書および本件に詳しい元従業員2名の証言からわかったとThe New York Timesは報じている。

調査結果は、共和党のトム・ティリスの2014年上院議員選挙に貢献した。記事によると、ボルトン氏のSuper PACはデータの出所がFacebookユーザーであることを認識していたが、データがFacebookデベロッパーから同意なく取得されたことをボルトン氏が知っていたかどうかは明らかにされていない。

Cambridge Analyticaは、同社が不正にデータを取得したとする報道に対して今も反論を続けている。同社の新たな声明で、CEO代行のAlexander Taylorは、親会社がFacebookデベロッパーからライセンスしたデータを、同社が不正入手した認識はないとの立場を貫いている。

当社は問題のデータがFacebookの利用規約およびデータ保護法に沿って入手されたものと信じている。

私は2015年10月にCambridge Analyticaの最高データ責任者に就任した。その少しあと、Facebookからデータを削除するよう要求があった。当社は直ちにファイルサーバーから原データを削除するとともに、システム内の派生データを探し削除する作業を開始した。一年前にFacebookが再度確認を求めてきた際、当社は内部監査を行い、データ、派生物、およびバックアップがすべて削除されていることを確認し、その旨の証明書をFacebookに提出した。私は2016年米国大統領選挙で当社が実施した作業でGSR社のデータを利用していないことを確信している。

Cambridge Analyticaと同じく、ボルトン氏の政治団体は、トランプ政権に多大な影響力をもつ保守系資本家であるRobert Mercerから資金提供を受けていた。

[原文へ]

(翻訳:Nob Takahashi / facebook

マーク・ザッカーバーグがもっと恐れる7つの質問

FacebookのCambridge Analytica問題はもっと巨大なスキャンダルの始まりにすぎないのだろうか。その答えは今のFacebookがどれほど透明であるかにかかっている。CEO Mark Zuckerbergは、データのプライバシー改善について声明と計画をつい先ほど発表したところだが、最も重要な疑問のいくつかに対する回答を避けていたほか、謝罪にもいたらなかった。

この複数年にわたる騒動にFacebookがどう具体的に対処したかは、大衆が過去を水に流して再びニュースフィードに戻ってくるか、規制当局が急襲し、ユーザーが大挙して去っていくのかを決める重要な別れ道だ。世界中のジャーナリストが情報を探り、政府当局がZuckerbergの証言を求めることで、真実はすこしずつ明らかになっていくはずだ。

  1. Facebookはどこまで追求したのか。2015年にCambridge AnalyticaがFacebookのユーザーデータを削除すると約束したとき、実際に削除されたかどうかをFacebookはどこまで厳しく調べたのか?なぜ公表しなかったのか? (Zuckerbergはいつそれを知ったのか? Zuckerbergはリベラルと見られることや、保守的政治団体を調査することを懸念したのか?)
  2. Cambridge Analyticaが不正入手したFacebookデータを使っていたことを、Facebookはどうやって知ったのか。当時Facebookの社員はドナルド・トランプ陣営と直接関わっていたのか?(Facebook社員はトランプ陣営のサンアントニオ事務所でCambridge Analyticaと机を並べて作業していた。だとすれば怪しいデータを見てみぬふりをしていたのか?)
  3. Cambridge Analyticaは不法なFacebookデータを別ルートでも入手していたのか。Aleksandr Koganのアプリ以外のアプリやFacebookグループのメンバーリストをスクレーピングしたり、他のデベロッパーからデータを買い取ったりしたのか。(トランプ陣営によるFacebookや他のソーシャルネットワークデータの熟練した利用状況からみて、彼らはこれ以外のデータも使っていた可能性が高い。)
  4. ロシア人ハッカーあるいはロシア政府発のデータをCambridge Analyticaがトランプ陣営の選挙運動に利用した証拠はあるのか?(証拠がある場合、Facebookはロシアとトランプ陣営の共謀を示す証拠になりうるのか?)
  5. FacebookはCambridge Analyticaの今後の捜査に関わるデータや広告を所持しているのか?(もしCambridge Analyticaが実際にデータを不正使用したのなら、どんなコンテンツに利用されたのか、ほかに誰が支援していたのか?)
  6. Facebookはなぜ、Cambridge Analyticaに関するThe Observerなどのニュース記事を法的措置を用いて排除しようとしたのか? スキャンダルの贖罪に真剣に取り組んでいたのではなかったのか?(一連の法的措置を承認、実行したのは誰か。その後彼らに何が起きたのか?)
  7. Facebookは不正入手されたデータのセキュリティーをどうやって守ったのか。Facebookが監査する予定の疑わしいデータ以外にも、データのコピーを保存しているデベロッパーは山ほどいるはずだ。(ほかのデベロッパーによる不正利用のニュースが今後出てくる可能性はあるのか?)

[原文へ]

(翻訳:Nob Takahashi / facebook

トランプ選挙陣営のデータ分析会社、Facebookユーザー5000万人のデータを不正アクセスか

先週Facebookは、トランプ選挙陣営と密接に関係するデータ分析会社のアカウントを停止したことを発表したが、実際にアクセスされたデータの規模をFacebookが大幅に低く見積もっていた可能性があることがNew York Timesの最新記事でわかった。

New York Timesによると、Campbridge Analyticaはケンブリッジ大学の心理学教授、Dr. Aleksandr Koganと協力して “thisisyourdigitallife” というアプリを開発し、最大5000万ユーザーの個人情報を収拾した。Facebookは27万人のユーザーがそのアプリをダウンロードしたことを認めている。このアプリはFacebookのログイン情報を使ってユーザーの地理的情報をアクセス可能にする —— New York Timesによると5000万人のプロフィール情報を取得したという。しか一人のユーザー(友達が数百人)がこのアプリを通じて個人情報へのアクセスを許可することのの影響は、2014年当時の方がいまよりずっと大きかった可能性がある。

サービス開始当初はどの会社もポリシーが厳格ではなくAPIの保護も十分でなかったためにこの種の情報が流出しやすい。Facebook幹部らは、これを不正行為ではないとTwitterに書いており、実際従来の基準では違反と言えないかもしれない。Facebookのセキュリティー最高責任者、Alex Stamosは次のように書いている。

[Koganが不正侵入やソフトウェアの不備を利用したことはない。彼は収拾したデータの使い方を誤ったが、だからといってデータの取得がさかのぼって「違法」になるものではない。]

アップデート: Stamosはツイートを削除した。上に貼ったのはツイートのスクリーンショットだ。

Stamosは一連のツイートを削除する前、長いスレッドで状況の詳細を説明した。それによると、当時のFacebook APIは今よりずっと広範囲のデータを取得することが可能だった。APIは2015年に改訂され友達データの取得が制限され、当時はアプリ開発者の間で議論を呼んだ。20億人のアクティブユーザーがいるFacebookでは、ポリシーは常に改訂が続きいたちごっこ状態にある。トランプの勝利は僅差だったため、的の絞られた5000万人の情報は大きな違いを生んだ可能性がある。

Facebookは公開企業であり、2014年当時の株主に対して、大失敗をせずこの種の情報を責任をもって厳重に管理する信認義務があった。不正アクセスを防ぐガードレールの欠落はUberやLyftなど他社でも数多く見られる。企業が成長モードにあるとき、この種のガードレールの設置は優先順位が下がることが多い。データが膨大になりそれを管理すること自体に膨大な労力が必要になればなおさらだ。Facebookは2014年Q4末に13.9億人のアクティブユーザーを抱えていた。

米国時間3月16日、FacebookはStrategic Communication Laboratoriesおよび傘下の政治データ分析会社であるCambridge Analyticaのアカウントを停止したと声明で発表した。しかしFacebookは今も問題を軽視している。

本誌はFacebookに追加情報を要求しており、情報が入り次第続報する予定だが、現時点ではFacebook幹部らは、流行にあわせてTwitterで弁明している。

[原文へ]

(翻訳:Nob Takahashi / facebook