分析や開発にも使えるリアルさを持つ合成データをAIで作り出すMOSTLY AIが約28.6億円調達

オーストリアの合成データデータスタートアップであるMOSTLY AI(モーストリー・エーアイ)は米国時間1月11日、シリーズBラウンドで2500万ドル(約28億6000万円)を調達したことを発表した。英国のVCファームMolten Ventures(モルテン・ベンチャーズ)がこのオペレーションを主導し、新たな投資家であるCiti Ventures(シティ・ベンチャーズ)が参加した。既存の投資家には、ミュンヘンの42CAP(42キャップ)と、MOSTLY AIの2020年の500万ドル(約5億2700万円)のシリーズAラウンドを主導したベルリンのEarlybird(アーリーバード)が名を連ねている。

合成データ(シンセティックデータ)はフェイクデータであるが、ランダムではない。MOSTLY AIは人工知能を利用して、顧客のデータベースに対する高い忠実度を達成する。同社によると、そのデータセットは「企業の元の顧客データと同じくらいリアルに見え、そこには多くの詳細情報が含まれているが、元の個人データポイントは存在しない」という。

MOSTLY AIのCEOであるTobias Hann(トビアス・ハン)氏はTechCrunchに対して、調達した資金について、プロダクトの限界の拡張、チームの成長、そして欧州と米国での顧客獲得に活用する計画であると語った。米国ではすでにニューヨーク市にオフィスを構えている。

MOSTLY AIは2017年にウィーンで設立され、その1年後にEU全域で一般データ保護規則(GDPR)が施行された。プライバシー保護ソリューションに対するこうした需要と、それに付随する機械学習の台頭は、合成データに向けて大きな勢いを生み出している。Gartner(ガートナー)の予測では、2024年までに、AIおよびアナリティクスプロジェクトの開発に使用されるデータの60%が合成的に生成されるようになるという。

MOSTLY AIの主な顧客は、Fortune 100(フォーチュン100)に名を連ねる銀行や保険会社、通信事業者などである。これら3つの高度に規制されたセクターは、ヘルスケアと並んで、シンセティック表形式データに対する需要の大部分を牽引している。

競合他社とは異なり、MOSTLY AIはこれまでヘルスケアに主力を置いていなかったが、それも変わる可能性がある。「ヘルスケアは確かに私たちが注視しているものです。実際、2022年はいくつかのパイロットプロジェクトの開始を予定しています」とCEOは話す。

AIの民主化は、合成データがいずれはFortune 100企業の枠を超えて使われるようになることを意味する、とハン氏はTechCrunchに語っている。したがって、同氏の会社は今後、より小規模な組織や、さらに幅広いセクターに向けてサービスを提供する計画である。だがこれまでの取り組みにおいて、MOSTLY AIがエンタープライズレベルのクライアントに注力することは理にかなうものであった。

現在のところ、合成データを扱うための予算、ニーズ、高度な技術を有しているのはエンタープライズ企業であるとハン氏は語る。その期待に適合するために、MOSTLY AIはISO認証を取得した。

ハン氏と話をする中で、明確になったことが1つある。同スタートアップは確かな技術的基盤を備える一方で、その技術の商業化と、自社がクライアントに提供し得る付加的なビジネス価値にも等しく労力を注ぎ込んでいる。「MOSTLY AIは、顧客デプロイメントと専門知識の両面で、この新興の急成長領域をリードしています」とMolten Venturesの投資ディレクターであるChristoph Hornung(クリストフ・ホルヌング)氏は述べている。

GDPRやCCPA(カリフォルニア州消費者プライバシー法)などのプライバシー法を遵守する必要性は、明らかに合成データに対する需要を促進するが、それだけが効果を現す要因ではない。例えば、欧州の需要は、より広い文化的コンテクストによっても牽引される。一方、米国では、それはイノベーションの追求からも生じる。そのユースケースとして、アドバンストアナリティクス、予測アルゴリズム、不正検出、プライシングモデルなどが挙げられるが、そこには特定のユーザーに遡ることのできるデータを含まない、という要素が求められる。

「多くの企業がこの領域に積極的にアプローチしているのは、顧客のプライバシー重視を理解しているからです」とハン氏。「これらの企業は、プライバシーを保護する方法でデータの処理と取り扱いを行う場合、競争上の優位性も得られることを認識しています」。

より多くの米国企業が革新的な手法における合成データの採用を求めている様相は、MOSTLY AIが米国でのチームの成長を目指す主要な理由となっている。一方で、同社はウィーン勤務とリモート採用の両方でより一般的な人材開拓も進めている。年末までに人員を35人から65人に増やす計画である。

ハン氏は、2022年は「合成データが軌道に乗る年」であり、その先は「合成データにとって実に堅調な10年」になると予想している。これは、AIの公平性や説明可能性といった重要な概念を中心に、責任あるAIに対する需要が高まっていることに支えられるであろう。合成データはこれらの課題の解決に貢献する。「合成データは、エンタープライズが自らのデータセットを増強し、バイアスを取り除くことを可能にします」とハン氏は語る。

機械学習を別にして、合成データはソフトウェアテストに活用されるポテンシャルが十分にあるとMOSTLY AIは考えている。これらのユースケースのサポートには、データサイエンティストだけではなく、ソフトウェアエンジニアや品質テスターも合成データにアクセスできるようにする必要がある。MOSTLY AIが数カ月前に同社のプラットフォームのバージョン2.0をリリースしたことは、彼らのことを考慮したものである。「MOSTLY AI 2.0はオンプレミスでもプライベートクラウドでも実装でき、それを使用する企業のさまざまなデータ構造に適応できる」と同社は当時記している

「当社は明らかにB2Bソフトウェアインフラ企業です」とハン氏は語る。シリーズAとBの両ラウンドで、同社はそのアプローチを理解する投資家を探し求めた。

筆者の質問に対してハン氏は、Molten Venturesは上場しているVCであり、通常の資金調達サイクルに縛られないこともかなりの重みがあることを認めている。「パートナーからこのような長期的なコミットメントを得られることは、私たちにとって非常に魅力的でした」。

Citi VenturesはCitigroup(シティグループ)のベンチャー部門であり、米国に本部を置いている。「当社は米国内のチームを大幅に拡大しており、米国内のネットワークや関係を支援可能な米国拠点の投資家を持つことは、あらゆる側面で大きな意義があります」とハン氏は語っている。

新たに2500万ドルの資金を調達し、米国でのプレゼンスを強化することで、MOSTLY AIは今後、合成データ領域の自社のセグメントで他の企業と競争するためのより多くのリソースを手にすることになる。そうした企業には、2021年9月にシリーズBで3500万ドル(約40億1000万円)を調達したTonic.ai(トニック・エーアイ)、同年10月にシリーズBで5000万ドル(約57億3000万円)を集めたGretel AI(グレテル・エーアイ)、シードラウンドを行った英国のスタートアップHazy(ヘイジー)の他、特定の垂直市場に特化したプレイヤーたちが含まれている。

「私たちはこの領域、そして市場全般でますます多くのプレイヤーが出現しているのを目にしており、そこに多くの関心があることが確実に示されています」とハン氏は語った。

画像クレジット:yucelyilmaz / Getty Images

原文へ

(文:Anna Heim、翻訳:Dragonfly)

消費者が自分のプライバシーデータを企業と共有、その見返りが得られるプラットフォームCadenが3.9億円調達

起業家のJohn Roa(ジョン・ロア)氏は、プライバシーの価値を信じている。2015年にデザインコンサルタント会社ÄKTAをSalesforceに売却した後、ロア氏はヨーロッパの島で数年間「世間から離れる」ことにした。

そして今、同氏はニューヨークに戻り、消費者が自分のデータを企業と共有し、その見返りとして報酬を得ることができるようにするスタートアップCaden(カデン)を立ち上げた。同氏はSalesforceで働いていたとき、長期休暇を始める直前に、データプライバシーの未来に関する論文の形で事業計画を書いたとTechCrunchに語っている。

事業計画を書いたときは「純粋に推論的なもの」だったとロア氏はいう。同氏は、サードパーティのデータ、つまり受動的に収集されたデータを保存する際に、規制によって企業に問題が生じると予想した。そして、ユーザーが自分の個人データを所有し、その使用について完全にコントロールして同意する「プライバシーファースト」の世界へ長期的には移行することを想定していた。

340万ドル(約3億9000万円)のプレシードラウンドでステルスモードから抜け出したばかりのCadenは、そうした世界を構築するためのロア氏の試みだ。このラウンドには、TechCrunchの親会社であるYahoo!の共同創業者Jerry Yang(ジェリー・ヤン)氏が、Starwood CapitalのBarry Sternlicht(バリー・スターンリヒト)氏、Citigroupの元CTO、Don Callahan(ドン・キャラハン)氏、その他のエンジェル投資家とともに参加した。

Cadenの創業者ジョン・ロア氏(画像クレジット:Caden)

同社は自らを「ゼロパーティ」データプラットフォームと呼んでいる。これは、ユーザーが自発的にのみブランドとデータを共有することを意味する。同社の主力製品の1つは、ユーザーが個人データを保存し、そこから導き出される洞察を見ることができる暗号化された「デバイス上の金庫」だ。この機能をロア氏は、Spotifyの「Year in Review」になぞらえたが、より広範な嗜好や行動パターンを網羅している。

Cadenの2つ目の主力製品はLinkと呼ばれるAPIで、ユーザーは自分のメールや銀行などのアカウントに接続し、データを抽出して金庫に保存することができる。ひとたび金庫に保存されると、ユーザーはCadenに保存されたデータの最終的な所有者であるため、いつでも信用する特定の企業にデータ使用の許可を与えたり、あるいは許可を取り消したり変更したりすることができる、とロア氏は話す。

同氏のチームは9カ月前にこの技術に取り組み始め、今後6カ月以内にベータ版のモバイルアプリを市場投入する予定だ。同氏はこのアプリを預金口座に例え「ユーザーは自分のデータに対する報酬をすぐに受け取り始めることができるようになる」と述べた。

米国の大多数の州では、2018年に制定されたカリフォルニア州消費者プライバシー法(CCPA)と同様の法案が成立、または検討されている。この法律では、消費者は企業による自身の個人情報販売をオプトアウトする権利が与えられている。企業は長年にわたってユーザーに関するサードパーティデータを収集してきたが、監査やコンプライアンスの要件が厳しいため、企業にとってサードパーティデータ収集は「資産というより負債」になっているとロア氏は話す。「ゼロパーティ」のデータは、ユーザーから直接取得するため、より正確で堅牢だと付け加えた。

Cadenは、まず消費者ブランドを引き付けたいと考えている。なぜなら、データへのより良いアクセスによって得られるものが最も大きいからだと、投資家のジェリー・ヤン氏はTechCrunchに電子メールで語った。

「データの収集と保存、洞察の推測、保護、サードパーティデータの購入、そしてそれらをすべて最新に保つためにどれだけの努力とリソースが必要でしょう。Cadenは多くの企業が自分たちでそれをせずに利用できるようなプラットフォームソリューションを作り出しているのです。最初の段階を超え、Cadenは消費者向け企業をしのぐことができると確信しています」とヤン氏はいう。

この分野に進出した企業は、Cadenが初めてではない。Datacoup(データクープ)は2012年に、ユーザーが自分のデータを企業に直接販売できるプラットフォームとして挑んだ。しかしユーザーがわずかな金額しか稼げなかったため、2019年に閉鎖に至った。消費者データは価値を評価するのが難しく、企業はその対価をできるだけ少なくする方法を探そうとする。

ロア氏は、Cadenが優れたユーザー体験を提供することでこうした課題を克服できると考えている。

一般にブランドは、ユーザーにデータを返したがらないが「今は、法律的には返さなければなりません。しかし、その手間を省く必要はありません」とロア氏は述べた。

「Cadenや他社がやっているのは、完全にユーザー主導のプロセスをより合理的なものにする方法を考案することです。ですので、サードパーティにデータを返すよう促す必要はないのです」と付け加えた。

また、直接的な支払いだけでなく、より良いブランド体験を通じて、消費者のために無形の価値を引き出したいと同氏は考えている。

「Cadenを使うことで、あなたの生活が少し楽しくなったり、あなたのためになることがあったり、話しかけられたりする。当社が注力している価値のポイントです。そしてこの点は、同業他社の多くが苦労しているところです」とロア氏は述べた。

画像クレジット:Caden

原文へ

(文:Anita Ramaswamy、翻訳:Nariko Mizoguchi

GDPRコンプライアンスを自動化する英Soverenが約7.4億円のシード資金を得て脱ステルス

ロンドンを拠点とし、プライバシーリスクの検出を自動化して企業のGDPR(EU一般データ保護規則)およびCCPA(カリフォルニア州消費者プライバシー法)への準拠を支援するスタートアップSoverenは、650万ドル(約7億4000万円)のシード資金を得て、ステルス状態から脱却した。

同社は、組織のインフラ内のリアルタイムのデータフローを分析して個人データを発見し、プライバシーリスクを検出することで、CTOやCISOがプライバシーギャップを認識して対処することを容易にする。Soverenによると、全世界でおよそ1千万社の企業が、プライバシーインシデントの検出と解決を怠ったために、GDPRやその他の規制上の義務に違反するリスクを抱えているという。

Soverenの創業者兼共同CEOであるPeter Fedchenkov(ピーター・フェドチェンコフ)氏は、TechCrunchにこう語った。「セキュリティソフトウェアは、セキュリティ上の脅威にはうまく対処できますが、プライバシー上の課題への対処には限定的な影響しか与えません。これは、簡単に隔離できる他の機密データとは異なり、個人データは実際に日々の業務の中でアクセスされ、使用され、共有されるようにできているためです。当社は、プライバシーは新しいセキュリティであると信じています。なぜなら、同じように自動化された継続的な保護対策が必要だからです」。

フェドチェンコフ氏は、Soverenのアイデアは、EC分野での個人的な経験から生まれたという。「今日、データ保護とプライバシーのコンプライアンスがいかに手作業で複雑であるかを目の当たりにしました。時間もお金も労力も、必要以上にかかっています」。

Sovernはこれまでに、北米および欧州において、ソフトウェア、eコマース、旅行、フィンテック、ヘルスケアなどの分野で、10社のライトハウスカスタマーを確保している。

今回の投資ラウンドは、Northzoneの参加を得てFirstminute Capitalが主導し、Airbnb(エアビーアンドビー)やMulesoft(ミュールソフト)などから11人のユニコーン創業者、Sir Richard Branson(サー・リチャード・ブランソン)の家族ファンド、Palo Alto Networks(パロアルトネットワークス)の会長CEOであるNikesh Arora(ニケシュ・アローラ)氏をはじめとするひと握りのグローバルCEOが参加した。

フェドチェンコフ氏によると、Soverenはまず、この資金を使って製品チームを拡大し、セールスとマーケティングに投資する予定だという。「マーケティング面ではまだ何もしていないので、それを強化したいと考えています」と同氏はTechCrunchに語っている。

画像クレジット:Bortonia / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明

広告業界団体のIAB Europeが作成した、行動ターゲティング広告でインターネットユーザーの同意を取り付ける主力のフレームワークが、データ保護で要求される法的基準を満たさないことが、EUデータ監督局の調査で明らかとなった。

プログラマブルな広告のリアルタイム入札(RTB)コンポーネントにおける個人データの利用に関する告発を受けて、ベルギーのDPAは調査を開始した。高速の個人データ取引は、EU法に組み込まれたデータ保護要求へ本質的に適合できないとするものだ。

IAB Europeの透明性と同意の枠組(TCF)はヨーロッパのあらゆるウェブに出現し、ユーザーへ広告トラッカーの同意(または拒否)を要求する。広告業者がEUのデータ保護規則に従いやすくするのが、表向きの目的だ。

これは、2018年5月にEUの一般データ保護規則(GDPR)が開始し、欧州地域のデータ保護規則が大幅に変更されたことに応えて、広告業界の規格団体が作成した内容である。GDPRは個人データ処理の同意に関する基準を厳しくし、準拠しない場合は大幅な罰則を適用するため、広告トラッキング業界の法的リスクが増している。

IAB Europeは2018年4月にTCFを導入し、その時点では「デジタル広告のエコシステムがGDPRとeプライバシー指令の要件に適合しやすくなった」と述べていた。

今年8月にフレームワークを導入したアドテックの巨人であるGoogleを含めて、同フレームワークは広範に普及している。

欧州以外でも、IABは最近、同じツールの別バージョンをカリフォルニア州の消費者保護法への「準拠」に使用するよう働きかけている。

しかし、ベルギーのデータ保護当局の調査部門が発見した内容は、フレームワークが名目上の目的を満たしていないことを示唆しており、フレームワークの採用に疑問を投げかけている。

TechCrunchがレビューしたベルギーDPAの捜査サービスのレポートでは、多数の懸念事項が発見されている。これには、TCFがGDPRの公開性、公平性、説明責任の原則に適合していないことや、データ処理の非合法性が含まれる。

また、TCFが特殊カテゴリー(健康情報、支持政党、性的嗜好など)で十分な規定を設けていないにも関わらず、データを処理していることも指摘されている。

また、IAB Europeの評判を著しく損なう事例も報告されている。DPAの検査官はデータ保護担当者の不在や、社内のデータ処理活動を記録していない事実を発見した。

IAB Europeのプライバシー方針も、十分とは言えないことが指摘されている。

私たちはIAB Europeに対し、検査官の発見内容に対するコメントを要求した。更新情報:本記事の末尾に、最初の回答が記載されている。更新情報2:広告規格団体は声明を発表し、TCFが「最小限のベストプラクティス」を含む「任意参加の規格」であることを説明している。また、「広告業者によるTCFの解釈に基づき、IAB Europeがデータを取得しているとする、(ベルギーDPAによる)法の拡大解釈に対し、敬意を表しつつも反対いたします。」とし、こう付け加えている。「(ベルギーDPAによる)解釈が認められた場合、業界に属する企業を支援し消費者を保護することを目的とした、オープンソースの準拠規格作成が大きく勢いをそがれます」。

過去2年間にわたり、イギリスとアイルランドを筆頭に、欧州全体でRTBに対して多数の告発が寄せられている

最初のRTB告発を提出し、アイルランドの人権評議会でシニアフェローに就任したJohnny Ryan博士は、TechCrunchにこう答えた。「TCFは、行動ターゲティング広告とトラッキング業界に深く浸透している、違法の可能性がある大量のデータ侵害に対してトラッキング業界が応急処置を施した成果です。今回、ベルギーDPAがそれをひき剥がし、違法性を暴露しました」。

Ryanは以前、RTB問題を「史上最大のデータ侵害」と呼んだことがある。

先月、彼はRTBがどれほど広範囲に、かつ問題ある方法で個人データを漏洩しているか、戦慄すべき証拠一式を発表した。データブローカーが2019年のポーランド議会選挙の結果を左右するため、RTBを使用してLGBTQ+コミュニティの人々をプロファイリングしていたことなどが記されている。また、別のデータブローカーがアイルランドのインターネットユーザーを「薬物乱用」、「糖尿病」、「慢性痛」、「睡眠障害」などのカテゴリーに分類してプロファイリングし標的としていたことも判明している。

RTBに対する最初の告発を手掛けた弁護士、Ravi Naikは声明を通じ、ベルギーの検査官が発見した内容についてこう述べている。「この発見結果は衝撃的で、しかも遅すぎます。模範を示すべき存在であったIABは、今やGDPRの違反の元凶です。監督局は、IABがデータ所有者に対するリスクを「無視」していることを、当然のごとく発見しました。IABの責任は今や、こうした侵害を止めることにあります」。

RTBに対する告発を受け、イギリスのデータ監視団体であるICOは2019年6月に行動ターゲティング広告に対して警告を発し、業界に対してデータ保護基準に適合する必要性を促している。

しかし、規制当局は強制力のある行動を起こせていない。口調の柔らかなブログ記事がいくつか発表されただけだ。最近では、コロナウイルス感染症が理由で、本件に関する(進行中の)捜査活動を一時的に停止している

昨年度起こったもう一つの事例では、アイルランドのDPCがGoogleのオンラインAd Exchangeに対する捜査を開始し、個人データの処理の違法性を調べ始めた。しかし、この捜査はほとんど手が付けられていない案件の山に埋もれたままである。また、アイルランドの規制当局は、ITの巨人が関わる大規模な国際GDPR事例では、決断までに時間がかかりすぎると批判を浴びている

アムステルダム大学でデータ保護を研究する博士研究員であり、かつベルギーの事例では原告の一人でもあるJef AusloosはTechCrunchに対して、DPAの行動は他のEU規制当局へも対応を迫っており、そうした組織の「身がすくんで全く何もできないでいる実態」を浮かび上がらせていると述べた。

彼はこう付け加えている。「今後数か月から1年の間に、アイルランド当局の行動を待たずに他のDPA組織がしびれを切らし、自身で対処を開始することになるでしょう。

データ保護当局がオンライン広告業界を根底から突き崩すため、ようやく動き出したことは歓迎すべき兆候です。監視資本主義を打破するための、重要な最初のステップと言えるでしょう」。

規制プロセスには多数の作業が存在するため、ベルギーDPAが検査官のレポート内容に従い、具体的な行動をとるまでにはまだ数段階のハードルがある。私たちはベルギーDPAへ意見を求めて打診した。更新情報:以下を参照していただきたい。

しかし、原告によれば、検査官が発見した内容は訴訟局へ移管されており、2021年初頭には何らかの行動がとられると予想されている。つまり、EUでプライバシー保護を求めて活動する人々は、近い将来に広告トラッキング業界/データ処理産業体に対して、ようやく自らの権利を主張できるようになる可能性がある。

広告業者にとっては、コンテンツを収益化する方法を変革しなければならないことを意味する。疑わしい広告に代わり、人権を尊重した代替の手法(個人データを利用しない、コンテキスト別の広告ターゲティングなど)がとられる可能性がある。一部の広告業者はすでにコンテキスト広告に切り替え、収益を上げる方法を見出している。会員制のビジネスモデルも可能となる(ベンチャーキャピタルの一部には反対する声もあるだろうが)。

更新情報 I:次の行動と決定を下すまでにかかる予想時間について、ベルギーDPAの広報担当者は私たちの質問にこう答えた:「手続きの点でいえば、調査サービスのレポートはベルギーDPAの訴訟局へ移管されたため、訴訟局が妥当性を評価して案件を審査します。

現時点では、訴訟局がこの案件に関して決断を下すまでにかかる期間を予想することは差し控えたいと考えています」。

更新情報 II:レポートに対する意見を求められたIAB EuropeのCEO、Townsend Feehanは、私たちに対して広告規格団体は間もなく声明を発表する用意があると答えた。また、レポートのタイトルについて、Feehanはこう述べている。「タイトルは誤解を招きかねません。事実とは異なっています」。

どの部分が事実とは異なっているのかについては、Feehanは「GDPR標準に適合しない」とした部分を指摘し、「規制当局の裁定であるとの印象を強く与える」と反論した。

私たちの報道は、ベルギーDPAからの説明と引用を含め、手続きが現在進行中であると明確に述べていると指摘した際、Feehanはこう述べている。「私の考えでは、タイトルが誤解を招きやすい表現になっています。捜査の初期段階において『TCFがGDPR基準を満たしていない』ことが判明したと述べていれば、より正確に事実を描写しているはずです」。

特殊カテゴリーのデータについては、Feehanはこう主張する。「TCFを通じて特殊カテゴリーを処理することはできません。

レポートの細部に踏み入ることは避けますが、タイトルだけをとれば、TCFがGDPRに違反しているとDPAが発見したかのような印象を受けますが、それは事実とは異なります」。また、こうも付け加えている。「数時間のうちに、さらに詳細な声明を発表します」。

更新情報 III:IAB Europeのウェブサイトで、ベルギーDPAの捜査で判明した内容に関する声明の全文が読めるようになり、そこではこう述べられている。「APDのレポートはAPDの捜査部門による初期見解に基づいており、IAB Europeがいかなる意味でも法律違反を犯したと断定する拘束力は持ちえません」。

関連記事:EUのウェブサイトにおけるGoogleアナリティクスとFacebook Connectの使用禁止を求め集団訴訟が発生

カテゴリー:セキュリティ
タグ:広告業界 プライバシー GDPR

[原文へ]

(翻訳:Dragonfly)

テックパブリッシャーの連合がブラウザレベルのプライバシーコントロールを推進

Do Not Track(トラッキング拒否、DNT)機能を覚えているだろうか。トラッカー愛好家のアドテック業界は、ユーザーフレンドリなプライバシーコントロールをブラウザに組み込むという、10年以上にわたる不毛の試みのことはもう忘れてほしいと考えている。しかしプライバシーを重視するテック企業、出版社、権利擁護団体の連合がこのたび、インターネットユーザーに自分のデータを保護するための非常に簡単な方法を提供する、新たな標準の策定を推し進めることを発表した。

この取り組みは、個人データの販売を阻止するために、プライバシー保護のシグナル機能をブラウザに組み込むというもので、Global Privacy Standard(グローバルプライバシー標準、GPC)と名付けられ、FTCの元CTOであるAshkan Soltani(アシュカン・ソルタニ)氏とプライバシー研究者のSebastian Zimmeck(セバスチャン・ジメック)氏が中心となって進めている。

GPCに対しては、The New York Times(ニューヨークタイムズ紙)、The Washington Post(ワシントンタイムズ紙)、Financial Times(ファイナンシャルタイムズ紙)、WordPressで有名なAutomattic(オートマティック)、開発者コミュニティのGlitch(グリッチ)、プライバシー検索エンジンのDuckDuckGo(ダックダックゴー)、トラッキング対策ブラウザのBrave(ブレイブ)、FirefoxメーカーのMozilla(モジラ)、トラッカーブロッカーのDisconnect(ディスコネクト)、プライバシーツールメーカーのAbine(アビーン)、Digital Content Next(デジタル・コンテント・ネクスト)、Consumer Reports(コンシューマー・レポート)、デジタル著作権グループのElectronic Frontier Foundation(電子フロンティア財団、EFF)が、さっそく支持を表明している。

GPC運営団体はこの取り組みに関するプレスリリースの中で「最初の実験段階では、各ユーザーがAbineBraveDisconnectDuckDuckGoEFFのサイトからブラウザと拡張機能をダウンロードして『販売も共有もしない』という考えを、GPCに参加するパブリッシャーに伝えることができます」と述べている。

「さらに、GPCを多くの組織によってサポートされるオープンスタンダードに発展させることを目指しており、この提案の実現にふさわしい場所を見つけているところです」と付け加えた。

冒頭で触れた「DNT」に似ている今回の取り組みは、少なくとも当面はカリフォルニア州消費者プライバシー法(CCPA)に合わせて構築される。CCPAは、州内のインターネットユーザーに、自分のデータが販売されることをオプトアウトする権利を与えており、Prop24と呼ばれる11月の投票法案が可決されれば、その権利がさらに強化される可能性がある。

同法はまた、ブラウザからのシグナルによるユーザーのオプトアウト要求を尊重することを企業に義務付けている。これはDNTの支持者たちが常にDNTに対して望んでいた、衝突の少ないブラウザレベルのコントロールの可能性を復活させるものである。

GPC運営団体の目的は、個人データ販売のブラウザレベルでのオプトアウト要求に対してCCPAの対象企業が法的に対応せざるを得なくなるような標準を策定することである。ただし、そのためにはカリフォルニア州法の下で、この標準が法的拘束力のあるものとして認められることが必要となる。

GPCはプレスリリースの中で「カリフォルニア州のBecerra(ベセラ)司法長官と連携して、GPCの法的拘束力がCCPAの下で認められるようになる日を心待ちにしています」と述べている。

TechCrunchは、GPCによるこの発表に対するベセラ氏の反応を取材するために、同氏の事務所に問い合わせてみた。また、同氏はGPCの提案について「消費者が自分のプライバシー権をオンラインで簡単に行使できるようにする、意義のあるグローバルなプライバシーコントロールに向けた第一歩だと思います」と肯定的にツイートしている。

さらに「カリフォルニア州司法省は、テクノロジーコミュニティがCCPAおよび消費者のプライバシー権を促進するためにグローバルなプライバシーコントロールを開発するのを見て心強く思っています」と付け加えた。

それと同時に、そしてGPCの名前が示す通り、目標は欧州のGDPRフレームワークのように、他の国のプライバシー制度に合わせて柔軟に変更できる標準を策定することだ(ちなみに、欧州のGDPRフレームワークは市民に対してデータに関する一連の保護的権利およびアクセス権を提供するものであり、データ販売に対するCCPAオプトアウトとは少し異なる)。

「欧州のGDPRは現在、具体的にGPCのような仕組みの導入を目指しているわけではありません。しかしEUのDPA(データ保護機関)が、GPCのような仕組みを、消費者がGDPRの下で(販売への異議を含め)権利を行使する有効な手段として検討する可能性がある、と私は考えています」とソルタニ氏はTechCrunchに述べ、「またこの仕様は、法律がCCPAと若干異なる場合にも対応できるように設計されています(例えば、GDPR下での特定の用途に対してユーザーが異議を唱えることも可能です)。また、来月CPRA(Prop24)法案が通過して、新たな権利が生まれた場合にも対応できる設計になっています」と付け加えた。

この取り組みについては1つ、明白かつ大きな疑問点がある。それは、CCPAのオプトアウトシグナルを発信する手段として、なぜDNTを復活させないのかということだ。

DNTがユーザーに受け入れられるように、何年にもわたって多くの労力とリソースが費やされてきた。ブラウザメーカーから幅広い支持を得られたことを考えると、DNTはまったくの失敗だったとは言えない。しかし、法的強制力がなくコンプライアンスが欠如しているため、DNTは空中分解しつつある。

しかし(少なくとも欧州とカリフォルニア州においては)個人のデジタルデータを保護する強固な法制度が整った今、DNTを復活させ、今回は定着させる機会があるかもしれない(実際、EUの一部の議員は近年、EU eプライバシー規則の計画的な改革の一環として、データ処理への同意を表明するために「Do Not Track」設定を使用することを提案している。おそらく、GDPRコンプライアンスへの取り組みによって急増している乱雑な同意ポップアップを整理することを念頭に置いてのことだろう)。

しかし、なぜDNT 2.0ではなくGPCなのかという疑問の答えは、Do Not Trackの周りに蓄積された問題も関係しているようだ。 「Do Not Track(追跡しないで)」という、的を射たCTA(行動喚起)の表現は今なおアドテック企業の重役の背筋をぞっとさせることができるのだ(一方「Global Privacy Control」は、アドテックのロビイストが思いつきそうな、無味乾燥な名称であるため、業界をそれほど動揺させないかもしれない)。

さらに深刻なのは、カリフォルニア州議会がCCPAを策定するときに、オプトアウトのシグナルを示すためにDNTを使用する可能について議論し、業界からのフィードバックを集めたことである。しかし、州議会が受け取ったフィードバックは「ほとんどの企業が(そのシグナルを)無視している」というものだった。ということは、DNTを復活させても、引き続き無視されるだけだと思われる。

したがって、ユーザーのプライバシーを守る手段に法的拘束力を持たせるには、DNTよりも精密な仕組みが必要だ。

さらに、GPCはその取り組みにおいて、DNTをオプトアウトのメカニズムとして使用しようとしていたし、実際に使用できると期待していたようだ。しかし最終的には、コンプライアンスに関する懸念を考慮し、より幅広いDNTシグナルを発信しても企業がそれを無視するという問題を回避するにはCCPA固有のメカニズムが必要だと判断した。

ダックダックゴーのCEO兼創設者であるGabriel Weinberg(ガブリエル・ワインバーグ)氏は支持声明の中で次のように発表している。「オンラインでプライバシーを確保する方法はシンプルで誰もが利用できるものでなければなりません。Global Privacy Control(GPC)は、ユーザーがプライバシーに対する自身の希望を表明できるシンプルで普遍的な設定を構築することで、私たちをこのビジョンの実現に一歩近づけてくれます。ダックダックゴーはこの取り組みの創設メンバーであることを誇りに思います。そして本日より、GPCは当社のモバイルブラウザおよびデスクトップブラウザの拡張機能でローンチされ、1000万人以上の消費者がこの設定を利用できるようになります」。

また、モジラのFirefox Desktop(ファイアフォックス・デスクトップ)担当副社長であるSelena Deckelmann(セレーナ・デッケルマン)氏も次のように語っている。「モジラはGlobal Privacy Control構想を喜んで支持します。人々のデータ権利は認められ、尊重されなければなりません。この構想は正しい方向への第一歩です。当社は、他のウェブ標準コミュニティと協力して、このような保護機能をすべての人に提供できることを楽しみにしています」。

提案されているGPC標準の全文はこちらを参照のこと。

アップデート:Ron Wyden(ロン・ワイデン)上院議員も「企業が消費者データを追跡・販売するのを阻止するための、現実的で強制力のある方法を消費者に提供するときが来ています。My Mind Your Own Business Actはまさにそれを実現するものであり、このプロジェクトはそれが可能であることを示しています」と述べて、GPC構想への支持を表明している。

関連記事:最新の4G「スティングレイ」携帯電話スヌーピングを検出できる新技術

カテゴリー:パブリック / ダイバーシティ

タグ:プライバシー CCPA

[原文へ]

(翻訳:Dragonfly)