Facebook、プライバシー設定の確認を全世界ユーザーに要請

Facebookは、今週から全世界のユーザーに対してプライバシー設定の見直しを促すプロンプトをFacebookアプリ内に表示する。そこでは広告ターゲティングから顔認証まで、Facebookが様々なプロダクトでユーザーの個人データをどのように使っているかを確認するようユーザーが依頼される。この改訂規約とユーザー設定の確認は、新たに制定されたデータプライバシー規制であるGDPRを受けてEUのユーザーに配信されたものに準拠している。

ただしEUユーザーは、Facebookを使い続けるためには新しい利用規約に同意しなくてはならない。このことはRecodeがヨーロッパで使用されているものと全世界で表示されるものとの違いをFacebookに質問した結果判明した。

それ以外の地域では、プロンプトを2回やり過ごしたユーザーは自動的にオプトインされる。

しかし、そのウィンドウをあわてて閉じる前に、Facebookが何をお願いしているのか見てみるのもいいだろう。

新しいプロンプトはニュースフィードを開いたときに表示され、広告、顔認証、およびプロフィール画面で公開することを選択した情報について詳細を確認できる。

たとえば、自分の宗教や政治的見解、交際情報などを人目にさらすのをやめたくなったら、その場で設定を変更できる。

個人情報の確認を進めていくとそれぞれの画面で、どんなデータが収集され、どのように使用されているかが説明されるので、Facebookの情報利用についてよりよい判断ができる。

具体的には、この機能に含まれている情報は以下の通り。

  • Facebookが関連性の高い広告を見せるために、パートナーから受け取ったデータをどう使っているか。
  • ユーザーが公開するように設定した政治、宗教、交際に関する情報。
  • Facebookが顔認証をどう使っているか、およびプライバシーを守るための機能の説明。
  • 利用規約、データポリシー(4月に発表された)の改定内容。

このうちすでに無効化したものがあれば、その情報は表示されず、再び有効にするように促されることもない。

設定は変更後直ちに反映され、その後はプライバシー設定またはプライバシーショートカットからいつでも変更できる。

GDPRはEUのユーザーデータを保護することを目的としているが、Cambridge Analyticaスキャンダル(8700万ユーザーのデータが盗まれた)のためにFacebookはユーザーの信頼を裏切ったとして批判の的になっている。こうしたスキャンダルやGDPRからの要求に応じて、現在Facebookはユーザーデータのプライバシーの扱いを大幅に見直している。

新しい体験は今週からニュースフィードに登場する。

[原文へ]

(翻訳:Nob Takahashi / facebook

ピカチューに監視されてもいい ― それが望んだことなら

pokemon-eyes-watching

【編集部注:Denelle Dixon-ThayerはMozillaの最高法務・ビジネス責任者】

最近ポケモンGOをダウンロードした何千万もの人々は、すばらしき拡張現実の新世界を生きている。しかしiOS端末を使うアーリーアダプターたちにとってそれは、知らぬ間にGoogleアカウントのフルアクセス権をポケモンGOに与えたことを意味していた。

ポケモンゲットのためにすべてをリスクに曝してしまったのか?

そうでなない。幸いポケモンGOを開発したNiantic社は過ちを認め修正した。ポケモンGOはGoogleアカウントの「基本プロフィールデータ」― ユーザーIDおよびメールアドレス ― だけを要求するように変更された。

公園と私のオフィスとスーパーを巡りまた公園へとおかしな生き物を求めて歩き回る15歳の子を持つ身としてはひと安心である。しかし、この会社のプライバシーポリシーは徹底しているものの、他のほとんどのアプリに対して私は不安感を拭いきれない。息子のデータの扱いが今はよくても、明日使い方を変更するかどうかは会社次第だ。

デベロッパーはポケモンGOのようなアプリを作るためにユーザーからデータを集める必要があり、ユーザーはピカチューとプライバシーのどちらを取るか迫られることがしょっちゅうだ。昨年発表されたペンシルベニア大学の研究結果によると、アメリカ人の58%は、企業が自分たちの情報を集めることについて、どうすることもできないと考えている。たとえ気になってはいても。

他に方法があるはずだ。企業は集めるデータについて明確な意思と責任を持ち透明性を保った上で、本当の意味でユーザーが選択できるようにする必要がある。無力であることは不信を生み、不信に基づくシステムは誰の利益にもならない。一方、信頼を勝ち取ればユーザーは定着し長期にわたる成功が約束される。

企業が信頼を勝ち取るための簡単な3ステップがこれだ。

  • 欲張らない。 誰かに病院の予約があることを知る必要はあるか? 国定記念物の前で撮った自撮り写真27枚をアクセスする必要はあるか? 必要なデータに集中し、それ以外は無視すること。
  • セキュリティーを組み込む。どんな場合にも適用できるセキュリティーのソリューションはない。企業で利用するデータの規模や種類に応じて適切なセキュリティー基準が決まる。
  • 消費者をつなぎとめる。ユーザーのデータを使うことで企業はどんな価値を与えられるのかを明示する。ユーザーは体験をカスタマイズするためなら喜んでデータを渡す可能性が高い。

これで消費者は安心していいという意味ではない。様々なレベルのアクセス許可を要求するプライバシー警告を、無関心に受け流してはならない。自分のデータを完全に制御することが、どれほど大きな力であるかに私たちは気付いていない。「データ」を「お金」に置き換えれば、交換する価値がずっと具体性を帯びる。データ収集に対する無関心無行動は益々愚かなものになりつつある。情報は通貨である。

あらゆるビジネスの活力源である消費者は、データの制御を取り戻す手段として〈信頼〉を活用できる特別な立場にいる。オプトアウトは最短の近道だが、必ずしも最良の(あるいは最も楽しい)方法ではない。

ユーザーが自分のデータを掌握するためにできることをいくつか挙げよう。

  • パソコンやスマートフォンのプライバシー・セキュリティー設定をよく理解して活用し、友達にも教えよう。
  • ソーシャルメディアを利用して、すばらしいやり方の会社や、データに関して「悪いこと」をしている会社のことを知らせよう。
  • プライバシーの改善を推進する団体を支援し、プライバシーを重視して作られた製品を使おう。

現在私は息子のデータに関してポケモンGOを信頼することにしている。利用規約を読んで理解したからだ。しかしこれは一人の例にすぎず、たまたま私は弁護士である。いずれは企業と消費者の両方が、データに関して自覚を持って選択するしくみが必要だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

GoogleのChrome Web Storeは新しいユーザーデータ保護指針に違反しているエクステンションやアプリを排除する

Chrome lapel pin

Googleが、Chrome WebブラウザーのエクステンションやアプリのマーケットプレースChrome Web Storeを掃除している。同社によるとその一環として、同社はUser Data Policyを改定し、顧客データの扱い方に関するさらなる透明性をデベロッパーに求める。中でもとくに、データを収集するときにはユーザーの同意を必須とする。

改定の動機はおそらく、Chrome Web Storeに最近マルウェアがポストされたことだろう。その不埒なエクステンションは、ユーザーをスパイして個人情報を集めたりするのだ。またSnowdenによる内部告発があってから以降は、政府機関も、EUに倣って、ユーザーデータ保護の法制化に前向きになっているから、その流れに乗る意味もある。

1月にセキュリティ企業Malwarebytesが見つけた悪質なエクステンションは、取下げられたときすでに1000回もダウンロードされていた。マルウェア問題の典型とも言えるこのエクステンションは、 贅沢なパーミッションを要求し、インストールされるとリモートのサーバーと通信して広告をプッシュする。

icalc-store

それを削除すると、すぐに別のマルウェアにリプレースされ、それはユーザーをソーシャルネットワークサイトへリダイレクトする。そのセキュリティ企業によると、最近の“アドウェア”(adware,広告持ち込み型マルウェア)は、エクステンションを利用して無料のクーポンやレシピ、ビデオなどをプッシュするものが増えており、またユーザーのWeb閲覧習慣を捉えてそれを、広告のターゲティングのためにマーケティング企業に売るマルウェアメーカーもある。

しかし悪質なエクステンションはGoogleにとって旧聞である。Chrome Web Storeは何年も前から、この問題を抱えている。過去にGoogleは、Web Storeが直接提供していないエクステンションのインストールを、禁じようとした。理屈としては、Web Storeが直接関与できればエクステンションを取り下げたり無効にできたりするから、ユーザーの保護に貢献するだろう。

しかしこれからのGoogleは、ユーザーのプライバシーの保護に関して、Chrome自身と同等のガイドラインをデベロッパーにも守らせようとする。

Chromeのブログ記事によると、この新しいポリシーにより、次のような新しい要求がデベロッパーに課せられる:

  • ユーザーデータの取り扱いに関して透明であり、プライバシーに関して行っていることを開示すること

  • 個人の機密情報を扱うときにはプライバシーポリシーをユーザーに開示し、暗号化を使用すること

  • ユーザーの個人情報や機密情報を収集するときには、大きく目立つ方法でユーザーの同意を求め、データの利用が主要な機能と無関係なときは、そのことも大きく目立つように開示すること

こんなことが、何年も前のストアの開店時にデベロッパーに対して言われなかったこと、今になってやっと言われることは、ユーザーの気分としては不安である。

このポリシーは、エクステンション等の主要機能とは無関係にユーザーのWeb閲覧行動を集めることも禁じている。とくにおもしろいのは、これによっていくつかの“ビジネス”に影響が及ぶことだ。

というのも、今では多くの企業が、一見無害なブラウザーエクステンションを利用して、さまざまな目的のために閲覧データを集めている。たとえばWebアナリティクスのSimilarWebによると、同社は“数百の”プラグインを利用して何百万人ものユーザーに接触していたこともある。それらのプラグインの中には、閲覧データを集めて、ユーザーが今いるサイトのランクやリーチを情報として教えるものもあったが、意図が明確でないプラグインも少なくない。そんなプラグインでプライバシーポリシーが表示されても、それを読まないユーザーがほどんどだろう。

Googleによると、デベロッパーは2016年7月14日までに、新しいポリシーに適合しなければならない。翌7月15日には、今回アップデートされたUser Data Policyに違反しているエクステンションやアプリはChrome Web Storeから削除される。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ヨーロッパ人の検索結果削除リクエストのためにGoogleが入力フォームページを立ちあげ

EUに住んで、自分に関する古い不適切な情報を検索結果から消してもらいたい、とあなたなら思う? Googleはこのほど、ヨーロッパに住んでいて、自分に関する、自分に削除する権利があると思える情報をGoogleがインデクスした、と信ずる者からの削除リクエストを受け付ける仕組みを実装した。

今朝(米国時間5/30)からあるその、ユーザがデータの削除をリクエストするための入力フォームページは、今月初めにヨーロッパ司法裁判所が下した、Googleは“忘れられる権利”を尊重すべし、という裁定に従うものだ。裁定は、個人からのリクエストに応じてGoogleは、個人データの処理に関するEUのプライバシー指針に違反している“不適切で”古い情報を削除すべし、と言っている。

この裁定は、自分の名前と資産喪失に関する検索結果を検索エンジンから削除したいという、あるスペイン人の訴えが契機となって下(くだ)された。

今月初めには、司法裁判所の裁定に続いて、Googleには検索コンテンツの削除リクエストがいくつか寄せられていることが明らかになった。ただしそこに挙げられていた例は、古典的な三大醜聞ネタともいうべき、再選を目指す元政治家がオフィスにおけるお行儀の悪い行為を報じた記事のリンクの削除を求める; 医師が患者からのネガティブなリビューの消去を求める; 有罪となった児童性愛者が児童虐待写真を保有していたとする判決文の取り下げを求める、といったものだった。

それらは、司法裁判所の裁定の社会的評価を下げるために、Googleが意図的に放ったリークか、とも思われた。

たしかにその裁定は、議論を招(よ)んでいる。とりわけ、Open Rights GroupやWikipediaのJimmy Walesなど、言論と表現の自由を主張する人びとからの反論が多かった。

Walesはそれを、“滑稽”で“異様”と形容し、これでは今後ほとんどの新聞記事が検索にかからなくなる、と指摘した。あるいは、ヨーロッパでは、名もないマイナーな検索エンジンだけが、Googleなどの大手検索エンジンで見つからない情報を表示するかもしれない。裁定に対する批判が示唆しているものは、ヨーロッパではとっくに姿を消したと思われている、検閲という名の悪霊の復活だ。

議論のもう一方の側には、個人のプライバシー権利が座っている。こちらはこのところ、ネットビジネスの繁盛のために大量のユーザデータを収集し利用する企業から、足蹴にされる機会が多くなっている。

昨今の高度に発達した情報技術とそのツールは、データを自動的かつ機械的にふるいにかけるだけなので、人間だけから成る社会では自然に過去という名の背景に溶け込み、消え去ってしまうような情報、たとえば昔々の新聞記事なども、必要以上の長期にわたって公共の目にさらされてしまう。‘忘れられる権利’というおかしな言葉が生まれたのも、このような状況からだ。

裁判所は今のところ、後者の側についている。しかも裁定には即時の強制力があるので、この裁定を根拠に今後為されるリクエストに対応する処理を、Googleは迅速に実装しなければならない。

Googleによると、同社はすでにそういうリクエストを“数千件”受け取っているそうだから、ヨーロッパ人のあいだにGoogleの検索履歴を自分でエディットしたい、という願望があることも事実だ。

裁定に対するGoogleのコンプライアンスは、EUのユーザがEuropean Data Protection Lawに基づいて削除する権利が自分にあると思われる情報を詳細に指定するための、フォームページとして実装されている。

そのフォームには、リクエストの適法性はGoogleが判断する、と書かれている:

この決定の実装においては、弊社が個々のリクエストを評価し、個人のプライバシー権利と、情報の接受と配布にかかわる公共の権利の均衡に努めるものとする。リクエストの評価において弊社は、情報の時代的な古さと、情報に対する公共的関心の有無を独自に判断する。この検討の対象となる情報は、たとえば、金融詐欺、専門的職業人が犯した過失、犯罪に対する有罪判決、公務員の不正な公的行為、などである。

Googleは、上の‘公共的関心の有無’という言葉にも見られるように、裁定に逆らう面も見せている。すなわち、詐欺や過失、公務員の不正行為の記事などは、古い情報であっても、必要があれば見られるという状態の方が適切である、とGoogleは主張しているのだ。

しかしこのような評価はとても難しいから、今後情報取り去りリクエストが増えれば、Googleにとって、手に負えない作業になる可能性もある。おそらく、処理の一部は自動化せざるをえない、と思われる。

なお、情報の削除をリクエストする者は、運転免許証や国民番号証などによって本人性を証明する必要がある。

また、本人の本人性を公的に代理する機関、たとえば本人との正式の契約のある弁護士事務所などが、検索結果からの情報の取り去りをリクエストすることもできる。顧客の某氏のために検索履歴を仔細に調べて、複数の、必要十分な数だけの、削除リクエストをGoogleに提出することが、法律事務所などの手頃な副収入源になってしまうかもしれない。

Googleは本誌TechCrunch宛のメールで、同社はヨーロッパ各国のデータ保護当局と密接に協働していくことのほかに、専門家集団によるGoogle独自の諮問委員会を立ちあげて、評価判断過程の適正化を図る、と言っている。おぉ、これまた、プライバシー専門の弁護士たちの、格好の副収入源になるね。

この件について、Googleは次のように述べている:

“ヨーロッパの裁判所の最近の裁定に従うために弊社は、弊社の検索エンジンからの結果の削除をリクエストするヨーロッパ人のためのフォームページを提供する。裁判所の裁定によりGoogleは、個人の忘れられる権利と公共の知る権利に関して、難しい判断をしなければならない。弊社は専門家による諮問委員会を作って、これらの問題を綿密に検討していきたい。またこの裁定の実装にあたっては、各国のデータ保護当局等とも協働していく”。

アップデート: Googleは、諮問委員会の当面のメンバーの氏名を公表した:

  • Frank La Rue (意見と発言の自由に対する権利の普及と保護に関わる国連特別報告人)
  • Peggy Valcke (University of Leuvenロースクール理事)
  • Jose Luis Piñar (元スペインのDPA, 現在は教授職)
  • Jimmy Wales (Wikipedia)
  • Luciano Floridi (Oxford Internet Instituteで情報倫理哲学を担当)

このメンバーは全員、Googleが選出した人たちなので、かなり‘Google好み’であるかもしれない。

Twitter上には、こんな皮肉っぽい批判も:

[このメンバーは一見多彩だけど、裁判所が言ってる‘均衡’にはあまり配慮してないようね。]

アップデート2: ヨーロッパ司法裁判所の裁定に対するGoogleの今回のコンプライアンスは、データ保護法自体は1995年からあることを考えると遅すぎる、とECの部長Viviane Redingがコメントしている:

“Googleがやっとヨーロッパの法律を尊重するために必要な措置をとったことは、良い展開である。ヨーロッパのデータ保護法は1995年から存在しているから、やっとという形容がふさわしい。Googleにそれをわからせるために、ヨーロッパ司法裁判所の出番が必要だった。忘れられる権利と自由な情報の権利は敵同士ではなく友だちである”。

“この動きは、それまでの実践不可能というおそれが、根拠のないものであったことを示している”。

データの保護は未来のビジネスモデルである。

— Viviane Reding

[pullquote author="Viviane Reding"]Data protection is the business model of the future.[/pullquote]

“法律は、表現の自由とデータの保護とのあいだで正しい均衡を図るためにある”。

“どちらかを優先して他方を犠牲にするのではなく、両方を立てるための正しい均衡が重要である。ヨーロッパ司法裁判所は、二つの権利が矛盾・衝突しないことを明らかにし、その均衡の見つけ方と、忘れられる権利の限界が那辺にあるかを、明確に指示した。また裁判所は、ジャーナリストの仕事はそのまま保護すべきであることも、明らかにした”。

“真のデータ保護を社会に提供していくことに、今後のスタートアップの強力で革新的なビジネス機会がある。法律による保護や、データに関して消費者の力を強くしていくことに、安定的な売上と利益の機会がある。データの保護は未来のビジネスモデルである。この機会をつかもうとする企業の前には、広大なビジネスの未来が開けている”。

[Image by Nana B Agyei; Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))