インド太平洋に注目が集まる中、欧州-大西洋で急成長する技術同盟が形成される

TechCrunch Global Affairs Projectは、テックセクターと世界の政治がますます関係を深めていっている様子を調査した。

2021年9月29日から30日にかけて、ピッツバーグの製鉄所を改造したシードアクセラレーター施設で、バイデン政権の閣僚3名とEUの高官2名が集まり、米欧貿易・技術協議会(TTC)を設立した。TTCが定着すれば、インド太平洋のQuadに対する欧州・大西洋の応答となるかもしれない。これは発展途上の技術同盟であり、新しい民主的な技術協定の構成要素となるだろう。

政治中心のワシントンで技術と外交の結びつきを見ると、すべての注目がインド太平洋、特に中国に向けられているように見える。しかし、データ、ソフトウェア、ハードウェアの分野では、米欧関係も同様に、あるいはそれ以上に重要な技術回廊であり続けている。ちなみに、欧州・大西洋間のデータ転送量は、米国・アジア間のデータ転送量よりも55%多い。

TTCの設立により、欧州大西洋のパートナーシップは、この巨大な民主的デジタル回廊を活用するための戦略的な場を得た。特に米国、中国、EUの3つが主役となっている世界的な技術の地政学競争を考慮するとなおさらだ。

17ページにわたるピッツバーグTTCの声明には、今後の作業のためのロードマップと、技術基準、安全なサプライチェーン、データガバナンス、海外直接投資(FDI)の審査、グリーンテクノロジー、人権侵害におけるテクノロジーの悪用、開放経済などの重要な問題に取り組む一連のワーキンググループの概要が記されている。中国という言葉は一度も出てこなかったが、共同声明には「非市場経済」「軍民融合」「権威主義の政府」による「社会的スコアリング」の使用など、中国を表す言葉がふんだんに盛り込まれている。

3つの分野が際立っている。第一に、米国とEUは技術標準に対するアプローチを再考中だ。中国では「三流の企業が製品を作り、二流の企業が技術を作り、一流の企業が規格を作る」という言葉が流行っている。中国政府は9月に「標準化戦略」を発表した。これは中国の技術標準の国際化、規格の採用促進、規格開発における民間企業の取り組みの強化に焦点を置くものだ。

米国とEUは、どのようにして標準が地政学的な目的に利用されうるのかに注目している。米国とEUは、中国共産党と親しい企業が国際標準化機構(ISO)や国際電気通信連合(ITU)のような規格設定機関を植民地化してしまったことで、民間企業に標準を設定させるというモデルが地に落ちたという認識を深めている。このような中国の世界における攻撃的な動きを受けて、米国の技術標準担当機関であるNIST(アメリカ国立標準技術研究所)とEU当局との対話が復活した。両者はTTCを利用して、民間企業との連携を含めた標準化戦略を調整したいと考えている。

第二に、新型コロナウイルス感染症による混乱と米中の技術的緊張により、欧州・大西洋の技術サプライチェーンの脆弱性が明らかになった。特に半導体においては、エンティティリストによる制限、チップ王である台湾のTSMCが不安定な状況である影響を受けていた。世界のチップ製造における米国のシェアは、1990年の37%から2020年には12%にまで縮小している。また、EUでは1990年の44%から現在は8%と、さらに劇的に減少している。ワシントンとブリュッセルは、この傾向を変えようと尽力している。米国議会は先に、520億ドル(約5兆9639億円)規模のCHIPS法を可決したが、来るべき欧州半導体法では、930億ユーロ(約1兆2067億円)規模のHorizon Europe基金、EUの7500億ユーロ(約97兆3017億円)規模の新型コロナウイルス感染症復興基金、および各国の半導体産業の協調的な取り組みを活用できる。

関連記事:【コラム】米国によるテックの「中国排除」は利益より害の方が大きい

しかし、これまでは産業政策が競合するのではないかという懸念があったかもしれないが、欧州委員会のマルグレーテ・ベスタガー副委員長と米国商務長官のジーナ・レモンド氏は、ピッツバーグで技術面での「補助金競争を避けたい」点を強調した。実際、TTCが「中長期的」に「半導体に関する専用トラック」を設けていることは、ハイエンド半導体の生産における協力という、より野心的な共同アジェンダのための滑走路となる。すべての状況を勘案すると、両当局は調和するべきであり、ピッツバーグの声明では本件が「バランスのとれた、双方にとって同等の関心事」であることが強調されている。欧州最大の未開発地域のプロジェクトである「メガファブ」プロジェクトを核とした欧米のコンソーシアムの実現を想像するのは難しいことではない。

第三に、Huawei(ファーウェイ)の5G機器に対する規制、リトアニアでのXiaomi(シャオミ)の電話検閲機能に関する新たな事実、Tencent(テンセント)のような欧州各地での企業の買い占めなどを受け、双方は重要な技術の海外流出をどのように管理するかを厳しく検討している。輸出規制、FDIの審査、信頼できるベンダーなど、すべての要素が検討されている。これまでEUと米国は、核、化学、生物などの伝統的な分野に加え、サイバー分野でもデュアルユース品(軍事転用可能品)の輸出規制を実施してきた。

しかし最近の発展により、デジタル空間を管理する上で、特に投資審査や信頼できるベンダーについての新たな課題が生まれている。規制当局は、民主的なデータ空間をどのようにして維持し、AI、半導体、5G、ゲーム、AR/VR技術、そしておそらくはデジタルサービスやスマートフォンなどの分野における研究やIPをいかに保護するかについても悩まされている。産業安全保障局(BIS)や対米外国投資委員会(CFIUS)などの米国の機関にとっては、EU加盟国が審査や市場アクセス制限の機能を拡大していく中で、欧州の機関と情報を共有するチャンネルを作ることがますます重要になってくるだろう。

これが成功すれば、TTCは、米国とEUがテクノロジー企業を管理する世界的なルールブックを作成する装置となる可能性がある。近年、EUはデジタル技術の規制を単独で行わざるを得ないと感じ、データ保護、コンテンツの調整、オンラインプラットフォームの市場力などの分野で主導権を握っている。

ワシントンの一部の人々は、米国が意味のある規制を行わない中での欧州の努力を評価しているが(ワシントンは、トランプ政権下では技術外交政策にまったく関与しておらず、オバマ政権下ではビッグテックに捕われていたと認識されている)、このいわゆる「ブリュッセル効果」は、特にデータフローとデジタル独占禁止法の将来に関して緊張を生んでいる。

2020年の裁判所のGDPRに基づく判決により、欧州の個人情報を米国に持ち込むための主要な「パスポート」であるプライバシーシールドが無効になったため、大西洋間の自由なデータの流れは無視されたままだ。反トラストの面では、Meta(Facebook)、Amazon、Google、Appleなどの大手企業が、オンラインプラットフォームの市場支配を規制するEUの法律を緩和させようと激しく争っている。バイデン政権自体は、まだ明確な立場を決めていない。

さらに広く見れば、欧州の多くの人々は、パートナーとしての米国に懐疑的だ。スノーデン事件(欧州の指導者に対するNSAの広範なハッキングを公表した)、トランプ大統領の2016年の選挙、ケンブリッジ・アナリティカ事件、そして最近ではフェイスブック内部文書が、地政学的なものだけでなく、デジタル的なものも含めて、欧州と大西洋の関係を疎遠なものにしている。最近のドイツ外交問題評議会の調査では、クラウドコンピューティングでは92.7%、AIでは79.8%、ハイパフォーマンスコンピューティングでは54.1%のヨーロッパ人が米国企業に過度に依存していると考えていた。欧州関係者の54%は、米中の技術的対立の中で独立性を保ちたいと考えているのに対し、46%は米国に近づきたいと考えていた。

一方で、欧州の二大勢力であるフランスとドイツがTTCに力を貸すのかという問題がある。近年、フランスとドイツが「技術的主権」という考え方を支持していることから、欧州の大国がTTCの成功にどれだけ尽力するのかが疑問視されている。

欧米の関係は、石炭と鉄鋼の産業時代に築かれたものだが、半導体とAIのデジタル時代になった今、TTCは世界中で台頭する技術権威主義に欧州大西洋同盟が立ち向かえるようにするための橋渡し役だ。両者ともそれをわかっている。それが最も悩ましいことなのかもしれない。

編集部注:本稿の執筆者Tyson Barker(タイソン・バーカー)氏はドイツ外交問題評議会(DGAP)のテクノロジー&グローバル・アフェアーズ・プログラムの責任者。以前はAspen Germanyに勤務し、副所長兼フェローとして、同研究所のデジタルおよび大西洋横断プログラムを担当した。それ以前は、米国務省の欧州・ユーラシア局でシニアアドバイザーを務めるなど、数多くの役職を歴任している。

画像クレジット:metamorworks / Getty Images(Image has been modified)

原文へ

(文:Tyson Barker、翻訳:Dragonfly)

英アマゾン、「英国で発行されたVisaカードの取り扱いを停止する」との脅迫を撤回

Amazon(アマゾン)は、決済手数料をめぐる論争で、英国でのVisa(ビザ)カード決済のサポートを終了すると公に脅していたが、撤回したようだ。

同社は現地時間1月17日、Amazon.co.ukのユーザーに電子メールを送り、1月19日に予定されていた「見込まれる変更」が、同日から実施されないことを知らせた。

ただ、AmazonとVisaが手数料について持続的な条件に達したかどうかはまだ明らかではない。

「Amazon.co.ukでのVisaクレジットカードの使用に関して予定されていた変更は、1月19日には行われなくなりました。当社は、顧客がAmazon.co.ukでVisaクレジットカードを使い続けられるような潜在的な解決策について、Visaと緊密に連携を取っています」と、Amazonは英国のユーザーに宛てた電子メールに書いている。

「Visaクレジットカードに関連する何らかの変更を行う場合は事前にお知らせします」と続け「それまでは、Visaクレジットカード、デビットカード、Mastercard、American Express、Eurocardを現在同様に使い続けることができます」と付け加えた。

AmazonとVisaにコメントを求めたところ、この動きを認めたが、それ以上の詳細については説明しなかった。

Amazonは、今のところ何も変わらないというユーザーへの簡潔な声明以上のコメントを却下した。

Visaの広報担当者も「潜在的な解決策」が実際に何を意味するのかについては詳しく説明しなかった。「Amazonの顧客は、我々が合意に達するために緊密に協力している間、1月19日以降もAmazon.co.ukでVisaカードを使用できます」と記した声明の中で、手数料に関する交渉が続いていることを暗に示している。

2021年末にAmazonは英国のユーザーへの電子メールで、Visaのクレジットカード決済に課す高い決済手数料を理由にVisa決済のサポートを終了し、Amazon.co.ukでの買い物の支払いに代替手段を用意するよう警告していた。

関連記事:英Amazonで1月19日から英国発行Visaクレジットカードが使えなくなる

その際の大量の電子メール送信というやり方は、Amazonが自社の市場パワーを利用してVisaからより良い条件を引き出そうとしたように思われた。

それが功を奏してVisaにクレジットカード手数料を引き下げさせることができたのか、それともAmazonが英国の買い物客に大きな混乱をもたらす瀬戸際から一歩下がることにしたのかは不明だ。

後者であれば、Amazonはすでに、Visaベースの支払い方法に依存する英国のユーザーに、近い将来、同社のサイトで買い物を続けられるかどうか、数カ月にわたって不安を与えていたことになる。

Visaは2021年11月に、Amazonが「将来的に消費者の選択肢を制限すると脅している」ことを残念に思うと述べ「消費者の選択肢が制限されて得をする人はいない」とも主張していた。

Visaは当時、Visaカード保有者が英国で発行されたVisaクレジットカードを引き続きAmazonのウェブサイトで使用できるよう、解決に向けてAmazonとともに取り組んでいると述べていた。

それから数カ月経ったが、Amazonが英国発行のVisaカードの利用を停止する期限が迫っている中でも交渉は続いているようだ。

Amazon.co.ukでのVisa決済の手数料上昇は、英国のEU離脱と関連している。ブレグジットにより、英国と欧州経済領域 / EU間の取引で課される手数料の上限が撤廃されたからだ。

しかし、この問題はおそらく、Amazonが英国のビジネスをどのように構築しているかという点にも関わっている。同社は、英国の顧客にEU拠点の法人を通じて請求し、英国のウェブサイトを通じて計上した収益をルクセンブルグの欧州本社に移しているためだ。

City AMの2021年8月のレポートによると、Amazonはこの企業構造によって、かなり高額な英国の税金の支払いを免れることができたという。しかし、同じ「利益移転」構造によって、AmazonはVisa「税金」をかなり多く負担しているようだ(というか、負担してきた……)。

画像クレジット:David Ryder/Stringer / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

ポーランドのモバイルスパイウェア事件で2019年の選挙に疑念が浮上

ポーランドの与党が野党議員に対して物議を醸すモバイルスパイウェアを歴史的に使用してきたとされるスキャンダルが発覚し、同国の2019年の議会選挙の正当性に疑問が投げかけられている。

インターネット監視団体Citizen Lab(シチズンラボ)は、NSO Groupの悪名高いスパイウェアPegasus(ペガサス)が、ポーランド政府を批判する3人をスパイするために使用されていたことを突き止めた。ターゲットの1人は、ポーランド上院議員Krzysztof Brejza(クシシュトフ・ブレジャ)氏で、2019年の国会議員選挙を前に何十回も電話がハッキングされていた。

ブレジャ氏の携帯電話から盗まれたテキストメッセージは改ざんされ、選挙に向けた明らかな中傷キャンペーンの一環として国営テレビで放映された。ブレジャ氏の左派政党連合Civic Platform(シビック・プラットフォーム)はその後、2019年の同国議会選挙で僅差で敗れた。ブレジャ氏は、ハッキングを最初に報じたAP通信に対し、与党が彼の選挙運動の計画にアクセスできたはずなので、選挙は不公平だったと述べた。

ポーランド政府は以前、Pegasusの使用を否定していた。このモバイルスパイウェアは、政府顧客がターゲットの個人データ、写真、メッセージ、正確な位置情報を含むデバイスにほぼ完全にアクセスできるようにするものだ。

ポーランドの法と正義党党首で同国の副首相であるJaroslaw Kaczynski(ヤロスワフ・カジンスキ)氏は、ポーランド政府が政治的野党を監視するためにPegasusを使用したという非難をはねつけたが、先週ポーランドのメディアに対し、他の国々がモバイルスパイ技術にアクセスできるのに、ポーランド保安機関がアクセスできないとしたら「まずいだろう」と語った。

ポーランドのメディアによると、政府は2017年に、犯罪の被害者の救済や犯罪者の更生を目的とする、いわゆるジャスティス基金の資金を使ってPegasusを購入したという。

アムネスティ・インターナショナルは先週末、ブレジャ氏の携帯電話がハッキングされたことを独自に検証した

ポーランドのMateusz Morawiecki(マテウシュ・モラヴィエツキ)首相は、AP通信とCitizen Labの調査結果を「フェイクニュース」と呼び、外国の情報機関が原因である可能性を主張した。批判者たちは、他の政府がポーランドの3人のターゲットに関心を持つことはないと主張し、政府の主張を退けた。

Citizen Labが確認した他の2人のポーランドのターゲットは、政治的にセンシティヴな事件の数々で野党政治家の代理人を務める弁護士Roman Giertych(ローマン・ジアーチ)氏と、検察官Ewa Wrzosek(エワ・ウルゾセク)氏だ。Apple(アップル)は2021年12月、NSOを提訴し、スパイウェアメーカーがAppleの技術を一切使用できないようにしたのち、電話スパイ被害者への通知を開始した。

Pegasusは、バーレーン、サウジアラビア、ルワンダ、アラブ首長国連邦などの権威主義政府がジャーナリスト、政治家、人権擁護者をスパイするために使用していることが知られている。しかし、2021年の新たな報道により、ポーランドのように、ドイツハンガリーなど欧州連合のいくつかの国がPegasusの顧客であることが明らかになった。

ポーランドの野党指導者で、2021年10月からCivic Platformの新リーダーであるDonald Tusk(ドナルド・トゥスク)氏は、政府のPegasus利用について議会での調査を要求している。Renew Europe(リニュー・ヨーロッパ)の欧州議会のリベラル派議員であるGuy Verhofstadt(ガイ・ヴェルホフスタット)氏は、TechCrunchに対し、ポーランド政府がPegasusをどのように使用しているかの全体像を把握するために、この疑惑を調査する必要があると述べている。

「しかし、我々が知っていることは深く憂慮すべきことだ」と、ヴェルホフスタット氏は述べた。「これは明らかに、法の支配と自由で公正な選挙の両方に対する脅威であり、したがって、EUの規則とEUの完全性の両方に対する脅威でもあります。これが欧州の完全な調査に値しないとすれば、何が調査に値するというのでしょう」。

NSO Groupの無名の広報担当者は、顧客について肯定も否定もしなかったが「反体制派、活動家、ジャーナリストを監視するためにサイバーツールを使用することは、あらゆるテクノロジーの深刻な誤用であり、そのような重要なツールの望ましい使用法に反しています。国際社会は、このような行為に対してゼロ・トレランスのポリシーを持つべきであり、そのためにはグローバルな規制が必要です。NSOは、過去に複数の契約を解除することで、この種の悪用に対してゼロトレランスであることを証明しています」。

今回の調査結果を「衝撃的だが、驚くべきことではない」としたアムネスティ・インターナショナルは、EUに対しても、米国政府が行ったような、NSO Groupに対する標的制裁を実施するよう求めている。

「このことは、Pegasusのチェックされていない使用が、政治家のみならず、世界中の市民社会にとって脅威であることを改めて示しています。これまでのところ、違法な標的型監視を抑制するための措置は十分にとられていません」と、アムネスティ・インターナショナルの研究者兼顧問であるLikhita Banerji(リキータ・バナジー)氏は、TechCrunchの取材に対し述べた。

「我々は、人権規制のセーフガードが整備されるまで、各国政府がスパイウェアの販売、移転、使用について世界的な一時的禁止処置を実施することを緊急に必要としています」。

画像クレジット:Wojtek Radwanski / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

【コラム】欧州は独禁法と競争政策で中国の反競争的行為に対応すべき

TechCrunch Global Affairs Projectは、テクノロジー部門と世界政治のますます複雑になっている関係を検証する。

欧州はプライバシー、データ保護、特に競争において主導的な役割を果たし、テック大手の規制で高い評価を得ている。現在、大規模なオンライン「ゲートキーパー」を明確にする基準を導入する新しい独占禁止法が欧州議会を通過中だ。しかし、デジタル市場法(DMA)は多くの米テック企業を標的にすることが予想される一方で、戦略的にDMAを、そして欧州の反トラスト・競争政策全体を使用すれば、中国と競争するためのツールにもなり得る。

ここ数年、欧州は自らのテクノロジーのリーダーシップに対する中国の挑戦に徐々に目覚めてきた。多くの欧州人は、米国の脅威に対する認識を徐々に収束させつつあるが、欧州には中国の大手企業から発せられる挑戦に対処する手段も政治的意志もまだ欠けている。

中国に対する欧米の政策対応は一致させるべきだが、同じである必要はない。米国と欧州はそれぞれの強みとツールボックスを活用して、テック分野における中国の市場歪曲行為に対抗すべきだ。そして欧州はDMAを始め、中国に対抗するために競争政策の策定と実施という比較優位を生かすべきだ。

中国のテック大手は、世界のテクノロジーエコシステムの規模と支配をめぐって競争している。中国共産党(CCP)は、中国の最大手テック企業が市場を支配することを目標に掲げている。この目標を達成するために、中国共産党は自国企業の市場地位を向上させるために反競争的な行為を行っている。国家補助金に加え、中国共産党はしばしば、市場地位を向上させるために企業に心付けを提供する。

5Gが良い例だ。中国政府は5Gの覇者Huawei(ファーウェイ)に対し、減税、資源の割引、融資支援などを通じて750億ドル(約8兆6250億円)サポートした。一方、こうした中国の国内市場によって、Huaweiを含む国家が支援する有力企業が中国国内での非常に少ない競争と高い市場シェアを活用し、第三国での価格の何分の一かでサービスを提供することが可能になっている。このような現実に直面し、欧州の5Gテック主要メーカーであるNokia(ノキア)とEricsson(エリクソン)は以前、自国市場でHuaweiと競争するのに苦労していた。中国の国内経済政策はこのように世界的な影響を及ぼす。

欧州各国は2020年に、中国の欧州での事業増強に対抗するため、投資審査機構を設立した。しかし、まだやるべきことは残っている。加盟27カ国のうち、投資審査機構を設立したのは18カ国にすぎないが、さらに6カ国が準備中だ。また、この機構の有効性に疑問を呈する理由もある。欧州委員会が審査した265件のプロジェクトのうち、阻止されたのは8件にすぎない。審査したプロジェクトのうち、中国のプロジェクトはわずか8%だった。また、機構は反競争的行為にはっきりと取り組んでいるわけでもない。

それが変わり始めている。2021年5月、欧州委員会は域内市場を歪める外国補助金に関する規則を提案した。この規則では、外国補助金に関わるEU外の政府による資金拠出を調査し、停止させる可能性のあるツールを盛り込んでいる。しかし、欧州の初期の取り組みは心強いものではあるが、中国企業の市場での地位や中国政府の歪んだ政策に対処するには十分ではない。

とはいえ、欧州は規制の勢いを利用するのに適した立場にある。中国の多面的な戦略を考えると、欧州は補助金以上のものを考えなければならない。中国のテック大手と効果的に競争し、中国企業の不公正な市場地位に対処するために、欧州はデジタル市場法(DMA)を調整するなどして、反競争的行為を行う中国企業を対象とする反トラスト規制を利用する必要がある。投資審査と反トラスト政策を組み合わせることで、欧州委員会は中国の反競争的行為に対処するための十分な手段を得ることができる。

中国の反競争的行為に独禁法政策で対抗することは、欧州のツールキットの論理的な拡張だ。米国は伝統的に消費者福祉というレンズを通して独禁法政策を見るが、欧州はしばしば市場競争というレンズを通して独禁法政策を見る。さらに、欧州では、中国企業を国家安全保障や反中国の枠組みで見ることを嫌う傾向がある。投資審査機構が国家安全保障を重視しているのに対し、欧州では市場競争を確保するために独占禁止法や競争政策が追求される。このような枠組みがあるため、独禁法政策を通じて中国の反競争的慣行に対処することは、欧州にとって自然なことだ。実際、欧州議会の議員は12月19日の週に、DMAを中国のAlibaba(アリババ)に拡大適用すべきだと主張した

このような動きは、反トラスト法施行に関して、反米的な偏見があると思われていることを是正することにもなる。欧州委員会の担当者は、中国企業はDMAの対象となるほどビジネスを欧州で行っていない、と主張している。しかし、そのようなやり方では、欧州の規制当局が対象とするのはほとんど米国企業だけということになる。しかし、地政学的なレンズを通して見ると、中国が支援するテック企業は欧州のイノベーションのエコシステムにとって、米国のテック企業よりも大きな脅威となる。このことは、米国における争点であり続け、欧州との関係を弱める恐れがある。

欧州は、テック問題における米国の反中国的枠組みにしばしば苛立っているが、欧州が望ましいとする問題のフレーミングである、民主化を肯定する課題を前進させるには、米国と欧州がそれぞれのイノベーション・エコシステムを強化することが必要だ。デジタル市場法で米企業のみを対象とすることは、潜在的な大西洋横断協力に支障をきたし、欧米の肯定的議題を阻害する恐れがある。

デジタル市場法は、米テック企業の責任を追及する上では間違っていないが、欧州にとっては、独禁法と競争政策を利用して、欧州の認識と強みに合った中国の課題へのアプローチを再調整する機会だ。欧州は、中国の市場を歪める行為に対処し、中国の反競争的行為を押し返すためのツールボックスに別のツールを加えるこの機会を逃すべきではない。

編集部注:本稿の執筆者Carisa Nietsche(カリサ・ニーチェ)氏は新アメリカ安全保障センターの大西洋横断セキュリティプログラムのアソシエイトフェロー。

画像クレジット:MicroStockHub / Getty Images

原文へ

(文:Carisa Nietsche、翻訳:Nariko Mizoguchi

EU、マイクロソフトの音声認識技術企業Nuance買収を無条件で承認

欧州連合(EU)の競争当局は、Microsoft(マイクロソフト)が2021年初めに発表した音声認識(文字起こし)技術企業Nurance(ニュアンス)の197億ドル(約2兆2500億円)での買収を全面的に承認した。

EUは12月21日、買収実行にともなうEUでの競争上の懸念はないと結論づけ、条件を付さずに承認したと発表した

この買収は、11月16日に欧州委員会の規制当局に通知された。

関連記事
マイクロソフトが過去2番目規模で文字起こし大手Nuance Communications買収、ヘルスケア分野のクラウドを強化
英独禁監視当局がマイクロソフトのNuance買収を調査中

MicrosoftのNuance買収がEUの承認を得た一方で、英国の競争・市場庁は予備調査を開始したばかりだ。まだ精査が続く地域もあるということだ。

EU側では、欧州委員会の調査は、音声認識ソフトウェア市場におけるNuanceとMicrosoftの水平方向の重複を調査し、両社がまったく異なる製品(エンドユーザー向け既製ソフトと、アプリに音声認識技術を追加したい開発者向けのAPI)を提供していると判断した。

また、2社の統合後も、他のプレイヤーとの「強い」競争に引き続き直面することになるとも判断した。

EUは、MicrosoftのクラウドコンピューティングサービスとNuanceのヘルスケア向け下流音声認識ソフトとの垂直的な関連性にも注目したが、この分野で競合する音声認識サービスプロバイダーは、クラウドコンピューティングをMicrosoftに依存していないことがわかった。

また、欧州委員会によれば、この種の音声認識サービスプロバイダーは、クラウドコンピューティングの主要ユーザーでもないという。

同委員会の調査では、Nuanceのソフト(Windows版のみ)とMicrosoftの数多くの製品との複合的な関連性も検討されたが、統合後の企業は、(医療)音声認識ソフト、法人向け通信サービス、CRMソフト、生産性ソフト、PCオペレーティングシステムの市場において競合企業を排除する能力やインセンティブを持たないとの見解に至った。

そして、ここでもまたEUは、統合後の企業が依然として強い競争に直面することになると判断した。

おそらく最も興味深いのは、欧州委員会がNuanceのソフトによって書き起こされたデータの利用について調査したことだ。興味深い理由は、医療データの機密性が非常に高いからだ。Microsoftはアドテク分野では巨大プレイヤーではないが、同分野で事業を拡大する野心を持つ。ちょうど米国時間12月21日、同社はデジタル広告事業を強化するため、AT&Tからアドテク企業のXandr(旧AppNexus)を買収すると発表した

さらに、すでに大規模なデジタルマーケティング事業を展開している巨大テック企業のOracle(オラクル)が、電子カルテシステムを提供するCerner(サーナー)の買収を発表し、同社のヘルスケア分野への壮大な構想を示すことになった。

もちろん、アドテク企業が健康データを手中に収めるという見通しは、プライバシーに関して多くの人々を不安にさせる

しかし、MicrosoftによるNuance買収のデータ面に関する評価は、既存の「契約上の制約」とEU地域のデータ保護規制のおかげで、問題なしとされた。

その分析は主に競争の観点からなされたが、EUの反トラスト法評価で(さらに)データ保護に焦点が当たったことは注目に値する。(先例として、EUがGoogleのアドテクを現在も精査している件がある。欧州委員会は2020年、GoogleのFitbit買収を承認したが、プライバシー擁護派から多くの批判を受けた。このケースでは、承認にあたり、GoogleがFitbitの健康データを広告に利用することを制限するという条件を付した)。

「欧州委員会は、Nuanceが自身のサービスを提供するためにのみ健康データを使用することができると結論付けました」とEUはMicrosoftのNuance買収承認に関するプレスリリースに書いている。「データを他社が利用することはありませんし、契約上の制約やデータ保護法の関係で他の目的には使用できません」。

EUの反トラスト部門はまた、Nuanceのデータへのアクセスは、Microsoftに、競合する医療ソフトプロバイダーを締め出すことができるような優位性を与えることはないと結論付けた。「重要な音声認識情報は、Nuanceの断片的な音声データとは異なり、複数のソースからのデータを組み合わせた電子カルテシステムなどのサードパーティアプリケーションに通常格納されています」。

以上からだけでも、電子カルテシステムのプロバイダーであるCernerのOracleによる買収に関しては疑問が生じる。すなわち、EUの競争規制当局が、ハイテクヘルスケア分野の大型ディールを検討するようになれば、より厳しい質問をぶつけてくる可能性があるのではないかということだ。

ただし、Cernerは2020年欧州のポートフォリオの一部を売却しており、同地域の顧客が比較的少ないため、EUの懸念の範囲は縮小または限定されるかもしれない。

画像クレジット:Kena Betancur/VIEWpress/Corbis / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

フランスがClearview AIにデータ削除命令、EU他国でも同様の措置の可能性

インターネットから自撮り写真を収集し、約100億枚の画像データベースを構築して法執行機関にID照合サービスを販売する、物議を醸している顔認証企業Clearview AI(クリアビューAI)が、またしてもデータの削除命令を受けた。

フランスのプライバシー保護当局は現地時間12月16日、Clearviewが欧州の一般データ保護規則(GDPR)に違反したと発表した。

違反認定の発表の中で、CNIL(情報処理・自由委員会)はClearviewに対して「違法な処理」を停止するよう正式に通知し、2カ月以内にユーザーデータを削除しなければならない、としている。

当局は、2020年5月以降に寄せられたClearviewに対する苦情に対処している。

ClearviewはEUに拠点を置いていないため、同社の事業はEU全域で各国のデータ保護監督機関からも規制措置を受ける可能性があることを意味する。CNILの命令は、同社が保有するフランス領の人々に関するデータ(CNILは「数」千万人のインターネットユーザーが対象となると推定)にのみ適用されるが、EU各国の当局からもこのような命令が出される可能性が高い。

CNILは、調査結果を共有することで他の当局との協力を模索してきたと述べている。これは、Clearviewが、GDPRを国内法に移項した他のEU加盟国およびEEA諸国(合計で約30カ国)の当局からデータ処理の停止命令をさらに受けるかもしれないことを示唆している。

2021年、Clearviewのサービスはすでにカナダオーストラリア英国(EU離脱後も現在GDPRを国内法に残している)でプライバシー規則違反と認定され、罰金の可能性がある他、2021年11月ユーザーデータの削除を命じられた。

関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

2つのGDPR違反

フランスのCNILは、Clearviewが2つのGDPR違反を犯したと認定した。法的根拠なく生体データを収集・使用したことによる第6条(処理の合法性)違反、そして第12条、第15条、第17条に規定されたさまざまなデータアクセス権の違反だ。

第6条の違反は、Clearviewが顔認証の使用について人々の同意を得ておらず、データの収集と使用について正当な利益の法的根拠にも依拠できないことによる。

「さまざまなウェブサイトやソーシャルネットワークで写真やビデオにアクセスできるこれらの人々は、国家が(警察などの)目的のために使用できる顔認証システムに供給するために、自身の画像がClearview AIによって処理されることは望まないでしょう」とCNILは書いている(フランス語からの翻訳)。

また、GDPRデータアクセス権を取得しようとした際に遭遇した多くの「困難」に関して、個人からの苦情も寄せられている。

CNILは、Clearviewが「正当な理由なく」個人のデータアクセス権を年2回に制限したり、過去12カ月間に収集されたデータに限定したり「同1人物からの過剰な数の要求」の後にのみ特定の要求に応じるなど、多くの点で規制に違反していることを明らかにした。

Clearviewは、人々のデータの削除要求に応じることを含め、データ主体の権利を適切に促進するよう命じられている。

同社がフランスの命令に従わない場合、さらなる規制措置(罰金の可能性も含む)に直面する可能性があるとCNILは警告している。

GDPRでは、DPAは2000万ユーロ(26億円)または企業の世界年間売上高の最大4%のいずれか高い方の制裁金を科すことができる。しかし、EUに拠点を持たない企業に対して罰金を科すことは、規制上の課題となっている。

TechCrunchはCNILの命令についてClearviewにコメントを求めている。

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

スペインがスタートアップ法成立へ前進、税制面で優遇や手続きを簡素化

スペイン政府は、スタートアップ法草案の詳細に同意し、議会へ提出した。議会は法案採択の議決に先立ち審議を行う。内容を修正する可能性もある。

閣僚理事会が現地時間12月10日、草案採択を発表した。この草案には、スペインでスタートアップを設立したり、スタートアップに投資したりする際の官僚主義的な障害を取り除くための重要な措置が含まれているという。

また、起業家やデジタル人材にとってスペインをより魅力的な場にするための、ストックオプションやビザの取得に関する改革も含まれている。

スペイン政府はリリースで、今回のパッケージには「ストックオプションのリターン関してEUで最も有利な扱い」が含まれていると述べた。

閣僚らは、ストックオプションの所得に対する非課税枠を、年間1万2000ユーロ(約153万円)から5万ユーロ(約640万円)に引き上げることで合意した。

また、この草案は、株の売却と会社の上場のいずれかの日まで課税を繰り延べると規定している。

その他の注目すべき税制措置としては、法人税および非居住者所得税の4年間の引き下げ(25%から15%へ)がある。これは、大きな障壁への取り組みだ。スタートアップは普通、創業期に売り上げの計上に力を注がないからだ(現行の規則では、一般的な企業と同じ税率が適用される)。

閣僚会議が採択した草案によると、新規 または最近設立された企業への投資に対する控除額の上限も年間6万ユーロ(約768万円)から10万ユーロ(約1280万円)へ引き上げられた。控除率も30%から50%になり「最近設立された」とみなす期間も延長される。

また、この改革は、スペインの創業者が抱えるもう1つの不満、スペインでの起業にかかるコストと官僚的手続きにも対処することになりそうだ。それらのせいで、スペイン国内にオフィスを構えて製品を開発したとしても、ヨーロッパの他の場所で事業を立ち上げる創業者もいる。

今回の法案では、会社設立の手続きが「合理化」され、公証人や登記の費用が不要となり、オンラインで完了できるようになるという。

スタートアップは、オンラインポータルで各種申告を提出し、特典を受けることもできる。

キーボードスタートアップであるThingThingの共同創業者であるOlivier Plante(オリビエ・プランテ)氏は、スペインの高いコストのせいで、2015年に英国でスタートアップを法人化した際、そうせざる得ないと感じたと話す。同社は、スペインにオフィスを構え、Fleksy(キーボードSDK事業)を開発している。

「私たちは3年間、1ユーロも稼げませんでした」と同氏は説明した。「最初の数カ月は、登記簿、株式、銀行、公証人(彼らは寄生虫のようなものです)など、事業の開始に多額の資金が必要でした。スペインでは最大5000ユーロ(約64万円)かかるところ、英国では70ポンド(約1万500円)で済んだのです」。

プランテ氏は、改革パッケージを歓迎している。同氏にとって最も重要な2つの点は、スタートアップの設立手続きを簡素化することと、初期段階での法人税率の引き下げだ。

現在のアプローチは、基本的に「起業家精神を初日から殺すものです」とプランテ氏はいう。あるいは、創業者となりうる人々を、創業するのに十分な資金を蓄えられる立場にある人々に限定しているという。「本当の起業家は、往々にして手段を選ばないものなのです」と指摘する。「そしてスペインでは、根本的に、貧しい人々が豊かになることができません」。

スペインのスタートアップ団体であるスペインスタートアップ協会も、閣僚会議による草案採択を歓迎したが、全文発表後に詳細を確認したいとしている。

また、議会がこの提案をさらに改善することを期待していると述べた。企業がスタートアップとみなされる年数をさらに長くすることや、(草案がそうなっていないとの仮定で)制限する条件を変更する可能性も示唆した(例えば、スタートアップが適格となるために、スタッフの60%がスペイン国内にいる必要がある、売上高がたった500万ユーロ[約6億4000万円]までであるなど)。

同協会は、スタートアップ投資家に対する税控除の拡大については「成功している他のエコシステムと同等になるすばらしいニュースだ」と、非常に高く評価している。

また、この改革案には、起業家精神を刺激するさまざまな施策が盛り込まれている。例えば従業員として別の仕事にも就いている起業家は、社会保障制度へ2回拠出する必要がなくなる(これはブートストラッピングを阻害する要因となる)。また、規制業種では、新しいサービスやMVP(実用最小限の製品)の開発を促進するため、サンドボックスやトライアルライセンスの新設が計画されている。

ただし、具体的な内容が国会でどのように修正されるかは注目だ。

法案可決の時期は、政府関係者がTechCrunchに語ったところによると2022年前半だが、可決期限は同年末までだという。

資金面では、スペイン政府は最大40億ユーロ(約5120億円)の投資目標を掲げている。欧州連合(EU)のコロナウイルス復興資金の活用も含め、スタートアップの成長を促す。

スペインのスタートアップ改革のための10カ年計画については、TechCrunchが2021年初めに行った、スペインの起業家戦略を担当するFrancisco Polo(フランシスコ・ポロ)高等弁務官へのインタビューをチェックして欲しい。

関連記事:スタートアップを経済の推進役に据えるスペインの10年計画

画像クレジット:AntoinePound / Flickr under a CC BY 2.0 license..

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

【コラム】強力な商業プラットフォームに対する欧州のデジタル規制は、ウィキペディアのような非営利協働型サイトも縛る

2020年に新型コロナウイルス(COVID-19)が世界中に急速に広まる中で、世界中のみんなが信頼できる情報を渇望した。科学者、ジャーナリスト、医療関係者からの情報を集約して、一般の人々がアクセスできるようにするために、ボランティアのグローバルネットワークがこの課題に取り組んだ。

そのうちの2人は、お互いから3200km近く離れた場所に住んでいる。その1人Alaa Najjar(アラア・ナジャー)博士は、ウィキペディアのボランティアであり、医師でもある人物だ。彼は救急病院での勤務の合間を縫って、アラビア語版のサイトにおける新型コロナの誤報に取り組んでいる。もう1人、スウェーデン在住の臨床神経科学者で医師のNetha Hussain(ネサ・フセイン)博士は、オフの時間に新型コロナの記事を英語とマラヤーラム語(インド南西部の言語)で編集し、その後、新型コロナワクチンに関するウィキペディアの記事の改善に力を注いだ。

ナジャー博士とフセイン博士、そして28万人以上のボランティアのおかげで、ウィキペディアは 新型コロナに関する最新かつ包括的な知識を得ることができる最も信頼できる情報源の1つとなり、188の言語で約7000の記事が掲載されるまでになった。ウィキペディアがもつ、主要な病気についての情報提供から学生のテスト勉強の支援までをカバーする世界規模での到達性と知識共有の可能性は、ひとえにボランティア主導の協力的なモデルを可能にする法律があってこそ実現されている。

欧州議会は、デジタルサービス法(DSA)のようなパッケージを通じて、ビッグテックのプラットフォームのウェブサイトやアプリで増幅される違法コンテンツの責任を追及することを目的とした新しい規制を検討しているが、彼らは同時に公共の利益のために協力する市民の働きを保護しなければならない。

多くの国で違法とされているコンテンツを含め、身体的・心理的な被害をもたらすコンテンツの拡散を食い止めようとしている議員たちの姿勢は正しいものだ。彼らが包括的なDSAのためのさまざまな条項を検討している中で、私たちは、プラットフォームのコンテンツモデレーションがどのように機能すべきかについての透明性を高めるための要件などを含む、提案されているいくつかの要素は歓迎している。

しかし、現在の草案には、利用規約をどのように適用すべきかについての指示的要件も含まれている。一見すると、それらはソーシャルメディアの台頭を抑制し、違法コンテンツの拡散を防ぎ、オンライン空間の安全性を確保するために必要な措置のように思える。しかし、ウィキペディアのようなプロジェクトはどうなるのだろうか?提案されている要件の中には、人びとの力を取り上げてプラットフォーム提供者に移管させる可能性のあるものも存在している。これによって大規模な商業プラットフォームとは異なる運営をしているデジタルプラットフォームが阻害される可能性があるのだ。

ビッグテックのプラットフォームは、ウィキペディアのような非営利の協働型サイトとは根本的に異なる方法で機能されている。ウィキペディアのボランティアによって作成されたすべての記事は、無料で利用可能で広告はなく、読者の閲覧習慣を追跡することもない。商業プラットフォームのインセンティブ構造は、利益とサイト滞在時間を最大化することで、そのために詳細なユーザープロファイルを活用したアルゴリズムを使って、利用者に対して影響を与える可能性の高いコンテンツを提供する。彼らは、コンテンツを自動的に管理するために、より多くのアルゴリズムを導入しているが、その結果、過剰規制と過小規制のエラーが発生する。例えば、コンピュータープログラムは、芸術作品風刺を違法なコンテンツと混同することが多く、プラットフォームの実際のルールを適用するために必要な人間のニュアンスや文脈を理解することができない。

ウィキメディア財団と、ウィキメディア・ドイツのような特定の国に拠点を置く関連団体は、ウィキペディアのボランティアと、ウィキペディアに存在すべき情報とそうでない情報について決定を下す彼らの自律性を尊重している。オンライン百科事典ウィキペディアのオープン編集モデルは、どの情報をウィキペディアに載せるかは利用者が決めるべきだという信念に基づいており、中立性と信頼性の高い情報源に対して、ボランティアが開発して確立された規則を活用している。

このモデルでは、ウィキペディアのどんなテーマの記事でも、そのテーマについて知っている人や関心のある人が、そのページでどのようなコンテンツが許可されるかを決めるという規則が適用されるのだ。さらに、プラットフォーム上での編集者間の会話はすべて公開されているため、コンテンツ管理は透明性が高く説明責任が果たされている。これは完璧なシステムではないが、ウィキペディアを中立的で検証された情報の世界的な情報源とするためにはほぼ機能している

ウィキペディアを、読者や編集者への説明責任を欠いた、トップダウンの権力構造を持つ商業プラットフォームのように運営せよと強いることは、コンテンツに関する重要な決定からコミュニティを排除することであり、DSAの真の公益的意図を覆すことになるといっても間違いではない。

インターネットは変曲点を迎えている。民主主義と市民の空間は、ヨーロッパをはじめ世界中で攻撃を受けている。私たち全員が今まで以上に、新しい形の文化、科学、参加、知識を可能にするオンライン環境を、新しい規則が妨げるのではなく促進するにはどうすれば良いかを注意深く考える必要がある。

議員たちは、私たちのような公益団体と協力することで、より包括的で、より適用可能で、より効果的な基準や原則を策定することができるだろう。だが、最も強力な商業インターネットプラットフォームのみを対象としたルールを課すべきではない。

私たちは、より良い、より安全なインターネットを手にすることができるべきだ。私たちは議員に対して、ウィキメディアを含むさまざまな分野の協力者ともに、市民がともに改善できる力を与えるような規制を策定することを求めたい。

編集部注:著者のAmanda Keton(アマンダ・ケトン)氏はウィキメディア財団の顧問、
Christian Humborg(クリスチャン・ハンボルグ)氏は、ウィキメディア・ドイツのエグゼクティブ・ディレクターである。

画像クレジット:KTSDESIGN/SCIENCE PHOTO LIBRARY/Getty Images

原文へ

(文: Amanda Keton、Christian Humborg、翻訳:sako)

グーグル、EUの違約金3145億円のGoogleショッピング独占禁止決定を覆せず

Google(グーグル)の購買比較サービス(Googleショッピング)に対する2017年のEU反トラスト事実認定における異議申し立ては、欧州連合の一般裁判所により大部分が棄却された。

これは欧州委員会の反トラスト部門にとって重要な勝利であり、近年、同部門はGoogleに対する複数の決定を含め、このビッグテックに対する強制執行を次々と行ってきた。しかし、2021年の夏はApple(アップル)への追徴課税に対して大きく敗訴していた

米国時間11月10日、欧州の一般裁判所は、製品比較検索サービスであるGoogleショッピングに関連して、競争の濫用に対してGoogleおよびその親会社のAlphabet (アルファベット)に4年以上前に課せられた24億2000万ユーロ(約3145億円)の違約金を支持した。

GoogleがGoogleショッピングに対するさらなる上訴を求めるかどうかは定かではない。

広報担当者は質問に対するコメントを避けた。2017年に、委員会はGoogleがその自社の名を冠した購買比較サービスを派手に目立たせる一方で、同時にオーガニック検索結果でライバルの順位を下げることにより、検索の支配的立場を濫用していることに気づいた。

Googleとその親会社のアルファベットは判決に対して上訴したが、一般裁判所は請求のほとんどを取り下げた。認可を受けた行動が反競争的であり、Googleがより良い結果のために役立つよりも、その比較購買サービスを競合サービスより優遇したことに同意した。

判決に関するプレスリリースで、裁判所はもう1つの問題ある戦術についても読み上げた。「Googleはその後、競合の比較購買サービスが有料で『ボックス』内に表示させることでその結果表示の質を高められるようにしたが、一般裁判所はそのサービスがビジネスモデルを変えてGoogleの直接の競合となることをやめ、代わりにその顧客になってその比較購買サービスに依存していると述べた」。

さらなる事実認定では、裁判所はGoogleの反競争的行為がその競合にとって有害な影響があることに同意した。そして比較購買グサービスの競合がその市場の販売者プラットフォームの存在により深刻な状態のままだというGoogleの主張を受け入れず、それらのプラットフォームが同じマーケットにないとの委員会の評価に同意した。

Googleにとってせめてもの救いは、委員会がテックジャイアントの行為が一般的な検索サービスのマーケットに(可能性も含め)反競争的影響を及ぼしたことを確証しなかったことに裁判所が気づいたことだ。そのマーケットだけに関して違反の発見を取り消した。

しかし、もう一度いうが、比較購買に特化した検索サービスの委員会の市場分析(およびその中におけるGoogleの反競争的活動)を支持した。

また、裁判所は、Googleのその行為が「検索サービスの質を向上させた」ため客観的に正当化されるという主張を退けた。

そして平等な扱いの提供を妨げる技術的制約についてのGoogleの請求を棄却した。

「Googleは競争に対するその負の影響を相殺する慣行に結び付いた効率の向上を示さなかった」。プレスリリースにはそう付け加えられた。

委員会により課された制裁金のレベルを支持するときに、裁判所はそれが取り消した判定の一部が罰金額に影響しないと述べ(「委員会が罰金の基準額を判断するためにそのマーケットでの販売額を考慮しなかったため」)、また行為が不注意によるものではなく意図的であるという事実を考慮し「特に違反の深刻な性質」として説明されるものを強調した。

委員会は、判定が「Googleの行為が違法で、それがマーケットに必要な法的明確性を提供する明確なメッセージを伝える」ものであると述べた。

「比較購買は、eコマースがどんどん小売業者や消費者にとって重要になってきた時に消費者に重要なサービスを提供します。デジタルサービスが私達の社会に偏在している今、消費者は情報に基づいた、偏見のない選択を行うためにそれらに依拠できるようになるべきだ」。と、委員会は声明で述べた。

委員会は「すべてのツールを自由に」続けて使用し「企業やユーザーがエンドユーザーやデジタルサービスにアクセスするために利用する大きなデジタルプラットフォームの役割に対応する」と付け加え、現在欧州議会および理事会により議論がなされており「公平性と競争可能性 」の確保を目的としたそのデジタルマーケット法規制の提案を指摘した。

その独自の声明内で判決に反応し、Googleの広報担当者は書面でいかなる重要性も軽視しようとした。

ショッピング広告は常に人が求める製品を迅速かつ簡単に探すのを助け、商売人が潜在顧客にリーチするのを助けてましきた。今回の判定は、非常に特定の事実に関連するものであり、念入りに読むと、2017年に欧州委員会の判定に準拠するよう変更を行いました。当社のやり方は3年以上うまく機能しており、700を超える比較購買サービスで何十億回のクリックを生み出しています。

しかしGoogleのローカル検索分野におけるライバルの1社、Yelp(イェルプ)は判定に付けこみ「他のバーティカルにおける行為の種類違法性の迅速な評価」のための枠組みを確立したと述べ、委員会にローカル検索に関してGoogleに対し措置を取るよう求めています。

「Yelpは欧州の一般裁判所による今日の判決、つまりGoogleがバーティカルの検索サービスの競合を消すために一般的な検索における支配を濫用したことをいかなる効率に関する正当な理由なく違反と認定したことを歓迎している」とパブリックポリシーのSVP、Luther Lowe(ルーサー・ロー)氏は声明で述べた。

「ピュロスの勝利を受け入れるよりも、欧州委員会は今こそ望ましい前例を受け入れ、ローカル検索市場における同時濫用でGoogleを告訴し、Yelpのようなサービスが実力で競争できるようにしなければなりません」。彼は続けた。「現在覚えておくことは難しいかもしれせんが、Googleとその同種のビッグテックはいつもこれほど不人気とは限りませんでした。2015年、欧州委員会の副委員長であるVestager(ベスタージャー)氏はGoogleの濫用が受け入れられないことを世界に見せるという驚くような勇気を見せました。彼女はこの勇気を称えられるべきです」。

「しかしこの期間における歴史の判断はこのオデッセイが最終的に欧州の消費者に目に見える影響を生み出したかどうかに基づきます。そのためこれらのツールが、競争が救いのままである市場で活用されることが必須なのです」。

その間に、Googleには他のEU反トラストの事実認定(AndroidおよびAdSense)に対する上訴のパイプラインに加えて、そのアドテックのEUの公開調査がある。母国の多数の反トラスト事例はいうまでもない。

したがって、その弁護士達は今回の損失の派生効果に関係なく非常に忙しい日々を過ごすだろう。

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

欧州のデジタル規制の再改定でフェイスブックの態度が変わる可能性、内部告発者フランシス・ホーゲン氏が欧州議会で証言

Facebook(フェイスブック)の内部告発者Frances Haugen(フランシス・ホーゲン)氏は、先に行われた英国と米国の国会議員の前でのセッションの後、欧州議会で洗練された証言を行った。

ホーゲン氏のコアメッセージは、大西洋の両側で発せられたのと同様の深刻な警告だった。「Facebookは安全より利益を優先し、個人、社会、民主主義に悪影響を及ぼす有害コンテンツの増幅を無視することを選んでいる。そして、欧州の規制監督は、こうした無責任な運営を行うプラットフォームを統制し、責任あるものにするために不可欠であり、立法者たちがソーシャルメディアに規制を課すことに一刻の猶予もない」。

Facebookの内部告発者として(これまでで)最も注目度の高い人物であるホーゲン氏は、欧州議会から非常に好意的な反応を受けた。議員たちは、同氏が時間を割いてくれたことや、彼らが同氏の「勇気」と表現する、懸念を公に表明してくれたことへの感謝の言葉を惜しまなかった。そして同氏が発言する前や、約3時間にわたるプレゼンテーションと質疑応答の最後にも、同氏を称賛した。

議員たちはさまざまな問題について同氏に質問した。最も大きな関心が寄せられていたのは、新たに導入されるEU全域のデジタル規制が、不安定なプラットフォーム大手に対して、効果的な透明性と説明責任をいかに最大限にもたらし得るかということだった。

Digital Services Act(DSA、デジタルサービス法)は、欧州議会議員の知性の前に置かれている。欧州委員会の提案に対する修正の検討と投票が行われており、この過程で同法案が大きく変化する可能性もある。

一部の議員が行動広告の全面禁止を求める動きを見せたことなどを受け、コンテクスチュアル広告のようなプライバシー保護に配慮した代替手段が法案に盛り込まれた。あるいは最近支持を得た別の修正案では、ニュースメディアをプラットフォームコンテンツの削除から除外するよう求めている

蓋を開けてみると、ホーゲン氏はこうした修正案に好意的ではないことがわかった。しかし、この規制を総じて支持すると同氏は発言した。

DSAの全般的な要点は、信頼できる安全なオンライン環境を実現することに置かれている。そして本日のセッション中に発言した多くの欧州議会議員たちは、ホーゲン氏が欧州議会で発言することに世界的な注目が集まっていることを受けて、EUの警笛を吹く街頭演説的なオポチュニティを捉えた。Facebookの(さらに)別のパブリシティ危機の真っただ中にある中、デジタル規制が審議中であるだけでなく、採択に向かって急速に進んでいる進歩的な状態であることを知らせるものだ。

Facebookの内部告発者は政治的エゴを満たすことに快く応じてみせた。EUがプラットフォーム規制に真剣に取り組んでいることに「感謝する」と述べ、EUはDSAにより「グローバルなゴールドスタンダード」を築くオポチュニティを有していると示唆した。

とはいえ、同氏は2021年10月に行われた別の証拠審議の際にも、英国議会で同様の表現を用いている。そこで同氏は、同国のオンライン安全法について同じように熱弁を振るった。

ホーゲン氏は欧州議会議員たちに対し、Facebookは「データを使ってごまかす」ことに並外れて長けている、と英国の立法者たちに警告した内容を繰り返し、Facebookのプラットフォーム上で起きていることに関するデータを提出することを単純に要求するだけのような甘い法律を通過させてはならない、と議員らに印象つけた。むしろFacebookは、データを引き出して監視監査を生成するのに使用するクエリの詳細に至るまで、同社が引き渡すデータセットのすべてについて説明を求められるべきだということだ。

法制化においてこのようなステップを取らなければ、EUの新しいデジタル規則に大きな抜け穴ができ、Facebookはチェックマークを付ける構図を描くのに必要なあらゆるクエリを実行して、選択的に自己利益的なデータを提供することでうまく乗り切るだろう、とホーゲン氏は警鐘を鳴らした。

Facebookのように信頼できないプラットフォームでも規制が効果を発揮するためには、市民社会組織や外部の研究者たちの幅広いエコシステムからの多層的で動的かつ継続的なインプットが必要だと同氏は提言した。新たに発生してくる弊害を掌握し、法律が意図した通りに機能していることを確保するためだ。

AIがもたらすインパクトに関して求められている説明責任を真に果たすためには、現在DSAが提案している「吟味された学識者」だけではなく、より広範な分野の外部専門家にプラットフォームデータを提供することで、監視に対する広い視野を持つべきだと同氏は強く要請した。

「Facebookがデータで偽ることは明らかです」と同氏は欧州議会で語っている。「DSAの導入を奨励します。Facebookはデータを提供する際、その取得方法を示す必要があります【略】データを引き出すために使用したプロセス、クエリ、ノートを開示することが極めて重要です。これを確認できない限り、提供された情報を信頼することはできません」。

ホーゲン氏は単に警告を発するだけではなかった。同氏はさらに賛辞を重ね、欧州議員たちに次のように伝えた。「欧州がこれらのプラットフォームを規制する上で重要な役割を担うことを強く信じています。欧州は活気に満ちた、言語的に多様な民主主義国家だからです」。

「言語的にも民族的にも多様な4億5000万人のEU市民のためのDSAの権利を獲得すれば、世界に向けたゲームチェンジャーを創出できます。ビジネスのオペレーションに対する社会的リスクの評価を各プラットフォームに義務づけることで、構築するプロダクトやその構築方法の決定は、利益の最大化だけに基づくものではなくなります。言論の自由を保護しつつ、リスクに対処する体系的なルールや基準を確立し、透明性、監視、執行がどのように機能すべきかを世界に示すことができるでしょう」。

「プラットフォームは自社がどのような安全システムを持っているのか、それらの安全システムがどのような言語に対応しているのか、言語ごとのパフォーマンスを明らかにしなければなりません。これを確実にすることが、深刻に、切実に求められています」と同氏は続け、包括的な情報開示の必要性に関する自身の主張を具体化した。「正直なところこれは欧州人の大多数にとって危険なことなのだろうか?と思われるかもしれません」。

ホーゲン氏によると、このようなアプローチは、そのプラットフォームが稼働するすべての市場と言語にまたがる弊害に対処する上で必要な「言語に依存しないコンテンツ中立的なソリューション」をFacebookに迫ることで、欧州を超えた規模のメリットをもたらすという。

Facebookの(限られた)安全予算における偏り、つまりどれだけの予算が英語圏の市場に向けられているのか、そして / または規制を恐れている少数の市場に向けられているのかという点は、Facebookの非常に多くの内部文書が漏洩したことで増幅された核心的な問題の1つである。そして同氏は、FacebookのAIモデルに状況に応じた透明性を持たせることで、強力なプラットフォームがどのように運用されているのか(そして何を優先するのか、何を優先しないのか)というグローバルな公平性の欠如に対処できると提言。そのためには一般的なパフォーマンス指標に加え、市場、言語、安全システム、そしてターゲットを絞ったコホート単位においても、詳細な情報が必要になると指摘した。

安全性を体系的な要件としてFacebookに取り組ませることは、欧州全域の市場でプラットフォームが引き起こす問題を解決するばかりでなく「世界の脆弱な地域に住んでいて、あまり影響力を持たない人々のために声を上げることにもなる」と同氏は主張する。そして次のように言い添えた。「世界で最も言語的な多様性に富む地域は、往々にして最も脆弱な地域であり、欧州が介入する必要性を抱えています。欧州は影響力を有しており、そうした地域の人々のために真に力を発揮できるのです」。

ホーゲン氏の発言の多くは以前の証言や記者会見でもお馴染みのものであった。一方、質疑応答では多くのEU立法者たちが、有害なコンテンツの増幅というFacebookの問題がマイクロターゲット / 行動広告(当議会で活発に議論されている)の全面禁止により解決されるのではないか、という論点に同氏の声を引き込もうとした。これによりアドテックの巨人は、背後にある人々の情報をデータ駆動型操作を通じて利益を得るために使用することができなくなるだろう、ということだ。

これについてホーゲン氏は異議を唱え、規制当局が決定するのではなく、人々が自分でターゲティング広告の有無を選択できるようにすることを支持すると述べた。

全面禁止の代わりに、同氏は「特定の事柄や広告は【略】実際に規制される必要があります」と提案し、規制の対象となる領域の1つとして広告料金を挙げた。「現在のシステムはヘイトを助成しています。つまり、ヘイト的な政治広告を掲載する方が、そうではない広告を掲載するよりも5倍から10倍安いのです。それを考えると、広告料を均一にする必要があると思います」と同氏は説明した。「ただし、特定の人をターゲットにした広告を規制すべきであるとも考えています」。

「ご存じかどうかわかりませんが、特定の広告について100人のオーディエンスをターゲットにすることも可能です。それが悪用されていることはまず間違いないと思います。政治広告に過剰にさらされているのはどのような人かを分析したところ、驚くことではありませんが、最も影響を受けているのはワシントンD.C.の人々で、それは極端に過度な露出状態です。私たちは月に何千もの政治広告について話し合っています。ですから、特定の人々を彼らの認識なしにターゲットにするメカニズムを持つこと【略】は容認できないと私は考えます」。

ホーゲン氏はまた、Facebookはサードパーティのデータソースを利用して、広告ターゲティング目的でユーザーのプロファイルを充実させていることに言及し、その利用を禁止するよう主張した。

「プロファイリングとデータ保持に関して、サードパーティのデータを取得することを許可すべきではないと思います。Facebookはクレジットカード会社やその他の形態と協働していますが、これは彼らの広告の収益性を根底から高めています」と同氏は述べ、次のように付け加えた。「データソースと連携する際にはその都度承諾する必要があると思います。人々は、Facebookに自分たちのデータの一部があることを知ればとても不愉快に感じるはずです」。

しかし、行動広告ターゲティングに関しては、全面禁止の支持を慎重に避けている。

それはこのセッション中に生じた興味深い波紋だった。この問題にはEU内部でモメンタムがあり、それにはホーゲン氏自身の内部告発が地域の立法者たちのFacebookに対する懸念を増幅させた結果としての影響も含まれていた。そしてホーゲン氏はそれを喚起するのに貢献したかもしれないのだ(しかしそうしないことを選んだ)。

「ターゲット広告に関しては、人々がどのようにターゲティングされるかを選択できるようにすべきであると強く提言します。そして、人々に選択を強要するダークパターンを禁止することを推奨します」と同氏はある回答の中で述べている(しかし「ダークパターン設計」のようなシニカルで多面的な要素に対し、規制当局がどのようにして有効な法律を作ることができるのかについての詳細には触れていない)。

「プラットフォームは、そのデータをどのように使うかについて透明である必要があります」と同氏は自身の提案のすべてを包含する本質を伝えてから、次の提案を繰り返すことに依拠した。「すべての政治広告に均一の広告レートを提供するようプラットフォームに義務づけるポリシーを公表すべきであることは、私が強く提唱するところです。政治広告でヘイトを助成すべきではありません」。

行動広告を禁止することに反対する同氏の主張は、規制当局が完全に包括的なプラットフォームの透明性を達成することに集約されている(むしろそれに依存している)ようだ。それは、Facebook(およびその他の同業各社)が人々のデータを使って実際に行っていることの正確な実態を提示できること、つまり、ユーザーがそのようなターゲティングを望むかどうかについて真の選択ができるようにすることだ。したがって、全面的な説明責任の遂行が重要な意味を持つ。

しかしセッションの別の局面で、それは子どもたちがFacebookのようなプラットフォームによるデータ処理に本当の意味で同意できるかどうかを尋ねられた後だったが、ホーゲン氏は、子どもはもちろんのこと、大人たちも、Facebookが自分たちのデータで何をしているのかを(現時点で)理解できているのか疑問であると主張した。

「自分がどのような情報をトレードしているのかを子どもたちが理解できるかということに関してですが、大人である私たちはほぼ間違いなく、何をトレードしているのかを理解していないと思います」と同氏は議員たちに語った。「アルゴリズムに何が含まれているのか、子どもたちにインフォームドコンセントが与えられるような形でターゲット設定されているのか、私たちにはわかりません。インフォームドコンセントが与えられているとは思えませんし、子どもたちの能力も限られています」。

これを踏まえると、同氏の信念、つまり「前述のような包括的な透明性は可能であり、すべての大人が操作的な行動広告を受け入れるか否かの判断を真に情報に基づいて下すことができるデータ駆動型操作、という普遍的に包括的な構図を描き出すだろう」との考えは、何というか、やや希薄に見える。

ホーゲンの論理、すなわち、規制当局がユーザーに提供されているあらゆるものについて不適切 / 不正確に伝達すること、および / または規制当局がユーザーに自らのリスクと権利に関する適切かつ普遍的な教育を保証していないことを含む、根本的な透明性の欠如に対して同氏が提案した解決策に従うならば、データ駆動型の搾取が(今まさに法律に組み込まれているフリーパスで)続いていくリスクがあることは確かであろう。

ここでの彼女の議論は一貫性に欠けているように感じられた。行動広告を禁止することに対する同氏の反対、そしてそれゆえに、ソーシャルメディアの操作的な有害性を助長する1つの根本的なインセンティブに対処することに反対している同氏の主張は、論理的というよりむしろイデオロギー的なものであるかのようだ。

(確かに、世界中の政府は同氏が主張しているような高い機能を備えた「完全な」監視機能を緊急に導入することができるという信念の飛躍は必要なように思える。とはいえ、同時に同氏は、何週間もかけて立法者たちに対し、プラットフォームは非常にコンテキストに特化した、データが詳細に記述されたアルゴリズムマシンとしてしか解釈し得ないものだと強く訴えてきた。同氏が今回の質疑応答で述べたようなFacebookの「驚くべき」データ量を考えれば、目の前にあるタスクの規模の大きさはいうまでもない。Facebookからデータを生の形で取得した場合、規制当局にとってあまりにも膨大すぎることが示されている)

これはおそらく、権利の専門家ではなく、データサイエンティストに期待される視点でもあるだろう。

(前述のような、行動広告の禁止に対する同氏の即座の拒否は、害が流れてそれが感じられるマシンの外にいるのではなく、ブラックボックスに内通してアルゴリズムやデータを操作することに専念してきたプラットフォームのインサイダーに見られるような、一種のトリガー反応といえよう)

セッション中の別の場面で、ホーゲン氏は、ソーシャルメディアの問題に対する唯一の万能薬として徹底的な透明性を求める自身の主張をさらに複雑にした。EUがこのような複雑な問題の施行を最大27の国家機関に任せることに対して警告を発した。

もしEUがそうするなら、DSAは失敗するだろうと同氏は示唆した。代わりに立法者たちに助言したのは、Facebookレベルのプラットフォームを包み込むために必要だと同氏が指摘する、非常に詳細で階層化された動的なルールの実施に対処するための中央EUの官僚機構を作ることだった。同氏はさらに、自身のような元業界のアルゴリズムの専門家たちがそこに「居場所」を見つけ、彼らの専門的な知識への支援や「公的な説明責任に貢献することによる還元」が推進されることを提唱した。

「アルゴリズムが実際にどのように機能し、その結果がどのような結果をもたらすのか、これらの分野の正式な専門家の数は、世界的に見て非常に少ないのが現状です。この分野に修士号や博士号はありません。そのため、分野に携わる企業の1つで働き、社内で実地訓練を受ける必要があります」と同氏は説明し、さらに次のように付け加えた。「この機能を27の加盟国に委譲した場合、1つの場所でクリティカルマスを獲得できなくなることを、私は深く懸念しています」。

「十分な専門家を確保し、それを広く分散させることは、非常に難しいでしょう」。

プラットフォームが人々の目をたやすく欺くことを防ぐためには、利己的なデータセットや「脆弱な」AIの中の悪質な詳細を明らかにする必要があると立法者たちに警告する声が非常に多い中、広告に個人データを使用しないなどの単純な制限を規制当局が実際に設定することにホーゲン氏が反対していることは、教訓的であるように思える。

同氏はまた、規制当局はプラットフォームがデータを使って実行できることに制限を設けるべきか、および / またはアルゴリズムに使用できるインプットに制限を設けるべきかについて、欧州議会議員らから直接質問を受けた。この質問に対しても、同氏は制限ではなく透明性を優先した(しかし他のところでは、前述のように同氏は、広告プロファイリングを充実させる目的でFacebookがサードパーティのデータセットを入手することは少なくとも禁止すべきだと主張している)。

結局のところ、このアルゴリズムの専門家のイデオロギーには、データ駆動型ソフトウェアマシンのための効果的な規制を考え出す方法について、ブラックボックスの外で考えることに関してはいくつかの盲点があるようだ。

民主主義社会がデータマイニングテクノロジーの巨人たちからコントロールを奪い返すためには、ある程度の急ブレーキは必要なことかもしれない。

したがって、ホーゲン氏の最大のアドボカシーは、デジタル規制を致命的に台無しにする抜け穴のリスクに関する極めて詳細な警告であろう。ここでのリスクが多元的であるという点で、同氏は間違いなく正しい。

同氏はプレゼンテーションの冒頭で、もう1つの抜け穴の可能性を指摘した。立法者たちに、ニュースメディアのコンテンツをDSAから除外しないよう求めた(これも議員たちが検討している修正案の1つだ)。「コンテンツ中立性のルールを作るのであれば、本当に中立でなければなりません」と同氏は主張した。「何も選ばれず、何も除外されないということです」。

「現代の偽情報キャンペーンはいずれも、システムを操作することで、デジタルプラットフォーム上のニュースメディアチャンネルを不当に利用していくでしょう」と同氏は警告した。「プラットフォームがこれらの問題に取り組むことをDSAが違法とする場合、私たちは法の有効性を損なうリスクを負うことになります。実際、今日の状況よりも状況が悪化する可能性があります」。

質疑応答の中でホーゲン氏は、いわゆる「メタバース」の構築に向けて計画されているFacebookの方向転換に照らして、規制当局が直面するであろう新たな課題について議員たちからいくつかの質問を受けた。

関連記事:ザッカーバーグ氏は110兆円規模のフェイスブックを「メタバース」企業にすると投資家に語る

これについて、同氏は議員らに対し「非常に懸念している」と述べ、家庭やオフィスでのメタバース供給センサーの普及によってデータ収集量が増加する可能性に警鐘を鳴らした。

同氏はまた、Facebookがワークプレイス用ツールの開発に注力していることが、ビジネスツールに関して従業員がほとんど発言権を持っていないことを考えると、オプトアウトが選択肢にさえならない状況をもたらすのではないかという懸念を表明した。これは人々が将来、Facebookの広告プロファイリングと、生計を立てることのどちらかを選ぶというディストピア的な選択に直面する可能性を示唆している。

Facebookが「メタバース」に新たな焦点を当てたことは、ホーゲン氏がFacebookの「メタ問題」と呼んだものを浮き彫りにしている。これはつまり、同社が現在のテクノロジーによって生じた問題を終わらせて修復するよりも「先に進む」ことを優先しているということでもある。

規制当局はこのジャガーノート(圧倒的な力を持つ存在)に対して、安全性に重点を置いた新たな方向性を計画させるためのレバーを投入しなければならない、と同氏は強調した。

​​画像クレジット:BENOIT DOPPAGNE/BELGA MAG/AFP / Getty Images under a license.

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EU最高裁顧問がドイツの大規模データ保持法は違法と指摘

国民のデータを(曖昧かつ包括的な「セキュリティ」目的のために)保持したい欧州加盟国政府の欲求と、無差別な大規模監視はEU法の基本原則(プロポーショナリティー、プライバシー尊重など)と相容れないとする主張を繰り返し、基本的権利の擁護を続けるEUの最高司法機関である欧州司法裁判所(CJEU)との戦いは、大規模データ保持に関する国内法令に対する辛辣な法的批判を再度呼び込んだ。

今回矢面に立たされたのはドイツのデータ保持法で、CJEUは、ISP(インターネット・サービス提供者)のSpaceNet(スペースネット)とTelekom Deutchland(テレコム・ドイチュラント)が提起した顧客の通信トラフィックデータを保持する義務に異議を唱える複数の訴訟に続いて裁定する。

判決はまだ出ていないが、現地時間11月18日、CJEU顧問から影響力のある意見として、トラフィックおよび位置データの概略的で無差別な保持は、例外的(国家安全に対する脅威に関連するもの)にのみ認められるものであり、データは永続的に保持されてはならないという見解が示された。

EU司法裁判所のManuel Campos Sánchez-Bordona(マヌエル・カンボス・サンチェス-ボルドナ)法務官の意見を発表したプレスリリースで裁判所は、同法務官は「言及されたどの論点に対する答えも、すでに同裁判所の判例法に含まれているか、そこから容易に推測できると考えています」と述べ、ドイツ法の「極めて広範囲のトラフィックおよび位置データを対象とする」「概略的で無差別な保持義務」は、データを一括収集するものであり、対象を絞った方法(特定の国家安全保障目的など)ではないことから、保管に課せられた制限時間内にEU法と合致させることはできない、とする司法官の見解を明確に提示した。

同司法官は、無差別な一括収集は個人データの漏洩あるいは不正アクセスなど「深刻なリスク」を生むと指摘している。そして、市民のプライベートな家族生活と個人データ保護の基本的権利に対する「重大な干渉」をもたらすと繰り返した。

この見解に法的拘束力はないものの、CJEUの裁定はアドバイザーに合わせられる傾向にある。ただし、この訴訟の最終裁決が下されるのはまだ数カ月先のことだ。

CJEUは、類似の事例を1年前に裁定している。複数のデジタル権利団体が、英国およびフランス法に基づいて行われた国の大規模データ収集および保持に対して異議を申し立てた訴訟で、当時裁判所は限定的なデータ収集および一時的な保持のみが許されるという裁定を下した。

(しかしPoliticoによると、その後フランスは判決の回避方法を探っている。同紙は去る3月に、政府は最高裁判所に裁定に従わないよう要求したと報じた。)

2014年の画期的判決でCJEUは、圏内でデータ保持規則を調和させることを目的とした2006年のEU司令を却下し、この制度は市民の権利に対する過度の介入を構成すると裁定した。それなら加盟国はこれまでにそのメッセージを受け取っているはずだと思うだろう。

しかし、この法的衝突が一段落する見込みはなさそうだ。とりわけ、各国政府の間で汎EUデータ保持法を復活させようとする新たな動きがあることを示す漏洩した討議資料Netzpolitik(ネッツポリティック)が入手し、この夏に報道してたことを踏まえると。

画像クレジット:Vicente Méndez / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nob Takahashi / facebook

英政府が国家安全保障と競争に関する懸念でNVIDIAのArm買収に対するより詳細な調査を開始

チップメーカーのNVIDIA(エヌビディア)が英国のチップ設計会社Arm(アーム)を400億ドル(約4兆5820億円)で買収する計画について、英政府は競争市場庁(CMA)に詳細な調査を行うよう指示し、英国の競争規制当局による綿密な調査が行われることになった。

英デジタル長官Nadie Dorries(ナディン・ドリーズ)氏は、競争および国家安全保障上の懸念を理由に、第2段階の調査を実施するようCMAに書面で指示したことを現地時間11月16日に発表した。

英政府は8月にCMAの予備調査の詳細を発表していた。調査では、この買収がデータセンター、IoT(モノのインターネット)、自動車分野、ゲームアプリケーションの市場における「実質的な競争の低下」につながる可能性があるとして、買収にともなう多くの競争上の懸念を指摘していた。

11月16日に公開されたCMAの第1段階報告書は、競争上の理由からより詳細な調査を推奨しているが、国家安全保障上の問題については判断を下していない。

2021年4月、英政府は国家安全保障上の理由で介入通知を出し、CMAに対してより詳細な調査が必要かどうかを判断するために、この取引の影響に関する報告書を作成するよう求めた。

ドリース氏は11月16日、国家安全保障上の利益は依然として「関連性がある」とし「さらなる調査の対象とすべきである」と述べた。

2002年に制定された企業法に基づき、デジタル長官は、国家安全保障上の問題を含むいくつかの公益上の考慮事項に基づいて、合併に介入するための準司法的な決定を下すことができる法的権限を有している。

ドリース氏は声明の中で次のように述べている。「NVIDIAが提案しているArmの買収に関する競争市場庁の『フェーズ1』報告書を慎重に検討し、さらに詳細な『フェーズ2』調査を行うよう要請することにしました。Armは、世界のテクノロジー・サプライチェーンの中で特異な地位にあり、この取引の影響を十分に考慮しなければなりません。CMAは今後、競争および国家安全保障上の観点から私に報告し、次のステップに関するアドバイスを提供します」。

「繁栄するテック部門に対する政府のコミットメントは揺るぎないものであり、外国からの投資を歓迎しますが、今回の取引の影響を十分に検討することは正しいことです」とドリース氏は付け加えた。

第2段階の調査への言及についてNVIDIAにコメントを求めている。

CMAは第2段階の調査を行い、その結果を政府に報告するまでに24週間(8週間の延長の可能性あり)を与えられる。つまり、少なくとも、NVIDIAによるARM買収は、取引の承認を得るまでにさらに数カ月の遅延が生じることになる。

デジタル長官は、国家安全保障上および(または)競争上の理由から、買収に関連して「不利な公益認定」を行うかどうかの決定を下すことになる。

国家安全保障の問題に関する最終的な判断は、英国の国務長官が行う。国務長官は、CMAの最終報告書を受け取ってから30日以内に判断を下す。

ドリース氏は、公共の利益に反する介入理由がないと判断した場合、CMAに案件を差し戻すが、CMAは競争上の理由で反対の助言をする可能性があり、また(あるいは)懸念を解消するために案件に条件を課すことができる。

つまり、国家安全保障上の理由と競争上の理由の両方、あるいはどちらか一方の理由で買収が阻止される可能性があり、承認にはかなりの障壁がある。

しかし、最終的に両方の懸念が解消され承認される可能性もある(CMAの第1段階の調査で重大な懸念が示されたため、競争面で懸念がなくなる可能性は低いと思われる)。

また、救済措置(特定の懸念に対処するための条件や制限)付きで取引が承認される可能性もある。

高まる懸念

NVIDIAによるArm買収計画は、英国内ではすぐに反対の声が上がり、Armの共同設立者の1人は、NVIDIAに買収されないように「ARMを救う」キャンペーンを始めた

世界的なチップ不足により、半導体分野におけるサプライチェーンの安定性への懸念が強まっている(ただし、Armは自社でチップを製造するのではなく、IPの開発やライセンス供与を行っている)。EUは最近、半導体供給に関する地域主権の強化を目的とした半導体法を制定する計画を発表した

欧州連合(EU)も10月末に独自の詳細な調査を発表するなどNVIDIAとArmの取引を直接調査しており、NVIDIAがArmを買収するための新たな障害となっている。

欧州委員会は、CMAの第1段階の調査と同様の見解を示し、NVIDIAとArmの合併に関する予備的分析では、多くの競争上の懸念があると述べた。

「欧州委員会は、合併した企業が、NVIDIAのライバル企業によるArmの技術へのアクセスを制限する能力と動機を持つことになり、提案されている取引が価格の上昇や選択肢の減少につながることを懸念しています」とEUの幹部は先月述べた。「ArmとNVIDIAは直接競合していませんが、ArmのIPは、たとえばデータセンター、自動車、IoTなど、NVIDIAと競合する製品の重要なインプットとなっています」と、競争担当のMargrethe Vestager(マルグレーテ・べステアー)氏は声明で述べた。

「我々の分析によると、NVIDIAによるArmの買収は、ArmのIPへのアクセスを制限または低下させ、半導体が使用されている多くの市場に歪んだ影響を与える可能性があります。我々の調査は、欧州で活動する企業が、最先端の半導体製品を競争力のある価格で生産するために必要な技術への効果的なアクセスを継続できるようにすることを目的としています」。

EUは2022年3月15日までにこの買収を認めるかどうか判断する。

10月のロイター通信の報道によると、欧州委員会はEUの綿密な調査を回避しようとするNVIDIAが先に提示した譲歩案に揺るがなかったという。

画像クレジット:Omar Marques/SOPA Images/LightRocket / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

フェイスブックの広告ツールが特定の個人をターゲティングできることを研究者グループが発表

スペインとオーストラリアの学者とコンピュータ-科学者のチームによって執筆された最新の研究論文で、Facebook(フェイスブック)のプラットフォームがユーザーに割り当てる関心事項について十分に認識していれば、Facebookのターゲットツール使用して、特定の個人のみに排他的に広告を配信できることが実証された。

「Unique on Facebook:Formulation and Evidence of (Nano)targeting Individual Users with non-PII Data(Facebook上での一意性:非個人データによる個人ユーザーのナノターゲティングの定式化と証拠)」と題するこの論文では、Facebookのプラットフォームによってユーザーに割り当てられた趣味・関心事に基づいて、ユーザーを一意に識別できる可能性を示すメトリックを定義する「データ駆動モデル」が説明されている。

研究者たちは、Facebookのアドマネージャーツールを使用して、意図した特定のFacebookユーザーのみに届くように多数の広告をターゲット配信することができることを実証した。

この研究では、Facebookの広告ターゲットツールが有害な目的に利用される可能性について、新たな疑問を投げかけている。さらには、Facebookがユーザーについて収集している情報を使用して個人を特定できる、つまり、ユーザーの趣味や関心のみに基づいてFacebook上の膨大なユーザーから1人を選び出すことができるという状況を踏まえ、Facebookの個人データ処理帝国の合法性についても疑問を呈している。

この研究結果により、行動ターゲティング広告の禁止または段階的廃止を求める議員に対する圧力が強まる可能性がある。行動ターゲティング広告は、個人的にも社会的にも害を及ぼす可能性があるため、何年にも渡って非難の対象になってきた。少なくとも今回の論文によって、こうした侵襲的なツールの使用方法について確固とした抑制と均衡を求める声が高まりそうだ。

また、この研究では、こうした独立系の研究機関でもアルゴリズムを利用したアドテックを調査できることの重要性も浮き彫りになっており、研究者のアクセスを遮断しないように求める対Facebookの圧力も強まるに違いない。

Facebookの関心は個人データ

「私たちのモデルで検証した結果、Facebookによってあるユーザーに割り当てられた関心事集合のうち4つの大変珍しい関心事または22のランダムな関心事によって90%以上の可能性でそのユーザーをFacebook上で一意に特定できることが明らかになりました」とマドリード大学Carlos III、オーストラリアのGraz University of Technology(グラーツ工科大学)、スペインのIT企業GTD System & Software Engineering(GTDシステム&ソフトウェアエンジニアリング)の研究者は書いている。これにより、1つの重要な事実がわかる。つまり、Facebookが認識している珍しい関心事または多くの関心事を持つ個人は、Facebook上で、数十億人という膨大なユーザーの中からでも容易に特定できるということだ。

「この論文は、私たちの知るかぎりでは、世界規模のユーザーベースを考慮した上で個人の一意性について調査した最初の研究です」と彼らは続け、28億人のアクティブなユーザーに対するデータマイニングというFacebook固有のスケールについて言及した(注:Facebookはユーザー以外の情報も処理している。つまり、Facebook上でアクティブなインターネットユーザーよりもさらに広範なスケールの人たちにリーチしている)。

研究者たちは、今回の論文は「Facebookの広告プラットフォームを体系的に悪用してインターネット上の非個人識別情報データに基づくナノターゲティングを実装できる可能性」について最初の証拠を提示するものであることを示唆している。

Facebookの広告プラットフォームが、1対1で相手を巧みに操るためのパイプの役割を果たしていることについては早くから論争が繰り広げられてきた。例えば2019年のDaily Dotの記事には、性生活に不満を抱えている夫に、妻やガールフレンドを心理的に操作するサービスを販売していたSpinner(スピナー)という会社の例が紹介されている。挑発的で無意識に相手を操作する広告がターゲットのFacebookやインスタグラムのフィードにポップアップ表示されるというものだ。

今回の研究論文では、2017年に起こった英国の政治生命に関する事例にも言及している。労働党の選挙運動の最高責任者がFacebookのカスタムオーディエンス広告ターゲティングツールを利用して、党首のJeremy Corbyn(ジェレミー・コービン)氏をだますことに成功したのだ。ただし、このケースでは、ターゲットになったのはコービン氏だけではなかった。彼の同僚や彼と同じ考えの数人のジャーナリストにも広告が送られた。

今回の研究チームは、Facebookのアドマネージャーツールを利用すれば、特定の1人のFacebookユーザーに広告を送ることができることを実証している。彼らはこのプロセスを「ナノターゲティング」と呼んでいる(現在のアドテックで「標準的」な「インターネットベース」の広告をユーザーグループに送るマイクロターゲティングとは異なる)。

「本稿では、21のFacebook広告キャンペーンによって実験を実施することで、広告主がユーザーの関心事を十分に認識していれば、Facebook広告プラットフォームを体系的に悪用して特定のユーザーに排他的に広告を配信できることを論文の3人の執筆者が証明する」と論文には書かれており、この論文は「ターゲットユーザーの関心事のランダム集合を認識するだけで、Facebook上に1対1のナノターゲティングを体系的に実装できる」という「最初の経験的証拠」を提示するものだとしている。

彼らが分析に使用した関心事データは、彼らが作成し、2017年1月以前にユーザーによってインストールされたブラウザ拡張機能を介して、2390人のFacebookユーザーから収集されたものだ。

この拡張機能はData Valuation Tool for Facebook Users(Facebookユーザー向けのデータ評価ツール)と呼ばれ、各ユーザーのFacebook広告設定ページを解析して、ユーザーに割り当てられた趣味や関心を収集すると同時に、Facebookのブラウジング中にそのユーザーに配信される広告によってFacebookにもたらされる利益のリアルタイムの推測値を計算する。

関心事データは2017年以前に収集されたものの、Facebookの広告プラットフォームを介して1対1のターゲティングが可能かどうかをテストする研究者たちの実験は2020年実施された。

「具体的には、この論文の3人の執筆者たちをターゲットとするナノターゲティング広告キャペーンを設定しました」と彼らはテスト結果について説明する。「私たちは、Facebookが各ターゲット執筆者に割り当てた関心事のリストから5、7、9、12、18、20、22個をランダムに選択したものを使用して各執筆者向けにオーディエンスを作成することで、データ駆動型モデルが実際に機能するかどうかをテストしました」。

「2020年の10月から11月の間に合計21回の広告キャンペーンを実施して、ナノターゲティングが現在実現可能であることを実証しました。実験でモデルの実施結果を評価したところ、攻撃者があるユーザーについて18個以上のランダムな関心事を認識していれば、そのユーザーに対して非常に高い確率でナノターゲティングを実行できることが分かりました。実験で18個以上の関心事を使用した9つのうち8つの広告キャンペーンで、当該ユーザーのナノターゲティングに成功しました」。

したがって、Facebookに18個以上のあなたの関心事が登録されている場合、あなたを巧みに操ることを目論んでいる人物にとって、それらの関心事は極めて興味深いものになる。

ナノターゲティングは止められない

1対1のターゲティングを防ぐ1つの方法として、Facebookが最小オーディエンスサイズに厳しい制限を課す方法が考えられる。

今回の論文によると、Facebookは、キャンペーンのオーディエンスサイズが1000人を超える(以前は21人以上だったが2018年にFacebookが制限値を上げた)可能性がある場合、アドキャンペーンマネージャーツールを使用して「Potential Reach(潜在的リーチ)」値を広告主に提示しているという。

しかし、Facebookは、実際には、この潜在的リーチよりも少ないユーザーをターゲットとするキャンペーンを広告主が実施することを禁止していない。ただ、メーッセージがリーチする人の数が極めて少ないことを広告主に知らせないだけだ。

研究者たちは、複数のキャンペーンで、1人のFacebookユーザーに無事広告が届いたことによってこの事実を実証することができた。その結果、広告のオーディエンスサイズはFacebookの広告レポート生成ツールによって生成されたデータを参照したものであること(「Facebookにより1人のユーザーだけにリーチしたことが報告された」)、ウェブサーバー上にユーザーが広告をクリックすることによってのみ生成されるログ記録が存在することによって確認された。さらには、ナノターゲティングの対象ユーザーに広告とそれに付随する「この広告が表示されている理由」オプションのスナップショットを取得してもらった。このオプションの値は、ナノターゲティングに成功したケースのターゲティングパラメーターに一致していたという。

実験結果のサマリーには次のように追記されている。「本実験から得られた主な結論は次のとおりである。(i)攻撃者がターゲットユーザーから18個以上の関心事を推測できる場合、Facebook上の特定の1人のユーザーをナノターゲティングできる可能性は非常に高い。(ii)ナノターゲティングは非常に低コストで実現できる。(iii)本実験によると、ナノターゲット広告の3分の2は有効キャンペーン期間中7時間以内にターゲットユーザーに配信されると予想される」。

ナノターゲティングの防止対策について議論されているこの論文の別のセクションでは、Facebookが課しているとされるオーディエンスサイズの制限は「まったくの無効であることが判明した」と主張しており、20人というオーディエンスサイズ制限は「現在適用されていない」と断言している。

また、Facebookがカスタムオーディエンス(広告主がPIIをアップロードできる別のターゲティングツール)に適用しているという100人制限の回避策も提示されている。

以下論文より抜粋する。

広告主による極めて少数のオーディエンスをターゲットとする広告の配信を防ぐためにFacebookが実装している最も重要な対策は、オーディエンスを形成するユーザーの最小数に制限を課すというものだ。しかし、この制限はまったくの無効であることが判明した。本論文の結果に動機付けられたFacebookは、アドキャンペーンマネージャーを使用して20人を下回るサイズのオーディエンスを設定することを禁止した。我々の調査では、この制限は現在適用されていない。その一方でFacebookは、最小カスタムオーディエンスサイズを100人とする制限を課している。セクション7.2.2で説明するとおり、この制限を回避して、カスタムオーディエンスを使用してナノターゲティングによる広告キャンペーンを実装するさまざまな方法が文献で紹介されている。

この論文では、全体を通して、インターネットベースのデータを「非個人識別情報(non-PII:Personally Identifiable Information)」と呼んでいるが、このような枠組みは欧州の法律のもとでは無意味であることを忘れてはならない。欧州では、一般データ保護規則(GDPR)のもとで、個人データについて非常に広い見方をしているからだ。

PIIという言葉は米国でのほうがより一般的だ。米国では、欧州のGDPRに相当する包括的な(連邦)プライバシー法というものがないからだ。

アドテック企業もPIIという言葉を使いたがる。ただし、それはずっと限定されたカテゴリでの話だ。アドテック企業が実際に処理するすべてのデータ(個人を識別およびプロファイリングして広告を配信するために使用できるデータ)という意味ではない。

GDPRのもとでは、個人データとは個人の名前やメールアドレス(つまり、PII)などの明白な識別子だけでではなく、個人を特定するために間接的に使用できる情報(居場所や関心事など)も含まれる。

以下に、GDPR(第4(1)項)の関連部分を抜粋する(強調部分はTechCrunchによる)。

「個人データ」とは、識別されている、または識別可能な自然人(データ主体)に関する任意の情報を指す。識別可能な自然人とは、特に、名前、識別番号、場所データ、オンライン識別子などの識別子、またはその人の身体的、生理的、遺伝的、精神的、経済的、文化的なアイデンティティに固有の1つ以上の要素を参照することで、直接または間接に識別可能な自然人のことである。

他の研究でも数十年に渡って繰り返し示されていることだが、個人は、クレジットカードメタデータNetflixの視聴習慣など、わずかな「非個人識別情報」があれば再特定できる。

膨大な数の人たちをプロファイリングし広告のターゲットにするFacebookは、継続的かつ広範囲にインターネットユーザーの行動をマイニングして関心事ベースのシグナル(つまり、個人データ)を収集し、個人プロファイリングを行って各個人に合わせた広告を配信する。そのFacebook帝国が、世界中のほとんど誰でも巧みに操作できる(ただし、相手について十分な知識があり、その相手がFacebookのアカウントを持っていることが条件)可能性のある攻撃ベクトルを作り出したとしても何も驚くには当たらない。

しかし、それが法的に問題のないことであるとは限らない。

実際、人々の個人データを処理して広告ターゲティングを行ってもよいというFacebookの主張の法的根拠は、EUで長年に渡って問題とされてきた。

広告ターゲティングの法的根拠

Facebookは以前、ユーザーは自身の個人データが広告ターゲティングに使われることについて同意していると主張していた。しかし、Facebookは、行動ターゲティングのためにプロファイリングされることを承諾するのか、ただ友人や家族とつながりたいだけなのかのどちらかをユーザーに選択してもらう際に、見返りを求めず、具体的で、明確な情報に基づいて選択できるようにしていない(ちなみに、見返りを求めず、具体的で、明確な情報に基づく同意というのは、同意についてのGDPRの基本的なスタンスだ)。

Facebookを使うには、自分の情報が広告ターゲティングに使用されることを承諾する必要がある。これは、EUのプライバシー運動家が「同意の強制」と呼ぶものだ。つまり、同意ではなく、強制だ。

しかし、2018年5月のGDPR施行以来、Facebookが合法的にヨーロッパ人の情報を処理できるのは欧州のユーザーが広告の受信についてFacebookと契約している状態だからだ、という主張に切り替えたようだ。

FacebookのEU規制当局として主導的立場にあるアイルランドのデータ保護委員会(DPC)によって今週始めに公開された仮決定では、こうした暗黙の主張変更は透明性に欠けるとして、Facebookに対し、3600万ドル(約40億9500万円)の罰金を課す提案をしている。

DPCは、Facebookの広告契約の主張には問題があるとは考えていないようだが、欧州の他の規制当局は問題があると考えており、アイルランドの仮決定に意義を唱える可能性が高い。この件に関するFacebookのGDPRに対する不満をめぐる規制当局側の調査は今後も続き、当分は終わりそうもない。

仮にFacebookがEUの法律を回避しているという最終判断が下った場合、Facebookはユーザーに対し、ユーザーの情報を広告ターゲティングに使用できるかどうかについて見返りを求めない選択肢をユーザーに与えることを強制されることになる。そうなると、Facebook帝国に存在の根幹に関わるような風穴をあけることになる。というのも、この研究でも強調しているとおり、(ターゲティング広告に利用せずに)保管しているだけの関心事データでも個人データになるからだ。

それでも、Facebookは、問題など存在しないと主張するいつもの常套手段を使っている。

今回の研究に対して回答した声明の中で、Facebookの広報担当はこの論文を「当社の広告システムの動作原理についての理解が間違っている」として一蹴している。

Facebookの声明では、この研究者たちの結論の核心部分から注意をそらして、彼らの研究結果の重要さを矮小化しようとしている。以下に、広報担当の言明を示す。

この研究は当社の広告システムの動作原理を間違って把握しています。広告ターゲティングに使用する特定の人に関連付けられた関心事のリストは、その人がそのリストを共有することを選択しないかぎり、広告主が見ることはできません。このリスト、つまり広告を見た人を特定する具体的な詳細情報がなければ、この研究者たちの手法を使って広告主が当社のルールを破ろうとしても無駄です。

Facebookからの反論に答えて、論文の執筆者の1人であるAngel Cuevas(アンヘル・クエバス)氏は、同社の議論を「残念だ」と表現し、問題がないなどと主張するのではなく、ナノターゲティングのリスクを防止するためのより強力な対策を実装すべきだとしている。

この論文では、ナノターゲティングにともなう数多くの有害なリスクが指摘されている。例えば心理的説得、ユーザーの操縦、脅迫などだ。

「驚くのは、ナノターゲティングが実現可能であり、対策は広告主がユーザーの関心事を推測できないと仮定することくらいしかないことをFacebook自身が暗黙に認識していることです」とクエバス氏はいう。

「広告主がユーザーの関心事を推測する方法はいくらでもあります。この論文でも、(ユーザーからは研究目的で行うという明示的な同意を得た上で)ブラウザのプラグインを使って実際に試してみました。それだけではありません。関心事の他にも、(今回の研究では試しませんでしたが)年齢、性別、都市、郵便番号などのパラメーターもあります」。

「これは残念なことです。Facebookのようなテック大手は、広告主がFacebookプラットフォームでのオーディエンスサイズを決めるために後で使用できるようユーザーの関心事を推測することなどできないという前提に頼らずとも、もっと強力な対応策を実現できるはずです」。

例えば2018年のCambridge AnalyticaによるFacebookデータの悪用スキャンダルを覚えているだろうか。Facebookのプラットフォームにアクセスした開発者が、クイズアプリを使って、気づかれることも同意を得ることもなく、数百万人のユーザーのデータを抽出することができたという事件だ。

つまり、クエバス氏のいうとおり、広告主 / 攻撃者 / エージェントが同じような不透明でずるいやり方を実装してFacebookユーザーの関心事データを取得し、特定の個人を巧みに操ることは決して難しくない。

論文の注には、ナノターゲティングの実験を行った数日後、テスト用キャンペーンに使用したアカウントがFacebookによって何の説明もなく閉鎖されたと記載されている。

Facebookからは(アカウントが閉鎖された理由も含め)論文に記載した具体的な質問に対する回答はなかった。だが、もしFacebookがナノターゲティングの問題を認識していたから閉鎖したのであれば、なぜそもそも特定の1人のユーザーをターゲットとする広告の配信を防ぐことができなかったのだろうか。

訴訟の増加

この研究結果は、Facebookの事業にどの程度広範囲な影響を及ぼすだろうか。

あるプライバシー研究者の話によると、この研究はもちろん訴訟に役立つという。欧州では、特にFacebook(広くはアドテック全般)に対するEU規制当局のプライバシー保護対策が遅々として進んでいないため、訴訟の数が増えている。

また別の研究者は、今回の研究結果は、Facebookが、個人データは処理していないと見せかけておきながら、実はユーザーの体系的な再特定化を大規模に行っていることを浮き彫りにしていると指摘する。つまり、Facebookは膨大な数のユーザーの膨大なデータを蓄積しており、個人情報の処理に制限を設ける程度の範囲の狭い法的規制など事実上回避できてしまうことを示唆している。

このため、行動ターゲティング広告がもたらす害を抑える有意義な制限を課そうとする規制当局は、Facebook独自のアルゴリズムが同社が保持する膨大なデータ内を検索して、その中からユーザーの代理人に相当するパラメーターを探し出して利用するという方法に気づく必要がある。また、同じような論法でFacebookのアルゴリズムによる処理は法的な制限を回避する可能性がある(例えばFacebookが慎重に扱うべき関心事の推測の問題で使った戦術)ことも認識しておく必要がある。

別のプライバシーウォッチャーで独立系の研究者でコンサルタントのDr Lukasz Olejnik(ウカシュ・オレジニク)博士は、今回の研究を驚くべきものだとし、過去10年間で最も重要なプライバシー研究結果のトップ10に入る内容だと説明する。

「28億人から1人を特定するのはとてつもないことです。Facebookプラットフォームは、そのようなマイクロターゲティングが行えないようにする予防策を講じていると主張しているにもかかわらず、です。この論文は、過去10年間で最も重要なプライバシー研究結果のトップ10に入ります」と語る。

「関心事は個人データに含まれるとするGDPR第4(1)項の意味する関心事によってユーザーを特定することができるようです。ただし、こうした処理をどのようにして大規模に実行するのかは明確に示されていませんが(ナノターゲティングのテストは3人のユーザーに対してのみ実行された点を指摘して)」。

オレジニク氏は、この研究はターゲティング広告が個人データ、そして「おそらくGDPR第9項の意味における特殊なカテゴリのデータにも」基づいて行われていることを示していると指摘する。

「これはつまり、適切な保護対策が行われていないかぎり、ユーザーの明示的な同意が必要であることを意味します。しかし、論文の内容から、私たちは、そうした対策は存在しているとしても不十分だという結論に達しました」と同氏は付け加えた。

今回の研究はFacebookがGDPR違反を犯していることを示していると思うかという質問に対し、オレジニク氏は「DPAは調査を行うべきです。その点は疑問の余地がありません」と話す。「技術的には難しい案件かもしれませんが、立件は2日もあればできるはずです」。

我々はこの研究結果をFacebookの欧州DPAで主導的立場にあるアイルランドDPCに知らせ、GDPR違反があるかどうかを判定するための調査を行うかどうか聞いてみたが、本記事の執筆時点では回答がなかった。

マイクロターゲティングの法的禁止に向けて

この論文によってマイクロターゲティングの法的禁止を肯定する論拠が補強されるかという質問に対し、オレジニク氏は、歯止めをかけることは「前進ではある」が、問題はその方法だと答えた。

「全面禁止にする場合、現在の業界および政治環境の対応準備ができているかどうかは分かりません。とはいえ、少なくとも、技術的な防止策は求めるべきです」と同氏はいう。「(Facebookによれば)すでに防止策は講じているということですが、(ナノターゲティングの件については)防止策は存在しないも同然のようです」。

オレジニク氏は、グーグルのプライバシーサンドボックス案に組み込まれているアイデアを一部利用すればすぐに変化が起こる可能性があると提案する。しかし、同案はアドテック各社が競争監視につながるとして不満を表明したため頓挫してしまっている。

マイクロターゲティングの禁止についてクエバス氏に意見を聞くと、次のように答えてくれた。「私の個人的な立場から言わせていただくと、我々はプライバシー保護のリスクと経済(求人、イノベーションなど)とのトレーオフについて理解する必要があるということです。私たちの研究によると、アドテック業界は、個人識別情報(メール、電話、住所など)について考えるだけでは不十分であり、オーディエンスの範囲を特定する(絞り込む)方法についてより厳しい対策を実装する必要があることは明らかです。

「その上で申し上げますが、私どもはマイクロターゲティング(少なくとも数万人規模のユーザーにオーディエンスを限定できる能力と考えます)を禁止することには反対です。マイクロターゲティングには重要な市場が存在しており、そこでは多くの仕事が生まれています。また、必ずしも悪いこととは限らない興味深いことが行われている極めて革新的な分野でもあります。ですから、マイクロターゲティングの潜在能力をある程度制限してユーザーのプライバシーを保護するというのが私どもの立場です」。

「プライバシーの分野で未だに解決されていない疑問は同意だと思います」と同氏はいう。「研究コミュニティとアドテックエコシステムは、(理想的には協力して)十分な説明を行った上での同意をユーザーから得るための効率的なソリューションを作成するために取り組みを進める必要があります」。

大局的な話をすると、欧州では、AI駆動形ツールの法的要件がおぼろげに見え始めたところだ。

EUでは2021年初めに提案された人工知能の高リスクの応用を規制する法律が施行される予定だ。この法律では「人の意識を超えて作用する行動を大きくねじ曲げるためのサブリミナル技術で、その人または別の人に心理的または身体的な害を及ぼすかその可能性のある技術」を展開するAIシステムの全面禁止が提案されている。

そのため、Facebookのアドツールが脅迫や個人の心理的操作に利用されないようにするための適切な保護策を同社がまだ実施していない場合、FacebookのプラットフォームがEUの将来のAI規制のもとで禁止に直面するのかどうかを推測してみるのは少なくとも興味深い。

とはいえ、現時点では、Facebookのターゲティング帝国にとっては、相変わらずもうかるビジネスである。

クエバス氏にFacebookプラットフォームに対する今後の研究計画について尋ねると「次の研究で是非やりたいのは、関心事と他の人口統計情報を組み合わせることでナノターゲティングが『より容易になる』のかどうかという調査です」。

「というのは、広告主がユーザーの年齢、性別、都市(または郵便番号)といくつかの関心事を組み合わせてユーザーに対してナノターゲティングを実行できる可能性が非常に高いからです」と同氏はいう。「こうしたパラメーターをいくつ組み合わせる必要があるのかを知りたいのです。年齢、性別、住所と数個の関心事をユーザーから推測するほうが、数十の関心事を推測するよちもはるかに簡単です」。

このナノターゲティングの論文は2021年12月のACM Internet Measurement Conferenceでのプレゼンテーションとして受理されている。

画像クレジット:NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

ユーロポールが2019年のランサムウェア攻撃を実行したサイバー犯罪者たちを拘束

Europol(ユーロポール、欧州刑事警察機構)とそのパートナーである各国の法執行機関は、2019年以降、71カ国で1800以上の被害を出した一連のランサムウェア攻撃の背後にある組織的なサイバー犯罪者のネットワークを壊滅させた。

ユーロポールは2年間の調査を経て、12人の個人を「ターゲットとした」家宅捜索を、先週ウクライナとスイスで行ったと、10月29日に発表した。同機関は、これらの個人が逮捕または起訴されたかどうかについては言及しておらず、我々の詳細な情報提供の要請にもまだ応じていない。

名前が明かされていないこれらの個人は「大企業を特に標的にして、そのビジネスを事実上停止させることで知られている」と、ユーロポールは述べている。この組織が使用したランサムウェアの1つは「LockerGoga(ロッカーゴーガ)」で、2019年3月にノルウェーのアルミニウム生産企業であるNorsk Hydro(ノルスク・ハイドロ)への攻撃で使用されたものと同じ種類だ。このサイバー攻撃により、2大陸にまたがる同社の工場は約1週間の生産停止を余儀なくされ、5000万ドル(約57億円)以上の損害を被った。

ノルウェーの国家犯罪捜査機関Kripos(クリポ)は別のプレスリリースで、今回の捜査対象となった個人がNorsk Hydroへの攻撃に責任があることを確認したと述べている。

ユーロポールによると、このサイバー犯罪者たちは、ランサムウェア「MegaCortex(メガコーテックス)」や「Dharma(ダルマ)」の他「TrickBot(トリックボット)」などのマルウェアや「Cobalt Strike(コバルトストライク)」や「PowerShell Empire(パワーシェルエンパイア)」などの侵入後ツールを使って、検知されないようにさらなるアクセスを得ようとしていたという。「犯罪者たちは、侵入したシステムに気づかれないよう潜伏し、時には数カ月間かけてITネットワークのさらなる弱点を探り、それからランサムウェアを展開して感染を収益化する」と、ユーロポールは述べている。

ユーロポールは、今回の捜索で5万2000ドル(約600万円)の現金と5台の高級車を押収したと述べているが、この犯罪組織が犯行によってどのくらいの金額を得たのかは不明だ。

「これらの容疑者のほとんどは、異なる管轄区域で注目を集めている複数の事件で捜査されているため、価値の高いターゲットと考えられている」と、ユーロポールは述べている。「ターゲットとなった容疑者たちは、これらの専門的で高度に組織化された犯罪組織で、それぞれ異なる役割を担っていた」とのことだ。

ユーロポールは、支払われた身代金をロンダリング(資金洗浄)していた疑いのある人物が多数いると付け加えた。「彼らは、Bitcoin(ビットコイン)で支払われた身代金をミキシングサービスを通じて洗浄し、それから不正に得た利益を現金化していた」と、ユーロポールは述べている。

ユーロポールによると、今回の作戦にはノルウェー、フランス、英国、スイス、ドイツ、ウクライナ、オランダ、米国の法執行機関が参加し、10月26日には50人以上の外国人捜査官が、サイバー犯罪者を目標としてウクライナに派遣されていた。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

【コラム】AIイノベーションの推進と規制を同時に実現するために欧州委員会はどうすればよいのか

2021年4月、欧州委員会は人工知能(AI)の利用を規制する初の法案を提案した。この提案に対しては、規制がヨーロッパ連合(EU)におけるAIのイノベーションにブレーキをかけ、米国や中国とのAI分野のリーダーシップ争いの足かせになるという批判が続出した。

例えばAndrew McAfee(アンドリュー・マカフィー、マサチューセッツ工科大学スローンマネジメントスクール主任研究員)は、Financial Timesに「EU propose to regulate AI are only going to hinder innovation(EUの規制提案はIAイノベーションを妨げる)」とする記事を寄稿している。

GDPR(EU一般データ保護規則)を振り返っても、EUの個人情報保護に関する思想的リーダーシップは、必ずしもデータ関連のイノベーションに直結しなかったが、欧州委員会(EC)はこれを念頭に批判を予期しており、規制案と同時にAIに関する新たな協調的計画を発表して、AIのイノベーションに真剣に取り組もうとしている。

AIに関する新たな協調的計画には、EUがAIテクノロジーでリーダーシップを取るための取り組みが盛り込まれている。では、規制とイノベーション促進政策のコンビネーションは、AIのリーダーシップの加速を促進するための要素として十分なのだろうか。

AIイノベーションは適切な規制によって加速する

規制とイノベーションの両方の改善を目標とした今回の組み合わせは、よく練られてはいるものの、問題もある。すなわち、イノベーション促進に関してはR&D(研究開発)のみに焦点を当てていて、規制の対象となる「高リスク」なユースケースにおけるAI利用の促進についてはカバーされていないのだ。

これは見逃せない欠落である。多くの調査研究で、特に利用促進のインセンティブと、適切に設計された法的拘束力がある規制が同時に施行されると、実際にイノベーションが加速される、という結果が出ている。ECはこの研究結果を採り入れて、AIイノベーションのリーダーとなるべきである。

高リスクなAI規制とイノベーションへの投資

今回のEC規制の主目的は「高リスク」なAIシステムに新たな要件を課すことにある。「高リスク」には、遠隔生体認証、公共インフラ管理、雇用・採用、信用度評価、教育などに使用されるAIシステムや、救急隊員の派遣などさまざまな公共部門におけるユースケースが含まれる。

この規制では、これらの高リスクなシステムの開発者に対してAI品質管理システムの導入、すなわち、高品質なデータセット、記録保持、透明性、人による監視、正確性、堅牢性、セキュリティに関する要件に対処できる管理システムの導入を要求している。また、高リスク未満のAIシステムの開発者には、同様の目標を達成するための自主的な行動規範の作成が奨励されることになる。

この提案の創案者は、明らかに規制とイノベーションのバランスを認識していたと思われる。

まず、この提案では、高リスクとされるAIシステムを限定している。なんとなく高リスクと思われがちな保険などのAIシステムは除外し、雇用や融資など、すでにある程度の規制・監視が行われているAIシステムはほとんどが網羅されている。

次に、この提案は大まかな要件を定義しているが、具体的な方法については規定していない。また、厳格な規制ではなく、自己申告に基づくコンプライアンスシステムを取り入れている。

最後に、協調的計画には、データ共有のためのスペース、試験・実験設備、研究・AIエクセレンスセンターへの投資、デジタルイノベーションハブ、教育への投資、気候変動、医療、ロボット工学、公共部門、法執行機関、持続可能な農業のためのAIといったターゲットを絞ったプログラム的な投資など、R&Dを支援する取り組みが大量に盛り込まれている。

しかし、この提案には、他の分野の規制と組み合わせてイノベーションを加速させてきた利用促進に対する配慮が欠けている。

イノベーション促進の前例:米国のEVインセンティブ

では、規制を行いながら、AIイノベーションのさらなる加速を促進するために、ECはどうすれば良いのだろうか。そのヒントとなるのが、米国のEVインセンティブだ。

米国がEV生産の先駆者となることができたのは、起業家精神と規制、そして市場創造のための優れたインセンティブの組み合わせがあったからである。

Tesla(テスラ)は「EVの先陣は魅力的で高性能なスポーツカーであるべきだ」という識見に基づいて、EV産業を活性化させた。

CAFE基準(企業別平均燃費基準:自動車の燃費規制。車種別ではなくメーカー全体で、出荷台数を加重した平均燃費を算出し、規制をかける基準)による規制は、より効率的な自動車を開発するための動機となり、EVを購入する際の手厚い税額控除は、本来あるべき競争の激しい市場力学を妨げることなく、EVの販売を直接促進した。CAFE基準による規制、税額控除、そしてTeslaのような起業家精神に富んだ企業の組み合わせで、技術革新が大きく促進され、EVのモーターは内燃機関よりも安価になると予想されている。

AIインセンティブの正しい理解:推進するべき3つの取り組み

ECでも、AIで米国のEVと同様のことを実現することができる。具体的には、ECは現行の規制に以下の3つの取り組みを追加し、組み合わせることを検討すべきであろう。

新しい規制に準拠した高リスクのAIシステムを構築または購入する企業に対して、税制上のインセンティブを設ける。ECは、経済的・社会的な目標を達成するためにAIを積極的に活用しなければならない。

例えば一部の銀行では、AIを活用し、信用情報の少ない個人の信用力をより適切に評価すると同時に、銀行業務にバイアスを発生させない取り組みを行っている。これは、行政との共通の目標であるファイナンシャル・インクルージョン(金融包摂)を向上させるものであり、両者の利益が一致するAIイノベーションを示すものである。

ECの法制化にともなう不確実性をもっと軽減する。これは、AIの品質管理や公正さに関する、もっと具体的な基準を策定することで、EC自体がある程度実現できる。しかし、AIテクノロジーを提供する企業やユーザーグループが連携して、これらの基準の遵守に向けた実用的なステップを構築できれば、さらに大きな価値があるだろう。

例えばシンガポール金融管理局は、Veritasという銀行、保険会社、AIテクノロジープロバイダーのための業界コンソーシアムを組織し、FEAT(Fairness, Ethics, Accountability and Transparency、公平性・倫理・説明責任・透明性)のガイドラインで同様の目標を達成している。

法が要求するAI品質管理システムの導入を加速するために、これらのシステムを構築または購入する企業に対する資金提供を検討する。この分野では、ブラックボックスモデルの説明可能性、データやアルゴリズムのバイアスによる潜在的な差別の評価、データの多大な変化に対するAIシステムの耐久性のテストとモニタリングなど、学術的にも商業的にも重要な活動がすでに行われている。

ECは、このようなテクノロジーを広く普及させるための条件を整えることで、イノベーションを加速させ、新しい規制への持続的な準拠も確保するという2つの目的を同時に達成することができるはずだ。

ECが積極的に不確実性を軽減して高リスクのAIの使用を規制しながら促進し、AIの品質管理技術の使用を奨励すれば、EU市民を確実に保護しながら、AIイノベーションの世界的なリーダーになることもできるだろう。EUが世界の模範となれるよう、成功を期待している。

編集部注:本稿の執筆者Will Uppington(ウィル・アッピントン)氏は、TruEraのCEO兼共同設立者。

画像クレジット:PhonlamaiPhoto / Getty Images

原文へ

(文:Will Uppington、翻訳:Dragonfly)

【コラム】データプライバシーを全世界的に標準化すれば、それは真の意味で人類の進歩となるはずだ

中国は2021年8月、初めて抜本的なデータプライバシー法を可決した。今後、中国の個人情報保護法(PIPL)の対象となる中国の住民(中国の人口は世界で最も多い)と関わるであろうグローバル企業や意欲的なスタートアップ企業は、オンラインで売買やサービスの提供を行う際に影響を受ける可能性がある。

この法律自体は2016年に導入されたEUの一般データ保護規則(GDPR)と類似し、目新しいものではない。衝撃的なのは、GDPRが導入された際は企業に2年の準備期間があったのに対し、PIPLは2021年11月1日に施行されるということである。

PIPLを受けて、関連する企業はコンプライアンスの遵守を確立するために奔走することになる。また、データプライバシーの重要性と緊急性が世界規模で高まっていることも明らかになった。中国は、GDPR類似のプライバシー法を制定した17番目の国となるが、さて、いまだにプライバシー法を制定していない世界の超大国はどこだろうか?

米国は、消費者に焦点を当てた国家レベルのデータプライバシー法をいまだに採用していない。国民はオンライン上の個人データの管理強化を望んでいるにもかかわらず、である(複数調査による)。データプライバシー法の不整備は、特にテクノロジー業界に大きな影響を及ぼす。

さまざまな事象が急速に進む現在、データプライバシーの発展は明らかに重要な分岐点に達している。私たちのとる行動によっては世界中の何十億、何千億もの消費者に影響を与える可能性があり、また、小さなスタートアップ企業から巨大なグローバル企業まで、さまざまな企業の発展にも影響が生じる。今こそ慎重な検討が必要だ。

この記事では、最初に米国におけるデータプライバシー法の進展、およびこれが世界にとって何を意味するかを検討し、次にデータの最小化(「必要」かつ「適切で、関連性があり、限定された」個人データのみを処理する原則)の取り組みでこれらの問題に対応できるかを確認して、データプライバシーという難問に挑んでみる。最後に、データプライバシーという問題の解決に欠かせないこれらの要素を比較した上で、人々が自分のデータを確実に管理できる、世界規模のデータプライバシー基準を提唱することで締めくくりたいと思う。

米国におけるデータプライバシー

米国のデータプライバシーを取り巻く状況は複雑だ。連邦レベルでは、(動きがあるものの)包括的なデータプライバシーポリシーは存在しない。その代わりに医療保険の相互運用性と説明責任に関する法律(HIPAA)、消費者金融商品を対象としたグラムリーチブライリー法(GLBA)など、業界ごとのプライバシー規制がある。

13歳未満の子どもを保護するための児童オンラインプライバシー保護法(COPPA)も存在する。また、連邦取引委員会(FTC)も、FTC独自のプライバシーポリシー(連邦取引委員会法)に違反しているアプリやウェブサイトを積極的に取り締まっている。

しかしながら、米国政府は、消費者のデジタルプライバシー権を保護するための包括的な法案を可決しておらず、各州が独自に対応している(例:カリフォルニア州のCCPA、バージニア州のVCDPA、コロラド州のColoPA)のが現状だ。このため多くの米国人のプライバシー権が侵害され、企業は何をすべきかを決めることができずに混乱している。

これが本来あるべき姿だと主張し、停滞した議会では意味のある消費者プライバシー法案を可決することはできないと警告する人々もいる。彼らは、仮に国家レベルのプライバシー法が可決されたとしても、内容は骨抜きにされ、慎重に構想された各州の法律にも悪影響を及ぼすだろうと考えているらしい。

それと同時に、50の州で異なるデータプライバシー法が存在することになる可能性も否定できない。どれも類似しているものの、それぞればらばらで、異なっている……正しく法を遵守しようとする企業にとっては悪夢のようなシナリオだ。この状況を世界規模に拡大してみよう。

データの最小化は唯一の解決策ではない

データプライバシーの問題に対処するための1つの方法として、データ最小化の原則が挙げられる。これは、企業が具体的な目的のためだけに個人情報を収集・保持することを認めるものである。

データ最小化の原則では、基本的には企業が収集するデータの量を減らすことが求められる。これには、マーケティングチームが収集するデータ量を減らしたり、データ保持のスケジュールを設定して使わなくなったデータを消去したりすることが考えられる。

これにメリットを感じる人もいるだろうが、現実的ではない。消費者に強く配慮する企業であっても、マーケティング担当者に対して潜在顧客の個人情報の収集を減らすように提案することはないだろうし、データを収集する正当な理由を探し出すことは間違いないだろう。

そして、たとえ目的が純粋なものであったとしても、個人情報や嗜好を調査して製品を開発し、ビジネスを成長させているスタートアップ企業にとって、この原則は有害なものになりかねない。この点で、データの最小化は、思わぬところでイノベーションを阻害する可能性がある。

さらに率直に言えば、消費者が自分自身のデータの取得・利用方法について選択できるようにすれば、データを最小化する必要はないと思われる。パーソナライズされたオーダーメイドの体験を好む消費者は、個人情報を共有しても問題ないと考えているケースもある。たとえば「Stitch Fix(スティッチフィックス)」「Sephora(セフォラ)」のようなブランドは、よりショッピングを楽しんでもらうために事前にたくさんの個人的な好みを質問しているが、多くのユーザーがそれを問題視していない。

世界規模のデータプライバシー基準の必要性

筆者は、このような複雑で微妙な問題が表面化し、企業や消費者を悩ませてしまうのは、皆が同じ見解を持つためのグローバルスタンダードが存在しないからだと考える。グローバルスタンダードが存在しない限り、他のいかなる法律や規則、基準も一時しのぎに過ぎない。

今こそ、世界中の消費者を保護し、企業が遵守すべき要件がどの地域でも同一になるよう、各国が合意できる基本原則を策定するときだ。

国際的なデータプライバシー法が乱立し、この地域の要件は厳しく、あの地域の要件は少しだけ異なる、といった状況になれば、企業がコンプライアンスを完全に遵守するのは不可能に近い。そうなるのも時間の問題だ。私たちは事態を収拾しなければならない。

データプライバシー基準は、国境を越えた公平性の基本を確立し、あらゆる段階の企業に適用される。そして、企業の国際的なビジネス展開は飛躍的に容易になる。

筆者は、今影響を受けている企業や地域が、国際的なデータプライバシー基準に向けた変化を促進してくれることを期待している。グローバル化を目指す企業にとって、地域で異なる基準は大きなマイナスであり、膨大なコストにつながっている。そういった企業が協力すれば、共通の解決策を見出すことができるだろう。推進力はそこにある。中国の動向を見れば、他の国が追随する日もそう遠くはないはずだ。

米国内でのデータプライバシー法の制定を待たずに、米国を拠点とする業界団体でさえグローバルスタンダードへの第一歩を踏み出そうとしている。例えばConsumer Reports(コンシューマーレポーツ)は解決策を検討するためのワーキンググループを立ち上げた。これにより、企業と消費者の双方を保護するためのデータプライバシーに関する世界的な関心が急速に高まる可能性がある。

データプライバシー基準の核心

データプライバシー基準はもはや必要不可欠であるといえるが、その策定にあたって忘れてはならないのは「消費者自身が、企業による自分の情報の扱いをコントロールできる」ようにしなければならないということである。

とりわけサービスやアプリケーションが取引を促進するために利用される場合は、消費者自身が、誰が自分の情報にアクセスできるのか、それはなぜなのかを知る権利を持つ。また、要求に応じて個人情報を削除させる権利や、企業が許可なく自分の情報を販売することを防ぐ権利も必要だろう。これらは基本的かつ普遍的な権利であり、政府機関や支援団体はこれを理解しなければならない。

マーケター、マーケティング担当者は不満かもしれないが、すべての消費者が自分の情報を共有することに反対していると考える必要はないだろう。実際には、前述の例のように、企業が個人情報を収集・保持することで、パーソナライズされた体験やショッピングができることを評価する人も少なくない。

消費者の選択権は、最終的にエコシステム全体の健全性を高め、企業が信頼と透明性を築くための新たな手段となる。企業も(地域ごとに)何種類もの消費者の権利を開発・管理するためにいつまでもあたふたする状況から解放される。

筆者は、スタートアップ企業がプライバシーファーストで設立されるようになると予想している。これは企業の差別化にもつながるだろう。しかし、変化の最大の要素は、消費者が世界のどこにいようと、個人情報を含むシステムが世界のどこにあろうと、自分のデータを確実にコントロールできるようにすることだ。データプライバシー基準は消費者の権利を保護し、混乱を解消して企業が効率的にビジネスを行えるようにする。他のアプローチでは同じことを合理的に行うことはできないし、大規模に展開することもできない。

データプライバシーを全世界で標準化し、私たち全員が同じステージに立つことができれば、それは真の意味で人類の進歩となるはずだ。

画像クレジット:Kardd / Getty Images

原文へ

(文:Daniel Barber、翻訳:Dragonfly)

欧州議会が生体認証による遠隔監視の禁止を支持

欧州議会は、生体認証による大規模な監視を全面的に禁止することについて賛成の立場を採択した。

顔認証などのAIを使った遠隔監視技術は、プライバシーのように自由や基本的な権利に大きく関わる問題だが、欧州ではすでに公共の場での使用が浸透している。

「プライバシーと人間の尊厳」を尊重するため、欧州議会は公共の場での個人の自動認識を恒久的に禁止することを可決すべきで、市民が監視されるのは犯罪の疑いがある場合のみだとした。

また、欧州議会は、民間の顔認証データベースの使用を禁止するよう求めた。米国のスタートアップ企業であるClearviewが開発した、物議を醸しているAIシステムがその例だ(これも欧州の一部の警察がすでに利用している)。欧州議会は、行動データに基づく予測的な取り締まりも非合法化すべきだとしている。

加えて欧州議会は、市民の行動や性格に基づいて信頼性を評価するソーシャルスコアリングシステムも禁止したいと考えている。

欧州連合(EU)執行部は4月、高いリスクをともなう人工知能技術の利用を規制する法案を発表した。この法案には、ソーシャルスコアリングの禁止や、公共の場での生体認証による遠隔監視の原則禁止が含まれていた。

しかし、市民社会、欧州データ保護会議、欧州データ保護監督官、および多くの欧州議会議員は直ちに、欧州委員会の提案が十分に行き届いていないと警告した

関連記事:欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

欧州議会全体としても、基本的権利に対する保護措置の強化を望んでいることが明らかになった。

現地時間10月5日夜に採択された決議で欧州議会議員は、市民の自由・司法・内務委員会の「刑法における人工知能」に関する報告書に377対248で賛成し、人工知能法の詳細を詰める今後のEU機関間の交渉で欧州議会が何を受け入れるかについて、強いシグナルを送った。

生体認証による遠隔監視に関する関連パラグラフでは、欧州委員会に次のことを求めた。

立法および非立法の手段により、また、必要ならば侵害訴訟により、法の執行を目的とした顔画像を含む生体データの処理で、公共の場での大量監視につながるようなものを禁止することを求める。さらに欧州委員会に対し、公共の場での無差別な大量監視につながる可能性のある生体データの研究や展開、プログラムへの資金提供を禁止するよう求める。

この決議は、アルゴリズムによる偏見にも目を向け、AIによる差別を防ぐために、特に法執行機関において、あるいは国境を越える場面で、人間による監督と強力な法的権限を求めた。

最終的な判断を下すのは常に人間のオペレーターでなければならず、AIを搭載したシステムに監視されている対象者は救済措置を受けることができなければならない、と欧州議会議員は合意した。

また、欧州議会議員は、AIベースの識別システムを使用する際に基本的権利が守られるよう求めた。AIベースの識別システムは、少数民族、LGBTI、高齢者、女性の誤認識が高いことが指摘されている。そして、アルゴリズムが備えるべき要件として、透明性、追跡可能性、十分な文書化が必要だとした。

公的機関に対しては、可能な限り透明性を高めるために、オープンソースのソフトウェアを使用するよう求めた。

さらに欧州議会議員は、EUから資金提供を受け、物議を醸している研究プロジェクトにも狙いを定めた。顔の表情を分析して「スマートな」嘘発見器を開発するという「iBorderCtrl」プロジェクトは中止すべきだと主張した。

関連記事:欧州司法裁判所で異議申立てされた「オーウェル的」AIうそ発見器プロジェクト

報告者のPetar Vitanov(ペーター・ビタノフ)氏(ベルギー、社会民主進歩同盟)は声明で次のように述べた。「基本的権利は無条件に与えられるものです。今回初めて、法の執行を目的とした顔認証システムの導入を一時停止することを要求します。この技術は効果的ではなく、しばしば差別的な結果をもたらすことが証明されているためです。私たちは、AIを利用した予測的な取り締まりや、大量の監視につながる生体情報の処理には明確に反対します。これは、すべての欧州市民にとって大きな勝利です」。

TechCrunchは欧州委員会に対し、今回の投票についてコメントを求めたところだ。

同議会の決議は、司法判断を補助するAIの禁止も求めている。これも、自動化がすでに適用されている大きな議論を呼ぶ分野だ。自動化により、刑事司法制度における偏見が体系的に固定・拡大される危険性がある。

世界的な人権慈善団体であるFair Trialsは、今回の採択を「テクノロジー時代の基本的権利と無差別のための画期的な結果」と歓迎している。

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

ついにヨーロッパが携帯電話の充電器を共通化するための法律を制定、共通の充電ポートはUSB-Cに

スマートフォンやタブレットなどの家電製品の充電ポートの標準化に向けて、EUの議員がようやく動き出した。今回発表されたこの提案が採用されれば、カメラ、ヘッドフォン、ポータブルスピーカー、携帯型ゲーム機などの機器に共通の充電ポートとして、USB-Cが採用されることになる。

スマートウォッチやフィットネスバンドのような小型の家電製品は、そのサイズや使用形態などの理由から除外されている。

また、この委員会の計画では、地域の議員が携帯電話の充電器の販売を分離して、自動的に同梱されないようにすることが望まれている。

また、急速充電の規格も統一され、機器メーカーは、必要な電力や急速充電に対応しているかどうかなど「充電性能に関する関連情報」をユーザーに提供する義務を負うことになる。

欧州委員会は「これにより、消費者は既存の充電器が新しい機器の要件を満たしているかどうかを確認したり、互換性のある充電器を選択したりすることが容易になります」と指摘し、さらに一連の措置によって、消費者が新しい充電器を購入する回数を減らし、不必要な充電器の購入にかかっている年間2億5000万ユーロ(約323億9000万円)を節約することができると述べている。

欧州委員会はこの提案の発表の中で、欧州委員会が10年以上にわたって推し進めてきた「自主的なアプローチ」、すなわち覚書のような推奨を通じて電子機器業界に共通の基準を実現させようとする試みが、求められている基準を実現できておらず、たとえば携帯電話の充電器にはいまだに3つの異なるタイプが存在していることを述べている。

より広い目的としては、家電製品から発生する廃棄物の一部を削減することで、世界の廃棄物の山に意味のある変化をもたらすことが目指されている。たとえば欧州委員会は、消費者が携帯電話の充電器を平均3個所有しており、そのうち2個を定期的に使用していると指摘している。それゆえ、機器メーカーが毎回新しい充電器を用意する必要はないのだ。

また、同委員会は、廃棄される未使用の充電器は、年間約1万1000トンの電子廃棄物に相当すると推定していることを付け加えた。

もちろん、現在携帯電話市場に出回っている非標準的な充電器の1つは、iPhoneメーカーであるApple(アップル)のものだ。Appleはこれまで、自社の機器に標準的なポートを搭載させようとする圧力に抵抗してきたが、汎EU法によって世界共通の充電器を強制的に導入することができれば、巨大企業はついに独自のLightning(ライトニング)ポートを放棄せざるを得なくなるだろう。

Appleは長年にわたり、デバイスに標準的なポートを採用する代わりに、間違いなく幅広く莫大な利益を生むアクセサリービジネスを展開してきた。例えば、iPhoneの3.5mmヘッドフォンジャックを削除するなど、標準的なポートを削除することさえあったのだ。つまり、Appleのデバイスのユーザーは、より多くの標準的なポートにアクセスしたい場合には、ドングルを購入しなければならず、将来的にさらに多くの廃棄物が発生することになる。

EUの立法案が、Appleのドングルを使った組み込み型の汎用的な回避策を実際に禁止するかどうかは、まだはっきりしない(私たちは欧州委員会に質問してみた)。

欧州委員会のデジタル戦略担当EVPであるMargrethe Vestager(マルグレーテ・ベステアー)氏は、欧州委員会の提案について次のようなコメントを述べている。「欧州の消費者は、互換性のない充電器が引き出しに溜まっていくことにずっと不満を感じていました。産業界には独自の解決策を提案するための時間を十分に与えてきましたが、今は共通の充電器に向けた立法措置をとる時期に来ています。これは、消費者と環境にとって大切な勝利であり、私たちのグリーンとデジタルの目標に沿ったものです」。

欧州連合(EU)のThierry Breton(ティエリー・ブルトン)域内市場担当委員は、呼応する声明の中で次のように付け加えている「私たちの最も重要な電子機器のすべてに電力を供給しているのが充電器です。機器が増えれば増えるほど、互換性のない、あるいは必要のない充電器がどんどん売られていきます。私たちはそれに終止符を打ちます。私たちの提案により、欧州の消費者は1つの充電器ですべての携帯電子機器を使用できるようになるでしょう。これは利便性の向上と廃棄物の削減のための重要なステップとなります」。

なお、この提案が法律として成立するためには、EUの他の機関である欧州議会と欧州理事会がこの提案を支持する必要がある。欧州議会は、欧州委員会が共通の充電基準を実現できていないことに以前から不満を表明しており、2020年はこの問題への厳しい対応を求める投票が圧倒的に多かった。そのため欧州議会議員がこの問題に関する汎EU法の制定に熱心なのだろう。

とはいえ、一朝一夕に激変するわけではない。欧州委員会は、過去の法制化の適用データから、24カ月間の移行期間を提案しているので、たとえ議会と理事会がこの計画に迅速に合意したとしても、機器メーカーが遵守しなければならなくなるには、何年もかかることになる。

欧州委員会の広報は、これまで産業界にこの問題に関して10年以上の圧力をかけてはきたものの、計画されている法改正に適応するための「十分な時間」を与えたいとしている。

欧州委員会が求める共通の充電器ソリューションを欧州で実現するためには、さらなるステップが必要である。外部電源の相互運用性を確保するためのさらなる調整が必要とされているからだ。立法者によると、こちらの問題はエコデザイン規則の見直しによって対処されるという。この規則は、共通充電器ポート要件と同時に発効することを目指して、2021年後半の開始が予定されている。

後者の提案に関するFAQの中で、欧州委員会は、この問題で立法上の難問に取り組むのになぜこれほど時間がかかったのかという自らの疑問に答えているが、当初は業界が関与することを期待して、より「野心的な」自主的アプローチを継続しようとしていたと書いている。しかし、業界が提案した案は「不十分」であり、共通の充電ソリューションを提供することはできなかったと述べている。

世界が気候変動マイクロプラスチック汚染などの環境問題への取り組みを進める上で、立法者たちが「実際の立法の必要性」を学んだことは重要な教訓となるだろう。

関連記事
地球温暖化がいよいよ「赤信号」、国連IPCCが報告書で警告
欧州の法律家が携帯電話やノートパソコンを「修理する権利」を提案

画像クレジット:Getty Images under a iStock / Getty Images Plus license

原文へ

(文:Natasha Lomas、翻訳:sako)

WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

長らく待たれていたが、ついにFacebookは、大々的に報じられていた欧州のデータ保護体制からの批判を感じ始めている。2021年9月初旬、アイルランドのデータ保護委員会(DPC)が、WhatsAppに2億2500万ユーロ(約294億円)の制裁金を科すことを発表した。

Facebook傘下の同メッセージングアプリは、欧州連合(EU)のデータ統括者であるアイルランドのDPCによって2018年12月から調査を受けている。その数カ月前には、WhatsAppのユーザーデータ処理方法をめぐって最初の苦情が申し立てられていた。同社のユーザーデータ処理方法は、欧州の一般データ保護規則(GDPR)の適用が2018年5月に開始されている。

関連記事:GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴

WhatsAppに関する具体的な苦情がいくつも寄せられたにもかかわらず、2021年9月初旬に決定が下されたDPCによる調査は「自発的」な調査として知られているものであった。つまり、規制当局が調査自体のパラメータを選定し、WhatsAppの「透明性」に関する義務を監査することを選択したものだ。

GDPRの重要な原則の1つは、個人のデータを処理する事業体はその個人の情報がどのように使用されるかについて、その個人に対して明確でオープンかつ正直でなければならない、ということにある。

この度のDPCの決定(266ページに及ぶ)は、WhatsAppがGDPRで要求されている基準を満たしていなかったと結論づけている。

この調査では、WhatsAppが同サービスのユーザーと非ユーザーの両方に対する透明性に関する義務を果たしているかどうかが検討された(例えばWhatsAppは、ユーザーが他人の個人情報を含む電話帳を取り込むことに同意すれば、非ユーザーの電話番号をアップロードすることができる)。また、親会社のFacebookとのデータ共有に関してプラットフォームが提供する透明性にも注目していた(2016年にプライバシーUターンが発表された当時、大きな議論を呼んだが、GDPRの適用前だった)。

要約すると、DPCはWhatsAppによる一連の透明性侵害を発見した。GDPRの第5条1項(a)号、第12条、第13条、第14条に及ぶものである。

多額の制裁金を科すことに加えて、当局はWhatsAppに対し、ユーザーと非ユーザーに提供する透明性のレベルを向上させるために多くの措置を講じるよう命じている。このテック大手には、指示されたすべての変更を行うために3カ月の期限が与えられた。

WhatsAppはDPCの決定に対する声明の中で、調査結果に異議を唱え、この制裁金を「まったく不相応」と表現するとともに、控訴する意向を示し、次のように記している。

WhatsAppは、安全でプライベートなサービスを提供することに尽力しています。当社は提供する情報の透明性と包括性の確保に努めており、今後も継続的に取り組んでいきます。当社が2018年に人々に提供した透明性に関するこの度の決定には同意できず、制裁金はまったく不相応なものです。当社はこの決定に控訴する意向です。

最終的な決定が下されたDPC調査の範囲は、WhatsAppの透明性に関する義務への考慮に限定されていたことを強調しておきたい。

規制当局は、明示的に、広範囲の苦情について調査してこなかった。それはFacebookのデータマイニング帝国に対して3年以上も前から提起されているもので、そもそもWhatsAppが人々の情報を処理していると主張する法的根拠に関するものである。

したがって、DPCはGDPR施行のペースとアプローチの両方について批判を受け続けることになるだろう。

実際、今日に至るまで、アイルランドの規制当局は「ビッグテック」に対処するための国境を越えた大規模な訴訟において、わずか1つの決定しか下していなかった。Twitterに対して行われたもので、2020年の12月に遡るが、歴史的なセキュリティ侵害をめぐりこのソーシャルネットワークに55万ドル(約6045万円)の制裁金を科したというものだった。

これとは対照的に、WhatsAppの最初のGDPR罰則はかなり大きく、EUの規制当局がGDPRのはるかに深刻な侵害だと考えていることを反映している。

透明性は規制の主要原則の1つである。そして、セキュリティ侵害はずさんな慣行を示しているかもしれない一方で、アドテック帝国が大きな利益を上げるためにそのデータに依存する人々に対する、組織的な不透明さは、むしろ意図的なものに見える。確かに、それは間違いなくビジネスモデル全体のことである。

そして、少なくとも欧州においては、そのような企業は、人々のデータを利用して何をしているのかについて最前線に立たされることになるだろう。

GDPRは機能しているだろうか?

WhatsAppの決定は、GDPRが最も重要なところで効果的に機能しているかどうかについての議論を再燃させるだろう。世界で最も強力な、そしてもちろんインターネット企業でもある各社に対して。

EUの代表的なデータ保護規制では、越境事案の決定には影響を受ける全規制当局(27の加盟国)の同意が必要である。そのためGDPRの「ワンストップショップ」メカニズムは、主規制当局を介して苦情や調査を集めることにより、越境企業の規制上の義務を合理化しようとしているが(通常は企業がEU内に主要な法的根拠を持っている場合)、今回のWhatsApp事案で起きたように、主監督当局の結論(および提案された制裁)に対して異議を申し立てることができる。

アイルランドは当初、WhatsAppに対して5000万ユーロ(約65億円)という、はるかに少額の制裁金を科すことを提案していたが、他のEU規制当局がさまざまな局面でこの決定案に異議を唱えた。その結果、欧州データ保護会議(EDPB)が最終的に介入し、多様な論争を解決するための拘束力のある決定を下さなければならなかった(EDPBはこの夏に施行された)。

DPCはその(確かにかなり痛みをともなう)共同作業を通じて、WhatsAppに科される制裁金の額を引き上げるよう求められた。Twitterの決定草案で何が起きたかを反映して、DPCは当初、より軽微な制裁金を提案していたのだった。

EUの巨大なデータ保護機関の間の紛争を解決するには、明らかな時間的コストがかかる。DPCは12月にWhatsAppの決定草案を他のDPAに提出して審査を求めていたので、WhatsAppの不可逆的ハッシュ化などに関するすべての紛争を徹底的に洗い出すのに半年以上かかっている。その決定と結論に「修正」が加えられているという事実は、たとえ共同で合意していなくても、少なくともEDPBに押し切られた合意を経て到達しているのであれば、プロセスが遅くて不安定ではあるが機能していることを示している。少なくとも技術的な意味においては。

それでも、アイルランドのデータ保護機関は、GDPRに関する苦情や調査の処理における大きな役割について批判を受け続けるだろう。DPCが、どの問題を(ケースの選択や構成によって)詳細に調査し、どの問題を完全に排除すべきか(調査を開始していない問題や、単に取り下げられたり無視されたりしている苦情)を、本質的に選り好みしていると非難する声もある。最も声高な批判者たちは、DPCが依然として、EU全体におけるデータ保護権の効果的な実施の大きなボトルネックになっていると主張している。

この批判に関連した結論は、Facebookのようなテック大手は、欧州のプライバシー規則に違反するためのかなりのフリーパスをまだ得ている、というものである。

しかし、2億2500万ユーロの制裁金がFacebookのビジネス帝国の駐車違反切符に相当するものであることは事実だとしても、そのようなアドテック大手が人々の情報を処理する方法を変更するよう命じられたことは、少なくとも問題のあるビジネスモデルを大幅に改善するポテンシャルを秘めている。

とはいえ、このような広範な命令が期待される効果をもたらしているかどうかを判断するには、やはり時間を要することになるであろう。

欧州の長年のプライバシー活動家Max Schrems(マックス・シュレムス)氏によって設立されたプライバシー擁護団体noybは、この度のDPCのWhatsAppの決定に反応した声明で次のように述べている。「アイルランドの規制当局によるこの初の決定を歓迎します。しかし、DPCには2018年以来、年間約1万件の苦情が寄せられていますが、今回が初めての大きな制裁措置です。DPCはまた、当初は5000万ユーロの制裁金を科すことを提案しており、他の欧州データ保護当局によって2億2500万ユーロへの移行を余儀なくされました。それでもFacebookグループの売上高の0.08%にすぎません。GDPRは売上高の最大4%の制裁金を想定しています。このことは、DPCが依然として極めて機能不全に陥っていることを示しています」。

シュレムス氏はさらに、同氏とnoybは、DPCの前で保留中の訴訟をいくつか抱えており、その中にはWhatsAppも含まれていることを指摘した。

さらなる発言の中で同氏らは、DPCが他のEUのDPAによって強化を余儀なくされた制裁措置を筋の通った形で擁護するのかについて、また上訴プロセスの長さについての懸念を表明した。

「WhatsAppは確かに決定を不服として控訴するでしょう。アイルランドの裁判所のシステムにおいて、これは制裁金が実際に支払われるまでに何年もかかることを意味します。私たちのケースでは、DPCは事実上の基礎固めを行うことよりも、見出しに関心があるように私たちはしばしば感じていました。DPCが実際にこの決定を守るかどうかを見るのは、非常に興味深いことです。なぜなら、DPCは基本的に欧州のカウンターパートによって今回の決定を下さざるを得なかったからです。私はDPCが単純にこの訴訟に多くのリソースを割くことをしないか、アイルランドにおいてWhatsAppと「和解」することを想像することができます。私たちは、DPCが確実にこの決定に従って進めていることを確認するために、この件を注意深く監視していきます」。

【更新】別の反応声明で、Facebook傘下のWhatsAppに対して苦情を申し立てている欧州の消費者保護団体BEUCは、この決定を「遅すぎた」と評している。

デジタルポリシーのチームリーダーであるDavid Martin(デビッド・マーティン)氏は次のように付け加えた。「今回のことは、Facebookとその子会社に対して、データ保護に関するEUの規則を破ることは重大な結果をもたらすという重要なメッセージを送っています。また、アイルランドのデータ保護当局がEUのカウンターパートによってさらに厳格なスタンスを取ることを余儀なくされたことから、欧州データ保護委員会がGDPRの施行に果たした決定的な役割も今回示されました。私たちは、消費者当局がこの決定に留意し、BEUCがWhatsAppに対して起こしている、規約やプライバシーポリシーの最近の変更を受け入れるよう同社がユーザーに不当な圧力をかけたことに関する別の苦情について、速やかな対応がなされることを願っています」。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

フェイスブックのスマートサングラス、撮影を知らせるLEDライトが非常に「小さい」と欧州当局が懸念

Facebook(フェイスブック)を監督する欧州のプライバシー当局は、同社が現在販売している「スマート」Ray-Banサングラスについて懸念を示している。このサングラスには口頭での合図で写真やショートビデオを取ることができるカメラが搭載されている。

アイルランドのデータ保護委員会(DPC)は現地時間9月17日、ユーザーがビデオを撮るときに光るサングラス搭載のLEDインディケーターライトが、サングラスをかけている人に撮影されていることを他の人に知らせる効果的な方法であることを証明するようFacebookに求めた。

関連記事:フェイスブックがレイバンと共同でスマートサングラス「Ray-Ban Stories」発売、約3.3万円から

イタリアのプライバシー当局GaranteはすでにFacebookのスマートグラスを疑問視しているが、Facebookが欧州本部を置いているアイルランドは同社を監督する当局として並外れた役割を担っている。

Facebookは1年前、AR(拡張現実)スマートメガネ製作に向けた道のりにおける「次のステップ」と表現したものを発表した。その際、初期製品にはARは搭載されないと述べたが、高級メガネ大手Luxottica(ルクソティカ)との複数年にわたる提携を発表した。「スマート」メガネに次第に機能を増やしていくことを意図していたようだ。

関連記事:FacebookがARが日常生活になるスマートグラスを2021年に発売、Ray-BanブランドのLuxotticaともコラボ

FacebookのRay-Banブランドの第1弾の商品は9月初旬に発売された。一見、ほぼ普通のサングラスのようだが、5MPのカメラ2つをフロント部分に備え、ユーザーはこれらを使って目にしているものののビデオを撮って、Viewという新しいFacebookアプリにアップロードできる(サングラスはフレーム内部にスピーカーも搭載し、ユーザーは音楽を聴いたりコールを取ったりもできる)。

このサングラスのフロント部分にはLEDライトもある。これはビデオを撮影しているときに光る。しかし、DPCが「とても小さい」インディケーターと呼ぶものは、人々に自分が撮影されているリスクを警告するのには不十分なメカニズムであることを欧州の当局は懸念している。

Facebookはこのサングラスが引き起こしうるプライバシーのリスクを評価するための包括的な実地テストを行ったことを示していない、とも付け加えた。

「スマートフォンを含む多くのデバイスが第三者を撮影できることは受け入れられている一方で、通常カメラやスマホは撮影しているときにデバイスそのものが目に見え、ゆえに撮影されている人にその事実を知らせています。メガネでは、撮影中にとても小さなインディケーターライトが光るだけです。インディケーターLEDライトが撮影を周囲に知らせる有効な方法であることを確認するために、包括的な実地テストがFacebookあるいはRay-Banによって行われたことをDPCとGaranteに証明していません」とDPCは述べている。

Facebookの主要EUデータ保護当局は続けて、同社に「LEDインディケーターライトが目的にかなうものであることを実証し、この新しい消費者向け製品があまり目立たない撮影を引き起こすかもしれないことを大衆に警告するための情報キャンペーンを展開する」ことを求めている、と話す。

質問するためにFacebookに連絡を取った。

同社の広報担当はTechCrunchに次のように語った。「新テクノロジーについて、そしてそれがどのように機能するか、人々が疑問を抱えていることを当社は承知しており、また当社がこの会話の一部に入っていることは重要です。この新テクノロジーがどのようなものなのか、そしてコントロールについて人々が理解できるよう、 当社の主要監視当局であるアイルランドのDPCを含め、当局パートナーと協業します」。

同社はまた、スマートサングラスの発売に先立ってDPCとやり取りしたと主張し、また今後もやり取りを続けると述べた。加えて、サングラスにはオフのスイッチもあると指摘した。

アイルランドの当局は、発売前にスマートサングラスのデータ保護コンプライアンスに関してFacebookから概要説明があったことを認めたが、副委員長のGraham Doyle(グラハム・ドイル)氏はプロダクトの機能についての相談はなかった、と述べた。

「夏にデータ保護要件コンプライアンスについての概要説明と詳細の提供がありましたが、製品の開発についての相談はありませんでした(Facebookが我々のところにきたときにはデザインと機能の開発はすでに終わっていました)、とドイル氏は述べた。

「メガネのオペレーションと実地テストに対処するために、他のDPA、我々自身、そしてGaranteと情報、特に懸念について共有しました」。

スマートサングラスは9月初旬に発売された。米国での価格は299ドル(約3万3000円)だ。現在アイルランドとイタリア、そして英国でも販売していることをFacebookは明らかにした。

ここ数年、同社は規制当局の懸念を受けて、欧州でのプロダクト立ち上げを一部を延期してきた(あるいは中止したりした)。ここには顔のタグ付け機能が含まれる(これは後に別の形で再導入された)。

同社の欧州でのデートサービス展開も9カ月以上ずれ込み、DPCによる介入後に一部を変更して導入された。

また、Facebook所有のメッセージプラットフォームWhatsApp(ワッツアップ)が欧州でFacebookとデータ共有することにも制限がかけられている。こちらも規制当局介入の結果だ。欧州では多量のデータがまだWhatsAppからFacebookへと流れているが縮小してはいて、Facebookに対する数多くのプライバシーに関する苦情は欧州で調査中だ。これらの調査の結果はまだ出ていない

2021年9月初めにアイルランドのDPCは(欧州のGDPR法のもとで)Facebookに対する初の制裁を発表し、利用者への十分な説明を怠ったとしてWhatsAppに2億6700万ドル(約290億円)の罰金を科した。しかしDPCはFacebookや同社の傘下企業に対する複数の苦情についてはまだ調査を続けている。

2021年1月にアイルランド当局は、Facebookの欧州から米国へのデータ移送に対する2013年の苦情を「速やかに」解決することに同意してもいる。こちらもまだ結論は出ていない

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi