EUがギグワークを「より良質」なものにする方法を探し始める

欧州連合(EU)は、ギグプラットフォームとギグワーカーを含めた協議プロセスの第1段階を開始した。

EUの議員らはプラットフォームで働く人々の労働条件を改善したいと述べているが、EUのデジタル政策責任者であるMargrethe Vestager(マルグレーテ・ベステアー)氏は現地時間2月25日のスピーチで、そうした人々が「貧しく」「不安定」である可能性を認めた。しかし、ベステアー氏はまた、ギグワークの問題に関する欧州委員会のアジェンダは、(貧弱な)プラットフォーム業務と、良質で安定した(権利が保護された)雇用との間に、ある種の「バランス」を見つけることだと明確に述べた

過酷なサービス提供に従事していながら従業員名簿に載らない多くの人々は、労働者としての権利の一部しか与えられていない。彼らに支払う大金を削ることが、企業としての(多くの場合、理論上ではあるが利益がともなう)持続可能性に連鎖的に結びついている。そうしたことを踏まえると、ギグプラットフォームの仕事がいつまでも良質かつ安定したものにならない悪循環をEUの議員らがどう正していくのか、まだ詳細は不明だ。

しかし、おそらくそれこそが、欧州委員会の協議プロセスで把握しようとしていることだ。このプロセスの第1段階では「より良質」なプラットフォーム業務がどうあるべきか、ギガプラットフォームとギガワーカーの代表者らとともに徹底的に議論することが計画されている。

「プラットフォーム経済はEUとともにあり、新しいテクノロジー、新しい知識源、新しい仕事の形態が今後数年で世界をかたち作っていくでしょう」とベステアー氏は述べ、続けてプラットフォーム労働者の権利や社会的セーフティーネットが疎かにされてはならないというデリケートな問題に躊躇なく切り込んだ。「そして、デジタル経済に関わるあらゆる仕事を守るため、新しいチャンスだからといって権利が制限されることがあってはなりません。オンラインでも実社会と同様に、すべての人々が保護され、安全に尊厳を持って働けるようにするべきです」(ここでは「べき」という言葉に非常に力強い決意が込められている)。

「この協議における重要な課題は、プラットフォーム経済の機会を最大限に活用することと、プラットフォーム経済で働く人々の社会的権利を従来型の経済と同じように保証すること、この2つを両立させることです」とも述べ、次のように続けている。「また、プラットフォームと、現行の労働法の適用を受け人件費がかさんでいる従来型の企業との間で、公正な競争が公平な条件で行われるようにすることも重要です」。

ギグワークに関する欧州委員会の2段階の協議プロセスは、委員会のいう「プラットフォーム業務における労働条件を改善するために、EUが取りうる施策の必要性と方向性」について「社会的パートナー」による協議から始まる。

この協議は少なくとも6週間にわたって行われる。これには、プラットフォームが労働者(および・または、労働者の代表者)と話し合い、プラットフォームの労働条件の観点で「より良質」とはどのようなものかについて合意を見い出すことが含まれており、欧州委員会のイニシアチブの方向性を決定するためのものである。あるいは、両者が現実的な方策の同意に至った場合には、そのイニシアチブについて法整備を進めることになる。

協議の第2段階は「社会的パートナー」が合意に至らない場合を想定しており、夏前に行われる予定で「イニシアチブの内容」に焦点を当てるとベステアー氏はいう(つまり、正すべき悪循環を正すために、EUが最終的に何かを提案するということだ)。

ギグワークにおける難問である競争要素、つまり「雇用主の公平性」というダイナミクスも考慮しなければならない。プラットフォームが従来の雇用主と同じルールを適用していないために、良質で安定した仕事を提供しているライバル企業の競争力を低下させる可能性があることを考えると、欧州委員会がなぜ「社会的パートナー」の協議と並行して競争に焦点を当てた協議を始めているのか説明がつく。

「社会政策ではなく競争法に関するものであるため、別の法的基盤を持つこのイニシアチブについて、まもなく公聴会を開始する予定です。2つのイニシアチブについて別々に協議を行うのは、このためです」とベステアー氏は指摘する。

同氏は、これによってEUの競争規則が「必要とされている団体交渉の邪魔にならないよう」にすると述べた。また、(この意味はまだ不明確だが)「より良質な」プラットフォーム業務のバランスを実現するうえでの解決策が、団体交渉によって形成されることを委員会は期待しているという。

とはいえ、シニカルな人は、この意見公募が、最終的にはおそらくある種の見せ掛けに終わるだろうと予測するかもしれない。つまり、ベステアー氏がEUとともにあるべきと主張したプラットフォーム経済を実際に崩壊させることなく、プラットフォームにおける権利のギャップを埋めるための詰め物という見方もできるということだ。

Uber(ウーバー)の場合、プラットフォームの「法的な明確さ」を向上させるという欧州委員会の話を機会と捉えている。

巨大な配車サービス企業であるウーバーは先週、ホワイトペーパーを発表し、プラットフォーム業務への規制強化の動きを阻止すべく議員に働きかけた。カリフォルニア州では雇用法の強化からの切り離しに成功し、欧州でも同様の成果を求めProp 22スタイルを推し進めている。

関連記事
チーフコミュニティオフィサーはいまやCMOとも言えるだろう
Uberが「ギグワーカーは個人事業主」というカリフォルニアの住民立法を世界展開へ

他のプラットフォームも同様に、欧州の社会契約の中で自社のビジネスモデルに不都合な部分の再調整を促す利己的な提案をしてくることを予想している(例えば先週、ウーバーは規制緩和のロビー活動に有利になるよう、労働者の条件改善を意図的に引き延ばしたと非難された)。

欧州委員会のギグワーク協議の開始は、長期にわたる雇用法廷に対するウーバーの上告を棄却した英国の最高裁による画期的な判決(英国時間2月19日)に続くものだ。

最高裁判事は、ウーバーを訴えたドライバーのグループは確かに誤って「自営業者」に分類されていたとの見解を確定させ、ウーバーはずっと支払っていたはずの(労働者の)権利に対する補償金を支払う義務があるとした。

EUが(ブレグジット後の)英国と比較してプラットフォーム労働者に低いレベルの権利しか提供できずに終われば、ブリュッセル(EU本部)は確かに面目が立たないだろう。

プラットフォームが既存の雇用規制を回避し、社会通念を破壊してでも利益を追求することに基づいていることを考えると、本質的にアンバランスなビジネスモデルの観点で「バランス」を取ることについて話すのは非現実的かもしれない。しかし、欧州委員会は協議プロセスや重なり合うEU全体の規制のネットワークが、ギグエコノミーや大手テクノロジー企業の極めて悪質な行き過ぎた行為をより一般的に抑制するための方法であると考えているようだ。

協議についてのプレスリリースでは、プラットフォーム業務はEUのさまざまなビジネスセクターで「急速に展開されている」と述べられている。そのため「ハイテクを駆使した『発展』を邪魔することはできない」という冴えない記述がある。

委員会は「従来の労働市場の職に就くことが難しいと感じている人も含めて、柔軟性の向上、雇用機会の増加、副次的収入を提供することができる」と、おそらく「バランスのとれた」結果を求める向きに合せていると思われる、認識されたいくつかのポジティブな面から書き始めている。

「しかし、ある種のプラットフォーム業務は不安定な労働条件を伴い、契約の透明性や予測可能性の欠如、安全衛生上の課題、社会的保護の利用機会が不十分であることとして表面化している。プラットフォーム業務に関するその他の課題には、国境を越えた範囲とアルゴリズムによる管理の問題が含まれる」。

関連記事:英国のUber運転手らがアルゴリズム説明責任をめぐりUberを提訴

また、プラットフォーム業務の普及を加速させていることと、ギグワーカーの「脆弱な状況」に対する社会的な懸念が高まっていることの両方において、新型コロナウイルス感染症のパンデミックが果たす役割についても言及している。「脆弱な状況」のギグワーカーは感染しても、(病欠手当が全額支給されないと)仕事をやめるわけにはいかないので、収入を得るために、自分自身の健康(だけでなく他人の健康)を危険にさらすという選択を迫られるかもしれない。

欧州委員会の報告によると、EUの労働者の約11%(約2400万人)が、すでにプラットフォームを通じてサービスを提供したことがあると答えている。

ベステアー氏は、これらの人々のほとんどは「プラットフォーム業務を単に副次的、あるいはあまり重要でない収入源としているだけ」と言われていることに対して、300万人ほどは本業としてやっていると付け加えた。

そして、欧州でこれらの300万人に給料を払わなければならなかった場合のギグプラットフォームのコストを想像してみて欲しい。

プラットフォーム業務はEUとともにあるべきだとの見解を表明したスピーチの中で、ベステアー氏は、消費者の35%から55%が「今後も宅配を利用するつもりだ」と回答したという最近の調査結果を引用した。

「プラットフォーム経済は急速に成長しています」と同氏は付け加えた。「世界的に見ても、オンライン労働プラットフォーム市場は2年間で30%成長しています。この成長は今後も続くと予想され、プラットフォームを介して働く人の数は、今後数年の間に著しく増加すると考えられています」。

「我々は欧州の価値観を中心に据え、欧州のデジタルの未来をかたち作るために取り組んでいます」と同氏は続け、EUの施策リストにある幾多ものデジタル規制に触れた。幾重もの規制網を使い、欧州委員会が社会的に許容される公正な運用の枠組みにプラットフォームの巨大企業を縛りつけようとしている様子を暗黙のうちに示したのである(ただ、実際にはまだこうしたEU規制は行われていない)。

「12月に提出されたデジタルサービス法案とデジタル市場法案は、テクノロジーが基本的な権利を侵害するリスクがある場合に、消費者としての私たちを保護することを目的としています」と同氏は述べる。「4月には2020年発表した人工知能に関する白書のフォローアップを行い、今後の提案では同様に、市民としての私たちを保護することを目的としています。公平性と欧州の価値観の統合は、夏までに予定しているデジタル税に関する次期提案の推進力となるでしょう」。

「私たちは、デジタルトランスフォーメーションが持つ大きな可能性を社会や経済と調和させようとしています。これらの取り組みはすべて、こうした意欲の現れです」。

カテゴリー:パブリック / ダイバーシティ
タグ:EUギグワーカー

画像クレジット:Jaap Arriens/NurPhoto via Getty Images / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

欧州が推し進める新型コロナ「デジタルパス」に存在する差別や技術的課題の懸念

個人の新型コロナウイルス感染やワクチン接種のステータスを証明する、欧州委員会の汎EU「digital green pass(デジタルグリーンパス)」案についての詳細が現地時間3月17日に示された。明らかに差別のリスクをともなうことから、この計画は人権と市民の自由の観点から論争の的になっている。プライバシーとセキュリティの専門家も、詳細がまだ完全に明らかになっていないデジタルグリーンパスのシステムを支えるテクノロジーアーキテクチャについて疑問視している。

「案はデータ保護と差別に対する保護の要件をまだ満たしていません」とドイツ海賊党の欧州議会議員Patrick Breyer(パトリック・ブレイヤー)氏は同日の声明で述べた。「証明書のデジタル版が中央ワクチンレジスタではなく、本人のデバイスに分散されて保存されることを保証していません」。

EUの新型コロナワクチンパスポート、あるいは「デジタルグリーンパス」と呼んでいるもの、はたまた「デジタル新型コロナ証明書」なるものの意図は所持者が新型コロナワクチンを接種したかどうか、または最近の検査結果が陰性だったかどうか、感染から回復して抗体をもっているかどうかを示すことにある、とEU委員長のUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)氏は3月17日に「共通の手法」のための立案の詳細を明らかにする記者会見で語っている。

「証明書は、それが示す結果(最小限のデータセット)が加盟国で相互に認証されるようにします」と同氏は述べ、このシステムの目的が加盟国の行き来の自由を「安全で責任ある、信頼できる方法で」回復させることにある、と付け加えた。

EU司法長官のDidier Reynders(ディディエ・レンデルス)氏は、意図は全EU市民が無料で証明書を受け取り、他の加盟国に受け入れを求めることができるようにすることだと話した。同氏によると、欧州委員会はパスの使用をほとんど管理しない。共通の手法に関連する特定要件の設定は加盟国に委ねられる。

レンデルス氏は、たとえばEUで使用が承認されていないワクチンを受けた人のワクチン接種ステータスを受け入れることを欧州各国が明示できるとの例を挙げた。しかし同氏は、欧州医薬品庁が承認したワクチンを接種したパス保持者の受け入れを委員会が加盟国に義務づけると述べた。

欧州委員会は「夏前」にこのシステムを利用できるように準備したいと考えているとも同氏は述べた。しかしながら新型コロナのステータスが差別や個人の市民の自由の不当な侵害に使われる明らかなリスクを考えると、本質的に物議を醸す目的のために使われるセンシティブな個人情報を含む複雑でテクニカルなプロジェクトにとって、そのタイムラインは驚くほど野心的なものだ。

デジタル証明書の準備は、欧州委員会が中心的要素を実装・獲得し、システムが意図した通りに機能するよう加盟国が必須のテクニカル的なことを国レベルで実装できるようにするだけでなく、欧州連合理事会と議会が法制化を承認する必要があることを意味する。レンデルス氏によると「おそらく」早ければ2021年6月にもすべてを行う。

このプロジェクトがいかに野心的かを踏まえて、記者会見の出席者が「プランB」はあるかと尋ねると、レンデルス氏は他のプランはないと答えた。加盟国が国境で新型コロナをめぐる一方的な判断をすることを防ぐために、共通の手法を導入して細分化を回避することが唯一のプランだからだ。

それでも、ブレイヤー氏によると現在のところ、案は欧州各国が異なるルールを適用する余地を残している。同氏はまた、たとえば加盟国がワクチン接種の代替要件として検査陰性を受け入れないことを選んだ場合、ワクチン接種に純粋にリンクされている旅行の自由を認めることで差別に繋がりえるとも警告した。「これは改善される必要があります」と同氏は述べた。

「一方で、証明書を提示した後に医療情報の保持が除外されているという事実は歓迎します」と付け加えた。

EUの議員たちはどの加盟国が共通のツールを使うかという突っ込んだ議論は回避したが、デジタルパスは紙とデジタルの両方で提供されると確認した(しかし、繰り返しになるが、ブレイヤー氏は各国が紙という形態を導入しないことを選ぶかもしれず、それによってスマートフォンへのアクセスを持たない人に対する差別につながるのではとの懸念を示した)。

レンデルス氏もまた、デジタルパスは証明書の内容を認証するためのQRコードを有し、それが検証済みかどうかをチェックすると認めた。

ドイツで検討されている欧州委員会のスキームは少なくとも1つの要素が、最近のSpiegelの報道と同じだ。それは、QRコードだけでなくブロックチェーンテクノロジー(IBMとローカル企業Ubirchが落札した)も含む。このテクノロジーはEUのデジタルパス要件との互換性を意図している。

記者会見ではブロックチェーンについて言及はなかった。域内市場委員長のThierry Breton(ティエリー・ブレトン)氏はテクニカルソリューションは「信頼の一部でもある」とだけ述べた。

「だからこそ、我々の認識が一致するよう加盟国と協業しています。我々はまさに同じテクノロジーを共有します」とブレトン氏は続け、次のように付け加えた。「もちろんGDPRを高度なレベルで守ります。我々はデータを交換しませんし、加盟国が今この見方を共有しているというのはいいニュースです。そして、もちろんこれは非常に重要です。というのも、ある国から別の国へと移動するとき、誰もがQRコードだけで自身の証明書の内容とそれが認証されているかを示すことになり、信頼もともないます」。

汎EUシステムがブロックチェーンの要素を含むかどうか、会見後に尋ねられた広報担当は質問をはぐらかし「ゲイトウェーはシグネチャーキーのために国家公共キーダイレクションをリンクさせます」とだけ答えた。

「どこがテクニカル的にこれを実行するのか、まだ伝えることはできません」と付け加えた。

続けて広報担当は2011年にe-Health目的でクロスボーダーデータ共有を促進するためにEU指令によって作られた加盟国代表の自主的なネットワークに言及し「信頼のフレームワーク」は「加盟国が3月12日にeHealth Networkで合意したアウトラインに基づいた」委員会によって開発される、とも述べた。

関連ウェブページでは、委員会は次のように書いている。「eHealth Networkは、デジタルグリーン証明書インフラを確立するのに必要な信頼のフレームワークの概要を公開しました。引き続き、ワクチンと検査、回復の認証の相互承認と相互運用のためのメカニズムを開発します」。

「さらなる作業はEU機関、健康安全委員会、世界保健機構、その他の機関と協業しているeHealth Networkが行います」ともある。

eHealth Networkの「健康証明書の相互運用のための信頼できるフレームワーク」は16ページのPDFとしてここで閲覧できる(2021年3月12日からのv.1.0)。

書面では、いくつかのデザインの選択と意図する結果を協議しているが、選んだテクニカルソリューションの詳細は示しておらず、委員会のすべての作業を終えて2カ月ちょっとで運用できるようにするという目標にもかかわらず、決定はまだなされていないようだ。

観光に大きく頼っている経済への新型コロナの影響を懸念している南欧の国々からの圧力が、ワクチン接種証拠書類の相互承認のための共通アプローチを委員会が急いで展開しようとしている原動力の1つだ。欧州の単一市場の細分化の恐れが委員会にとってさらに大きな促進剤となっている(例えばフランスやドイツなど他の加盟国が旅行する権利をパスにリンクさせることについて懸念を以前表したのは特筆すべきだろう。そのため、欧州各国がどれくらい考えを共有するかは議論の余地があるようだ)。

詳細の多くがまだ明らかになっておらず、さらに疑問なのはデジタルパスを支えるテクニカル的なものがどれくらい信用できるかだ。

eHealth Networkの概要では、たとえば「デザインとデフォルトによるデータセキュリティ」のセクションは、信用できるフレームワークは「セキュリティとプライバシーを確保しつつ、デジタルワクチン証明システムの実装に従ってデータのセキュリティとプライバシーをデザインとデフォルトで保証すべき」と断言している。しかしこれをいかに達成するのかについては説明していない。

「デザインは識別子や他のデータと相互参照されるかもしれない似たようなデータの収集やトラッキングの再使用を防ぐべきです」、さらには「これらの機能を信頼できるフレームワークに組み込むための技術的観点とタイムラインについてはさらなる議論が必要です」と書かれている。

「全体説明」を提供する他のセクションには、EUの信頼のフレームワークが「主に分散される」ようデザインされると記している。ただ「いくつかの中央化の要素」があるとも認めている。具体的には、共通のディレクトリ/ゲートウェイに保存される「信頼のルーツ」と「ガバナンスモデル」で、そうした主要な要素をめぐる信頼に核心となる疑問を提起している。

EUパブリックキーディレクトリについては、ゲートウェイが「欧州委員会のような公共セクター機関によって提供されるべき」とある。しかし明らかにその役割を他の機関が担う余地はまだある。

その他、概要ではオフライン証明は、定期的に認証のパブリックキーを取る専用証明ソフトウェアを組み合わせているデジタル署名を含む2Dバーコードの使用を取り込んでいる。オンライン証明は「 UVCI (Unique Vaccination Certificate/assertion Identifier)に頼ると書かれていて、次の仕様バージョン(V2)で組み込まれる」。

表示フォーマットのセクションでは、2Dバーコードが使われるとある。しかしまた「W3C Verifiable Credentials」が利用される可能性にも触れていて、決定は「後に下される」とだけ書かれている。

欧州委員会のデジタルグリーンパスのテクニカルデザインはオープンさを欠いていると批判的で「W3Cの非中央集権的識別子やVerifiable Credentials(ヴェリファイアブル・クレデンシャルズ)といったあまり知られていない一連の基準」を含む免疫パスポートスキームを批判する論文を2020年出した、CEOで研究科学者のHarry Halpin(ハリー・ハルピン)氏は、欧州委員会が自身の論文で指摘した「ブロックチェーンテクノロジーの問題ある使用」をデジタルグリーンパスに組み込むことを検討している、と懸念する。

同氏はW3Cのヴェリファイアブル・クレデンシャルズの免疫パスポートでの使用はプライバシーとセキュリティの面で危険だと主張する。

「テクノロジー的にいかなるグローバルIDを含むことなくテスト結果を証明する方法はあります」とハルピン氏はTechCrunchに語った。「もしあなたがただ『属性』を持っていると医学的信憑性を証明したければ、つまり過去72時間以内の新型コロナ検査で陰性だった、2020年新型コロナワクチンを接種した、あるいはその他のことを証明したければ、別のIDフォームがあります。属性ベースのクレデンシャルはIDを明らかにすることなく属性を証明します。こうしたユースケースのためのグローバルIDは必要ありません」。

「形而学的には、新型コロナのために私の以前のプライベートな健康データは公開されるべきだが、そうであるならはっきりと言えばいい。ブロックチェーンのナンセンスさの後ろに隠してはいけない」と同氏は付け加えた。

eHealth Networkの概要を議論するとき、セキュリティとプライバシーの研究者Lukasz Olejnik(ルーカス・オレジニク)博士は、誰が信頼のソースとなるのか、そして提案されたデザインに関連するファンクションクリープ(本来の目的以外にも拡大流用されること)のリスクがあるかどうかなど、概要は疑問を提起していると述べた。同氏はワクチンパスポートのプライバシーリスクと広範な影響についても指摘した

「このテクニカル面について書かれた文書は、ユーザーのIDが証明書に組み込まれていることを認めています。これはパスポートがID証明になることを意味します」とTechCrunchに語った。「今日の規制案を考えると、ファンクションクリープのような拡大が、将来こうしたパスポートが実際のID証明になることにならないかという疑念につながります」。

「それ以外にも、eHealthの書類は記述的ですが、将来のソリューションに関して詳細が含まれていません。このシステムでの信頼のソースは関心のある重要な問題です」とオレジニク氏は付け加えた。「我々は詳細についてさらに待たなければならないようです」。

この度の記者会見で、レンデルス氏は他のアングルから将来の拡大のスペクトルを提起した。デジタルパスが「一時的な」手段となる一方で、法制化でシステムがパンデミックの終わりに「棚上げ」され、また別のパンデミックが起こったときなど必要に応じて後に再び活性化される可能性を折り込むかもしれないと述べた。

「我々はWHOがパンデミックの終焉を宣言するときに証明を一時停止する可能性を持っています。ですので、これは新型コロナ専用です」とレンデルス氏は話した。「これは『一時停止』であり、委任行為を通じて、そして欧州議会とともに、もし別のパンデミックが起こったときにこの手段を使うかもしれないということです。しかし基本的に我々は加盟国、欧州議会と一時的なソリューションについて話をしています」。

「それを延長したくはありません」とも付け加えた。「WHOがパンデミックの終わりにあるということができるようになれば、我々はそうした手段を停止します。そしてもちろん、その後の手段の再活用の可能性について考えるだけです。私はそれを望んでいませんが、将来別のパンデミックがあるかどうか次第です。ただそれは専門的な行為であり、常にプロセスには議会が含まれます」。

ファンクションクリープの問題について、レンデルス氏は欧州各国がデジタルパスを、たとえばEU市民の自由な移動を促進するという欧州委員会の目的外での使用を模索するかもしれないと認めた。

しかし同氏は、そうした使用はEU法や基本的権利に則る必要があると強調する一方で、加盟国がマスク着用やすでに特定の状況で行われている迅速検査を求めるのと変わりはないと主張した。

「もし他の使用があれば、課せられているマスクのような他のものをおそらく使うことができるというケースです。また検査、人々が自分で扱うセルフ検査もあります。しかしもし証明書を他の方法で使うことになれば、その使用が見合ったもので、差別的でなく、EU規制に適合していることを確認しなければなりません」と述べた。

「もちろん我々はケースバイケースで状況を確認しますが、証明書と迅速抗原検査やマスクといった他の手段の区別をつける必要があるとは思いません。使用されているツールは他にもあります。他の使用がふさわしいもので、差別的ではなく、明らかに自由な移動のルールに沿うものであると確認する必要があります」。

EUのデジタル新型コロナパスは、2021年1月から議論されている。欧州委員会は1月に「加盟国の証明書が急速に欧州や欧州外のヘルスシステムで使えるものになるよう」1月末までに「適切な信頼のフレームワーク」に同意してもらえるよう働きかけていると述べた。

そして2021年3月初め、欧州委員会がパスを整備する計画があることを発表したとき、国境を超えた安全な移動を今夏促進したいと強調した。とはいえ、第1四半期の欧州のワクチン展開のペースがゆっくりしたものであることを考えると、そうした希望はいま脆いものになっている。

関連記事:EUが安全な旅行を支援する新型コロナワクチン接種・検査状況を表示する「デジタルパス」を準備中

欧州委員会の委員長はまた、一部の加盟国が新型コロナの第3波への移行期にあると警告した。

新型コロナのステータスを認証するデジタルパスでもって全速力で前進するというEU首脳陣の計画は依然として議論の的となっている。少なくとも、欧州でのワクチンへのアクセスはまだかなり限られていて、これはツールが不公平に適用される恐れを強調している。

市民の自由の懸念も「ワクチンパスポート」から切り離すことはできない。そうした懸念は「デジタルパス」と名称を変えて和らげても払拭されない。しかしいま、欧州委員会の共有の手法のためのテクノロジーの選択肢をめぐって新たな疑念もある。それは、システムのアーキテクチャが、EUデジタルグリーンパスは「データ保護、セキュリティ、プライバシーを尊重する」と約束したフォン・デア・ライエン氏のツイート内容に沿うかどうかだ。

EU市民にとって、そうした主張を信じるのに完全な透明性は不可欠だ。

カテゴリー:パブリック / ダイバーシティ
タグ:EU新型コロナウイルス

画像クレジット:Bryce Durbin / TechCrunch/

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

EUが「スタートアップに優しい法案」を加盟国に今週提案、何カ国が署名するのか?

米国時間3月19日の年次Digital Day(デジタル・デー)会議で欧州委員会(EC)は、EU Startup Nations Standard(SNS、EUスタートアップ国家標準)と名づけた「法律文書」を提示する。私の話が退屈で死にそうだと読者が思う前に言っておくと、SNSは「膨大な政治的取り組み」だ。その目的は、スタートアップを作る場所として、欧州連合(EU)を米国などのグローバルリーダーと比べて最も魅力的にすることだ。よって、その影響力を侮ることはできない。

目的は、EU加盟諸国がスタートアップ(その多くがすでにEU内に存在する)のために一連の「ベストプラクティス」政策を施行することであり、内容はスタートアップビザから企業法におけるストックオプションの扱いの改善など多岐にわたる。もし全EU加盟国がECの提案に署名すれば、スタートアップは今よりも有利な条件を得られるようになり、米国(今は英国も)に行くよりもEUに留まることが期待できる。またSNSは、加盟国間で周囲からの圧力が高まることによって、一連の条件が正しく適用されることも意味している。

欧州委員会に近い筋によると、この未公開のSNSは、広範囲に渡り、EU加盟国にいくつかのスタートアップ優遇政策の施行を呼びかけ、EU議長国をポルトガルが務めている期間中に定義される。ポルトガルは最近スタートアップが盛り上がっている国だ。この標準に署名した加盟国は、いくつかの分野で政策を実行することが求められる

関連記事:
新型コロナに対抗する投資家たち、ポルトガル投資家にインタビュー(前編)
新型コロナに対抗する投資家たち、ポルトガル投資家にインタビュー(後編)

私はSNSがリークした草稿を見たが、そこには、最終案に残るとすれば間違いなく大きい提案になるものが複数あった。例えば署名国はストックオプションに関する国のルールを変更し、従業員の持ち株が現金化されるまでは資本利得税の対象にならないことを保証する必要がある。他にも、スタートアップが議決権のないストックオプションを発行できるようにする、手続きを迅速化して新会社を1日以内に100ユーロ(約1万3000円)で設立できるようにする、EU外のテック人材のためのビザ発給を早める、EUのテック人材を呼び戻すインセンティブを与えることなどが盛り込まれている。さらに7500億ユーロ(約97兆7000億円)の復興・回復ファシリティー(RRF)を利用したスタートアップ支援の奨励、官僚的手続きの減少、regulatory sandbox(対象者を限定した規制の一時緩和)もある。これらは多くのEU加盟国にとって、比較的実現が容易なはずだが、一部にとっては越えなくてはならない法の壁があるだろう。しかし、ほとんどの評論家がこれらの条項は機が熟しており必要なものだと述べている。

EU拠点の活動グループは全般的に、SNSを熱狂的に支持している。Allied For Startupsは「この提案の可能性に大きく期待しています」と私に語った。彼らによると、一連の対策は既存のベストプラクティスを集めたものであり、加盟国にさらなる努力と、やるかやらないかしかない「二者択一」(例えばスタートアップをオンラインで1日以内に立ち上げる)を迫るものだ。ただし彼らの望みがすべて叶うかどうかは不明だ。提案が骨抜きにならないか、どれだけの加盟国が署名するのか、彼らは息を殺して待っている。

他にも、大いに期待しているが懸念もあるというグループがある。Index Venturesが支援する政策イニシャティブのNot Optionalは今週、公開書簡を発行した。欧州の多くの有力投資家、スタートアップ団体、起業家が参加しStripe、Personio、Klarna、Wise、Trustpilot、UiPath、Alanなどのファウンダーが名を連ねた。

書簡はEUのStartup Nations Standardを歓迎し、中でも加盟国に対して「ストックオプションのルールを変更し、スタートアップが人材を惹きつけ、テックビザ発行を迅速化」することを推奨している点を高く評価した。

しかし同グループはEU加盟国に対して、勧告は実際の国家法へと変えることが重要であり、ECの法案のままにすることがないよう強く要求している。

Not Optionalは、EU諸国のストックオプション政策に関する独自のランキングを元に、EU加盟国間でこの件の扱いに驚くべき違いがあることを指摘した。例えばラトビア、エストニアおよびフランスが上位にランクされているのに対して、ドイツ、スペイン、ベルギーのファウンダーは社員の動機づけや人材獲得にストックオプションを使おうとすると未だに、障壁がある。

ブリュッセルのEU本部からは熱狂が伝わってくる一方で、私の情報源によると一部の国、たとえばドイツなどはSNSを何らかのかたちで骨抜きにすることを考えているという。具体的には、ドイツは「スタートアップを1日で」法案に怒りをぶつけている。身元確認に時間がかかる、というのが根拠だ。もっとも、つい最近までEU加盟国であった英国が、少なくとも10年間これを可能にしていることを踏まえると、ドイツの反論には無理があると思われる。

現地時間3月19日金曜日の発表に注目だ。

カテゴリー:その他
タグ:EU欧州委員会

画像クレジット:Sean Gladwell / Getty Images

原文へ

(文:Mike Butcher、翻訳:Nob Takahashi / facebook

TikTokが欧州で消費者、子どもの安全、プライバシーに関する訴えを受ける

TikTok(ティックトック)に対し、欧州で新たな訴えが起こっている。欧州ではEU法に関するさまざまな違反を指摘する、消費者団体からの批判が相次いでいる。

欧州消費者機構(BEUC)は欧州委員会とEUの消費者保護当局ネットワークに対し、この動画共有サイトに関する苦情を申し立てた。一方、BEUCが米国時間2月16日に伝えたところによると、15カ国の消費者団体が各国当局に警告を発し、このソーシャルメディア大手の動きを調査するよう促したという。

苦情の内容には、著作権やTikTokの仮想通貨に関する不当な条件への訴え、子どもたちがプラットフォーム上でさらされているコンテンツの種類に関する懸念、誤解を招くデータの取り扱いやプライバシー侵害行為の告発などが含まれている。

申し立てがあった違反については、苦情に関係する2つの報告書に詳細が記載されている。消費者保護の問題に対するTikTokのアプローチに関する報告書と、データ保護およびプライバシーに焦点を当てた報告書だ。

子どもの安全

子どもの安全については、TikTokがプラットフォーム上の隠れ広告や「悪影響を及ぼす恐れがある」コンテンツから子どもや10代の若者を保護できていなかったことが報告書で非難されている。

「アプリ上で広告を出したいと考える企業に対してTikTokが提案する戦略が、隠れ広告急増の一因となっている。例えば、ユーザーはブランドのハッシュタグチャレンジに参加するよう勧められ、チャレンジへの参加後、特定の製品のコンテンツを作成するよう誘導される、といったことがある。ハッシュタグチャレンジは人気のあるインフルエンサーから始まることが多いため、通常ユーザーにはチャレンジの背後にある商業的な意図が見えない。また、TikTokは不適切なコンテンツから子どもたちを保護することに関し、適切な配慮を怠っている可能性がある。画面を少しスクロールしていくだけで性的な内容の動画などが現れることがある」とBEUCはプレスリリースで報告している。

TikTokはすでに2021年、イタリアで10歳の少女が死亡するという事件の後、子どもの安全に対する懸念から同国で規制を受けている 。地元メディアは、TikTokの「失神(ブラックアウト)」チャレンジに参加したこの少女が窒息死したと報じていた。これはイタリアのデータ保護局(DPA)による緊急介入の引き金となった。

関連記事:「失神チャレンジ」による少女死亡事件でTikTokのイタリア当局への対応に注目

この事件後すぐ、TikTokは年齢認証を導入し直し、イタリアのユーザーすべての年齢を確認することに合意した。しかし、この年齢認証では単に日付を入力して年齢を確認するだけで済むため、ユーザーが年齢制限をかいくぐることはたやすいようである。

報告書の中で、消費者権利グループのBEUCはTikTokのおそまつな年齢認証に注意を促し、次のように書いている。「実際には年齢確認プロセスは非常に緩く、単なる自己申告であるため、未成年のユーザーがTikTokに利用登録するのは非常に簡単である」。

またBEUCは、TikTokのサービスは「13歳未満の子どもを対象としていない」ことがプライバシーポリシーに記載されていると指摘する。一方、報告書によると、TikTokのヘビーユーザーに13歳未満の子どもが含まれていることは多くの調査で明らかになっている。BEUCは、TikTokのユーザーベースの「大部分」を子どもが占めているのが実情だと示唆している。

報告書からの引用。

フランスでは、13歳未満の子どものうち45%がTikTokのアプリを利用していることがわかっている。英国では、8歳から15歳の子どもの50%が少なくとも週に1回はTikTokに動画をアップロードしていることが、2020年の放送通信庁(OFCOM)の調査により明らかになった。チェコでは11歳から12歳の子どもたちにTikTokが非常に人気があるということが、2019年の調査でわかった。ノルウェーでは、10歳から11歳の子どもの32%がTikTokを利用していることを、2019年にニュース記事が伝えている。米国では、毎日TikTokを利用するユーザーの3分の1以上が14歳以下であり、多くの動画が13歳未満の子どもによって投稿されているようだと、ニューヨーク・タイムズが明らかにしている。多くの未成年ユーザーがプラットフォームを頻繁に利用しているという事実は、それほど意外なものではない。最近の調査では、子どもたちの大半が携帯電話を所有しており、その平均年齢が徐々に下がってきていることが示されているためである。例えば、英国の子どもの場合は平均すると、7歳になるまでに携帯電話を与えられている。

最近行われたEUが支援した調査によると、人気のソーシャルメディアプラットフォームでの年齢確認は「基本的に効果がない」との結果が出ている。単に年齢をごまかすだけで、どの年齢の子どもでも年齢制限をかいくぐることができてしまうためだ。

利用規約

今回の訴えにより提起されたもう1つの争点は、利用規約による不当な要求に焦点を当てており、これには著作権に関連するものが含まれている。TikTokの利用規約が「ユーザーが公開した動画を無償で使用、配信、複製する取消不能な権利」を自社に付与していると、BEUCは指摘している。

またTikTokが提供する仮想通貨機能についても、消費者の権利という観点から問題があると強調している。

TikTokでは、ユーザーがデジタルコインを購入して、他のユーザーへ贈るバーチャルギフトと交換できる(ギフトを受け取ったユーザーはそのギフトを法定不換紙幣に交換できる)。しかしBEUCは、TikTokの「バーチャルアイテムポリシー」には「不公正な条件と誤解を招く仕組み」が組み込まれていると述べ、TikTokがコインとギフトの交換レートを変更する「絶対的な権利」を保持しているため「都合よく金融取引を歪めてしまう可能性がある」と指摘している。

TikTokはバーチャルコインの購入価格を表示しているが、ギフト(バーチャルコイン)をアプリ内のダイヤモンド(ギフトを受け取るユーザーはダイヤモンドを実際の金銭と交換でき、交換したお金はPayPal(ペイパル)や他のサードパーティーの支払い処理ツールを介して送金される)に還元するために適用されるプロセスについては何ら言及していない。

「コンテンツ提供者が最終的に獲得する金銭報酬の額は曖昧なままである」とBEUCは報告書に記しており、次のように続ける。「TikTokによると、報酬は『ユーザーが獲得したダイヤモンドの数など、さまざまな要素に基づいて』計算される。TikTokは、コンテンツ提供者がダイヤモンドを金銭と交換する際、アプリ側がどれだけの額を得るのかを示していない」。

「一見遊び心のあるTikTokのバーチャルアイテムポリシーは、消費者の権利の観点からすると、非常に問題がある」と報告書は加えている。

関連記事:TikTokが昨年末までAndroidユーザーのMACアドレスを追跡していた

プライバシー

TikTokは、データ保護とプライバシーに関しても、規定がうんざりするほど「わかりにくい」と非難されている。この規定は(ここでも)子どもに関わるものを含んでいる。今回の訴えでTikTokが非難されているのは、どのような個人データがどのような目的で、どのような法的理由に基づいて収集されているのかを、ユーザーに明確に伝えていないことだ。こうした点を開示することはヨーロッパの一般データ保護規則(GDPR)で義務づけられている。

報告書で指摘されているその他の問題点としては、広告用途で処理される個人データのオプトアウト(本人の求めによる提供停止)がないこと(つまりデータ提供に「強制同意」させている、FacebookやGoogleなどの巨大テック企業もこの点で非難されている)、機密性の高い個人データ(GDPRの下では特別に保護される)の取り扱いに関して明示的な同意を得ていないこと、安全性や、設計によるデータ保護がないことなどが挙げられる。

関連記事:GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴

今回の訴えについては、TikTokのEUにおけるデータ保護問題を扱う主管監督当局であるアイルランドのデータ保護委員会(DPC)にコメントを求めており、返答があれば本レポートを更新する。

【更新】DPCによると、これまでのところ新たな苦情の訴えはないとのことだ。また「我々はGarante(ガランテ、イタリアのデータ保護機関)と協力してTikTokが行った措置を再検討し、同社が取り扱う未成年者の個人データを保護することに努めている」と付け加えている。

フランスのデータ保護機関であるCNILは、TikTokが同社のEU担当の法的基盤をアイルランドに移行するのに先立ち、2020年すでにTikTokに関する調査を開始している。TikTokが法的基盤をアイルランドに移した後は、GDPRのワンストップショップメカニズム(1国のデータ保護機関から承認を得れば他国の当局からの承認は不要となる制度)により、データ保護に関する苦情はアイルランドのDPCに申し立てる必要がある。規制が未実施の苦情に関しても今後はアイルランドのDPCが扱うことになる)。

関連記事:TikTokのユーザーデータ取り扱いについてフランスの監視当局が調査開始

データ保護に関する苦情を訴えるため、TikTokのプライバシーポリシーの法的分析を行ったポスドク研究員のJef Ausloos(ジェフ・オースルース)氏がTechCrunchの調査員に語ったところによると、1年前(TikTokに年齢確認がまったくなかった時期)、データ保護に関する苦情を提出しようとしていたところ、突然、同社の運営方針に大きな変更が加えられたということだ。

オースルース氏は、このような突然の大きな変更は、データ搾取行為に対する規制当局の調査を逃れるための意図的な戦術であると指摘している。「常に変更がある」ということは、規制執行の根拠を示すために行われている調査作業を脱線させたり、振り出しに戻したりする効果があるからである。また、資金や人員に限りのある規制当局は「事後」(運営方針の変更があった場合)に、企業を提訴することを躊躇する可能性があると指摘している。

違法行為は繰り返されることによって、規制執行を免れさせる可能性があるということだ。

また企業が、自社のプラットフォームに関連してビジネス上の特定の手法に対する非難を受ける(または要請を受ける)旅に、自社の運営方針には変更が適用されたと主張するのは、ありふれたことである。規制執行や実際の法的裁定の影響を抑える防御策として、運営方針への変更を利用するのだ。「変更を迅速に適用し、規制による説明責任を逃れようとする」のである。

オースルース氏によると、TikTokに対する証拠書類の作成は2年間にも及んだものの、告訴人たちは、各国のDPAがTikTokを立件する上でこの証拠書類が役立てば良いと願っているとのことだ。

BEUCのMonique Goyens(モニーク・ゴイェンズ)事務局長は声明で今回の訴えについて次のようにコメントしている。「わずか数年で、TikTokはヨーロッパ全体で何百万人ものユーザーを持つ、最も人気のあるソーシャルメディアアプリの1つになりました。しかし、TikTokは大勢のユーザーの権利を侵害し、期待を裏切っています。我々は消費者の権利侵害があることを認め、TikTokを提訴しました」。

「子どもたちはTikTokが大好きですが、同社はその子どもたちをきちんと保護できていません。我々は、同社のアプリを利用する子どもたちが拡散された隠れ広告にさらされ、知らず知らずのうちに広告塔のようなものにさせられることを望みません」。

「我々の関係者、欧州全域の消費者団体とともに、迅速な措置を取るよう当局に強く求めます。消費者、特に子どもたちが権利を侵害されることなくTikTokを利用できるよう、当局は今、行動を起こさなければなりません」。

TikTokの広報担当者は今回の訴えについてコメントを求められ、次のように語った。

弊社は、コミュニティの安全、特に若いユーザーの安全を確保し、ビジネスを展開する上で従うべき法律を遵守するという責任を非常に真剣に受け止めています。私たちは日々、コミュニティを守るために努力しています。そのために、16歳未満のユーザーのアカウントをすべてデフォルトで非公開に設定するなど、さまざまな重要措置を講じてきました。また、アプリ内で確認できるプライバシーポリシーの概要も作成しました。この概要は、10代の方でも弊社のプライバシーへの取り組みを理解できるよう平易な語句と文章でまとめられています。私たちはいつでも進んで改善案を受け入れていますし、BEUCとの話し合いを持ち、彼らの懸念に耳を傾けるべく、コンタクトを取っています。

【更新】欧州委員会の広報担当者は、BEUCから警告を受け取ったことを認めた。

「消費者の権利は、オンラインでもオフラインでも同じようにしっかり保護されなければなりません。欧州委員会は、2020年末に発表した『新消費者アジェンダ』でもこのことを再確認しました」と広報担当者は述べ、さらに次のように付け加えた。「同委員会は、BEUCが各国の消費者当局とともに提出した詳細をすべて、今後数週間で慎重に検討し、この問題についてさらに調査が必要であるかどうかを見極めます」。

カテゴリー:ネットサービス
タグ:TikTokEUBEUC

画像クレジット:NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

世界的テック企業とやり合うEUの主任データ監督者は未だにLotus Notesを使っているという驚きの事実

Apple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、TikTok(ティックトック)、Twitter(ツイッター)など、EU経済圏に存在する多数のテック大手を担当する主任データ監督者が、EUの重要規制である一般データ保護規則(GDPR)に基づいて申し立てられた苦情や調査の管理に今でもLotus Notes(ロータスノーツ)を使っていることが、Irish Council for Civil Liberties(ICCL)によって行われた情報公開請求によって判明した。

アイルランドのデータ保護委員会(Data Protection Commission:DPC)の2016年の年次報告書には、GDPR(およびePrivacy)の準備段階における主な目標の1つとして「新しいウェブサイトとケース管理システムの実装」をGDPRが施行される2018年5月までに完了することと記載されている。ところが、ICCLの情報公開申請に対する回答によると、5年近く経過した今でも、この情報通信技術のアップグレードプロジェクトは完了していないという。

アイルランドのデータ保護委員会スタッフは、世界最大手のテック企業に対する調査でLotus Notesを使用している。ICCL @ICCLtweetの調査により、@DPCIrelandがGDPRを執行できるようにするための情報通信技術の全面的な見直しが数年遅れていることが判明した。

内部文書(現在は公開されている)によるとプロジェクトの締め切り遅れは何度も繰り返され、2020年の10月までには、DPCの情報通信技術のアップグレード費用は当初の予定の2倍以上、少なくとも61万5121ユーロ(約7890万円)にまで膨らんでしまった(この数字には2016年以降のプロジェクトの人件費は含まれていない。また、アイルランド政府の司法省で生まれた時代遅れのLotus Notesシステムの保守費用も含まれていない)。

欧州の大半のテック大手を担当する主任データ監督者が、このような「前世代」のソフトウェアを使用して申し立てを処理しているという事実が判明したことで、DPCはかなり恥ずかしい思いをしているが、それだけではない。DPCの上層部の能力も疑問視されている。

DPCはテック大手に対する規制執行のペースが遅いという批判を浴び続けているが、それとGDPRのワンストップショップメカニズム(1国のデータ保護機関から承認を得れば他国の当局からの承認は不要となる制度)が相まって、膨大な数の未処理ケースが溜まっており、それがGDPRの弱点になっている(この点は欧州委員会も認めている)。そのため、自身の情報通信技術システムのテコ入れに時間がかかり過ぎているという事実が判明したことにより、規制当局が目的を果たしていないという批判はいっそう強くなるだろう。

問題はそれだけに留まらない。大半のテック大手は人々のデータから莫大な利益を獲得し、その利益で大勢の社内弁護士を雇い、規制介入されるリスクから自身を保護している。そうしたテック大手と、適切な最新ツールもなしにユーザーの権利を保護するという責務を課された、ちっぽけな資金不足の公的機関の間には、資金的にも技術専門知識という点でも大きな開きがある。

アイルランドのDPCの場合、内部の情報通信技術の全面改革にどれくらいの時間を要するかによって、リソースの管理状況に注目が集まる。2015年あたりから、GDPRの施行に合わせてDPCに割り当てられるリソースが増え、予算と人員が補強されている状況ではなおさらだ。

ICCLはアイルランド政府に対し、検査官の2人増員を検討するよう要請している。現在の検査官は、2014年に就任したHelen Dixon(ヘレン・ディクソン)氏1人だけだ。

ちなみに、アイルランドの法律では検査官を3人まで任命できる。

「FacebookとGoogleが我々ユーザーについて知っている情報を乱用しないよう監視する役割を担っている人たちが、あまりに時代遅れのシステムを使用しているので、前スタッフの1人が『そろばんを使って給与支払い処理をやろうとしているようなものだ』と言っていた」と、ICCLのシニアフェローJohnny Ryan(ジョニー・ライアン)博士はTechCrunchの取材に答えて語った。

「DPCは、テック大手の監視という使命を遂行する体制が整っていない」と同氏は指摘する。「今回の調査結果から、DPCは、自組織内の極めて重要なテクノロジープロジェクトさえ実施できていないという事実が明らかになった。そのような組織が、世界最大手のテック企業によるユーザーデータの使用を監視することなどできるだろうか。これはDPCだけでなくアイルランド政府についても深刻な問題を提起している。我々はアイルランド政府に対してGDPRを実施できない場合の戦略的経済リスクについて警告した」。

DPCにコメントを求めたところ「ケース管理システムは機能しており、目的に適ったものだ。このシステムは過去数年にわたって新しい機能(統計や管理レポートの生成機能など)が追加され最適化されてきた」という回答があった。

だが、このシステムは「時代遅れ」で「機能的にも制限されている」ため、新しいDPCウェブサイト、ウェブフォーム、およびEUデータ保護機関とのIMI(情報システム管理)共有プラットフォームに組み込んで使えるようにするため、どの程度まで改良できるかという点については、DPCも簡単ではないと認めている。何しろ、このシステムはLotus Notesのテクノロジーをベースにしているのだ。

「システムの仕様とコアモジュールの構築についてはかなりの作業が終わっている」と副長官のGraham Doyle(グラハム・ドイル)氏はいう。「一部遅れが生じているのは、セキュリティとインフラストラクチャ要素の仕様が更新されたためだ。他にも、DPCからの要請を受けて、EU各国のDPA(データ保護機関)の間における最終判定プロセスの相違の解消に必要な時間を考慮し、作業を意図的に遅らせている要素もある。そうしたプロセスには、GDPRの第60条に述べられている、異なる監督機関の間における協力と一貫性に関するメカニズムに関連したものなども該当する」。

「EDPB(欧州データ保護会議)はGDPRの第60条の運用化、さらには第65条に基づく紛争解決の仕組みの運用化に関する内部ガイダンスの作成に取りかかったばかりだ。これらは、EU各国のDPA間をまたいだ作業の重要な部分であり、システム間のハンドオフ(受け渡し)が必要になる。また、EUは当初の採択予定からほぼ3年経過しても、新しいePrivacy法をまだ採択していない。さらに、DPCは、EU各国のDPAと協力して、GDPRの手続き面と運用面の詳細な実施方法について検討を進めている段階であり、未解決事項もまだ残っている」。

ドイル氏は次のように付け加えた。「新しいケース管理システムに対する投資も継続中だ。新しいシステムの『初期コアモジュール』を2021年の第2四半期にはリリースしたいというのがDPCの意向だ」。

今までのところ、アイルランドのDPCが国境を越えたGDPR申し立てに対して下した判定は、Twitterが2019年1月に公表したセキュリティ侵害について、2020年の12月、同社に55万ドル(約5790万円)の罰金を課した1件だけだ。

このTwitterのケースは、最初の規制執行を巡ってアイルランドと他のEU諸国のDPAとで意見の相違があったため、決定プロセスが数カ月延びることになり、DPCが提示した罰金は最終的に、多数決により最大で数千ユーロ増額されることになった。

このケースへの対応は決して順風満帆ではなかったが、Facebookによる国境越えデータ転送に関する別の(2013年の)申し立て(Schrems II)の審理に、GDPRの施行前から始まって7年以上を要していることを考えると、比較的短期間で解決に至ったといえる。

Facebookの件では、DPCは、Facebookが標準契約条項(Standard contractual clauses:SCC)を根拠に、自らのデータ転送が合法だと主張する申し立てに対して判断を下すのではなく、データ転送のメカニズム自体の合法性を疑問視して法廷で争う選択をした。この件はその後、欧州司法裁判所に送られ、EU最高裁は最終的に、EUと米国間で締結された重要なデータ転送協定を無効とする判断を下した。

法廷での争いに持ち込んだ結果、EUと米国間で締結されたPrivacy Shield(米国への個人データの越境移転を認める法的枠組み)は無効とされたものの、DPCはFacebookによるEUからのデータ転送に関する問題から手を引いたわけではない。2020年9月、DPCは予備一時停止命令を発行した。これに対しFacebookは司法審査を介して即刻控訴した(この審理は一時停止されている)。

2020年、DPCは自身のプロセスに対する司法審査(Facebookに対する告訴人、Max Schrems[マックス・シュレムズ]氏が申し立てたもの)に対して示談に応じ、Facebookに対する申し立てを迅速に決着させることに同意した。判定はまだ数カ月先だが、いよいよ2021年中には最終判定が下されるはずだ。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

DPCは規制執行が遅いという非難に対して、法的な異議申し立てに対抗できるように適正な手続きを踏む必要があるとして自己弁護を図っている。

しかし、DPCに対する批判が続く中、自組織の重要な内部情報通信技術のアップグレードが、最優先事項であると明言してから5年近くもダラダラと長引いているという事実が判明するようでは、批判者を黙らせることなど到底できない。

先週、欧州議会の人権委員会はアイルランドに対して「GDPRを適切に執行していない」とする侵害訴訟を開始するようDPCに要請するドラフト動議を発行した。

同ドラフトには、GDPRは2018年5月に施行されているにもかかわらず、GDPR違反だとする多数の申し立てに対してアイルランドDPCは未だに決定を下していないとする「深い懸念」が記されている。

LIBE委員会は、Facebookによるデータ転送に関するケースSchrems IIを取り上げ「アイルランドデータ保護委員会はGDPR第58条に従って自らの権限の範囲内で申し立てに対する決定を下すことが本分である。しかし、このケースは同委員会自らによって開始された」ことを懸念していると書いている。

また、EU全般のプラットフォーム規制(デジタルサービス法とデジタルマーケット法)を更新する同委員会の最新の計画で、強制執行のボトルネックを回避する提案がされていることも注目に値する。具体的には、1つの加盟国の規制当局が要因で、欧州市民全体のデータ権利が国境を越えて執行できなくなるというリスクを避けるために(これはGDPRで実際に起こり続けていることだが)、テック最大手のプラットフォームに対する重大な規制執行はDPCの組織内で処理すべきだとほのめかしている。

もう1つ、アイルランドDPCには情報公開法が全面適用されず「DPCの一般管理」に関する記録についてのみ適用されるという奇妙な規定もある。つまり「監督、規制、専門家による助言、申し立て処理、調査といった各職務については(ケースファイルも含め)同法に基づく公開要請の対象から除外される」(DPCのウェブサイトより抜粋)ということだ。

2020年TechCrunchが実施した情報公開要請(DPCがGDPRの権限を行使してデータ処理の一時的または完全な禁止を課した回数を尋ねたもの)は、この奇妙な規定に基づいて規制当局により拒否された。

DPCによると、侵害を行っている企業に対して個人データの処理を中止するよう指示したことがあるかという問い合わせに対する回答を拒否したのは、情報公開法が部分的にしか適用されないという理由からだという。DPCは次のように述べている。「一般管理とは情報公開対象組織の管理に関係する記録、具体的には人事、給与、採用、アカウント、情報技術、設備、内部組織、事務手続きなどに関する記録を指す」。

しかし、たとえアイルランドの情報公開法によってDPCの活動の詳細な調査が禁止されていても、同規制当局の規制執行の記録がすべてを物語っている。

関連記事:GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念

カテゴリー:その他
タグ:EUGDPRSNSソーシャルメディア

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

英競争当局がアップルのApp Store独禁法調査を開始

Apple(アップル)はiOS App Storeについて欧州で新たな独占禁止法の調査に直面している。

英国の競争・市場庁(CMA)は現地時間3月4日、デジタル部門での不平等な条件とその結果についてデベロッパーからの数多くの苦情を受けて調査を開始した、と発表した

「CMAの調査は、Appleが英国においてAppleデバイスでのアプリ配信で支配的な地位にあったかどうかを考慮します。もしそうであるなら、Appleが不公正あるいは反競争の条件をApp Storeを使っているデベロッパーに課し、結果的にユーザーが選択肢を失ったりアプリやアドオンに高い料金を払うことになったのかが焦点となります」とプレスリリースで述べられている。

「これは調査の始まりに過ぎず、Appleが違反しているかどうかまだ決定は下されていません」と付け加えた。

声明の中で、CMAのトップAndrea Coscelli(アンドリア・コシェリ)氏は次のように述べた。「何百万という人が天気をチェックしたり、ゲームしたりあるいは持ち帰りを注文したりと毎日アプリを利用しています。Appleが不公正だったり競争や選択を阻害するような条件を課すのに市場での地位を使っているという苦情について、これは結果として顧客がアプリを購入したり使ったるする際に不利益を被っているかもしれず、注意深く精査します」。

Appleの広報担当は、CMAの調査開始に対し次のような声明をTechCrunchに出している。

当社は顧客が好きなアプリをダウンロードできる、そしてデベロッパーがすばらしい事業機会を得られる、安全で信頼できる場所としてApp Storeを作りました。英国だけでもiOSアプリの経済は数十万人の雇用を支えており、すばらしいアイデアを持っているデベロッパーは世界中のAppleの顧客にリーチできます。

あらゆるすばらしいアイデアが溢れている、活気があり競争が展開されているマーケットを当社は信じています。App Storeはアプリデベロッパーにとって成功のエンジンであり続けました。これは部分的には顧客をマルウェアから守り、同意なしの顧客データ収集の横行を防ぐために当社が定めている厳格な基準によるものです。基準はすべてのデベロッパーに公正平等に適用されます。当社のプライバシー、セキュリティ、コンテンツに関するガイドラインがいかにApp Storeを消費者とデベロッパーの両方にとって信頼できるマーケットプレイスにしてきたかを説明するために、英国の競争・市場庁に協力することを楽しみにしております。

EUは音楽ストリーミングサービスSpotify(スポティファイ)による2019年の苦情申し立てを受けて、すでにAppleの事業の多くの要素について独禁法調査を行っている。EUは2020年夏にApp StoreとApple Payについての調査を発表していた。

米国の議員もまたテック大企業に対する主要な独禁法調査の一環としてAppleを問いただしてきた。アリゾナ州ではちょうど、AppleとGoogle(グーグル)にそれぞれのスマホストアでサードパーティの決済オプションを認めることを強制する目的の法案に進展があった

一方、EUのAppleに対する調査はまだ継続中だ。ビデオゲーム開発のEpic Games(エピックゲームズ)は、Appleがデベロッパーに課している不平等な「税」と呼ぶものについてAppleと激しい論争を展開してきたが、2020年2月に欧州委員会に苦情を申し立ててEUの調査に加わろうとした。

関連記事:フォートナイトのEpic Games創設者、Appleとの闘争を公民権運動に例えて語る

Epicは以前、同様の苦情を英国でも申し立てた。なので同社はCMAが引用した不満のあるデベロッパーの1社だ。

英国はEUから離脱したことから、CMAは英国の当局として重要な役割を担うようだ。ブレグジット後、コミッションとして同じ問題を自由に調査できる(一方、EUの規則では各国の当局は重複を避けることが求められる)。

英国がEUの当局よりすばやく動くことができれば、テック大企業に適用する基準を形成する機会を得るかもしれない(CMAは3月4日「グローバルな懸念」と表現したものに取り組むためにEUや他の当局と「引き続き緊密に連携を取る」と述べた)。

また英国は2020年秋に、テック大企業のマーケット支配力に取り組むことを目的とする、競争促進の規制体制を確立する計画を発表した。これはCMAが実施したオンラインプラットフォームとデジタル広告についての主要な市場調査を受けてのものだ。CMAは2020年12月に規制体制の確立を政府に提言している

「現在の執行力を補うことになる提言についてCMAは政府と協業している一方で、こうした分野における競争を保護するために既存の力を引き続きフル活用します」とCMAは述べた。

「我々の継続中のデジタルマーケット調査ではすでに懸念すべきトレンドがいくつか見つかっています」とコシェリ氏は付け加えた。「もしテック大企業による反競争のプラクティスが野放しにされれば、事業者そして消費者が実害に苦しむことになります。だからこそ、我々は新たな機関Digital Markets Unitを設置し、必要に応じた新たな調査の立ち上げで前進しています」。

テック大企業を狙った最近の他の動きでは、CMAはGoogleのサードパーティ追跡のクッキーを廃止する計画について調査を開始した。またUberが予定している英国拠点のSaaSメーカーAutocabの買収についても調査を始めた。

関連記事:UberのAutocab買収を英国の競争監視当局が調査

CMAは2020年のオンライン広告マーケットについての最終レポートの中で、GoogleとFacebook(フェイスブック)のマーケット支配力はあまりにも大きく「広範で自己強化」の懸念と要約したものを解決するために、新しい規制アプローチと専従の監視機関が必要との結論を出した。間もなく立ち上がるDigital Markets Unitはテック大企業に対する英国の当局対応の主要部分を担う。

カテゴリー:ネットサービス
タグ:Appleイギリス独占禁止法App StoreEU

画像クレジット:Bryce Durbin

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

欧州司法裁判所で異議申立てされた「オーウェル的」AIうそ発見器プロジェクト

EU出資の研究プロジェクトが議論の的になっている。そしてこのプロジェクトに関して2021年2月初旬、欧州司法裁判所で法的な異議申し立てが行われた。プロジェクトの目的はというと、顔の表情に基づく「うそ発見」に人工知能を使用して入国審査をスピードアップすることである。

欧州連合(EU)の資金調達プログラムを監督する研究執行機関(REA)に対して行われた透明性に関する訴訟は、2019年3月にドイツ海賊党の欧州議会議員で人権擁護活動家のPatrick Breyer(パトリック・ブレイヤー)氏が起こしたものである。同氏は以前にも文書の開示拒否をめぐって欧州委員会に勝訴している。

同氏はこのプロジェクトの倫理的評価、法的許容性、マーケティング、および成果に関する文書の公開を求めている。さらに、公的資金を投入した研究はEUの基本的権利を遵守しなければならないという原則を規定し、その過程でAIの「まやかし」により公的資金が浪費されることを阻止したいと考えている。

この度の公聴会に続く声明でブレイヤー氏は「EUは危険な監視、統制技術を開発させ続けており、将来的には兵器研究にも資金を提供することになるでしょう。私的な利益のために公的資金が使われている非倫理的な研究に対し、公的な監査と議論を可能にする画期的な判決を期待しています」と述べた。「納税者や科学者、メディア、議会議員には、公的資金に基づく研究に関する情報を取得する権利があることを、今回の透明性に関する訴訟で裁判所にきっぱりと裁定してもらいたいと思っています。『iBorderCtrl(アイボーダーコントロール)のビデオうそ発見器』のような疑似科学的でオーウェル的(権威主義や監視社会を表す表現)な技術についてはなおさらです」。

裁判所はまだこの件について判決日を指定していないが、裁判官からREAに対し「1時間以上にわたって集中的かつ批判的な」質問があったとブレイヤー氏は述べた。また同氏が明らかにしたところによると、関連するAI技術についての文書は、公開はされていないが裁判官によりその内容が検討されている。この文書には「人種的特徴」に関する記述なども含まれ、多くの疑問が投げかけられているということだ。

ブレイヤー氏によると、裁判長は続けて、物議を醸しているiBorderCtrlプロジェクトについて、より多くの情報を公開しREAに隠蔽するものが何もないと証明することは、同機関の益にもなるのではないかと問いただしたという。

AI「うそ発見器」

問題の研究が議論の的となっているのは、正確なうそ発見器という概念はいまだサイエンスフィクションの域を出ず、人がうそをついてることを示す「すべての人に共通の心理学的サイン」の存在は立証されていない、という正当な理由からである。

しかし、このAIを駆使したビデオうそ発見器(ウェブカメラで被験者の顔の表情をスキャンしながら、バーチャル入国審査官からの質問に答えるように求め、欧州理事会(EC)のプロジェクト公式概要で「嘘のバイオマーカー」と表現されているものを検出することで、被験者の表情の真実性をスコア化するというもの(本当にこういう仕様なのである)を構築するための商業研究開発の「実験」は、EUのHorizon 2020(ホライゾン2020)計画の下で450万ユーロ(約5億7000万円)以上の研究資金を獲得している。

iBorderCtrlプロジェクトは2016年9月から2019年8月までの間に実施され、資金調達は多くの加盟国(英国、ポーランド、ギリシャ、ハンガリーなど)において13の民間または営利団体の間で広く行われた。

欧州委員会が2020年公表するとしていた公開調査報告書であるが、透明性の欠如に異議を唱えるブレイヤー氏の質問に対する書面での回答によると、まだ公開されていないようだ。

2019年、米国のインターネットメディアであるThe Intercept(インターセプト)が、iBorderCtrlのシステムを実際にテストした。このビデオうそ発見器は被験した記者に嘘をついているという無実の罪を着せた。彼女が16の質問のうち4つに、虚偽の回答をしたと判断し、総合スコア48という数字を与えたのだ。この結果をチェックした警察官によると、この記者は追加チェックの対象になるとシステムにより判断を下されたという。もちろん、このシステムが実際の入国審査で稼働されたわけではなかったので、再チェックになることはなかったのだが。

The Interceptはこの記者に対するテスト結果のコピーを入手するため、EU法により定められた権利であるデータアクセス要求を提出する必要があったと述べた。The Interceptはレポートで、ダービー大学の犯罪捜査学教授であるRay Bull(レイ・ブル)氏の言葉を引用している。同氏はiBorderCtrlプロジェクトには「信憑性がない」と述べ、人の顔のマイクロジェスチャーをモニタリングすることで嘘を正確に測定できるという十分な証拠はない、という理由を挙げている。

「REAはこのうそ発見器に実質的効果があると都合のよい解釈をし、多くの資金を浪費しています。この技術の根底には、真実を述べている人と、うそをついている人の振る舞いについて、根本的な誤解があります」ブル氏はこのようにも語っている。

十分なデータを入力するだけでAIが人間の特徴を自動予測できるという考えは、とても広く浸透している。とても嘆かわしいことだ。機械学習を応用して顔の形から「人格的特徴」を導き出すことで骨相学を復活させようとする最近の試みからも、そのことは明らかだ。こうして、顔をスキャンするAI「うそ発見器」は、非科学的な「伝統」に従っているのだ。そうした恥ずべき伝統は長い間はびこっている。

21世紀になって、何百万ユーロ(何億円)もの公的資金が粗悪な、古いアイデアの焼き直しにつぎ込まれているのは、率直にいって信じ難いことだ。こうした公的資金の無駄遣いは、EUが資金協力するこのうそ発見器の研究に内在する倫理的・法的な盲点について検討しようとする以前の問題だ。またこの研究は、EU憲章に定められた基本的権利に反している。そして、この研究が開始されるに至るうえで誤った判断が多く下されたことを考えると、とても情けない気持ちになる。

このような怪しげなAIの応用システムに資金を提供することは、データ駆動型テクノロジーが偏見や差別を広げるリスクを抱えていることを示す、過去の優れた研究をすべて無視しているようにも見える。

ただし、このAI応用実験における倫理的側面への配慮について、iBorderCtrlを支援するコンソーシアムが下した評価については、非常に限られた情報しか公開されていないため、確かなことはわからない。この倫理的側面への配慮というのは、ビデオうそ発見器に対する訴状の中核となる部分だ。

ルクセンブルクにある欧州司法裁判所での異議申し立ては、欧州委員会にとって非常に厄介な疑問を提起している。EUは疑似科学的な「研究」に公的資金を投入すべきなのか?本当の科学に資金を提供するべきではないか?そして、EUの珠玉となる主力研究プログラムが、なぜこれほどまでに公的な監視を受けていないのか?といった疑問である。

一方で、このビデオうそ発見器がEUの「倫理的自己評価」プロセスをパスしたという事実から「倫理面の問題がないかチェックする」とされているこのプロセスが、まがい物であることがうかがい知れる。

「研究開発の申請を受け入れるかどうかは、まず加盟国の代表者が判断を下し、最終的にはREAが決定します。したがって公的な監視がなく、議会やNGOは関与していません。そういったプロジェクトのすべてを審査する、独立した倫理団体もありません。研究開発に関連した全体的な仕組みは、非常にお粗末なものなのです」とブレイヤー氏は語る。

「この研究開発の目的は科学に貢献することでも、公共の利益に寄与することでも、EUの政策に貢献することでもなく、産業を支援することであり、つまり販売できる製品を開発することであるというのがREAの基本的な主張です。成り立ちからして、これはまさに経済支援プログラムなのです。そしてこうしたプログラムのあり方の是非、プログラムの妥当性の有無について私たちは議論すべきだと思っています」。

「EUはAIを規制しようとしていますが、実際のところ、非倫理的で違法な技術に資金を提供しているのです」と同氏は付け加えた。

外部からの倫理的監視がない

EUが自らの定める権利に反するような研究に資金を提供することは、偽善である。さらに、批判者たちが主張するように、本当に有用な研究(安全保障目的の研究、もっと広く見れば公共利益に寄与する研究、EUの議員が好んで言及する「欧州的価値観」を促進する研究など)に費やされるべき公的資金の無駄遣いであるといえる。

「この研究は正常に機能しない、非倫理的である、違法であるといった理由からまったく活用されることがない上に、本当に重要で有用な他のプログラムに使われるべき資金を浪費しています。こうした点について私たちは知り、理解する必要があります」とブレイヤー氏は主張する。

「例えば保安対策プログラムに投資して警察官の安全装備を改良できるかもしれません。あるいは犯罪防止対策として国民への情報提供システムを改善できるかもしれません。つまり資金を適切に利用すれば、多くのことに貢献できるのです。怪しげな技術に資金が無駄遣いされるようなことがあってはならないのです。AI「うそ発見器」に類する技術が決して実用化されないよう祈るばかりです」。

EUの主力研究およびイノベーションプログラムの今回の具体化は、Horizon 2020を引き継いでおり、これには2021年から2027年の期間で約955億ユーロ(約12兆円1700万円)の予算が計上されている。またデジタルトランスフォーメーションの推進とAIの開発は、EUが 公表している研究資金投入の優先事項にあたる。そのため「実験的」AIに利用できる資金は莫大にあると考えられる。

しかし、アルゴリズムによるまやかしに資金が浪費されないよう監視するのは誰なのか。研究開発がEUの基本的人権に関する憲章に明らかに反している場合、このアルゴリズムによるまやかしは危険なものになるのだ。

欧州委員会は、これらの問題に関する説明を求める再三の要請を拒否したが、公になっている項目(下記)と、文書へのアクセス(これが訴状の中核なす)に関する背景情報をいくつか発表した。

「研究における倫理」に関する同委員会の公式声明は「EUが資金提供する研究においては倫理が最優先される」という主張から始まる。

「Horizon 2020の下で行われるすべての研究やイノベーション活動は、倫理的原則、および基本権憲章や欧州人権条約を含む関連する国内法、EU法、国際法を遵守しなければならない」とも述べ、さらにこう続く。「すべての計画は特定の倫理評価を受ける。この評価により、その研究プロジェクトが倫理的規則および基準を遵守しているかどうかが検証され、その遵守を契約により義務づけられる」。

この声明は尊厳やプライバシー、平等、無差別の権利といったEUの基本権を「ビデオうそ発見器」が遵守することができるのかという点について、詳しく述べてはいない。

そして注目すべきは、欧州データ保護監督官(EDPS)が、EUの資金提供する科学研究とデータ保護法との間のズレについて懸念を表明したことだ。2020年の予備的意見書にはこう書かれている。「我々は、データ保護当局と倫理審査委員会が活発な議論を行い、共通理解を深めることを提言する。議論すべき内容には次のものが含まれる。真正な研究に該当する活動を判定する基準、科学研究を対象とするEUの行動規範、EUのフレームワークプログラム(EU加盟国および関連国を対象とした研究助成プログラム)とデータ保護基準との緊密な連携、民間企業が保有するデータを研究者が公共の利益という観点に基づいて活用できる状況を定義するための話し合いの開始、といったことである」。

とりわけiBorderCtrlプロジェクトについては、研究において倫理的側面が関係する部分を「研究開始当初に定められた倫理要件を遵守」しながら進めていけるよう監督する倫理アドバイザーを任命した、と欧州委員会はTechCrunchに語った。「アドバイザーについては、コンソーシアムからの自律性と独立性を確保しながらその職務を果たす」と主張しているが、プロジェクトの(自薦の)倫理アドバイザーが誰であるのかについては明らかにしなかった。

「倫理的な部分については、プロジェクトの遂行中、同委員会やREAが常に管理し、成果物を適宜改正している。報告期間の終わりに行われる技術審査会議では、外部の独立した専門家の協力を得て慎重に分析を行っており、2019年3月に十分な倫理チェックが行われた」と記載されている。

この自主規制的な「倫理チェック」についての詳細は明らかにされなかった。

「これまでのところ、基本的に倫理チェックは欧州委員会が、提案や要請に応じて設置した専門家グループにより行われています」とブレイヤー氏は言い、EUの研究プログラムの構成に言及している。「研究プログラムは業界の専門家が大半を占めており、議会議員は1人もおらず、市民社会の代表者は、私が考えるところでは1人しかいません。つまりそもそも最初から構成が間違っているのです。それから研究執行機関(REA)があり、実際の決定はEU加盟国の代表者によって行われます」。

「研究提案を奨励する動き自体は調べてみると非常に一般的なもので、問題はないようです。本当の問題は提出された研究提案の方なのです。そして私が理解している限り、こういった提案は独立した専門家によって審査されていません。つまり、倫理の問題に自己評価で対処しているのです。プロジェクトに高い倫理的リスクがあるかどうかは、基本的に研究の提案者が申告することになっています。提案者が倫理的リスクがあると申告した場合のみ、REAによって選出された専門家が倫理評価を行います」。

「我々には誰の研究提案が採用されたのかも、その研究の内容もわかりません。そうした情報は非公開なのです。後になってプロジェクトに倫理的な問題があることがわかったとしても、資金援助を取り消すことはできません」。

欧州委員会がAIの応用に関してリスクベースの規定を策定中であることから、偽善を暴こうとするブレイヤー氏による告発は大きな注目を集めている。またEUの議員たちは、人工知能技術がEUの価値観や権利に沿って適用されるようにするためには「ガードレール」が必要であることを何年も前から主張してきた。

関連記事:EUでのデジタル課税やAI、プライバシー保護について競争政策担当委員が欧州議会に回答

例えば欧州委員会のEVP(エグゼクティブバイスプレジデント)であるMargrethe Vestager(マルグレーテ・ベステアー)氏は、人工知能が「倫理的に使用され」「人間の意思決定をサポートし、それらを損なうことがない」ようにするための規定の必要性について語っている

しかしEUの諸機関は、EUで実施されれば明らかに違法となるようなAI研究に公的資金を投入していることも事実である。市民社会の批評家たちは「うそ発見」の有効性を裏づける科学的根拠がないことを考えると、この研究は明らかに非倫理的であると非難している。

iBorderCtrlのウェブサイト内にあるFAQセクションでは、同プロジェクトで開発された技術の一部は実際に導入された場合、既存のEUの法的枠組みの範囲を超えてしまうことを、プロジェクトを推進している商業ベースのコンソーシアムが認めている。そしてこれは「法的根拠を確立する政治的決定が民主的になされない限り、そうした技術は導入できない」ことを意味する、と付け加えている。

言い換えれば、そのようなシステムを実際に欧州の入国審査に使うことは、法律を変えなければ違法になるということだ。それにもかかわらず、ヨーロッパの公的資金がそうした技術の研究に投入された。

欧州データ保護監督官(EDPS)の広報担当者はブレイヤー氏のケースについて具体的にコメントすることを控えたが、それでも科学研究とデータ保護に関するEDPSの予備的見解は重要な意味を持つことを認めた。

また、EU全体における健康データの研究目的の共有を奨励する欧州委員会の最近の動きに対応した、さらなる関連研究についても触れた。これについてEDPSは、データ保護の予防措置は「最初に」定義されるべきであり、また、研究が開始される前に「考え抜かれた」法的根拠が確立されるべきであると助言している。

「EDPSは健康データ共有の枠組み内でデータを倫理的に使用することに留意するよう勧告しており、そのために、既存の倫理委員会および国内法に照らした同委員会の役割を考慮に入れることを促している」と、EUの主任データ監督官は書いている。また「健康データ共有計画の成功には、EUの価値観(基本的権利の尊重など)に根ざし、合法で、責任ある倫理的管理を保証する強力なデータガバナンスメカニズムの確立が鍵となることは確実だ」と加えている。

(長文を嫌う人のための)要約:データの法的・倫理的な使用は、最初から研究努力の大前提である。データが法的・倫理的に使用されているかどうかを、研究開始後にチェックするようなことがあってはならない。

検証不可能な技術

EUの資金が投入された研究プロジェクトに対して独立した倫理的監視がないことに加え、営利目的とされる研究について現状懸念されるのは、外部の人間がその研究の技術を独立して検証する(つまり誤りを立証する)方法がないことだ。

iBorderCtrlの技術の場合、プロジェクトの成果に関する有意なデータは公開されておらず、情報公開法に基づいてデータを要求しても、商業的利益を理由に認められない。

ブレイヤー氏は2019年にこのプロジェクトが終了して以来、その成果に関する情報を取得しようと試みているが、果たされていない。ガーディアン紙は2020年12月に同氏が反撃したことについて詳しく報じている。

プロジェクトの成果に関する情報を公開する、しかも終了後、長い時間を経てからそうするための要件は、EUの研究に関わる法的枠組みの下では非常に限られているとブレイヤー氏は述べている。したがって同氏が望むのは「商業的利益」を盾に公共の利益になる情報開示をすべてにおいて拒否することはできない、という主張に司法裁判所が合意することである。

「REAは基本的に、プロジェクトが実際に実用化できるかどうかを検討する義務はないので、実用化できない研究に資金提供する権利があると主張しています」と同氏はTechCrunchに語った。「それに、情報を公開することで技術の販売に悪影響が及ぶ場合、それは情報公開を拒む十分な理由になると主張していますが、これは商業的に機密性の高い情報を極端に拡大解釈しています」。

「ソフトウェアプログラムのソースコードや、内部計算など、本当に商業上の秘密が含まれている情報を除外することなら私も認めます。しかし、例えばあるプロジェクトに倫理的な問題があるとされている場合は、商業的利益を理由に情報公開要求を拒否できるようなことがあってはなりません。倫理的な問題があるプロジェクトであれば、たとえ公開された情報に商業上の秘密が含まれていなくても、確かに技術の販売に悪影響が及ぶでしょう。しかしREAの主張のような解釈はあまりにも極端です」。

「今回の法的措置が前例となり、倫理的な問題があり、実際に使用されたり導入されたりした場合に違法となる技術に関する情報を明らかにし、公衆の「知る権利」は技術を販売するための商業的利益よりも優先されるということが明言されるよう願っています」とブレイヤー氏は付け加えた。「REAは情報を公開することで技術が売れる可能性が低くなるためにそうしないと言っています。こうした主張について知ったとき、今後、彼らは情報公開要求すべてに対して同じような主張で対抗してくるはずですから、このケースは間違いなく法廷に持ち込む価値があると考えました」。

市民社会団体も、iBorderCtrlプロジェクトに関する詳しい情報を入手しようという試みに失敗している。The Interceptが2019年に報じたところによると、ミラノに拠点を置くHermes Center for Transparency and Digital Human Rights(透明性とデジタル人権のためのエルメスセンター)の研究者が情報公開法を利用してiBorderCtrlのシステムなどに関する内部文書を入手したが、彼らが得た何百ものページは大幅に修正されており、その多くは完全に黒塗りにされていた。

「その他の怪しげな研究プロジェクトについて調べようとして失敗したジャーナリストから、REAが情報を大量に隠しているという話を聞いたことがあります。倫理報告書や法的評価のようなものでさえも隠匿されており、そうした情報自体に商業的な機密は含まれていません」とブレイヤー氏は続ける。「ソースコードもいかなる機密情報も含まれていません。REAはこうした情報に関しては部分的にも公表していません」。

「EU当局(REA)は実際のところ、利益が減る可能性が判明すれば情報はすぐに非公開にするのだから、どのような関心に基づく情報公開要求があっても我々には関係がないと述べているのです。これには開いた口がふさがりません。自分たちの税金が何に使われているのかを知りたいという納税者の関心、および「虚偽検出」の実験をテスト、検証すべきだと求める科学的な関心の観点からも、REAの主張は容認できません。さらに、『虚偽検出』については本当に機能するのかという点を焦点に激しい議論が交わされています。科学者が虚偽検出の技術を検証したり誤りを立証したりするためには、当然ながら、この実験の詳細情報が必要です」。

「また、民主的にいえば、議会議員がこのようなシステムの導入を決定する場合や、研究プログラムの枠組みを決定する場合にさえも、詳細情報を知る必要があります。例えば、誤検出の数はどれくらいだったのか、システムの実際の精度はどの程度か、顔認証技術などは特定の集団にはあまりうまく機能しないことを考慮すると、差別的影響があるのか、といった情報です。私たちが本当に今すぐに知る必要があるのは、こういった情報で十分なのです」。

EUが資金提供している研究に関連する文書へのアクセスについて、欧州委員会は「各ケースは慎重かつ個別に分析される」と付け加えながらも、規則1049 / 2001を参照するよう我々に促した。欧州委員会によると同規則が「一般的な原則と制限を規定している」という。

しかしHorizonプログラムの規則に対する同委員会の解釈は、情報公開法の適用を、少なくともiBorderCtrlプロジェクトのケースでは完全に排除しているように見える。

ブレイヤー氏によると、情報公開は研究結果の概要に限定されている。この概要はプロジェクトの完了から約3、4年後に公開可能となる。

「どこかの科学雑誌でこのプロジェクトについて5、6ページの論文が掲載されますが、もちろんそれを使って技術の検証や誤りの立証をすることはできません」と同氏はいう。「プロジェクト関係者による具体的な取り組みや、プロジェクトへの協力機関は不明です。そのため研究結果の概要は科学的にも民主的にも何の意味も持たず、一般市民にも利益はありません。しかも、公開までに時間がかかりすぎます。ですから、将来私たちがより多くの情報を把握し、できれば公開討論が行われることを私は期待しています」。

EU研究プログラムの法的枠組みは二次法である。そのため、ブレイヤー氏は「商業的利益」の保護に関する包括的条項が、透明性に関するEUの基本的な権利より優位になるようなことがあってはならないと主張している。しかしもちろん、決定は裁判所次第だ。

「透明性、それに情報へのアクセスは、実際EUの基本的権利であり、EU基本権憲章に記載されているため、私にも大いにチャンスがあると考えています。そしてこのホライズンの法規はあくまでも二次法であり、一次法から逸脱できません。二次法は一次法に沿って解釈される必要があります」とブレイヤー氏は語る。「ですから、おそらく裁判所が私の主張を認め、公共の利益の優先を前提としつつ商業上の情報も保護する情報公開法の観点から、うまくバランスの取れた判断を下すと思います。裁判所がちょうどよい妥協点を見つけ、うまくいけば、これまでよりも多くの情報が公開されるようになり、透明性も増すだろうと思います」。

「おそらくREAは文書の一部を黒く塗りつぶし、一部は修正するでしょうが、原則として文書にアクセスできるようになると期待しています。そして、将来的にこの研究に関して要求される情報の大半を、欧州委員会とREAは必ず提供しなければならないことになります。この研究に関連して怪しげなプロジェクトがまだたくさんあるからです」。

ブレイヤー氏によると、資金提供申請を承認する委員会を産業界とEU加盟国の代表者(彼らは当然、EUの資金が常に自分たちの地域に入ってくることを望んでいる)中心に構成するのではなく、議会の代表者、より多くの市民社会の代表者、科学者も含めて構成することで、研究プロジェクトを監視できる優れたシステムをスタートさせることができる、とのことである。

「研究プロジェクトの監視システムには独立した参加者が必要で、そうした参加者が過半数を占めるべきです」と同氏はいう。「それは、研究活動の舵を取り、公共の利益、EUの価値観の遵守、そして研究の有用性といったことを促進する上で意味があることです。私たちは、効果がなかったり、倫理的な問題であったり、違法であったりするために決して利用されない研究について知り、理解する必要があります。そうした研究によって、とても重要かつ有用な他のプログラムに使うべき資金が浪費されているからです」。

ブレイヤー氏はまた、防衛に焦点を置く新しいEU研究プログラムが立ち上げ中であることを指摘している。この研究プロジェクトの構造は、これまでと同じである。つまり資金提供の決定や情報開示に対する適切な公的監視体制が整えられていない。同氏は次のように述べている。「REAは防衛技術の研究プロジェクトにおいても、iBorderCtrlの場合と同様のことを行おうと考えています。そして、この研究プロジェクトでは致死技術さえ扱われるのです」。

ブレイヤー氏によると、これまでのところiBorderCtrlに関して唯一開示されているのはそのシステムの技術仕様の一部と通信レポートの一部のみで、同氏はどちらも「大幅に修正されている」と述べている。

「REAは、例えば、このシステムを導入した国境機関も、このプロジェクトに関与している政治家も明らかにしていません」とブレイヤー氏は語る。「興味深いのは、EUから資金提供を受けたこのプロジェクトの一環としてEUの国境当局や政治家に技術が披露されているということです。なぜこの点が興味深いのかというと、欧州委員会は、iBorderCtrlの目的の研究に限られるため、開発された技術が導入され、問題が起こるようなことはないと主張し続けているからです。しかし実際のところ、REAはすでにプロジェクトを利用して技術の導入と販売を推進しているのです。そしてたとえこの技術がEU国境で使用されることはないとしても、開発に資金を提供するということは、他の政府で使用される可能性があります。つまり、中国やサウジアラビアといった国々に販売されることもあり得るということです」。

「また、虚偽検出技術を販売している会社(マンチェスターに拠点を置くSilent Talker Ltd)は、この技術を保険会社に提供したり、就職面接で利用できるかたちで販売したりしています。銀行もローン申請の際にこの技術を利用することがあるかもしれません。つまりAIシステムは嘘を見抜けると信じられているため、虚偽検出技術が民間企業で広く使われるリスクがあるということです。まったく信頼性に欠ける虚偽検出技術でうそを見抜こうとすることはいわばギャンブルであり、この怪しげな技術のせいで多くの人が不利益を被るリスクがあります」。

「EUがそのような『インチキ』技術に資金提供することを誰も阻止しないというのは言語道断です」とブレイヤー氏は語る。

欧州委員会は「The Intelligent Portable Border Control System(インテリジェント・ポータブル・ボーダー・コントロール・システム、iBorderCtrl)」の研究では「陸路での国境検問の効率性、利便性、安全性を高めるための新しいアイデアを探求した」と述べ、他のセキュリティ研究プロジェクトと同様「セキュリティの課題に対処するために、新しいアイデアや技術をテストすることを目的としている」とした。

「iBorderCtrlのプロジェクトに期待されていたのは、すぐに実用化できる技術や製品を提供することではなかった。すべての研究プロジェクトが、実用化できる技術の開発につながるわけではない。研究プロジェクトが終了した後、さらに研究を進めるか、プロジェクトで研究対象となったソリューションの開発に着手するかどうかは、加盟国の判断に委ねられてる」とも述べている。

また、次世代技術の具体的な応用については「基本的権利や個人データの保護に関するEUの規則を含むEU法と国内法、保護条項を常に遵守しなければならない」とした。

しかしブレイヤー氏はまた、同委員会が「研究開発に過ぎない」「特定の技術についてその用途は定めていない」などと主張して、世間の目をそらせようとしているのはずる賢いと訴えている。「もちろん実際のところ欧州委員会は、開発された技術が有用であること、機能することが判明した場合、その技術に対して賛意を表明するよう議員に圧力をかけます」と同氏は主張する。「また、EU自体で使用されていなくても他の国に販売されることになるでしょう。だからこそ、この研究に対する監視と倫理的評価の欠如は本当にあってはならないことだと思います。特に公共の場での大規模な監視など、監視技術の開発と研究が繰り返し行われているため、とりわけそういえます」。

「欧州委員会はインターネットから大量にデータを収集して処理するプロジェクトを進めています。しかし、この研究はプライバシーの権利という基本的な権利への干渉に関するものであるため、同委員会のセキュリティに関する方針の欠陥が大きな問題となってきます」とブレイヤー氏は続ける。「その方針では、監視社会といった非倫理的な方法を禁止する制限が定められていません。またそうした物理的な制限のみならず、倫理面で問題のあるプロジェクトを端から排除できる制度上の仕組みもありません。そして倫理面で問題のあるプログラムが考案され開始されると、同委員会はプログラムに関する情報を公開することすら拒否するでしょう。そのようなことは本当に言語道断であり、さきほども言ったように、裁判所が適切なバランスを取ってより多くの情報が開示されるようになり、それによって我々は、こういった研究計画の成り立ちについて、公開討論を実施できるようになって欲しいと願っています」。

ブレイヤー氏は、防衛研究開発基金を設立しようとする、欧州委員会の計画について再び言及した。この基金は、虚偽検出技術の場合と同様、産業中心の意思決定構造と「欠陥のある倫理評価メカニズム」の下で運営されていく。自律型兵器に資金を提供できるEUの研究には制限があるものの、大量破壊兵器や核兵器など、他の分野では公的資金の投入を申請できると指摘している。

「ですから、これは非常に大きな問題となるでしょうし、当然、これまでにも増して同じような透明性の問題が出てくるでしょう」と同氏は付け加える。

透明性全般に関して、欧州委員会は「可能な限り成果を公表するよう、プロジェクトに常に促している」とTechCrunchに述べた。特にiBorderCtrlについては、CORDDIS(コミュニティの研究開発情報サービス)ウェブサイトと専用ウェブサイトでプロジェクトに関する詳細な情報が提供されているとのことだ。

iBorderCtrlのウェブサイト内「publications(資料)」ページをじっくり閲覧すると「ethics advisor(倫理アドバイザー)」「ethic’s advisor’s first report(倫理アドバイザーによる第一次報告)」、「ethics of profiling, the risk of stigmatization of individuals and mitigation plan(プロファイリングの倫理、個人の不名誉のリスク、およびそのリスクの軽減計画)」「EU wide legal and ethical review report(EU全体の法・倫理審査報告書)」など、多くの「deliverables(成果物)」が見つかる。これらはすべて「confidential(機密)」としてリストされている。

カテゴリー:パブリック / ダイバーシティ
タグ:EUうそ発見器AI

画像クレジット:mark6mauno / Flickr under a license.

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

フェイスブックのEU米国間データ転送問題の決着が近い

アイルランドのデータ保護委員会(DPC)は、長期戦となっているFacebook(フェイスブック)による国際的な個人データ転送をめぐる訴訟を直ちに解決させることに合意した。これにより数カ月後には、FacebookはEU域内から米国へのデータ転送を停止せざるを得なくなる可能性がある。

プライバシー活動家であるMax Schrems(マックス・シュレムス)氏が2013年に提出した同訴状は、NSAの内部告発者Edward Snowden(エドワード・スノーデン)氏によって暴露された、米政府の知的機関が大規模な情報監視プログラムの下、Facebookユーザーのデータにアクセスしているという事実とEUのプライバシー権の衝突が発端にある。

シュレムス氏が率いるプライバシー保護団体であるNoybは、同氏の申し立てを中断して新たな訴訟手続きを開始するという決定に対して2020年に提訴したが、やっとのことでその司法審査のプロセスを最終化させ、迅速にシュレムス氏の申し立てを解決すべくDPCは取り組むこととなった。

Noybによると、アイルランド高等裁判所が調査の開始を許可した場合、和解という条件下でDPCの「独自の決断」による手続きとしてシュレムス氏のヒアリングが行われ、また同氏はFacebookによるすべての提出物にアクセスすることが可能となる。

当初の申し立てを再検討する以前にFacebook独自の司法審査の高裁判決を待つとDPCが決定した場合には、さらなる中断が起きる可能性があるとNoybは認識しているものの、シュレムス氏は7年半という長期にわたる訴訟は最終章に向かっており、今後数カ月以内に決着がつくのではないかと予測している。

シュレムス氏は現状を「もどかしいが最大限の可能性がある」と表現し「アイルランドの裁判所は期限の設定に消極的ですが、DPCはそれを利用してタイムラインが見えないと言い続けていました【略】アイルランドの法の範囲内で最大限に強い『迅速な』解決という決断を今回得ることができました」と同氏はテッククランチに語ってくれた。

この訴訟に対する最終的な決定がいつ下されると思うかと質問すると、早ければ2021年の夏だが、現実的には秋頃になるだろうと同氏は答えている。

シュレムス氏は自身の申し立てに対するDPCの対処方法や、さらにはペースの速い巨大テック企業と対照的なスピード感に欠ける政府の執行力に対して声高に非難し、アイルランドの規制当局は、シュレムス氏が申し立ての中で要求したように単にFacebookにデータ転送を停止するよう命じるのではなく、EU域内から米国へのデータ転送の仕組みの合法性についてより幅広く提起している。

この一連の訴訟はすでに莫大な影響力を及ぼしている。2020年の夏、欧州司法裁判所は、個人情報保護においてEUと同等の基準を米国が満たしていないと判断し、EUと米国間のデータ転送の取り決めを取り消すという画期的な判決を下している。

また欧州司法裁判所はデータが危険にさらされている場合にはEUのデータ保護規制当局が介入して第三国への転送を停止させる義務があることを明確にしており、アイルランドの法廷に事態を正すよう促している。

DPCに最新の進展についてコメントを求めると、本日中に回答するという答えが返ってきたため、それについてはまた更新したいと思う。

EUの一般データ保護規則(GDPR)に基づくFacebookのデータ規制当局であるDPCは、欧州司法裁判所による画期的な判決を受けて、2020年9月には同社に対してデータ転送を一時停止するよう予備命令を出している。

しかしFacebookは即座に反撃し、7年以上続く訴訟であるのに関わらず、DPCによる命令は時期尚早だとしている。

Noybは本日、Facebookが今後もアイルランド高等裁判所を利用してEU法の施行を遅らせようとするだろうと述べている。またFacebookは2020年、EUと米国間でデータ転送を行なっている数多くの企業に影響を与える問題の政治的解決策を考え出すために、また米国の新政権がこの問題に対処するための時間稼ぎのために、法廷を使って議員に「合図を送って」いることを認めている

しかし、Zuckerberg(ザッカーバーグ)氏が場当たり的なこの規制ゲームをいつまで続けることができるのかといえば時間の問題だ。今後半年以内に、EUのデータ流出問題は解決を迎えようとしているのだ。

EUと米国政府間の今はなきプライバシーシールドの代替案をめぐり、EUと米国の議員はかなりタイトなスケジュールで交渉を進めて行かなければならない。

欧州委員会は2020年秋、米国の監視法の改正なしには代替案を実現することは不可能だと述べている。米国企業が必要な変更をもたらすため働き掛け、大規模な努力をしない限り、ここまで抜本的な法改正が夏か秋までに実現するとは考え難い。

Facebookは2020年、DPCに予備命令を受けた際に提出した法廷文書の中で、データ転送に対してEUの法案が施行された場合、欧州でのサービス運用を停止しなければならない場合もあると述べている。

しかし同社のPRチーフであるNick Clegg(ニック・クレッグ)氏はすぐにそれを撤回。その代わりに「パーソナライズド広告」はEUにおけるポストコロナの経済回復に必要不可欠であると主張し、データに深く依存したビジネスモデルに対して好意的に見るようEUの議員らに呼び掛けた。

しかし、巨大テック企業にはさらなる規制が必要であり、緩和は必要ないというのが欧州連合の議員間の総意であった。

それとは別に、現在、Bobek(ボベック)法務官の意見に沿ったものであれば、欧州司法裁判所にとって影響力の強いアドバイザーの意見が今後の欧州でのGDPRの施行スピードに影響を与え得る可能性がある。国際的なケースを扱うためのGDPRのワンストップショップメカニズムの結果として起きている、アイルランドのような主要な管轄区域での障害に同氏が目をつけているとも受け取れるからだ。

ボベック法務官は国際的なケースを調査する主管規制当局に能力があるとする一方で「データ保護における主管当局は国際的なケースにおいてはGDPRの唯一の執行者とはみなされず、GDPRが定める関連規則と期限を遵守して、この分野でその意見が重要とされる関連する他のデータ保護当局と緊密に協力しなければならない」と記している。

同氏はまた「緊急措置」の採用を目的とする場合や「データ保護当局が事案を取り扱わないことを決定した後」に介入する場合など、各国のDPAが独自の訴訟を起こすための具体的な条件を提示している。

法務官の意見を受け、DPCのGraham Doyl(グレアム・ドイル)副長官は次のように述べている。「我々と協力関係にあるEUのDPAとともに、我々は法務官の意見に留意し、関連するワンストップショップ規則の解釈という点で裁判所の最終判決を待つこととします」。

アムステルダム大学でデータプライバシーのポスドク研究者を務めるJef Ausloos(ジェフ・オースルース)氏に法務官の発言についての見解を求めたところ、この意見は「実際の保護と執行がワンストップショップメカニズムによって損なわれる可能性があることを明確に認識したもの」だという。

しかし同氏によると、DPAが主管規制当局を回避するための新たな道が法務官の意見から見て取れたとしても、短期的には何の影響力もないとのことだ。「長期的な場合に限って、変化に向けた道は開けていると思います」と同氏はいう。

カテゴリー:ネットサービス
タグ:FacebookEUプライバシーアイルランド欧州司法裁判所

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

Appleのティム・クック氏がアドテックは社会の破滅をもたらすと警告、同社アプリトラッカーのオプトイン機能を擁護

Apple(アップル)のTim Cook(ティム・クック)CEOは2021年1月に「Computers, Privacy and Data Protection(CPDP)」カンファレンスで基調講演を行い、欧州はプライバシー保護を強化するべきだという考えを明らかにした。同氏は2年前にもブリュッセルで生講演を行い、アドテック業界によるインターネットユーザーの大量監視を支えている「data-industrial complex(データ産業複合体)」を激しく非難したが、今回の講演でもほぼ同じ主張を繰り返した。

この講演でクック氏は、現世代のアドテックの改革は今や人道的に必要不可欠なものだと述べ、遠回しにFacebook(フェイスブック)に対する批判を繰り返した。

「2年前にもブリュッセルで話したとおり、包括的なプライバシー保護法を米国で策定するだけでなく、データの最小化、(自分の情報利用に対する)ユーザーの知識、ユーザーによるデータへのアクセス、データのセキュリティという原則をグローバルに実践するための、世界規模の法律と新しい国際合意を策定すべきときだ」と話した。

「我々は何を許容すべでないか、何を許容しないか、という点でユーザーの個人情報に対する権利を主張する人々に、普遍的かつ人道的に応答しなければならない」とクック氏は付け加えた。

Appleは現在、トラッキングについて事前にユーザーの許可を求めることを開発者に義務づけるという世界初の試みへと舵を切る準備を進めている最中だ。前述のクック氏のメッセージは、同社にとって極めて重要な時期に発表された。

Appleは2021年1月下旬に、iOS 14の次期ベータリリースでApp Tracking Transparency(アプリ追跡透明性、ATT)機能を有効にすることを改めて発表している。正式な導入は2021年の春先になる見込みだという。

関連記事:アップルのApp Tracking Transparency機能はデフォルトで有効に、早春にiOSで実装

Appleはこの機能を2020年から運用開始する予定だったが、開発者側に対応準備期間を与えるために予定を延期している

関連記事:アップルが開発者によるユーザー追跡の明示的許可強制を来年まで延期

この動きに対してアドテック大手のFacebookは以前から強く反論しており、サードパーティによるトラッキングを拒否する権限をAppleがユーザーに与えると、広告ネットワークを使用しているパブリッシャーは重大な影響を被ることになると警告している

関連記事:アップルがiOS 14に導入予定の広告トラッキング規制にFacebookは不満を表明

先に、Facebookは第4四半期の決算を発表し「広告部門での逆風が強まっており」2021年の収益が低下すると警告を発し、AppleのATT(および「変化する規制当局側の姿勢」)をリスクとして挙げた。

関連記事:Facebookは2021年のターゲティング広告と収入に大きな障害を予測する

クック氏はまた、データ保護とプライバシーに関する別のカンファレンス(通常はブリュッセルで開催されるが2021年はパンデミックの影響でオンライン開催となった)で行った講演で、ATTとプライバシーに対するAppleの姿勢をかなり強い言葉を使って擁護し、導入が間近に迫ったトラッキングのオプトイン機能は「ユーザーにコントロール(制御権)を返却する」ものであること、アドテックによるインターネットユーザーの監視によって、陰謀説、過激主義、物理的な暴力などの拡大をはじめとするさまざまな悪影響が生じていることを指摘した。

同氏はATTについて「ユーザーはこの機能を長い間待ち望んでいた」と述べ、次のように語った。「我々は開発者と密接に連携して、この機能を実装するための時間とリソースを彼らに与えてきた。また、我々自身も、この機能によって事態がすべての人にとって良い方向へと変化する可能性が高いと考えており、熱意を持って取り組んでいる」。

フランスでは、Appleのこの動きに対して不当競争の疑いがかけられており、2020年10月、4つのオンライン広告ロビー団体が「開発者がアプリユーザーに対してトラッキングの許可を求めることをAppleが強制するのは同社による市場支配力の乱用である」として、独禁法違反でAppleを告訴している(英国でも、GoogleがChromeブラウザでトラッキング用サードパーティCookieのサポートを打ち切ることについて同様の提訴があり、規制当局による調査が始まっている)。

また、The Informationによると、Facebook側もAppleを独禁法違反で告訴する準備を進めているといい、司法の場での争いがヒートアップしている(実はFacebook自身も、長年にわたる反競争的行為によってソーシャルネットワーク市場を独占してきたとしてFTCから提訴されている)。

クック氏は同講演で、プライバシー保護に関する別の新たな取り組みとして、App Storeに出品されるアプリについて、データ収集に関する情報を食品成分表のようにわかりやすく示す「privacy nutrition(プライバシーラベル)」の表示をiOSアプリの開発者に義務化していくと述べた。すでに別の記事で伝えたとおり、このラベルと、近く導入されるATTはサードパーティだけでなくApple製のアプリにも適用される。

クック氏によると、この2つの動きは「ユーザーの役に立ち、ユーザーの幸福を目指す」テクノロジーを創造するというAppleの核をなす製品哲学に沿ったものであり、人々がオンラインで実行するあらゆることについて情報を収集しそれらを大衆操作ツールとしてユーザーに不利になるように利用する、強欲な「データ産業複合体」のアプローチとは対照的であると語った。

「そもそも、プライベートな情報や個人情報はすべて、監視や収益化、あるいは集積してユーザーの生活を丸見えにすることにつながっているように見える」とクック氏は警告する。「こうしたアプローチの行き着く先は顧客の製品化である」。

「ATTが本格的に導入されると、こうしたトラッキングに対してユーザーはノーと言えるようになる。トラッキングに必要な程度の情報であれば、ターゲット広告の精度を上げるために提供してもよいと考える人もいるかもしれない。しかし、多くの人はそう考えていないようだ。というのは、同様の機能をSafariのウェブトラッカー制限に組み込んだところ、大半のユーザーから良い評価が得られたからだ」と同氏は述べ、「こうしたプライバシー中心型機能とイノベーションは、Appleが果たすべき責任の中核をなしている。今までずっとそうであったし、これからも変わらない」とつけ加えた。

過去には、プライバシーに反した大量監視などなくても広告業界が繁栄していた時代があった、とクック氏は指摘する。「テクノロジーは多数のウェブサイトやアプリから寄せ集められた膨大な個人データなどなくても成功できる。そんなものがなくても、広告は何十年も存続し、繁栄してきた。最も抵抗の少ない道を行くことが賢明な選択であることはめったにない。我々が今日のような立場を取っているのはそのためだ」。

クック氏はまた、いくつかの点でFacebookを遠回しに厳しく批判した。Facebookの名前こそ出さなかったが「ユーザーの監視」「データの搾取」「選択の余地のない選択」を基盤とするそのビジネス手法を酷評した。

「このような組織は我々の称賛に値しない。改革に値する」と同氏は続けた。また、同じ講演の前の部分で欧州の一般データ保護規則(GDPR)がプライバシー保護の強化に果たす役割を称賛し、そのような法の執行を「継続する必要がある」とカンファレンス出席者に訴えた(まさにこの継続性がGDPRの弱点となってきたが、現在2年半が経過して、やっと執行体制が軌道に乗ってきたようだ)。

クック氏は、Facebookに対する厳しい批判を続け、膨大なデータを吸い上げる、エンゲージメント偏重のアドテックのせいでデマや陰謀説が拡散されているとし、こうしたアプローチによってもたらされる影響はあまりにも深刻で、民主社会が許容できるものではないと主張した。

「大局的な見地を見失ってはならない。アルゴリズムによってデマや陰謀説が蔓延している今、可能な限り多くのデータを収集するために、エンゲージメント率を上げさえすればよい、ユーザーの滞在期間が長いほどよいというテクノロジーの考え方に対して見て見ぬふりをすることはできなくなっている」。

「多くの人たちが今でも『どの程度の罰金で済むだろうか』という話をしている。考えるべきなのは、どのような影響がもたらされるかという点だ。単にエンゲージメント率が高いという理由で陰謀説や暴力行為の扇動が優先されたら、どのような結果になるだろうか。命を救うワクチンに対する大衆の信頼を弱体化させるコンテンツを許容するだけでなく、そのようなコンテンツに報酬を与えるならどうなるだろうか。数千人のユーザーが過激グループに参加しているのに、そのグループへの参加を推奨するアルゴリズムを存続させたらどうなるだろうか」と、同氏は続け、Facebookのビジネスが直接の原因として批判されているさまざまなシナリオを挙げて説明した。

「こうしたアプローチに犠牲がともなわないふりをすることは、すぐにでも止めるべきだ。犠牲とは格差であり、信頼の喪失であり、そしてもちろん暴力だ。社会的ジレンマが社会的大惨事につながるのを許してはならない」とつけ加え、Facebookによるソーシャルネットワークのイメージを一撃で一変させた。

Appleが、ATTに反対するアドテック大手との戦いを推し進めるために欧州のデータ保護専門家に働きかけていることには理由がある。EUの規制当局には、ATTによるアプローチを後押しする法律を施行する権限があるからだ。ただし、現時点では規制当局はまだそこまでは踏み切れていない

Facebookに関するデータ保護監視を主導するアイルランドのデータ保護委員会(DPC)は、いわゆる「同意の強制」(サービスを使いたいなら広告ターゲティングによってトラッキングされることを承諾する以外に選択肢がないこと)を含め、Facebookのさまざまなビジネス手法に関する調査をまだ行っていない。

ユーザーに選択肢を与えないこのような手法はAppleがApp Storeで進めている変革とは対照的だ。App Storeでは今後、すべての企業はトラッキングに関してユーザーの同意を得る必要がある。Appleのこの動きは欧州のデータ保護法の原則に沿ったものだ(一例として、同法には、法的に有効であるためには一切の条件を提示することなく人々のデータに対する処理の承諾を得る必要がある、という原則がある)。

同様に、ユーザーに選択肢を与えることを引き続き拒否するFacebookの姿勢は、EUの法律と真っ向から対立しており、GDPR(一般データ保護規則)の規制対象となる可能性がある(クック氏が講演の中で訴えていたのはこの点だ)。

2021年はこの論争が決着に向かう重要な年になりそうだ。2020年末、アイルランドが他のEU加盟国のデータ保護当局に決定案を送付したことで、WhatsAppとFacebook間のデータ共有の透明性に対するDPCの長期にわたる調査が2021年、法執行に向かって動き始めている。

Politicoの報道によると、WhatsAppはこの1件のみで3000万~5000万ユーロ(約38億~64億円)の罰金を科せられる可能性があるという。それだけではない。WhatsAppは2019年にプライバシー保護違反に関する件でFTCに50億ドル(約5277億円)の罰金を支払ったが、そのときは広告ビジネスの運営方法について具体的な変更を行う必要はなかった。今回は、ユーザーデータの扱い方を変更するよう命令される可能性がある。

特定の種類のユーザーデータの処理中止を求める(またはデータを使用する前にユーザーの同意を得ることを強制する)命令が当局によって出されれば、これまでよりはるかに大きな影響がFacebookのビジネス帝国におよぶことは間違いない。

Facebookは2021年中に、欧州のユーザーデータのEU圏外への転送を合法的に継続できるかどうかについても最終判決を言い渡される。

Facebookがこのようなデータフローの停止を命令されれば、同社のビジネスのかなりの部分が大きく混乱することになるだろう。2019年の第1四半期時点で欧州のDAU(1日あたりの利用者数)は2億8600万人だった。

要するに、Facebookのビジネス運営をめぐる規制当局側の姿勢は明らかに「変化している」ということだ。

Facebook側もAppleによるプラットフォームレベルでのプライバシー保護執行が迫っている事態に対抗し、法律の専門家を投入して、Appleの動きは反競争的だと主張する構えを見せている。しかし、EUの立法担当者も、プライバシー保護執行に対抗するツールとして独禁法を持ち出す利己的な動きには目を光らせているようだ。

(クック氏が同講演でプライバシーの「イノベーション」に触れたことは注目に値する。同氏は「我々の生活をより良く、満たされた、人間的なものにするイノベーションの先にこそ未来があるのではないか」と聴衆に問いかけた。これは、プライバシー対独禁法規制の論争においてまさに鍵となる問いかけだ。)

2020年12月、コミッションのEVPで競争担当責任者のMargrethe Vestager(マルグレーテ・ベステアー)氏はOECD Global Competition Forumで、独禁法の執行担当者は、プライバシーが競争を抑え込む盾として使われないように用心する必要があると指摘した。とはいえ、同氏はドイツにおけるスーパープロファイリング訴訟でFacebookに有罪判決が下されたことに支持を表明しており、同氏の言葉にはデータ産業複合体に対する皮肉も込められていた。

この訴訟(ドイツFCOによって引き続き係争中)では、プライバシーと競争を新しい興味深い方法で組み合わされている。規制当局が勝訴すれば、Facebookのソーシャル部門がデータレベルで構造的に分離される結果になる可能性がある。いわば、「すばやく行動してマンネリを断ち切る」(Facebookの有名なモットー)の規制当局版だ。

ベステアー氏が規制のイノベーションを「刺激的で興味深い」と形容したことは注目に値する。欧州のデジタル政策と競争を監督する人物も、規制のイノベーションに対して、非難するどころか、むしろ信任票を投じているようだ。

カテゴリー:ネットサービス
タグ:AppleFacebookEUアドテックGDPR

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EUがValveほか5つのゲームパブリッシャーにジオブロッキング行為で9.8億円の罰金

EUは独占禁止法違反の疑いで長年にわたりPCゲームのジオブロッキング問題を捜査してきたが、欧州委員会は米国時間1月20日、EUの法律に違反していると認め、Valve(バルブ)他5つのゲームパブリッシャーに7800万ユーロ(約97億8000万円)の罰金を科した。

ジオブロッキング行為の調査はスポーツ、シミュレーション、アクションなど異なるジャンルのおよそ100本のPCゲームを対象に2017年から続けられていた。

1600万ユーロ(約20億円)以上の罰金を科せられたValveの他に措置を受けたのは、バンダイナムコ(34万ユーロ、約430万円)、カプコン(39万6000ユーロ、約500万円)、Focus Home(280万ユーロ、約3億5000万円)、Koch Media(97万7000ユーロ、約1億2200万円)、ZeniMax(160万ユーロ、約2億円)の5社となる。

欧州委員会によると、罰金は企業の捜査協力により10〜15%の減額が認められたという。ただし、Valveは協力を拒んだといわれてる(この場合は罰金の減額は適用されず「禁止決定」となる)。

「7年にわたる捜査の間、Valveは委員会に全面的に協力し、要求された証拠と情報のすべてを提出しています。私たちは罰金には同意できず、今回の決定に対して提訴します」とValveの広報担当者はいう。

委員会は2017年2月に、独占禁止法に基づく徹底的な捜査を実施すると公表。そのおよそ2年後、これらの企業が「消費者が居住国以外の場所で入手したPCゲームの購入と使用を阻止するための二国間協定に結んだ」と委員会が告発したたときに、公式な異議申立がなされていた。

特定のゲームの、特定の国境を越えた販売を阻止するために企業が使用した仕組みは、Steam(スティーム)のアクティベーションキーをジオブロッキングし、ライセンシングと配給の二国間協定により特定の国境を越えた販売を制限するというものだった。

EUの議員たちは、こうした商慣行が欧州市場を部分的に国境で分断し、最良の買い物ができるよう打ち出されたEUのデジタル単一市場戦略の恩恵から、特定地域の消費者を遠ざけていると突き止めた。

声明の中で、EUの競争政策を率いるMargrethe Vestager(マルグレーテ・ベステアー)執行副委員長は次のように述べている。「ValveとPCビデオゲームパブリッシャー5社のジオブロッキング行為に対するこの度の措置には、国境を越えた販売を企業が契約によって制限することは、EUの競争法で禁じられているとを注意喚起する役割があります。こうした行為は、EUデジタル単一市場の恩恵、およびEU域内で最も好ましい取引を探して回る機会を欧州の消費者から奪うものです」。

委員会の捜査により、当該5社のゲームパブリッシャーは、特定のゲームタイトルについてチェコ、ポーランド、ハンガリー、ルーマニア、スロバキア、エストニア、ラトビア、リトアニア以外の国でSteamのアクティベーションキーを使えなくしていることが判明した。

アクティベーションキーのジオブロッキングに関する企業間の協定は、1年から5年の期限が定められ、2010年9月から2015年10月までの時々で履行されていたと委員会は話している。

カプコンを除く4つのゲームパブリッシャーは、ライセンシングと配給の契約を複数のゲーム配給企業(Valveではない)を欧州経済地域(EEA)で交わしていたことがわかったが、それには前述の中央および東ヨーロッパの国々を含むEEA内で関連タイトルの国境をまたいだ販売を制限する条項が含まれていた。

これらの協定は一般的に長期にわたり(3年から11年)、2007年3月から2018年11月にわたり、時を異にして履行された。

捜査が開始された後に、EU議員たちは不当なジオブロッキングを規制する法律を可決した。だがこれは、CDまたはDVDで提供されるPCビデオゲームのみが対象であり、ダウンロード版には適用されないため、規制を受けるのは一部のゲームに留まる。

委員会は、ジオブロッキング規制がどのように実行されているかに関する評価報告を2020年11月に発表したが、そこではゲームを含む対象範囲の拡大について論議されている。だが変更を強く主張するものではない(またこの報告は、国境を越えたゲームやソフトウェア一般へのアクセスの要求は、その他のコンテンツサービスに比べて少ないとも指摘している)。

しかし、ダウンロード配信のゲームはEUの不当なジオブロッキングの制限の対象外に置かれたままに見えるものの、Valveとその他の企業に罰金が科せられたことは、国境をまたぐ販売を制限する契約上の合意がEUの独占禁止法に触れることから、ジオブロッキングが法的地雷原である可能性を示している。

同委員会によると、具体的に今回の件が抵触した法律はEU機能条約(TFEU)第101条と、EU単一市場における競争の阻止、制限、歪曲を目的とした企業間の合意を禁じるEEA協定第53条となる。

Valveは、委員会の捜査結果に対する異議について、我々に詳細を送ってくれた。彼らは、Valveが捜査に協力していないとの委員会の見解を否定している。また同社は、リージョンロックの廃止により、「あまり豊かでない」一部の地域ではゲームパブリッシャーが最低取引を避けるために価格を吊り上げる結果になりかねないと警告している。

広報担当者は、我々に次のように伝えた。

7年におよぶ捜査の間、Valveは欧州委員会(EC)に広範にわたってに協力し、要求された証拠や情報を提出しています。しかしながらValveは、ECが求めるように、法令違反を認めることはできません。ValveはECの捜査結果とValveに対する罰金の取り立てに異議を唱えます。

ECが科した罰金の額は、ValveのPCゲームサービスSteamでのPCゲームの売上げとは連動していません。反対に、ValveがSteamのアクティベーションキーを提供し、(パブリッシャーの要求に応じて)特定の地域でキーを使えなくする(リージョンロックをかける)ことでEEA域内でジオブロッキングを可能にしているとECは主張しています。このキーは、利用者がサードパーティーの販売業者から購入したゲームをSteamで起動しプレイできるようにするためのものです。Valveでは、Steamのアクティベーションキーを無料で提供し、サードパーティーの販売業者(小売店はオンラインショップなど)がゲームを販売した際には、売上げの一部を請求するようなことは一切していません。

リージョンロックが適用されたのは、ごく少数のゲームタイトルに限られます。一度に適用されるのは、Stermを利用しているゲーム(Valve製のゲームは含まず)のわずか3%程度であり、それが現在問題として争われているEEA内のリージョンロックの対象です。

ECによる、こうした状況でのプラットフォーム提供者の責任の拡大解釈は、適用法で支持されているものではありません。それにも関わらず、ECの懸念を理由に、ValveはEEC内でのリージョンロックを、地元の法的要請(ドイツのコンテンツ法など)に従ったものでない限り、またSteamの提携業者がゲームの配給ライセンスを有するという地理的な制限がない限り、2015年から廃止しています。リージョンロックの廃止には、あまり豊かでない地域においてパブリッシャーが裁定取引を避けるために価格を吊り上げる懸念もあります。あるの国から別の国へアクティベーションキーを送る際には費用はかかりません。またユーザーがPCゲームを起動しプレイするために必要なものはアクティベーションキーのみです。

カテゴリー:ゲーム / eSports
タグ:EU独占禁止法ジオブロッキング

画像クレジット:thecrazyfilmgirl Flickr under a CC BY 2.0 license.

原文へ

(翻訳:金井哲夫)

EUがグーグルのFitbit買収を承認、健康データの広告利用を10年間禁止することで合意

EUは米国時間12月17日、Google(グーグル)がウェアラブルメーカー、Fitbit(フィットビット)を21億ドル(約2173億7000万円)で買収するプランを承認した数カ月間にわたる規制上の審査(未訳記事)続いて、膨大な量のユーザー健康データをグーグルがむさぼり食うことに関する競争上の懸念を縮小させることを意図した、いくつかの条件を適用する。

グーグルがFitbitを買収するプランを発表したのは1年以上前のことだが、欧州委員会に取引を通知したのは2020年6月15日になってからだった。これはEUから、暫定的にゴーサインが出るまで半年かかったことを意味する。同社はまた現在、本拠地である米国で複数の角度(未訳記事)から、公的な独占禁止法違反容疑に直面している(これらはFitbitには関連していない)。

「Gitbit」誕生にあたりEUの承認を得る条件の下、グーグルは10年間、欧州経済地域内ユーザーのFitbitデータを広告ターゲティング目的のために使用しないことを約束した。

同社は、Fitbitウェアラブルを介して収集された健康データは、グーグルの他のデータから技術的に分離し、別のデータサイロに維持すると述べている。

また、EU地域のユーザーが、GoogleアカウントまたはFitbitアカウントに保存された健康データの使用をグーグルが提供する他のサービスに許可するか否か「実行選択肢(effective choice)」を持っていることを保証する、と同社は約束している。その中にはGoogle検索、Googleマップ、Googleアシスタント、YouTubeなどが含まれる。しかしそれが実施されるにあたり、どれだけ腹黒いパターン設計が適用されるのか、興味深いところだ。

興味深いことに、EUはそのような延長を正当化できる場合、10年の広告誓約をさらに10年、期間延長を決定するかもしれないとしている。

さらに同委員会は、取引が完了する前に任命されなければならない監視トラスティによって、措置の実施状況が監視されることが承認の条件であることにも言及している。

このまだ任命されていない人物は、「グーグルの記録、人材、施設、技術情報」へのアクセスを含む、欧州委員会が「広範な権限」と見なしているものを持つことになる。

EU規制当局は、このビッグテック合併の強圧に対し、「信用するが検証はする」という姿勢で臨んでいるといえるだろう。

さらに、競合に焦点を当てた誓約もある。

グーグルは、サードパーティ開発者がWeb APIを介してFitbitユーザーのデータに無料でアクセスできる機能を維持することに合意した(もちろん、ユーザーの同意を条件としている)。

また同社は、ウェアラブルメーカー競合相手のAndroid APIへのアクセスに関する誓約の数々にも合意している。スマートフォンの中で支配的なOSであるAndroidに競合するデバイスが接続する必要がある場合、すべてのコア機能において無料ライセンスを継続するという。

委員会によると、この合意は、デバイスの機能性改善を配慮したものだ。競合ウェアラブルメーカーがより良い、より有能なデバイスを開発する際、それらがAndroidエコシステムからシャットアウトされるリスクなしに技術革新を行えるようにすることを意図している。

また、グーグルは、Androidオープンソースプロジェクト(AOSP)版のモバイルプラットフォームのAPIサポートを維持しなければならない。

ここ半年間の審査と交渉の間に、欧州委員会がグーグルから引き出したもう1つの譲歩は、ユーザーエクスペリエンスの低下(警告やエラーメッセージの表示など)によって、APIを介してAndroidにアクセスするライバルのキットをサポートするための要求を回避しようとしないということだ。

率直にいって、規制当局が認可のためにそのような警告を送らなければならないとすれば、かなりの機能不全と見てとれる。そしてそれは、グーグルのビジネスがどのように運営されているかについて、蓄積された不信感のレベルを明らかにしている。

そしてこれは、グーグル・Fitbitに屈服し、合併が先に進むことを許したEU規制当局の存在に関する疑問を引き起こす。案の定、欧州委員会のPRは多少守りに入っているように聞こえる。EUの議員は、決定が「最近提案されたデジタル市場法(Digital Markets Act、DMA)を通じて、デジタル分野における公正で競争力のある市場を確保するための欧州委員会の努力を損なうものではない」としている。

また、前述の監視トラスティは同委員会に提供する報告書を、グーグルのデータ保護監督機関であるIrish Data Protection Commission(IDPC、アイルランドデータ保護委員会)と共有する権利があることにも言及している(とはいえ、グーグルの事業の他の要素に関する多数の調査を含む、膨大なビッグテック関連の案件が委員会のデスクに山積みになっていることを考えれば、グーグル側が眠れない夜を過ごす原因にはならないだろう)。

欧州委員会はまた、グーグルとの誓約には「サードパーティが行使できる迅速な紛争解決メカニズム」が含まれているとも述べている。つまり、グーグルがすでに大幅に支配している消費者向けデジタルサービス分野でのさらなる統合を正当化するために、明らかに余計なことをしようとしているのだ。しかも、米国の議員らが正反対の方向に向かっている時に、である。

ヨーロッパの市民社会(とそれ以上)は発表以来、グーグルのFitbit買収について激しく抗議の声を上げていた(未訳記事)。人権の保護を保証できない限り(未訳記事)、ビッグテックがFitbitの所有する健康データをむさぼるのを止めるよう、規制当局に働きかけてきたのだ。

12月17日、委員会はこれらのより広範な権利に関する懸念を回避した。

ひいき目に見て10年後、長くても20年後に議論を先送りしただけだろう。そして2030年(または2040年)までには、グーグルのようなデジタルゲートキーパーに制約を加えるために提案したばかりの規則が、将来の悪用を抑制できる立場にあること(未訳記事)を期待しているのだ。

よくいわれるEUの優先傾向は、巨大テクノロジー企業を規制することで、その帝国を分割することではないというが、さらなる帝国の拡大を邪魔するのも好みではないらしい。

欧州委員会の上級副委員長であるMargrethe Vestager(マルグレーテ・ベステアー)氏は、次のように述べている。「合意した誓約により、ウェアラブルと新興のデジタルヘルス分野の市場がオープンで競争力のあるままであることを保証できるため、グーグルによるFitbitの買収案を承認できます。これらの誓約は、グーグルが収集したデータを広告目的でどのように使用できるか、競合するウェアラブルとAndroid間の相互運用性をどのように保護するか、そしてユーザーが選択した場合には、健康データを共有し続けることができるかを定めています。」

先に(未訳記事)欧州議会の委員会で質問を受けたベステアー氏は、Gitbitの承認が間近に迫っていることを示唆し、市場を支配するテック企業に対処するためのアプローチが米国と欧州では異なると述べた。「ヨーロッパでは独占を禁止していません」とベステアー氏は欧州議員たちに語った。「米国では法的根拠が違います。我々の場合、成功することは大歓迎だが、成功には責任がともなう、という見方です。そのために、連合条約の第102条があるのです」(条約第102条は、市場で支配的な地位を占める事業者がその地位を悪用することを防ぐことが目的)。

欧州委員会が、デジタル市場における競争法施行を強化するための新しい規制を提案する必要性を感じているのもこのためだ。しかし、DMAが施行されるまでには何年もかかるだろう。

そして、その間にEU規制当局は、グーグルがFitbitの宝庫から人々の健康データをわしづかみにし、個人情報の支配を拡大するのを許すことになる。後でやってくる完全な搾取のために。

いずれにしても、ハーバード大学のShoshana Zuboff(ショシャナ・ズボフ)教授が先に警告した(未訳記事)ように、監視資本主義のビジネスの野望は今や単なるターゲット広告をはるかに超えた規模になっている。目標は「確実性に近づくにつれてより儲かる予測のために」データを使用することだ、と彼女は警鐘を鳴らす。社会は、巨大テック企業の「認識論的クーデター」に歯止めをかけるために、公共の利益のために介入しなければならない、とも。

健康データから生成された正確な予測が、グーグルにとって非常に有益になる可能性があるのは確かだ(同社は近年、健康部門への投資を拡大している)。

それが最終的に人類にとって、善になるか悪になるかは今のところわからない。しかし、規制当局が簡単にサイコロを振って良い類のギャンブルではない。欧州委員会は競争法施行のために便利なバイパスをビッグテックに与えている一方で、道端をいじくり回しているだけだという向きも多い。

この戦いに参加してくれたすべての人に感謝しています。正当で誠実な戦いだと思いました。

個人的には大きな敗北です。大局的な見地から言えば、世界的に禁止されたビッグテックの合併は今のところ0(ゼロ)のままです(合併の総数は1000、増え続けています)。

関連記事
複数州にまたがる最新グーグル反トラスト訴訟は広告ビジネスが標的
EU競争政策担当委員の提言「巨大ハイテク企業を分割してはいけない、データアクセスを規制せよ」

カテゴリー:その他
タグ:GoogleFitbitEU買収

画像クレジット:Fitbit

原文へ

(翻訳:Nakazato)

英国のEU離脱を受けFacebookが同国の個人データをEU個人情報保護法の管轄外へ移転

英国の欧州連合(EU)離脱による取引条件の変更が迫る中、Facebook(フェイスブック)は、先行したGoogle(グーグル)に倣って(未訳記事)、英国の数千万人にのぼるユーザーの個人データを、EUの個人情報保護法の管轄外となる米国(そのような包括的な個人情報保護の枠組みを持たない)に2021年に移動させることになっていると、米国時間12月15日にReuters(ロイター)が報じた

この切り替えを認めたフェイスブックは、ロイターに次のように述べている。「他の企業と同様に、フェイスブックはBrexit(英国のEU離脱)に対応するための変更を行う必要があったので、フェイスブックアイルランドから(米国の)Facebook Inc.(フェイスブック・インク)に、英国のユーザーのための法的責任と義務を移転することになります」。

「プライバシー管理やフェイスブックが英国の人々に提供するサービスに変更はありません」とフェイスブックは付け加え、EUから米国への移行は、データとプライバシーの法的保護において大幅な格下げを必然的に伴うという事実を無視した表現を用いている。

ロイターによると、フェイスブックは今後6カ月以内にこの切り替えについてユーザーに通知するという。この法的な変更に不満がある場合、ユーザーはInstagram(インスタグラム)やWhatsApp(ワッツアップ)も含むフェイスブックが提供するサービスの使用を停止する「選択肢」が与えられる。

グーグルが2月に(未訳記事)英国のユーザーに関して同様の法的移行を発表したときにお伝えしたように、EU子会社から米国に移動させるという動きは、EUの基準から離れることを決めた英国の国民投票の結果を受けてのものだ。そのEUの基準の中には、長年維持されてきたデータ保護の枠組みも含まれる。

Brexit移行期間の終了まであと数日となった現在、英国がEUとの貿易協定を得るのか、それとも協定なしで離脱するのかはまだ不明だ。後者の場合、英国はEUからデータの適切性に関する協定も得られない可能性が高まり、データ保護基準に関する将来の乖離が生じやすくなる(EU・英国間における摩擦のないデータフローの維持に向け、継続的な協力を行うための「ニンジン」がないため)。

英国はまた、データを活用した経済復興を望んでいることを明らかにし、9月に(未訳記事)「国家データ戦略」を発表した。これは新型コロナウイルス感染拡大時におけるデータ共有を、復興後の新たな基準とするものだ。

この文書で、英国政府は「国内のベストプラクティスを推進し、国際的なパートナーと協力して、データが国境や分断された規制体制によって不適切な制約を受けないようにして、その潜在能力を最大限に活用できるようにする」ことを計画していると述べている。これはデータ保護の概念全体に影を落とすものだ。

それ以来、プライバシーの専門家たちは、(EU離脱後の)日英貿易協定が英国の既存のデータ保護体制(これはいまのところ、転換されたEUの規定に基づいている)を弱体化させており、Open Rights Group(オープン・ライツ・グループ)が2020年11月に警告した(Open Rights Groupブログ)ように、「データ保護の取り決めが弱い、または自主的に行っている」国への個人データの流出を可能にするおそれがあると、懸念を表明している(Open Rights Groupブログ)。

米国は、データ保護のための包括的な枠組みを欠いている国の1つだ。カリフォルニア州は独自の消費者プライバシー法を可決し、11月には住民投票でこの制度を強化することを決めている。しかし、連邦レベルではGDPR(EU一般データ保護規則)に相当するものはまだない。

英国のEU離脱後の基準がどこに向かっているのかという不確実性が非常に強いため、グーグルやフェイスブックのような大手テック企業が、EUのプライバシー規則の下における責任を軽減する機会を得ようとしていることは不思議ではない。フェイスブックの場合、ダブリンにある子会社の管轄から4500万以上の英国ユーザーを削除することになる。

ヨーロッパの最高裁判所が下した最近の「シュレムスII」判決(未訳記事)もまた、個人データをEUから米国へ転送することに関する法的リスクと不確実性を増大(未訳記事)させており、フェイスブックにその英国における契約条件を再構築するためのもう1つの潜在的な理由を与えている。

もちろん、英国のユーザーが失うプライバシー保護を考えれば、これはあまり良いことではない。

しかし、今回問題なのは、巨大テック企業ではなくBrexitの方だ。Brexitはこの場合、英国のユーザーは2021年から、自分たちの政府が米国のような国と貿易取引を結ぶために、国家のプライバシー基準を廃棄すると決めないように祈らなければならないことを意味する。フェイスブックが自分たちのプライバシーの利益に気を配ってくれると信じつつ(未訳紀伊J)。

そう、英国のデータ保護法は適用され続ける。幸運(未訳記事)にも英国個人情報保護監督機関(未訳記事)があなたの権利のために立ち上がってくれたらだが。

しかし、EUの法律によって定められている包括的な保証は2021年に消え失せる。

2018年に成立した米国のクラウド法(未訳記事)では、すでにインターネットサービスの利用者に関するデータを、捜査目的などで英米の機関が容易にやり取りできるようになっている。

その一方で英国政府には、監視社会(未訳記事)や暗号化への攻撃(未訳記事)に対する憂慮を巻き起こした実績もある。

英国が新たに打ち出した、インターネットサービスを規制する「子供の安全に焦点を当てた(未訳記事)」計画では、コンテンツ監視やIDチェックを義務づけるため、強力な暗号化を使用しないようにデジタルサービスに圧力をかけているようにも見える。

つまり、Brexitとは、簡単にいえば、英国人のプライバシーとオンラインの自由を速やかに減らし、データの分野におけるコントロールを取り戻すことの反対を意味するようになっているということだ。

関連記事
カリフォルニア州消費者プライバシー法が1月1日に発効
英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

カテゴリー:ネットサービス
タグ:イギリスEUFacebookGoogleプライバシー個人情報GDRPBrexit

画像クレジット:Justin Sullivan / Getty Images

原文へ

(翻訳:TechCrunch Japan)

欧州理事会は暗号化データを守りたいが合法的にアクセスもしたい

個々のEU加盟国政府を代表する組織である欧州理事会は、データの暗号化に関する議案(欧州理事会リリース)を可決した。これは同理事会が「security through encryption and security despite encryption」(暗号化によるセキュリティと暗号化に対するセキュリティ)と称するものだ。

「管轄権を有する公共機関は、基本的人権およびそれに関連するデータ保護法に完全に準拠し、サイバーセキュリティを保持しながら、合法的に明確な目的のもとでデータにアクセスできなければならない」と同理事会は書いている。

2020年11月、理事会決議案の草案に関して、ヨーロッパの一部メディアは、EUの政治指導者たちはエンド・ツー・エンドの暗号化の禁止を推し進めていると報じたが、草案にも最終的な決議案(12月14日に公表)にも、そのようなことは明示されていない。反対に、どちらも「強力な暗号化方式の開発、実装、利用」の推奨を表明している。

可決(欧州理事会リリース)されたばかりのこの(法的拘束力のない)決議書では、EUの政策議題を決定する責任を負う同理事会の強固な暗号化を支持すると同時に、電子的証拠が収集できるよう暗号化されたデータの目標を明確にした合法的なアクセス権も求めている(テロ、組織犯罪、児童の性的虐待、その他のサイバー犯罪とサーバー空間を悪用した犯罪などの犯罪活動に「効果的」に対抗するため)。

決議書には、その2つの側面の「適切なバランス」が必須だが、EUの主要な法的原則(必要性や均衡など)を考慮すべきと書かれている。決議書がそうしなければならないと書いているように、「暗号化によるセキュリティと暗号化に対するセキュリティの原則を完全に擁護する」ためだ。

欧州理事会はまたこの決議を、通信のプライバシーとセキュリティが暗号化によって守られ、同時に「デジタル世界における重大犯罪、組織犯罪、テロと戦うという合法で明確な目的のため、セキュリティおよび刑事司法が適法に関連データーにアクセスできる権限を有する」という点で「非常に重要」と位置づけている。

「いかなる行動も必要性、均衡、実権配分との利害のバランスを慎重に保たなければならない」と、ここでも政治的優先度が、強力な暗号化の難しい二元論と再び衝突(未訳記事)する中で、理事会は謳っている。

理事会は、この不可能な課題をEU議会がどのような政策で解決するかは明確にしていない(要は、他のすべての人の暗号はそのままに、どうやって犯罪者の暗号だけを解除するかだ)。

だが彼らは、暗号化を、簡単にかたちが変えられる矛盾撞着に作り変える、この最新の無益な努力にテック業界を巻き込みたいと考えている。議定書には「テック業界の力を加え」と明示されているからだ。とはいえ、不確かなセキュリティ(確かな危うさともいえるが)の神聖な(不浄な)バランスを探すというほかに、具体的にどのようなかたちで「援助」を求めるかは明らかではない。

「暗号化されたデータにアクセスするための技術的ソリューションは、最初から個人データ保護対策が組み込まれ、それが初期設定で有効になっていることを含め、合法性、透明性、必要性、均衡性の原則に準拠していなければならない」と理事会は続け、この文脈の中に「適法」なアクセスの意味を定義している(こう明言することで、バックドアの強制はできないことが十分に明らかにされている。なぜなら、バックドアは不均衡で不必要で卑劣で不法になりかねないからだ)。

議定書の後半で理事会は、その監視下で暗号を解除するための技術的ソリューションは、EU全体で通用する単一の汎用な方法を強制するものではないと明言している。正確にはこうある。「暗号化されたデータへのアクセスを可能にする単一の技術的ソリューションを規定するべきではない」。

「定められた目標を達成する方法は1つではない。政府、産業界、研究機関、学界は、透明な協力関係において戦略的にこのバランスを生み出す必要がある」とも書かれている。議員と業界との秘密の会合が持てる安全な場所は、もう存在しないといっているようなものだ(そうしなければ「いやそれでも法的に怪しいものだけに目標を定めたバックドアなら作れるんじゃない?」といった本性を抑えることができない)。

「有望なソリューションは、国内外の通信サービスプロバイダーとその他の利害関係者との透明なかたちの協力関係の下で開発されるべき」だと理事会はいっている。ここでもまた、「目標を明確にした適法な」アクセスの期待に応えるために政治家と技術提供者が秘密の取り決めをすることを明らかに禁じている。ただし、彼らが政治家と業界の利害関係者(さらに関連する学術研究者も含まれる可能性がある)のための、しかし公共および通信サービスのユーザー自身のためでは決してない透明化のために、なぜだか協力したいと考えた場合は除外される。議定書の条文そのものには書かれていないまでも、それでは「透明にやる」精神に反してしまうためだ。

暗号化戦争における今回の一斉砲撃も、EU議員たちがテック業界と手を組んでバックドアを強制し暗号を解除する方向へ突き進むという、大きな懸念を払拭するものではない。

だが、そうでもなければイライラするほど一挙両得主義的な理事会の決議が、その(不可能ではあるが)目標の達成のために、単一の技術的ソリューションの導入を拒絶したことは注目に値する。(「有望」な、そして運用可能な複数の技術的ソリューションを探すための手引きを単にいくつか提示しただけだが)。

従ってこの決議は、(政治的)取り組みめいたものを、頑張っているように見せるためのものであり、せいぜい関係機関の長をテーブルの周りに集めて利害関係者に事情を説明して、みんなが仲間であることを確認し合うためだけのものだ。ただこれにより理事会は、EU全域の研究機関に新技術の審査と分析のための協調と共同作業(および「専用の高度なトレーニング」の提供)を呼びかけ、同時に研究機関および大学に「強力な暗号化技術の実装と使用を確実に継続させる」ことで、同じ研究が重複する無駄を省くことはできる。

理事会はまたEU域内のあらゆる法執行機関が陥りがちな、自分たちを愚か者に見せるだけのエンド・ツー・エンドの暗号化への玉砕攻撃という落とし穴を避ける方法も模索している。その代わりとして彼らは、ここで一致団結して「暗号化によるセキュリティと暗号化に対するセキュリティ」という愚かなスローガンの背後やてっぺんにしがみ付いた。暗号化への愚行がこれで終わることを願って。

先週(未訳記事)、EU議員たちは、幅広いテロ対策の一環として「適法」なデータアクセスに取り組むとも話していた。これに欧州理事会は「加盟国と協力し、通信のプライバシーとセキュリティを確保しつつ、暗号化されたデータに適法にアクセスできる合法的で運用可能な有望な技術的ソリューションの特定と、通信のプライバシーとセキュリティを保つ上での効率的な暗号化方式と、犯罪やテロへの効果的な対処法の提供を両立させるアプローチを推進する」ことを約束している。

それでもやはり、この話には暗号化されたデータへの適法なアクセスを行うための「有望なソリューション」を探すという議論を超えるものがない。しかも、暗号化の実効性は保持すると、EU議員たちは同じ口でいっている。いつまでも堂々巡り(未訳記事)だ……。

関連記事:ヨーロッパが暗号化のバックドアを必要としている?

カテゴリー:セキュリティ
タグ:EU暗号化バックドア

画像クレジット:Bob Peters Flickr under a CC BY 2.0 license.

原文へ

(翻訳:金井哲夫)

欧州理事会は暗号化データを守りたいが合法的にアクセスもしたい

個々のEU加盟国政府を代表する組織である欧州理事会は、データの暗号化に関する議案(欧州理事会リリース)を可決した。これは同理事会が「security through encryption and security despite encryption」(暗号化によるセキュリティと暗号化に対するセキュリティ)と称するものだ。

「管轄権を有する公共機関は、基本的人権およびそれに関連するデータ保護法に完全に準拠し、サイバーセキュリティを保持しながら、合法的に明確な目的のもとでデータにアクセスできなければならない」と同理事会は書いている。

2020年11月、理事会決議案の草案に関して、ヨーロッパの一部メディアは、EUの政治指導者たちはエンド・ツー・エンドの暗号化の禁止を推し進めていると報じたが、草案にも最終的な決議案(12月14日に公表)にも、そのようなことは明示されていない。反対に、どちらも「強力な暗号化方式の開発、実装、利用」の推奨を表明している。

可決(欧州理事会リリース)されたばかりのこの(法的拘束力のない)決議書では、EUの政策議題を決定する責任を負う同理事会の強固な暗号化を支持すると同時に、電子的証拠が収集できるよう暗号化されたデータの目標を明確にした合法的なアクセス権も求めている(テロ、組織犯罪、児童の性的虐待、その他のサイバー犯罪とサーバー空間を悪用した犯罪などの犯罪活動に「効果的」に対抗するため)。

決議書には、その2つの側面の「適切なバランス」が必須だが、EUの主要な法的原則(必要性や均衡など)を考慮すべきと書かれている。決議書がそうしなければならないと書いているように、「暗号化によるセキュリティと暗号化に対するセキュリティの原則を完全に擁護する」ためだ。

欧州理事会はまたこの決議を、通信のプライバシーとセキュリティが暗号化によって守られ、同時に「デジタル世界における重大犯罪、組織犯罪、テロと戦うという合法で明確な目的のため、セキュリティおよび刑事司法が適法に関連データーにアクセスできる権限を有する」という点で「非常に重要」と位置づけている。

「いかなる行動も必要性、均衡、実権配分との利害のバランスを慎重に保たなければならない」と、ここでも政治的優先度が、強力な暗号化の難しい二元論と再び衝突(未訳記事)する中で、理事会は謳っている。

理事会は、この不可能な課題をEU議会がどのような政策で解決するかは明確にしていない(要は、他のすべての人の暗号はそのままに、どうやって犯罪者の暗号だけを解除するかだ)。

だが彼らは、暗号化を、簡単にかたちが変えられる矛盾撞着に作り変える、この最新の無益な努力にテック業界を巻き込みたいと考えている。議定書には「テック業界の力を加え」と明示されているからだ。とはいえ、不確かなセキュリティ(確かな危うさともいえるが)の神聖な(不浄な)バランスを探すというほかに、具体的にどのようなかたちで「援助」を求めるかは明らかではない。

「暗号化されたデータにアクセスするための技術的ソリューションは、最初から個人データ保護対策が組み込まれ、それが初期設定で有効になっていることを含め、合法性、透明性、必要性、均衡性の原則に準拠していなければならない」と理事会は続け、この文脈の中に「適法」なアクセスの意味を定義している(こう明言することで、バックドアの強制はできないことが十分に明らかにされている。なぜなら、バックドアは不均衡で不必要で卑劣で不法になりかねないからだ)。

議定書の後半で理事会は、その監視下で暗号を解除するための技術的ソリューションは、EU全体で通用する単一の汎用な方法を強制するものではないと明言している。正確にはこうある。「暗号化されたデータへのアクセスを可能にする単一の技術的ソリューションを規定するべきではない」。

「定められた目標を達成する方法は1つではない。政府、産業界、研究機関、学界は、透明な協力関係において戦略的にこのバランスを生み出す必要がある」とも書かれている。議員と業界との秘密の会合が持てる安全な場所は、もう存在しないといっているようなものだ(そうしなければ「いやそれでも法的に怪しいものだけに目標を定めたバックドアなら作れるんじゃない?」といった本性を抑えることができない)。

「有望なソリューションは、国内外の通信サービスプロバイダーとその他の利害関係者との透明なかたちの協力関係の下で開発されるべき」だと理事会はいっている。ここでもまた、「目標を明確にした適法な」アクセスの期待に応えるために政治家と技術提供者が秘密の取り決めをすることを明らかに禁じている。ただし、彼らが政治家と業界の利害関係者(さらに関連する学術研究者も含まれる可能性がある)のための、しかし公共および通信サービスのユーザー自身のためでは決してない透明化のために、なぜだか協力したいと考えた場合は除外される。議定書の条文そのものには書かれていないまでも、それでは「透明にやる」精神に反してしまうためだ。

暗号化戦争における今回の一斉砲撃も、EU議員たちがテック業界と手を組んでバックドアを強制し暗号を解除する方向へ突き進むという、大きな懸念を払拭するものではない。

だが、そうでもなければイライラするほど一挙両得主義的な理事会の決議が、その(不可能ではあるが)目標の達成のために、単一の技術的ソリューションの導入を拒絶したことは注目に値する。(「有望」な、そして運用可能な複数の技術的ソリューションを探すための手引きを単にいくつか提示しただけだが)。

従ってこの決議は、(政治的)取り組みめいたものを、頑張っているように見せるためのものであり、せいぜい関係機関の長をテーブルの周りに集めて利害関係者に事情を説明して、みんなが仲間であることを確認し合うためだけのものだ。ただこれにより理事会は、EU全域の研究機関に新技術の審査と分析のための協調と共同作業(および「専用の高度なトレーニング」の提供)を呼びかけ、同時に研究機関および大学に「強力な暗号化技術の実装と使用を確実に継続させる」ことで、同じ研究が重複する無駄を省くことはできる。

理事会はまたEU域内のあらゆる法執行機関が陥りがちな、自分たちを愚か者に見せるだけのエンド・ツー・エンドの暗号化への玉砕攻撃という落とし穴を避ける方法も模索している。その代わりとして彼らは、ここで一致団結して「暗号化によるセキュリティと暗号化に対するセキュリティ」という愚かなスローガンの背後やてっぺんにしがみ付いた。暗号化への愚行がこれで終わることを願って。

先週(未訳記事)、EU議員たちは、幅広いテロ対策の一環として「適法」なデータアクセスに取り組むとも話していた。これに欧州理事会は「加盟国と協力し、通信のプライバシーとセキュリティを確保しつつ、暗号化されたデータに適法にアクセスできる合法的で運用可能な有望な技術的ソリューションの特定と、通信のプライバシーとセキュリティを保つ上での効率的な暗号化方式と、犯罪やテロへの効果的な対処法の提供を両立させるアプローチを推進する」ことを約束している。

それでもやはり、この話には暗号化されたデータへの適法なアクセスを行うための「有望なソリューション」を探すという議論を超えるものがない。しかも、暗号化の実効性は保持すると、EU議員たちは同じ口でいっている。いつまでも堂々巡り(未訳記事)だ……。

関連記事:ヨーロッパが暗号化のバックドアを必要としている?

カテゴリー:セキュリティ
タグ:EU暗号化バックドア

画像クレジット:Bob Peters Flickr under a CC BY 2.0 license.

原文へ

(翻訳:金井哲夫)

iPhoneの耐水性表記がユーザーの誤解を招くと伊伊公取委がアップルに罰金12.5億円通達

Apple(アップル)はiPhoneを「耐水」として販売しているが、その限界については公表せず、保証も液体による損傷は対象外としていることから、イタリアでは煮え湯を飲まされている。

イタリアの公正取引委員会(AGCM)は、2017年10月からのiPhoneの多くの機種(iPhone 8からiPhone 11まで)の販売と保証方法に関する商慣行に、1000万ユーロ(約12億5000万円)の罰金を科する意図があると発表した。これはアップルの耐水性に関する宣伝と、それにも関わらず水による損傷の修理代金の補償を拒否しているという消費者の苦情を調査した結果だ。

米国時間11月30日、Reutersを通じて公開された、2020年10月末にAGCMが下した決断を示す書類では、アップルの商慣行が「誤解を招く」ものであり「攻撃的」であることから、同委員会はアップルがイタリアの消費者法に二重に違反していると判断している。

AGCMの調査で明らかになったのは、iPhoneのマーケティングにおいて、アップルは消費者を騙してiPhoneが単なる耐水仕様であるにも関わらず、防水仕様であるかのように思わせており、この仕様上の制限は、広告では十分に目立つ形で示されていない点だ。また、液体による損傷を免責事項に含めたアップルの保証は、耐水性を謳った大々的な宣伝とは裏腹に、消費者の権利義務を回避するための積極的な試みだとしている。

アップルは液体との接触状態を表示するインジケーターをiPhoneに内蔵している。液体に接したときに白からシルバー、赤へと変化するこの表示の確認は、アップルの修理担当者が標準的に行うべき手順となっている。

AGCMの報告書には、消費者からの苦情の実例が盛り込まれている。1つは潮水に「少し沈めた」iPhoneの保証適用が拒否されたというもの。2つめとなる別の苦情には、蛇口の水道水でiPhoneを洗ったというものもある。アップルはそれを不適切な使用法と見なした。

3つめの苦情は、購入してから1カ月のiPhone XRが、水に触れた後に動かなくなったというものだ。アップルからは新品に買い換えろといわれた(補助金付きではあるが)。

購入してから1年目のあるiPhone XSユーザーは、一度も水に濡らしたことがないにも関わらず、アップルサポートから濡らしたことがあるといわれ、保証を拒否された事例を報告している。耐水仕様を説明した小さな紙に書かれている時間と水深を超えて水に浸した経歴がないことを証明する手段が消費者にはないと、その人は同委員会に訴えている。

我々は、AGCMの調査結果に関してアップルに意見を求めている。

この巨大テック企業には、AGCMが罰金を科する意向を通知されてから控訴するまでに、60日間の猶予が与えられる。

この金額は、2018年9月から2019年9月までのアップルのイタリアにおける事業による収益の半分にも満たないと同委員会は話している。この時期同社は、製品の販売とサービスで5865万2628ユーロ(約73億700万円)、営業利益で2691万8658ユーロ(約33億5000万円)を記録している。

2年前も(未訳記事)、イタリアの公正取引委員会はアップルとSamsung(サムスン)に対して、諸費者にデバイスを破損させたり速度低下を招く恐れのあるソフトウェアのアップデートを強引に勧めたとして、およそ1500万ドル(15億6000万円)の罰金を科した。2020年の2月、古いバッテリーを搭載したiPhoneでのOSの性能を制限したとして、フランスはアップルに2700万ドル(約28億1600万円)の罰金を科した。

アップルは、ヨーロッパの他の地域の公正取引委員会からも、ずっときなペナルティの危機に直面している。フランスの公正取引委員会は、今年の3月(未訳記事)に、12億ドル(約1250億円)の罰金を通達した。Ingram Micro(イングラム・マイクロ)とTech Data(テック・データ)という2つの卸売りパートナーと組んで、小売り業者のカルテルを操っていたとの訴えだ。

さらにアップルは、2019年にランス当局から言い渡された5億ユーロ(約623億円)の追徴課税を支払わなければならない。

アップルが欧州本社で得た収益のうち150億ドル(約1兆5700億円)は、エスクロー口座に置かれている。これは、2003年から2014年にかけて、同社はアイルランドの法人税の課税方式を利用して不当に利益を得ていたとして2016年に欧州委員会が科したState Aid(国家援助)違反の罰金(未訳記事)の支払い用だ。

7月(未訳記事)、アップルとアイルランドは、この訴えに対する最初の控訴に勝利した。しかし、欧州委員会が9月に控訴したことで、この訴訟は欧州連合司法裁判所に持ち込まれることになり、法的論争がさらに数年間長引くことが予想される。

EUの議員たちは、EU全域に適用されるデジタル税(未訳記事)の改革を推し進めているが、その一方では、独自のデジタル税を打ち立てようとする加盟国もある。

関連記事
AppleがiPhoneの性能を勝手に抑えたことにフランスが罰金を科す
EUがアップルに対する1.5兆円超の罰金命令を棄却した判決を上訴
フランスが大手テック企業への課税開始へ

カテゴリー:ハードウェア
タグ:AppleiPhoneEUイタリア

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)

GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念

欧州の消費者保護団体を統括する組織BEUC(ビューク)は新しい報告書を発表し、EUにおける個人データ保護の枠組みの要であるGDPR(一般データ保護規則)の効果的な執行が国境によって阻害されていると伝えた。EU域内の今後数十年間にわたるデジタル環境の監視体制を形作ろうと模索する各国の議員や規制当局には読むのが辛い内容となった。

BEUCの参加団体は、2018年11月(未訳記事)にGoogle(グーグル)の位置情報の利用に関して数多くの訴えを起こしている。このプライバシー侵害の懸念が提起されて2年が経つが、いまだに解決策は見られていない。

The Consumer Voice 2年で火星着陸ミッションは成功できても、グーグルの位置追跡がGDPR違反ではないのか、その不正に罰金を課すか否かは、2年経っても決められずにいる。
The Consumer Voice 2018年からEU、米国、オーストラリアで、位置情報の収集と利用に関してグーグルが告訴されている。それからグーグルが2510億ドル(約26兆1200億円)もの広告収入を得る間、何もできていない。

この巨大テック企業は、インターネットユーザーの位置情報を処理して商品化しつつ、数十億ドル(数千億円)単位の広告収入を稼ぎ続けている。GDPRの下で国境を越えた告訴に対応するワンストップショップであり、データ保護監督の中核であるアイルランドのデータ保護委員会(DPC)は、2020年2月(未訳記事)になってようやく捜査を開始した。

だが欧州で、位置情報の追跡に関してグーグルに何らかの法的措置が下されるのは、これから何年も先になるだろう。

なぜなら、GDPRが施行されて2年半になるにも関わらず、アイルランドDPCは国境を越えたGDPRとしての判断を何ひとつ示していないからだ。だが、先日お伝えしたとおり、Twitterのデータ漏洩に関するケース(未訳記事)は、ゆっくりながらも間もなく示されるはずの結論に近づいている。

それとは対照的に、フランスのデータ監視組織CNILは、グーグルのデータ処理の透明性に関するGDPRの捜査を、ずっと手早く(未訳記事)2019年のうちに済ませている。

しかも今年の夏(未訳記事)、フランスの裁判所はグーグルの訴えを退け、CNILが求めた5700万ドル(約60億円)の罰金の支払いを言い渡した。

だが、この一件はグーグルがDPCの司法権の下に入る前のものだ。さらに、アイルランドに拠点を置く多国籍テック企業の多さを考えると、このデータ規制当局は膨大な数の企業を相手にしなければならない。

Apple(アップル)、Facebook(フェイスブック)とWhatsApp(ワッツアップ)、LinkedIn(リンクトイン)といった数々のテック企業に対する20件以上のGDPR捜査を含むDPCの国境を越える案件には、強力な支援者がある。グーグルも、2019年から(未訳記事)アドテック関連の捜査をアイルランドで受けている。

今週、EUの域内市場委員のThierry Breton(ティエリー・ブルトン)氏は、各国の議員はGDPRの執行力の「ボトルネック」(未訳記事)をよくわかっていると話した。

欧州委員会は、その摩擦から教訓を得たと彼は示唆している。つまり彼は、自身が公言しているデータの再利用に関連する将来の規制案作り(未訳記事)に、同様の懸念が影響を与えることはないと主張しているのだ。

欧州委員会は、EUの個人データ監視体制に組み込まれているものと同様の監視メカニズムを提唱する新しいデータガバナンス法(DGA)を通じて、EU域内における人権を尊重した産業データの再利用(未訳記事)に標準条件を構築したいと考えている。これには、コンプライアンスを監視する国家機関や、中央集権的なEUの運営機関(これを彼らは欧州データ保護委員会の姉妹組織として欧州データイノベーション委員会と命名する計画だ)。

EUのデジタル規則の枠組みを改善して拡張するという欧州委員会の計画は野心的だが、つまりこれは、GDPRへの提案書のインクが乾く前にDGAの輝きが失われてしまうとのGDPRへの批判だ。またこれは、GDPRの執行力の「ボトルネック」を解消する創造的な方法を探すよう、議員たちにプレッシャーを与えるものでもある(国家機関は日々の監視に責任があり、EU加盟国はDPAを支援する責任があるため創造性が求められる)。

20202年夏に行われた最初の審査では、欧州委員会はこの規制が、カリフォルニアのCCPA(消費者プライバシー法)や、世界中で成立され始めたデジタルプライバシー保護のための枠組みに影響を与えたと断言し、「現代的で水平的な法律」であり「グローバルな基準点」だと称賛した。

だが同時に、GDPRの執行力に関する内容が欠けていることを、彼らは懸念している。

この懸念に対する最良の答えは「重要な案件はアイルランドのデータ保護機関が判断すること」だとEUの司法担当委員Didier Reynders(ディディア・レインダーズ)氏は6月に述べている(未訳記事)。

あれから5カ月が経過するが、ヨーロッパの人々はまだ待ち続けている。

BEUCの「ザ・ロング・アンド・ワインディング・ロード:GDPRから2年:消費者の視点による国境を越えたデータ保護問題」と題された報告書は、どの国のDPCに提訴すべきかという段階で、EU加盟国の各団体が直面した手続き上の障壁を詳しく説明している。

これには、アイルランドDPCが不必要な「情報と有効性のチェック」を行っており、第三者による是正が禁じられているアイルランドの法律では権限がないとして、現地の関係団体から持ち込まれた訴訟を拒否しているとの懸念も含まれている(オランダの消費者団体はオランダの法律に従って訴訟を起こし、受理されている)。

報告書はまた、アイルランドDPCがグーグルの位置情報に関連する活動に対して独自の判断で(苦情にもとづくものではなく)取り調べを開始した理由についても疑問を呈している。これが苦情そのものに対する判断を遅らせてしまいかねないと、BEUCは恐れている。

さらにこれは、アイルランドDPCによるグーグルの捜査の対象は、苦情が申し立てられた2018年からではなく、2020年2月からの活動のみであることも指摘している。つまり、まだ捜査されていないグーグルの位置情報処理については不明のまま残されることになる。

グーグルへの訴訟に参加しているEU加盟国の3つの団体は、アイルラドDPCの判断について司法審査の申請を考えていた。他の団体はその方法に頼っている(未訳記事)。しかし、それにかかる訴訟費用が膨大であることから、彼らは申請を取りやめた。

またこの報告書は、訴訟の処理を、捜査を受けている企業の所在地に移してしまうGDPRのワンストップショップ式のメカニズムには、本来的にバランスの偏りがあるとも指摘している。そのため、「司法へのアクセスが簡単なほう」が有利になってしまう(これに対して一般消費者は、言葉も違うであろう別の国での司法手続きを強いられることになる)。

「主導的な委員会が、アイルランドのような判例法に従う伝統を持つ国にあった場合は、物事はより複雑になり、コストも嵩む」とBEUCの報告書では述べられている。

報告書が提起するもう1つの問題に苦情を申し出た側が、「動く標的」と呼ばれるものと戦う権利に関する大変に重要なものがある。大きな力を持つテック企業は、規制当局の遅延をいいことに、業務内容を(表面的)に微調整し、誤解を招くPRキャンペーンによる不正な活動を円滑化できてしまう(グーグルがそうしていると、BEUCは批判している)。

各国のDPCは、「その執行方法を、より迅速に直接的に介入する方向に調整すべき」と報告書は結論付けている。

「GDPRが適用されてから2年以上が経過し、私たちは転換点に差し掛かっています。GDPRは、今こそその力を発揮し、喫緊の課題であるビジネス慣行の変革の触媒になるべきです」とBEUCは提言の結論部分で述べている。「私たちのメンバーと、他の市民社会団体の経験から、GDPRの効果的な適用と、その執行システムの適正な機能を大きく阻害する数々の障壁が浮き彫りにされています」。

BEUCはEUおよび各国の政府機関に、規則の敏速な執行、データ主体とその代表となる団体の、とりわけ国境を越えた執行案件の枠組みの中での地位の向上を確実にするための、総合的、協働的な取り組みを推奨します」。

TechCrunchでは、同委員会とアイルランドDPCに対して同報告書に関する質問を送った。現在、これを書いている時点では、まだどちらからも返事がない。またグーグルにもコメントを求めている。

【更新情報】アイルランドのDPC副委員長Graham Doyle(グラハム・ドイル)氏は、2020年初めにグーグルの位置情報活動について「前向きな」取り調べを開始した理由として、前に戻って物事がどうだったかを再現するのではなく、「リアルタイム」での捜査を可能にしたかったからだと話した。

またドイル氏は、位置情報に関連するグーグルへの訴訟は、別の時期に別のDPCに提出されていると言う。つまり、一部の苦情がアイルランドに届くまでに非常に長い時間がかかり、2018年11月に届いていないものもあるということだ。そこで、現在の欧州のDPCが主監督DPCに苦情を届ける際の手続きの非効率性という問題が見えてくる。

「問題の苦情は、別の監督機関に2018年11月以降の別の日に届けられています」と彼は話す。「当DPCがそれらの苦情を受け取ったのは2019年7月でした。それを受けて、私たちはBEUCに報告しました。そして、リアルタイムで私たちが入手した情報の裏付けが取れるよう、2020年2月、独自の取り調べを開始したのです」。

BEUCは2月、同委員会に8つの「効率的」なGDPR執行方法(BEUCリリース)の提言を送っている。

関連記事:カリフォルニア州消費者プライバシー法が1月1日に発効

カテゴリー:ネットサービス
タグ:GoogleGDPREUプライバシー

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)