合法だからといって適正だとは限らない

企業は業界標準に準拠していることを吹聴しがちなもの。「プライバシー・シールド準拠」といったロゴ、スタンプ、あるいは何らかの表示を見たことのある人は多いだろう。私たちと同様、FTCですら数か月前に再認識させられたように、このラベルは最初から基準が満たされていることを意味するものではなく、ましてや数年後にようやく政府の査察の対象となったときに準拠することを示すものでもない。

画像クレジット:Westend61/Getty Images

Alastair Mactaggart(アラステア・マクタガート)氏は、CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)の推進を支援した活動家だが、CCPA 2.0への準拠を企業が自ら認証することを可能にする住民投票の実施を、まだ組織されていない政府機関に対して働きかけてきた。その種の広報活動は、プライバシーとセキュリティが重視されるような市場で、競争力を維持したいと考えている企業にとって必須のように思えるが、本当にそうだろうか?ビジネス上の配慮は別として、すべての既存のプライバシー関連の法律を遵守する道徳的義務はあるのだろうか?また、そのような法律への適用除外に依存するような企業は非倫理的なのだろうか?

私は、法律を遵守することと倫理的であることは同じであるという考えは認めない。片方がもう片方を自動的に意味するとも考えない。現実には、その判断は、コスト、顧客数、許容されるリスク、その他の要因に基づいた微妙なものとなる。さらに言えば、自発的な遵守を、信頼感の向上、あるいは利他主義的なものに見せかけることは、実際に消費者にとって有害なものとなる。なぜなら、現在のシステムでは、効果的でタイムリーな監視ができないし、実際に被った害に対して事後に対処するすべもないからだ。

適用除外に頼ることは非倫理的ではない

法律の遵守は倫理性とは直接関係ない。

その中心にあるのは、費用の検討と、その際の微妙な分析だ。プライバシー法は、立法者の希望とは裏腹に、白黒をはっきり付けるような施行ができるものではない。規制の対象となっていないデータの収集が、すべて非道なものというわけでもなく、自発的なものかどうかは別として、法律を遵守する企業が、すべて純粋に利他的だというわけでもない。ペナルティは金銭的負担となるものの、データ収集は多くの会社にとって収入源となる。さまざまなデータの大規模な蓄積から、知識と洞察が得られるし、他の会社も、そうしたデータにアクセスすることを必要とするからだ。

企業は、法律を遵守するためのシステムとプロセスの構築に加え、多くの場合、数千にも及ぶサービスプロバイダーとの既存の契約を改定するために必要となるコストと、そうした法律によって保護される消費者にサービスを提供できなくなることによる営業上の損失をてんびんにかける。

どの法律を適用するのか、という問題もある。ある法律を遵守することによって、免責を与えてくれていた別の法律によって提供される保護を無効にしたり、縮小させてしまう場合がある。たとえばある法律が、セキュリティを保護するために特定の情報を共有することを禁止していたとしても、別の法律は、それを開示することを要求するかもしれない。その場合、データと個人の安全性が低下してしまう。

厳格な法遵守が、プライバシーを重視する会社だという評判を高め、企業の地位を安泰にしてくれることもある。法律は最小限の基準であり、倫理は最大のものを規定することを意図している。たとえ不適合な法律であっても、それを遵守することは、文字通り会社にできる最小限のことだ。それにより、その会社は、それ以外の選択肢が選べなかったり、革新することができない状態に陥る。なぜなら、すでに期待された以上のことをしたとみなしてしまうからだ。こうしたことは、特に技術関連の法律の場合に起こり得る。というのも、立法側が、業界よりも遅れていたり、能力も低いことが多いからだ。

さらに言えば、何が倫理的であるかを決める人も、時間、文化、権力の力学によって異なってくる。全員を対象とする法律の文面を厳格に遵守するのは、同じデータでも異なる業界の企業は違った使い方をする、ということを考慮しないことになる。企業は、どのフレームワークを自発的に遵守すべきなのか、という疑問を抱くこともなく、1つのフレームワークに適合しようとするものだ。「そんなの簡単だ。最も高位で、強力で、厳格な標準を選べばいい」という声が聞こえてきそうだ。そうした形容詞は、みんな連邦プライバシー法について語る際に使われる言葉だ。とはいえ「最高位の」「最大の」「最強の」といった語は、すべて主観的であり、独立して存在できるものではない。特に国家がプライバシー法を、あれこれ寄せ集めて提示してきた際には注意を要する。

マサチューセッツ州は、影響を受けた消費者に対して、企業が詳細を提供することを禁止している。それが、「最大の」消費者保護を提供することだという人はいるに違いない。その一方で、カリフォルニア州が示す規範のように、可能な限り詳しい情報を提示することこそ、「最大の」保護を提供することだと信じている人たちもいるはずだ。どちらが正しいのだろうか?しかも、複数の州をまたいだデータの収集が行われる可能性も考慮しなければならない。そうしたことが起こった場合、どちらの法律が、そのような個人に適用されるのだろうか?

現在、政府機関は十分な監視を実施できない

運営者自身が法に準拠しないことが分かっているウェブサイトに、証明書を貼り付けることは、FTCによって不公平で詐欺的な行為とみなされている。しかし通常FTCには、初めての違反に対して罰金を課す権限がない。またFTCは、企業に対して消費者への補償を命じることができるものの、損害額を算出するのはかなり難しい。

残念ながら、プライバシー侵害による損害は、法廷で証明するのがさらに困難だ。もし勝訴したとしても、獲得した賠償金の大部分は弁護士のところに行ってしまい、個人が受け取る金額は、雀の涙ほどとなってしまう。最高裁判所が、「Clapper v. Amnesty Intern., USA. 133 S. Ct. 1138 (2013)」や「Spokeo, Inc. v. Robins, 136 S. Ct. 1540 (2016)」といった実際の判決で示しているように、詐欺の疑いや、データの損失、誤用によって起こった予想外の損害は、多分に推測的なもののため、訴訟を維持するのも難しい。

利用可能なリソースがほとんどない中、結果を求めて交渉する上で、このことがFTCを弱い立場に置くことになる。司法権は制限されており、銀行や非営利団体を統制することもできないため、FTCができることは、かなり限られているのだ。FTC長官のNoah Phillips(ノア・フィリップス)氏の言葉を借りれば、これは連邦プライバシー法のようなものを制定しない限り、変えることができない。データの利用と、それによる損害に明確な制限を設け、訴訟においては、そうした制限を強制する大きな権限をFTCに与えるものだ。

さらに、こうした法的な制約に加えて、FTCはプライバシーを扱う人員がが不足している。約40人の常勤の専任スタッフが、3億2000万人以上の米国人のプライバシー保護に当たっているのが実情だ。FTCがプライバシーを適切に規制するには、より多くの弁護士、より多くの捜査官、より多くの技術者、そして最先端のITツールを必要としている。それらがなければ、他の案件に対する人員不足を犠牲にしても、特定の調査に資金をつぎ込み続けるしかない。

監視機能を民間企業へアウトソーシングしても、今よりうまくいくとは限らない。理由は単純で、そうした認証は、特に最初の段階では、かなり高く付く。その結果、中小企業の競争力を損なうことになるからだ。さらに、企業内のプライバシー専門家や法務チームとは異なり、認証会社では、法律を文字通りに解釈しようとする傾向が強く、特定の業務におけるデータ利用法のモデルの微妙な違いに対応しようとはしない。

既存の救済策では消費者の損害に対処できない

例えば、ある政府機関が強制措置を実施することになったとしよう。現状では、そうした政府機関が持つ罰則の拘束力では、消費者が被った損害に適切に対処することができない。なぜなら、プライバシー法を遵守することは、するかしないかのオンオフではなく、しかも現在の制度が、金銭的な補償に重点を置いたものだからだ。

たとえ、法律を遵守するための行動が、あらかじめ定められていたとしても、遵守できるようになるには何年もかかり、遵守できていなかった期間に生じた結果に対処できない。

情報開示に基づく積極的な同意を得ていなかったとして、CNIL(情報処理と自由に関するフランスの国家委員会)がVectuaryに正式に警告した例を見てみよう。Vectuaryは、モバイルアプリのユーザーから位置情報データを収集し、小売業者にマーケティングサービスを提供していた。自主規制の協会、IABのTransparency and Consent Framework(透明性と同意のフレームワーク)を実装して開発した意思確認管理プラットフォームを使用したものだった。この警告が特に注目を集めたのも当然だ。Vectuaryは、確立された事業者団体のガイドラインに従っていたにもかかわらず、その同意が無効と見なされたからだ。

この結果CNILは、この方法によるデータの処理を停止し、その期間中に収集したデータも削除するよう、Vectuaryに通告した。この決定は、同社にシステムを再構築することを余儀なくさせたので、1つの勝利としてカウントしてもいいだろう。しかし、そうすることが可能な予算を持っている会社は、どれくらいあるのだろう。そもそも、規制に対処するためのリソースを持っているかどうかも怪しいというのに。さらに言えば、対応には時間がかかる。その間のビジネスモデルはどうなってしまうのか? 政府機関が定めた準拠までの期限の間、準拠していない状態が続くことは、論理的に許されるのだろうか?元のデータが削除されたとしても、すでにデータを共有した関係者や、そのデータを前提に構築した推察は、どうすることもできない。

自己申告による偽のプライバシー・シールド準拠対応策について検討してみると、さらに先行きが暗い。企業のサイトにあるプライバシー・シールドのロゴは、その会社としては、国境を越えたデータ転送が適切に保護されていて、なおかつ転送先の関係者は責任を持ってそのデータを扱うものと、その会社は考えている、ということを基本的に宣言している。従って、ある企業が、そうした基本的な宣言を偽って行なったり、一部の要求事項を満たすことができないことがわかった場合には、そのようなデータ転送は停止させる必要がある。もし、そうした転送が、その会社が提供するサービスの一部であった場合には、そのようなサービス自体を顧客に提供することを、直ちに停止するだけでいいのだろうか?

実際には、必ずしも適用されない法律を遵守しないことを選択するのは、顧客のことを気にかけていないとか、不道徳気にしないといった問題ではないだろう。文字通り「そういう仕組になっていない」ということ。それに、遵守しようとすること自体、消費者にとって何の利益も生み出さないのだ。それは、最終的に重要な、消費者のためになるのだろうか?

【編集部注】著者のPolina Arsentyeva(ポリナ・アルセンティエワ)は、かつて商事関係訴訟を担当する弁護士で、現在はデータ保護を専門としている。フィンテック企業やスタートアップ企業に対して、透明性を保ちつつプライバシーを守る革新的なデータの使用方法について助言している。なお、この記事で表明された見解は著者個人のものであり、彼女の会社、投資家、顧客、その他とは無関係だ。

原文へ

(翻訳:Fumihiko Shibata)

グーグルとFTCの和解で示された子供のプライバシーの価値はわずか181億円

FTC(Federal Trade Commission、連邦取引委員会)は、ネット上での子供のプライバシーの問題に金で片を付けた。金額はたった1億7000万ドル(約181億7000万円)だ。

この金額は、FTCとニューヨーク州検事総長による、YouTubeへの捜査を終了させるための和解金として、Google(グーグル)が支払うことになる。YouTubeは、保護者の同意なしに、子供の個人情報を収集していた疑いが持たれていた。

YouTubeは子供とその個人情報をオンラインで扱う方法に関して、長い間問題をかかえていた。この少額による和解は、FTCとニューヨーク州検事総長が、YouTubeはCOPPA(Children’s Online Privacy Protection Act、児童オンラインプライバシー保護法)に違反していると告発したことの結果としてもたらされたもの。

今回の和解では、GoogleとYouTubeはFTCに1億3600万ドル(約145億3840万円)、ニューヨーク州に3400万ドル(約36億3460万円)を支払うことになった。FTCによれば、この金額は、COPPAが適用された事件としては、FTCがこれまでに受け取った最大の金額だという。Googleは、この程度の金額は、1日もかからずに回収することができる。実のところ、FTCは、YouTubeが子供向けの広告から、どれだけの金額を稼いでいるかを明らかにした民主党のコミッショナーによる反対意見の一部を修正したのだ。

言うまでもないことだが、規制当局による告発を支えていた支持者は、これで満足するはずはない。

「私たちの働きかけによって、YouTubeの長年にわたるCOPPA違反に、FTCがようやく対処せざるを得なくなり、この世界一の子供向けサイトにおいて、子供をターゲットにした行動広告が大幅に少なくなるであろうことを嬉しく思っています」と、CCFC(Campain for a Comercial-Free Childhood=子供に広告を見せないキャンペーン)の事務局長、ジョシュ・ゴーリン(Josh Golin)氏は述べている。「しかしFTCが、もっと実質的な変更を要求していないことや、長年にわたる違法なデータ収集によって子供たちを傷つけた責任を、もっとGoogleに負わせようとしないことには、非常にがっかりしました。不適切なコンテンツから、おすすめ機能、過大なスクリーンタイムに至るまで、保護者のありとあらゆる懸念は、すべて元を正せば、データを活用して視聴時間と広告収入を最大化しようとする、Googleのビジネスモデルによるものなのです」。

この和解により、CCFCをはじめ、その他の支持団体がきっかけとなって開始された1年間の調査が終了する。

FTCとニューヨーク州検事総長からの申し立ては、GoogleがYouTubeの子供向けチャンネルの視聴者のCookieを利用して、インターネット上で視聴者を追跡していたことを問題にするもの。あらかじめ保護者の許可も得ていなかった。

COPPAのルールでは、子供を対象とするウェブサイトやオンラインサービスは、データ収集に関する慣行を公表し、13歳未満の子供に関する情報を吸い上げる前には、保護者、または後見人の同意を得る必要がある。これにはCookieの利用も含まれる。サードパーティのネットワークも、13歳未満の子供の個人情報を扱っていることが分かっている場合には、COPPAのルールを順守しなければならない。

「YouTubeは、子供たちからの人気の高さを、見込まれる顧客に高値で売り渡したのです」と、FTCのジョー・シモンズ(Joe Simons)会長は声明で述べている。「しかし、COPPAのルールへの準拠という点に関して言うと、YouTubeが提供するサービスの一部について、明らかに子供向けなのに、同社はそれを認めることを拒否しました。それでも、YouTubeが法律に違反していることの言い訳にはなりません」。

YouTubeは、広告主とのやり取りの中で、ユーザーが13歳未満ではないと主張することによって、法の適用を回避していたのだ。そのくせ、Mattel(マテル)やHasbro(ハスブロ)といった玩具メーカーには、「6〜11歳の子供にリーチする手段としては、トップのテレビ番組よりも、今ではYouTubeの方が上だ」と宣伝していた。

YouTubeとGoogleとの和解では、子供を対象とするコンテンツであることを、チャンネル所有者が指定できるようなシステムを開発し、運用することを両社に課している。それによって、YouTubeがCOPPAルールに確実に準拠できるようにするわけだ。また両社は、子供向けのコンテンツはCOPPAのルールに従う必要があることを、チャンネル所有者に伝えなければならない。

子供をターゲットにした広告を表示し、同意なしに情報を収集したとして罰金を科された企業は、GoogleとYouTubeだけというわけではない。Oath(現在はVerizon Media Groupと呼ばれ、実質的にTechCrunchのオーナー)には、同様の違反に対して、500万ドル(約5億3450万円)の和解金の支払いを余儀なくされた過去がある。最近では、Musical.ly(現在のTikTok)が、COPPA違反に対して、当時として記録的な570万ドル(約6億933万円)の罰金を科されている

原文へ

(翻訳:Fumihiko Shibata)

Facebookが連邦取引委員会の捜査を受けていることを公表

Facebookの株主たちは、同社がFTCから課せられた50億ドル(約5400億円)の罰金が株価に影響を与えたことには動揺しなかったが、反トラスト問題を巡って現在もFTCの捜査を受けていることを認めたことは驚きだった。

Facebookは第2四半期の決算リリースで、同社が巨額の罰金を支払い、一定のプライバシー条項に同意したことを詳しく説明したが、リリース文には、同社のFTC問題が継続する可能性についても短く書かれていた。

「当社を含め、オンライン技術業界は前四半期に規制当局から厳しい監視を受けた」とリリースに書かれていた。「2019年6月、当社はFTCから反トラスト捜査を開始する旨を通知された。2019年7月には、司法省が主要オンラインプラットフォームに対して反トラスト調査を開始すると発表した」

つい昨日、米国司法省は同省の反トラスト局が、国内大型IT企業に対する捜査を開始したことを発表した。

関連記事:米司法省は巨大IT企業の独禁法違反に対する調査に着手

近く行われる同社の決算会見で詳細がわかる見込みだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

YouTubeへの不満を受け米連邦取引委員会は子どものプライバシー法改訂を検討

米連邦取引委員会(FTC)は、COPPA法(Children’s Online Privacy Protection Act)として知られる、インターネットでの子どものプライバシーを守る法律の強化を検討している。この法律は2000年に施行されたが、子どもたちのモバイルデバイスやソーシャルネットワーキング・サイトの使い方の変化に対応して2013年に修正されている。そして今、FTCは、さらなる修正が必要なときが来たと感じている。FTCでは、数々の修正案に対する意見を求めているが、なかでも重視されているのが、子ども向けと明確に指定されていないながら、多くの子どもたちが利用しているサイトの問題だ。

言ってしまえば、YouTubeのようなサイトだ。

このFTCの発表は、アメリカの消費者擁護団体とエド・マーキー(Ed Markey)上院議員(民主党マサチューセッツ州選出)が、COPPA法違反の疑いでYouTubeを捜査するよう規制当局に求めた抗議書簡をFTCに送付して、わずか数週間後に行われた。

擁護団体は、YouTubeが「本サービスは13歳未満の子供による利用を意図していません」との利用規約の陰に隠れていると主張している。この一文は、明らかに破られている。現在、YouTubeは子ども向けに作られた動画で満ちている。Googleでさえ、就学前児童から小学校高学年の子どもをターゲットにしたYouTube Kidsアプリを提供している。これはあくまで自由選択だ。子どもたちはYouTubeを無制限に閲覧でき、YouTube TVアプリから見ることも可能だ。このプラットフォームでは、YouTube Kidsの制約は限定される。

Campaign for a Commercial-Free Childhood(コマーシャルのない子ども時代のための運動:CCFC)とCenter for Digital Democracy(デジタル民主主義センター:CDD)が記した書簡によれば、Googleは2500万人近くのアメリカの子どもたちの個人情報を収集し、そのデータを「非常に高度なデジタルマーケティング技術」のために利用しているという。

これらの団体はYouTubeに対して、子どものデータを削除し、サイトに年齢制限を定め、すべての子ども向けコンテンツを専用アプリに集めて分離し、COPPA法のガイドラインに従うよう求めている。

こうした要求が、今回のFTCの行動を促した。

FTCは、ウェブサイトや、もともと子ども向けではないが子どもが利用しているオンラインサービスに対処するためにCOPPA法を更新すべきか、また「一般向けのプラットフォーム」は第三者が公開する子ども向けコンテンツを特定し監視するべきかについて意見を求めている。

言い換えれば、FTCは、YouTubeを使う子どもたちのプライバシーの保護のためにCOPPA法を修正すべきかどうかだ。

「インターネット上の子ども市場に影響を与える技術の急速な変化に照らして、COPPA法がそのままで有効であるかを確認する必要があります」と、FTC委員長のジョー・シモンズ(Joe Simons)氏は、声明文の中で述べている。さらに、「私たちには、COPPA法の強力な執行、さらにより高いレベルでのCOPPAの準拠を促すための、業界への周知、COPPAビジネスホットライン作りに真剣に取り組んでいます。しかし、私たちは常にルールに立ち返り、必要があれば、見直すことが重要です」と彼は付け加えている。

YouTubeは主要な対象だが、FTCは、学校でデジタル技術を利用する際には保護者の同意がなくてもよいかどうかについても意見を求めている。また、インタラクティブTV(たとえばNetflixの「マインクラフト:ストーリーモード」のような)インタラクティブ・メディアやインタラクティブ・ゲームとCOPPAの関連についても詳しく知りたいと考えている。

さらに広い観点から、FTCは子ども向けのサイトやサービスの有用性に対するCOPPAの影響についても知りたいとのことだ。

COPPAの見直し開始は、FTCの5名の委員による無記名の決定により判断された。このうち3名は共和党員、2名が民主党員だ。

シモンズ氏が率いるFTCは、2月にMusical.ly(現TikTok)に対して行動に出た。COPPA法違反による570万ドル(約6億1500万円)という記録的な罰金を科したのだ。YouTubeと同様、このアプリは、13歳未満の子どもたちが保護者の同意なくして利用していた。同社はその事実を把握していたが、そのまま子どもたちの個人情報の収集を続けていた。

「この記録的な制裁は、子どもをターゲットとするすべてのオンラインサービスとウェブサイトへの警告となるでしょう。私たちは全力でCOPPA法の執行に取り組んでいます。この法律を無視するような悪質な企業は容赦しません」とシモンズ氏は同時に述べていた。

TikTokとは、子どもの動画とデータを削除し、未成年のユーザーの動画撮影を制限することで和解が成立した。

FTCが、同じことをYouTubeに要求できないのはなぜか。この2つのサービスの問題は同じであるにも関わらず、なぜ法律の修正が必要なのか。

「それは現行の法律下でも間違いなく可能であり、YouTubeには罰金を科して、大幅な改善を強制する必要があります」とCCFCの事務局長ジョシュ・ゴーリン(Josh Golin)氏は言う。「YouTubeに関しては、これは今のところFTC史上、最重要のCOPPA法違反ケースなのですが、現行法ではYouTubeに責任を負わせられる権限がFTCにはないような信号を発しているところが非常に心配です」と彼は話していた。

「COPPA法は修正によって強化できるでしょうが、最大の問題は、法律の執行力がFTCに欠けていることです。しかしこれは今すぐ対処できる問題です。長々と能書を垂れている場合ではありません」とゴーリン氏は加えた。

FTCは、2019年10月7日にCOPPA法を考える市民勉強会を開催するとのことだ。

[原文へ]

(翻訳:金井哲夫)

FTCと米司法省が自動発信の勧誘電話スパム「ロボコール」に厳罰

米政府はインターネットを利用して勧誘電話を無差別に発信するロボコーラーに対して厳しく臨んでいる。膨大なスパム通話をかけていた疑いがある会社、個人に対し100件近い法的措置が取られた。

これはOperation Call It Quits(これで止めろ作戦)と名付けられ、FTC(連邦通信委員会)は4件(うち2件は司法省が代理)の訴追を行い、3件については和解した。こうした会社や個人は10億回以上の違法なロボコールを発信していたとされる

州政府と地方自治体のいくつかも同様の措置を取ったと発表している。

毎年、何十億回ものロボコールにより大勢の消費者が電話を取らされている。迷惑くらいで済めばまだいいが、金を騙し取られたりインチキ商品を買わされたりする被害者も多数出ている。これまでのところFTCはロボーコーラーに総額2億ドルの罰金を課しているが、執行力の不足により、実際に徴収できたのはわずか6790ドル、0.01%に過ぎない

しかし今回の新たな作戦により、FTCはロボコーラー業界に強い警告のメッセージを送った。

FTCの消費者保護局の責任者、Andrew Smith氏は「(ロボコーラーに)米国人は我慢の限界に来ている。司法省と共同してこうした違法行為を一掃することはFTCの法執行において高い優先順位にある」と述べた。

FTCは5月にも数十億回のスパム通話を発信したロボーコーラー4社に対して今回同様の厳しい措置を取っている。FTCによればこれまでに摘発された業者は145社に上るという。

FTCは「クレジットカード金利を低くすることができる」と消費者に対してウソをついていた会社を含め、いくつかのロボコールを廃止に追い込んだ。これらの業者をターゲットとするに当たっては内容の悪質さを判斷した。他の件も不正な方法で金儲けを企んだ容疑だという。

Lifewatchも取り締まりの対象に含まれている。同社は医療アラートシステムを消費者に売り込んでいたが、FTCでは受信者に受話器を取らせるために発信者の身元情報を偽造していた疑いがあるとしている。同社は2530万ドルの制裁金を支払う条件で和解した。Redwood Scientificの和解金は1820万ドルだが、現在相手側の経済状態により支払われていない。FTCによれば歯科医療関係の商品を「消費者に誤信を与えるような方法で」マーケティングしていた。

ロボコールの流行はまずテレコムやインターネットを管轄するFCC(連邦通信委員会)の注意を引いた。先月FCCは電話キャリアが現在より容易にロボコールをブロックできるようにする新規則を提案した。ロボコールから自衛する方法についてはこちらの記事(英語)で詳しく紹介している。

画像:Getty Images

【Japan編集部追記】上のリンク先記事でWhittacker記者はキャリアや公的な消費者保護機関に連絡するほか、ブロックアプリを使う(アプリ自身がプライバシー情報リークの原因になる可能性がある)、デバイスの設定でブロック機能を使う(モグラ叩きになる)などを勧めている。日本でもインターネット電話の普及とともにロボコールが問題となっているが、上記記事程度の対策以外に決め手がないようだ。

原文へ

(翻訳:滑川海彦@Facebook

アップルとGoogle PlayはFTC警告の3つのデートアプリを削除

連邦取引委員会(Federal Trade Commission、FTC)によると、Googleとアップルはアプリストアから、3つのデートアプリを削除した。それらは、性犯罪者が子どもたちを見つけるために使っている可能性があるからだ。親へのアドバイスとしてFTCの弁護士Lisa Weintraub Schifferle氏は、ウクライナの企業Wildecが作ったFastMeet、Meet24、およびMeet4Uはどれも、児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act、COPPA)と連邦取引委員会法(FTC Act)に違反していると思われると書いている。

FTCが5月の初めにWildecに送った書簡で、そのアプリが13歳未満を名乗るユーザーの利用や他のユーザーから彼らが見えることを防げていないと通告していた。FTCのスタッフはMeet24の検索機能を試してみて、位置的に彼らの近くにいる12歳を名乗るユーザーを見つけることができた。

COPPAの規定では、13歳未満の子どもに個人情報を求める場合は検証可能な親の同意が必要である。FTCはWildecに対し、子どもが自分たちのアプリを使ってることを知っていながら、その要件を満たしていないことはCOPPAへの違反と思われると通告している。FTCは、来月またアプリを調べて、法の遵守をチェックするとも表明している。

安全対策のあるアプリでも、児童の搾取は深刻な問題だ。たとえば今年の初めに英国政府は、年齢確認チェックをアプリの要件とすることの法制化の検討を開始した。それは、TinderやGrindrなどのアプリを起因とする児童のレイプが2015年以降で30件余りあったとするSunday Timesの記事を受けての政府のアクションだ。

TechCrunchはWildecにコメントを求めるメールを送付した。

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ロボットを使った詐欺広告業者の業務は止められるが、その罰が非道さに見合わない現実

ロボットコーラー(ロボットを使い広告電話をかける業者)との戦いは始まったばかりであり、規制当局の対応は速いものとはいえない。だがこのたび連邦取引委員会(FTC)は数十億回にも達する望まない電話を行ってきた、数社の主要業者の営業を停止させた。それらのものの一部はさらに詐欺行為も行っていた。しかし、このケースで回収できる罰金は驚くほど少ない。だがそれには理由がある。

米国時間3月26日の発表で、FTCは4つの業者の業務を停止したことを述べている。NetDotSolutionsは、カスタム大量ダイヤルプラットフォームを使ってあらゆる種類のマーケティングを行った。Higher Goals Marketingは、偽りの債務救済を約束した。Pointbreak Mediaは、支払いをしないとGoogle検索結果に出ないようにすると企業を脅迫していた。Veterans of America(別名Saving Our Soldiers、あるいはAct of Valor)の創業者Travis Deloy Petersonには、地獄で特別席が用意されるにちがいない。獣医師たちに車両を寄付するという名目で人びとに詐欺を働いたのだ。

彼ら全員を合わせた電話回数はこれまでに合計20億回ほどに及んでいる、これは毎月50億回以上電話が行われている現在の状況の中では、それほど多いものには思えないかもしれないが、今は僅かな減少だけでも有り難いのだ。

関連記事:FCCが、来年までに詐欺ロボットコールを検出するためのシステムを採用しなければならないとキャリアに通達【未訳】

私たちにとってそれほどうれしくないのは、今回課されるペナルティの規模だ。今回の事案では合計2400万ドルの罰金裁定が下されたが、実際に詐欺師たちが支払う金額はおよそ3〜400万ドル程度になるだろう。500万ドルを超える額の裁定を受けた詐欺師の1人はたった1万8332ドルを払っただけで支払いを保留している。しかもこの金は彼が新品のベンツを売り払った代金なのだ。

私はFTCのスポークスマンに対して何故そうなるのかと尋ねた。彼らは、裁定額は本質的に消費者への害の程度によって決まる上限であると説明したが、ほとんどの場合、被告たちはそうした上限に近い現金もしくは資産を持っていない。回収できるのは彼らが持っているだけの資産であり、しばしばそれはそれほど大きな金額ではない。

特にフロリダ州で、彼らは活動を行っていたが、当地のHomestead規則に従えば、その家を罰金の不足額を埋めるために差し押さえることはできない。すなわちフロリダ州を拠点とするロボットコール詐欺師たちは、1000万ドルを稼いでもそれをすべて自宅につぎ込んでおけば、FTCもしくは他の執行機関が来た際に、自分には何の資産もないと言い張ることが可能なのだ。これは、実際にフロリダ人である上記の「私は18軒の豪邸と2017年型のメルセデスCLSしか持っていない」人物に当てはまるケースだと思われる。

FTCは、被告の資産を調査してリストアップするために多大な努力を払っているものの、そこにないものを押さえることはできない。Dishのような大企業の場合には、昨年裁定が下された1億8000万ドルは、最終的に全額支払われることになるかもしれない。しかし個人や零細で夜逃げをしかねない会社の場合はそうした資産を突き止めることはかなり困難である。

それでも、執行機関は被害を受けた消費者に返すために、かなりの量の現金を集めるので、ここでも同じような措置はとられるだろう。だが、単に電話がかかってきて迷惑しているというだけでは、10セントさえも受け取ることはできない。それがこれらの会社の1つからの電話であり、実際に詐欺を働いた、あるいは詐欺を働こうとしたことを示す必要がある。

さらに重要なことは、問題を起こした人物と企業は直ちに業務停止させられ、関係した人びとは再びこのようなことをすることを禁じられるということだ。消費者救済がFTCの目標であり、もし彼らが訴訟を起こすことを選択していた場合には、解決には数年かかる可能性があっただろう。その場合には企業とコールネットワークは運営が続き、法に反する秘密のレイヤーが形成されていたことだろう。

FTCのサイトに行けば完全なリリース文書と命令文書を読むことができる、だがそのことによって、こうしたろくでもない連中がのうのうと生きていることを知って、頭に血がのぼるかもしれないことは警告しておく。

[原文へ]

(翻訳:sako)

独禁法推進派がもくろむFacebookの分社化

議会の反トラスト法委員会の、新たに任命された議長に呼び出されたら、いよいよ心配すべき時が来たと覚悟すべきだろう。

ニューヨークタイムズ紙に掲載された論説で、ロードアイランド州選出のDavid N. Cicilline議員は、連邦取引委員会に対し、反トラスト法に抵触する可能性がないかどうか、Facebookの活動を調査するよう求めた。Cicilline氏は、同社が密かな報酬と引き換えに10代の若者のデータを収集していたというTechCruchの独自の調査報告や、その他のスキャンダルを論拠としている。

「何か悪事が明らかになるたびに、Facebookは否定、中身のない約束、謝罪キャンペーンを順番に繰り返します」と、Cicilline氏は書いている。「それでも、何も変わりません。だからこそ私は、反トラスト法と、商業および行政法に関する下院小委員会の委員長として、Facebookの行為が反トラスト法に違反しているかどうかの調査を求めます」。

Cicilline氏の論説は、本来は有効な規制機関であるはずのFTCに圧力をかけることを狙ったものだ。それが現在までFacebookに対して何もできていないために、「重大な信頼性の危機に直面している」と、Cicilline氏は非難している。またCicilline氏は、FTCに対して行動を促す一方で、同じ論説では、Facebookの行為の何が特に問題と考えているのかについて、洞察に満ちた見解を提示している。ちなみに、Cicilline氏が今年、反トラスト法と商業および行政法に関する下院司法の小委員会の有力メンバーに選出された際に、元ニューヨーク市長のBloomberg氏は、彼のことを「ハイテク業界に関する最も強力な人物」と讃えた。

その委員会は、今やハイテク大企業の解体を主軸に据えるまでに関心を高めつつある民主党によって率いられている。そして、シリコンバレーを牛耳る独占的な黒幕に対して、反トラスト法に沿った行動を起こすための強力なメカニズムになり得るものと考えられている。

「何年もの間、プライバシー擁護団体は、Facebookが同意した契約に基づく責務を果たしていない可能性があると、その委員会に警告してきました。委員会は、命令を遂行させることができなかっただけでなく、FacebookによるWhatsAppとInstagramの買収を阻止することもできませんでした。Facebookの支配の拡大を許してしまったのです」と、Ccilline氏は書いている。そして、その巨大企業に何らかの打撃を与えるには、数十億ドル規模の罰金が必要だとしている。先月にもレポートしたように、FTCは数十億ドル規模の罰金を検討していると伝えられているものの、そのような大金による懲罰は、まだ実行に移されていない。

同議員は、Facebookの「略奪的な買収戦略」も問題にしている。将来競合しそうな企業を、脅威となる以前に買収するものだ。それにより、イノベーションが妨げられることになる。Cicilline氏はまた、競合しそうな製品からのAPIアクセスを制限するという同社の決定は、このソーシャルメディアの巨人の「反競争的行為の証拠」だとみなしている。

Cicilline氏は、Facebookがプライベートメッセージング機能を実現するために、自社のいくつかの製品を統合するというマーク・ザッカーバーグ氏の最近の発表を、もはや当然のごとく皮肉に満ちた目で見ている。それは「反トラスト法の施行を妨げようとする危険な権力の掌握」だとしている。2020年の大統領選挙に向けて、反トラスト的な向かい風が勢いづくであろうことを考えると、そうした見通しは、Facebookが今後直面しなければならないことを、はっきりとわれわれに垣間見せてくれる。

「米国の半トラスト法の関連機関は20年以上に渡って重大な独占状態を追求してきませんでした。その間に、企業の集中と独占の脅威は、歴史的レベルに達してしまったのです」と、Cicilline氏は書いている。

「厳格な施行が、長い間先送りにされてきたことは間違いありません」。

原文へ

(翻訳:Fumihiko Shibata)

FacebookにFTCが数十億ドルの罰金を課す可能性

Washington Postによると、FacbeookのFTC(連邦取引委員会)との争いは、同委員会史上最高額の罰金という結末になる可能性がある。交渉継続中と見られるなか、同紙は本件に詳しい筋2名から、FTCがFacebookに対して「数十億ドル規模の罰金」を課すという情報を得た。これは2016年の排ガス不正の際にVolkswagenと合意に達した 147億ドルの和解に匹敵する。

2012年にGoogleは、プライバシー規則違反でFTCと和解するために過去最高の2250万ドルを支払ったが、今日の基準では微々たる額だ。以前本誌が報じたように、FTCのその程度(あるいはその数倍)の罰金は、昨年わずか一四半期で130億ドルを稼ぎ出した企業にとっては容易に受け流せる金額だ。Facebookに億単位の罰金を課すことは、数百万ドルくらい一時の頭痛にしか感じない裕福な会社に罰を与える唯一の方法だ。

FacebookにFTCとの交渉状況について尋ねたところ、規制遵守に関するお決まりの文章を繰り返しただけだった。「われわは米国、英国その他の当局に協力している」とFacebook広報はTeChCrunchに伝えた。「当社は一般市民の証言を提示し、質問に回答し、当局の作業が続く限り協力することを約束した」

FTCがFacebookに記録的罰金を課す立場を固守すれば、Facebookは法廷で強く抵抗し、膨大な資金をつぎ込んで将来にわたって会社に影響を与える罰を避けようとするに違いない。このとてつもない金額はFacebookの最近のプライバシー違反の大きなシンボルとなり、たとえ実際に罰金が払われなくても、Facebookが何らかの透明性を担保し基準を明らかにするきっかけになるだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook

恋愛詐欺は被害総額がすべての消費者詐欺の中でずばぬけてトップ

連邦取引委員会(Federal Trade Commission, FTC)が発表したデータによると、昨年同機関に報告された消費者詐欺の中で被害総額がいちばん大きいのは恋愛詐欺であり、しかも問題は悪化している。恋愛詐欺の犯人たちはデートサイトやデートアプリ、またはソーシャルメディアでターゲットをねらい、多くの場合偽のプロフィールと泣かせるような話(お涙ちょうだい話)を使って被害者を信用させ、巨額のお金を送らせる。

FTCに報告された恋愛詐欺の件数は、2015年の8500件から昨年は21000件へと増加した。その間に被害総額も3300万ドルから1億4300万ドルに増加している。2018年の数字は、FTCの消費者の被害申し立てデータベースConsumer Sentinelに提出された、21368件の報告に基づいている。

恋愛詐欺はとくに、被害者個人にとって高くつく。恋愛詐欺の被害者が報告した被害額のメジアンは2600ドルで、ほかのタイプの詐欺すべての被害額のメジアンの7倍である。40歳から69歳までの層の恋愛詐欺の被害額は20代の2倍だが、高齢者になると被害額はさらに大きく、70歳以上では被害額のメジアンが10000ドルになる。

FTCによると、被害者の大半は振り込みによる送金を求められたが、ギフトカードや、 Moneypakのようなリロードカード(チャージカード)を求められた者もそれに次いで多かった。いずれの方法も迅速で取り消しが困難、そして受取人は匿名を維持できる。恋愛詐欺の犯人は、医療などの緊急事態のためにお金が要る、と称することが多く、実際に会うことができない言い訳を作り出す。たとえば軍に在籍していて海外の基地にいるとか、そちらまで出かける旅費がない、など。

被害を防ぐためにFTCは、プロフィールの写真を逆画像検索してプロフィールが偽でないかチェックする、会ったことのない人にお金を送らない、ネット上の関係について家族や友人にオープンであること、などを勧めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Microsoftがプライバシー部門にオバマ時代のFTCの元委員をスカウト

金曜日(米国時間4/28)にMicrosoftは、連邦取引委員会(Federal Trade Commission, FTC)の元委員Julie Brillのための新しい役職を作る、と発表した。Brillは、Microsoftにおける、プライバシーとデータ保護、および規制の問題を扱う部門のトップになり、肩書は同社の常務執行役員兼Privacy and Regulatory Affairs(私権と規制問題)グループの法務部長代理となる。

Brillは2010年にオバマ大統領に指名されて、委員としてFTCに入り、6年間奉職した。その前には、Brillはノースカロライナ州法務部とバーモント州で、消費者保護と独占禁止部門を担当した。

“Microsoftがプライバシー保護に本気で取り組んでいることと、積極的に顧客の側に立つ姿勢、および新たな課題に対する建設的なソリューションを提供することへの注力に、深い感銘を受けている”、とBrillはMicrosoftの発表声明の中で述べている。

同社によると、“Brillの新しい役割はプライバシーだけに留まることなく、通信の規制や企業慣行、インターネットのガバナンス、さらにMicrosoft製品のアクセシビリティをめぐる法的規制的諸問題も対象となる。彼女はまた、インターネットの安全性に関する弊社の取り組みの、重要な側面も担当する”、ということだ。

Brillは今年の夏から同社で仕事を開始し、直属の上司は、Microsoftの社長でCLO(chief legal officer, 法務担当最高責任者)Brad Smithになる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Uberがバックグラウンドで乗客の位置情報の収集を開始した

FILE - In this Dec. 16, 2015 file photo a man leaves the headquarters of Uber in San Francisco. Uber and advocates for the blind have reached a lawsuit settlement in which the ride-hailing company agrees to require that existing and new drivers confirm they understand their legal obligations to transport riders with guide dogs or other service animals. The National Federation of the Blind said Saturday, April 30, 2016, that Uber will also remove a driver from the platform after a single complaint if it determines the driver knowingly denied a person with a disability a ride because the person was traveling with a service animal. (AP Photo/Eric Risberg, File)

あなたはダウンタウン高層ビルでの予約したセラピーに向かっている途中だと想像して欲しい。あなたはUberを呼び、セラピーの前に軽食でも取ろうと、目的地近くのコーヒーショップを行き先として入力する。車の中では、Instagramを眺めたり、メールをチェックしたり。車を降りて、コーヒーを買って、角を曲がればセラピストのオフィスだ。

もしアプリの最新アップデートを行っていたなら、Uberはこれらの位置情報の全てを追跡していたことになる。

アプリのアップデート(確かめたい人のために:バージョン3.222.4だ)によって、Uberはユーザーからの位置データの収集方法を変更した。以前は、ユーザーがアプリを開いている間(フォアグラウンドの間)だけ、Uberは位置情報を収集していたが、今やUberはユーザーに、その位置を常に会社と共有するように求めてくる。

Uberによれば、アプリが携帯電話のバックグラウンドで実行されている間、位置を絶えず収集することは可能ではあるものの、その機能は使用しないということだ。その代わりに、Uberは、サービスを改善するために位置データがもう少しだけ必要で、デバイスレベルの権限の都合から、一定のアクセスを求めなければならないのだと主張している。

具体的には、Uberは乗客が乗車を要求した瞬間から、運転手が乗客を降ろしてから5分後まで、その位置を追跡したいと考えている。たとえアプリが携帯電話でフォアグラウンド状態でなくてもだ。以前なら、Uberは、乗車中の乗客のバックグラウンド状態での位置や、降車後の位置を集めたりはしていなかった。

同社はこの情報を降車時と乗車時のサービスを改善するために利用する、そこはずっとUberや他の配車サービスが苦慮している点なのだ。乗客と運転手がコンタクトをとる最も多い理由は、アプリケーションが正確な場所を提供していない場合にコミュニケーションをとるためである。そしてUberはこうした乗車時の混乱を減らしたいと思っているのだ。

Uberははまた、乗客が降車後どれくらい頻繁に通りを直接横断しているのかを追跡したいと思っている、こちらは安全上の問題を示していると同社が考えているからだ。乗客は目的地に達するために道路を横切らなくても良かったはずだ、と広報担当者は説明する。降車後にユーザーを追跡することで、ドライバーが危険な場所に乗客を降ろしたかどうかを判定するのに役立つのだ。

「ETA(到着予測時刻)をより正確にし、特定の通りにおける最適なピックアップ位置を特定することで、私たちはお客さまの体験を向上させる方法を常に考えています、位置情報はUberの経験の中心であり、乗客の皆さまに、これらの目標を達成するための情報提供を求めているのです」とUber広報担当者は述べている。

バックグラウンドでの位置データの新しい収集は、乗客にとっては驚くようなものかもしれないが、Uberは昨年この変更のための基礎固めを行っている。同社は昨年の夏にプライバシーポリシーを更新して、バックグラウンドの位置情報収集を可能にしたために、プライバシーグループからの反発と、連邦取引委員会(FTC)への訴状を受けている

Uberはバックグラウンド位置データによって「新しい有益な機能を提供できる。例えばユーザーがアプリを開いた際により早く立ち上がる(現在はアプリを開いてから周辺の乗車可能な車が表示されるまでには遅れがある、これはアプリが現在地を特定しようとしているからだ)」とその時に語っている。最新のアプリのアップデートにより、Uberはついに昨年のプライバシーポリシーの変更を活かしたことになる。

Uberに対する訴状をFTCに提出した電子プライバシー情報センター(The Electronic Privacy Information Cente)は、提案されたバックグラウンド位置情報収集を「違法で欺瞞的な商取引」と呼んでいる。しかし、Uberはバックグラウンドの位置収集を開始する前にユーザーの同意を得ており、また乗客がGPSの許可を求められる際に変更点を説明するページへのリンクを示していると主張しいている。

1月にニューヨーク州検察局は、プライバシー・グループが提起した問題のいくつかを取り上げ、Uberとの和解に達した。合意事項として、Uberはユーザーの位置情報を暗号化(携帯電話から、及びUberのサーバー同士での送信時)することが求められ、同社によって保存されるGPSデータは多要素認証で保護されなければならいことになった。

しかし、乗客の中には、Uberの車を降りた後や、バックグラウンドでアプリが起動している間に、位置情報を追跡されることを不快に思う人もいるかもしれない。 Uberと余計な位置情報を共有したくない人は、携帯電話の設定で位置情報共有をオフにすることができる。その場合、続けるためにはUberが場所を知る必要がある、といった告知が表示されるものの、ピックアップのための住所は手入力で行うことができる。

[ 原文へ ]
(翻訳:Sako)

裁判所は子どもたちの勝手なアプリ内購入に関しAmazonを有責と裁定

scaled-firehd6-kids-edition

Amazonは子どもが親の許可なく行うアプリ内購入に対するガードが不十分だった、とするFTCの訴訟で、被告のAmazonを有責とする、それほど意外でもない裁定が下された。FTCの訴状によると、Amazonはそれにより顧客に数百万ドルを請求した。問題の原因はソフトウェアの設計にあり、子どもたちはアプリ内で親の許可なく無制限に有料アイテムの購入ができた。

FTCは前にもAppleやGoogleと同じ裁定に至ったことがあるので、Amazonが同じ船に乗っていたとしても驚きではない。

AmazonがAppstoreにアプリ内購入システムを導入したのは2011年11月だが、子どものゲームも含めて、購入に際しパスワードは不要だった。ゲームのデベロッパーの一部はこのことにつけこんで、無料と有料の区別を曖昧にし、子どもたちに、アプリ内通貨やコイン、ゲームをおもしろくするその他のアイテムなどを買える機会を与えた。ひどい例としては、”Ice Age Village”というゲームには99ドル99セントというアプリ内購入のオプションがあった。

Amazonは2012年3月に、20ドルを超える購入にはパスワードを求めるようにしたが、子どもたちはそれより低額のアプリ内購入を親の許可なく続けることができた。そしてその総額が、膨れ上がることもある。

2013年の初めに、今度は全面的にパスワードが必要になったが、15分間の、パスワード不要の時間が与えられた。しかもこの改定は適切に開示されず、FTCによれば、Amazonが購入に関して“インフォームドコンセント”を求めるようになったのは、2014年7月からだ。

一方では、何千人もの親たちが、無許可のアプリ内購入だけでなく、複雑な返金プロセスに対しても苦情を申し立てた。Amazonは返金要求の仕方を説明せず、返金が可能であることすら告げていない、と訴状は述べている。

今回の裁定は消費者の味方をするものだが、救済の金額はまだ未定だ。両者が提出する立証文書に基づいて、具体的な金額は“数か月後に”決定される。

ただしFTCは、全額返金を求める意向だ。

FTCの発表によると、AppleとGoogleの場合は顧客への返金総額が5000万ドルあまりだったそうだから、今回も、些細な額ではないだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

児童生徒のプライバシーに関しGoogleがEFFに返答: “弊社のツールは法律と弊社の約束に適合している”

chromebookinclassroom

昨日(米国時間12/1)EFFは、‘学生に対するスパイ行為’(Spying on Students)と呼ばれるキャンペーンを立ち上げて、学校でテクノロジを利用する場合のプライバシーリスクに対する、人びとの関心を高めようとしている。このキャンペーンは消費者保護のお役所FTC(連邦取引員会)がGoogleに対して提起した苦情を契機とするもので、同社が児童生徒の個人情報(検索の内容など)を集めて分析している、と主張している。

EFFのスタッフ弁護士Nate Cardozoは、こう述べている:

公的な声明とは逆にGoogleは、児童生徒の閲覧データやそのほかの情報を集めて分析し、その結果を同社自身の目的に利用している。公的な約束をしておきながらそれを守らないことは、不正で欺瞞的な企業行為を禁じているFTCの規則に違反している。未成年者は追跡されたり実験動物として利用されたり、あるいはそのデータが企業利益のために取り扱われたりすべきでない。Googleが児童生徒のデータを‘Googleのプロダクトを改良するため’に利用したいのなら、父兄からの明示的な同意を得る必要がある。

具体的な問題は、GoogleがChromebooksとGoogle Apps for Educationを学校に配布し、その際に“sync”機能をデフォルトで有効にしていることにある。それはおそらく、個人データを宿題や、さまざまな活動やコミュニケーションに、結びつけるためだ。EFFによるとGoogleは彼らに、近日中にsync機能をデフォルトで無効にする、と述べた。

Googleは今日(米国時間12/2)、プライバシー遵守共通約定集“Student Privacy Pledge”の協同ファウンダたちに対しても応答した。

当然ながらGoogleがコンピュータを学校や企業や団体等に広めようとしているのは、GoogleとAlphabetの消費者をより多く確保するためだ。“人は若いうちに取り込め”は、マーケティングの原則だ。しかしGoogleは、誤解を正そうとしている。Google Apps for EducationのディレクターJonathan Rochelleはこう述べている:

12月1日にElectronic Frontier Foundation(EFF)が、Google Apps for Education(GAFE)とそのほかのプロダクトとサービス、とりわけChrome Syncに関する苦情を発表した。弊社は、児童生徒のデータのプライバシーをEFFが重視していることは尊重するが、弊社のツールは法律と弊社の約束の両方に適合していると確信している。その約束の中には、弊社が今年署名したStudent Privacy Pledgeの約定も含まれている。

Rochelleは、こう付け加えている: “教師や児童生徒によるGoogleのそのほかの消費者サービスの利用は、学校が管理できる。それらYouTube、Maps、Blogger等々はGAFEのアカウントで利用できる。”

Rochelleのポストの全文はここで読める。EFFが提起した問題の、一つ一つに対して説明している。

“Student Privacy Pledge”の協同ファウンダたちは、EFFは約定を誤解しており、したがって”見当はずれである”、と言っている。

生活のいろいろな側面がネット上のサービスに依存するようになってきた今日では、個人データの慎重な取り扱いがますます重要だ。それを子どもたちのために監視する活動は立派だが、しかしGoogleによれば、EFFのキャンペーンは実際に起きていないシナリオを標的にしている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

IoT企業はプライバシーとセキュリティーに最優先で取り組め―FTC委員長がCES講演で強く警告

FTC(アメリカ連邦取引委員会) は、モノのインターネット(Internet of Things)に潜むプライバシーとセキュリティー上のリスクに対して関係者に強く注意を促した。インターネットに接続するさまざまなデバイスの数は2015年中に250億個に達すると予測されている。サーモスタットやドアロックなど、いわゆるスマートホーム・デバイスの数も今年は2500万になると見られる。

FTCは「ひとたびプライバシー、セキュリティー上の大規模な事故が発生すれば、消費者にIoT1への抜きがたい不信感を植え付けることになりかねない」と警告した。こうした破壊的シナリオを避けるために、IoTビジネスはセキュリティーおよびプライバシーのリスク対策に現在よりもずっと真剣に取り組む必要があるというのがFTCの考えだ。

FTCのEdith Ramirez委員長はラスベガスで開催中のConsumer Electronics Showを視察した後でIoTビジネスの将来に関する講演を行った。

「[モノのインターネット]は消費者に巨大な便益を与える一方、プライバシーとセキュリティー上のリスクも重大だ。IoTデバイスは、たとえばヘルス、医療関連分野で普及し始めているが、、膨大な個人情報を収集、転送することになる。こうした情報は極めてプラバシー性の高いもので、その処理には潜在的に非常に大きなリスクを伴う」とRamirez委員長は警告した。

3つの高リスク要素

Ramirez委員長は、プライバシー上、特にリスクの高い3つの要素について分析した。

(1) データ収集の遍在化; (2) 個人に不利益を与えるような個人情報の目的外使用; (3) 悪意による攻撃

データ収集の遍在化というのは、センサーやモニター・テクノロジーの発達にともなって「驚くほど大量かつ正確な個人的情報が蓄積される」という問題を指す。しかも収集されたデータを強力なツールによって分析することで、その影響力は一層拡大される。

しかもIoTデバイスは、家庭、自動車、さらには体表、体内にまで入り込み、きわめて個人的な情報を収集する。「IoTによってビジネスはわれわれの私生活のあらゆる側面を把握することができるようになる」とRamirezは述べた。.

そこで、収集されたデータが当初の目的や予期に反して使用されるというリスクが重大なものとなってくる。フィットネスや医療のために利用されるはずのデバイスから得られた個人情報が横流しされ、企業の採用選考に用いられるなどという例が考えられる。あるいは保険会社が健康保険や生命保険の料率を計算するために用いるかもしれない。消費者が便利なデバイスを購入したつもりで、実は知らないうちに自分の個人情報を売り渡す結果となるかもしれない。

「われわれは最終的な結果を慎重に考慮することなく無制限な個人情報の収集と流通を許すわけにはいかない」とRamirezは付け加えた。

またRamirezはIoTデバイスがハッカーの攻撃にさらされるセキュリティー上のリスクについて言及した。また侵入されたIoTデバイスがさらに広汎なネットワークへの侵入の突破口となる危険性にも注意を喚起した。

最近、いくつもの大規模なデータ漏えいがトップ・ニュースとなっている。データ・セキュリティーの困難性はますます高まっているといえる。しかしIoTはまた別種のセキュリティー上の問題を生じる。その一つは、伝統的インターネット業界はセキュリティーに対して数十年の経験を積んでいるのに対して、最近IoT市場に参入しているソフト、ハード企業の多くがセキュリティー問題に未経験であることだ。同時にIoTデバイスのサイズが小さく、処理能力に限界があることが暗号化その他の強力なセキュリティー施策を導入することを妨げている。また一部のIoTデバイスは安価な使い捨てモデルだ。こうしたことから、IoTデバイスに深刻な脆弱性が発見されてもソフトウェアをアップデートすてパッチを当てるなどの対策が難しい。それどころか脆弱性があることを消費者に周知することさえ困難だろう。

IoTデバイスには最初からセキュリティーを「焼きこむ」必要がある

こうした課題に対処するため、IoT企業はプライバシーとセキュリティーの重要性を認識し、ビジネスモデルそのものに「焼きこんでいく」必要があるとFTCは考えている。 それが企業自身、さらにはIoT市場全体への消費者の信頼をつなぎ止める道だという。

Ramirez委員長は具体的に3つの施策を挙げた。

(1) 「セキュリティー・デザイン」の採用; (2) データ収集、保存の最小化; (3) システムの透明性の確保、また予期せぬ情報漏えいや目的外使用が発生した場合の消費者に対する適切・迅速な情報開示

セキュリティー・デザインの採用とは、プロダクトやサービスのデザインにおいてセキュリティーを優先させることだ。「デバイスはデザインの段階でセキュリティーが作りこまれて居なければならない」としてRamirez委員長は次のように述べた。

デザインの過程でプライバシーとセキュリティーのリスクに関する十分な検討が行われる必要がある。プロダクトの市販、一般公開前に必ずセキュリティーがテストされなければならない。またデバイスのセットアップの段階で消費者がかならず独自のパスワードを設定しなければならい〔デフォールトのパスワードを使い続けることができない〕スマート・デフォールトを採用すべきだ。可能な限り暗号化を図る必要がある。またプロダクトのリリース後もモニターを続け、脆弱性の発見と修整に努めねばならない。 また社内にセキュリティー問題に関する責任者を置かねばならない。

これらはいずれも大企業では標準的に実施されている措置だが、小規模なスタートアップの場合、人的その他のリソース上の制限が厳しく、また新しいプロダクトをリリースすることを急ぐあまり、プライバシーとセキュリティーの保護がないがしろにされがちだ。

Ramirez委員長はまた「データ最小化」の原則についても触れた。これもまたスタートアップにとっては利益の相反となる分野だ。スタートアップのビジネスチャンスは取得するデータの種類や量に比例して向上する。そこで「サービス、デバイスが機能するために必要最小限のデータのみ取得する」、「取得後も必要のなかくなったデータは即座に破棄する」という方針は生まれにくい。 FTCの求めるこの原理は多くのスタートアップのビジネスモデルと衝突することになる。

「多量の個人データを取得、保持していればいるほど、その漏洩によるダメージは大きくなる。ビッグデータの恩恵を受けるために企業はできる限り多種多様なデータを取得、保持すべきだという議論がある。しかし私はこのような議論には疑問を持っている。将来もしかするとビジネスに役立つかもしれないというようなあやふやな理由で現在の業務に不必要な個人情報を持ち続けることは企業に大きなリスクを追わせるjものだ」とRamirezは述べた。

またRamirezは「個人識別情報を削除して保管する」という方法についても「そうして削除された情報はさまざまな方法で復元可能なので十分な対策にはならない」と警告した。また「企業は個人識別情報を削除された情報を再度個人識別可能にするような処理を行わない」と公式に約束すべきだとも述べた。

最後にRamirez委員長は透明性とユーザーに選択権を与えることの重要性を強調した。

IoT企業がユーザー情報を利用する場合、ユーザーはその内容を明示し、ユーザーが承諾ないし拒絶する機会を与えねばならない。この選択は長々しい利用約款の中に埋め込んでユーザーが一括して承諾するか拒絶する以外にないような方法で提示されてはならない。利用約款は一般消費者が通読する可能性がほとんどない。FTCは個人情報の利用に関する選択は一般の利用約款とは別に提示されるべきだと考える。

つまり「スマート薬缶」を販売する企業が、ユーザーが1日に何杯、いつ湯を沸かすかについての情報を地元のスーパーマーケットに売りたければ、そのことを別途、明示してユーザーの承諾を得なければならないということだ。

「IoTデバイスの場合、通例ユーザーインタフェースがきわめて限定されているか、そもそも存在しない。そのため消費者から明示的承諾を得ることが技術的に難しいことは私も理解している。それであっても、私は消費者に目的外使用を承諾するか否かについて選択の余地を与えることは必須だと考える。問題はそうすべきかどうかではなく、いかにしてそれをするかだ」とRamirez委員長は結論づけた。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


親の同意のない巨額のアプリ内購入に関してFTCがAmazonを告訴

【抄訳】

連邦取引委員会(Federal Trade Commission, FTC)が木曜日(米国時間7/10)に、 Amazonに対する告訴状を提出し、同社は子どもたちの親の同意のないアプリ内購入に関し、親たちに数百万ドルを請求した、と申し立てた。

この告訴は、Appleが今年の初めに受け入れたような‘親の同意’モデルの実装要求をAmazonが拒否したことの結果である。先週FTCからAmazonに送られた書簡にも、そのことは明記されている。Amazon自身は、FTCがAppleに対して認めたのと同様の、実効性のある親のコントロールをすでに実装している、と考えており、すでに、子どもが親の許可無くアプリ内購入をした、と主張する親には返金した、と同社は言っている。

しかし今日の告訴状でFTCは、アプリ内購入の額の30%を取るAmazonは、子どもたちに“これらの子ども向けゲームで遊ばせて、‘アイコン’や‘スター’や‘どんぐり’といったアプリ内の仮想アイテムに、親の関与なく無制限の金額を支払わせている’、と非難している。

木曜日に発表された声明の中でFTCの女性委員長Edith Ramirezは、こう言っている: “Amazonのアプリ内システムは子どもたちが親のアカウントに親の許可なく、無制限の課金を負わせることを許している。Amazonの社員たちですら、その過程が深刻な問題を作り出していることを認識している。われわれは、被害を受けた親たちへの返金と、Amazonがアプリ内購入に関して確実に親の同意を得るよう、裁判所が命令することを求めている”。

Amazonがアプリ内課金を最初に始めた2011年11月にFTCは、パスワードによる保護がないので子どもたちは自由に無許可の購入ができる、とAmazonを非難した。FTCによれば、そのために親のところには巨額の請求が来ることになり、Amazonの社員はそれが問題を起こすことに気がついていた、という。告訴状には、そういう内容のAmazon社員のメールが添付された。そのメールの一つは、“うちの顧客の大半にとって、明らかに問題になる”、と言っている。そのメールは、“今のこの状況は家が火災で燃えている〔のを放置している〕のに等しい”、と述べている。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))