EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スクロールで同意もNG

訪問者が自分の個人データの使用を許可しなければ、そのウェブサイトにある自分のコンテンツにアクセスできなくなる。これはいわゆる「Cookieウォールの同意」だ。EUのデータ保護法に従わないなら、そういう目に遭う。

これが、欧州データ保護会議(EDPB)からの明確なメッセージだ。同会議は、個人データの使用をオンラインで同意することに関する規約のための最新の指針を発表した。汎EU法の下では、同意は、データ管理者にユーザーの個人データの利用を許可するための6つの法的根拠の1つとなっている。

ただし、欧州の一般データ保護規則(GDPR)の下で同意が法的に有効と認められるためには、いくつかの特別な条件を満たす必要がある。明確に説明がなされ、個別的に自由意志により提供されなければならないというものだ。

そのため、中に入るための代金として「同意」を請求するCookieウォールは矛盾した存在であり、法律というレンガの壁に衝突していることになる。

Cookieウォールの裏に合意はない

局部的なCookieウォールは、昨年我々が伝えたように、オランダのデータ保護当局(DPA)がCookieウォールを禁止する指導を明確にしたときから、崩壊が続いている。

EDPBの最新の指針は、その要点を理解させることを意図したものだ。この作業部会の目的は、各国のデータ保護当局に、データ保護規則の一貫した適用の推進を指導することにある。

このEDPBの介入により、27のEU加盟国の国家機関から改訂点の解釈のずれが一掃されるはずだ(そうあってほしい!)。ただ、EUのデータ保護法のはまだ完全には準拠されていない。それは短距離走ではなくマラソンだと言われている。だがCookieウォールの問題に関しては「ランナー」はすでにトラックを何周もしている。

オランダの説明を伝える昨年の記事でも指摘したが、Internet Advertising Bureau Europe(欧州インターネット広告協議会、IAB)は立派なCookieウォールを運用し、コンテンツを見たければ個人データの利用規約に「同意」せよと訪問者に求めていた。

我々が指摘した問題点は、それは自由意思による選択ではないということだ。EUの法律も、法的に有効な同意は自由意思によるものでなければならないと定めている。IABが、それ以降のある時点でCookieの同意要求の方法を変更し、Cookieウォールを排除して「統計データ収集」のためのCookieを受け入れるか拒否するかという明確な選択肢を提供(そう言われたのかも知れないが)するようになったのは興味深い。

IAB Europeのウェブサイトでは、豊富で最新の情報を提供でき、ウェブサイトが正常に機能するよう、Cookieを使用しています。あなたの許可のもとに、私たちはその手法を用いて、あなたの訪問に際してデータを収集し、サービス向上のための統計データ収集を行います

その当時我々が伝えたとおり、Cookieウォールへの同意を求める記述がウォールにあった。

EDPBの文書には下の例が含まれており、Cookieウォールへの同意は「サービスの供給が、データ主体による『Cookieを受け入れる』のクリックに依存しているため、有効な同意とはならない。自由意志による選択とは見なされない」という要点を表している。

実際、これ以上わかりやすい説明はないだろう。

40. 用例6a:ウェブサイトの提供者が、Cookieおよび、そのCookieがデータの利用目的をどのように設定するかに関する情報の受け入れ要求に同意が得られない限り、コンテンツを閲覧不能にするスクリプトを実行する。「Cookieを受け入れる」ボタンをクリックしない限りコンテンツにはアクセスできない。データ主体には自由意志で選べる項目が与えられないため、この同意は自由意志によるものとは見なされない
41. サービスの供給が、データ主体による『Cookieを受け入れる』のクリックに依存しているため、これは有効な同意とはならない。 自由意志で決定できる選択肢が示されていない

スクロールは「私のデータを使って」という意味ではない

今回の改訂された指導の注目すべき第二の点に、EDPBがさらなる明確化が必要と判断したことから提示された、スクロールと同意の問題がある。

平たく言えば、ウェブサイトやデジタルサービスでのスクロール操作を、いかなる場合も、同意と見なしてはいけないということだ。

EDPBではこう説明している。「ウェブページでのスクロールやスワイプといった操作、またはユーザーによるそれに準ずる操作は、いかなる状況においても、明確で積極的な行動の条件を満たさない」(太字はTechCrunchによる)

そうした信号の合理的な根拠は曖昧だ(さらに、EDPBが示した例からは、もしそうした信号が有効だった場合にユーザーはどうしたら同意を取り消せるのか、という問題点が浮上する。同じウェブページを反対にスクロールすればよいのか? それは馬鹿げた方法であり、混乱を招くのは必至だ)。

Lukasz Olejnik:GDPRの同意に関して更新された指針の要は、ウェブサイト上での操作が有効な同意を形成するか否かだ。いろいろな意味で、ユーザーのランダムな操作は同意にはならない。最大の根拠となるのは、同様のランダムな操作で同意を取り消せるかどうかだ

EDPBの文書には、それに関連する例が示されている。

86. 用例16:備考32にもとづき、ウェブページでのスクロールやスワイプといった操作、またはユーザーによるそれに準ずる操作は、いかなる状況においても、明確で積極的な行動の条件を満たさない。そうした操作は、ユーザーによる他の操作または対応によって取り消すことが困難であるためであり、従って、明確な同意が得られたと判断することは、同様に不可能である。さらに、そうした場合、ユーザーが同意を取り消すための、同意したときと同程度に簡単な手段の提供が困難である

これもまた、実にわかりやすい。

そのため、訪問者がウェブページをスクロールした瞬間に追跡用Cookieを送り込もうといまだに画策しているウェブサイトは、規制当局による法的措置の危険にさらされる。ちなみに、GDPRの罰金は2000万ユーロ(約23億円)、または全世界での年間収益の4%にものぼる。

それにもかかわらず、最近の調査ではCookieの同意を巡る問題がEUには蔓延し続けているという。しかもそれは「スクロールしたら追跡される」式のやり口に限らない。

言葉巧みな同意のポップアップや、故意にわかりづらくしてユーザーを惑わす「ダークパターン」は今でも大きな問題になっており、そうした手口の蔓延が、EU市民の個人データの法的保護を難しくしている。しかしそんな分野にも、今では規制当局と裁判所からの明確化の光が差すようになり、悪役の出番は次第に狭められている。

例えば、昨年欧州司法裁判所が下した判決により、追跡Cookieにはユーザーの意思による同意が必要であることが明確化された。また、「事前チェック」やその他の条件も、同意を得るための合法的な手段としては認められなくなった。

しかも、GDPRが間もなく2周年を迎えるにあたり、規制当局への現実に法執行せよとの圧力も高まっている。つまり、同意が関係してくるところでは、必要ならば大まかな目安として示すが、同意を盗んだり同意を隠したりしてはいけないと覚えておくといいだろう。それでも近道をして簡単に同意を取りたいときは、A)明確に正確に道案内されていること、そしてB)同意を取り消すための同等に簡単な方法を示していることを絶対に守る。別に難しいことではない。

画像クレジット:  Vinicius Massuela/EyeEm / Getty Images

[原文へ]

(翻訳:金井哲夫)

Facebookの怠慢な態度に厳しさを強める欧州

イタリアの公正取引委員会は、Facebookに対して個人データの商用利用についてユーザーに完全に説明できていないことを理由に訴訟に踏み切った。

同時にドイツの裁判所は1月24日、Facebookの個人データとプライバシーの取り扱いに関する問題について消費者団体が国内の裁判所に提訴する権利を認めた。

透明性の欠如

勝訴すれば罰金500万ユーロ(約6億円)となる可能性があるイタリア公正取引委員会による訴訟は、2018年11月にこの規制当局が示した判断に従っている。

そのとき同委員会は、「無料」サービスに登録したことで発生する潜在的な交換価値について、Facebookがユーザーにわかりやすく説明していないことを突き止め、ユーザーの個人情報がどのように商用利用されるかを適切に伝えていないことに対して500万ユーロの罰金を科している。

今回の訴訟に関する広報資料によれば同委員会は、Facebookはホームページから、ある主張 — サービスは「Free and always will be」(ずっと無料)という文言 — が削除されたが、Facebookがユーザーの個人情報でどのように収益を上げているかを「明解かつ直接的に」ユーザーに説明する文章はいまだ見つからないと指摘している。

公正取引委員会は、Facebookの「欺瞞行為」と彼らが呼ぶ活動を禁止し、イタリアのホームページ、Facebookのアプリ、さらにイタリアで登録したユーザーの各個人のページで改正した説明を掲載するよう求めた。

今回の同委員会の訴訟に応える形で、Facebookの広報担当者はTechCrunchに次のように述べた。

私たちは当局の決定を精査しています。昨年、私たちは、Facebookの収入の仕組みをよりわかりやすく説明するために、利用規約を含む複数の変更を行っています。これらの変更は、みなさまにさらなる透明性と、ご自身の個人情報の管理方法を提供するという、私たちの継続的な取り組みの一環です。

昨年、イタリアのデータ保護機関は、Facebookに110万ユーロ(約1億3000万円)の罰金を科した。ケンブリッジ・アナリティカのデータ漏洩スキャンダルに関連したプライバシー侵害に対するものだ。

怪しくも怠慢な態度

別件だが関連ニュースとしてドイツの裁判所は1月24日、Facebookはサービスが「ずっと無料」という宣伝文句を今後も使い続けることができると判断した。サービスの代償として、金銭での支払いをFacebookがユーザーに求めていないことがその根拠だ。

ドイツの消費者権利団体であるvzbvは、Facebookがこの宣伝文句を使うことに反対する訴えを起こした。同プラットフォームはターゲティング広告に利用するためにユーザーの個人データを収集しており、誤解を招くという起訴内容だ。しかし、裁判所はこれを退けた。

だがそれは、この団体がデータ保護関連で提訴した全26件のうちのひとつに過ぎない。ベルリンの裁判所は、その他の多くの訴訟では団体に有利な判決を下している。

中でも注目すべきは、EU全体を対象とした一般データ保護法(GDPR)が施行されるにも関わらず、データ保護関連の法的訴えをドイツ国内の裁判所で起こす権利を同団体に認めたことだ。これは、プライバシーに大変に厳しい市場において、消費者擁護団体とプライバシー権保護団体の戦略的訴訟に道を拓くものだ。

EU加盟国単位でのプライバシー関連訴訟を回避する際にFacebookがよく用いる法的論拠に、Facebookのヨーロッパ本部はアイルランドにあるため他の加盟国の裁判所には司法権がないというものがあるが、それを考えると面白い(GDPRには、国境をまたぐ苦情をトップの規制当局にワンストップで訴えられる仕組みがある)。

しかし、この決定のためにFacebookは例えばFacebookを含む大手アドテック企業はユーザーに同意を強制しているとの2018年5月以来のGDPR違反の訴えに追われ仕事が山積みのアイルランドの規制当局に、個人データとプライバシーに関するあらゆる苦情を押しつけることが難しくなる。

ベルリンの裁判所はまた、Facebookのプライバシー設定と契約条件は同意に関する法律に違反しているとのvzbvの主張を受け入れた。つまり、Facebookのモバイルアプリで初めから有効になっている位置情報サービスや、デフォルトで有効になっているユーザーのプロフィールを検索エンジンにインデックスする設定などだ。

さらに同裁判所は、Facebookの契約条件であらかじめ定式化されている一部の条件は、準拠すべき法的基準から外れていることも認めた。例えば、名前とプロフィール写真が「商用で、スポンサーによって、あるいは関連するコンテンツで」使用されることにユーザーが合意しなければならないことや、将来の規約変更にあらかじめ合意するといった条項などだ。

vzbz法執行チームのHeiko Dünkel(ハイコー・ダンケル)氏は声明の中でこう述べている。「Facebookがそのユーザーの個人情報のずさんな扱いで有罪になったのは、これが初めてではありません。裁判所は消費者相談センターがGDPR違反に対して訴訟が起こせることを明らかにしました」。

我々は、Facebookにコメントを求めている。

画像クレジット:Twin Design Shutterstock

[原文へ]

(翻訳:金井哲夫)

人権侵害の懸念をよそにロンドン警視庁がNEC製の顔認証を導入 

そのリスクに照準を合わせたAI規制計画の一環として、EUの議員たちは個人の権利を守るために顔認証を一時的に使用禁止することを検討している。そうした中、ロンドン警視庁は1月24日、プライバシーの敵となるテクノロジーの配備を開始した。英国の首都でライブの顔認証の運用を始めた。

今回の導入は、ロンドン警視庁とサウスウェールズ警察による複数年の試験を経たものとなる。

議論を呼んでいるテクノロジーの使用は「重罪犯がいそうだと情報機関が考える特定の場所」をターゲットとしている、とロンドン警視庁は話す。

「捜索されている個人、重大な事件を起こして指名手配されている人物の画像からなる専用の『ウォッチリスト』が使われる」と付け加えた。

また、カメラには「明確に標識が付けられ」、運用に専従する警官がこうした取り組みに関するリーフレットを配布する、とも述べた。

「配備にあたって、カメラは通行人をスキャンするためにごく限られた場所にフォーカスする」と書いている。「独立したシステムであるこのテクノロジーは、CCTV(監視カメラ)やボディカメラ、ANPR(自動車ナンバー自動読取装置)などのいかなる画像システムともリンクしていない」

この生体認証システムは、日本のIT・エレクトロニクス大手であるNECが納入した。

プレスリリースで、警視正のNick Ephgrave(ニック・エファグレイブ)氏は、議論が残るテックの使用に際して、バランスが取れたアプローチをとっている、と主張した。

「我々はみな、安全な街に住んで働きたい。社会は当然のことながら犯罪を防止するために、広く利用可能なテクノロジーの使用を期待している。同時に人々のプライバシーと人権の保護を確かなものにするため、我々は正しいセーフガードと透明性を確保しなければならない。我々の注意深く熟慮されたライブ顔認証の配備はバランスがとれていると確信している」と述べた。

ロンドンでは近年、暴力犯罪が増加している。2019年の殺人事件発生率は過去10年で最も高かった。

暴力犯罪の増加は警察サービスの削減と関連しているが、新しい保守党政権は先にトーリー党政権が定めた警察サービス削減を取り消すことを公約していた。

ロンドン警視庁は、重大な暴力や銃剣犯罪、児童の性的搾取などを含む深刻な犯罪との戦いにAIを活用したテックが役立ち、「弱者の保護を手伝う」ことを望んでいる、と話す。

しかし顔認証システムで、例えばAIアルゴリズムを洗練させるために利用されるデータセット内にある偏見のような要因によって人種差別が起こりやすくなることを考えると、ロンドン警視庁の主張はかなりの皮肉だ。

実際、警察による顔認証の使用が、すでに不平等や差別という不当なリスクに直面している弱者グループにさらなる害を及ぼすかもしれないという懸念がある。

にもかかわらず、ロンドン警視庁のPRではAIテックに潜む偏見のリスクについて言及していない。

その代わりに、警官をアシストする「追加のツール」としてテクノロジーをしのばせるために、苦痛を生み出している。

「これはテクノロジーが従来の警務に取って代わるというものではない。単純に警官に対して『そこにいる人物は捜索している人かもしれない』と『すばやく』暗示するシステムだ。行動をとるかどうかは常に警官が判断する」と付け加えた。

新たなテックツールの使用は小規模で始まるかもしれないが、ソフトウェア開発の歴史は、それがいかに拡大していきやすいかを示している。

ターゲットを絞った小規模な立ち上げは、少しずつ導入することによって大きな議論を呼び起こしている人権に敵対するテクノロジー(別名、忍びよる監視)を広く社会に受け入れてもらうための準備となっている。

他方で、先週リークされたAI規制のためのEU提案ドラフトには、公共スペースにおける顔認証の一時的な禁止が盛り込まれていて、使用禁止は「個人の人権を守る」だろうと書かれている。しかし、そうした包括的な方策が、たとえ一時的にせよ、賛同を得られるかはまだ不透明だ。

英国の人権グループは、顔認証に対する懸念を無視するロンドン警視庁の決定に警鐘を鳴らす。

Libertyは、最初の試験中に委託したレポートの結論を無視するものだと非難した。レポートではロンドン警視庁が人権への影響を考慮しなかったと結論づけている。

また、顔認証の使用は鍵となる法的必要条件に合致していないとも指摘している。

「人権法では、個人の権利を妨げるものは、法律に従い、正当な目的があり、『民主社会で必要なもの』と定めている」とレポートには書かれていて、ロンドン警視庁の顔認証技術の初期の実験は法に反して行われた可能性がある、とほのめかしている。

公共スペースでの顔認証を阻止するためのLibertyの請願にはすでに2万1000もの署名が集まっている。

顔認証をめぐる法的枠組みと法施行について先週議論した、デジタル権と規制を専門とするUCLの講師Michael Veale(マイケル・ヴィール)博士は、EUのデータ保護フレームワークであるGDPRは、例外を制定することなく監視目的での私企業による顔認証を禁じている、とTechCrunchに話した。

英国の男性はウェールズ警察による初期の顔認証実験で訴訟を起こした。人権をめぐり第1審では敗訴したものの、上訴を検討している。ロンドン警視庁のケースでは企業(NEC)がサービスを警察に提供しているが、訴訟は警察のテック使用に関係するものだ。

画像クレジット: Steffi Loos/Getty Images

[原文へ]

(翻訳:Mizoguchi

GDPRなどの規制に企業が準拠できるよう手助けするHyperproof

多くの企業が、GDPR、ISO、Sarbanes Oxleyといった規制に準拠するにはどうすればいいのかを理解しようとしている。そして、それについて活動を始めようとするだけも、大きな課題に直面している。米国ワシントン州ベルビューにあるスタートアップ、Hyperproofは、より組織的な方法でコンプライアンスを達成できるようなワークフローを構築して、企業を手助けする新製品を発表した。

画像クレジット:TarikVision / Getty Images

同社の共同創立者兼CEOであるCraig Unger(クレイグ・ウンガー)氏は、ほとんどの企業がコンプライアンスの複雑さに手を焼いているという。そこには、多くの異なった種類の活動が含まれていて、多くの場合、通常はコンプライアンスに関与していない従業員の協力が必要となる。

Hyperproofは、企業がコンプライアンスに関する活動を1カ所に集約できるような場所を提供したいと考えている。「現実的には、コンプライアンス担当者が『ここが仕事をする場所です』と言えるような唯一の場所というものはありません。それは、CFOに対するSAPシステム、セールスまたはマーケティング責任者に対するCRMシステムのようなものです。Hyperproofが目指すのは、まさにそれなのです」とウンガー氏は説明した。

彼に言わせれば、現在のほとんどの企業は、かなりその場しのぎ的な方法でコンプライアンス対応を行っている。スプレッドシートなどのツールを利用してタスクを追跡し、電子メールによって必要な情報を要求しているのだ。Hyperproofは、そうした作業すべてを1つのプログラムにパッケージ化する。コンプライアンスのどの領域に対処するのかを指定すると、Hyperproofがそのコンプライアンスのフレームワークに必要なすべての要件を備えたワークスペースを構築してくれる。

ウンガー氏によれば、ここまでくれば、あとはすべてのタスクを1つのワークフローに入れ、このコンプライアンスのフレームワークに関する活動を単純化して整理するだけだという。また、スプレッドシートをインポートして、Hyperproof内にその情報を取り入れたり、そのプログラムの中で任意の言語によって要件を記述することも可能となっている。

「プログラムを定義して準備が整ったら、電子メールを送信することで、組織の他のメンバーとの共同作業を開始できます。返信は証拠として扱われ、このデータコレクションに関する追跡調査可能な変更不可の記録としてHyperproofに取り込まれます」とウンガー氏は説明する。もし監査を受けた場合には、監査人に仕事の内容を示す中心的な場となるわけだ。

同社はこれまで、こうしたワークフロー部分の構築に注力してきた。しかし今後は、自動化機能とAPIを追加して、他のシステムに直接接続し、多くの作業を自動化したいと考えている。最初のリリース時の目標は、企業にコンプライアンスのためのフレームワークのワークフローを提供すること。そして将来、その上に実績を重ねていくことを目指している。

同社は昨年設立され、彼らが拠点を置くシアトル地域の23人のエンジェル投資家から300万ドル(約3億2800万円)を調達した。実は、ウンガー氏は元マイクロソフトの社員であり、ワークフローを扱うスタートアップ、Azuquaの創立にも関わっている。Azuquaは、今年Oktaに5250万ドル(約57億4300万円)で売却した

原文へ

(翻訳:Fumihiko Shibata)

シリコンバレーが恐れる米カリフォルニア州のプライバシー法

シリコンバレーが戦々恐々としている。

米カリフォルニア州ではあと3カ月強でプライバシー法が変わる。2020年1月1日に発効するカリフォルニア州消費者プライバシー法(CCPA)だ。ここ数年で最も大きな変更となる。同州の4000万人の住民だけでなくシリコンバレーのすべてのテクノロジー企業が広くプライバシー保護の恩恵にあずかる。

この法律はヨーロッパのGDPR(EU一般データ保護規則)に似ている。消費者に、企業が取得した情報を知る権利、その情報を削除する権利、およびその情報の売却を拒否(オプトアウト)する権利を与える。

カリフォルニア州の居住者にとっては非常に強力な規定だ。消費者は企業が取得した自分の情報にアクセスできる。企業はユーザーに関する驚くべき量のデータを収集している。ケンブリッジアナリティカが良い例だ。Facebookから数百万人のプロフィールページのデータを取得し選挙の結果を左右しようとした。ここ数カ月でGDPRが課した重い罰金を見れば、シリコンバレーのテクノロジー企業はCCPA施行後に多額の罰金が課される可能性を視野に入れる必要がある。CCPAの施行が適用されるのは、法律発効6カ月後だ。

法がシリコンバレーを震え上らせているのも不思議ではない。そうあるべきだ。

米国の大手テクノロジー企業はほとんどがカリフォルニアにあるから、ロビー活動を行いCCPAの弱体化を試みたのも当然だ。GDPRより重い義務を州の新法に入れて欲しくなかったのだ。

大規模なロビー活動にもかかわらず、カリフォルニア州議会はほとんど法案を修正せずに可決した。州内のテクノロジー企業には悔しい結果だったに違いない。

「ケンブリッジ・アナリティカの件を受けて、テクノロジー企業が自らの“非”を認め消費者利益を最優先する方向に舵を切ったと考えるのは早い」と、ACLU(米国自由人権協会)のNeema Singh Guliani(ニーマ・シン・グリアーニ)氏は昨年、法案成立直後に述べた。「連邦規制に従うよう見せかけているが、実際にはトランプ政権と議会を巻き込み州レベルの消費者プライバシー保護を弱めようとしている」。

法律が可決された後、テクノロジーの巨人たちは最後の切札を出した。より包括的な連邦法案の推進だ。

広範なロビー活動を通じて、世の中へ発信するメッセージをコントロールすることができる。連邦法案は、カリフォルニア州の新しいプライバシー法の規定を一部無効にする弱体化された法律だ。連邦法案が通れば、膨大な費用をかけて異なる州の法律を守る努力をせずに済むという面もある。

ちょうど今月、AmazonのJeff Bezos(ジェフ・ベゾス)氏、IBMのGinni Rometty(ジニー・ロメッティ)氏、SAPのBill McDermott(ビル・マクダーモット)氏を含む51人の最高経営責任者のグループが、上級議員へ宛てた連邦法案を求める公開書簡に署名し、「消費者はそれほど賢くないため、居住する州によってルールが異なる場合には、おそらく理解できない」と主張した。

次に、Dropbox、Facebook、Reddit、Snap、Uber、ZipRecruiterをメンバーに含むInternet Association(インターネット協会)も、連邦プライバシー法を推進している。「今が行動する時だ」と同協会は表明した。年末までに同協会がその気になれば、カリフォルニア州のプライバシー法は施行が適用される前に沈められる可能性がある。

テクノロジー企業のCEOや上級幹部で構成する全国的かつ超党派のネットワークであるTechNetも連邦プライバシー法を求めている。どんなプライバシー法であっても「企業は法律を順守すべきだが、同時にイノベーションも追求できる」ことを保証すべきだと主張しているが、その根拠は示していない。メンバーには、Kleiner PerkinsやJC2 Venturesなどの大手ベンチャーキャピタル、Apple、Google、Microsoft、Oracle、Verizon(TechCrunchの親会社)などの大手テクノロジー企業が入っている。

テクノロジーの巨人と通信会社が協力するとき、何か怪しいことが起こっている。だが、誰かをだましているわけではない。

「テクノロジー業界が連邦法案を推進し始めたのが、CCPAを弱体化させようとする試みがカリフォルニア州議会によって否定された直後なのは偶然ではない」と、ACLU北カリフォルニア支部の弁護士であるJacob Snow(ジェイコブ・スノー)氏はTechCrunchに語った。「テクノロジー企業は連邦法を推進して州のプライバシー法を一掃しようとする企てはやめて、2020年1月1日からカリフォルニア州民がCCPAの下でプライバシー権を行使できるよう保証すべきだ」。

CCPAの発効前に議員ができることはほとんどないが、テック大企業の挑戦を止めることはできない。

シリコンバレーのテック大企業とそのロビイストが本腰を入れたら、カリフォルニア州民がCCPAの恩恵を享受できるのは短い間になってしまうかもしれない。ただ、消費者が一度でも勝利を収めたことが慰めになるはずだ。

画像クレジット:ウィキメディアコモンズ

[原文へ]

(翻訳:Mizoguchi)

プライバシーのコンプラチェックを機械学習で自動化するPreclusio

EUのGDPRや米国カリフォルニア州の消費者プライバシー法など、最近はプライバシーに関する規制がますます厳しくなっている。そして企業のコンプライアンスを助けるスタートアップが、次々と生まれている。そのうちの1つ、ここでご紹介するPreclusioはY Combinator 2019年夏季クラスの受講者で、機械学習を利用して企業の規制遵守を助ける。

同社の共同創業者でCEOのHeather Wade(ヘザー・ウェイド)氏は「弊社のプラットホームは顧客の環境にオンプレミスでデプロイされ、彼らが集めているデータの種類や使われ方、保存の場所と方法、それらの保護状況の適不適などを調べる。弊社は企業が自分のデータを自分で一望できるようにし、また彼らのデータインフラストラクチャを弊社が継続的にモニタして、データが確実に保護されている状態を確保する」と説明する。

オンプレミスのソリューションにしたのは、意図的だ。「クライアント自身が自分のデータを管理できることが極めて重要だ。どこかにサードパーティのSaaSのベンダーがいて、そこにデータをアップすれば終わりという、おまかせ主義のデータ管理ではだめだ」とウェイド氏は語る。

ただし顧客は、Preclusioのソリューションをオンプレミスでも、あるいはAzureやAWSのようなクラウドでも、どちらでも動かせる。しかしどこで動かそうとも、顧客自身が自分たちのデータを直接にコントロールする、という原則は変わらない。ウェイド氏は曰く、「彼らの環境にプライバシーの保護をめぐって問題が起きていれば、できるかぎりリアルタイムで警告できるようにしている。そのためには、彼らのデータと弊社のツールが同じ環境にあることが、最高に理想的だ」。

同社のプロダクトは顧客企業のデータにリードオンリーで接し、機械学習を利用して機密データを同定する。「弊社のプロダクトは自動的にデータのスキーマとサンプルを見て、保護されるべきデータを機械学習を使って同定する」と彼女は言う。そしてその処理結果を顧客企業のコンプライアンスチームが見て、必要に応じデータの分類を変えたりする。

ウェイド氏は同社を3月に創業したが、そのアイデアは前の職場で生まれた。その会社で彼女はプライバシーポリシーの執行を担当していたが、そういう職責を助けるツールがないことに気づいた。「自分の手で直接、プライバシーやコンプライアンスの問題を扱わなければならなかったし、技術者など必要なリソースの配備もなかった。とくにGDPRが成立した初期のころには、ツールも乏しかった」と彼女は回顧する。

彼女の共同創業者は、夫のJohn(ジョン)夫婦でやって問題が起きないのは「お互いが自分の得意な方面に集中しているから」という。彼はマーケティングの人間、そして彼女は技術系だ。

Y Combinatorの育成事業に参加したのは、速く成長したかったから。また最近では、プライバシー関連の法律のオンライン化が進んでいること。彼女が感動したのは、コミュニティの互助の精神と実践だ。「YCの課程では、みんながものすごく親切。他を利すことは自分を利するということを、みんながよく知っている」と彼女は言う。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

GDPR発効後初となる中止命令を受けたグーグルの音声AIレビュー

ドイツのプライバシー監視機関は、音声AIによって録音されたオーディオクリップの人間によるレビューを停止するよう、Google(グーグル)に命じた。

これは先月、Googleアシスタントサービスから、かなりの数のオーディオクリップがリークしたことを受けたもの。オランダ語の評価を担当する契約社員が、1000点以上の録音をベルギーのニュースサイト、VRTに提供した。VRTではそこから何人かの個人を特定することができた。ユーザーの住所、病状に関する会話、打ちひしがれている女性の肉声、などを聞くことができたと報告している。

ハンブルグのDPA(データ保護当局)は、GDPR(一般データ保護規則)の第66条に基づく権限を行使し、同条項が定める「緊急手続き」を開始すると、先月グーグルに通達した。

第66条は、「データの対象者の権利と自由を保護するために行動を起こす緊急の必要性」があると確信できる場合には、DPAがデータの処理を停止するよう命令することを認めている。

昨年5月にGDPRが欧州圏全域で発効されて以来、この事例が同権限の最初の適用例と考えられる。

Googleによれば、7月26日にDPAに回答し、すでにヨーロッパ全域で、Googleアシスタントの人間による音声レビューを停止することを決定したという。データのリークが判明した後、7月10日には対応したとのことだ。

また先月には、ヨーロッパにおける主幹プライバシー規制機関であるアイルランドのデータ保護委員会(DPC)に、その違反について報告した。DPCは、ハンブルグのDPAによる命令によって明らかになった問題を現在「調査中」であるとしている。

アイルランドDPCの広報責任者、Graham Doyle(グラハム・ドイル)氏は、Googleアイルランドが「2、3週間前」に、Googleアシスタントのデータに関して第33条に違反していたという告知を提出したと述べた。「われわれの認識では、7月10日に、Googleアイルランドは、問題となっている処理を中止し、本日(8月1日)を起点として、少なくとも3ヶ月間は、処理の停止状態を維持すると約束しました。それはともかくとして、われわれは現在その問題について調査中です」と付け加えた。

Googleが、ヨーロッパで、現地のプライバシールールに準拠した方法で、人間による音声レビューを再開できるかどうかは不透明だ。ハンブルグのDPAは、GoogleアシスタントがEUのデータ保護法を遵守しているかどうか、「重大な疑念」を抱いていると、ウェブサイトに掲載した声明(ドイツ語)で述べている。

「ハンブルグのデータ保護当局とは連絡を取り合っています。音声レビューをどのように実施すればよいのか、データがどのように使われているかをユーザーに理解してもらうにはどうすればよいのか、検討中です」と、Googleの広報担当者は私たちに明かした。

リークが明らかになった後、先月掲載されたブログ記事の中で、Googleの検索担当のプロダクトマネージャー、David Monsees(デビッド・モンシーズ)氏は、Googleアシスタントのクエリの人間によるレビューは、「音声認識技術を開発するプロセスの中で非常に重要な要素」であると断言している。そうした製品の開発には「不可欠」だとも表現している。

「そうしたレビューは、音声認識システムが、さまざまな言語において、異なったアクセントや方言に対応できるようにするのに役立ちます。レビューの過程で、オーディオクリップをユーザーアカウントに関連付けるようなことはしていません。そしてレビューを実施するのは、すべてのクリップの0.2%程度に過ぎません」と、Googleの広報担当者は説明している。

しかし、現在市場に出回っている無数の常に稼働している音声AI製品、サービスによって録音された音声の人間によるレビューが、ヨーロッパ人の基本的なプライバシーに関する権利と両立できるものなのか、かなり疑わしい。

通常こうしたAIでは、録音を開始してクラウドに送信するためのトリガーとなる単語が決められている。しかし、現在の技術では、何かのはずみでトリガーがかかってしまうことも避けられない。そして、今回のリークによって明らかになったように、そうした機器の所有者だけでなく、その周囲にいる人も含めて、秘密の、あるいは私的な個人データが収集されてしまうことになる。しかも、機器の至近距離にまで近付かなくても、音声は記録されてしまう。

ハンブルグのDPAのウェブサイトには、Googleに対して行使された法的手続きは、ただちに影響を受ける可能性のあるユーザーのプライバシー権を保護することを目的としたものだ、と記されている。またGDPRは、EU加盟国の関係する当局に対して、最大3ヶ月間の効力を持つ命令の発効を許可していることも書いてある。

ハンブルグのデータ保護担当のコミッショナー、Johannes Caspar(ヨハネス・キャスパー)氏は、次のように述べている。「EUにおける言語アシスタントシステムの使用は、GDPRのデータ保護要件に準拠している必要があります。Googleアシスタントの場合、現状ではかなりの疑いがあります。言語によるアシスタントシステムの使用は、ユーザーに対するインフォームドコンセントが可能なよう、透明性の高い方法で実行されなければなりません。特に、ユーザーに十分な情報を提供し、音声コマンドの処理に関する懸念についても、はっきりと通知しなければならないのです。さらに、音声AIが誤動作によって起動してしまう頻度と、それによるリスクも説明する必要があります。最後に、録音の影響を受ける第三者を保護する必要性についても、十分に考慮しなければなりません。まず何より、音声分析システムの機能に関する、いろいろな疑問について明確にする必要があります。そうしてから、データ保護当局は、プライバシーを尊重した運用のために必要な、確固たる方策を決定する必要があるでしょう」。

またハンブルグのDPAは、他の地域のプライバシー監視機関に、言語によるアシスタントシステムを提供する他のプロバイダーに対するチェックも、優先的に実施すること、そして「適切な手段を実行に移す」ことを呼びかけている。そこに挙げらている音声APIのプロバイダーとは、Apple(アップル)とAmazon(アマゾン)だ。

今回、第66条による命令が下ったという事実は、ヨーロッパで音声AIを運営している他の大手IT企業にも、広く影響が及ぶ可能性があることを示唆している。

GDPRが繰り出した法的執行がもたらす本当の衝撃は、ニュースの見出しになるような罰金にあるのではない。もっとも、それはGoogleの世界規模の年間売上の4%に相当する金額にまで膨れ上がる可能性がある。しかし、それより重要なのは、ヨーロッパのDPAが、データの流れを止めさせるほどの力を持った命令を発行するという規制手段を手に入れたことなのだ。

「これはほんの始まりに過ぎません」と、ヨーロッパのデータ保護法に詳しい専門家が、匿名を条件に私たちに述べた。「第66条には、いろいろな引き出しがあり、いつでも開くことができるのです」。

音声AIのプライバシー問題が、だんだん深刻化してくる可能性を示すものかもしれないが、Appleも米国時間の8月2日、Siriの音声アシスタント機能のための人間による同様のレビュー、「品質管理プログラム」を一時停止中であると明らかにした。

この動きは、規制当局の指示によるものではなさそうだ。これは先週のGuardianの記事が、Appleの請負業者による内部告発を詳細に報じたことを受けたもの。それによると、その業者は「日常的に機密性の高い詳細な」Siriの録音を聞いていたという。たとえば、セックスをしている音、身元の特定につながる財務情報の詳細、などが含まれていた。Appleでは、録音を匿名化するプロセスを経たものだとしていたにもかかわらずだ。

AppleのSiriの録音の人間によるレビューの停止は、全世界規模のものとなっている。

画像クレジット:TechCrunch

原文へ

(翻訳:Fumihiko Shibata)

データの匿名化はウソだと欧州の研究者グループが解明

ヨーロッパの2つの大学の研究者たちが、匿名化されたデータセットから、たった15のデモグラフィック属性から99.98%の精度で個人を再識別できるとされる方法を公表した。

個人情報の複雑なデータセットは、情報サンプル(サブセット)を分離するといった今の匿名化方式では再特定を防げないことを、彼らのモデルは示唆している。

つまり、匿名化して公開された大きなデータセットで、厳格なアクセス制限なくして再特定に対して安全なものはひとつもないということだ。

「私たちの研究が示しているのは、大量にサンプリングされた匿名化データセットであっても、GDPR(EU一般データ保護規則)に明記された最新の基準を満たせず、公開したらそれっきりという非特定化モデルによる匿名化の技術的、法的な妥当性を著しく阻害します」と、インペリアル・カレッジ・ロンドンとベルギーのルーヴァン・カトリック大学の研究者たちは、Nature Communicationsに掲載された論文の要約の中に書いている。

当然ながら今回の研究は、データの匿名化を元に戻せることを初めて証明したものではない。この論文に関わった研究者の一人、インペリアル・カレッジ・ロンドンのイブ=アレキサンダー・デ・モントイ(Yves-Alexandre de Montjoye)氏は、これ以前の研究でも、たとえば、クレジットカードのメタデータから、わずか4つの情報の断片をランダムに抽出するだけで、買い物をした人の90%を、一意の個人として再特定できることを証明している。

スマートフォンの位置情報のプライバシー侵害問題について調査した、デ・モントイ氏が共同筆者となった別の研究論文によれば、たった4つの時空間地点からなるデータセットから、95%の個人を一意に特定することに成功したという。

同時に、寄せ集められたデータから簡単に個人が特定できてしまうというこれらの研究結果があるにも関わらず、マーケティング目的でブローカーが売買しているような匿名化された顧客データセットには、その何倍もの個人の属性データが含まれている恐れがある。

たとえば研究者たちは、データブローカーのExperianがAlteryxにアクセス権を販売した匿名化されたデータセットには、米国の1億2000万世帯の、世帯あたり248の属性データが含まれていたことを引き合いにい出している。

彼らのモデルから見れば、基本的に、これらの世帯はみな再特定される危険性がある。それでも、大量のデータセットが、匿名化という甘い言葉に載せられて、今でも取り引きされている。

個人情報がどれだけ商用目的で取り引きされているかに関して、さらに怖い話を聞きたい方に教えよう。あの悪評高い、すでに廃業した、政界にデータを売る会社Cambridge Analyticaは、昨年、こう話していた。それは、Facebookのデータ不正利用スキャンダルの最中のことだ。米国人有権者をターゲットにした内密な活動の基礎となったデータセットは、Acxiom、Experian、Infogroupといった有名データブローカーからライセンスされたものだった。とくに同社が強調していたのは、「米国人個人の無数のデータ点」は「超大手の信頼あるデータ収集業者とデータ販売業者」から合法的に入手したということだ。

匿名データセットから、驚くほど簡単に個人を再特定できてしまうことを、研究者たちは何年間にもわたり示してきたが、今回の研究の最大の成果は、あらゆるデータセットからどれだけ簡単に個人を特定できるかを見積もれる統計モデルを構築したことにある。

彼らは、データのマッチングが正しい可能性を演算することで、これを実現している。そのため、基本的に、マッチの一意性が評価される。また彼らは、小さなサンプリングの断片がデータの再特定を許してしまうことも突き止めた。

「人口統計と調査データからの210件のデータセットを使って私たちのアプローチを検証したところ、非常に小さなサンプリングデータの断片であっても、再特定の防止や個人データの保護の妨げになることがわかりました」と彼らは書いている。「私たちの方法は、個人の一意性の予測に関してAUC精度で0.84から0.97というスコアを示し、誤発見率も低くなっています。私たちの研究では、米国人の99.98%は、今手に入る匿名化されたデータセットから、年齢、性別、配偶者の有無など、わずか15属性のデータを使って正確に再特定できることがわかりました」。

他の人たちも今回の発見を再現できるように、彼らは実験のためのプログラムを公開するという、通常あまり見かけないプロセスを踏んでいる。また、特定のデータ点に基づくデータセットからどれほど正確に再特定できるかを試せるように、属性を自由に入力できるウェブインターフェイスも作った。

そのインターフェイスにランダムに入力した3つの属性(性別、誕生日、郵便番号)でテストした結果、理論上の個人を再特定できる可能性は、属性をひとつ(配偶者の有無)追加すると、スコアが54%から95%に跳ね上がった。ここから、15件よりもずっと少ない属性データだけでも、ほとんどの人のプライバシーが危険にさらされるということがわかる。

経験からすると、データセットに含まれる属性データが多いほど、マッチングの精度は上がり、したがって匿名化でデータが守られる可能性は低くなる。

これは、たとえばGoogleが所有するAI企業DeepMindが、英国の国民健康保険との共同研究で100万人分の匿名化された目のスキャンデータへのアクセスを許されている件を考えるうえで、とても参考になる。

身体特徴に関するデータは、当然ながらその性質上、個人特有のデータ点を大量に含んでいる。そのため、(文字どおり)視覚データの数ピクセル分などという程度でなく多くのデータを保持している目のスキャンデータは、どれをとっても“匿名化”されていると考えるのは不適当だ。

今の欧州のデータ保護の枠組みは、本当の意味で匿名のデータならば、利用や共有が自由にできることになっているだがそれに対して、その法律が強要している個人情報の処理や利用に関する規制上の要件は厳格だ。

この枠組みは、再特定の危険性については深く認識しており、匿名化データよりもむしろ仮名化データという分類を用いている(仮名化には個人データが多く残っていることが多く、同じ保護の下にある)。十分な要素を取り除いて個人の特定を確実にできなくしたデータセットのみが、GDPRの下では匿名と認められる。

ほんのわずかな属性データしかない場合でも再特定される危険性があることを明らかにしたことで、この研究は、いかなるデータセットも、真に間違いなく匿名であると認定することが極めて難しいことを強調している。

「この研究結果は、ひとつには、再特定には実害がないとする主張、もうひとつには、データセットの一部をサンプリングまたは分離することが説得力のある否定論拠になるという主張を退けるものとなりました」と研究者たちは断言している。

「この研究の結果、1つ目には、ほんの数件の属性データで、非常に不完全なデータセットからでも確実に個人を再特定できることが示され、ふたつめには、データセット、たとえばひとつの病院ネットワーク、またはひとつのオンラインサービスから一部のデータをサンプリングまたは分離すれば説得力のある拒否論拠になるという主張が否定され、そして最終的に、みっつめとして、たとえ母集団一意性が低かろうと(これは、十分に再特定できるデータを匿名と見なすことを正当化する論議だが)、それでも私たちのモデルを使えば、多くの個人が正確に再特定されてしまうリスクを負うことが示されました」。

彼らは、規制当局と議員たちに、データ再特定による危険性を認識し、プライバシーを保護した形でデータ処理が行えると彼らが言う有効な「プライバシー保護を強化するシステムとセキュリティー対策」のための法律面での注意を払うよう訴えることにしている。この保護システムとセキュリティー対策には、暗号化検索とプライバシーを侵さないコンピューター処理、粒度の細かいアクセス制御メカニズム、ポリシーの執行と説明責任、データ来歴など、2015年の彼らの論文からの引用も含まれている。

「EU加盟国や地方の規制当局などにより、匿名化の基準が再定義される場合、それは堅牢で、私たちがこの論文で示したような新しい脅威を考慮したものにならなければなりません。再特定という個人的なリスクと、(たとえデータセットが不完全であっても)説得力のある拒否論拠の欠如を考慮する必要があります。さらに、効率的に人々のプライバシーを守りつつデータの利用を可能にする、広範で有効なプライバシー保護を強化するシステムとセキュリティー対策を法的に承認することも大切です」と彼らは付け加えている。

「今後も当局は、現在の非特定化の実現方法が、GDPRやCCPA(カリフォルニア消費者プライバシー法)などの現代のデータ保護法の匿名化基準に達しているかどうかを自問し、法律や規制の観点から、非特定化して公開したら終わりというモデルを超える必要性を強調するようになるでしょう」。

[原文へ]

(翻訳:金井哲夫)

個人データの無断抽出企業にポーランド当局が採った過激な一手と残された謎

ポーランドのデータ保護機関は3月末、EUの一般データ保護規則(GDPR)に基づいて初の罰金を科した後、面白い決定を下した。

表面的には、この措置はさほど大事には見えない。ポーランドの個人データ保護局(UODO)は、同国に支社を置く欧州のデジタルマーケティング企業Bisnode(本社はスウェーデン)に対して、同社がGDPR第14条に定められたデータ主体の権利に対する義務を履行していないことを理由に、わずか22万ユーロ(約2740万円)の罰金を科した。

しかしその決定は、第14条に規定された通知義務による通知を受け取っていない600万人近い人たちに、連絡を取ることも要請している。UODOが同社に与えた猶予は3カ月だ。

Bisnodeは、これだけの数の書留郵便を送るには、そのための経費を一切含めないとしても、およそ800万ユーロ(約99億8500万円)かかると前もって見積もっていた。

つまり、GDPRに基づくデータ保護の強制力は、これまでに科せられた最上級の罰金よりもずっと威力があるということだ。この付随命令には、商習慣を大きく変えてしまう可能性すらある。

ポーランドの報道機関によると、Bisnodeは、違反しているデータを削除すると話しているという。数百万通の郵便物を出さずに済ませるための方策だ。さらに同社は、UODOの決定に対し、まずはポーランドの法廷に異議を訴える構えを見せている。その根拠は、データ主体にそのデータの処理について通知する場合、データ管理者はどこまで努力し、どこまで金銭的な負担をしなければならないかを示した第14条の補足説明にある。

同社は、必要に応じて、欧州の最高裁判所まで行く覚悟だという(我々は、次の対策に関してBisnodeに確認をとった)。

もしこれが欧州司法裁判所にまで持ち込まれることになれば、UODOの決定に対する法的な異議申し立により、個人データを無断で抽出することに関して、制限の範囲が明確化(または規定)されることになる。可能性としては、ビジネスインテリジェンス、広告、サイバー攻撃諜報活動といったいくつもの業界や分野の運営方法に影響を与えることが考えられるるため、プライバシーの保護に携わる人たちは注目している。

「この決定は、第14条を文字通りに適用したという点で過激に思えます」と、サイバーセキュリティーおよびプライバシーの独立系アドバイザーおよびオックスフォード大学Center for Technology and Global Affairs(技術および世界情勢センター)研究員であるLukasz Olejnik博士はTechCrunchに語った。

「UODOは、この企業のビジネスモデルが抽出したデータの処理に完全に依存していて、それを意図的に決断していると、原則論に則って主張しています。UODOはまた同社は義務のことを認識しており、一部の人たちに電子メールで通知しているとも言っています」。

さまざまな業界で活動する個人データ抽出業者には裁判になれば膨大な出費が強いられる可能性が生じるが、Bisnodeの主張が通るかどうかによって分別ある処分が下されることもあるとOlejnikは言い添えた。

このようなデータ保護機関の決定が、無断のデータ抽出を事実上禁止することになるかは定かではない。

しかし、欧州の公的データベースから、人々の個人データを、黙って、取り放題に取っていた業者には、不明瞭な法律上の心配ごとが現れた。個人データを、当初の使用目的とは違う商売に利用しようとすれば、想像を超える大金が必要となるのだ。

知らされる権利

GDPR第14条では、データ管理者は、当事者から直接取得したものでない個人データを使用する際には、その人に通知する義務を負うことになっている。例えば、公的インターネットから個人データを抽出したような場合だ。

これに関連する規制の条項はとても長いのだが、要点を並べると次のようになる。個人データを抽出したときは、データの持ち主であるデータ主体(個人)に、誰がその人のデータを持っているか(それを共有するすべての者、また海外への転送を依頼した者を含む)、どのようなデータを取得したのか、それを何に使うのか、その処理に関する法的根拠を通知しなければならないということだ。

データ主体には、自分のデータの利用を望まない場合に拒否できるよう、苦情を訴える権利があることも知らせる必要がある。

情報に関する義務は、使用目的によって異なる。そのため、データ管理者が、抽出したデータを後に別の目的に使おうとする場合には、新たに第14条に基づく通知をしなければならない。

データ主体には、データを抽出してから(または使用目的を変えるとき)遅くとも1カ月以内に通知しなければならない。そのデータが、データ主体に対する直接的なマーケティングに使われる場合は、最初に接触するときに、即刻その旨を伝えなければならない。

Bisnodeの場合、無数の起業家や個人事業主に関する公的記録やその他の公的データベースから、さまざまな個人データを入手している。それには、氏名、国民ID番号、事業に関連するあらゆる法的事柄が含まれる。

個人事業主や企業の住所は、抽出対象としては一般的なデータのようだが、それ以外の連絡先は違う。Bisnodeが入手した電子メールアドレスは、少数の個人集団のものだけだった。その後、同社はその人たちに、14条に基づく義務としてメールを送っている。

しかし問題となっているのは、電子メールアドレスを知らないその他の人たち、つまり大多数の570万人ほどの人たちに、Bisnodeがテキストメッセージや郵便を送らなかったことだ。同社は彼らに直接コンタクトを取ることを諦め、代わりに同社のウェブサイトに通知を掲示して、第14条の義務を果たしたことにしていた。

「個人事業主には、我々がその人のデータを使わせていただく旨を知らされる権利があることを、私たちは認識しています。今回の場合、BisnodeはGDPR第14条に準拠し、私たちのウェブサイトに情報を掲示しました」と、BisnodeはUODOの決定を受けて発表した最初の声明文に書いていた。これは彼らのウェブサイトにも掲載されている。

さらに、「私たちは、データ保護機関が考えるところの相応の努力というものに疑問を持っています。電子メールアドレスを知っている方々(67万9000件)には、第14条に基づく情報を電子メールにて通知しています。しかし、個人事業主、法人などの570万件の記録に対しても郵便または電話で通知せよとの追加要求は、相応の努力とは思えません」と続く。

「私たちは、電子メール、その他のデジタルチャンネル、全国新聞の広告などが、受け手にとっても、送り手にとっても望ましい手段だと考えます」。

UODOは激しく反論した。それが、この罰則やその他の措置につながった。

UODOは、その決定についてこう説明している。Bisnodeは、第14条に基づく義務について明らかに知っていた。そのため、ビジネスに利用するために取得した個人データの持ち主の大多数には直接通知をしないと、費用の面だけを重視して意識的に決断した。データの取得に関連する法的義務は、事業コストの中核要素だと認識すべきだった。

「UODO局長は、同社が個人事業を運営する個人(現在または過去)の住所情報(一部には電話番号も含む)を取得した場合、決められた情報を郵送する(または電話で知らせる)ことが可能であり、規則2016/679第14条第1項および第2項で要求されている情報を単純に同社のウェブサイトに掲示するだけでは、規則2016/679第14条第1項から第3項の用件を十分に満たしたとは認められないと述べている」と法律用語満載で応じている(ポーランド語の声明をGoogle翻訳で英語に翻訳)。

「こうした活動を本業とする企業として、同社は、事業者としての立場を明確にする必要があり、法的規則(この場合は個人データの保護に関する規則)に確実に準拠するための必要経費を考慮しておかなければならない」と続き、とくに人々の個人データの売買を事業の柱としている企業であるにも関わらず、費用がかかり過ぎるという理由で大多数の個人に通知をしなかったBisnodeの判断こそが問題だと強調した。

UODOの決定はさらに、Bisnodeが電話番号を知っている人たちにショートメッセージを送ることもしなかったと指摘している。これは「そうした行動には多額の費用がかかる」という言い訳への反論だ。

同社は、第14条に基づく通知を570万人に郵送するには800万ユーロかかると見積もっているが、UODOは、書留で送れとはどこにも書かれていないと反論する(Bisnodeの見積もりの根拠は書留のようだ)。実際、どのような通信媒体を使っても構わないことになっている。

従って、(より安価な)普通郵便で送ってもよかった。または従業員(アルバイトなど)に、数日間かけて対象の個人に通知を配らせてもよかった(余談ながら、ロボットやドローンを使って規則に準拠するための通知を配る新しいタイプの事業が成立するかも知れない。第14条配達ロボットがドアをとんとんノックして、権利を読み上げてくれるとか)。

UODOは、GDPR第14条には、通知の義務を果たすための手段は特定していないと指摘する。データ管理者が実際に連絡することだけが求められているのだ。

積極的な姿勢と過大な努力

「義務を果たすことの要点」は「積極的」に行動することにあると、声明文には書かれている。つまり、データ主体に通知をする際には、データ主体が自分のための通知を受け取るために、データ主体自身が手を煩わすことがないようにしなければならない。

そのため、Bisnodeが行ったような、ウェブサイトのタブの中に通知を掲示するという受動的な方法は、その要点に反する。明らかにデータ管理者には、通知すべき人を探し出す努力が求められているのだ。

また、そのデータの持ち主が、自分のデータを抽出されていることすら知らない場合、どこへ見に行けばよいのか。そもそも見に行くのか? Bisnodeのウェブサイトでその通知にたまたま行き当たって、事の経緯を知るなんてことは、まずあり得ない。大々的にマスメディアで放送でもしない限りは不可能だ。

「積極的な通知の必要性が、2017年11月29日に採択された規則2016/679の第29条作業部会ガイドライン(2018年4月11日に改訂)で強調されている」と、UODOの決定に関する文書には書かれている。EU全体を管轄し大きな権限を持つデータ保護監視機構(現在は欧州データ保護会議、EDPB)の基準を示し、欧州全域でGDPRに確実に準拠するよう、継続的に努力する責任があるというのだ。

この決定に関する広報資料でUODOは、通知を直接受け取った後(電子メールなど)、Bisnodeが自分のデータを使うことを拒否した人々の数と割合も示している。「同社がデータの使用を通知したおよそ9万人のうち、1万2000人以上が自分のデータの使用を拒否した」

これは、個人データを商用目的で、あるいはマーケティング関連で使いたいと通知すれば、多くの人から「やめてくれ」と断られる可能性があるという事実を明らかにしている(実際に拒否する人は多い)。この結果は、データベースを最大限に利用したいと考えているはずのBisnodeのようなマーケティング企業の意向に沿っているとは言えない。

しかし、マーケティングデータベースの縮小は、人々のプライバシーを守り、欧州で合法的にビジネスを行うための代償なのかも知れない。第14条で言われている「相応」とはどの程度かに関するBisnodeの解釈は、欧州連合の市民の権利ではなく、自社の事業の利益を基準とした利己的なものと思える。

もし、欧州連合の人たちの、自分のデータがどのように使われるかを知る法的権利が、たとえば、データ管理者がごく限定された連絡先情報しか持たないことを理由に軽視されてしまうのなら、データ保護の枠組みに大きな抜け穴ができてしまう(数年前、UODOは類似のケースで、企業が自由に使える連絡先情報を持っていなかったとして、今回とは異なる決定を下している)。

第14条には免責の条項もある。データ主体への通知義務を果たそうとしたとき、「それが不可能だと証明されるか、過大な努力を要する場合」は免除される可能性があるというものだ。しかしそれは、「とくに、公益のための記録保管、科学的および歴史的研究、統計上の目的において」という非商用目的の例を示した文章に、明確につながっている。

どう見ても、b2bマーケティングの事業にに当てはまらない。

データ主体への通知義務の免責はまだある。「実行がほぼ不可能な場合、またはデータの使用目的の達成を著しく阻害する場合」だ。だがこれも、Bisnodeのようなマーケティング目的に当てはめるのは難しい。

たしかに、第14条に基づき通知した人たちからは苦情があった。そのなかに、自分のデータをマーケティングに使って欲しくないと拒否する人たちが一定数いた可能性がある。とは言え、UODOが調べたところでは、Bisnodeのデータ使用に積極的に反対した人の数は少数(13パーセント以下)であり、同社の事業全体を「著しく阻害する」ほどの破壊的な数ではない。

もちろん、こうした細かい事柄をもとに判断を下すのは裁判官だ。しかし、「相応の努力」とはどの程度のことを言うのか、そしてどのような条件で第13条の免責が適用されるのかが、大きな争点になってゆくだろう。

「第14条(5)の『過大な努力』が問題の根幹です」とOlejnikは認めている。「場合によっては、ウェブサイトに情報を掲載するだけでも十分ですが、それが今回のケースに当てはまるかどうかは不透明です。むしろ、これに関わる人の大多数が、自分のデータが利用されていることを知らないのは明らかです」

「裁判所の判断は、誰にも予測ができません。とても興味深いケースとして注目しています」と彼は話していた。

UODOの決定から、差し迫った現実的な意味が読み取れるかについても、今はまだはっきりわからないとOlejnikは言う。Bisnodeが、欧州司法裁判所まで戦う姿勢を見せているので、なおさらだ(つまり、結論は何年も先になることを意味している)。

「同社は、EU内の他の支社でも同じ対策をとっているが、各国のデータ保護機関には何も言われていないと公表しています」とOlejnik。「しかし、なんらかの形の通知義務は果たさなければなりません。これは興味深い先例になると考えています」

「これを衝撃的と感じる人もいるでしょうが、GDPRを実際に施行すると、こうなるのです。施行前、GDPRの文言の意味がわからないと、多くの人が不安に感じていました。データ保護機関は、私が思うに、文面通りの意味としてとらえているのでしょう」

個人データの膨らむコストとリスク

現在まさに、同じような話が同時進行している。インターネットの広告ターゲティングに関連するGDPRの元での「自由意思とインフォームドコンセント」の問題だ。昨年、GDPRが施行されて以来、大きな法廷闘争を引き起こした。さまざまな広告用データ技術プラットフォームを使ったターゲティングには苦情が絶えない。適切な同意もなく、なかにはデータ保護が十分に行われていない状態で個人データの使用や分配を行う中核的な広告技術のデータ利用への非難も跡が絶えない。

GDPRは施行されてまだ1年も経ってないため、その規制を強要する手段が不足している。だが規制当局は、その境界に、平等でしっかりとした線を引こうとする兆候は見え始めている。

説明を曖昧な文章にしたり、広告技術産業による個人データの露天掘りを合法であるかのように見せかける努力の跡を見れば、こうした高度にシステム化された個人データ収集業者も、同様に、すべての個人に適正に通知するにはコストがかかりすぎると見積もっているのだろう。

また、広告に利用したい個人データの持ち主全員に、完全に丁寧に情報を通知し、拒否する自由を与えてしまえば、広告技術産業は、そのマーケティング力の大きな部分をもぎ取られてしまう。

だからと言って、義務から逃れることはできない。法の目をかいくぐり身を潜めている企業には、かならず手が入る。

視野を広げてみよう。インターネットから個人データが抽出される場合と、利用者から積極的に個人データが提供される場合(自由意思で提供されるものだけでなく、たとえばGDPRが「同意の強要」と呼ぶものも含む)の割合は明らかではない。

「その割合を示すデータを大きな規模で入手するのは困難です」とOlejnikは言う。

インターネット上での「完全に無許可」のデータ収集を行い、違法なスパム広告を流したり、フィッシング詐欺を企むハッカー集団に売却する悪辣な連中が大勢いることはたしかだ。そいつらを確実に封じ込める規制は、公にはまだ存在しない。だが、法的なリスクが高まれば、少なくともサイバー犯罪者たちの動機を奪い、弱体化させることができる。

規制によってさらに厳しい罰則がもたらされる商業分野では、企業はデータの抽出と「提供」との境目を、自分たちの都合のいいように曖昧にしてしまう。法律から逃れるにためにだ。

そこで、ここでもまた、人々の個人データが丁重に扱われるためのはっきりとした定義と線引きが必要となる。それには法学に支えられた、しっかりとした法執行判断が欠かせない。

また、今はなき選挙コンサルティング企業のCambridge Analyticaの不正行為も忘れてはいけない。同社はFacebookのプラットフォームから個人データをこっそり抜き取り、国内の政治情勢を動かそうと、アメリカ人有権者のサイコグラフィックプロファイルを作っていた。これは、明らかに第14条に違反する。データ保護政策が施行されている現在のEUで、市民たちにそのような行為が行われたらの話だ。

Cambridge Analyticaのような悪質な例を見れば、個人データが内密に利用されることから人々を守る枠組みを作ったGDPRの明確な意図がわかる。そこには、好ましくない不正使用を監視する機能が与えられた。Facebookは、利用者のデータを適切に守れなかった残念な失敗の長い歴史を残すこととなった。

GDPRなら、Cambridge Analyticaのような悪役の活動を止められたのかどうかはわからない。しかし、この制度に焼き込まれた多額の罰金は、個人データの抽出が2014年当時のように「タダで取り放題」ではなくなったことを示している。

同時に、欧州ではFacebookのいくつかの事業が捜査を受けている。アイルランドのデータ保護機関は、Facebook所有の複数のプラットフォームで10件の公開捜査を行っている。GDPR違反の疑いだ。注目しておこう(Facebookがプライバシーに関する姿勢を即座に「転換」したこともに注目して欲しい)。

個人データを内密に大規模に収集すれば、少なくとも欧州では、今や大きな法的リスクを負うことになる。

UODOが第14条に関連して強気な姿勢を見せたことで、個人データを掻き集める人たちは、また少しやりづらくなったはずだ。

完全な情報公開

UODOとBisnodeの事件の締めくくりとして、お伝えしておく。奇妙なことに、UODOは同社の名前を公にしないことを決めた。社名には仮称を使い、決定に関する公開文書では、一部の詳細事項が編集されている。

UODOが、なぜそうしたのかは定かではない。なぜ企業名を隠すのかも不明だ。Olejnikは、仮称はすぐに暴けたと話している。だがBisonodeは、その後、自ら名乗り出て異議を唱えた。

欧州の他国のデータ保護機関は、一般原則として違反企業の名前を明かすことにしている。それだけに、ポーランドの保護機関の選択は異様だ。

UODOの報道官は、TechCrunchに対して、違反した法人の名前を常に伏せるわけではないと話した。しかし今回の件は、「行政処分の情報とその正当性は十分に示されている」という大統領の見解を踏まえてのことだという。さらに、市民に伝えるべきもっとも重要な事柄は、決定が下されたことと「彼らの実績」であり、決定に至るまでの過程に関する決定的な論拠も詳細に記されているとのことだ。

しかし、その具体的な正当性に欠け、とくに仮称の不完全さから、Bisnodeの名称を公開しなかった判断には疑問が残るとOlejnikは言う。

「今回の決定に関する情報から、わずかな時間で仮称の解読ができ、企業名が判明しました。このことから、仮称を使った意図が疑われます」と彼は指摘する。「一般市民には、まず第一に透明性を求める権利があります。仮称の使用は、最初に論争を呼びました。控えめに言っても、それは、利用者がこの事件のこと、データの不正使用のこと、さらには自分がそこに関わっているかどうかを知る権利を妨害しています」

プライバシーを守る側の機関が、下手に企業名を隠し、個人データを密かに盗まれた大勢の人たちに正しい情報が伝えられなかったことは、大きな皮肉だ。

[原文へ]

(翻訳:金井哲夫)

オランダ当局がCookieウォールはGDPRの要件を満たさないと判断

(編集部注:この記事は米国時間38日に掲載された)

オランダのデータ保護当局(DPA)は、ウェブサイトに入るための料金的に、インターネットブラウジングが広告目的でトラッキングされることに同意するようウェブサイト訪問者に求めるCookieウォールは欧州データ保護法にそぐわないとの見解を昨日示した。

DPAによると、当局にはCookieの利用についての同意を拒否したあとにウェブサイトへのアクセスがブロックされたインターネットユーザーから何十もの苦情が寄せられた。そのため、この件について明確なガイダンスを示す運びとなった。

DPAはまた、ユーザーからの苦情が最も多かった複数の組織に、GDPRを遵守するよう促す忠告書を送ったことも明らかにし(組織名は伏せている)、今後さらに監視を強化する方針だ。

昨年5月に導入された欧州のGDPR(一般データ保護規則)は、法律に基づいて個人データを処理するよう、同意のルールを厳格化している。このルールでは同意を求める際は明確な説明がなされ、選択する自由をユーザーに与えることを定めている。

もちろん同意は個人データの処理に伴う法的な措置というだけでなく、多くのウェブサイトが、ユーザーがウェブサイトにアクセスした時に広告目的でのCookieに同意するよう求めている。

そしてオランダのDPAのガイダンスは、サードパーティのCookie、トラッキングピクセル、ブラウザの指紋テックなど、いかなる追跡ソフトウェアが使われようとも、インターネットビジターは前もって追跡の許可を尋ねられなければならない、と明確に示している。そしてその許可は自由に 基づいて得られなければならないともしている。つまり、そこには選択の自由がなければならない。

ゆえに別の言葉で言うと、アクセスしたければデータをよこせ的なCookieウォールは反している。DPAはこのように言っている。「真に自由な選択がなければ許可は自由ではない。または、許可しなかった結果、不利を被ることがあれば自由とはいえない」。

さらには「これはそれだけの意味があるウェブサイト訪問者が個人データがきちんと保護されていると信頼できる状態になければならない」(Google Translateでの翻訳)と明確にウェブサイトに記されている。

ウェブサイトがきちんと機能するため、そしてサイト訪問の一般的な分析のためのソフトウェアについては問題はない。ウェブサイト訪問者の行動のモニターや分析、そしてそうした情報を他のパーティーとシェアすることは許可がある場合のみ許される。その許可は完全に自由裁量によるものでなければならない」と付け加えている。

我々がDPAに問い合わせたところ、広報は個々の苦情についてはコメントできない、としながらも次のように述べた。「CookieウォールはGDPRの同意の原則に即したものではない。つまり、ウェブサイトにCookieウォールを活用しているパーティーは全てできるだけ早期にGDPRに沿うものにしなければならないことを意味する。きちんとGDPRに準じたものになっているか、我々は数カ月以内にチェックする。このチェックは必ず行う」。

説明に照らすと、インターネット広告協議会(IAB)の欧州サイトのCookieウォールは、まさしくしてはいけないことのいい例のようだ。このオンライン広告産業の団体は、たった1つの同意選択のもとに、複数のCookie(サイト機能用、サイト分析用、サードパーティー広告用)を使用している。

ウェブ訪問者に「同意しない」という選択はまったく提供していない(下の写真にある、さらなる情報やプライバシー・ポリシーのボタンをクリックしてもない)。

もしユーザーが「同意します」をクリックしなければ、ユーザーはIABのウェブサイトにアクセスすることはできない。ゆえに、ここでは選択の自由はない。同意するか、サイトへのアクセスをあきらめるかだ。

さらなる情報クリックすると、IABがどういう目的でCookieを使っているのかさらなる説明がある。そこには訪問者プロファイルをつくるために集めた情報を使っているわけではない、とある。

しかしながら、Googleプロダクトを使っているとも記されていて、そうしたプロダクトのいくつかは訪問者の情報を広告目的で集めるかもしれないCookieを使っていると説明している。よって、ウェブサイトのサービス同意に広告トラッキングを含ませているわけだ。

繰り返しになるが、サイト訪問者に提供される選択肢は「同意する」か、ウェブサイトにアクセスすることなくそのまま去るかとなっている。つまり、自由な選択ではない。

IABCookieウォールに関してデータ保護当局から何の接触もないとTechCrunchに対し述べた。

オランダDPAのガイダンスを考慮してCookieウォールを改める意思があるかどうかを尋ねたところ、広報はチームがそうする意向があるかどうかはわからない、と述べた。ただ、GDPRはアクセスを同意に基づく条件付きのものにすることをただちには禁止していない、と広報は主張した。また、ここで適用されると主張する(2002年の)ePrivacy Directiveを持ち出して、「ePrivacy Directiveには、十分に説明されたCookieの同意に基づいてウェブサイトのコンテンツが条件付きになることに言及する詳しい説明がある」とも説明した。

「我々はこの点についてCookieバナーの使用を変更しようとは考えていない。なぜなら、Cookie使用への同意なしに我々のウェブサイトにアクセスできるようにするよう法律では求められていないからだ」とIABでプライバシー政策を担当するディレクターMatthias Matthiesen氏は、その後の電話取材で話した。

IABの考えというのは、この件に関してはePrivacy DirectiveGDPRに勝る、というものだ。

しかし、彼らがどうやってその結論にたどりついたのかは不明だ。(GDPRが昨年施行されたのに対し、ePrivacy Directive15年以上前からあり、現在アップデートの最中だ)。

Matthiesen氏の言葉を引用すると、彼がいう法の一般原則は同じことに関する2つのルールの相違があった場合、より具体的な方の法律が優先される。(それから推測すると、GDPRePrivacy DirectiveCookieウォールの部分で相違があるようだ)。

IABが言及しているePrivacy Directiveの箇所は前文25のようだ。そこには以下のような文言が含まれる。

特定のウェブサイトコンテンツへのアクセスは、合法な目的で使用されるのであれば、十分に説明されたCookieまたは類似のデバイスに関する同意にもとづき、条件付きとなることがある。

しかしながら、特定のウェブサイトコンテンツは、すべてのサイトのアクセスを意味しない。たとえば、サイト全てへのアクセスをCookieウォールでブロックすることではない。

加えて、前文で指摘している合法の目的Cookie同意に基づいてアクセスを制限することとは相反していて、要注意点だろう。前文の文言には、合法な目的として情報社会サービスの提供を促進するものを例に挙げている。

情報社会サービスとは何だろう。先の欧州指令ではサービスを法的言葉として遠隔から電子上で、そして受け取り側の個々のリクエストに基づいて提供されるもの、と定義している。これから察するに、インターネットユーザーがネットサーフをするときにそうしたユーザーを裏で追跡する広告ではなく、インターネットユーザーが実際にアクセスするインターネットコンテンツ例えばウェブサイトそのもののことを指している。

ゆえに、別の言葉でいうと、時代遅れのePrivacy Directiveを根拠としていても、IABのサイトはそれぞれのサイトごとにCookie使用の同意をユーザーから得る必要がある。

しかし、それはウェブサイト訪問者が自身のブラウジングが普及している方法で広告事業者に追跡されることに同意しない限り、ウェブサイト全体にアクセスできるようになるということではない。

それは、ウェブサイト訪問者が求めている種類のサービスのウェブサイトではない。

加えて現在の話に戻すと、オランダのDPACookieウォールを解体する明確なガイダンスを打ち出している。

唯一、ここでの道理にかなった法的解釈はウォールがCookieウォールを指して書かれていることだ。

IABMatthiesen氏はもちろん意見を異にする。

「法律というのは複雑で、書かれているほどにシンプルではない」と、この点で異議を唱えた。「ブラウザがウェブサイトに接続するとき、テクニカル的にローディングされるものにリクエストを出す。なので、サイトにロードされたコンテンツにリクエストを出している」。

「ウェブサイトはウェブサイトオーナーの所有物だ。所有物に付随する基本的な権利もまたある」と彼は付け加えた。「GDPRでは自分のウェブサイトコンテンツを人々に公開しなければならないとは言っていない。私がつくっている所有物についての条件を自分で決めるのになんら問題はない」。

「このことについてはあなたには何の権利もない。あなたに追跡を受け入れるよう強制することはできないというのは、確かだろう。あなたが強制されないというのは、あなたが私の所有物を使う必要がないということだ。これは、Cookieウォールの使用禁止と私の考え方と根本的に異なる点だ」。

そして彼は、この件を法的に明らかにするのに欧州司法裁判所に判断をあおぐことを提案した。Cookieウォールを使用することがないよう当局によって監視のターゲットとなっているオランダのウェブサイトが訴訟に持ち込むことが想定される。

この記事はDPAIABのコメントがアップデートされた。

イメージクレジット: Tekke/ Flickr under a CC BY-ND 2.0license.

原文へ、翻訳:Mizoguchi)

Googleに罰金5700万ドル命令、仏データ保護当局

フランスのデータ保護当局CNIL初のGDPRに基づく罰金となる5700万ドル(5000万ユーロ)を命じた。当局は、新規のAndroidユーザーが新たな端末のセットアップに伴ってAndroidの用意されたプロセスに従う際、Googleが一般データ保護規則(GDPR)に違反した、としている。

元々は、‘None Of Your Business’ (noyb) とLa Quadrature du Netという2つの非営利団体が2018年5月に苦情を申し立てていた。noybはGoogleとFacebookについて苦情を申し立てていたので、今後Facebookへの対応がどうなるか見ものだ。GDPRでは、苦情は各国のデータ保護当局に引き継がれる。

Googleの欧州本部はダブリンにあるが、CNILは当初、新規Androidユーザーのデータ処理に関しての最終決定権はダブリンの本部にはないと判断した(おそらくマウンテンビューで行われているのだろう)。それゆえに、パリで調査が続けられていた。

そしてCNILは、Googleが透明性とユーザーの同意という点でGDPRに違反した、と結論づけた。

まず、指摘のあった透明性の欠如をみると「データ処理の目的、データ保存期間、広告のパーソナリゼーションのために使用される個人情報のカテゴリーといった必要不可欠な情報が、いくつかの書類でボタンやリンク付きでかなり広く展開されていて、補足情報にアクセスするのにクリックする必要がある」と当局は書いている。

たとえば、もしユーザーは広告をパーソナライズするために自身のデータがいかに処理されるかを知りたければ、5回か6回タップしなければならない。CNILはまた、往々にしてデータがどのように使われているのか理解するのが難しすぎると指摘する。Googleの言葉遣いは意図的に大雑把で曖昧なのだ。

2つめに、CNILによると、Googleの同意の流れがGDPRに沿うものではない。GoogleはデフォルトでGoogleアカウントにサインインまたはサインアップするよう促す。Googleアカウントを持っていないと使用体験が悪くなる、とGoogleはいう。これについて、Googleはアカウントを作る行為と、デバイスをセットアップする行為とは切り離すべきだとCNILは指摘する。同意を強要するのはGDPRでは違法となる。

もしアカウントのサインアップを選んだとして、Googleがいくつかのセッティングでチェックマークを入れたり入れなかったりを求めるとき、Googleはそれが何を意味するか説明しない。たとえば、Googleがあなたにパーソナライズされた広告が欲しいか尋ねるとき、それがYouTubeからGoogleマップ、Googleフォトに至るまで多くの異なるサービスにかかわることだということをGoogleは伝えない。これはAndroidスマホに限定される話ではない。

加えて、Googleはアカウントを作るときに具体的で明白な同意は求めない。パーソナライズされた広告をオプトアウトするための選択肢は“そのほかのオプション”リンクの裏に隠されている。このオプションはデフォルトでチェックマークが入れられている(本来そうであってはいけない)。

最後に、アカウントを作成するとき、Googleは「私は上述されているように、またプライバシーポリシーでより詳しく説明されているように私の情報を処理することに同意します」という文言のボックスにもデフォルトでチェックマークを入れている。このようなあいまいな同意はGDPRでは禁止されている。

CNILはまた、2018年9月の調査以来何も変わっていない、とGoogleに注意喚起している。

noybの代表Max SchremsはTechCrunchに対し、次のような声明を送ってきた。

欧州のデータ保護当局が、明らかな法律違反を罰するためにGDPRを初めて活用したことを嬉しく思う。GDPR導入後、Googleのような大企業が“法律を異なって解釈”していることに我々は気づいた。そして我々は彼らのプロダクトを表面上のみ受け入れてきた。企業に苦情を入れるだけでは十分ではないと当局が明確にしたのは重要なことだ。我々はまた、基礎的な権利を守るための我々の取り組みが実を結んでいることを嬉しく思っている。我々の活動を支えてくれた人にも感謝したい。

アップデート:Googleの広報はTechCrunchに次のような声明を送ってきた。

高い水準の透明性とコントロールが期待されているが、我々はそうした期待とGDPRの同意要件を満たすことに十分にコミットしている。現在、次の対応を検討中だ。

原文へ 翻訳:Mizoguchi)

その危険性に気づき警告を発する以前に子どもたちはデータ化されている

イギリスの児童コミッショナーは、その報告書で、民間公共を問わず、子どもたちのデータが収集され拡散されている状況に懸念を示している。

Who knows what about me?』(自分の何を、誰が知っているのか?)と題されたその報告書で、Anne Longfieldは、ビッグデータが子どもたちの人生にどう影響するかを「立ち止まって考える」べきだと社会に訴えている。

ビッグデータの使い方によっては、子ども時代の足跡によって将来が決められてしまうデータ劣位世代が生まれると、彼女は警告している。

大人になる前の子どもたちをプロファイリングすることが、長期的にどのような影響を及ぼすかは、まだわかっていないと彼女は書いている。

「子どもたちは、ソーシャルメディアだけでなく、人生のさまざまな場面で『データ化』されています」とLongfieldは言う。

「今、成長中の子どもたちと、それに続く世代は、個人データの収集量が単純に増えることから、プロファイリングの影響をより強く受けることにります」

子どもが13歳になるまでの間に、その両親は、平均1300点の写真や動画をソーシャルメディアで公開していると、報告書は伝えている。その子どもたち自身がソーシャルメディアを使い始めると、1日平均で26回投稿するようになり、そのデータ量は「爆発的」に増えて、18歳になるまでには、総計でおよそ7万点に達する。

「今、これが子どもたちの人生にとって何を意味するのか、大人になったときの未来の人生に何をもたらすのか、立ち止まって考えるべきです」とLongfieldは警鐘を鳴らす。「こうした子どもたちに関する情報が、どのような結果をもたらすかは、はっきり言ってわかっていません。そんな不確実性の中で、私たちはこのままずっと、子どもたちのデータを収集し拡散していってよいのでしょうか?」

「子どもと親は、何を公開するか、その結果として何が起きるかを、もっと真剣に考えるべきです。アプリやおもちゃなど、子どもが使う製品のメーカーは、トラッカーを使った子どもたちのプロファイリングを停止し、子どもにわかる言葉で利用規約を示す必要があります。とりわけ、政府は、こうした状況を監視し、子どもたちを守るために、とくに技術が進歩してゆくことを考慮して、データ保護法を改正することが重要です」と彼女は言う。

報告書は、子どもに関するどのような種類のデータが収集されているのか、どこで誰が集めているのか、それが短期的または長期的にどう利用されるのか、それが子どもにどのような利益をもたらすのか、またはどのような危険性が隠れているのかを注視している。

有用性について、報告書は、子どものデータを有用に使えるであろものとして、まだ早期の実験段階にあるアイデアをいつくか紹介している。たとえば、データが問題ありと指摘した部分に焦点を当てて調査する、子どものためのサービスがある。自然言語処理技術で大きなデータセット(英国児童虐待防止協会の国営事例調査データベースなど)の解析が速くなれば、共通の課題の検出や、「危害を予防して有益な結果を生み出す」ためにはどうすればよいかという理解も深められる。子どもと大人から集めたデータを使って予測解析ができれば、「子どもを保護するための潜在的危険を社会福祉指導員に伝える」ことが、より低コストに行えるようになる。また、子どものPersonal Child Health Record(個人健康記録)を今の紙ベースからデジタル化すれば、子どもに関わるより多くの専門家が閲覧できるようになる。

Longfieldは、データが蓄積され利用できるようになることで「多大な恩恵」が得られると説明しながらも、大きなリスクも現れてくると明言している。それには、子どもの安全、福祉、発達、社会的な力学、身元詐称、詐欺などが含まれ、さらに長期的には、子どもの将来の人生のチャンスに悪影響をもたらすことも考えられる。

実質的に子どもたちは、「大勢の大人たちがそれに気がつくより先に、またはそれを緩和する戦略を立てる前に、その問題に直面する、社会全体のための、いわゆる炭鉱のカナリア」なのだと彼女は警告する。「私たちはその問題への意識を高め、対策を立てなければなりません」

透明性が欠けている

この報告書から明確に学べることに、子どものデータがどのように収集され使われているかが不透明であるという点があり、そのことが、リスクの大きさを知る妨げにもなっている。

「収集されたあとの子どものデータがどう使われるのか、誰が集めて、誰に渡され、誰が集約しているのかをよく知ることができれば、そこから将来に何が起きるかを推測できます。しかし、そこの透明性が欠けているのです」とLongfieldは書いている。新しいEU一般データ保護規制(GDPR)の構想の中で、もっとも重要な原則となっているのが透明性の確保であるにも関わらず、それが現実だと言う。

この規制は、ヨーロッパでの子どもの個人データの保護を強化するよう改定されている。たとえば、5月25日からは、個人データの利用に同意できるのは16歳以上とするといった規制が施行された(ただしEU加盟国は、13歳を下限として、この年令を変更できる)。

FacebookやSnapchatなどの主要ソーシャルメディア・アプリは、EU内での利用規約を改定したり、製品を変更したりしている(しかし、以前我々が報じたように、GDPRに準拠したと主張されている保護者の同意システムは、子どもに簡単に破られてしまう)。

Longfieldが指摘するように、GDPRの第5条には、データは「個人に関して合法的に公正に、透明性をもって扱われなければならない」と記されている。

ところが、子どものデータに関して透明性はないと、児童コミッショナーの彼女は訴える。

子どものデータ保護に関して言えば、GDPRにも限界があると彼女は見ている。たとえば、子どものプロファイリングをまったく規制していない(「好ましくない」と言ってるだけだ)。

第22条には、法的またはそれに準ずる多大な影響を被る場合には、子どもは、自動処理(プロファイリングを含む)のみに基づく意思決定に従わない権利を有する、とあるが、これも回避可能だ。

「これは、どこかで人が介在する判断には適用されません。その介在がどんなに小さなものであってもです」と彼女は指摘する。つまり企業には、子どものデータを回収するための回避策があるということだ。

「自動処理による意思決定に『それに準ずる多大な影響』があるかどうかを見極めるのは困難です。その行動が何をもたらすのか、私たちはまだ、完全にわかっていないからです。子どもの場合は、さらに見極めが難しいでしょう」と彼女は言う。

「第22条が子どもにどのような効力を発揮するかは、まだまだ不確実です」と彼女は懸念する。「この問題の核心は、広告、製品、サービス、そしてそれらに関連するデータ保護対策に関するあらゆる制限に関わってきます」

提案

報告書でLongfieldは、政策立案者にいくつかの提案を行っており、学校に対しては「自分たちのデータがどのように回収され利用されているか、自分のデータの足跡をどのように自己管理するかを教える」よう訴えている。

彼女はまた、政府に対しては、18歳未満の子どもから集めたデータに関しては、「自動処理による意思決定に使用されるアルゴリズムと、アルゴリズムに入力されたデータを透明化するよう、プラットフォームに義務付けることを考えて欲しい」と要求している。

コンテンツを作成しプラットフォームで大々的に配信するAIの仕組みがまったく不透明な主流のソーシャルメディア・プラットフォームこそ、その対象となるべきだ。18歳未満のデータは保有しないと公言しているプラットフォームは、あるにはあるが、非常に少ない。

さらに、子どもをターゲットとする製品を扱う企業は、もっと説明の努力をするべきだと彼女は主張し、次のように書いている。

子ども向けのアプリやおもちゃを作っている企業は、子どもの情報を集めているあらゆるトラッカーについて、より透明にするべきです。とくに、子どもの動画や音声を収集するおもちゃにおいては、パッケージにそのことをよくわかるように明記するか、情報を公表すべきです。そのおもちゃの中に、または別の場所に映像や音声が保存される場合、またそれがインターネットで転送される場合は、その旨を明記する必要があります。転送される場合、保護者にはそれが送られるとき、また保存されるときに暗号化されるのか、そのデータを誰が解析し、処理し、何の目的で利用されるのかを知らせなければなりません。その情報が与えられない場合、または不明確な場合は、保護者はメーカーに問い合わせるべきです。

もうひとつの企業への提案は、利用規約を子どもがわかる言葉で書くということだ。

(とは言え、技術業界の利用規約は、大人が表面的にざっと読むだけでも難しい。本気で読もうとすれば何時間もかかってしまう

写真: SementsovaLesia/iStock

BuzzFeed Newsに掲載された最近のアメリカの研究では、子ども向けのモバイルゲームは、たとえばアプリ内の有料アイテムを購入しないと漫画のキャラクターが泣き出すといったふうに、巧妙に子どもの心を操るようになっているという。

データ処理にまつわる重要で際立った問題は、それが見えないという点にある。バックグランドで処理されるため、その危険性はなかなか見えづらい。人々(そしてまさに子どもたち)の情報に何をしているのかを本当に知っているのは、データ処理機能だけだ。

しかし、個人データの取り扱いは、社会的な問題になってきた。それは、社会のあらゆる場所や場面に関わるようになり、子どもが危険に晒されていることへの関心も、明確に高まってきた。

たとえば、この夏、イギリスのプライバシー監視団体は、一般の人たちがそうと知り、受け入れる前に、データが利用されてしまう危険性が大きいことを示し、政治キャンペーンでのインターネット広告ターゲティング・ツールの使用は倫理的に止めるべきだと呼びかけた。

また同団体は、政府に対しても、長年保ち続けた民主主義の基準が失われないように、デジタルキャンペーンの行動規範を作るべきだと訴えている。

つまり、児童コミッショナーNatasha Lomasの、みんなで「立ち止まって考えよう」という主張は、政策立案者に向けた、データ利用に関する懸念を叫ぶ声のひとつに過ぎない。

ただ言えるのは、社会にとってのビッグデータの意味を定量化して、強力なデータマイニング技術が、すべての人にとって倫理的で公正に使われるようにと願う方向性は、変わらないということだ。

[原文へ]
(翻訳:金井哲夫)

Facebookデータ流出の対象EUユーザーは最大500万人、罰金は最大16.3億ドル

先日のFacebookのデータ流出で影響を受けた5000万人のうち、EU圏内の居住者は10%以下だったことを、同地域のプライバシーを管轄するIrish Data Protection Commission(IDPC、アイルランドデータ保護委員会)がツイートした。それでもFacebookは、最大16.3億ドルの罰金を課される可能性がある。これは前会計年度の全世界売上である407億ドルの4%に相当し、Facebookがユーザーのセキュリティーを十分に保護していなかったとEUが判断した場合に適用される。

Facebookは、IDPCのツイートへの 返信で、「当社はIrish Data Protection Commissionを含む諸機関と協力して、金曜日(米国時間9/28)に起きたセキュリティー問題の基礎データを調査している。影響を受けた可能性のあるユーザーの地域が確定でき次第、詳細情報を公表する予定である」と言った。

金曜日午前、Facebookは関係機関および一般大衆に向けて同社が火曜日の午後に発見したデータ漏洩を通知した。ここで重要なのは、アタックから通知までが72時間以内である点で、これを過ぎると全世界売上の2%の罰金が追加される。

今回の事件で、高度な技術をもつアタッカーらは、Facebookのプロフィール、プライバシー、およびビデオアップローダーに存在した3つのバグを組み合わせて5000万ユーザーのアクセストークンを盗み出した。このアクセストークンを使うとアタッカーはユーザーアカウントを乗っ取り、Facebook、Instagram、OculusのほかにもFacebookのログインシステムに依存する他のサービスでも本人になりすまして行動することができる。EUのGDPR法は不適切なセキュリティー対策行為に対して重い罰金を課すと脅しており、米国法よりも厳しいことで知られている。このため本捜査で発見される内容には重みがある。

大きな疑問は、盗まれたデータは何であり、どのように悪用された可能性があるかだ。捜査当局あるいは報道機関が、データの悪質な利用、例えばCambridge Analyticaが不正入手したデータがドナルド・トランプの選挙戦略に利用されたような証拠を見つけないかぎり、一般大衆がこれをFacebookのいつものプライバシースキャンダル以上のものとして見る可能性は低い。それでも、規制のきっかけになったり、Facebookログインシステムを使うパートナーの離脱につながるかもしれないが、世界は日常的にインターネットを蝕むサイバーセキュリティー問題に鈍感になっているようだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

GDPRの施行でアメリカのニュースサイト触法懸念でヨーロッパからの読者を敬遠

EUの新しいプライバシー法が施行された金曜日(米国時間5/25)には、アメリカの一部のニュースサイトがヨーロッパの読者にとって存在しなくなった。そのGeneral Data Protection Regulation(GDPR)と呼ばれる規則は、消費者の何らかの個人データを集めるインターネット企業が従うべき厳格な要件の集合を定めている。その影響はきわめて大きいので、アメリカのメディア企業Troncは、何かが違反と見なされることと、それがもたらす予期せざる結果を恐れて、ヨーロッパの読者をすべてブロックすることに決めた。

EUをブロックするTronc傘下のサイトは、Los Angeles Times, The Chicago Tribune, The New York Daily News, The Orlando Sentinel, The Baltimore Sunなど、地方の名門紙が多い。Lee Enterprises傘下の新聞、The St. Louis Post Dispatch, The Arizona Daily Starなども、ヨーロッパの読者をブロックした

[Tronc傘下の新聞はどれもGDPRに違反しているようだ、ヨーロッパからのトラフィックを遮断した]

ヨーロッパの人たちが読まなきゃ(当面)文句ないだろう、と考えたTroncと違って、アメリカの大手全国紙の多くは、Webサイトの問題箇所を削除改変したバージョンを提供したり、ユーザーデータの利用に関してオプトインを求めたりしている。NPRは、同サイトのプレーンテキスト・バージョンを読者にすすめて、喜ばれている。

[USA TodayのGDPR遵守バージョンは広告も自動再生ビデオもなく、すっきりしてとても良い]

多くの地方紙が、その多くがアメリカの市場に貢献しているEUのユーザーを遮断して良しとしているが、一部は、これを機にむしろ、国際的な読者を惹きつけて目立とうとしている。彼らは、のけ者にされたヨーロッパのユーザーに、遮断作戦を公然と批判するよう、すすめている。

彼らは、批判されて当然である。GDPRのプライバシー規則は2016年4月に採択されたから、企業がコンプライアンスを整備する時間は規則の施行まで2年もあったのだ。

GDPR入門記事(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴

2年の移行期間を経て個人データの保護を目的とした、欧州の新しいプライバシーフレームワークGDPR(EU一般データ保護規則)が施行された。これを受け、長らくFacebookのプライバシー侵害を批判してきたMax Schrems(日本語版編集部注:Schremsは弁護士である)は、‘同意するか、利用をやめるか’をユーザーに迫るテック企業を相手どり、すかさず4つの訴状を提出した。

この訴状は、不特定の個人を代表していて、Facebook、Facebook傘下のInstagram、同じくFacebook傘下のWhatsApp、そしてGoogleのAndroidに対するものだ。

Schremsは、これらの企業がユーザーの個人情報の使用を続けるために、ユーザーに“同意を強制する”戦略をとっていると批判している。その主張は、サービスを提供するにあたり同意が厳密に求められる場合を除き、ユーザーは自由な選択を与えられる、とする法律に準拠している(この点について、Facebookは同社の主なサービスは広告ターゲッティングのための個人情報蓄積ではなく、ソーシャルネットワーキングであると主張している)。

「これは極めて明快なことだ。同意は、サービスに必要なものではない。全てに対し、ユーザーはイエスかノーの選択権を持っているべきだ」とSchremsはコメントしている。

Schremsはさらに「Facebookはこれまで、同意しないユーザーのアカウントを強制ブロックしさえしてきた。つまり、最終的にユーザーはアカウントを削除するか、同意ボタンを押すかを選ばなければならなかった。それは自由な選択とはいえず、北朝鮮の選挙プロセスを思わせるようなものだ」と付け加えた。

我々は、訴状が出された4社にコメントを求めていて、反応があればアップデートする。[アップデート]Facebookは個人情報保護管理者Erin Eganの名で次のようなコメントを出した:FacebookはGDPRを順守すべく、18カ月にわたり準備を進めてきました。ポリシーをより明確なものにし、プライバシー設定も簡単に見つけられるようにしました。また、アクセスやダウンロード、情報の削除などができる、より良いツールも導入しました。こうしたプライバシーを改善する取り組みは5月25日でもって終わり、というわけではありません。例えば、現在、我々は履歴削除の機能の追加にも取り組んでおります。この機能では、ユーザーは、サービス使用の情報を我々に送るウェブサイトやアプリを確認でき、またそうしたサービス使用情報をアカウントから削除することができます。ユーザーの閲覧データの保存機能をオフにすることもできます。

Schremsはつい最近、GDPR発効に伴い、戦略的提訴にフォーカスした非営利のデジタル人権団体を立ち上げた。今回の提訴はクラウドファンディングで設立されたこのNGOを経由してのものだ。NGOの名称はnoyb(none of your businesssの略)だ。

これまでのGDPRの解説で指摘してきたように、今回の規則では、重要なことに関しては個人情報の強制収集を認める一方で、noybのような非営利団体が個人を代表して提訴を行うことを認める法の履行を強化している。つまり、大企業と個人消費者の権利の間に横たわっている不均衡を正そうとしているのだ。

GDPR にある不均衡是正の条項は、EUの加盟各国が適用を除外することもできる。なぜ4社への提訴がオーストリア、ベルギー、フランス、ドイツのハンブルグで行われたのかの理由はまさしくここにあり、こうした国々ではプライバシーの権利を守るための強力なデータ保護当局がある。

提訴されたFacebookとFacebook傘下の会社が欧州本部をアイルランドに置いていることを考えると、アイルランドのデータ保護当局もこの提訴に巻き込まれる可能性が高い。データ保護という点において、欧州内ではアイルランドの評判は高いものではない。

しかし、共通する懸念や国境を超えたサービスの場合、GDPR では異なる管轄でもDPAs(追訴延期合意)の適用を可能にしている。つまり、noybの提訴は、この新しい体制を試す狙いもあるといえる。

GDPRの罰則体系では、大きく違反した場合、その違反した企業の収益の最大4%にあたる罰金を科すことができる。FacebookやGoogleに当てはめて考えると、違反すればそれぞれ10億ユーロ超の罰金を科せられる可能性があるということだ。

少なくとも今回の初提訴に限っていえば、EUの新規則は法の執行をソフトに展開することになる。というのも、もし新ルールを満たしていないようであれば、企業はそれに応じたものになるよう見直すことができるからだ。

しかしながら、企業が法を意図的に自己解釈して歪めようとしているとなった場合は、それを取り締まるためにすみやかに行動に移す必要があると判断することになる。

「すぐさま数十億ユーロもの罰金を科すわけではない。しかし、企業が意図的にGDPRを反故にした場合には罰金が科せられるはずだ」とSchremsは述べている。

つい先日、Facebook創業者のマーク・ザッカーバーグはパリで開かれたVivaTech会議のステージで、FacebookはGDPR順守のために抜本的な変更を実施したわけではない、Facebookユーザーの“大方”は新たな同意フローを経てターゲット広告を喜んで選択している、と主張した。

「我々は、5月25日に間に合うよう、何週間にもわたってGDPRに合致するフローを展開してきた。その中で興味深かったのは、ユーザーが使っているウェブサイトやアプリから送られてくるデータを、私たちが広告を最適化するために使うことについて、人々の多くがよしとみなしていることだ。これはなぜかというと、もしあなたが、使っているサービスの中で広告を喜んで見ようという人であれば、関連のあるいい広告をのぞむからだ」と述べている。

ソーシャルネットワーク業界において圧倒的存在であるFacebookだが、ターゲット広告を受け入れるか、却下するかという、選択の提供は行わない、とは彼は言わなかった。FacebookがGDPR施行前に明らかにした新たな同意の流れでは、ターゲット広告を受け入れたくないという人にFacebookを完全にやめるという選択肢を用意しているだけだ。それが意味するのは、この強力なネットワークは人々にさほどの選択を与えていないということだ(加えて、Facebookが引き続き非ユーザーの追跡を行うということは、指摘するに値するだろう。というのも、たとえFacebookのアカウントを削除しても、Facebookがあなたの個人データを使用することを止めるという保障は得られないからだ)。

今回の新規則でFacebookのビジネスモデルがどれくらい影響を受けるかについて、ザッカーバーグは特に大きな変化ないと主張した。「なぜなら、自分のデータがどのように使われるかというコントロール権を人々に与えるというのは、サービス開始時からのFacebookの基本原則だからだ」。

「GDPRによっていくつかの新たなコントロールが加えられ、そこには我々が応じるべきものもあった。しかし全体的には、これまで我々が過去に取り組んできたことと大きな差はない」「軽視しようとしているわけではない。この新ルール順守のためにやらなければならないことはたくさんある。ただ、全体として、このルールの真意は私たちがとってきた姿勢と大きく変わるものではない」と述べている。

「人々が望む方法でつながるツールを提供し、GDPRのような規則に込められた理想の社会を築くために、どれくらい長い間考慮したことか。よって、受け入れるべき新ルールに消極的でいようとは思っていない。しかし、同時に、この手のことをどう考えてきたかという点でこの規則が大きな出発点となる、というふうには考えていない」。

ザッカーバーグはこうしたテーマで、今週はじめにあったEU議会との会合でかなり手厳しく、そして多岐にわたる質問を受けたが、意味のある回答は避けた

ゆえに、EUの議員はさっそく気概を試すことになりそうだ。その気概というのは、例えば、Facebookという巨大テック企業がビジネスモデルにおいて法を自己解釈した場合に、法的措置をとるかどうかということになる。

プライバシー法というのは欧州では特段目新しいものではない。しかし強力な拘束力を持たせたという点において風穴をあけた。少なくとも、GDPRには罰則体系が導入された。この罰則は威力を持つと同時にインセンティブをも与える。またSchremsやnoybといった先駆的な存在もあることから企業は訴訟も意識せざるを得なくなった。

Schremsは、GDPRが是正をサポートすべきかという賛否両論はあるものの、同意を得るためにユーザーに「同意するか、利用をやめるか」と迫るような強引なやり方を大企業はとることができる一方で、スタートアップや地方の企業はできないだろうと指摘する。

「同意強制に反対する取り組みは、企業がユーザーに同意を強制できないようにすることを保証するものだ。これは、独占企業が中小企業に対し優位に立つことにはならないという点で、とりわけ重要だ」と述べている。

イメージクレジット:noyb.eu

[本文へ]

(翻訳:Mizoguchi)

Facebook、プライバシー設定の確認を全世界ユーザーに要請

Facebookは、今週から全世界のユーザーに対してプライバシー設定の見直しを促すプロンプトをFacebookアプリ内に表示する。そこでは広告ターゲティングから顔認証まで、Facebookが様々なプロダクトでユーザーの個人データをどのように使っているかを確認するようユーザーが依頼される。この改訂規約とユーザー設定の確認は、新たに制定されたデータプライバシー規制であるGDPRを受けてEUのユーザーに配信されたものに準拠している。

ただしEUユーザーは、Facebookを使い続けるためには新しい利用規約に同意しなくてはならない。このことはRecodeがヨーロッパで使用されているものと全世界で表示されるものとの違いをFacebookに質問した結果判明した。

それ以外の地域では、プロンプトを2回やり過ごしたユーザーは自動的にオプトインされる。

しかし、そのウィンドウをあわてて閉じる前に、Facebookが何をお願いしているのか見てみるのもいいだろう。

新しいプロンプトはニュースフィードを開いたときに表示され、広告、顔認証、およびプロフィール画面で公開することを選択した情報について詳細を確認できる。

たとえば、自分の宗教や政治的見解、交際情報などを人目にさらすのをやめたくなったら、その場で設定を変更できる。

個人情報の確認を進めていくとそれぞれの画面で、どんなデータが収集され、どのように使用されているかが説明されるので、Facebookの情報利用についてよりよい判断ができる。

具体的には、この機能に含まれている情報は以下の通り。

  • Facebookが関連性の高い広告を見せるために、パートナーから受け取ったデータをどう使っているか。
  • ユーザーが公開するように設定した政治、宗教、交際に関する情報。
  • Facebookが顔認証をどう使っているか、およびプライバシーを守るための機能の説明。
  • 利用規約、データポリシー(4月に発表された)の改定内容。

このうちすでに無効化したものがあれば、その情報は表示されず、再び有効にするように促されることもない。

設定は変更後直ちに反映され、その後はプライバシー設定またはプライバシーショートカットからいつでも変更できる。

GDPRはEUのユーザーデータを保護することを目的としているが、Cambridge Analyticaスキャンダル(8700万ユーザーのデータが盗まれた)のためにFacebookはユーザーの信頼を裏切ったとして批判の的になっている。こうしたスキャンダルやGDPRからの要求に応じて、現在Facebookはユーザーデータのプライバシーの扱いを大幅に見直している。

新しい体験は今週からニュースフィードに登場する。

[原文へ]

(翻訳:Nob Takahashi / facebook

ザッカーバーグはどうやら欧州で味方をつくれなかったようだ

欧州連合の議員との会合で、Facebook創設者のザッカーバーグはEU一般データ保護規則(GDPR)の“コントロール、透明性、責任”という原則に言及した。この新たな規制GDPRは25日金曜日に施行され、そこには、反した場合に科す罰則も盛り込まれている。FacebookはGDPRを遵守すると、とザッカーバーグは明言した。

しかしながら、今回の会合では透明性や責任というものはほとんど見られなかった。会合に出席した議員からかなり突っ込んだ質問が1時間にわたって出されたが、ザッカーバーグは黙って顔をひきつらせながそうした質問を聞いたのち、そこから答えやすいものばかりを選んだ。

議員からの質問は多岐にわたり、その多くはFacebookの企業倫理について深く掘り下げるようなものだった。情報の不正使用によるプライバシーの侵害の影響はどの程度あったのか、Facebookが会社分割を必要とする独占状態にあるかどうか、データの不正使用についてユーザーはどのように償われるべきか、といったものだ。

Facebookは本当にGDPRを遵守しようとしているだろうか、という質問が何回も投げかけられた(当然のことだが、データ保護を専門とする懐疑派の議員からだ)。Facebookはなぜ15億人にものぼる世界のユーザーのデータ操作ステータスを変更し、GDPRの効力が及ばないようにしたのか。ユーザー情報をもとにしたターゲット広告をやめることを必死に回避してきた同社だが、そうしたターゲット広告のシステムを人々が拒否できるプラットフォームを提供する用意があるのだろうか。

そもそも、なぜ欧州議会との会合を公にすることを拒んでいたのか。EUのプライバシー規則に反対するロビー活動に、なぜ何百万ドルもの金を費やしたのか。サービスを運営している国で税金を払うのか。フェイクアカウントを防止するためにどんな取り組みをしているのか。いじめを防ぐ取り組みはどうか。コンテンツを規制するのか、それともニュートラルなプラットフォームなのか。

矢継ぎ早に厳しい内容の質問がなされ、ザッカーバーグは集中砲火を浴びた格好だった。しかしいざ質問に答える段になると、それは応答の体をなしていなかった。自分が選んだテーマで話したいことだけを話し、しかもそれは事前に準備されたものだった。

ここに、なとびきりの皮肉がある。人々の個人情報は、あらゆるトラッキング技術やテクニックを介してFacebookに大量に流れている。

Cambridge Analyticaによるデータ不正使用スキャンダルの詳細が物語っているが、個人情報はFacebookから大量にリークされたのだ。そのほとんどがユーザーの知らないところで行われ、もちろん同意を伴うものでもなかった。

Facebookの運営の話しになると、同社はかなりの秘密主義を展開している。ほんのわずかな’ニュースフィード“を公開し、どんなデータをどういう目的で収集しているのか詳細は一切明らかにしない。

先月もザッカーバーグは米国議会との会合に臨んだが、そこでもやはり基本的な運営についての質問にまともに回答することを避けた。もし今回の会合で真の透明性や責任の所在が明らかになることを期待していた議員がいたとしたら、完全に失望しただろう。

Facebook ユーザーは、Facebookに自らアップロードしたデータは、ダウンロードできる。しかし、Facebookがあなたについて収集した全情報をダウンロードできるわけではない。

欧州議会の会派の代表らの関心はいまやFacebookのビジネスに集中しているようだ。そして、今回のザッカーバーグの黙り芝居を、Facebookに罰則を適用するためのさらなる証拠としてとらえる向きもある。

EUの規則はお飾りではない。GDPRの欧州外への影響と、有力なパブリックプロファイルはさらなる政治的な論争を展開しそうな勢いだ。

ザッカーバーグが欧州議会の声に耳を傾け、これまで同様のことを語ることで、CEOがブリュッセルでの会合に出た、という事実を作ることをFacebookが今回望んでいたのなら、これは大きな誤算だったようだ。

「まったくザッカーバーグの対応には失望させられた。議員からの詳細な質問に答えなかったことで、欧州の市民の信頼を取り戻すチャンスを失った。それどころか、出席議員に‘より強い規則と監督が必要’との印象を与えた」と、欧州自由連盟議員でGDPR報告者でもあるJan Philipp Albrechtは会合後、我々にこう語った。

Albrechtは会合で、FacebookはWhatsAppとデータの共有をどう行なっているのか、とただした。この問題はデータ保護当局の怒りをかっている。当局がFacebookに対し、そうしたデータフローを止めるよう促しているのにもかかわらず、Facebookはいまだにデータ共有を続けている。

また議員は、そうした2つのアプリ間でのデータ交換はしないことを約束するよう迫った。しかし、ザッカーバーグは頑として約束は口にしなかった。

欧州議会で人権委員会(Libe)の委員長を務めるClaude Moraesは会合後、極めて厳しいトーンではあったものの、そつのないコメントをしていた。

「データ漏えいの結果、Facebookの信用は地に落ちた。こうした状況を打開し、Facebookは欧州のデータ保護法を完全に遵守していると人々に納得してもらうためには、ザッカーバーグ氏とFacebookは真摯に努力しなければならない。’私たちはユーザーのプライバシー問題を真剣に考えている‘といった一般的なコメントだけでは不十分だ。Facebookはそれを行動で示さなければならない。差し当たり的なものであってはならない」と述べている。

「Cambridge Analyticaスキャンダルの件はすでに現在のデータ保護ルールに違反しており、間もなく施行されるGDPRにも反するものだ。この法律に従い、欧州データ保護当局はしかるべき対応をとることになるはずだ」とはっきり語ったのは英国議会の文化・メディア・スポーツ省の委員長Damian Collinsだ。

同委員会はこれまでに3度ザッカーバーグを召喚しているがいずれも実現していない。完全にザッカーバーグに拒絶され、容赦ない姿勢は当然だろう。ザッカーバーグの代理として英国議会で証言に立ったCTOが質問に対してあいまいにしか答えなかったことでもFacebookを非難している。

Collinsはまた「欧州議員からの極めて重要な質問について綿密に調べる機会を逸したのは残念だ。シャドープロファイルやWhatsAppとのデータ共有、政治広告を拒否できるかどうか、データ不正使用の実際の影響度合いはどうだったのか、といったことに関する質問は図々しくも回避された」と指摘した。「残念ながら今回とった質問形式ではザッカーバーグに質問の選り好みをさせる結果になり、各指摘についての回答はなかった」。

「出席議員の、今回の会合はまったく意味をなさなかったという明らかな不満をここに代弁する」とも付け加えた。“ユーザーが知りたいこと”を議会で明らかにするという点では、今回の会合は結局4回目の失敗に終わった。

今回の会合の最後の方では何人かの議員が明らかに激昂した様子で、これまで答えなかったことについて再度ザッカーバーグを質問攻めにした。

ザッカーバーグが話しを次に移そうとするタイミングで、1人の議員は「シャドープロファイル」と言葉を挟んだり、ザッカーバーグが鼻息荒く笑ったり時間を稼ぐためにあらかじめ用意したメモをみたりすると別の議員が「賠償」と叫んだりといった具合だった。

そうした後に、やや不満な態度をあらわにしたザッカーバーグが追求する議員の1人をみて、議員のシャドープロファイルについての質問に答えると言い(実際のところ、認識していなかったというのを理由に、ザッカーバーグはシャドープロファイルという言葉を使わない)、Facebookはセキュリティ目的でそうした情報を収集する必要があると持論を展開した。

議員の1人が、Facebookは非ユーザーの情報をセキュリティ以外の目的で使用することがあるのかと質問したのに対し、ザッカーバーグは明確に答えなかった(後付けしたセキュリティ目的というのは、隠そうとしていることを逆に明らかにするようなものだ)。

ザッカーバーグはまた、非ユーザーはどうやって“データの収集をやめさせる”ことができるのか、という再三の質問も無視した。

話すべきポイントについて隣にいる弁護士の方を向く前に(“他に話しておくべきことはあるだろうか”と尋ねた)、ザッカーバーグは「セキュリティという面で、私たちは人々を守ることは大変重要だと考えている」と素っ気なく述べた。

FacebookにとってCambridge Analyticaの件は、将来あるかもしれないデータ強盗を未然に防ぐのにどうやってプラットフォームを厳重に監視するかということをPRする材料となった。弁護士は、話がCambridge Analyticaに戻るのに不満を表したものの、すぐさまそうしたスキャンダルの危機PR術を行動に移した。

今回の会合ではっきりとしたのは、Facebook創業者のコントロール方法の好みだ。それは、彼が現在訓練中のものだ。

Facebookが欧州の議員と会うことについて同意するのに先立って決められた会合形式の制限により、議員に追及を許可しないというのは明らかにFacebookにとっては好都合なことだった。

ザッカーバーグはまた、それとなくほのめかしたり、時間になったようだと言ったりして何度も会合をたたもうとした。議員はこうしたザッカーバーグのたたみ掛けを無視したため、自分の言うことがすぐさま実行に移されなかったザッカーバーグはかなりの不快感を露わにしていた。

議員から出されたそれぞれの質問について、Facebookから書面による回答を受け入れるかどうかという、議会議長と議員との間で展開されたやり取りをザッカーバーグは見守り、その後に書面で回答することにAntonio Tajani議長とその場で合意することになった。

あらかじめCollinsが議員に警告していたように、Facebookは自らのビジネスのプロセスについての質問に対し、多くの言葉を語りながらその実は何も語っていないという回答方法を十分に練習している。その回答方法というのは、質問されていることの意図や目的を巧みに避けるというものだ。

ザッカーバーグが演じた会合でのショーで見られた自制というのは、明らかに欧州議員がソーシャルメディアに必要だと考えているようなガードレールではない。何人かの議員がザッカーバーグの顔から感じた自制は、効果的ではなかったようだ。

最初に質問した議員はザッカーバーグに謝罪が十分でないとせまった。他の議員は、15年悔恨し続けることになる、と指摘した。

Moraesは、Facebookは欧州の基本的価値観に対し“法的そして道義的責任”を果たす必要があると発言した。Libeの委員長であるMoraesはさらに「GDPRが施行されるEUにあなたは今いることを忘れてはならない。EUのデータ保護法を確認し、また電子上のプライバシーについて考え、EUのユーザーならびに何百万ものEU市民、非ユーザーのプライバシーを守るために、法的そして道義的責任を果たしてほしい」と述べた。

自制、もしくはザッカーバーグがいうところの次善の策であるFacebook流の規則は、欧州議員の規制の話に対し、米議会で述べた言葉で答えるというものだった。その言葉とはこうだ。「ここでの問いは、規制があるべきかどうかだと考えていない。何が正しい規制なのか、ということだと思う」。

「インターネットは人々の暮らしにおいてとても重要なものになりつつある。ある種の規則が重要であり、不可欠のものでもある。ここで重要なのは、この規制を正しいものにすることだ」と彼は続けた。「人々を守る規則体系を有すること、革新の余地があるようフレキシブルであること、今後さらに進化するAIのような新技術を妨げるようなものでないことを確認しておく必要がある」。

彼はスタートアップのことも引き合いに出した。’好ましくない規制‘は将来のザッカーバーグの登場を妨げるものになると言っているのだろう。

もちろん、ザッカーバーグは自身が所有するFacebookというプラットフォームが注意を十分にひく存在であり、我こそはというエントレプレナーがひしめく次世代の中でも飛び抜けた存在であることに言及していない。

ブリュッセルでの会合で、味方をつくったり人々に影響を与えたりする代わりに、彼は欠席するよりももっと失うものがあったようだ。Facebookに適用されるEUの規則を刷新するのを仕事とする人たちを怒らせ、遠ざけたのだ。

皮肉にも、ザッカーバーグが答えたいくつかの質問の一つに、Nigel Farageによるものがある。Facebookが“政治的に中立なプラットフォーム”なのか、1月にアルゴリズムに変更を加えた後、中道右派の発言を差別しているのではないか、といったものだ。Facebookはフェイクニュース監視を行う第三者のファクトチェッカーの名前を明らかにしていない。

つまり、米国の上院と議会でも明白だったが、フェイスブックはあらゆるところから集中砲火を浴びている。

実際のところ、Facebookはファクトチェックのパートナーシップについて情報を開示していない。しかし、ザッカーバーグが大した意味もない質問に限られた時間を費やしたのは、十分に意味するところがある。

Farageは、彼の持ち時間の3分の間に、「Facebookや他のソーシャルメディアの存在なしには、英国のEU離脱やトランプ政権、イタリアの選挙結果はあり得なかった」と述べた。

ザッカーバーグがこの発言についてコメントする時間がなかったのは、滑稽としか言いようがない。

[本文へ]

(翻訳:Mizoguchi)

GDPRでヨーロッパのユーザー数が増えないとFacebookが警告、ユーザー同意の部分をできるだけ簡素化

ヨーロッパの包括的なプライバシー法GDPRは、5月25日に施行される。そしてFacebookは、この法律の要件として、サービス規約の変更にユーザーの合意を得なければならない。そこで今日(米国時間4/25)の、2018Q1の好調な決算報告でFacebookのCFO David Wehnerは、“GDPRの施行によりQ2にはMAUまたはDAUが横ばいないし減少すると思う”、と述べた。彼はまた、GDPRにより広告への大きな影響はないと思うが、軽微なインパクトはあるかもしれないのでそれを監視する、と述べた。Wehnerによると、GDPRはグローバルなオンライン広告業界に影響を及ぼすが、Facebookへの影響を今から特定することは難しい、という。〔MAU: monthly active users, DAU: daily … …〕

Wehnerのその後の説明では、“ユーザーに規約の変更への合意を求めたりすれば、MAUやDAUが減ったり横ばいになったりするだろう、という意味だ”、という。またFacebook自身の説明では、そのGDPRのプロンプトでユーザーが広告のプライバシー設定を変え、ターゲティングを減らすようにすれば、広告効果が落ちて、広告主が広告に対して支払う額(すなわちFacebookの広告収入)も減るだろう、ということだ。

Wehnerの説明では、今後も人びとのプライバシーを護ることは継続するし、“基本的には、弊社の広告事業の規模は変わらないだろう”、という。彼によると、重要なのは、広告主にとってのFacebookの相対価値だ。GDPRの影響はFacebookだけでなく、すべてのプラットホームに及ぶのだから、理論的にはそれも変わらない、と彼は言う。

Facebookは先週、GDPR関連の変更と、ユーザーの同意を求める部分を公開した。その部分はいわゆる“ダークパターン”のデザインで、ユーザーが深く考えなくても同意できるようになっている。またFacebookの許可を取り消したり変更を拒絶してアカウントを終了するためのボタンは、ひっそりと小さい。

Facebookは、ユーザーにとって邪魔にならないことを、第一に心がけたのだろう。目立たないデザインによって、ユーザー数の減少も防止したい。 Wehnerが言うのは、プライバシーの保護やGDPRとFacebookの関係などについてユーザーに大げさな選択を迫るのではなく、単純に規約の一部変更に同意を求める、ということだ。GDPRなんて、元々ユーザーには関係ないことだから。

Facebookの2018Q1の決算報告記事も、ご覧ください。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookは、あなたのすべてを知っている

Cambridge AnalyticaはFacebookのデータを使って国民の政治選択に影響を与えようとしたと言われている。しかし、そもそもなぜ、いちばん好かれていないテクノロジー企業であるFacebookが、ユーザーに関するデータをそんなに持っているのだろうか?

InstagramやWhatsAppその他のFacebook傘下の製品のことはひとまず忘れよう。Facebookは世界最大のソーシャルネットワークを作った。しかし、彼らが売っているのはそれとは別のものだ。こんなインターネット格言を聞いたことがあるだろう、「もし製品が無料なら、あなた自身が製品だ」。

ここで特にそれが当てはまる理由は、FacebookがGoogleに次ぐ世界第2位の広告会社だからだ。2017年第4四半期、Facebookは129.7億ドルを売上げそのうち127.8億ドルが広告収入だった。

つまりFacebookの売上の98.5%は広告から生まれている。

広告は必ずしも悪いものではない。しかしFacebookはニュースフィードの広告が飽和状態に達した。そのときこの会社にできることが2つあった —— 新しいサービスと広告フォーマットを作ることと、スポンサー付き記事を最適化することだ。

これはゼロサムゲームではない —— Facebookはその両方を同時に行ってきた。InstagramやMessengerで広告を見ることが増えたのはそのためだ。そして、Facebookに載る広告が今までにもまして自分に関係がある理由もそこにある。

Facebookがユーザーにとって意味のある広告を載せ、ユーザーがそれをクリックするようになれば、広告主はFacebookにもっと宣伝費を払うようになる。

だからFacebookはユーザーの個人データをできるだけ多く集めてきた —— すべては最高の広告を見せるために。この会社はあなたの関心事も何を買うかもどこへ行くかも誰と寝起きしているかも知っている。

Facebookから逃げ隠れはできない

Facebookの利用規約は大いなるうそだ。故意に誤解しやすく書かれていて、長すぎて、範囲が広すぎる。サービスの利用規約を読んだだけでは、会社が自分の何を知っているのか理解することはできない。

だから一部の人たちは自分のFacebookデータをダウンロードしている。誰にでも簡単にできる。Facebookの設定画面に行き、小さな文字で「Facebookデータをダウンロード」と書かれたリンクをクリックすればよい。

ダウンロードしたアーカイブファイルには、あなたの写真、投稿、イベントなどが入っている。しかし、さらに掘り下げていくと、Messengerの個人メッセージも見つかる(標準では暗号化されていない)。

さらに掘り進んでいくと、アドレス帳や、SMSメッセージや通話に関するメタデータも見つかる。

[私のFacebookデータをzip形式でダウンロードした。
どういうわけか、パートナーのママと私との全通話履歴まであった]

すべては設計通りで、ユーザーもこれに同意している。Facebookは利用規約を統一し、同社の全アプリとサービスを横断してユーザーデータを共有している(ヨーロッパでのWhatsAppは今のところ例外)。つまり、Instagramで服装のブランドをフォローすれば、そのブランドの広告がFacebook.comに現れる。

Messagingアプリはプライバシーの罠

しかしFacebookは、Messengerでさらに多くの罠をしかけている。覚えていないかもしれないが、Messengerを使い始めるときのユーザー体験はかなり積極的だ。

On iOS, the app shows you a fake permission popup to access your address book that says “Ok” or “Learn More”. The company is using a fake popup because you can’t ask for permission twice.

iOSでは、MessengerアプリがiPhoneのアドレス帳をアクセスすることについて「Ok」あるい「詳しくはこちは」と書かれた偽りの許可ポップアップを表示する。偽ポップアップを使うのは許可を求める機会を増やすためだ。

OKボタンの下では、〈矢印が点滅〉している。

「詳しくはこちら」をタップすると、巨大な青いボタンにが出てきて「オンにする」と書かれている。この画面に書かれていることすべてが誤解を招きやすく、Messengerはユーザーの感情を操作しようとしている。

「Messengerは話す相手がいないと使うことができません」と書かれている。誰だってひとりにはなりたくない。Facebookはこのオプションをオンにすれば友達ができるかのように書いている。

もっとひどいことに、「このステップを省略すると、メッセージを送るために連絡先をひとりずつ追加する必要があります」とある。これはまったくの嘘であり、ひとりずつ追加しなくてもFacebook友達とはMessengerを使って自動的に話すことができる。

今度ブリトーを買うときにクレジットカードを使うと、Facebookはそのことを知り、カード番号をあなたがMessengerに登録した番号とマッチングするかもしれない。

“Not Now”をタップすると、Messengerはあとでときどき偽の通知を表示して、連絡先を同期するよう圧力をかけてくる。Yesをタップすると、あとで無効にしても、Facebookはあなたの連絡先をサーバー上に保管したままにする。

Androidでは、MessengerにSMSメッセージを管理させることができる。もちろん、ご想像の通り、Facebookはあらゆるメタデータをアップロードする。Facebookはいつ、誰に、どれくらいの頻度でSMSを送っているかを知っている。

あとで無効にしても、Facebookはあとで参照するためにこのデータを保管しておく

しかもそれでは終わらない。Facebookは、ダウンロードしたアーカイブにあること以上にあなたのことを知っている。Facebookはあなたの位置情報を友達と共有するよう要求する。Facebookは埋め込んだJavaScriptを使って、あなたのWeb履歴をほぼ全サイトについて追跡している。

しかし、私のお気に入りはおそらく、ピアツーピア支払いだ。一部の国ではMessengerを使って友達にお金を返せる。手数料は不要! カードをアプリに登録するだけだ。

どうやらFacebookは、ユーザーのオフラインでの買い物に関するデータも買い取っているらしい。今度ブリトーを買うときにクレジットカードを使うと、Facebookはそのことを知り、カード番号をあなたがMessengerに登録した番号とマッチングするかもしれない。

言い換えれば、Messengerは大いなるトロイの木馬となってユーザーのあらゆる情報を手に入れようとしているということだ。

そして、次回アプリがアドレス帳を共有したいと言ってきたら、99%の確率でこのアプリはあなたのアドレス帳を掘り返して新しいユーザーを探し、友達にスパムを送り、広告ターゲティングの精度を高め、メールアドレスをマーケティング会社に売るだろう。

同じことは、スマホに表示されるほのあらゆる許可ポップアップにも言える。Play Storeからアプリをインストールしたり、iOSで初めてアプリを開くときは注意が必要だ。何かを許可しないと何かの機能が働かない、と言われて許可するのは簡単だが、いずれFacebookはあなたのすべてを知ることになることには気づかない。

GDPRは救いの神になれるのか

最後の望みがひとつある。それがGDPR(EUのデータ保護規則)だ。まずTechCrunchのNatasha Lomasの書いたGDPRの説明を読んでヨーロッパの規制がどうなっているかを理解することをお薦めする

今Facebookで起きている誤解しやすい物事の多くは変わらなくてはならない。Messengerのようなやり方でユーザーをオプトインさせることはできなくなる。データ収集は不可欠な機能に絞って最小限にすべきだ。そしてFacebookは、なぜそのデータが必要なのかをユーザーに説明する必要がある。

仮にFacebookが規則に従わなければ、会社は全世界年間売上の最大4%を払う必要がある。

インターネットで人に見られないでいることは不可能だが、背後で何が起きているかには目を光らせておく必要がある。どこかの会社からOKをタップするように言われたら、そのポップアップの裏に何が隠れているかをよく考えてみよう。

[原文へ]

(翻訳:Nob Takahashi / facebook