Do Not Track(トラッキング拒否、DNT)機能を覚えているだろうか。トラッカー愛好家のアドテック業界は、ユーザーフレンドリなプライバシーコントロールをブラウザに組み込むという、10年以上にわたる不毛の試みのことはもう忘れてほしいと考えている。しかしプライバシーを重視するテック企業、出版社、権利擁護団体の連合がこのたび、インターネットユーザーに自分のデータを保護するための非常に簡単な方法を提供する、新たな標準の策定を推し進めることを発表した。
この取り組みは、個人データの販売を阻止するために、プライバシー保護のシグナル機能をブラウザに組み込むというもので、Global Privacy Standard(グローバルプライバシー標準、GPC)と名付けられ、FTCの元CTOであるAshkan Soltani(アシュカン・ソルタニ)氏とプライバシー研究者のSebastian Zimmeck(セバスチャン・ジメック)氏が中心となって進めている。
GPCに対しては、The New York Times(ニューヨークタイムズ紙)、The Washington Post(ワシントンタイムズ紙)、Financial Times(ファイナンシャルタイムズ紙)、WordPressで有名なAutomattic(オートマティック)、開発者コミュニティのGlitch(グリッチ)、プライバシー検索エンジンのDuckDuckGo(ダックダックゴー)、トラッキング対策ブラウザのBrave(ブレイブ)、FirefoxメーカーのMozilla(モジラ)、トラッカーブロッカーのDisconnect(ディスコネクト)、プライバシーツールメーカーのAbine(アビーン)、Digital Content Next(デジタル・コンテント・ネクスト)、Consumer Reports(コンシューマー・レポート)、デジタル著作権グループのElectronic Frontier Foundation(電子フロンティア財団、EFF)が、さっそく支持を表明している。
Hello World!
Introducing Global Privacy Control: a simple way to let you exercise your privacy rights online.
Website: https://t.co/klgalzMToT
Press Release: https://t.co/iCecmhweRl
Full Spec: https://t.co/YXWP91Obhe pic.twitter.com/iZL4Jlh5cL
— Global Privacy Control (@globalprivctrl) October 7, 2020
GPC運営団体はこの取り組みに関するプレスリリースの中で「最初の実験段階では、各ユーザーがAbine、Brave、Disconnect、DuckDuckGo、EFFのサイトからブラウザと拡張機能をダウンロードして『販売も共有もしない』という考えを、GPCに参加するパブリッシャーに伝えることができます」と述べている。
「さらに、GPCを多くの組織によってサポートされるオープンスタンダードに発展させることを目指しており、この提案の実現にふさわしい場所を見つけているところです」と付け加えた。
冒頭で触れた「DNT」に似ている今回の取り組みは、少なくとも当面はカリフォルニア州消費者プライバシー法(CCPA)に合わせて構築される。CCPAは、州内のインターネットユーザーに、自分のデータが販売されることをオプトアウトする権利を与えており、Prop24と呼ばれる11月の投票法案が可決されれば、その権利がさらに強化される可能性がある。
同法はまた、ブラウザからのシグナルによるユーザーのオプトアウト要求を尊重することを企業に義務付けている。これはDNTの支持者たちが常にDNTに対して望んでいた、衝突の少ないブラウザレベルのコントロールの可能性を復活させるものである。
GPC運営団体の目的は、個人データ販売のブラウザレベルでのオプトアウト要求に対してCCPAの対象企業が法的に対応せざるを得なくなるような標準を策定することである。ただし、そのためにはカリフォルニア州法の下で、この標準が法的拘束力のあるものとして認められることが必要となる。
GPCはプレスリリースの中で「カリフォルニア州のBecerra(ベセラ)司法長官と連携して、GPCの法的拘束力がCCPAの下で認められるようになる日を心待ちにしています」と述べている。
TechCrunchは、GPCによるこの発表に対するベセラ氏の反応を取材するために、同氏の事務所に問い合わせてみた。また、同氏はGPCの提案について「消費者が自分のプライバシー権をオンラインで簡単に行使できるようにする、意義のあるグローバルなプライバシーコントロールに向けた第一歩だと思います」と肯定的にツイートしている。
さらに「カリフォルニア州司法省は、テクノロジーコミュニティがCCPAおよび消費者のプライバシー権を促進するためにグローバルなプライバシーコントロールを開発するのを見て心強く思っています」と付け加えた。
NEWS: @DuckDuckGo, @Brave, @Mozilla @ConsumerReports,@EFF, @NYtimes and more have developed a technical standard that would make it easier for consumers to stop the sale of their personal information. https://t.co/hcYc2xGY5k
— Xavier Becerra (@AGBecerra) October 7, 2020
それと同時に、そしてGPCの名前が示す通り、目標は欧州のGDPRフレームワークのように、他の国のプライバシー制度に合わせて柔軟に変更できる標準を策定することだ(ちなみに、欧州のGDPRフレームワークは市民に対してデータに関する一連の保護的権利およびアクセス権を提供するものであり、データ販売に対するCCPAオプトアウトとは少し異なる)。
「欧州のGDPRは現在、具体的にGPCのような仕組みの導入を目指しているわけではありません。しかしEUのDPA(データ保護機関)が、GPCのような仕組みを、消費者がGDPRの下で(販売への異議を含め)権利を行使する有効な手段として検討する可能性がある、と私は考えています」とソルタニ氏はTechCrunchに述べ、「またこの仕様は、法律がCCPAと若干異なる場合にも対応できるように設計されています(例えば、GDPR下での特定の用途に対してユーザーが異議を唱えることも可能です)。また、来月CPRA(Prop24)法案が通過して、新たな権利が生まれた場合にも対応できる設計になっています」と付け加えた。
この取り組みについては1つ、明白かつ大きな疑問点がある。それは、CCPAのオプトアウトシグナルを発信する手段として、なぜDNTを復活させないのかということだ。
Interesting. A new proposal for browser-mediated tracking consent signal. Can it gain any traction? Why not simply use Do Not Track? #ccpa #gdpr https://t.co/Be4YaXRGw4 https://t.co/4L8BHwExgH
— Lukasz Olejnik (@lukOlejnik) October 7, 2020
DNTがユーザーに受け入れられるように、何年にもわたって多くの労力とリソースが費やされてきた。ブラウザメーカーから幅広い支持を得られたことを考えると、DNTはまったくの失敗だったとは言えない。しかし、法的強制力がなくコンプライアンスが欠如しているため、DNTは空中分解しつつある。
しかし(少なくとも欧州とカリフォルニア州においては)個人のデジタルデータを保護する強固な法制度が整った今、DNTを復活させ、今回は定着させる機会があるかもしれない(実際、EUの一部の議員は近年、EU eプライバシー規則の計画的な改革の一環として、データ処理への同意を表明するために「Do Not Track」設定を使用することを提案している。おそらく、GDPRコンプライアンスへの取り組みによって急増している乱雑な同意ポップアップを整理することを念頭に置いてのことだろう)。
しかし、なぜDNT 2.0ではなくGPCなのかという疑問の答えは、Do Not Trackの周りに蓄積された問題も関係しているようだ。 「Do Not Track(追跡しないで)」という、的を射たCTA(行動喚起)の表現は今なおアドテック企業の重役の背筋をぞっとさせることができるのだ(一方「Global Privacy Control」は、アドテックのロビイストが思いつきそうな、無味乾燥な名称であるため、業界をそれほど動揺させないかもしれない)。
さらに深刻なのは、カリフォルニア州議会がCCPAを策定するときに、オプトアウトのシグナルを示すためにDNTを使用する可能について議論し、業界からのフィードバックを集めたことである。しかし、州議会が受け取ったフィードバックは「ほとんどの企業が(そのシグナルを)無視している」というものだった。ということは、DNTを復活させても、引き続き無視されるだけだと思われる。
したがって、ユーザーのプライバシーを守る手段に法的拘束力を持たせるには、DNTよりも精密な仕組みが必要だ。
Interesting. A new proposal for browser-mediated tracking consent signal. Can it gain any traction? Why not simply use Do Not Track? #ccpa #gdpr https://t.co/Be4YaXRGw4 https://t.co/4L8BHwExgH
— Lukasz Olejnik (@lukOlejnik) October 7, 2020
さらに、GPCはその取り組みにおいて、DNTをオプトアウトのメカニズムとして使用しようとしていたし、実際に使用できると期待していたようだ。しかし最終的には、コンプライアンスに関する懸念を考慮し、より幅広いDNTシグナルを発信しても企業がそれを無視するという問題を回避するにはCCPA固有のメカニズムが必要だと判断した。
ダックダックゴーのCEO兼創設者であるGabriel Weinberg(ガブリエル・ワインバーグ)氏は支持声明の中で次のように発表している。「オンラインでプライバシーを確保する方法はシンプルで誰もが利用できるものでなければなりません。Global Privacy Control(GPC)は、ユーザーがプライバシーに対する自身の希望を表明できるシンプルで普遍的な設定を構築することで、私たちをこのビジョンの実現に一歩近づけてくれます。ダックダックゴーはこの取り組みの創設メンバーであることを誇りに思います。そして本日より、GPCは当社のモバイルブラウザおよびデスクトップブラウザの拡張機能でローンチされ、1000万人以上の消費者がこの設定を利用できるようになります」。
また、モジラのFirefox Desktop(ファイアフォックス・デスクトップ)担当副社長であるSelena Deckelmann(セレーナ・デッケルマン)氏も次のように語っている。「モジラはGlobal Privacy Control構想を喜んで支持します。人々のデータ権利は認められ、尊重されなければなりません。この構想は正しい方向への第一歩です。当社は、他のウェブ標準コミュニティと協力して、このような保護機能をすべての人に提供できることを楽しみにしています」。
提案されているGPC標準の全文はこちらを参照のこと。
アップデート:Ron Wyden(ロン・ワイデン)上院議員も「企業が消費者データを追跡・販売するのを阻止するための、現実的で強制力のある方法を消費者に提供するときが来ています。My Mind Your Own Business Actはまさにそれを実現するものであり、このプロジェクトはそれが可能であることを示しています」と述べて、GPC構想への支持を表明している。
関連記事:最新の4G「スティングレイ」携帯電話スヌーピングを検出できる新技術
カテゴリー:パブリック / ダイバーシティ
[原文へ]
(翻訳:Dragonfly)
