米EUプライバシー協定を無効にした男「フェイスブック流出問題は防げた」

「今回の問題はそもそも、未然に防ぐことができたはず」

5000万人分のユーザーデータの不正流用が指摘されるフェイスブック。各国の規制当局であるプライバシーコミッショナーが次々に動きを見せるなど、さらに騒動の波紋は勢いを増している。

そんな中で、「フェイスブックはすでに2011年にこの問題を認識しながら、対策を取らずにいた」と指摘する人物がいる。

対フェイスブック訴訟をきっかけに、米EU間のプライバシー保護協定「セーフハーバー協定」を無効にしたことで知られる、オーストリアのプライバシー保護活動家、マックス・シュレムス氏だ。

「今回の問題はそもそも、未然に防ぐことができたはず」とシュレムス氏。

5月には欧州のより厳格なプライバシー保護法制がスタートする。プライバシーへの国際的な関心が高まる中で、フェイスブックを舞台とした騒動がどこまで影響を広げるのか。

ソーシャル時代のプライバシーのあり方を、改めて問い直す動きになっていくのかもしれない。

そして個人的にも、ちょっと奇妙なことに気がついた(【追記】)。

●プライバシーコミッショナーが次々に

今回の騒動の特徴は、舞台となった米国だけでなく、各国の個人情報保護を管轄する規制当局が、次々に調査の動きや懸念を表明している点だ。

米国の連邦取引委員会(FTC)は26日に表明を発表。

FTCは、フェイスブックのプライバシー管理への、大きな懸念を喚起する最近の報道について、極めて深刻に受け止めている。本日、FTCは本件のプライバシー管理について、"非公開調査"を行っていることを公式に確認する。

さらに同日、フェイスブックの地元、カリフォルニアを含む41州の司法長官が連名で質問状を送っている。

このほか、CNNなどは、CEOのマーク・ザッカーバーグ氏が米連邦議会の要請に応じ、証言に立つと報じている。

一方、英国下院でフェイクニュース問題の調査に取り組むデジタル・文化・メディア・スポーツ特別委員会のダミアン・コリンズ委員長は20日、ザッカーバーグ氏に対して特別委での証言要請をしている。

これに対してフェイスブック側からは26日、ザッカーバーグ氏については断り、幹部なら出席可能との書簡を返信。コリンズ氏は28日、幹部の出席を受け入れながらも、改めてザッカーバーグ氏本人の証言要請を行っている。

ちなみに、騒動の発端となった告発者であるケンブリッジ・アナリティカの元スタッフ、クリストファー・ワイリー氏は27日に、コリンズ氏の特別委で証言するとともに、文書を提出。データの不正流用の経緯について説明している。

また英国では、個人情報保護を管轄する情報コミッショナー(エリザベス・デンハム氏)事務局(ICO)が、フェイスブックのユーザーデータを米大統領選で不正流用した、とされるロンドンのデータ解析コンサルタント「ケンブリッジ・アナリティカ」に対し、23日夜から24日未明まで7時間がかりの家宅捜索を行っている。

ケンブリッジ・アナリティカは、2016年6月に行われた英国の欧州連合(EU)離脱を問う国民投票では、離脱派を主導した英国独立党党首(当時)のナイジェル・ファラージ氏を支援していた。

英情報コミッショナーは、今回の騒動以前から、アナリティカの個人情報の利用と国民投票への影響について調査を行っており、その一環として、家宅捜索を行ったようだ。

今回の騒動には、このほかにも、個人情報保護当局の調査の動きが出ている。

オーストラリアの情報プライバシーコミッショナー、ティモシー・ピルグリム氏は20日、「コミッショナー事務局から、オーストラリア国民の個人情報が含まれているかどうかをフェイスブックに照会中だ。フェイスブックの回答を受け、規制措置の要否を検討することなる」との声明を発表した。

また、カナダのプライバシーコミッショナー、ダニエル・テリアン氏は26日、今回の騒動が「デジタルエコノミーの土台を揺るがせている」とし、フェイスブックに対する調査開始を表明。合わせて、カナダのプライバシー法の改正の必要性も訴えた。

さらに、ニュージーランドのプライバシーコミッショナージョン・エドワーズ氏は28日、ウェブサイト「スピンオフ」への寄稿で、自らフェイスブックのアカウントを削除した、と表明している。

同コミッショナー事務局は同日、同国のフェイスブックユーザーが、他のユーザーのアカウントに保存されている自らの個人情報を開示するよう請求したことに対し、フェイスブックが開示を拒否したことが、同国のプライバシー法に違反すると認定。違反者として、フェイスブックの社名を公表した。

エドワーズ氏は「現行法ではこれ以上、自分自身の、あるいはニュージーランド国民のフェイスブック上のデータを守る手立てはほどんどない」とし、アカウント削除はこれに関連した意思表明だとしている。

フェイスブックは、開示拒否の理由として、請求期間が1年と長く、対象が複数のアカウントにわたっているなど、「広範で侵害的」であることをあげている。請求が今回の流出問題と直接関連しているかどうかは不明だ。

27日午後の菅義偉官房長官の会見によると、日本の個人情報保護委員会(堀部政男委員長)も「情報を収集し、対応を検討」するという。

そして、アイルランドの個人データコミッショナー(ヘレン・ディクソン氏)事務局も20日、調査に乗り出しているとの声明を発表している。

アイルランド・データ保護コミッショナーは、フェイスブック・アイルランドが、同社のプラットフォームを利用するアプリ開発者やサードパーティに対し、実効性のある積極的な監督態勢をとっているかどうかについて、フォローアップ(追跡調査)を行っている。

「フォローアップ」と表現しているのは、すでに2011年と12年に、アイルランドのコミッショナーは今回の問題を指摘し、改善を勧告していたからだ。

●2011年に明らかに

オーストリアのプライバシー活動家、マクシミリアン・シュレムス氏は2011年、フェイスブックの国際業務を管轄するフェイスブック・アイルランドについて、プライバシーデータの取り扱いがアイルランドのデータ保護法と、EUのデータ保護指令に違反するとして、同国のデータ保護コミッショナーに申し立てを行っている。

この申し立ての中には、今回のデータ流出のカギとなっている、サードパーティーがアプリ経由で友達のデータまで広範に取得できるという問題も含まれていた。

これに対して、フェイスブック側は当時、アプリ経由の友達データの提供は、個別のアプリで友達の同意を得ていなくても、プライバシーポリシーに書き込んであることをもって包括的同意が得られている、との説明をしたという。

アイルランドのデータ保護コミッショナーはフェイスブックに対し、2011年に監査と改善勧告2012年に改善勧告へのレビュー(対応審査)を行っている。

この中で、友達データの広範取得については、サードバーティーへの積極的な監督と、データへのアクセス制限の追加措置、さらにわかりやすい許諾の選別方法をユーザーに提供するよう勧告。

「積極的な監督とデータへのアクセス制限」については「十分な回答」があったとし、ユーザーの許諾方法については、「再考が必要」としていた。

「フォローアップ」とは、この時の勧告を受けた表現だ。

5000万人のデータ流用はその2年後、2014年に発生していたことが、今回明らかになった。

そして、フェイスブックは2014年4月に友達データへのサードパーティーのアクセス制限を表明。1年後の2015年4月をもって、これを実施しているが、今回のデータ5000万件は、すでに収集された後だった。

シュレムス氏は今回の騒動を受けて、このようなコメントを発表した。

今回のケースは、欧州のデータ保護の現状の何が問題なのかを、改めて徹底的に示している。巨大企業は我が物顔で欧州の法律を無視し、違法にデータ移転を行う。アイルランドの規制当局はこの問題から目をそらし、数百万ものユーザーデータがケンブリッジ・アナリティカの手に渡り、我々の選挙に影響を与えるのだ。

●「セーフハーバー協定」を無効にした男

シュレムス氏は、2015年10月、EUの司法裁判所が米国とEUのプライバシー保護協定「セーフハーバー協定」について、「無効」との判断を行った訴訟の原告として、世界的な注目を集めた。

これは、2013年に発覚した米国家安全保障局(NSA)による国際的なデータ監視問題、いわゆるスノーデン事件を受けたもの。

シュレムス氏は2014年、「セーフハーバー協定」はEUの保護基準を満たしておらず、フェイスブック上のプライバシー情報が米当局の監視から保護されるべきだとして、同社の国際本社があるアイルランドのデータ保護コミッショナーに訴えた。

訴えそのものは退けられたが、EU加盟国全体に影響のある「セーフハーバー協定」の扱いについては、EU司法裁判所に判断が委ねられることとなり、「協定無効」との認定が出された。

その結果、米EU間のプライバシー保護協定は宙に浮く事態となり、2年後の2016年、ようやく新たな協定「プライバシーシールド」に合意するという経過をたどった。

ポリティコのインタビューに対し、シュレムス氏はこう述べている。

今回の問題はそもそも、未然に防ぐことができたはずなのだ。

そして、シュレムス氏は先の声明の中で、今年5月には、EUの新たなプライバシー保護法制「一般データ保護規則(GDPR)」が施行されることにも触れている。

この問題が5月25日以降に起きていたら、フェイスブックは最大で16億ドル(1700億円)の罰金(2017年の同社の世界での売り上げの4%)に直面していただろう。これは、2018年5月25日から施行されるEUの新たな一般データ保護規則による罰則だ。

GDPRでは、2000万ユーロ(21億円)か世界での売り上げの4%分の、どちらか高い方を罰金として課せられる規定がある。

フェイスブックの2017年の売り上げは400億ドルなので、4%だと16億ドルという巨額の罰金になってしまうのだ。

●矢継ぎ早の保護対策

フェイスブックは、今回問題となったサードパーティーの幅広いユーザーデータへのアクセスについては、2014年公表の修正で対応済み、との立場だ。

だが株価は急落を続け、騒動発覚前(16日)の185ドルから、27日には152ドルへと、18%近くも下げた。時価総額も一時は年間売り上げの倍以上、955億ドルも下げた。

フェイスブックは、騒動を受けて矢継ぎ早に対応策を打ち出している。

まずは、2015年の修正以前のアプリによるデータの取得状況を、すべて洗い出す、と述べている。

ターゲティング広告への外部データ連係も禁止するとの方針も表明。外部データブローカーが持つ購買履歴データと連携した広告のターゲティングを提供する「パートナー・カテゴリーズ」の廃止を打ち出した

プライバシー設定の簡略化も表明している。

●フェイスブックの間違った質問

一連の騒動では、疑問の声も上がっている。

そもそも、ケンブリッジ・アナリティカのターゲティングに、それほどの効果があったのか、との指摘だ。

オックスフォード大学の研究者、クリス・カヴァナー氏は、米大統領選において、ケンブリッジ・アナリティカは当初、共和党の候補者レースでドナルド・トランプ氏の対抗馬だったテッド・クルーズ氏についていた点を指摘する。「だが、現大統領はクルーズ氏ではない」

一方で、ジャーナリストのノーム・コーエン氏は、フェイスブックの対応の問題について、「そもそも問いの立て方が間違っている」と述べる。

フェイスブックは、この問題を、個人に対する侵害として捉え続けている。決して、社会全体への侵害として捉えようとはしない。米憲法学者のアレクサンダー・ビッケル氏にこんな格言がある。「間違った質問に答えは出ない」。フェイスブックはもう10年以上にわたって、間違った質問をし続けている。それこそが、プライバシースキャンダルが、シリコンバレーにおける最長寿番組のように見えてしまう理由だ。最近の騒動は、フェイスブックの問題にどう対処すればいいのかについての質問を、再考するチャンスを与えてくれた。それは、すべての米国民が答え、声を上げられるものであるべきなのだ。

【追記】奇妙なことに気がついた。

3月24日の前回投稿で、友達のアプリからのデータアクセスを選択する設定画面「他の人が使用しているアプリ」について紹介した。

1週間後の3月31日現在、確認してみたところ、こんな注意書きとともに削除されていた。

【他の人が使用しているアプリ】を削除しました

これらの旧設定は、すでに存在しない旧バージョンのプラットフォームにのみ適用されているため、現在は削除されています。

今回の問題の核心部分であるはずの、プライバシー情報の設定画面が、わずか1週間で丸ごと削除、である。

フェイスブックは、相当混乱しているようだ。

--------

(2018年3月31日「新聞紙学的」より転載)

注目記事