「フェイスブック・ショック」広がるプラットフォームの責任論


月刊誌「Journalism」7月号掲載の筆者記事に補足しました。)

「フェイスブック・ショック」

欧米のメディア界には今、「フェイスブック・ショック」とも呼ぶべき現象が広がっている。その衝撃度と影響、プライバシー保護への動きについて、欧州を中心とした議論を紹介してみたい。

「ショック」のきっかけは、今年3月中旬。英国の政治コンサルティング会社「ケンブリッジ・アナリティカ」(5月上旬廃業、以下CA社)の元社員が、フェイスブックの利用者数千万人分の個人情報がCA社に「不正流出」されていたと内部告発した。この情報を基に投票行動を誘導する広告を2016年の米大統領選で配信したという(CA社側は否定)。

企業や組織が巨大な量の個人情報を含んだデータを図らずも流出させた事件はこれまでにも数多く発生してきたが、今回の事件は特別の意味合いを持つ。最大の要因は、これがフェイスブックを通じての個人情報の大量流出であったことだ。

欧米諸国では、フェイスブックは独占的な位置にあるソーシャルメディアだ。毎日何度もアクセスし、自分が最もプライバシーをさらけ出す場所で個人情報の流出事件が発生した。多くの人にとって、ひやりとするような衝撃である。しかも、CA社へのデータ流出についてフェイスブックは2015年時点で承知していたが、内部告発者の証言が出るまで利用者には通知していなかった。

また、もし投票行動に影響を及ぼしていたとなれば、選挙という民主主義の基礎を揺るがせる事態が発生していた可能性がある。

フェイスブックを使って有権者に支援を求める手法は、オバマ前米大統領も含め、多くの政治家・政党が利用している。米テック大手による個人情報の取り扱いへの懸念もこれまでに表明されてきた。しかし、CA社の元社員が実名・顔出しで内部告発したことで、様々な問題が急に切実に感じられるようになった。

伝統メディアには、大きな戸惑いが生じた。情報拡散には有力な助っ人であるはずのプラットフォームがもし個人情報の不正流出を許していたとすれば、今後もビジネス上の提携関係を結ぶに足る存在といえるだろうか?

CA社の疑念が深まる

情報流出事件のあらましを振り返っておきたい。

CA社は2013年に設立され、データ解析を基に選挙活動について助言する会社だった。英国の欧州連合(EU)脱退に関する国民投票(2016年6月)では離脱陣営の勝利に、同年11月の米大統領選ではトランプ陣営の当選に貢献したといわれている。

設立時、CA社はトランプ支持者で投資ファンド経営者のロバート・マーサー氏が資金を提供している。また、同陣営の選対本部長で、トランプ大統領就任(2017年1月)後は右腕とされたスティーブン・バノン氏が一時、副社長を務めていた。

2014年、ケンブリッジ大学のアレクサンドル・コーガン教授が性格診断クイズ「これがあなたのデジタル生活だ」を開発し、フェイスブックのアプリとして公開。主として米国人の約30万人が「学術目的」のアプリをダウンロードした。コーガン教授は利用者に対価を支払い、データを取得する。このアプリを通じ、回答者の友人を含む約8700万人の個人情報が取得された(数字はフェイスブックによる)。

コーガン教授は取得したデータをCA社に売却していた。アプリの開発者が学術目的で取得したデータを企業に売却する行為は、当時も今もフェイスブックの規約違反だ。

2015年、フェイスブックはコーガン氏開発のアプリが大量の個人情報を吸い上げていたことを知ったが、これを公にしなかった。ただし、第3者のアプリ開発者がアクセスできるデータの取り扱いについてより厳しい条件を課すように規則を変更している。

英オブザーバー紙記者らによる、CA社元社員ワイリー氏の内部告発記事の初報(3月17日付、ウェブサイトから)

情報流出が広く知られることになったのは、今年3月17日。

CA社が英国の国民投票に及ぼした影響について調べていた英日曜紙「オブザーバー」のキャロル・カドワラドル記者が元CA社員クリストファー・ワイリー氏から内部告発を引き出した。オブザーバー紙は同氏から得た情報を米ニューヨーク・タイムズ紙、英放送局チャンネル4と共有し、オブザーバーの姉妹紙ガーディアンを含む各媒体がこの問題を率先して報じた。

ワイリー氏によると、コーガン氏がアプリ開発のために立ち上げた会社グローバル・サイエンス・リサーチ社(以下、GSR社)は「5000万人以上」(4月4日、フェイスブックは「約8700万人」と発表)の利用者の情報を収集し、これをCA社に販売した。

アプリ使用に代金を払った利用者約30万人は自分についての情報の収集に同意しており、これは「同時に友人の個人情報も収集できる形になっていた」、ただし友人の情報収集について「オプトアウト」(共有しないという選択肢を選ぶ)した場合は別である(ガーディアン、3月17日)。しかし、「政治運動に使われることや巨大な選挙運動用データベースに情報が加えられることについて同意した人は1人もいなかった」。

コーガン氏はカドワラドル記者の取材に対し「すべてが合法だった」と述べ、フェイスブック側は「情報漏えいではなかった」としている。コーガン氏は「合法に情報にアクセスした」が、情報を第3者に流したという点では「規約を守らなかった」と認めている(同日付)。

CA社は入手した個人データと選挙人名簿の情報などを組み合わせて個人の心理特性を築き上げ、特定の政治行動を促す広告を配信したといわれている。CAの戦略がトランプ陣営やEU離脱派の得票にどれほどの効果があったのかについては定かではない。

4月24日、CA社はコーガン氏から提供された情報は「統計的にあてずっぽうよりは少し上ぐらいのもの」であったために使わなかったと記者会見で述べた。

フェイスブックの信頼問題に発展

CA社による情報不正利用疑惑は、フェイスブックの信用とその個人情報の扱い方の問題に発展した。

朝日新聞のメディア・ウオッチャー、平和博氏は、「問題のそもそもの発端は、『友達』のデータまで含む大量のデータ取得が可能だった、フェイスブックによるプライバシー管理の仕組みそのものにあったのではないか、という指摘だ」と書いている(ブログ「新聞学的」2018年3月24日付)。

同ブログによると、フェイスブックは「グラフAP1」という名前のインターフェイスの規格を使っていた。これは、外部で開発されたアプリがフェイスブックの利用者の個人情報を含む内部情報にアクセスし、取得するための規格である。2014年当時、「ユーザー本人だけでなく、その『友達』のデータについても、かなり幅広く入手することが可能だった」。例えば、利用者が同意すれば、データ取得に同意していない友達の名前、性別、経歴、住所、学歴、職業などの情報を取得できた。

フェイスブックのザッカーバーグCEOの米議会での証言を動画付きで紹介するBBCのニュースサイト(BBCのサイトから)

2015年5月から、フェイスブックはよりプライバシー保護を強化するようにこの規格を変えたが、現在でも友達のアプリを経由して、自分の個人情報がそのアプリに流れている。これを止めたい場合は、「アプリやゲーム、外部サイトで友達に公開する情報の種類」でオプトアウトを選択する必要がある。

筆者も含めて、フェイスブックの利用者は友達同士で情報が共有されることを認識していたものの、友達がどのようなアプリを使っているのかまでは確認していないことが多い。フェイスブック側は「同意したはず」となるだろうが、利用者としては「虚を突かれた」という思いがあるのではないだろうか。

フェイスブックは今後、変わるだろうか?

フェイスブックやほかのテック企業は利用者の個人情報と引き換えに広告を出し、その収入によって無料サービスを提供してきた。事実上「利用者の個人情報を『売る』」ことをビジネスの核としてきたフェイスブック。ここが変わらない限り、「できうる限り、利用者の個人情報を収集する」姿勢は変わり得ないかもしれない。今後、広告を入れない形での有料サービスが1つのオプションになるのかどうか注目だ。

メディア界の視線が変わる

国際ジャーナリズム祭で。左端がジャービス教授、隣がラップラーのレッサ編集長、一人おいて、バズフィードUKのギブソン編集長(撮影 小林恭子)

フェイスブック、CA社のみにかかわらず、これからのネットビジネスのあり方、メディアのかかわり方、引いてはインターネットの未来にまで議論が及んだのが、今年の「国際ジャーナリズム祭」(イタリア・ペルージャ、4月11日から15日)のセッションだった。

フェイスブックのマーク・ザッカーバーグCEOが情報流出問題をめぐって4月10日と11日の両日に米上下院に召喚され、合計で10時間にわたって議員からの質問に答えたが、この様子をネットで見聞きした時期とちょうど重なったことも議論に熱気を与えた。

ネット推進派の見方が大きく変わりつつあることを感じたのは、ニューヨーク市立大学で教える、ジェフ・ジャービス教授の発言だった。著名ブロガーの同氏は、グーグルについての著作もあり、インターネットを「善」とする論客の一人。

しかし、4月12日のセッション(「メディア側とプラットフォーム側の決断に関連する、道徳上の責務をどう定義するか」)の中で、同氏はこう述べた。「自分はインターネットについて語る時、そのオープン性を常に支持してきた。メディアに対して、オープンであれと言ってきた。しかし、もう簡単にはそう言えない。インターネットは政治操作に対してもオープンであったことを理解したからだ」。インターネットの良さを謳歌する雰囲気は大変わりした。

フィリピンのウェブサイト「ラップラー」のマリア・レッサ編集長は続ける。「『オープン性』の良さは偽りだった。家を建てて、中にどんどん人を入れたら、互いに攻撃している。家を作った側の責任が問われている」。ネット上でオンラインハラスメントが発生し、テロリストやほかの犯罪者が犯罪行為のために悪用していることを想定に置いての発言である。

元ガーディアンの編集幹部で現在はバズフィードUKのジャニン・ギブソン編集長は、「既存メディアはソーシャルメディアの要望に合わせようと、努力してきた。動画をやれ、エンゲージメントが大切だと言われ、無理をしてもその要望に応えようとしてきた。今となっては、子供の言うことを聞きすぎた親のように感じている」。

ギブソン氏を含め、他のパネリストたちも「プラットフォーマーには説明責任が必要。(個人情報の取得について)何らかの規制があるべき」という点ではほぼ一致していた。

オックスフォード大学のラスブリジャー氏(左)と独ビルト紙の元編集長コッチ氏(撮影 小林恭子)

13日のセッション、「テクノロジーについての道徳上のパニック すべてがそれほど悪いのか」では、パネリストたちの「テックの巨人」とでも言うべきフェイスブック、グーグル、アマゾン、アップルなどへの強い危機感が露わになった。

米国の非営利組織「電子フロンティア財団」のジリアン・ヨーク氏は「国家権力や大手プラットフォームが人々の生活に大きな影響力を及ぼすことに懸念を抱いている」という。言論界が「グーグル、フェイスブック、ツイッターなどに牛耳られている」。

ドイツ最大の日刊紙ビルトの元編集長タニット・コッチ氏は、ドイツでは検索エンジンの95%がグーグルになっており、「グーグル検索で見つからないとその情報は存在しないも同然になる。これが怖い」という。

パネリストたちの目にはフェイスブックを始めとするテック大手自体がオープン性や透明性に欠けると見える。

「フェイスブックは2万人を新規に雇用し、ヘイトスピーチを根絶させるという。AI(アーティフィシャル・インテリジェンス=人口知能)も駆使すると。しかし、誰がAIに何がヘイトスピーチで何がそうではないのかを教えるのか?そこに偏向は生じないのだろうか?」(ヨーク氏)。

一方、「今でもデジタルメディアの可能性を信じる」としたのは、ガーディアンの編集長時代に同紙のデジタル化を強力に進めたアラン・ラスブリジャー氏だ。同氏は今、オックスフォード大学レディー・マーガレット・ホールの学長である。「CA事件が起きたからと言って、慌てて行動を起こす必要はない。じっくり考えるべき」。

しかし、「個人情報の保護」という観点から、事態は急速に展開している。5月25日から、欧州内で「一般データ保護規則(General Data Protection Rules=GDPR)」が施行されたからだ。

どんな規則で、何が変わりつつあるのか。

欧州とGDPR

GDPRとはEUの規制の1つで、「個人、会社、あるいは組織によるEU域内の個人についての個人情報の処理」を対象とする(欧州委員会のウェブサイトより。以下同)。原文(英語版)は「個人」を「individual」としており、国籍については規定してないので域内にいるすべての人、という意味と解釈してよいだろう。

GDPRによると、域内のすべての人は、自分についての個人情報が保護され、自分についての情報にアクセスし、これを修正する権利を持つ。

この権利はEU市民や域内の住民の政治的、社会的、経済的権利を法的に定める「欧州連合基本権憲章」第8条で規定されている。

2012年以降、EUはデジタル時代に適応するよう個人情報保護に関わる規定を改正する議論を開始。2016年4月、データ保護指令(1995年)を置き換えるEU一般データ保護規則(「規則2016・679」)が欧州理事会及び欧州議会で採択された。EU加盟の28カ国は今年5月上旬までに国内法にこの規則を組み込むようにされ、同月25日から適用となった。

規則の詳細はEUのウェブサイトに掲載されている(URLは最後に表記)。筆者が住む英国で個人情報の保護を管轄する「情報コミッショナーズ・オフィス(ICO)」が作成した概要版にも目を通しながら話を進めたい。

GDPRは個人情報の「管理者」と「処理者」を対象とする。EU域内で活動する組織がこれに入るが、域外にある組織でも域内にいる個人にモノやサービスを提供する組織も含まれる。グローバル化が進んだ現在、日本企業も含めて世界中の相当数の組織・企業に影響が及ぶ。

「個人情報」とは当人であることが識別できる情報で、例えば名前、識別番号、位置情報、オンライン識別子(例えばIPアドレスやクッキー)、身体的、生理学的、遺伝子上、精神的、経済的、文化的あるいは社会的な識別情報を指す(第2-1条)。

また、特別な配慮が必要とされる個人情報の項目では、人種、政治志向、宗教及び哲学上の信念、労働組合に加盟しているかどうか、遺伝子や生体認証情報、医療情報、性的指向についての情報の処理を禁じている(第9条)。ただし、個人が明確に合意を与える場合や、雇用や社会保険などのサービスを受けるなどの目的がある場合は例外となる。

英ICOによると、GDPRの重点の1つが「説明責任原則」だ。情報の処理者・管理者は第5で定義される原則にどのように従ったかを個人に示す必要がある。

その原則とは、個人情報の処理者は、透明な手法で、合法に、公正に処理を行うこと(第5条原則)。情報は正確であるようにし、必要とあれば更新すること(第5-d)。管理者は情報処理が「原則に沿っているものである点について責任を持ち、これを示すことが出来るようにする」(第5-2)。

「合法」とは、情報処理対象となる「個人の合意があること」(第6条1ーa)や、処理が「個人との契約の遂行に必要であること」(第6条1ーb)などだ。

「同意」とは、「自由に与えられた、特定の、情報を与えられた、明確な、情報取得対象者の意思であり、声明あるいは明確で肯定的な行動であり、情報処理に対する合意を意味するものである」(第4条―11)という。

対象者が16歳未満の子供である場合、その子供の親としての責任を持つ人物からの同意が必要となる(第8条)。

GDPRは個人の権利を強化している

例えば、「情報を受け取る権利」(情報管理者は個人に対し、管理者についての情報、情報収集の目的、どの個人情報を収集するか、誰が情報を受け取るかなどを通知する、第12、13,14条)、「アクセス権」(第12条、15条)、「修正権」(第12、16,19条)、「削除権」(継続した情報処理は不必要と個人が見なした場合、削除を求める権利がある。かつての「忘れられる権利」と同様だが、これを強化した。第17条、19条)。

また、「処理を限定する権利」(第18,19条)、「データを持ち歩く権利」(第12条、20条)、「反対する権利」(第12条、21条)、「自動決定権及びプロファイリングに関係した権利」(「プロファイリング」とは個人情報を使って、雇用、健康、個人の好み、関心、信頼性などの自己像が作られること。情報の収集によってこうしたプロファイリングが生成され、個人が不利益を被ることを防ぐことができる。第4条―4、9条、22条)も含まれる。

GDPRには情報収集側の説明責任と統治を定義する条項が入っている。EUの以前の個人情報に関する規則では暗黙の前提となっていた部分を明文化した。

第5条(2)で情報処理者は説明責任を果たしていることを示し、第30条では責務をいかに実行しているかを示す記録を残すことが必要としている。

また、GDPRは個人情報の取得・管理に関わったすべての組織に対し、情報漏えいが発生した場合に通知することを義務化している。

個人情報の漏えいとは、この情報の破壊、喪失、改ざん、非合法な開示あるいはアクセスを指す。もし漏えいが起きた場合、管理者は「72時間以内に」事態を規制監督当局に通知する義務がある(第33条)。もし管理者あるいは処理者が漏洩を通知しなかった場合、最大で2千万ユーロ、あるいは企業の場合は全世界における前年の年間売上収入の4%の間で、いずれかの高額な方を最高額とする罰金の支払いが課される場合がある(第84条―4)。

その効果と影響は

5月25日のGDPR施行に向かい、欧州在住者は施行の前に情報の使用について合意をもらおうとする企業・組織からの電子メールを続々と受け取ることになった。この時までに個人情報の利用規則を変えているので「このままサービスを利用できます」というメールもあれば、該当組織のメールサービスを改めて購読することに合意が必要とするメールもあった。

フェイスブックやグーグルを利用していた場合は、それぞれプライバシー設定を「確認」するよう求められた。

例えば、筆者はグーグルメールを使っているが、「Googleのプライバシーポリシーとプライバシー設定の改善について」と題するメールをGDPRの施行2週間前に受け取った。メールの中に「ポリシーの改訂版」という表記があり、これをクリックすると、グーグルのプライバシーポリシーについての長い説明があった(印刷すると、A4で30枚分)。

メール内の「プライバシー設定を改善」の項目では、「マイアクティビティ」で、グーグルのブラウザーであるクロームを使ってどのような作業を行ったかが画面上に出た。検索の結果やどのメールを見たかが一目瞭然だ。これは本人しか見ることが出来ない設定となっている。

「ダッシュボード」をクリックすると、グーグルアカウントに保存されているデータの表示と管理についての情報が示された。このデータをダウンロードもできる。「プライバシー診断」をクリックすると、「ウェブとアプリのアクティビティ」、「ロケーション履歴」、「端末情報」、「音声アクティビティ」、「YouTubeの検索履歴」などが表示された。

自分についての情報を自分が管理する権利を明確にし、情報の管理者・処理者に対してその行動に大きな説明責任を持たせたGDPRの施行は、欧州に住み、グーグルやフェイスブック他のソーシャルメディアを使う一人からすれば、心強い動きだ。

プライバシーを守ることはもはや不毛ではない

1999年、コンピューター会社マイクロソフトシステムズのトップだったスコット・マクネリ氏はデジタル社会でプライバシーを守ることは不毛だと報道陣に述べたことがある。「今や、ゼロ・プライバシーの世界になった」、「あきらめろ」。

しかし、時代は変わった。フェイスブックの最高執行責任者シェリル・サンドバーグ氏は情報の安全性と保安について「充分な投資をしてこなかった」と述べた(4月5日、フィナンシャル・タイムズ紙)。GDPRについて、サンドバーグ氏は「欧州の方が米国の先を行っている」と述べている。

GDPRは始まったばかりでその効果はまだ判然としない。施行初日、米国のメディア企業トロンク(ロサンゼルス・タイムズ、シカゴ・トリビューンなどを発行)のウェブサイトが欧州からは一時使えなくなった。2年間の準備期間はあったものの、GDPRに対応するシステムの変更ができていないという企業が少なくないと言われている。

また、EUの加盟28カ国中、オーストリアとドイツのみが施行前に国内法の変更を完了していたが、ブルガリア、ギリシャ、マルタ、ポルトガル、ルーマニアはどのようにGDPRを実行するかについて国民に情報を出しておらず、国会に関連法案を提出していなかった。

eプライバシー法についての提案のウェブサイト(EUのウェブサイトから)

今年後半にかけて、欧州内でのプライバシー保護の動きに一層の拍車がかかりそうだ。というのも、EUはGDPR以上に個人情報の保護を強化する「eプライバシー法」を年内に成立させる予定だからだ。

これは、「eプライバシー指令」(2002年)を改定するもので、2017年1月に最終提案書が発行されている。

これによると、eプライバシー法はすべての電子的な通信において現在よりも高度のプライバシー保護を達成することを目的とする。電子的な通信及び情報全体を対象とする。特徴は、「新規通信サービス(ワッツアップ、フェイスブック・メッセンジャー、スカイなどによる通信)も対象とする」、「EU域内のすべての人及び企業が持つプライバシーにかかわる情報が保護対象となる」、「クッキーの処理が簡素化され、ブラウザーの設定によってクッキーやそのほかの識別子のトラッキングについて同意するか、拒否するかを決められる」など。

クッキーについては、「同意しないと、そのサービスが使えなくなるので同意してしまう」という「クッキーの壁」現象が問題視されている(最終提案書、43ページ)。

「クッキー」は利用者のブラウザーに保存される情報で、サイトの閲覧歴を記録するソフトだ。あるウェブサイトを訪れると、サイトは利用者のデバイスを記憶し、次回そのサイトに来るとそのデバイスを認識する。

クッキーは利用者のネット利用体験を高めるために役立つ(ログイン情報が保存される、何をショッピングカートに入れたかが記憶されるなど)。閲覧するサイト以外の第3者(例えば広告ネットワーク)はクッキーを使うことによって、ターゲットを絞り込んだ広告の配信ができる。

欧州発のプライバシー保護の動きは、今後世界に広がり国際基準となっていくと見られている。日本の企業、メディア組織も対応を迫られそうだ。

***

参考

一般データ保護規則(EUのウェブサイト)の英語版
英「情報コミッショナーズ・オフィス」の概要版
eプライバシー法についてのサイト


編集部より;この記事は、在英ジャーナリスト小林恭子氏のブログ「英国メディア・ウオッチ」2018年8月27日の記事を転載しました。オリジナル原稿をお読みになりたい方は、「英国メディア・ウオッチ」をご覧ください。