ビッグデータ企業による情報収集を防ぐことってできるの?

201124bigdata
Image: shutterstock

結論から言いますね。

ムリです。ビッグデータ企業による情報収集を防ぐことはできません。

いまや近所のスーパーに出かけるだけで、きわめて個人的なデータポイントの40や50ぐらいは知らぬ間に抜き取られている時代。Facebookアカウントを抹消するならもちろんどうぞ。でも、そんなことをしてもおそらくなにも変わらないと思います。そもそもFacebookに登録すらしていない人だって、情報収集と無関係ではありません。なにせ、Facebookはアカウントを持っていない人に対しても「シャドウプロフィール」なるものを作成できるぐらい、膨大な量の情報を収集しているそうですから。

この時点でわたしたちができることは、せいぜいビッグデータ企業に吸い上げられる情報量を少なくして、なるべくダメージコントロールするぐらいです。

専門家に喫緊の疑問・質問を投げかける米Gizmodoの「Giz Asks」シリーズ。今回は5人にビッグデータ企業とデータ収集会社について語ってもらいました。みなさん、心の準備はいいですか? 末恐ろしいですよ。

サイバー衛生にも限界がある


Scott Shackelford(米インディアナ大学商事法・経営倫理学准教授。サイバーセキュリティプログラム、およびサイバーセキュリティとインターネットガバナンスに関するOstrom Workshopのディレクターを兼任)

まず問題なのが、デフォルト設定のままではプライバシーが守られていないことです。ユーザーの一人ひとりが自主的にサイバー衛生*(cyber hygiene)を管理するためには、設定を変えるなりして常に所有権を掌握する努力をしなければなりません。*訳注:NTTアドバンステクノロジ株式会社の桑名栄二氏によれば、サイバー衛生とは「一般の衛生管理と同じように社内のIT環境や個人のインターネット利用環境を健全な状態に保つこと」。

基本的な予防措置としては、DuckDuckGoのようなネットの閲覧状況をトラッキングしない(というよりはする度合いが少ない)ブラウザを使ったり、プライバシーを守る拡張機能や仮想プライベートネットワーク(VPN)を導入するなどがあります。同じパスワードを使い回さないのも大事です。それと、FacebookやGoogleアカウントを使ってほかのサイトにログインする前に、その弊害についてよくよく考えてみましょう。「アカウントをリンクさせる」というオプションをクリックするたびに、むこうはあなたについてさらに多くのデータを集められるようになるわけですから。結局のところ、インターネットにどのような情報を発信しているのかを常に自覚していることが大切です。たとえLast Passのようなパスワードマネージャーを使っていたとしても、パスワードが暴かれて個人情報が流出してしまう可能性は常にあるからです。

一度GoogleやFacebookが持っているあなたの個人情報を洗いざらいダウンロードしてみるのもいいでしょう。やってみたことがなかったらぜひ試してみてください。きっと注意喚起になると思いますし、なぜ個人情報の管理が大切なのかがよくわかると思います。サイバー衛生をもっとしっかりやらなくてはいけないということは、すべての人に言えることです。企業側がもっと慎重に個人情報を扱わざるをえないような法的措置や市場原理が働かないかぎり、この問題は悪化の一途をたどるでしょう。

しかも、ビッグデータ企業はこの問題の一端でしかないんです。世の中には何百ものデータ収集会社(データ・アグリゲーター)が存在していて、GmailやFacebookアカウントの保有に関係なく、わたしたち全員の個人データを数千の単位で常に収集し続けています。逃れる術は残念ながらありません。このように不正かつ不公平な取引に従事しているデータ収集会社は公正取引委員会によって処罰されるべきですが、あまりに多すぎてとても追いつける状況ではありません。公正取引委員会ができることは限られていて、すでに限界に達しています。

個人の選択のみでプライバシーを守ることは不可能


Meg Leta Jones(ジョージタウン大学コミュニケーション学・文化テクノロジー学准教授)

できることはありますよ!

国会議員宛てに陳情書を送って、ビッグデータ企業を取り締まる法律を作ってもらえばいいんです。文面はこんなかんじでしょうか。

--

個人情報に関する陳情書(案)

(趣旨)

個人データの作成、使用、およびそのライフサイクルを制限する法律の策定を強く希望します。

(理由)

私たちは常に私たちについて集められている膨大な量の個人情報を管理するよう求められていますが、なぜでしょうか。私たちが作ったものでもなければ、私たちが使っているものでも、私たちが直接利益を得るものでもありません。プライバシーの名のもとに個人情報の管理を個人に押し付けるのはやめてください。そもそも私たちが作ったものではないのですから、私たちがその後始末をするべきでもありません。

国会議員 様

--

それか、カリフォルニア州に移住して「California Privacy Rights Act(CPRA)*」に一票を投じればいいでしょう。*訳注:オンラインにおける個人情報保護法「プロポジション24」のこと。原文記事の執筆時点ではまだ集計中だったが、その後11月3日に可決された。

CPRA成立後、該当する企業は自社のWebサイト上に「個人情報の販売および共有を行なわない」というアイコンを表示することが求められます。

このような個人情報保護法がなければ、Webユーザーや情報収集の対象となる人が効果的に自身のプライバシーを守り、ビッグデータ企業から逃れることは極めて困難です(ビッグデータ企業じゃない企業なんていまや存在しないですしね)。プライバシーについて調査し続けているJulia Angwin記者やKashmir Hill記者は、一般的なユーザーの想像を絶するほどの苦心を重ねてビッグデータ企業の追跡を逃れようと努力した結果、いずれも失敗しています。

プライバシーはネットワークとしてつながっていて、社会的でもあります。個人の選択のみで守れるプライバシーはありません。そう、個人がリサイクル活動に従事することが気候変動の問題そのものを解決できないように。

個人情報収集の「道交法」を策定すべき


Gus Hurwitz(ネブラスカ州立大学法学准教授。Nebraska Governance and Technology Centerディレクター、International Center for Law & Economicsディレクターを兼任)

簡単な答えなら「あんまりない」、込み入った答えならもっと長くなります。

私たちが考えるところの「ビッグデータ企業」はひとつのエコシステムを形成しています。この中でもっともわかりやすいのはユーザーと直接的に関わりを持っている企業で、ソーシャルメディアプラットフォームや小売業者、メディアプラットフォームなどが挙げられます。これらの企業はユーザーの行動を直接見ることができます。しかし、そのほかにもデータ・アグリゲーターやデータ・ブローカーが存在していて、消費者との直接なやりとりはないものの、他企業や情報源からデータを収集しています。

これらのアグリゲーターやブローカーには、どのようなデータを収集しているのかを消費者に開示するメカニズムも、そのデータを消費者が訂正したり削除依頼するメカニズムも持っていません。さらに、これらの企業があまりにも多く、それらの企業から個人情報を取り戻すための手続きがあまりにも煩雑であるために、現実的に言って消費者側が個人情報の収集、シェア、使用を防ぐ手立ては今のところありません。特に顕著なのが、あらゆる情報源から個人データを収集している巨大アグリゲーター企業です。こういったアグリゲーター企業は、たとえば最寄りの運転免許更新センターや地元自治体などから公的なデータを吸い上げているかもしれません。また、近所のスーパーでの購入情報を把握しているかもしれません。

ここで大事なのは、なぜこのように個人情報が集められているのかをあらためて考えてみることです。明らかに集めた消費者情報を誤用したり悪用する企業も中にはいるでしょう。けれども、大多数の企業は集めたデータを新商品の開発に活かして、利用者にとって価値のあるものづくりに役立てています。消費者の動向を理解することは、企業にとってよりよいコンテンツを提供したり、これまで満たされていなかった需要を開拓することにもつながります。商品を特定層の顧客に向けてカスタマイズすることも可能になりますし、より心地よい(またはストレスフリーな)UXをデザインすることも可能になります。

要するに何を言いたいかというと、細事にこだわりすぎて大事を逸することなかれということ。企業の個人データ収集により、消費者が害を被ることはもちろんあります。ですが、このエコシステムを形成しているすべての企業を認識することが難しいのと同じように、集められたデータの有益な使われ方も可視化するのが難しいのです。そのような観点から、「ビッグデータ」を規制するならば、データ収集による実害を防ぐことに注力するべきで、データ収集の行為自体を一般化して規制してしまうのは避けるべきです。

企業のデータ収集行為自体にフォーカスするのではなく、データの「道路交通法」みたいなものを作って、どんなデータを収集していいのか、どのように扱われるべきなのかを細かく制定したほうが現実的だと思います。消費者が自分の個人データが使用された(というより悪用された)ことで実害を被ったと判断したときに、法的に訴える権利も明確に定められるべきでしょう。これは、たとえば企業側の怠慢が情報漏洩につながった場合の罰則も含まれます。どんなデータを集めて使っているか、それをどこから入手したのかを消費者に明確に開示する法的義務を企業に課すこともできるでしょう。また、集められた情報が特定の方法で使用されることを禁止すること(たとえばある種の商品やサービスに関するマーケティングなど)も考えられます。

私たちはネット上に常に親密な足跡を残している


Sandra Wachter(オックスフォード大学准教授、上級研究員。AI、ビッグデータとインターネット規制に関する法律および倫理学の研究に従事)

重要なのは、あなたのデータが集められたあとになにが起きているかだと思います。

一般的なケースを見てみましょう。Webサイトを閲覧する、アプリをインストールする、映画を借りる──なんでもいいんですが──それらの行動に伴い、個人情報の入力を求められたとします。無料でサービスを提供してもらうかわりに、一見まったく無害だったり面白みのないように感じる郵便番号だとか、メールアドレス、年齢などの個人情報を聞かれるんですね。この状況においては、あなたに主導権があるように思えるでしょう。あなたは自分の意思で行動しているのだし、なにを代償としてどんな望ましいサービスを提供してもらっているかも把握しています。

ところが、この話はここで終わりません。おもしろいのは情報が集められたあと、そこからあなたについてどのような情報が推論により引き出されているかです。一見なんの面白みもないありふれたデータが、私たちについて驚くほど細かいプロフィールを描き出していることを多くの人は知らないと思います。Facebook上で3回クリックしただけで、性的指向が知られてしまう。あるいは、ほかのプラットフォーム上で私がどんな行動をとるかによっては私がアルツハイマー病やパーキンソン病に罹っているかがわかってしまいますし、私の何気ないツイートが精神的に落ち込んでいるか否かを判断する材料にもなりえます。私たちは、自分が思っている以上に私たちについての繊細で親密な情報をインターネット上の足跡として残しているのです。

私が現在取り組んでいる研究のひとつで、今後3年間かけて進行していくプロジェクトに「AI and the Right to Reasonable Inferences(直訳:AIと合理的に推測される権利)」というのがあります。ヨーロッパでは現在、ユーザーが個人の意思にもとづいて提供した情報──明確に求められ、それに応じて明け渡された情報──に関しては、強固な法的枠組みが存在しています。ところが、これらの法律はその明け渡された情報から推測された情報については効力が及ばず、これらの推測された情報の所有権が誰にあるのかも明確ではありません。厳密に言えば自分ではない誰かが作り出した情報の産物なのですから、個人情報とは言い切れないかもしれません。すると、現在このような推測された情報が法的な範疇にないとなれば、今後社会においてどのような推測ならば許容されるのかを決めて行く必要があります。

あなたが提供した情報をもとに推測するアルゴリズムがあなたの知らないところであなたの人生を変えてしまうほど大きな決断を下しているのだとすれば、あなたには合理的に推測される権利があります。そのためには、情報が提供されたあとになにが起こっているのかを把握することから始まり、そのプロセスの全体像を知った上で発言権や撤回権を与えられることも非常に重要となってきます。

抵抗は海水をスプーンですくうが如し


Fred H. Cate(インディアナ州立大学法学教授。Center for Applied Cybersecurity Research上級研究員)

個人情報への第三者アクセスを防ぐためにあなたができることは小さいながらもたくさんあります。しかし、結局のところ大勢に影響はないでしょう。海水をスプーンですくって海岸に投げたところで、海の水の量を減らすことはできるでしょうか? 厳密に言えばできますが、誰も気付かない微々たる差ですね。

そう言ってみたところで、対策として一番有効なのは個人情報を意図的に提供しないことです。これはFacebookに投稿する内容だけでなく、どこかのプラットフォーム上でデバイス間の情報共有を許可するか聞かれた場合でも「NO」。許可すればあなたの情報はクラウドに行きますから、ほかの人にもアクセス可能となります。

VPNを使うのも手です。DuckDuckGoのような検索エンジンを使うのもいいですね。データブローカーや信用調査所のWebサイト上では「連絡不可」「情報共有不可」のリストにしっかり入っておきましょう。銀行のWebサイト上でも情報共有は不可に設定しておきましょう。

これらの細々としたことを毎日実行しているうちに、自分から対策を講じることでちょっと気分的に楽になれるかもしれませんし、それは決して些細なことではないのですが、では果たしてネット上で浮遊しているあなたの個人情報量が少なくなるかと言ったら…おそらくそれはないでしょうね。

ビッグデータ企業が持っているあなたの情報と、それ以外のものを選り分けることも大事です。そのデータの信頼性はいかに? そのデータは本来の用途に使われているか? データの扱いは公平か? もし情報が不正に扱われている場合は法的措置も可能ですが、これもまた全体量と比べたら微々たるもの。1日に1万件の不正が行なわれているとして、公正取引委員会が調査しているのはそのうちのせいぜい2件でしょう。たとえ1日に1億件の不正が行われていたとしても、たったの2件しか調査できないことに変わりはありません。

Reference: Business Communication, Digiday

当記事はギズモード・ジャパンの提供記事です。

あなたにおすすめ

ランキング

ランキングをもっとよむ

注目ニュース

注目記事をもっとよむ

あなたにおすすめ