Facebook などのテクノロジー大手には、ユーザーデータを保護する義務があります。

マザーボードにリークされたレポートによると、Facebookは自社が所有する個人データについて説明責任を果たせないことが明らかになった。これには、データが何に使用され、どこに保管されているかといった情報も含まれる。

この情報は、Facebookの広告・ビジネスプロダクトチームのプライバシーエンジニアが昨年、同社の経営陣向けに作成したレポートから得たものです。このレポートでは、インド、南アフリカ、その他の国々における新たなプライバシー法など、増加するデータ利用規制へのFacebookの対応方法について詳述しています。

報告書の著者は、19億人のユーザーの個人データが完全に失われたソーシャルプラットフォームの詳細を説明しています。

Facebookは個人データに関して無知

エンジニアらは、国民のデータをどのように扱うかという点で各国との約束を守ることは難しいだろうと、このソーシャル大手に警告した。

当社システムによるデータ利用について、十分なレベルの管理と説明可能性が確保されていないため、「XデータをYの目的に使用しない」といった、統制されたポリシー変更や対外的なコミットメントを自信を持って行うことができません。しかし、これはまさに規制当局が私たちに期待していることであり、ミスや虚偽表示のリスクを高めています。

Facebookにとってユーザーデータの管理が大きな問題となっているのは、データの追跡がFacebookの「オープンフォーム」システムの一部ではないためです。Facebookは、ファーストパーティユーザーデータ、サードパーティユーザーデータ、そして機密データを融合させる「オープンボーダー」アプローチを好んでいます。報告書の著者は、インクの瓶を湖に注ぎ、その後再びインクを瓶に戻そうとする、という比喩を用いています。

この話を聞くと、様々な言葉が頭に浮かびます。まず挙げられるのは「無能」でしょう。しかし、「無能」は経験不足を意味し、創業18年のFacebookにはそれが欠かせません。世界最大級の企業の一つであるFacebookは、この問題に最初から対処することに何の問題もないはずです。

報告書の著者は、湖に浮かぶインクという比喩を用いています。しかし、物理的なインクとデジタルインクは全く異なるものです。インクを構成する個々の原子にラベルを付けることはほぼ不可能ですが、デジタルインクを構成するビットにラベルを付けることは理論的には簡単です。報告書は解決策を提示していますが、なぜ最初からそれを実行しないのでしょうか？

それは無能ではなく、無関心です。

Facebookに名を残す

Facebookの最大の目的は利益を上げることです。その点では他の企業と何ら変わりません。Facebookが他の企業と異なるのは、ほぼユーザーデータ市場のみに特化している点です。Facebookにとっては幸運なことですが、ユーザーにとっては残念なことに、「データ」という言葉には幅広い意味が込められています。

「ユーザーデータ」という言葉を聞くと、それがどれほど広範囲に及ぶのかを忘れてしまいがちです。第一子の名前。COVID-19パンデミック中にどう感じたか。6月の朝食は何を食べましたか？どんな音楽、テレビ、その他のメディアが好きか嫌いか。ジェフ・ゴールドブラムについてどう思っているか。これらすべてが、事実上、あなたのデジタル版なのです。Facebookは、マーケティングのためだけに、これらのデータをすべて消費しています。

同社はユーザーデータを適切に保管・保護する義務を負っているだけでなく、それを同社の中核理念の一つとすべきです。この報告書やFacebookに対する数え切れないほどの苦情は、同社がユーザーの個人データの安全性について全く責任を負っていないことを如実に示しています。

Facebook はユーザーデータの適切な分類、ラベル付け、取り扱いに関して無知であることが明らかになっているが、他のテクノロジー企業では何が漏洩されていないのか疑問に思わざるを得ない。

意図しない結果

他のテクノロジー大手に関して言えば、Appleも早急に解決すべき問題を抱えている。先月、Appleが法執行機関を装ったハッカーに個人情報を漏らすよう仕向けられたとの報道があった。Discord、Google、Snap、Twitterなど、他の複数の企業もこの罠にかかった。

残念ながら、このユーザーデータの盗難は、想像を絶する現実の結果をもたらします。

これらの企業から盗まれたデータは、ハッカーが未成年者を性的に脅迫する機会を与えたという報告があります。盗まれたデータ量はごくわずかでしたが、それでもハッカーが被害者への攻撃を実行するには十分でした。ハッカーが入手した情報は、女性や未成年者との交友関係を築くために利用されました。そして、ハッカーは個人に性的に露骨な写真を提供するよう促しました。

加害者はこれらの写真を用いて個人を脅迫しました。被害者は様々な要求に応じるよう圧力を受けました。例えば、腕に加害者の名前を刻むよう説得されたケースもありました。

この話は残酷ですが、感情に訴えかけるものではありません。被害者の経験は紛れもなく悲惨であり、加害者は法の及ぶ限りの、あるいはそれ以上の罰を受けるに値します。とはいえ、この記事を執筆中にこの虐待事件が発覚したのは残念です。これは、テクノロジー企業がユーザーデータを保護しないとどうなるかを示す教訓となるからです。

ユーザーデータに関する最終的な考察

では、解決策とは何でしょうか？現時点では、政府による規制を求めるのは反動的なように思えます。同時に、マーク・ザッカーバーグが議会で演説した時のことを覚えている人は、ワシントンがテクノロジー全般についていかに嘆かわしいほど無知であるかを思い出すかもしれません。今のところ、答えは単純明快です。テクノロジー企業は、ユーザーデータの保護に関して真の倫理観を身につける必要があります。Facebookのような企業は、自分たちが保有しているものが金銭的価値を超えたものであることを認識する必要があります。

テクノロジーの巨人たちは、数十億人の人々のデジタルの精神を握っている。そろそろ、彼らもそれにふさわしい行動をとるべきだ。