8月29日にフェイスブック(Facebook)は会員向けにEメール等で「データ使用ポリシー(data use policy)」の改定につき通知した。(筆者注1)(筆者注2)
この問題は、わが国では必ずしも体系的かつ正確に論じられているとは言いがたいし、さらにEUのタグ付け提案機能(tag suggestions)規制の実態、また犯罪捜査やテロリスト対策等の観点から見た人権問題の解析にいたっては皆無である。
さらなる問題は、本文を読まれて気がつくとおり、Facebook自体のビジネス・ポリシーのいい加減さである。顔認証の「オプトアウト」に関するユーザーの非活性化手順も2010年以降「入れたり・はずしたり」である。セキュリティ専門家でさえ戸惑うような頻繁な手順改定は、一般ユーザーの権利を完全に無視しているといって過言でなかろう。
なお、わが国でこれだけ普及しているFacebookの契約関係にユーザーはどれだけ利用規約やポリシー全体をどれだけ正確に理解していつであろうか。一例として青山学院大学法務研究科(法科大学院)教授 浜辺 陽一郎氏が「日本でFacebookを利用する法的リスクに関する諸問題~利用規約の準拠法、国際裁判管轄の定めはそのまま有効とは限らない 」(2011年4月18日掲載))が参考になるが、本文で述べたとおり、利用規約等は頻繁に改定されている。
また、Facebookのプライバシー使用ポリシー改定問題に関しては、ニューヨークタイムズのIT専門ブログ(Bits)が解説記事を載せ、その中で本年8月26日カリフォルニア北部地区連邦地裁でなされた集団訴訟の和解命令についても、広く問題点に言及している。
さらに、2012年8月10日の米国連邦取引委員会(FTC)がFacebookに対し、プライバシー設定を超える個人情報の共有に対する消費者の事前同意等具体的改善内容に関する最終和解(同意命令)についても本ブログで簡単に言及した。
限られた時間内にまとめたため、データ内容の正確度についてはなお自信がないが、この問題の重要性から見て急遽作業を行った。
今回は2回に分けて掲載する。
1.Facebookの自動顔認証技術導入拡大の経緯
(1)タグ付け提案機能に関するグローバルな提供開始
2010年12月15日、Facebookは自動顔認証機能による写真のタグ付け提案機能の提供を公表し、さらに約半年後の2011年6月8日に日本を含むほぼすべてのFacebook提供国で その利用が可能となった旨リリースした。
このタグ付け提案機能(tag suggestions)の効能はいかなるものであろうか。建前のみでいえば「写真タグづけとは、アップした写真に写っている人の名前をFacebook 上(検索画面)から選択して、写真上に登録して名前を表示させることを言う。具体的な機能は、①自動検索・グルーピング機能、②顔認識機能である」(ビジネスシーズアナリスト 鈴木英広氏の説明から抜粋)。
(2)海外のITセキュリティ企業の対応に関する解説
2013年2月4日、英国に本拠を置くグローバルなITセキュリティ企業”Sophos”は「Facebook、顔認識機能を再度有効に!写真のタグ付けの設定をご確認ください」と題し、次のような日本語解説記事を載せた。一部抜粋する。
*ユーザーがオプトアウトを希望していた場合は、Facebook により、ユーザーがタグ付けされたことが通知されます。しかし、そもそも、このタグ付け機能は、自分が誰であるかを知っていると主張しているにも関わらず、そのオン・オフを選択できないのです。
*この機能については、私自身を含め、不快感を覚える人が多くいました。この機能により、自分の同意がなくてもオンラインで自分が識別されてしまうことになります。よく知らない人でも、自分が誰であるかがわかってしまうのです。
*この顔認識機能については、Facebook が有効にしたり、無効にしたりと紆余曲折がありました。
*昨年(2012年)、Facebook は「技術的な改良を行うため」この機能を一時的に停止しましたが、今回復活することとなりました。」
2.Facebookの顔認証技術会社”Face.com”の買収と プライバシー侵害問題
2012年6月Facebookは顔認証技術会社”Face.com”を5,500万ドル(約53億3,500万円)~6,000万ドル(約58億2,000万円)で買収したことが報じられた。このような動きに対し、その真の目的等に関し、多くの関係機関から懸念の声が上がっている。
3.EUやドイツ、アイルランド等データ保護委員の懸念に対するこれまでの取り組み
(1) ドイツ・ハンブルグ州の情報保護・自由化委員事務局(HambBfDI)のFacebookのバイオ情報である顔認証技術に基づくプライバシー侵害問題への取り組み
EU加盟国は共通してGoogleやFacebookへの厳しい責任追及を行っているが、とりわけドイツは厳しい法的扱いを求めている。
ハンブルグ市情報保護・自由化委員事務局サイトで最近の取組み経緯情報を概観しておく。(なお、同サイトでは限られた範囲ではあるが、リリース文につき英訳化しているので、その旨も注記した)
A.2011年7月21日 HambBfDIはFacebookの利用規約と監督・規制等に関する
意見書を公表
B.2012年1月17日 HambBfDのFacebookの顔認証技術の法的分析およびISP
たるFacebookの責任問題の意見書を公表
C.2012年6月7日 Facebookに対する暫定的な法執行停止のプレスリリース
D.2012年8月15日 Facebookに対する調査手続きを再開する旨のプレスリリース(独語、英語)
E.2012年9月21日 連邦情報保護法(BDSG )第38条 権限にもとづく顔
認証に関する差し止め命令発布
F.2012年11月28日 Facebookの異議に対する回答文書
G.2013年2月7日 Facebookに対する行政手続きの開始プレスリリース
上記Dにつき2012年8月15日のニューヨークタイムズは「ドイツのプライバシー保護委員は、Facebookの新自動顔認証ポリシーに驚愕」と題し監督機関とFacebookの間の詳しいやりとりを紹介している。仮訳する。
2012年8月14日にドイツの個人データ保護監督当局は、ソーシャルネットワーキングの巨人Facebookがユーザーの同意なしに顔写真につき違法にメンバーの巨大なデータベースに収集したと述べ、顔認識技術に関する調査を再度開くことを公表した。
この問題は "個人データに関し重大な影響を持つ"ヨハネス·カスパー・ハンブルク情報保護・情報自由委員が述べた。
同委員は、2012年6月にその調査をいったん中断したが、そのデータ使用ポリシーを変更するためにFacebookを説得しようとする試みが失敗した後に、彼はそれを再度開くと述べた。
"我々は、Facebookにこの問題に関し繰り返し会っているが、個人データのための重大な意味を持つこの問題に協力を得ることができていない、"とカスパー氏はインタビューで語った。
FacebookのメンバーがFacebookにアップロードした写真に基づいて、人間の顔の写真のアーカイブを収集するため分析ソフトウェアの会社の使用することは、データ保護法上、人々が実際に彼らの明確な同意を与えることを必要とするヨーロッパの保護法上で問題があった。
この点に関し、Facebookはこのようなオプト・イン・システムを使用する代わりに、彼らはオプト・アウトをユーザーに求めた。
ハンブルクの保護規制機関は、Facebookに対し、ドイツで収集された顔写真のデータベースを破壊し、それが自分の顔の生体データに基づいて、デジタルファイルを作成する前に、メンバーの明示的な同意を得るために、そのWebサイトのポリシー内容を改訂することを求めた。
2012年9月21日に後述するとおり、EU内での顔認証技術機能に関するユーザーテンプレートを削除する旨伝えてきたことから、HambBfDIのウルリッヒ・クーン(Ulrich Kühn)は保護コミッショナーの技術部門がFacebookが顔認証データが完全にソースコードを見直し、完全に削除されたことを確認しようとしたが、彼はドイツ国内のデータについてのみ調査できないため、Facebookとの協議では、Facebookが実際に削除の確認と証拠を出すよう求めた。
この作業の途中でFacebookはイツの再検査者がチェックのため説明なしにソースコードの一部を違いなく送ってきたのみであったが、更なる追加情報にもとづき検査した結果、HambBfDIは間違いなくFacebookが削除したことの確認ができたと述べた。
これらの手続きを経て、結果としてHambBfDIはFacebookによりユーザの明らかな同意なしに集められ、格納された既存の顔認証データをすすんで保存する意図はないとして2013年8月に再度手続き再開したFacebookの顔認証技術に対する訴訟を2013年2月に取り下げた。Facebook幹部はドイツのデータ保護当局とソースコードの交換ついてはコメントは行わなかったが、EU内では当分の間、顔認証の技術を使用する計画はないと述べている。
(2)アイルランドの情報保護監督機関(Office of the Data Protection Commissioner:ODPC )におけるFacebookの監督面からのドイツとの協調的活動(筆者注3)
A.ODPCは他のEU加盟国を代表しつつ2012年7月、ODPCが2011年9月にまとめたFacebookアイルランド(FB-I)に対する1ダース以上のポリシーの改定やプライバシー保護改善にかかる具体的な勧告等詳細な検査報書をうけて行った再検査結果の報告書を公表した。ODPCの検査報告直後、Facebook Ireland Limitedは次回(2012年7月)のODPCの再監査に向け、米国やカナダ以外の国のユーザーとの契約義務にもとづき改定作業を約した。
また、Facebookは2011年11月米国連邦取引委員会(FTC)との間で取り交わした個人情報の共有化にかかるユーザーからのクレームの集団訴訟の和解をうけた包括的プライバシー・プログラムの実行義務を負うことになった。
ODPCの監査は、データ保持やその情報開示に関する180以上の苦情をカバーするものであった。これらの苦情のうち22はウイーン大学法学部の学生でマックス・シュレム(Max Schrems)が主導したもので、同グループは他の苦情と同様にFacebookはEU法に基づきデータ・コントローラーに対するユーザーの要求に応じすべての保有情報を開示していないというものであった。
監査への対応の一部として、Facebookは同社が保有するユーザー・データにつきユーザーによる閲覧を可能とするダウンロード・ツールを提供することに同意した。しかしながら、そのダウンロード・ツールは各ユーザ-の個人プロファイルからのみダウンロードが可能であった。
欧州Facebookのポリシー責任者であるリチャード・アラン(Richard Allan)は、ユーザーの活動ログのような他のデータと結合されるフェイスブックの「新たなタイムライン機能」(筆者注4)は、他の該当するサービスよりアクセス制御にかかる包括的なセットを提供すると述べた。Facebookはそのプロファイル上で外部ウェブサイトからコンテンツを共有する際に使われるソーシャル・プラグインである「Like(いいね)」ボタンの使用記録に関する手順変更につき合意した。(筆者注5)
すなわち、監査結果においてFacebookは現在10日以内記録しているプラグインのログのIPアドレスの最後のoctet(8バイト)を削除することにした。この点は、広告目的でのFacebookの利用を規制することにある。
さらに、ODPCはFacebookの顔認証機能につき批判した。すなわちそれは自動写真タグ機能のためにユーザーの顔写真にかかる生態認証情報をFacebookが格納することである。この点につきODPCの指摘のもとづきFacebookは早ければ2012年1月の第1週に「tag suggestions」機能を削除するというものであった。
ところで、前述の報告書の概要部分を読むとFacebookの”ODPCのbest practice”を求める勧告、特に顔認証データを削除することに同意したことから、改善につき勧告した以上の結果が得られたと評価している。(ODPCの勧告内容に対し4週間以内に不遵守のときは罰金額は最高10万ユーロ(約1,290万円)というものであった)
Facebookの国際本部があるアイルランドの保護機関の副コミッショナーであるゲイリー・デイビス(Gray Davis)(筆者注6)が公表した内容は、2012年9月21日FacebookアイルランドがEU内のすべての顔認証データ機能をオフにし、また10月15日までに既存のユーザーテンプレートを削除するというものであった。
これに関し、FacebookはEU内での機能オフに伴い、5ヶ月間米国内でも顔認証技術の使用は停止していたが、2013年2月はじめに米国内で再開した。その内容は、停止前となんら変わらないように見える。
なお、ここで筆者が言いたいのは監督機関としてのミッションに対する責任感である。わが国では個人情報保護法施行されてすでに10年が経過したが、本年5月31日にマイナンバー法案(行政手続における特定の個人を識別するための番号の利用等に関する法律)が成立し、その問題と絡んで独立性をもった第三者機関の設置(第6章 特定個人情報保護委員会)が定められた。しかし、第6章の内容をもってEU加盟国や米国のFTC 等と同レベルの機能面で法執行体制が取れるかどうかという問題は別問題であろう。本ブログでは、この問題にこれ以上立ち入らないが、このEU各国の実態の中身を詳しく読むだけでもわが国の課題は理解できよう。
3.本年8月末にドイツHambBfDIが指摘するFacebookのプライバシーポリシーに顔認証に関する条項を加えたことへの対応
2013年8月30日のオーストラリアのIT専門メディアCSO は次のように報じている。
「ハンブルグHambBfDIのカスパー氏は、Facebookの顔認証技術に関し本年2月に裁判手続きを取り下げたが、同氏は今回のFacebookのポリシー改正につき次のように述べている。
*もし仮に再度ドイツ内でFaebookが顔認証技術を実装しようとすれば、明らかに違法である。SNSは常に明確性とユーザーのインフォームド・コンセントに基づくべきであり、ユーザーに対しオプト・イン手続きを提供すべきである」
4.Facebookのプライバシー使用ポリシー改定問題に関するニューヨークタイムズのIT専門ブログが解説記事とその中で引用された本年8月26日カリフォルニア北部地区連邦地裁でなされた集団訴訟の和解命令
(1)Facebookのプライバシー使用ポリシー改定問題に関するニューヨークタイムズのIT専門ブログ(Bits)の内容(仮訳)
Facebookは、2013年9月5日にプライバシー・ポリシーの改定を制定する計画を進めている旨発表した。しかし、ソーシャル・ネットワーク上で難しいプライバシー・コントロールを上手にナビゲートすることは、いささかも簡単にならないであろう。
「新しいデータ使用ポリシー(data use policy)」と「権利と責任に関する声明文言(statement of rights and responsibilities)」の内容のほとんどは、Facebookがユーザーの個人情報について従来から行っていることについてより明確に説明したものである。また、私たちが赤線を引いた部分のアップデート箇所は、今日存在する製品サービスについて、よりよく説明する意味で当社のやり方である」とFacebookのプライバシー問題の副顧問弁護士であるエドワード・パルミエリ氏(Edward Palmieri)はインタビューで述べた。
ある意味では、Facebookは2億人のユーザに関するさまざまな個人的なデータを広告を提供するのに使用することをより明確にしている。それらのデータには、彼らが何が好きであること、それらがどう広告やアプリケーションと対話するか、そしてその他の商品購買層を推論させるデータを含む。
また、Facebookは、彼らの友人が写真で彼らにタグ付けをするのを助けるのに顧客のプロフィール写真を使用するかもしれないと述べた。 それらの写真は既に公開済であるが、Facebookは、現在、写真がサービスに伴いアップロードされるとき、顔を認識するのを助けるのにそれらを使用しません。 パルミエリ氏は「これで、人々にとってFacebookの製品はより良くなるであろうし、かつユーザーは、なお、写真利用につきオプト・アウトができる」
しかし、また、パルミエリ氏はFacebookは特定のプライバシーコントロールにかかる情報を故意に削除している。 そのかわりに、Facebookが、他の様々なページにユーザを送るほうがよい代わりにマンツーマン広告等の関し、プライバシーの問題に関してより学習しかつどのようにコントロールを調整するかにつきを決定した。
すなわち、例えば、データ使用ポリシーでは、広告宣伝方法としてユーザーのサイト名前と活動を友人に送ることをオプト・アウトするというコントロールへの直接的な手立てを提供しないこととした。また、今回Facebookは自身の「own ”Facebook and Privacy ”page」でプライバシーの設定にかかる迷路の単純化に関しては何も行わなかったし、タスクにおいてGraph検索機能は特に役立たせていない。
ユーザによるプライバシー・コントロールは少なくとも6つの異なったメニューにまだ埋められている。 うさぎのちいさな穴で突入するには、自分のものとしてあなたのニュース給送ページの左上コラムの次の小さいロックアイコンをクリックしてください。
パルミエリ氏は、Facebookが補償なしにまたはオプとアウトを認めずに広告にユーザー顧客の個人情報を使用したとする同社に対し2011年に起こされた集団訴訟につき、本年8月26日の2,000万ドルの和解を受けて1つの条項をポリシーに追加したと述べた。。
すなわち、旧使用ポリシーでは「あなたは、あなたの名前とプロフィールの写真がどのようにFacebookによって提供されたり、または高められた商業または、スポンサーされたか、あなたが好きであるブランド等に関連する内容に関係しているかもしれない場合を制限するために、プライバシー設定を使用できる」と、明らかに記載していた。
Facebookの新しいポリシー文言は反対の立場から書き始める。「あなたは、当社にあなたの名前、プロファイル写真、内容、商業、スポンサーや当社が提供したり高めることに関係する内容の使用につき許可を当社にください」と会社は改定し、「それを使用するとき、あなたが内容か情報のために特定の聴衆を選んだなら、当社は、あなたの選択を尊重するつもりである」と述べている。
パルミエリ氏は、2つのバージョンが同じものであると述べた。
それは、ルイス・キャロルの「鏡の国のアリス」の中で擬人化された卵であるハンプティ・ダンプティ(Humpty Dumpty)が威張りくさっていった言葉を聞き手に思い起こさせる。すなわち、ハンプティ・ダンプティは若いアリスに「私が言葉を使うとき、私が選んだ言葉だけを使うのだ。それ以上でも以下でもなく」を。Wikipediaのハンプテイ・ダンプテイの挿絵から引用
**********************************************************
(筆者注1)本文を読むまえに、8月30 日IT media記事「Facebook、ユーザーデータ利用に関する規約改変を発表」を読まれたい。また、 「Facebook規約文書の改定案」の内容も丁寧に読まれたい。果たしてここで言わんとする意図がどこまで読み取れようか。
なお、本ブログ本文と緊密に関係する「写真を含むタグ付け」について改正プライバシーポリシー(案)の内容を一部引用しておく。
*リンクとタグ
誰でも記事にリンクを追加することができます。リンクは、インターネット上のコンテンツへの参照先で、ウェブサイトからFacebookページやFacebookのタイムラインまで、すべてのコンテンツが含まれます。たとえば、ユーザーが記事を書いている場合に、紹介するブログへのリンクや、そのブロガーのFacebookタイムラインへのリンクを含めることができます。別のユーザーのタイムラインへのリンクをクリックしたユーザーは、許可されたすべての情報を見ることができます。
タグは、タグ付けした人にユーザーの記事を紹介して、タイムラインに追加するようすすめる、他のユーザーのタイムラインへの特別な種類のリンクです。タグ付けした人が記事の共有範囲に含まれていない場合は、その記事が表示されるように共有範囲に追加されます。タグ付けは誰でも、どんなコンテンツに対しても実行できます。タグ付けされた人とその友達は、ニュースフィードや検索などで、対象のコンテンツを見ることができるようになります。
自分がタグ付けされた記事をタイムラインに表示するかどうかを選択できます。記事ごとに承認することも、友達からの記事をすべて承認することもできます。タイムラインで、後から承認を取り消すこともできます。
他の人にタグ付けされたくない場合は、その旨を伝えることをおすすめします。それでもタグ付けされてしまう場合は、そのユーザーをブロックすることができます。これにより、その人にタグ付けされることはなくなります。
(筆者注2)フェイスブックのデータ使用ポリシーの確認手順を見ておく。
データの使用に関するポリシー →Facebookが受け取る情報 →他の人と共有した情報 →
ユーザーの氏名、プロフィール写真、カバー写真、性別、ネットワーク、ユーザーネーム、ユーザーIDは、すべてのユーザーに公開することを選択した情報と同様に扱われます。詳細はこちら。 →常に公開されている情報 →プロフィール写真とカバー写真
友達や家族がユーザーを認識するのに役立ちます。これらの写真を公開することに抵抗を感じる場合は、いつでも削除することができます。ユーザーが写真を削除しない限り、新しいプロフィール写真やカバー写真を追加した場合には、古い写真はプロフィール写真またはカバー写真のアルバム内に公開された状態で残ります。
(筆者注3)この項の説明は、2011年12月22日pcworld.idg.com.auの記事「Facebook commits to changes following critical Irish audit」から一部抜粋、引用した。
(筆者注4)新機能である「タイムライン・フューチャー(特性)」について補足する。(参照URL:http://f-
navigation.jp/manual/function/timeline_about.html)
新しいプロフィールページ・タイムラインは言うなれば「自分史」です。自分がFacebook上で投稿した出来事、アップした写真やチェックインしたスポットなどはもちろん、大学の卒業や、結婚といったライフイベント、いままで聞いた音楽や観た映画、作った料理など、自分に関するありとあらゆる事柄がタイムラインに積み重なっていきます。いままで自分の過去の投稿を見るには、ひたすらウォールを遡っていかなくてはなりませんでした。しかし、タイムライン上では、過去の出来事にもあっというまにジャンプすることができます。例えば二ヶ月前に自分がランチでどんなものを食べていたのか、一年前にどんなところに旅行に行っていたのか、過去にあなたがシェアした投稿が、タイムラインでは一目瞭然です。
(筆者注5)ソーシャル・プラグインとは、「いいね!」ボタンをフェイスブック外部のホームページやブログに設置することで、よりたくさんのつながりをもつことができる機能をいう。なお、次のURLにソーシャル・プラグインの設定手順が説明されている。Http://www.facebook-japan.com/iine.html
(筆者注6) 現時点の副コミッショナーはJohn O'Dwyer氏である。ODPCの組織図参照。
********************************************************Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
0 件のコメント:
コメントを投稿