個人データの収集：WIRED完全ガイド

インターネットでは、ユーザーが無料で提供する個人データが貴重な商品へと変貌を遂げます。人々が投稿する子犬の写真は、機械をより賢くする訓練となります。Googleに尋ねる質問は、人類の根深い偏見を暴き出します。そして、位置情報の履歴は、どの店舗が最も多くの買い物客を惹きつけるかを投資家に教えます。家で映画を見るといった一見無害に見える行動でさえ、膨大な情報を生み出し、あらゆる企業が後々手に入れる宝物となります。

個人データはしばしば石油に例えられます。かつて化石燃料が企業を動かしたように、個人データは今日の最も収益性の高い企業を動かしています。しかし、個人データが収集される消費者は、自分の情報がどれだけ収集され、誰がそれを閲覧し、どれほどの価値があるのかについて、ほとんど知らない場合が多いのです。毎日、あなたが存在すら知らないかもしれない何百もの企業が、あなたに関する情報を収集しています。中には、より個人的な情報も含まれています。その情報は、学術研究者、ハッカー、法執行機関、そして外国、さらにはあなたに商品を売ろうとする多くの企業へと流れていく可能性があります。

「個人データ」とは何ですか?

インターネットはプライバシーの大きな悪夢のように思えるかもしれませんが、スマートフォンを窓から投げ捨てるのはまだ早いです。「個人データ」というのはかなり漠然とした包括的な用語ですが、その意味を正確に理解するには、少し理解を深める必要があります。健康記録、社会保障番号、銀行口座の情報は、オンラインで保存される最も機密性の高い情報です。ソーシャルメディアの投稿、位置情報、検索エンジンのクエリも個人情報を暴く可能性がありますが、クレジットカード番号のように収益化される方法とは異なり、通常は収益化されません。その他の種類のデータ収集は別のカテゴリーに分類されますが、驚くようなものもあるかもしれません。スマートフォンをタップしたり操作したりする独特の動作を分析している企業がいくつかあることをご存知ですか？

こうした情報はすべて、幅広い同意に基づいて収集されます。データが意図的に提供される場合もあれば、ユーザーが何も提供していないことに全く気づいていない場合もあります。多くの場合、何かが収集されていることは明らかですが、具体的な内容は目に見えないように隠されていたり、分かりにくい利用規約の中に埋もれていたりします。

誰かが23andmeに唾液の入った小瓶を送った場合、何が起こるか考えてみてください。その人は自分のDNAをゲノミクス企業と共有していることを認識していますが、それが製薬会社に転売されることに気づいていないかもしれません。多くのアプリはあなたの位置情報を利用してカスタム広告を表示しますが、ヘッジファンドがその位置情報データを購入し、あなたがよく訪れる小売店を分析する可能性があることを必ずしも明確に示していません。同じ靴の広告がウェブ上で自分を追跡しているのを見たことがある人は、自分が追跡されていることを知っているでしょう。しかし、企業がクリックだけでなく、マウスの正確な動きまで記録している可能性があることを理解している人は少ないでしょう。

これらのシナリオのいずれにおいても、ユーザーは企業にデータを収益化させる代わりに、何らかの見返りを得ていました。自分の遺伝的祖先について知ったり、モバイルアプリを使ったり、パソコンから最新の靴のトレンドをチェックしたりといった特典を得ていました。これはFacebookやGoogleが提供するものと同じようなものです。Instagram、Messenger、Gmail、Googleマップといった彼らの主要製品は無料です。ユーザーは個人データを支払い、そのデータはターゲティング広告に利用されます。

私の個人データを誰が買ったり、売ったり、交換したりするのでしょうか?

提供するデータと得られるサービスとのトレードオフは、その価値があるかどうかは別問題ですが、あなたに何も提供することなく、あなたの情報を収集、分析、販売する別のビジネスがあります。それがデータブローカーです。これらの企業は、不動産記録、結婚許可証、裁判記録など、公開されている情報源から情報を収集します。また、医療記録、閲覧履歴、ソーシャルメディアのつながり、オンライン購入履歴なども収集することがあります。居住地によっては、データブローカーが陸運局（DMV）からあなたの情報を購入することもあります。運転免許証をお持ちでない場合は、小売店もデータブローカーに情報を販売しています。

データブローカーが収集する情報は不正確であったり、古くなっている可能性があります。それでも、企業、マーケティング担当者、投資家、そして個人にとって非常に価値のあるものとなり得ます。実際、インタラクティブ広告協会（IAB）によると、2018年にはアメリカ企業だけでも消費者データの取得と分析に190億ドル以上を費やしたと推定されています。

データブローカーは、虐待者やストーカーにとって貴重なリソースでもあります。ドクシング（個人情報を本人の同意なしに公開する行為）は、多くの場合、データブローカーの存在によって可能になっています。Facebookアカウントは比較的簡単に削除できますが、これらの企業に情報を削除してもらうのは時間がかかり、複雑で、時には不可能なこともあります。実際、その手続きは非常に煩雑であるため、代行サービスに料金を支払って削除してもらうことも可能です。

このように個人データを収集・販売することは完全に合法です。カリフォルニア州やバーモント州など、一部の州では最近、データブローカーへの規制強化に動き出しましたが、依然として規制はほぼ整っていません。公正信用報告法（FCRA）は、信用、雇用、保険などの目的で収集された情報の使用方法を規定していますが、一部のデータブローカーは法の網をかいくぐっていることが発覚しています。2012年には、「人物検索」サイト「Spokeo」が、職歴調査などの目的で自社製品を宣伝したことでFCRAに違反したとして、FTC（連邦取引委員会）と80万ドルで和解しました。また、デジタル電話帳のようなものだと自称するデータブローカーは、そもそもこの規制に従う必要はありません。

ソーシャルメディア企業がユーザーに関するデータを収集する方法を規定する法律もほとんどありません。米国には現代的な連邦プライバシー規制が存在せず、政府は多くの場合、令状なしで企業が保有するデジタルデータを合法的に要求することさえ可能です（ただし、最高裁判所は最近、憲法修正第4条に基づく保護範囲を、限定的な位置情報データにまで拡大しました）。

幸いなことに、オンラインで共有する情報は、地球規模の有用な知識の蓄積に貢献します。様々な学問分野の研究者が、ソーシャルメディアの投稿やその他のユーザー生成データを研究し、人類についてより深く理解しようとしています。セス・スティーブンス＝デイビッドウィッツは著書『Everybody Lies: Big Data, New Data, and What the Internet Can Tell Us About Who We Really Are』の中で、人間はGoogleのようなサイトでは従来の調査よりも正直になるケースが多いと主張しています。例えば、ポルノを見ることを認める人は20%未満ですが、Googleでは「天気」よりも「ポルノ」の検索が多いそうです。

個人データは、人工知能（AI）研究者による自動プログラムの学習にも利用されています。世界中のユーザーが毎日、YouTube、Facebook、Instagram、Twitterなどのサイトに数十億枚もの写真、動画、テキスト投稿、音声クリップをアップロードしています。これらのメディアは機械学習アルゴリズムに送られ、写真に何が写っているかを「見分ける」ことを学習したり、投稿がFacebookのヘイトスピーチポリシーに違反しているかどうかを自動で判断したりします。あなたの自撮り写真は、文字通りロボットをより賢くしているのです。おめでとうございます。

個人データ収集の歴史

人類は数千年にわたり、世界に関するデータを収集・処理するためにテクノロジー機器を活用してきました。ギリシャの科学者たちは、紀元前150年という古くから占星術のパターンを解明するために、アンティキティラ島の機械と呼ばれる複雑な歯車機構を備えた「最初のコンピュータ」を開発しました。それから2000年後の1880年代後半、ハーマン・ホレリスは、1890年の米国国勢調査のデータ処理に役立ったパンチカード式の集計機を発明しました。ホレリスは発明品を販売するために会社を設立し、後にその会社は現在のIBMへと合併しました。

1960年代までに、米国政府は強力なメインフレームコンピュータを用いて、ほぼすべての米国人に関する膨大なデータを保存・処理していました。企業もまた、消費者の購買習慣などの機密情報を分析するためにこれらのマシンを利用していました。どのようなデータを収集できるかを規定する法律はありませんでした。特に、技術革新が前例のないプライバシー侵害を引き起こしていると主張したヴァンス・パッカードの1964年の著書『裸の社会』の出版後、過剰な監視に対する懸念がすぐに高まりました。

翌年、リンドン・ジョンソン大統領政権は、数百に及ぶ連邦データベースを一つの中央集権的な国家データバンクに統合することを提案した。議会は監視の可能性を懸念し、これに反対し、プライバシー侵害に関する特別小委員会を設置した。当時ニューヨーク・タイムズ紙が報じたところによると、議員たちは「数百万人のアメリカ人の統計を集約する」データバンクが「彼らの秘密の生活を侵害する可能性がある」と懸念した。この計画は実現しなかった。その代わりに、議会は1970年の公正信用報告法、1974年のプライバシー法など、個人データの利用を規制する一連の法律を可決した。これらの規制は透明性を義務付けたものの、政府や企業による情報収集そのものを阻止する効果はなかったと、技術史家のマーガレット・オマラ氏は主張する。

1960年代末、MITの政治学者イティエル・デ・ソラ・プール氏をはじめとする一部の学者は、新たなコンピュータ技術が個人データの収集をさらに侵襲的に促進し続けるだろうと予測しました。彼らが思い描いた現実は、多くのアメリカ人がインターネットを使い始めた1990年代半ばに形になり始めました。しかし、ほぼすべての人がオンラインになる頃には、デジタルデータブローカーをめぐる最初のプライバシー争いの一つが既に始まっていました。1990年、ロータス社と信用調査会社エキファックス社が提携し、「Lotus MarketPlace: Households」というCD-ROMマーケティング製品を開発しました。この製品には、1億2000万人以上のアメリカ人の氏名、収入範囲、住所などの情報が収録されていると宣伝されていました。これはユーズネットなどのデジタルフォーラムでプライバシー擁護派の間でたちまち大きな騒動となり、3万人以上がロータス社に連絡を取り、データベースの利用停止を求めました。最終的には、リリースされる前にキャンセルされました。しかし、このスキャンダルは、他の企業が将来、膨大な消費者情報データセットを作成することを阻止することはできませんでした。

数年後、広告はウェブに浸透し始めました。当初、オンライン広告はほぼ匿名のままでした。ウィンタースポーツを検索すればスキーの広告は目にしたかもしれませんが、ウェブサイトはあなたの本当の身元を突き止めることができませんでした。（WIREDのオンライン版であるHotWired.comは、1994年にAT&Tのキャンペーンの一環として初めてバナー広告を掲載したウェブサイトでした。）そして1999年、デジタル広告大手のDoubleClickが、巨大データブローカーのAbacus Directとの合併によって広告の匿名性を解除しようとしたことで、プライバシースキャンダルが巻き起こりました。

プライバシー保護団体は、DoubleClickがデータブローカーによって収集された個人情報を利用し、実名に基づいたターゲティング広告を展開していた可能性があると主張しました。彼らは連邦取引委員会に申し立てを行い、この行為は違法なトラッキングに該当すると主張しました。その結果、DoubleClickは2006年に損失を出してDoubleClickを売却し、Network Advertising Initiative（NAI）が設立されました。NAIは、オンライン広告の基準を策定する業界団体であり、個人データが収集される際に企業に通知することを義務付けています。

しかし、プライバシー擁護派の懸念はついに現実のものとなりました。2008年、GoogleはDoubleClickを正式に買収し、2016年にはプライバシーポリシーを改訂して個人を特定できるウェブトラッキングを許可しました。それ以前は、GoogleはDoubleClickの閲覧データをGmailなどのサービスから収集する個人情報とは別に保管していました。今日、GoogleとFacebookはあなたの名前に基づいて広告をターゲティングできます。まさに20年前に人々がDoubleClickに危惧していたことです。それだけではありません。ほとんどの人がスマートフォンなどの追跡デバイスをポケットに入れて持ち歩いているため、これらの企業をはじめとする多くの企業が、私たちがどこへ行っても追跡できるのです。

個人データ収集の未来

現在、個人情報は主にパソコンやスマートフォンの画面を通して収集されています。今後数年間で、スマートスピーカー、検閲機能付き衣類、ウェアラブル健康モニターなど、膨大なデータを消費する新しいデバイスが広く普及するでしょう。これらのデバイスの使用を控えている人でさえ、街角に設置された顔認識機能付き監視カメラなどによってデータが収集される可能性が高くなります。多くの点で、この未来はすでに始まっています。テイラー・スウィフトのファンは顔データを収集され、Amazon Echoは何百万もの家庭で盗聴されています。

しかし、このデータで溢れかえる新たな現実をどう乗り越えていくか、私たちはまだ決めていません。大学が10代の志願者をデジタルで追跡することを許可すべきでしょうか？健康保険会社にインスタグラムの投稿を監視させたいと本当に思っているのでしょうか？政府、芸術家、学者、そして市民は、これらの疑問をはじめ、様々な問題について考えていくことになるでしょう。

そして科学者たちが人工知能の可能性の限界を押し広げるにつれ、少なくとも人間から来たものではないという点で本物ですらない個人データの意味を理解することも学ぶ必要があるだろう。例えば、アルゴリズムはすでに他のアルゴリズムのトレーニング用に「偽の」データを生成している。いわゆるディープフェイク技術により、プロパガンダやデマを流布する者はソーシャルメディアの写真を利用して、実際には起こらなかった出来事を描写した動画を作ることができる。AIは現在、誰にも属さない何百万もの合成顔を作成し、盗まれた個人情報の意味を変えてしまう。こうした偽造データはソーシャルメディアやインターネットの他の部分をさらに歪める可能性がある。Tinderでマッチした相手やInstagramでフォローした人が本当に存在するのかどうかを見分けようとすることを想像してみてほしい。

データがコンピューターによって捏造されたものであれ、人間によって作成されたものであれ、最大の懸念事項の一つは、その分析方法にあります。どのような情報が収集されるかだけでなく、それに基づいてどのような推論や予測が行われるかが重要です。個人データは、例えば医療給付を継続すべきか、保釈されるべきかといった、極めて重要な決定をアルゴリズムによって下すために利用されます。こうした決定は容易に偏りが生じる可能性があり、研究者やGoogleなどの企業は現在、アルゴリズムの透明性と公平性を高めるために取り組んでいます。

テクノロジー企業も、個人データの収集を規制する必要があると認識し始めている。マイクロソフトは顔認識の連邦規制を求め、アップルのティム・クックCEOはFTC（連邦取引委員会）が介入し、すべてのデータブローカーが登録を必要とする情報センターを設置すべきだと主張した。しかし、大手テクノロジー企業の主張のすべてが誠実なものではないかもしれない。2018年夏、カリフォルニア州は厳格なプライバシー法を可決した。この法律は、連邦法がこれを置き換える場合を除き、2020年1月1日に発効する。アマゾン、アップル、フェイスブック、グーグルなどの企業は現在、カリフォルニア州法の施行に先立ち、2019年に議会が新たに、より緩いプライバシー法を可決するよう働きかけている。議会が分裂している状況でも、議員たちはプライバシー問題で足並みを揃えることができる。大手テクノロジー企業の精査は、与野党双方にとって重要な課題となっているのだ。

一部の企業や研究者は、政府が個人データを保護するだけでは不十分だと主張しています。消費者は自らの情報を所有し、それが利用された際には報酬を受け取る必要があるのです。MindsやSteemitといったソーシャルネットワークは、ユーザーがコンテンツを共有したりプラットフォームを利用したりした際に、暗号通貨で報酬を与える実験を行っています。また、銀行取引などのデータを共有することと引き換えに報酬を支払う企業もあります。しかし、個人が所有権を取り戻せるようにしたとしても、個人データの収集に伴うプライバシーの問題がすべて解決するわけではないでしょう。また、これは問題の捉え方として間違っているかもしれません。むしろ、そもそも収集を制限し、企業にターゲティング広告のビジネスモデルから完全に撤退させるべきかもしれません。

個人データ収集の未来を予測する前に、現状をより深く理解する必要があります。ケンブリッジ・アナリティカからGoogleの不透明な位置情報追跡に至るまで、近年相次いで明るみに出たプライバシースキャンダルは、ユーザーが自分の情報がどのように売買され、取引され、共有されているかを未だに全て把握していないことを示しています。消費者が、知らず知らずのうちに自らが関わっているエコシステムを真に理解するまでは、そもそもこの問題に取り組むことはできません。

もっと詳しく知る

Googleを自らの危機から救うためのプライバシー闘争
Googleの広大なプライバシー機構には、数千人の従業員と数十億ドルの累積投資が含まれています。しかし、同社は依然として巨大広告企業であり、基本的にはユーザーから収集した個人データを収益化することで利益を上げています。しかし、Googleは透明性とデータ保護に関する業界標準の策定においても主導的な役割を果たしてきました。Googleの12人以上のプライバシー担当従業員がWIREDの取材に対し、仕事の矛盾をどのように捉えているかを語り、より大きな利益を得るためにプライバシー保護を犠牲にしなければならないという社内からの圧力はないと断言しました。
警察による顔認識技術の利用を規制する規則はほとんどない。
あなたが保有する最も機密性の高い個人データの一つは、決して隠されているわけではない。それはあなたの顔だ。この問題は公民権活動家の間で論争の的となっており、特にAmazonは、この技術、特に法執行目的での利用をめぐって、自社の従業員からも批判を受けている。しかしながら、2つの州を除いて、顔認識技術の利用を規制する法律はほとんど存在しない。
通信事業者は位置情報データの販売を停止すると誓った。果たして本当に
販売されるのだろうか？ 2018年、米国の通信事業者は、顧客の位置情報データが疑わしい第三者の手に渡っていたことをジャーナリストが発見したことを受け、その販売を停止すると約束した。それからわずか1年も経たないうちに、同じ通信事業者が再び同じことをしていたことが発覚した。今、問題は連邦通信委員会（FCC）がこの問題にどう対応するかだ。FCCには通信事業者によるこの種の情報の販売を違法とする権限があるが、この法律が位置情報データにも適用されるかどうかについては今のところ明言していない。当面は、消費者はベライゾン、スプリント、Tモバイル、AT&Tの約束を額面通りに受け取るしかない。
データを仮想通貨で売ってみた。いくら稼いだか、ここに記す。
新たな波が押し寄せ、魅力的なメッセージを売りつけている。ユーザーは自分のデータを所有し、その価値の一部を受け取るべきだ。広告会社やデータブローカーに無料で収益化させるのではなく。こうしたアプリに登録すると、購入者が直接連絡を取り、銀行取引、病歴、スマートサーモスタットの変動といった情報と引き換えに仮想通貨トークンを提供する。
2019年のプライバシー法の対決に備えよ。Amazon
、Apple、Facebook、Googleといった企業は、2019年に連邦デジタルプライバシー法の制定を強く推進しているが、それは必ずしも善意からではない。昨年夏、カリフォルニア州議会は画期的なプライバシー法案を可決し、2020年1月1日に施行される予定だ。巨大テック企業は現在、この法律を覆し、より業界に有利な連邦法の制定を目指して競い合っている。議会は政治的に分裂しているものの、合意に至る可能性は高い。巨大テック企業の統制は、超党派の課題となっている。
スマートフォンの選択がローンの可否を左右する可能性がある。
欧州では、一部の金融機関が、ローンの可否を判断する際に、例えば携帯電話の種類といった受動的なシグナルを利用している。全米経済研究所の調査によると、これらの指標は従来の信用スコアと同じくらい正確に消費者行動を予測できる可能性がある。しかし、これらの要因は必ずしも消費者が認識しているものではなく、また、変化を予見しているわけでもない。
データ侵害に関するWiredガイド
完璧なセキュリティなど存在せず、あらゆるデータ侵害の可能性から身を守ることは不可能です。しかし、個人情報が漏洩または盗難されたと知ったとき、ユーザーはどれほど心配すべきでしょうか？この疑問に答えるには、データ侵害の歴史について少し知っておくことが役立ちます。背景情報を把握することで、消費者はセキュリティインシデント発生後に特別な対策を講じる必要があるかどうかを判断できます。
公正なアルゴリズムとは実際にはどのようなものなのでしょうか？
アルゴリズムによる意思決定の透明性に関して、市民がどのような権利を持つべきかについて、立法府はほとんど決定していません。機械があなたの人生についてどのように結論に至ったのかを説明する「権利」は存在しません。一部の研究者は、将来そのような権利がどのようなものになるべきかを概念化しています。