FTCの「歴史的な」プライバシー勝利の悲しい真実
FTCはデータブローカーに対し、「機密性の高い位置情報」の販売を停止するよう命じました。しかし、ほとんどの企業は最低限の対策を講じるだけでこうした精査を回避できており、アメリカ人が実際に享受できる保護が不十分であることを露呈しています。
写真:アラン・シャイン/ゲッティイメージズ
米国連邦取引委員会(FTC)は先週、数百ものスマートフォンアプリから収集した位置情報データを米国政府などに販売していたことで知られる米国のデータブローカーと和解に達した。FTCによると、この企業は消費者からの販売停止要請を無視するケースがあり、さらに広範囲に渡って、収集したデータがどのように使用されるかについてユーザーに通知することを怠っていたという。
和解により、旧エックスモード社として知られていた同社が、人々の「機密性の高い位置情報」の販売を停止することを義務付けるというニュースは、政治家から「歴史的」な成果と称賛され、また、この和解をアメリカの消費者にとって「画期的な」勝利と評した記者からも称賛された。あるメディアが表現したように、この「プライバシーにおける大きな勝利」は、活動が暴露された後にアウトロジック社に社名変更した同社に対し、これまで不法に収集したすべてのデータを削除することをさらに義務付けることになる。
一方、アウトロジックはこれとは全く異なる見解を示し、不正行為を否定し、FTCの命令によって自社の業務や製品に「重大な変更は求められない」と断言した。同社は事業への損失を軽視している可能性もあるが、今回の和解による波及効果は消費者やアウトロジックの業界全体にとって目立たないものとなるのは確かだ。アウトロジックの業界は、アメリカ国民の機密情報を諜報機関、警察、そして米軍に売却することで利益を得ており、政府が裁判所の監視や煩わしい令状取得要件を回避するのに役立っている。
FTCによるX-Modeの活動に対する取り締まりは確かに歴史的な出来事かもしれないが、消費者の観点から見ると、全く的外れな理由によるものだ。まず、この命令はFTCが「センシティブな位置情報データ」と呼んでいるものに関するものであることを理解する必要がある。この専門用語は、非常に誤解を招きやすく、同時に冗長でもある。人の物理的な存在を、日々のあらゆる瞬間まで網羅的に記録するデータは、本質的にセンシティブなものだ。
人々の居場所を執拗に追跡することで、政治的、宗教的、さらには性的関係さえも明らかになることは疑いようがありません。こうしたデータ収集行為は、対象が誰であろうと、広範囲にわたる監視行為です。「医療・生殖医療クリニック、宗教施設、家庭内暴力シェルター」の利用者が商業的なストーカー行為の被害に特に遭いやすいことは想像に難くありませんが、居場所が一度暴露されれば、その人の人生を危険にさらしたり、破滅させたりする方法は無数にあります。
位置データは本質的に機密情報です。これは社会、プライバシー専門家の圧倒的な合意、そして国の最高裁判所の見解です。
議会を見れば、こうした精密な監視が、暴力やストーカー行為、住居喪失を経験したことのない人々にどれほどの恐怖を抱かせるかが分かる。下院情報委員会の委員たちは――そのほとんどは体内生殖器官を欠いている――まさに今、連邦議員だけをこの侵略的で遍在的な追跡から守ろうと躍起になっている。
現在の政治情勢を考えると、政治家が位置情報データを提供し、事実上誰でも安価にアクセスできるようになることを恐れている理由は容易に想像できる。しかし、そうした政治家の数は比較的少なく、暴力や差別の「リスクが最も高い」カテゴリーに該当する者はほとんどいない。そうした人々とは異なり、連邦議会議員は法律を改正し、自らを守る独自の権限を有している。機会があれば、まさに多くの議員がそうすることを選んだのだ。ちょうど1年前に連邦判事に対してそうしたように。
持続的な追跡からの保護は、特権階級の少数の人々が求めていることは間違いありません。しかし、法執行機関のニーズや漠然とした国家安全保障上の懸念を理由に、自分以外の誰かを守ることは、より多くの議論、より多くの注意、そしてより多くの遅延を必要とする問題であるように思われます。
アメリカが連邦議員だけを監視から守るために新たな保護対象階級を創設するのであれば、犯罪で告発されたことのない大多数の国民とは異なり、この階級は歴史的に見て犯罪者で溢れているという事実を受け入れなければならない。アメリカの議員たちは、贈収賄、偽証、窃盗罪に加え、司法妨害、秘密兵器販売の証拠隠滅、児童性的虐待資料の所持といった罪で起訴され、有罪判決を受けている。
アウトロジック事件におけるFTCの勝利は、委員会が現在、史上最も声高なプライバシー保護の擁護者の一人であるリナ・カーン委員長を率いていることを考えると、なおさら取るに足らないものとなっている。同社が現在も事業を継続し、和解がいかに重要でないかを喧伝していることは、FTCが求められている任務において、いかに権限不足で備えも不十分であるかを浮き彫りにしている。FTCは実際には、アメリカ国民を容赦ない監視から守る態勢を整えておらず、そもそもそれがFTCの使命ではない。現行制度下では、FTCはせいぜい監視員に「通知と選択」という基準を課すことしか許されていない。これは幻想的なものであり、企業(そして代理のアメリカ政府)が現在、アメリカ国民の居場所をいつでも、いつでも、法的に懸念されることなく追跡することを可能にするものだ。
FTCがプライバシー訴訟において主に用いる規制手段はセクション5と呼ばれ、主に企業の虚偽を理由に標的としています。例えば、Outlogicに対する訴訟は、同社の位置情報データが最終的にどのように利用されるかを開示していなかったことが一因となっています。FTCによると、Outlogicはユーザーの位置情報が「国家安全保障目的」で政府機関に販売される可能性があることをユーザーに通知していませんでした。FTCの本来の役割は、消費者が自分のデータがどのように利用されているかを「通知」できるようにすることです。しかし、この役割は見せかけであり、プライバシーポリシーで「同意する」をクリックしたことがある人なら誰でもそれを知っています。
アウトロジック事件以前、この会社の存在を知るアメリカ人はごくわずかでした。利用規約をざっと読んだことがある人はさらに少なく、実際に読んで内容を理解した人はさらに少なく、今ではほぼゼロに近いと言えるでしょう。このことは、連邦情報局(FBI)の委員たちも長らく認めてきました。
「ある調査では、NSAとの情報の共有と、第一子を譲渡することでサービス料を支払うことを明らかにしたプライバシーポリシーに、98%の人が「同意する」をクリックしたのは不思議ではない」と、レベッカ・スローター委員は2019年に述べた。
ヨーク大学による同じ調査では、プライバシー規制における「通知」の側面を「インターネットにおける最大の嘘」と呼び、ユーザーの75%以上がプライバシーポリシーを全く読まないことを詳細に示しています。読まなかったユーザーは、一般人が実際に読むだけでも15~17分かかる、ましてや理解するには至らないポリシーを、平均で約1分かけてざっと目を通しただけでした。
10年前、カーネギーメロン大学の研究者が、平均的な人が1年間に目にするすべてのプライバシーポリシーを読むには、約76営業日かかると結論付けたことは有名です。また、「gotcha条項」は、人々が利用規約を読んでいないことを示すために繰り返し利用されてきました。例えば、2010年7月には、7,500人以上の人々が知らず知らずのうちにビデオゲーム会社に魂を売っていたという報道がありました。
これらの事実は、Outlogicが告発されている罪、すなわち消費者にデータの使用方法を通知しなかったという罪が、貪欲や機会によるものではなく、単なる愚かさによるものであることを明白に示しています。この法律はパフォーマンスのようなもので、企業が従うことで失うものは何もないのです。ユーザーは、基本的にどんなことにも(永遠に奴隷化されることさえも含め)同意すると考えられます。
人々は、理解していないことに「同意」することはできません。それは、比喩的に頭に銃を突きつけられた場合に、同意が本当の意味で「同意」と呼べないのと同じです。
真実は、たとえユーザーが椅子に縛り付けられ、意図的に難解な法的条項をすべて読み通すのに年間600時間を費やさされたとしても、最高裁判所が述べたように、そうした合意の多くは明らかに強制されているということです。私たちの行動を追跡する技術が今やあまりにも普及しているため、「全く意味のない」意味で、人々は企業がその情報にアクセスし共有することを許可するリスクを自発的に受け入れています。これは社会に参加するか否か、雇用されるか否かの問題なのです。
消費者を危害から守るのもFTCの任務です。しかし、「通知」や「同意」といった「危害」の定義は曖昧になっており、その意味とほとんどの人が実際にどのように使っているかの間に深刻な乖離が生じています。FTCが「合理的に」回避可能と判断する限り、企業は事実上、人々に危害を加える自由があります。
FTCが行動を起こさなければ、消費者はただ黙って苦しむしか選択肢がありません。プライバシーを侵害された個人が連邦裁判所で企業を訴える権利を得ることは、たとえ訴訟を起こす余裕があったとしても、ほぼ不可能です。個人情報を漏洩しただけでは不十分です。最近の2つの最高裁判決によって設けられた基準では、訴訟を起こすには被害者が「具体的な損害」を立証する必要があります。たとえ、特定の企業を個人情報窃盗、嫌がらせ、あるいは金銭的損失に結び付けることは、ほぼすべてのケースにおいて非現実的な目標に過ぎないとしてもです。
議会が包括的なプライバシー法案の成立に向けて最後に力を入れた法案、すなわち2022年米国データプライバシー保護法は、皮肉なことに、Outlogicの活動を完全に除外するはずだった。二正面作戦を恐れた法案作成者は、諜報機関や法執行機関と契約している企業を意図的に追及することを避けている。しかし、現在議会には、Outlogicのような企業から位置情報データを購入し、裁判所の審理を回避している政府の慣行を終わらせることを目指す法案が一つある。
下院司法委員会は先月、「憲法修正第4条は売り物ではない」法案を提出し、可決した。これは、問題の多い米国諜報プログラム「セクション702」の再認可と改革を目指す、より大規模な法案の一環である。この法案は今年、おそらく2月に再び審議される予定で、米国人がここ数年で経験した中で最も激しいプライバシー法をめぐる争いの一つを引き起こすことになるだろう。
家庭内監視を思わぬ利益を生む産業に変える一因となった蔓延した慣行を違法とすることは、あらゆる正当な理由から、実際に歴史的な動きとなるだろう。
デル・キャメロンは、テキサス州出身の調査報道記者で、プライバシーと国家安全保障を専門としています。ジャーナリスト協会(SPJ)から複数の賞を受賞し、エドワード・R・マロー調査報道賞の共同受賞者でもあります。以前は、ギズモードのシニア記者、デイリー・タイムズのスタッフライターを務めていました。
