ウェブブラウザとは異なり、モバイルアプリでは、企業がユーザーのデータをどのように利用しているのかを把握することがますます困難、あるいは不可能になっています。その解決策は? 検査APIです。
写真:PMイメージズ/ゲッティイメージズ
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
今日のデジタル世界では、特定のグループにのみ配信され、他者を排除するFacebookの投稿、就職面接で候補者のプロファイリングに用いられる隠れたアルゴリズム、刑事判決や福祉詐欺による拘留に用いられるリスク評価アルゴリズムといったものの影に、不正義が潜んでいます。アルゴリズムシステムが社会のあらゆる側面に統合されるにつれ、規制メカニズムは対応に苦慮しています。
過去10年間、研究者やジャーナリストは、こうした差別的なシステムを暴き、精査する方法を見つけ出し、独自のデータ収集ツールを開発してきました。しかし、インターネットがブラウザからモバイルアプリへと移行するにつれ、この極めて重要な透明性は急速に失われつつあります。
デジタル システムの第三者による分析は、Web ページで何が起こっているかを調べるために一般的に使用される、一見平凡な 2 つのツール、つまりブラウザーのアドオンとブラウザー開発者ツールによって主に可能になりました。
ブラウザアドオンは、ウェブブラウザに直接インストールできる小さなプログラムで、ユーザーが特定のウェブサイトでの操作を拡張できるようにします。アドオンは、パスワードマネージャーや広告ブロッカーなどのツールを操作するためによく使用されますが、テクノロジープラットフォームのウォールドガーデン内でユーザーが独自のデータを収集できるようにするためにも非常に役立ちます。
同様に、ブラウザ開発者ツールは、ウェブ開発者がウェブサイトのユーザーインターフェースをテストおよびデバッグできるようにするために作られました。インターネットが進化し、ウェブサイトがより複雑になるにつれて、これらのツールも進化し、ソースコードの検査と変更、ネットワークアクティビティの監視、さらにはウェブサイトが位置情報やマイクにアクセスしていることを検出する機能などが追加されました。これらは、企業がユーザーをどのように追跡、プロファイリング、ターゲティングしているかを調査するための強力なメカニズムです。
私はデータ ジャーナリストとしてこれらのツールを活用し、マーケティング会社がフォームの「送信」をクリックする前であってもユーザーの個人データをどのように記録しているか、さらに最近では、Meta Pixel ツール (旧 Facebook Pixel ツール) が病院の Web サイト、連邦学生ローンの申請書、納税申告ツールの Web サイトなどの機密性の高い場所でユーザーに明示的な承諾なしにユーザーを追跡している様子を示しました。
ブラウザ検査ツールは、監視の実態を明らかにするだけでなく、差別、誤情報の拡散、そしてテクノロジー企業が引き起こしたり助長したりするその他の危害を調査するためのデータをクラウドソーシングする強力な手段を提供します。しかし、これらのツールの強力な機能にもかかわらず、その範囲は限られています。2023年、Kepiosの報告によると、世界のユーザーの92%がスマートフォン経由でインターネットにアクセスしているのに対し、デスクトップまたはノートパソコン経由でアクセスしているユーザーはわずか65%でした。
インターネットトラフィックの大部分がスマートフォンに移行しているにもかかわらず、ブラウザのアドオンや開発者ツールと同等の「検査可能性」を備えたスマートフォンエコシステム向けツールは存在しません。これは、ウェブブラウザは暗黙的に透過的であるのに対し、携帯電話のオペレーティングシステムはそうではないためです。
ウェブブラウザでウェブサイトを閲覧する場合、サーバーはソースコードを送信する必要があります。一方、モバイルアプリはコンパイルされた実行ファイルであり、通常はAppleのiOS App StoreやGoogle Playなどからダウンロードされます。アプリ開発者は、ユーザーがアプリを使用するためにソースコードを公開する必要はありません。
同様に、ウェブブラウザ上のネットワークトラフィックの監視も簡単です。企業がユーザーからどのようなデータを収集しているかを知るには、ソースコードを調べるよりもこの手法の方が有用な場合が多いです。ウェブサイトがあなたのデータをどの企業と共有しているかを知りたいですか?ソースコードを調べるのではなく、ネットワークトラフィックを監視する必要があります。スマートフォンでもネットワーク監視は可能ですが、通常はルート証明書のインストールが必要で、これによりユーザーのデバイスのセキュリティが低下し、悪意のある人物による中間者攻撃に対して脆弱になります。これらは、スマートフォンから安全にデータを収集することがブラウザからよりもはるかに困難になる理由のほんの一部に過ぎません。
独立したデータ収集の必要性は、これまで以上に切実です。かつては、Twitter APIやFacebookのトレンドをモニタリングするツールであるCrowdTangleといった企業が提供するツールが、ソーシャルメディアに関する調査やレポートの大部分を支える基盤となっていました。しかし、これらのツールの利便性やアクセス性が低下するにつれ、企業の活動内容や人々がプラットフォームをどのように利用しているかを理解するために、新たな独立したデータ収集方法が必要となっています。
デジタルシステムが社会に与える影響について有意義な報告を行うには、企業に許可を求めることなく、デバイス上で何が起こっているかを観察できる必要があります。過去10年間、アルゴリズムによる危害を暴くためのクラウドソーシングツールを開発してきた者として、ブラウザと同じように、モバイルアプリやスマートデバイスの中身を覗き見できる権限が一般の人々に与えられるべきだと考えています。これは私だけではありません。ソーシャルインターネットの保護に取り組む非営利団体、Integrity Instituteが最近発表した報告書では、説明責任、協力、理解、信頼といった公共の利益の目標を達成するための手段としての透明性の重要性が明らかにされています。
テクノロジープラットフォームに透明性を求めるには、プラットフォームに依存しない透明性フレームワーク、つまり「検査可能性API」が必要です。このようなフレームワークがあれば、最も脆弱な立場にある人々でさえ、デバイスから被害の証拠を収集できるようになり、同意なしにデータが研究や報道に利用されるリスクを最小限に抑えることができます。
アプリケーション プログラミング インターフェース (API) は、企業が自社のサービスやデータを他の開発者に提供するための手段です。たとえば、モバイル アプリを開発していて、特定の機能のためにスマートフォンのカメラを使用したい場合は、iOS または Android のカメラ API を使用します。もう 1 つの一般的な例はアクセシビリティ API です。アクセシビリティ API を使用すると、開発者はスクリーン リーダーや最近のスマートフォンやコンピューターに一般的に搭載されているその他のアクセシビリティ ツールでユーザー インターフェースが判読できるようにすることで、障碍のあるユーザーがアプリケーションにアクセスできるようにします。検査可能性 API を使用すると、個人が毎日使用するアプリからデータをエクスポートし、コミュニティの研究者、ジャーナリスト、支援者と共有できるようになります。企業は、障碍のあるユーザーがアプリや Web サイトを使用できるようにアクセシビリティ機能を実装する必要があるのと同様に、透明性のベスト プラクティスに準拠するためにこの API を実装する必要があります。
米国では、一部の州の住民は州レベルのプライバシー法に基づき、企業が収集するデータを要求できます。これらの法律は善意に基づいていますが、企業が遵守するために共有するデータは、通常、危害を及ぼす可能性のある重要な詳細が難読化されるような構造になっています。たとえば、Facebook には非常に詳細なデータ エクスポート サービスがあり、ユーザーは「Facebook 外のアクティビティ」などを確認できます。しかし、マークアップが Pixel の使用に関する一連の調査で判明したように、Facebook はどの Web サイトがデータを共有しているかをユーザーに通知していたものの、共有されている情報がどれほど侵入的なものであるかは明らかにしていませんでした。医師の診察予約、納税申告情報、学生ローン情報などは、Facebook に送信されていた情報のほんの一部です。検査可能 API があれば、ユーザーは自分のデバイスを簡単に監視し、使用するアプリが自分をどのようにリアルタイムで追跡しているかを確認できます。
すでに有望な取り組みもいくつか行われている。Apple が iOS 15 で導入した「アプリ プライバシー レポート」により、iPhone ユーザーは初めて詳細なプライバシー情報を確認して各アプリのデータ収集方法を理解し、「Instagram は私のマイクを聞いているのか?」といった疑問にも答えられるようになった。
しかし、企業がこれを独断で行うことに依存することはできません。ユーザーが閲覧・エクスポートできるデータの種類を明確に定義する枠組みと、それを実施しない企業に罰則を科す規制が必要です。このような枠組みがあれば、ユーザーは被害を訴える権限を与えられるだけでなく、プライバシーが侵害されないよう保証されます。個人は、どのようなデータを、いつ、誰と共有するかを選択できるようになります。
調査可能性APIは、個人が受けた被害の証拠を、社会の意識を高め、変革を訴えることができる人々と共有することで、自らの権利のために闘う力を与えます。私が共同設立し、率いるプリンストン大学のデジタル・ウィットネス・ラボのような組織は、テクノロジー企業に頼るのではなく、脆弱なコミュニティと緊密に協力することで、データに基づいた調査を実施できるようになります。このフレームワークにより、研究者やその他の関係者は、安全かつ正確で、そして何よりも被害を受けている人々の同意を最優先する方法で、この調査を実施できるようになります。
