欧州の新しいプライバシー法がウェブにもたらす変化など

消費者は長らく、 GoogleやFacebookが自分の個人情報を一体何を知っているのか、そして他に誰が自分の個人データにアクセスできるのか疑問に思ってきました。しかし、インターネット大手は、「なぜこの広告が表示されるのか」といった単純な質問に対してさえ、明確な答えを出す意欲がほとんどありません。

しかし、5月25日には、個人データの収集と取り扱いを制限する欧州のプライバシー法の施行により、消費者主導の力関係が強まることになります。一般データ保護規則（GDPR）と呼ばれるこの規則は、ユーザーが自分に関するデータが収集されることを理解、同意することを保証することに重点を置いています。GDPRでは、何ページにも及ぶ細則だけでは不十分です。また、サインアップ時にユーザーに「はい」をクリックさせることも不十分です。

企業は、氏名、自宅住所、位置情報、IPアドレス、スマートフォンのウェブやアプリの利用状況を追跡する識別子といった個人データの収集と利用について、明確かつ簡潔に説明しなければなりません。企業は、なぜデータを収集するのか、そして人々の行動や習慣のプロファイルを作成するためにそのデータが使用されるのかどうかを明記しなければなりません。さらに、消費者は、企業が保管する自分に関するデータにアクセスする権利、不正確な情報を訂正する権利、アルゴリズムによる意思決定の利用を制限する権利などを獲得することになります。

この法律は、データが他の場所で処理される場合でも、EU加盟28カ国の個人を保護します。つまり、GDPRはWIREDのような出版社、銀行、大学、フォーチュン500企業の多く、ウェブ、デバイス、アプリを通じてユーザーを追跡する無数のアドテク企業、そしてシリコンバレーの巨大テック企業に適用されるのです。

この法律の適用範囲の一例として、EUの立法機関である欧州委員会はウェブサイト上で、ソーシャルネットワークは未成年時に投稿した写真の削除を求めるユーザーからの要請に応じる義務があり、その写真を使用している検索エンジンなどのウェブサイトにも削除を通知する必要があると述べている。また、カーシェアリングサービスは、ユーザーの氏名、住所、クレジットカード番号、そして場合によっては障がいの有無を尋ねることはできるが、人種の開示を求めることはできないとしている。（GDPRでは、人種、宗教、政治的所属、性的指向といった「センシティブデータ」の収集には、より厳しい条件が適用される。）

GDPRは既に、データ収集および取り扱い方法の変化を促し、あるいは促進しています。6月、GoogleはGmailでメールをマイニングして広告をパーソナライズすることを停止すると発表した（同社は、これはGDPRとは無関係であり、一般向けと法人向けのGmailを統合するために行われたと説明している）。9月には、2009年に初めて導入したプライバシーダッシュボードをより使いやすく刷新した。1月にはFacebookが独自のプライバシーダッシュボードを発表したが、まだ公開されていない。この法律は欧州のみに適用されているが、異なるシステムを構築するよりも簡素化できるため、各社は世界規模で変更を進めている。

この法律の影響は、ウェブ大手企業だけにとどまらない。3月には、デバイスを横断してユーザーを追跡するアドテク企業Drawbridgeは、デジタル広告業界が消費者の同意をどのように確保するかが不透明であるため、EUでの広告事業を縮小すると発表した。投票記録、購買行動、車両登録などから収集した7億人以上の情報を提供するデータブローカーAcxiomは、消費者がAcxiomが保有する個人情報を確認できる、米国と欧州のオンラインポータルを改訂する。GDPRは「今後10年間、世界のデータ保護の方向性を定めるだろう」と、Acxiomの最高データ倫理責任者であるシーラ・コルクラシュア氏は述べている。

こうした動きに加え、GDPRが同意、コントロール、そして明確な説明を重視していることは、ユーザーがオンラインで監視される方法についてより深く理解し、再考するきっかけとなる可能性があります。一方、プライバシー活動家は、GDPRを武器に企業のデータ取り扱い方法を変えさせようと計画しています。

つまり、この法律は業界の経済状況を一変させるチャンスです。商用ウェブの黎明期以来、企業はデータを吸い上げ、後に収益化することで金銭的なインセンティブを得てきました。今後、EUの消費者はオプトアウトの負担ではなく、オプトインの自由を得られます。同意を重視することで、消費者の信頼を築くことに対する金銭的な報酬が生まれます。

ニュースクール大学のメディアデザイン准教授、デイビッド・キャロル氏は、GDPRは「サービス利用規約を無意識にクリックして破棄するのではなく、人々、そのデータ、そして企業間の契約条件を再交渉する真のチャンス」をもたらすと述べています。キャロル氏は、活動家によって収集されたデータは「新たな調査や企業の責任追及のための手段の根拠となる可能性がある」と述べています。

透明性と説明責任の必要性はこれまで以上に重要になっています。かつては、難解な利用規約に同意するためにクリックするのは、考えるまでもない行為のように思えました。メリットは信じられないほどの効率性で、デメリットは、ウェブ上であなたをストーキングするような迷惑な靴の広告だけだと思われていました。しかし、過去1年間で、同じ個人データが、少数派の有権者を抑圧し、若い白人男性を過激化させ、政治的信条を利用して分断を煽り、場合によっては選挙を左右するためにどのように武器化されてきたかが明らかになりました。「日常生活における企業監視」と題された白書の中で、研究者のウルフィー・クリストル氏は、個人データがどのように行動に影響を与え、あなたが目にする製品、アクセスできるサービス、そしてショッピングから銀行業務に至るまでのあらゆる分野であなたが支払う価格を決定するために使用されているかを図示しています。「私たちがクリックするたびに、これらの企業は、この人は価値のある人なのか、それとも価値のない人なのかを判断しようとしているのです」とクリストル氏は言います。

GDPRで規定されているデータ権利の大部分は、EUで既に確立されていたものの、執行されていませんでした。GDPRはEU加盟国全体でデータ権利を標準化し、規制当局に同じ強力な権限とより厳しい歯止めを与えます。違反者は、世界全体の年間売上高の最大4%の罰金を科せられます。Facebookの場合は16億ドル、Googleの場合は44億ドルです。

もちろん、この法律には批判者もいる。彼らはGDPRをEUの保護主義の強化だと一蹴し、EUはアメリカのテクノロジープラットフォームに対し、独占禁止法やプライバシーを理由に訴訟を起こし、多大な費用を負担させてきた。さらに、コストへの懸念もある。アクシオムのコルクラシュア氏は、データ業界をオンライン上の「無料コンテンツと無料知識」の屋台骨と呼んでいる。「有料化の壁にぶつかるか、あるいはこれらのサイトの大部分が広告で運営されているかのどちらかだ」と彼女は言う。

この法律には潜在的な抜け穴があります。企業は、企業の「正当な利益」など、限定された理由において、同意なしに個人データを処理することが認められています。欧州委員会によると、これには郵便、電子メール、オンライン広告を通じた「ダイレクトマーケティング」も含まれます。

しかし、その場合でも、企業は消費者がデータをどのように利用されるかについての期待を考慮しなければならず、GDPRで保証されている他の消費者の権利を侵害してはなりません。デジタル領域では、EUの消費者は、電子通信を規制するeプライバシー指令と呼ばれる一連の規則による追加の保護も受けています。現在、法律として批准されているこの規則では、個人データの収集における唯一の法的根拠は同意です。

43の消費者団体を統括する欧州消費者機構の上級法務責任者、デビッド・マーティン氏は、テクノロジー企業のロビイストらがGDPRの解釈に関するガイドラインに影響を与え、eプライバシーの文言を弱めようとしていると述べている。

回避する選択肢はありません。2017年、Facebookのヨーロッパにおけるユーザー1人当たり収益は前年比41%増の8.86ドルとなり、他のどの地域よりも高い伸びを示しました。

Facebookの副最高プライバシー責任者であるロブ・シャーマン氏は、WIREDへの声明の中で、「Facebookユーザーは今年、ツールとプライバシー管理の改善を目にするでしょう。GDPRに加え、ユーザーにより多くのコントロールを提供し、データがどのように利用されているかを理解できるよう、あらゆる面で検討しています」と述べています。GoogleはWIREDに対し、2017年のブログ投稿を紹介しました。そこで同社は、Google検索、Gmail、そしてすべての広告および測定サービスを含む「欧州で提供するすべてのサービスにおいてGDPRを遵守することに尽力しています」と述べています。

プライバシー活動家たちは、この法律によって、他の改革を迫るために必要なデータが解放されると考えている。これは以前にも効果があった。2013年、オーストリアの弁護士でプライバシー活動家のマックス・シュレムズ氏がFacebookを相手取って起こした訴訟では、企業が米国と欧州の間でデータを移転する際に利用していた「セーフハーバー」協定を無効にする判決が下された。シュレムズの訴訟は現在係争中である。

GDPRの到来に勇気づけられたシュレムズ氏は、11月に「None of Your Business」という非営利団体を設立した。同団体は声明で、同団体はGDPRを利用して「フェイスブックやグーグルなどの巨大IT企業に、優秀でやる気のある弁護士とIT専門家のチームを率いて対等に対峙する」と述べている。

数学者であり、PersonalData.IOの共同創設者でもあるポール＝オリヴィエ・デハイ氏は、英国のデータ保護法を用いて、5,000万人以上のFacebookユーザーに影響を与えたデータ漏洩事件の背後にある物議を醸した企業、ケンブリッジ・アナリティカが処理した個人情報に個人がアクセスできるように支援してきた。デハイ氏は、GDPRによってより多くの情報が盗み出される可能性があると考えている。

GDPRの最終的な影響は、消費者が新たな権利をどれだけ積極的に行使するかにかかっています。最近の傾向は、プライバシーへの関心の高まりを示しています。米国をはじめとする各国で、広告ブロッカーやVPNの利用が増加しています。企業もこの需要に応えています。8月には、Mozillaがプライベートモバイルブラウザ「Firefox Focus」を発表しました。9月には、AppleがSafariブラウザにトラッキング防止機能を追加しました。

フォレスターの主席アナリスト、ファテメ・カティブルー氏は、最終的にはデータ収集の慣行がより進歩的になると考えている。消費者は、自分が訪問したウェブページでどれだけのクッキー、トラッカー、広告サーバーが利用されているかを知ったら、衝撃を受けるだろうと彼女は言う。

カティブローが8月に英国の消費者を対象に実施した調査では、回答者の51%がGDPRに基づく新たな権利を行使する可能性が少なくともある程度あると回答しました。最も多く挙げられた例はデータの削除でした。「人々は、情報を削除するよう求めることで、侵入的または攻撃的な企業を『罰する』ことができると感じていました」と彼女は述べています。

それでも、カティブルー氏は、GDPRが人気インターネットサービスのユーザーを動揺させるとは考えていない。消費者は無料サービスと引き換えにデータを提供することの価値を理解しており、オンライン体験が中断されることを望んでいないと彼女は言う。「GDPRは、人々が気づいていないデータ操作の一部に非常に明るい光を当てますが、Facebookが大きな痛手を被るとは考えていません。」

企業が同意を求める方法によって、多くのことが左右される可能性がある。9月、広告ブロッカー対策を支援するパブリッシャーのPageFairは、ユーザーに「ファーストパーティのトラッキングのみを受け入れる」や「要求されたサービスに厳密に必要な場合を除き、トラッキングを拒否する」といったトラッキングに関する選択肢を提示する調査を実施した。調査対象となった300人のうち、すべてのトラッキングに同意したのはわずか約5%だった。

マーケティング会社Criteoは、はるかに押し付けがましくないインターフェースを目指している。1月、DigidayはCriteoがテスト中の同意インターフェースのサンプルを公開した。ページ下部に小さなバナーポップアップが表示され、ページ上のリンクをクリックするとCriteoの「ユーザーフレンドリーなクロスサイトトラッキング技術」に同意したことになる、とユーザーに告げる内容だった。

ルールの書き換え

• GDPR により、Web の Whois ディレクトリに変更が加えられ、一般公開されなくなる可能性があります。
• Facebookは、広告主に、心理的に脆弱な瞬間に14歳という若いユーザーをターゲットにする機会を提供した。
• 2016 年の GDPR 承認に関する WIRED の記事をお読みください。