アメリカのプライバシー保護の欠陥を象徴する、知られざるGoogleとの契約

Googleの悲惨なソーシャルネットワーク、Google+の前に、あまり記憶に残っていないGoogle Buzzがありました。2010年に開始されたBuzzは、わずか2年足らずで終了しました。しかし、Buzzによる個人データの不適切な取り扱いが、一連の法的和解の最初のきっかけとなりました。これらの和解は、不完全なものではあるものの、今日に至るまで、米国がオンラインプライバシー保護のための包括的なルールを確立した中で、最も成功したものとなっています。

ユーザーがBuzzアカウントを作成すると、Googleは自動的にユーザーがメールを送る相手で構成される友達ネットワークを作成し、個人のメールアドレスや秘密の関係が暴露されたことで一部の人々を恐怖に陥れました。ワシントンの規制当局は対応を迫られましたが、Googleは国のプライバシー法に違反していませんでした。米国にはプライバシー法がなかったのです。

連邦取引委員会（FTC）は即興で対応した。2011年、Googleはポリシーと設定でユーザーを誤解させたとして、FTCと20年間の法的和解（同意判決と呼ばれる）を結んだ。この判決は、たった一つのテクノロジー企業に対する包括的なプライバシー基準を定め、Googleに対し2031年まで「包括的なプライバシープログラム」を維持し、その慣行について外部評価を認めることを義務付けた。翌年、FTCはFacebookに対し、ほぼ同様の同意判決を締結し、現在Metaとして知られるFacebookがユーザーに対するプライバシーの約束を破ったという疑惑を解決した。

WIREDは、MetaとGoogleでプライバシー対策に携わった現職および元社員20名にインタビューを行い、同意判決によって強制された社内審査によって、ユーザーデータの不必要な収集やアクセスが阻止された事例があることを明らかにした。しかし、下級職員から経営幹部に至るまで、現職および元職のプライバシー担当者は、こうした合意は時代遅れで不十分だとますます認識している。彼らは、米国議会が、当局が技術の進歩に対応し、より多くの企業の行動を抑制できるような解決策を策定してくれることを期待している。

議会がすぐに行動を起こす可能性は低く、GoogleとMetaに個人データを託す何億人もの人々のプライバシーは、2つの同意判決によって守られることになる。これらの判決は、巨大IT企業の支配という常に変化する時代において、本来は封じ込めるべく設計されたものではない、最後の手段としての静的な障壁となっている。FTCはMetaとの契約を現代化するための野心的な取り組みを進めているが、Metaによる上訴によって手続きが何年も長引く可能性があり、将来の判決の可能性は消滅する可能性がある。

Meta、Google、そして同意判決の対象となる少数の企業は、少なくともいくつかの規則に拘束されますが、TikTokやAppleのように世界で10億人以上にサービスを提供する企業を含む、大多数のテクノロジー企業は、全ユーザーのデータを保護するための実質的な連邦規則に縛られていません。Amazonは今年初めて合意に署名しましたが、これはAlexaという仮想アシスタントサービスが子供のプライバシーを侵害しているという疑惑を受けて、Alexaのみを対象としています。

プライバシー擁護団体を離れ、Metaの拡張現実（AR）データポリシー策定に2年間携わり、5月に解雇されたジョセフ・ジェローム氏は、同意判決が企業にプライバシー対策を強制する仕組みを理解するようになったと語る。同意判決は「牽制と均衡」をもたらすと彼は言う。しかし、すべての企業に適用される明確なプライバシー保護ルールが立法府から提示されなければ、同意判決の適用範囲が限定され、問題のある決定があまりにも多く下される可能性があるとジェローム氏は指摘する。同意判決は、ユーザーに誤った安心感を与え、実際よりも強い影響力を持っていると錯覚させてしまう可能性がある。「同意判決はプライバシー問題を解決していないのは明らかだ」と彼は言う。

FTCは、プライバシーが侵害された後に同意判決を強化することがある。Facebookのケンブリッジ・アナリティカによるデータ共有スキャンダルを受けて、FTCは2020年にFacebookに対する規制強化に同意し、Metaの当初の同意判決の有効期間を約10年延長し、2040年までとした。今年5月、FTCはMetaが外部開発者によるユーザーデータへのアクセスを遮断し、Messenger Kidsで子供たちを他人から保護できなかったと非難した。FTCは救済策として、判事の1人にプライバシー判決でこれまで求められた中で最も厳しい制限を課すことを求めており、ビジネス界全体に動揺を与えている。Metaはこの提案に反対しており、「非合法な意思決定者」による「明白な権力掌握」だと主張している。

FTC、Meta、Google、そしてテクノロジー業界全体の間で、連邦プライバシー法の制定が遅きに失したという認識が広がっている。議員らが提出・議論している提案は、米国の州法や欧州連合のプライバシー法に類似し、ユーザーに新たな権利を与え、違反者には高額な罰金を課すなど、すべての企業が遵守すべき基準を定めるものだ。「同意判決は、それに比べれば見劣りする」と、Metaの製品担当最高プライバシー責任者であるミシェル・プロッティ氏は述べている。

主要議員の中には、この案に賛同する者もいる。「様々なビジネスモデルや慣行のコンプライアンスを向上させる最善の方法は、議会が包括的な法律を制定し、アメリカ国民の個人情報の収集、処理、移転に関する明確なルールを確立することです」と、長年にわたり法案を検討してきた下院委員会の委員長を務める共和党のキャシー・マクモリス・ロジャーズ氏は述べている。彼女が十分な数の議員を動員するまでは、インターネット上のすべてのアメリカ人のプライバシーは、同意判決によって提供されるわずかな保護手段に頼るしかない。

失われた純潔

2010年にBuzzがローンチされた当時、Googleは全社的に自由奔放な実験文化を育んでおり、当時Googleにいた4人の従業員によると、ほんの数人の従業員が、ほとんど警戒することなくアイデアを世界に発信できると考えていたという。理想主義的な創業者であるラリー・ペイジとセルゲイ・ブリンは、製品に関する意思決定を綿密に監督し、従業員数は現在の約19万人の8分の1だった。2005年にソフトウェアエンジニアとしてGoogleに入社し、2019年にプライバシーレビューエンジニアリングの責任者として退職したジャイルズ・ダグラスは、多くの従業員が「情報にアクセスしやすく、無料で提供しようとするユートピアに憧れていた」と語る。

以前の時代、プライバシー保護の取り組みは非公式で、専任チームも存在しなかったと記憶する元従業員もいる。同社広報担当のマット・ブライアント氏は、以前の審査が緩かったというのは事実ではないと述べている。しかし、プライバシー侵害に関する協議内容を文書化し、その問題に対処するという明確なコミットメントを示したのは、FTCとの和解が始まってからだったことを、両社とも認めている。「Buzz判決は、Googleにもっと批判的に考えるよう迫りました」とダグラス氏は言う。

この和解により、Googleは氏名、電話番号、住所などの個人データの収集と利用について、人々に率直に説明することが義務付けられた。元従業員の中には、機密事項について匿名を条件に語った者もいるが、Googleは初めて中央プライバシーチームを設立したという。同社はFTCの新たな発明が効力を持つことを早くから認識していた。2012年、GoogleがAppleのSafariブラウザのCookieブロック機能を無効化してユーザーを追跡し、ターゲット広告を表示したことでBuzz合意に違反したとして起訴され、和解にあたり、当時FTC史上最高額となる2250万ドルの罰金を支払った。

Googleは現在、プライバシーに特化した大規模な官僚組織を擁している。中央チームには数百人の従業員がおり、プライバシーに関するポリシーや手続きを監督していると、同部門で働いていた3人の人物が述べている。例えば、ユーザーが自身のデータ利用をコントロールすることを約束する同社の公開プライバシー原則などだ。Googleの多くの部門に散らばる数百人のプライバシー専門家が、小さな変更からAIチャットボット「Bard」のような全く新しいサービスのデビュー、そして1000人未満に送られるマーケティング調査まで、あらゆる製品リリースをレビューしている。

これらの変更の多くは公的機関によって強制されたものの、Googleの同意判決の運用に関する透明性は低下している。この合意では、EY（通称アーンスト・アンド・ヤング）などの外部コンサルティング会社が、2年ごとにFTC（連邦取引委員会）への提出書類において、Googleのガードレールが合理的であることを認証することが義務付けられている。しかし、FTCは企業の「企業秘密」を保護するため、提出書類の公開コピーをますます編集しており、評価結果やGoogleのセーフガードの最近の進化に関する洞察を一切遮断している。Googleのブライアント氏は、これらの評価がプログラムの改善、プロセスの規律、そして十分な情報に基づいたフィードバックにつながったと述べているが、詳細は明らかにしていない。

古い提出書類の非編集部分を見ると、グーグルのFTC遵守には、ベストプラクティスに関する従業員の研修、データ関連のユーザー設定の拡張、そして元従業員の視点から最も重要な、同社が世に発信するあらゆる情報の影響の分析などの措置が含まれていたことが分かる。

元従業員によると、現在Google社内では、セキュリティ評価や品質保証とは異なり、プロジェクト開始のための社内主要追跡システム（通称「Ariane」）において、プライバシーと法務に関するレビューは、チームが削除したりオプションとしてマークしたりできない唯一のステップだという。また、プライバシーレビューを完了としてマークできるのは、Googleのプライバシーチームの担当者だけだという。

レビュー担当者は、Eldarと呼ばれる社内管理ツールを綿密に調べ、製品コードとドキュメントを、データの使用と保管に関する社内ガイドラインと照らし合わせなければなりません。Googleは年間数万件以上の製品をリリースしていますが、元従業員によると、Googleが「プライバシーに影響を与えない」または「プライバシーへの影響は軽微」と判断するアップデートの多くは、表面的な審査しか行われず、Googleは最も重要なレビューのトリアージを自動化しようとしているとのことです。

プライバシー審査官は、Googleの製品や事業を形作る上で大きな権限を持っていると、元この役職に就いていた5人の人物が述べている。彼らの最も頻繁な行動の一つは、「できるから」という理由以外に何の正当性も示さずに、プロジェクトがユーザーデータを無期限に保持することを阻止することだと、情報筋は述べている。情報筋によると、より徹底的な審査によって、YouTubeは脆弱な層の視聴者の身元を明らかにする恐れのある視聴統計を表示できなくなり、Googleアシスタントの開発に携わる従業員は、ユーザーとチャットボットとの音声会話を再生するたびに、その正当性を説明するよう求められた。

元従業員によると、Googleのプライバシー審査担当者の手によって買収案件全体が頓挫したという。同社は、不必要に保持されたデータや許可なく収集されたデータなど、潜在的な買収対象企業のプライバシーリスクを評価し、場合によってはソフトウェアコードの独立した評価を委託する。情報筋によると、プライバシーリスクが高すぎる場合、Googleは買収を中止しており、売却や戦略的投資にも同様のプロセスを適用する取り組みが進められている。

元審査担当者によると、プライバシー審査担当者が要求する変更は一部のGoogle従業員にとってフラストレーションの種となり、プロジェクトの遅延や改善の阻害につながっているという。審査担当者の一人によると、Googleアシスタントのユーザーの位置情報へのアクセスが制限された後、エンジニアたちは技術の評価に苦労したという。例えば、「ブラウン」や「ブラウン」といった曖昧な通り名を含む質問に対するバーチャルアシスタントの返答が正確かどうか確信が持てなくなったという。

同意判決の支持者たちは、こうした障害や行き詰まりは、和解が意図通りに機能していることを示していると主張する。「この判決のおかげで、グーグルとそのユーザーは恩恵を受けている」と、グーグルのためにFTCのBuzz取引を担当した弁護士アル・ギダリ氏は言う。「この判決がなければ、私たちのプライバシーは何も残らなかっただろうと言う人もいるだろう」

グーグルの関係者やプライバシー専門家の中には、同意判決に批判的な人々もおり、過去10年間にグーグルが構築してきた広範なコンプライアンス体制はプライバシー・シアターだと考えている。つまり、同社のサービスを利用する人々がより有利になるという公的な証拠を示すことなく、FTCの要求を満たす行為である。元従業員の中には、同意判決に基づく「包括的プライバシー・プログラム」のための人員と資金は増加している一方で、人々にさらなる保護や透明性をもたらすような技術的なプロジェクトは衰退していると指摘する者もいる。

例えば、Gmailアカウントのメール総数など、ユーザーが様々なサービスに保存しているデータの種類を表示するGoogleダッシュボードは、エンジニアが他の業務に集中せざるを得なくなったため、ほとんど投資が行われていないと、同社の元プライバシーマネージャー2人が述べている。3人の情報筋によると、サイバーセキュリティ問題を担当する同様のチームとは別に、プライバシーに特化した「レッドチーム」が、ユーザーが利用できるサービスにおける意図しない過剰なデータ収集や不適切な匿名化を阻止してきたが、依然として従業員はわずか数人しかいないという。

新たな脅威

Metaのプライバシースキャンダルは、善良な行動を促す同意判決の力の限界を浮き彫りにしている。同社は2012年、一部ユーザーの友達リストや個人情報を事前の通知や同意なしに提携アプリや一般に公開した後、FTCと最初の合意を締結した。Googleと同様に、Metaも「包括的なプライバシープログラム」の構築を約束した。しかし、製品担当の最高プライバシー責任者であるProtti氏によると、当時はGoogleとは異なるアプローチを採用し、現在のすべての取り組みを精査するには人員とツールが不足していたという。同意判決で義務付けられた評価では、欠陥が見落とされていたのだ。

2018年、メディア報道により、Facebookが長年、パートナーアプリによる個人情報の悪用を許可していたことが明らかになりました。ユーザーの趣味や友達などの個人データが、ケンブリッジ・アナリティカなどの選挙コンサルタント会社の手に渡り、政治キャンペーン向けの心理プロファイルを作成しようとしました。FacebookはFTCと和解し、2020年に50億ドルの罰金を支払うことに同意しました。更新された同意判決では、より多くの従業員の仕事の中心にプライバシーを据えること、個人データに関するセキュリティを強化すること、顔認識などの機密技術の会社による使用を制限することなど、厳格で新しい要件が課されました。Metaは改訂された契約に準拠するために55億ドルを費やし、プライバシー専任スタッフを数百人から3,000人に増やすことは「プライバシーの重要性、投資、優先順位付けの点で会社にとって大きな変化」を表しています、とプロッティは述べています。

Meta は現在、ユーザーデータに影響を与えるすべてのリリースのプライバシーレビューを実施することが義務付けられており、毎月 1,200 件以上実施し、自動化と監査を導入して一貫性と厳密性を高めながら、リリース後の指示が確実に遵守されるようにしていると Protti 氏は語る。

同社の各部門は、ユーザーデータをどのように保護しているかを四半期ごとに社内で認証する必要がある。50億ドルの罰金の後、従業員はこうした認証を軽視しなくなったと元従業員は語る。新入社員は、勤務開始前に同意判決を確認し、同意しなければならない。定期的なプライバシー研修を修了しないと、企業システムへのアクセスが無期限にできなくなると従業員は言う。「Metaにとってプライバシーが極めて重要だと信じていない従業員はいないだろう」とプロッティ氏は言う。

FTCは、Meta社がその使命を果たせなかったと主張している。5月には、Meta社がMessenger Kidsチャットアプリのプライバシー設定の意味についてユーザーに誤解を与え、ビジネスパートナーによるFacebookデータへのアクセスを約束通り迅速にブロックしなかったとFTCは主張した。FTCは、Meta社が18歳未満の人々のデータから利益を得ることを禁止し、買収した企業にもプライバシーに関するコミットメントを適用することを義務付け、いかなる事業部門も監視の目を逃れないようにしたい考えだ。プロッティ氏は、これらの非難と要求は根拠がないと述べている。

結果がどうであろうと、この法廷闘争は同意判決にとっての転換点となる可能性がある。

FTCのリナ・カーン委員長は、大手IT企業への対応を優先事項としており、もし彼女が勝訴すれば、FTCはより多くの同意判決を求め、企業の規律を守るために段階的に厳格化していく姿勢を強めるかもしれない。しかし、FTCが勝訴すれば、企業が後に一方的に修正される可能性のある合意に署名するよりも、訴訟のリスクを冒す可能性が高くなり、判決の効力が弱まる可能性もあると、2012年から2018年までFTC委員を務め、現在は法律事務所ベーカー・ボッツのセクションチェアを務め、メタ社とグーグル社を他の案件で代理してきたモーリーン・オールハウゼン氏は指摘する。「そうなれば、和解するかどうかの判断基準が変わってくる」とオールハウゼン氏は語る。

Meta社がFTCによる同意判決の更新を阻止した場合、他の企業が和解ではなくFTCと争おうとするようになる可能性がある。Meta社の訴訟の結果がどちらに転んでも、米国議会は普遍的な制限を設け、FTCの権限を明確に定義するよう圧力が高まるだろう。その過程で、インターネット大手が保有する個人データの削除、移転、販売阻止といった、同意判決を超えた権利を初めて米国民に与える可能性がある。

議会協議に参加しているイリノイ州選出の民主党議員、ジャン・シャコウスキー氏は、FTCが同意判決を通じて「かつては無法地帯だった企業」に改革を強いてきたものの、「インターネット全体、そして新たな種類の脅威からアメリカ国民のプライバシーを守るためには、包括的なプライバシー法が必要だ」と述べている。しかしながら、MetaやGoogleといった企業が、競合他社を対象とするだけでなく、州間のプライバシー規則の寄せ集めを防ぐ法律を声高に支持しているにもかかわらず、議会におけるプライバシー問題への長年の無策が終結する兆しは見られない。

FTCは、同意判決の効力強化に努めながらも、連邦プライバシー法の制定が長らく待たれていたことに同意している。FTC消費者保護局長のサミュエル・レバイン氏は、長年にわたるプライバシーに関する和解は、アメリカ国民を取り巻くテクノロジーによる監視の増大とほぼ恒常化に対応するため、より限定的かつ具体的なものになっていると述べている。レバイン氏によると、FTCは和解を厳格に執行するためにあらゆる努力を払っているという。「しかし、それは立法の代わりにはなりません」と彼は言う。「大手テクノロジー企業だけでなく、同意判決を受けていない企業からも、膨大な量の個人データが収集されているのです。」