ゲッティイメージズ / WIRED / FaceApp
年をとったらどんな風に見えるのか気になるなら、おそらくすでに Face App をダウンロードして試したことがあるだろう。これは、自分の顔の写真を撮ってフィルターを適用し、年齢を重ねたように見せる iOS および Android アプリだ。
このアプリで生成された写真はここ数週間ソーシャルメディアを席巻しているが、Faceアプリ自体は2017年に初めてリリースされた。しかし、このアプリの人気が再燃したことで疑問が生じている。セキュリティ上の懸念に関する見出しが、アプリで生成された古い画像とほぼ同じ速さでソーシャルメディアに広がっているのだ。
この懸念を最初に提起したのは開発者のジョシュア・ノッツィ氏で、同アプリがユーザーの携帯電話に保存されているすべての写真をTwitterにアップロードしていると主張しました。しかし、この懸念は本当に事実に基づいているのでしょうか?それとも、Face Appは他のテクノロジー企業が立ち上げたアプリ(それもかなりひどいものになりがちです)と比べてそれほど悪くないのでしょうか?
Nozzi氏が提起した主な懸念、つまりFaceアプリがインストールされているすべてのスマートフォンのカメラロール全体にアクセスするという懸念は、iOS向けの人気ファイアウォールアプリの開発者であるWill Strafach氏には当てはまりませんでした。しかしStrafach氏は、Faceアプリがフィルターを適用するために単一の画像をサーバーにアップロードしていることは確認しました。
これは別の研究者によっても確認されている。「フィルターをかけるために、現在表示されている写真をアップロードするだけです」と、Faceアプリがユーザーのスマートフォンとどのように連携するかを調査したフランスのセキュリティ研究者、ロバート・バティスト氏は述べている。「スマートフォンの基本情報を含むデバイス登録リクエストも送信しますが、データ消費量を考えるとかなり合理的です。」
しかし、バティスト氏をはじめとする関係者は、Faceアプリのサーバーにアップロードされた個々の写真がどうなるのか、またどれくらいの期間保存されるのかを知ることはできない。2017年、同社のCEOであるヤロスラフ・ゴンチャロフ氏はThe Vergeに対し、写真は帯域幅を節約するためにアプリのサーバーにアップロードされるが、「すぐに」削除されると語っている。
これは一部の人々にとって懸念材料となっており、テクノロジー企業が人工知能(AI)の顔認識能力を訓練するために、膨大な顔写真データベースを収集していると指摘しています。先月、マイクロソフトは警察が使用するとみられるシステムの訓練用に収集した1,000万枚の著名人画像データベースを削除しました。IBMは以前、Flickrから取得した写真を用いて顔認識サービスを訓練していました。
しかし、このアプリが不正な目的で使用されていることを示す他の動作は見当たりません。このアプリは3つのサードパーティ製パッケージを使用しています。1つは、アプリがクラッシュレポート、分析、プッシュ通知を送信できるようにするGoogleのFirebaseサービスセット、もう1つはFacebookのSDK(通常は分析に使用)、そしてもう1つはFacebook製のパスワード不要のアカウント作成ツール「Account Kit」です。
ヤロスラフ・ゴンチャロフ氏は声明の中で、Faceアプリは編集中の画像以外をスマートフォンからクラウドに転送することは「決してない」と述べた。「ほとんどの画像はアップロード日から48時間以内にサーバーから削除されます」とゴンチャロフ氏は述べた。
専門家たちは、ユーザーの閲覧履歴を追跡するアプリの利用規約についても懸念を表明している。画像操作ソフトウェアには不要と思われる機能だ。また、Faceアプリに膨大な権利を付与する可能性のあるプライバシーポリシーについても懸念を表明している。
本アプリを使用すると、「ユーザーコンテンツおよびユーザーコンテンツに関連して提供される名前、ユーザー名、または肖像を、現在既知または今後開発されるあらゆるメディア形式およびチャネルにおいて、お客様への報酬なしで、使用、複製、変更、翻案、公開、翻訳、派生作品の作成、配布、公に実行、表示する、永続的、取消不能、非独占的、ロイヤリティフリー、全世界的、全額支払済み、譲渡可能、サブライセンス可能なライセンス」が付与されます。さらに、広告関連のトラッキングと、商業広告目的でのユーザーコンテンツの使用を許可することになります。
「この条項は、彼らのツールを使用して作成したコンテンツの権利を放棄することを意味します」と、データ保護とプライバシーの専門家であるパット・ウォルシュ氏は言う。
しかし、多くのアプリが同様の利用規約を定めています。「率直に言って、FaceAppの利用規約は、何十億人もの人々が毎日利用している他のソーシャルメディアプラットフォームの利用規約と何ら変わりません」と、エクスペリエンスマーケティングエージェンシーDigitas UKの戦略パートナー、ジェームズ・ワットリー氏は述べ、FaceAppのポリシーをInstagramのポリシーと比較しました。
「これらのプラットフォームの違いは、アプリが生成するデータに対してオプトアウトできる点です」と彼は言う。「コンテンツを削除すれば、FacebookやInstagramのようなプラットフォームはそれを使用しなくなります。しかし、このサービスにはそうした良識が欠けているように思えます。はっきりさせておきたいのは、このサービスはちょっとした楽しみとして位置づけられているということです(しかも、ユーザーの実際の顔に対しては、取り消し不能なライセンス権をひっそりと取得しているのです)。」
ゴンチャロフ氏は声明で、「ユーザーからのサーバーからすべてのデータを削除するリクエストを受け付けています」と述べた。現在、サポートチームは過負荷状態にあるが、データ削除リクエストは優先的に処理されていると付け加えた。また、Faceアプリユーザーの99%はアプリ使用時にログインしていないと付け加えた。
ワットリー氏はまた、ゴンチャロフ氏がFaceアプリのサーバーから使用直後に画像が削除されるというコメントがアプリの利用規約に明記されていないことにも懸念を抱いている。ユーザーが作成したコンテンツに対する取り消し不能な権利が、このようなサービスでは当たり前になっているという考え方に、ウォルシュ氏は懸念を抱いている。
「あなたは、懸念事項が他のアプリと比べて何か違うのか、あるいは大きいのかと尋ねました」と彼は言う。「重要な結果を利用規約やプライバシーポリシーの影に隠してユーザー体験に光を当てずに、それを倫理的にどうかと問うのは、監視資本主義がいかに常態化しているかを示す質問です。
「これほど多くのことが隠されたり説明されなかったりしているのに、一体全体、個人がプライバシーへの影響をどう理解できるというのでしょうか。例えば、具体的にどのようなデータが広告主と共有され、どのような広告主が、そしてその広告主がそのデータをどのように活用するのか、といったことでしょうか?」
さらに懸念されるのは、ウォルシュ氏がこのアプリが広告に関するGDPRの規則を遵守していないと考えていることだ。「アプリをレビューしてインストールした限りでは、eプライバシー指令(GDPRではこのような同意が標準となるはず)に則り、アプリ内広告関連のトラッキングについて同意を求めていないように思われます。ウォルシュ氏はまた、Faceアプリが英国情報コミッショナー事務局(ICO)が最近発表したCookieおよび類似技術に関するガイダンスで定められた基準と要件、そしてICOのモバイルアプリにおけるプライバシーに関するガイダンスを満たしていないのではないかと懸念している。」
もう一つの懸念は、Face Appの開発元の出所にあるようだ。Wireless Lab OOOは、民主主義のルールを曲げることに積極的であることで知られるロシアのサンクトペテルブルクに拠点を置いている。多くの人にとって、ロシアは政治的に中国に近すぎるように思われる。中国では、顔認識ソフトウェアの膨大なデータベースが構築されており、これは「社会信用」政策を推進する上で役立てられている。この政策により、中国の与党は1,350万人を「信用できない」と見なしている。その結果、中国では2,000万回以上、これらの人々が航空券を購入しようとしたが、購入は拒否された。しかし、ゴンチャロフ氏は、Face Appの開発チームはロシアに拠点を置いているものの、データはロシアに転送されていないことを確認した。
しかし、人々が抱く懸念の多くは「単なる噂」だと、喜んでアプリを使うバティストは言う。「これがソーシャルメディアの狂気です」と彼は説明する。「人々はどこにでも陰謀を見つけようとしますが、ここには写真、ロシア人、そして有名なアプリなど、あらゆるものが揃っています。」
この記事はWIRED UKで最初に公開されました。
