Google自身を救うためのプライバシーの戦い

2009年夏の2日間、Google内外の専門家が集まり、ユーザーのプライバシー保護に向けたロードマップを策定しました。当時、Googleはデータ収集とユーザートラッキングの慣行で批判を浴びていました。このサミットは、ユーザーがよりコントロールされていると感じられる方法を体系化することを目的としていました。

当時Google入社3年目で、現在はプライバシーインフラ担当ソフトウェアエンジニアリングマネージャーを務めるエンジニアのアマンダ・ウォーカーは、サミットのセッション中に紙のワークシートにメモを書き留めていた。「HMW：政府や第三者からの悪質な要求の影響を軽減する」と彼女は「どうすればいいか」を簡潔に表現して書き出した。その後もいくつかの提案が続いた。「悪質な要求を阻止する。プライバシーを測定可能にし、増大する脅威を表面化させる。業界全体で」。これが、後にGoogleの透明性レポート群の種となり、政府によるデータ提供要求などを開示するようになった。

これは、その夏にグループがブレインストーミングし、実現した数々の機能の一つに過ぎませんでした。「ペルソナ管理」というアイデアはChromeとAndroidのプロファイルに生まれ変わりました。「ユニバーサル設定」はマイアカウントとマイアクティビティに変わりました。そして「プライベート検索」は、検索クエリやその他のアクティビティを確認、一時停止、削除できるコントロールへと変わりました。

Googleの長年の従業員たちは、2009年のプライバシーサミットを転換点として記憶している。「サミットの多くは、当時予想していたよりもはるかに多くの作業が必要でしたが、重要な点については正しい方向へ進んだと確信しています」とウォーカー氏は語る。

しかし、それから10年近く経った今でも、プライバシーをめぐる論争はGoogleを悩ませ続けている。ここ数カ月だけでも、AP通信は、GoogleがAndroidとiOSの「ロケーション履歴」というプライバシー設定で位置情報の収集を一時停止した後も、ユーザーの位置情報を保存し続けていたことを明らかにした。9月末には、Chromeは共有デバイスのプライバシー向上を目的としたユーザーログインの変更を撤回せざるを得なかったが、この変更が別の懸念を引き起こしたためだ。その後、ウォール・ストリート・ジャーナルが、これまで公表されていなかったデータ漏洩で50万人以上のGoogle+ユーザーの個人情報が無防備な状態になったと報じたことを受け、Googleは10月にGoogle+を閉鎖した。そしてGoogleは、再び中国向けに検閲付きのサービスを構築している。

改善と失敗の揺るぎないサイクルの中で、Googleがユーザーのプライバシーに及ぼす影響と保護策を網羅的に把握することはほぼ不可能だ。しかし、その戦いの最前線にいる人々が自らの仕事をどのように捉えているか、そしてそれがGoogleの収益源という根本的な真実とどのように関連しているかを理解することは極めて重要である。

Googleのプライバシー機構は世界中に広がり、専任の独立チーム、他チーム内のグループ、そして広範なリーダーシップ構造を含み、数千人の従業員と数十億ドルの累積投資で構成されている。ここ数週間、あらゆるレベルでプライバシーに取り組んでいる10人以上のGoogle従業員が、これらの取り組みの巨大な規模と範囲についてWIREDに語った。研究者からエンジニア、プログラムマネージャー、そして経営幹部に至るまで、すべての従業員が共通の目標を掲げていた。それは、Googleユーザーを尊重し、Googleのサービス上でリアルタイムに生成されるデータを理解し、管理できるように支援することだ。

しかし、Googleは消費者向けソフトウェア企業でもなければ、検索企業でもありません。広告企業です。ウェブ上で広告販売を仲介するために、ユーザーに関する膨大なデータを収集しています。そのためにGoogleは、膨大なデータの集約と分析を通じて、可能な限り多くのウェブユーザーの背景、閲覧習慣、嗜好、購入履歴、そして生活について深く理解する必要があります。先週発表された第3四半期決算では、Googleの親会社であるAlphabetは337億ドルの売上高を報告しました。そのうち約86%はGoogleの広告事業によるものです。

「Googleはハッカーやフィッシングからユーザーデータを保護したり、検索履歴を消去したりシークレットモードに切り替えたりといった点で優れた仕事をしています」と、ヴァンダービルト大学のコンピュータサイエンス研究者で、Googleのユーザーデータ収集・保存ポリシーを研究しているダグラス・シュミット氏は語る。「しかし、彼らのビジネスモデルは、ユーザーに関するデータを可能な限り収集し、それらを相互に関連付けて、オンライン上のペルソナとオフライン上のペルソナを結び付けようとすることです。こうした追跡は彼らのビジネスにとって絶対に不可欠なのです。『監視資本主義』という言葉がまさにぴったりです。」

だがグーグルは、今日の企業ユーザーデータ保護と透明性メカニズムのあり方を形作る上でも大きな役割を果たしてきた。透明性レポートはテクノロジー大手の間では定番となっており、カスタマイズされた設定ウォークスルーなど、グーグルが初期に提供していた他のユーザーセキュリティとプライバシー機能も同様だ。また、アップルがデータダウンロードのオプションを導入したのはつい最近のことだが（欧州の包括プライバシー法であるGDPRに促されてのこと）、グーグルがそうしたツールを初めてリリースしたのは2011年のことだ。同社はまた、ユーザーのプライバシー管理オプションの改善と改良を続けている。最近の動きの1つは、ユーザーデータフローと設定オプションに関する情報を検索結果のメイン画面に直接表示することで、ユーザーが常にこれらの問題について積極的に考えるように促すというものだ。

「私たちは他のほとんどの人よりも何年も前から、これらの課題に気づき、取り組まなければなりませんでした」と、Googleのグローバルプライバシーテクノロジー責任者で、11年以上Googleに勤務し、NightWatchプライバシー監査プログラムを監督するリー・キスナー氏は語る。「私たちがかつてどこにいたのか、今どれだけの知識を持ち、どれだけのことを成し遂げてきたのかを振り返ると、私たちが成し遂げたことを本当に誇りに思います。しかし、終わりはありません。」

プライバシーを重視するグーグルの従業員は、自分たちの仕事と事業の現金を生み出す側面との間に矛盾はないと述べ、手加減しなければならないというプレッシャーも感じていないという。

「私たちは、開発する製品から広告ビジネスをうまく遮断しています」と、Googleフェロー兼エンジニアリング担当副社長のベン・スミスは語る。「しかし、広告は多くの無料サービスの資金源となっています。『すべての人のために』という時、私たちは高価な携帯電話を買えず、月額20ドルのサブスクリプション料金を払えない人々のために開発したいと考えています。そして、データへのアクセスの民主化は、社会と世界にとって良いことだと考えています。」

Googleは、包括的なユーザーセキュリティと不正使用防止機能を備えた最高品質の消費者向け製品を開発し、世界中の誰もが無料で利用できるようにしています。このような企業はほとんどありません。Googleは、ウェブのパフォーマンス、安定性、そしてセキュリティの向上に資金を提供し、インターネット全体の水準を高めています。しかし、これらすべてが「無料」であるかどうかは議論の余地があります。Googleユーザーは、実質的に個人データを使ってサービスに料金を支払っているのです。

「大きな問題は、私たちがGoogleに必要以上のデータを提供していることだと思います」と、YouTubeのレコメンデーションアルゴリズムの開発に携わり、現在は監視団体AlgoTransparencyを運営する元Googleエンジニアのギヨーム・シャスロ氏は語る。「何かが無料だと、私たちは非合理的な行動をとります。そして、ユーザーもGoogleに対して同じように振る舞います。Googleが私たちのデータを永久に保持しているというのは、全く理不尽です。」

Googleは、ブラウザの幅や高さなど、特定の情報は一定期間後に自動的に削除されると述べている。しかし、ビジネスの観点から見ると、多くの情報を無期限に保持しておくことは十分に理にかなっている。「データから得られる洞察に頼るなら、データが必要なのです」と、セキュリティとプライバシーの研究者であり、W3Cテクニカルアーキテクチャグループのメンバーであるルカス・オレニク氏は述べている。

Googleの現職および元従業員のプライバシー担当は、プライバシー保護を弱める内部圧力はないと主張している。

「Googleで本当に根強く残っていて、外部の人に説明するのが本当に難しかったことの一つは、全員がプライバシーにどれほど真剣に取り組んでいたかということです」と、2017年半ばにGoogleを退職し、職場行動のスタートアップ企業Humuでプライバシーエンジニアリングとデータ保護に携わることになった元シニアプライバシーエンジニアのヨナタン・ズンガーは語る。「プライバシーの重要性を誰かに納得してもらう必要はほとんどありませんでした」

Googleは、開発プロセスの早い段階で新サービスや機能にプライバシー保護を組み込むことをますます重視するようになっている。キスナー氏が率いるこの取り組みは、開発者が期限が迫った時に保護機能を追加しようとする際に生じる緊張を回避するのに役立っている。しかし、こうしたプライバシーへの配慮がいつから適用されるかは不明だ。9月に行われた、中国向けの検閲付き検索エンジン（プロジェクト・ドラゴンフライ）に関する議会公聴会で、Googleの最高プライバシー責任者であるキース・エンライト氏は、自身のチームはまだこのプロジェクトに関与していないと証言した。

一方、Googleはセキュリティとプライバシーのチェックアップツールの開発にも多大なリソースを投入してきました。このツールは、Googleのデータ管理の仕組みと利用可能なオプションについて、一種の説明チェックリストに沿ってユーザーを案内します。このプロジェクトでは、実際に理解できるプライバシーに関する用語の開発に特に重点を置いており、プライバシーポリシーを60言語、Googleアカウントページを150言語で提供することで、翻訳による情報の損失を防いでいます。「プライバシーとセキュリティの専門家はユーザーではなく、Googleです」と、Googleアカウントセキュリティのプロダクトマネジメントリーダーであるグエミー・キム氏は述べています。「Googleはユーザーに何が問題なのかを伝え、異常を指摘し、設定方法を案内するべきです。」

また、Googleは、元研究者がGoogleの傘下で論文を発表し続けているおかげで、人工知能、コンピュータサイエンス、デジタルプライバシーに関する厳密な研究の最前線に立つことが多くなっています。Google内部からのプライバシー研究は利益相反の危険性をはらんでいます。アンテロープの安全性を研究するためにライオンを雇う人はいないでしょう。しかし、Googleサービスにおけるプライバシー行動を調査した研究者を含む学者たちは、Googleの研究は高く評価されていると述べています。

「彼らのプライバシーに関する学術研究は堅実だと思います」と、プリンストン大学の博士研究員で、デジタルデータの流れとオーバーリーチを研究するギュネス・アカル氏は言う。「グーグルの研究者やエンジニアによるプライバシー関連の論文は、一流の学会で発表されており、質も非常に高いのです。」

例えば、ここ数年、Googleの研究者たちは、分散したデータセットからモデルを構築できる機械学習技術の開発に貢献してきました。そのため、情報の一元化されたリポジトリは不要になりました。「フェデレーテッドラーニング」と呼ばれるこのメカニズムにより、Google（あるいは他の企業）は、ユーザーデバイスを取り外すことなく、デバイス上でローカルに予測アルゴリズムを開発できます。つまり、モデルは数百万台のデバイスから提供される集合的なデータセットを用いて学習し、成熟させることができるのです。情報を別の組織のサーバーに送信する必要はありません。

この技術は、差分プライバシーの概念と多くの点で合致しています。差分プライバシーとは、集団から得たデータを、その中の個人に関する情報を抜き出して分析する統計的プロセスです。どちらも、Googleのような組織が保有する個人データの量を削減する次世代技術であり、犯罪的なハッカー、諜報機関、その他の政府機関による侵入に対するプライバシー防御を強化するという追加のメリットがあります。

「約9年前、Googleのセキュリティ強化に携わる中で、限界に挑戦する新しい技術に着目するという明確な任務を負いました」と、機械学習アルゴリズムの保護機能向上を率いるシニアスタッフリサーチサイエンティストのウルファー・エルリングソン氏は語る。「セキュリティとプライバシーの分野で25年間働いてきた経験から、良い解決策なんて存在しないことを知っています。たいていの場合、まず悪い解決策があり、それをうまく機能させるのに苦労するのです。しかし、機械学習を使えば、これらの機械を訓練することで、人間に関する詳細情報を一切取得しないようにすることができます。」

「企業としては大きくなっていますが、大きくなったからといって悪事を働くつもりはありません」と彼女は言います。「こうした非常に重要なテーマについては、データを公開しています。ですから、もし何か傾向や気づいた点があれば、私たちに責任を負ってもらうことができます。一般ユーザーは、オンラインの情報の流れに影響を与える可能性のあるすべての法律やポリシーを把握しているわけではありませんが、私たちは知っています。ですから、私の最終的な目標は、ユーザーに私たちが支えになっていると感じてもらうことです。」

しかし、Googleは頻繁に躓いている。同社の問題の一部は、ここ数年で明らかになった、Facebookのような巨大ユーザープラットフォームが自社のサービス、そしてビジネスの優先事項が社会に及ぼし得る根本的な影響を過小評価、あるいは考慮していなかったという広範な事実と合致する。

「Googleはセキュリティとプライバシーに関する卓越した専門知識を持つ人材を擁しているという強みがあるが、プライバシーの保証とビジネスニーズの両立はどこにおいても難しい課題だ」と、独立系研究者のオレニク氏は述べている。「潜在的な問題は、Googleのリアルタイム入札広告プラットフォームのような影響力の大きい技術の悪用を過小評価していることだ。こうしたリスクは予見できたはずだと私は考えている」。過去数年間、Googleは自社の広告ネットワーク上で不適切または問題のあるコンテンツを許容していることで批判され、ボイコットの対象にもなってきた。

Googleは10年以上にわたりプライバシーに関する業界をリードする取り組みを続けてきたにもかかわらず、一連のエラーを「Googleプライバシーのグラウンドホッグデー」と呼ぶ人もいます。しかし、Googleは多くの場合、自社だけでなく業界全体の問題を解決する技術も生み出してきました。

Google の批評家の多くは、少なくとも技術的な観点からは、広告によって資金が調達されながらも、ユーザーのプライバシーとビジネス上の利益のバランスが取れる程度にデータをサイロ化して管理するユーザー サービスを開発することは可能だと考えているとも指摘しています。

「Googleのような企業が、プライバシーと利益のバランスを取った、優れた使いやすい製品を作ることは全く可能だ」と、ジョンズ・ホプキンス大学の暗号学者マシュー・グリーン氏は10月初旬、Chromeの問題点を指摘する変更を公然と非難した後、こう記した。「ただ、Googleに約束を守らせるための何らかの対抗圧力がなければ、Google幹部がそれを正当化するのはますます難しくなるだろう。」

WIREDが本記事のためにGoogleで取材したほぼ全員が、同社のプライバシーに関するミスや失敗は、前例のないデータフローの課題に直面し、対処するGoogleの独自の立場に起因すると述べた。「Googleは、その業務内容とそのスピードゆえに、必然的にプライバシーエンジニアリングが培養される培養皿のような存在なのです」と、Googleのエンライト氏は語る。「私の経験では、Googleの失敗や失敗のほとんどは、自らの楽観主義に傾倒しすぎて、他者の知恵を活かすことに失敗したことに起因すると言えるでしょう。」

しかし、もう一つの選択肢は、もう少しゆっくりと進むことだ。グーグルを批判する人々は、同社がビジネス革新が問題を引き起こす前に、プライバシーへの配慮と安全策の整備をもっとしっかり行うべきだと指摘する。

「これらの企業、特にGoogleには、プライバシー、データ保護、法律、そしてエンジニアリングの分野で最も優秀な人材が揃っていることは間違いありません」と、デジタル出版業界団体Digital Content NextのCEO、ジェイソン・キント氏は語る。（WIREDの親会社であるコンデナストも会員である。）「彼らはムーンショットを誇りにし、莫大な富と高い利益率と成長を誇っています。しかし彼らは、『これが私たちのビジネスモデルです。このビジネスモデルを維持できなければ、アクセス料金を請求しなければなりません』と言っています。非常に二元的な考え方です。彼らには軌道を変える力はありますが、状況が少し変わるかもしれないという考えを一切認めていません。」

元Googleのプライバシーエンジニアであるザンガー氏は、同社にとって大きな課題は、多くの人が何らかの危険が存在するという漠然とした認識はあるものの、プライバシーに関する懸念を実際には理解していないことが調査やアンケートで一貫して示されていることだと指摘する。その結果、人々はGoogleに対して、必ずしも建設的でも実行可能なものでもない批判や要望を投げかけている、と彼は言う。

しかし、ザンガー氏は、グーグルで働く人々が、一部の外部の人が本質的だと見ているのと同じ矛盾を、同社に根付いたものとして見ていないかもしれない、さらに微妙な理由を指摘している。

「Googleのような企業では、常に対処が難しい側面が一つあります。それは、大量のデータが存在すること自体が危険だという懸念を人々が抱くことです」とザンガー氏は言います。「このように考える人は、一般的にGoogleで働くことはないでしょう。そのため、こうした懸念は一般的にあまり反映されません。Google社員がこの問題に対処する際は、『では、このデータの存在はどのようなリスクをもたらす可能性があるのか​​？』というより具体的な質問をします。『では、もしデータが全く存在しなかったらどうなるのか？』というメタな質問をしようとはしません。」

Googleがユーザーのプライバシー保護に多大な努力を注ぎ、その過程で直面してきた困難を考えると、この問いは根本的に異なるパラダイムを示唆している。Googleがこのパラダイムについてサミットを開く可能性は低いだろう。もしデータが全く存在しなかったらどうなるだろうか？

WIREDのその他の素晴らしい記事

• 空軍の音を吸収する部屋に入ってみよう
• Googleドキュメントを作成するための非常にシンプルで素晴らしい方法
• マクラーレンがピットクルーをアスリートのように扱うようになった経緯
• テキサス州では、技術者たちが赤い州を青に変えようとしている
• 写真：ブレードランナー風の東京の光景
• 次のお気に入りのトピックについてさらに深く掘り下げたいですか？Backchannelニュースレターにご登録ください。