コロナを発端に米国で起きている政府と民間のデータプライバシー議論とは？

データプライバシーに関する議論は米国を中心に経済再開の動きと共に徐々に盛り上がり始めています。

2001年9月11日に起きた同時多発テロを発端として、米国愛国者法が制定される事になりますが、当時行われたデータプライバシーに対する侵害行為が20年近くたち再度議論が始まっています。

サイバー防衛等、今後民間から政府への情報共有が強化される事になる場合は政府側でのデータプライバシーに対する対応も求められる事になります。

サイバー防衛　民間と情報共有強化　政府、米欧参考に

今回はコロナ下での経済回復とそれに伴って懸念されるデータプライバシーに対する今後の動きを、アメリカの民間企業中心に始まっている新しい動きから紹介していきたいと思います。

米国の民間企業を巡るデータプライバシーの議論

コロナ対策に踏み切る大手テック企業

コロナウイルスの感染拡大を防ぐために各国がコロナ対策アプリの開発を行っています。

位置情報を取得するモデルから、Bluetoothでの接触確認に限定したものなど国によって採用基準が異なっている点が一つのポイントです。

日本国内ではGoogleとAppleが提供する仕組みを採用して開発を進めています。以前書いた記事でも紹介しましたが一部懸念されるケースが考えられるもののデータプライバシーを前提にした設計になっており、採用する国も徐々に増えてきています。

GoogleとAppleが共同で開発する取り組みはデータプライバシーに配慮し他設計になっていますが、GoogleとAppleのそれぞれの会社が提供する仕組みに対してのデータプライバシー懸念は残っています。

Googleのケース

Googleの場合はフランスのデータ保護当局CNILによって昨年始めに5千万ユーロ（約62億円）の制裁金を科すと発表されています。

グーグル制裁金、個人情報の収集手法に「待った」

利用者（データ提供者）視点から容易にGoogleのデータにアクセスが難しい事に加えて適切に利用者同意を取得できていない点が指摘されたケースになります。

アンドロイド上でのIDに関しても一部データプライバシーに関する議論が行われています。

Google’s Android ad ID targeted in strategic GDPR tracking complaint – TechCrunch

オーストリアに拠点を置くデジタル上での権利に関する取り組みを行う非営利団体noybは、アンドロイドでの開発者向けの広告IDに関するポリシー設計が個人データプライバシー上不十分としてブログ上で声明を発表しています。Googleでは以下の内容でポリシーを公表しています。

広告IDはユニークIDで、利用者がGoogle Play上でリセットできるIDです。利用者は開発者に対して必要なIDのみを提供することができる設計になっています。利用者はGoogle Playアプリ上で識別子のリセットや個別のターゲット広告をオプトアウトができる設計になっています。

noybの指摘では利用者がリセットできることと、利用者の行動を追跡できることは別だとしてGDPRの下対応を求めています。

Appleのケース

アイルランドのデータ保護機関はAppleのSiriの品質評価プロセスに対して懸念点を紹介しています。

アイルランドの個人データ保護機関、Siriの品質評価プロセスについてAppleに質問

Appleと仕事をしていたThomas le Bonniec氏の欧州保護機関への告発により、GDPRの下でテクノロジー大手企業に対する制裁の見直し等の要求が行われています。

昨年の7月に英紙ガーディアンによって外部委託事業者に対してSiriの音声データが送られ分析されていたと報道されています。全データの1%でApple IDとは紐づけられていない（音声データは個人データでは無いとの回答）と当時は回答が行われていました。

音声データ分析の目的としてはSiriが適切に解答できているかどうかという点を検証するために行われていたため、検証結果によっては個人を特定できるケースもあるためGDPRの下での制裁に関する要求が求められています。

コロナ対策として両社はデータプライバシーに配慮した取り組みをスタートしていますが、本業でのビジネスにおいてはいくつか懸念点が上がっています。

コロナ対策で浮上したデータプライバシー問題

既に公開されているコロナ対策アプリに関してもデータプライバシーに対する懸念は続いています。

米国では3つの州政府でコロナ対策アプリを展開しており、それぞれの州では独自に利用が進んでいます。

アプリを展開している州の中でCare19と呼ばれるアプリを提供しているノースダコタ州ではデータプライバシーに関する懸念が指摘されています。

データプライバシー 調査などを行っているJumbo PrivacyはCare19のアプリでのデータ取り扱い懸念をブログを通じて公表しています。ポイントとしては以下の2点です。

１、アプリを通じて取得したデータを第三者に提供していた

昔日本でも話題になったサービスFoursquare等（バルセロナに拠点を置くBugfender社とGoogleが提供するFirebase）にデータを第三者提供していたと分析結果から公表されています。Foursquareでは位置情報を広告出稿者へ提供しているため、アプリを通じた位置情報がお金に変えられている可能性があると指摘しています。

Foursquareがアプリから取得したデータをどのように活用しているかは、現在確認中という事ですがユーザーに同意なく広告利用されているとなると問題に発展する可能性はあります。

２、アプリから取得したデータが匿名では無くなる可能性がある

Foursquareなどの第三者企業にデータが提供された場合、例え位置情報は匿名化されていた（今回はIDFAと呼ばれる広告識別子）としてもFoursquareなどの第三者企業を通じて個人を特定できる可能性があります。

例えば、FacebookなどにSDKと呼ばれるソフトウェアキットを通じて（Zoomの件はこれが問題になりました）データが渡った場合には、個人のアカウント情報を紐付けて特定できる可能性があります。

今回のケースではFoursquare側でデータ利用を行わないという発表と、Care19側で削除対応が行われたため大きな問題へと発展することはありませんでした。

当初のプライバシーポリシーに関しても変更が行われ、提供する第三者名等などを公表する事になります。

Care19のケースでは開発者側でもFoursquare等へのデータ提供に関して把握していなかったという事で、知らず知らずの間にIDを匿名化していたとしても第三者にデータを提供してしまっているケースは考えられると思います。

米国政府に対するデータプライバシー規制

米国では民間企業だけでなく政府に対するデータプライバシー 規制に関する議論も進んでいます。

Apple, Facebook, Microsoft, and Other Major Tech Firms Condemn Plans to Surveil Americans' Web Traffic

FBI（連邦捜査局）に対して令状なくウェブ上でのデータトラッキング調査を実施する事に対して反対する動きを見せています。

これは5月14日に80-16の投票でアメリカ合衆国上院で通過したFBIによる3つのトラッキングツールに反対するもので、14日に通過した内容としては以下の内容になります。

ビジネスレコード：過去に米国愛国者法の下に制定された国際テロリストスパイ対策、外国のインテリジェンス調査と類似したレベルでの調査

ロービング・タップ：盗聴を活用した調査（複数のデバイス間での調査が可能）

ローン・ウルフ：特定の個人に関する追跡調査

上記の内容に対して民間のテクノロジー企業、及び一部反対議員、超党派議員の中から反対意見が提出されています。

民間企業からは、The Reform Government Surveillance coalitionと呼ばれる連立を組み政府からのデータプライバシー介入に対して反対する動きを見せています。連立では主に以下の内容を政府に対して要求しています。

１、政府でのデータ収集の限定

２、政府によるデータ取得に対する説明責任の要求

３、民間企業に対してのデータ活用の目的の公表と透明性を前提にした明確化

４、政府が取得したデータに対して民間企業、個人がアクセスできる仕組み

５、政府間でのデータ共有の明確化

６、暗号化を含めた十分なデータセキュリティ体制

連立の動きにはApple、Facebook、ドロップボックス、Twitter、Google、Linkedin、Microsoft、Snap、VerizonMediaなどテクノロジー大手企業が参画し、一つの大きな動きになっています。

（画像：The Reform Government Surveillance coalitionより）

加えて、AmazonやOracle等が参加するInternet Infrastructure Coalitionも賛同を発表しています。

テクノロジー大手企業を中心に政府に対するデータプライバシーの要求は、コロナ下で徐々に大きくなってきており、連邦法を含めてデータプライバシー関連の動きが今後も加速していくと考えられます。

米国で広がるデータプライバシーに関する議論の行方は

米国では現在データプライバシーに関する議論が積極的に行われています。今回の政府に対するデータプライバシーに関する要求だけでなく、各州でもデータ利用に関して見直しの動きが生まれています。

ニューヨーク州ではマンハッタンに拠点を置くClearview AIに対して、集団訴訟が行われています。

NYC facial-recognition software company sued over privacy, civil liberties issues

ソーシャルメディア上で公表された顔写真のデータを収集し警察がデータを活用することで、公権力と個人の権利（インターネット上にアップロードされたデータに関して）侵害に関わる問題に発展しています。

これ以外にもデータプライバシーにまつわる訴訟は徐々に増えてきていますが、これまで民間企業を中心に行われていたデータの活用が公の機関によって実施される事によって矛先が徐々に変化してきています。

特にコロナの状況で政府が民間、もしくは直接個人からデータを集める機会も増えていくと思います。そういった環境の中で、政府と国民、民間企業の間でのデータ利活用に関する取り決めを明確にしていく事が必要になると考えられます。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

引き続きCOMEMO記事を読んで頂けると嬉しいです。

↓↓↓

記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!!

Facebookにログイン