なぜかあまり騒がれていないGメール盗み読み案件

気温もますますこれから上がっていきそうな2018年8月4日みなさま、いかがお過ごしでしょうか。
WSJ（ウォール・ストリート・ジャーナル）が7月2日に報じているので今更書いても仕方がないので詳しくはWSJの記事を読んでもらうのが最適だと思います。
しかしここまで個人の情報を自由に閲覧可能にしておきながら巷で騒がれないのはやはりGoogleの恩恵にあずかっている技術者が多いからではないのかと思っています。Facebookも米大統領選に関与したとかで少しは記事やテレビで取り上げられますが、Gメールの案件はほぼネットにしか存在しません。

一応時系列にしてNeesweekにまとめてあったので写経していきます。長文です。

そのGメール絶対読まれてる！

最適な広告を表示するためにユーザーのGメールを自動的にスキャンする慣行は廃止する。グーグルがそう発表したのは1年前のことだ。この動きは、インターネット上のプライバシーを守る運動の勝利として大いに評価された。

ところが最近、ショッキングなニュースが報じられた。今もグーグルは第三者に、Gメールの盗み読みを許しているという。7月2日付のウォール・ストリート・ジャーナル（WSJ）に躍った見出しは「IT業界の汚い秘密 アプリ開発者がGメールを盗み読み」。外部ソフトウェア開発企業がいかにGメールユーザーの「承諾」を得て、受信箱の中身をスキャンしているかを詳細に報じた記事だ。
英コンサルティング会社ケンブリッジ・アナリティカが収集したフェイスブックの個人情報を流出させ、それが米大統領選への介入に使われたという疑惑の発覚以来、ネット空間におけるプライバシー擁護のハードルは一段と高くなった。

グーグルは何年も前から、表示する広告の効果を高める目的でGメールの内容を自動的に解析してきた。機械的なスキャンであり、人間が読むわけではないとグーグルは弁明したが、消費者の反発は強かった。

しかし昨年6月に事情は一変した。法人向けクラウドサービスの一環として導入した有料のGメール（メールのスキャンもターゲット広告もなし）が意外なほど好評だったからだ。そこでグーグルは個人向けの無料Gメールでもスキャンを中止し、プライバシー重視の姿勢を強調する方針に転換した。

だが迷惑メールやウィルスの検出、検索結果の最適化、受信メールへの「スマート送信」の提案など、その他の目的でスキャンは続けられていた。そして今年5月にはNBCニュースが、グーグルは今もGメールを含むユーザーの個人情報を収集して稼いでいると報じた。

追い討ちをかけたのが7月のWSJの記事だ。社内だけではなく、外部のアプリ開発業者によるメール内容の監視も許していたというから驚きだ。

こうした業者は、通販の価格や旅程管理といったメールベースのサービスに登録した何百万人ものGメールユーザーの受信箱をスキャンしている。

もちろんグーグルはこうした業者に、前もってユーザーに収集データの種類を伝え、同意を得ることを求めている。それでもたいていのユーザーは、自分が誰に何を許可したのかを理解していない。

例えば電子メールの管理と分析を専門とする会社リターンパスは、Gメールユーザー200万人の受信箱にアクセスしているようだが、利用者に直接許可を求めてはいない。163もある「パートナー」アプリのネットワークを間接的に許可を得ているだけだ。

アーニーというアプリは受信箱に届くクレジットカードなどの「最低価格保証」制度対象商品の購入履歴を読み取り、ネットで最安値を探してユーザーに連絡し、保証期間内の差額の払い戻しを可能にする。消費者には嬉しいサービスだが、実はアーニーと提携するリターンパスもメールにアクセスしている。

リターンパスは収集したデータを解析して顧客企業に情報を売り、販促用電子メールのターゲットをより効果的に絞ることを可能にしている。しかも同社では、解析ソフトの性能向上のために従業員が電子メールの中身を読むこともあるという。

無防備にアクセスを許可

アーニー側は自社のプライバシー規約で、リターンパスなどの外部企業がそれぞれのプライバシー規約に従ってユーザーのメールを監視できることを明記していると主張する。しかし登録している全ユーザーが、自分のデータがどんな会社にどのように利用されているかを本当に理解しているとは思えない。
グーグルの担当者でさえ、アーニーとリターンパスの関係や、グーグル自身の規約との整合性を完全に把握していないことを認めている。
今のところ、アーニーやリターンパス、その他の外部企業が収集した個人情報が悪用されたという証拠はない。それでも危惧すべき状況であることは確かだ。フェイスブックもグーグルも、自社のサービスを第三者がアプリ開発に利用できる「プラットフォーム」に変えようとしている。そのために、慎重に取り扱うべき個人情報の管理を第三者に委ねようとしている。
ケンブリッジ・アナリティカの疑惑発覚で厳しくなったプライバシー保護の基準に照らせば、配慮に欠ける行為と言わざるを得ない。
いうまでもないが、外部の業者にメールの閲覧を許可しているのはグーグルだけではない。
AOLとヤフーの基幹事業を統合した通信大手ベライゾン・コミュニケーションズ傘下のオースやマイクロソフトも、第三者にメールの閲覧を許可しているらしい。オースに至っては、通販利用者向けの販促情報を的確化するためにユーザーのメールをチェックしていることを売りにしている。
WSJの報道を受け、グーグルは個人情報の取り扱い方針を公式ウェブサイトで改めて説明した。外部アプリ開発業者にデータを悪用されないよう「機械および人の手による開発業者の調査、業者の説明通りにアプリが機能するかの確認テスト」を強化しているそうだ。
さらにプライバシーのチェック機能「セキュリティー診断」の使用を推奨した。筆者もやってみたところ、アップルのソフトとメールアプリ、スケジュール管理アプリにはアクセスを許可していたことが判明したが、これは問題なし。しかし何年も使っていない別のスケジュール管理アプリへのアクセス許可は取り消すことにした。
どうやら、まだ私たちの知らないことは多いらしい。しかも私たちは「知らされていない」状況を長年にわたり、黙って受け入れてきた。
私たちは相手構わず個人情報を譲り渡してきた。それでインターネットを「無料」で享受できるなら安いものに思えた。大手だけでなく、新興企業も個人のアプリ開発者も無条件に信用し、SNSのプロフィールやメールにアクセスさせてきた。
今から思えば、あきれるほど無防備だ。だが当時は消費者もメディアも、IT業界をただ同然で生活を向上させてくれる無害な魔法使いと見なしていた。
今になって情報流出の責任を一人の悪質なアプリ開発者に押し付けようとするフェイスブックの姿勢はいただけない。問題の発端となった性格診断アプリを人々が入手したのは、アレクサンドル・コーガンなる開発者を信じたからではない。フェイスブックを信じたからだ。

市民とメディアが圧力を

そんなフェイスブックに比べれば、グーグルはそれなりに自覚しているようだ。第三者が個人情報にアクセスする際はユーザーに平易な言葉で説明した上で明確な許可を得ることを義務付けている。アプリ開発者の信用度を調査し、明記された用途以外に情報を使うことを禁じている。
数年前なら、それで十分だったかもしれない。しかしIT業界への幻滅が広がり、EUが一般データ保護規制（GDPR）の導入で個人情報の保護を強化している今は、より厳しい対策が求められる。市場を支配する大手企業が怪しげな第三者に個人情報を横流しするのを、もはや社会は黙認しない。
そういう時代の変化に気づいたのか、6月にはベライゾンを含む米通信大手4社が、外部業者へのユーザーの位置情報の提供をやめると発表した。
一方でグーグルは、WSJの報道を受けてもプライバシー規約の変更といった対応を見せていない。だからリターパスは今も世界最大のメールサービスから個人情報を入手し、顧客企業に流している。相手がリターンパスだろうとマイクロソフトだろうと、こんな状況は許されるべきではない。
もちろん、個人情報保護をウェブのプラットフォームだけに求めるのはユーザーのためにならない。フェイスブックやグーグルなどの大手がデータを一手に握ってさらに強大化すれば、革新的な新興企業を次々に生んだITの生態系は崩れていく。
従業員にメールを閲覧させることの是非に、あまり神経質になるのも考えものだ。WSJの報道によれば、リターパスが従業員に、Gメール利用者のメールを読ませたのは、マーケティングに、役立つメールと私信を効率よく選別できるようにソフトウェアを改良するためだった。機械学習を利用するなら、データを適切に扱えるように人の手でアルゴリズムを改良する余地を残しておかなければならない。
何はともあれ、振り子は正しい方向に揺れているようだ。私たちは気付いた。これまでのところ、政府はネット空間でのプライバシーを守る能力も意欲も見せていない。
だから私たちが、そしてメディアが企業に圧力をかけて、やり方を変えさせるしかないのだ。－－ウィル・マリオス－－
この記事はNeesweek7月31日号に掲載されたものである。なお僕は購入している。
#Google #トランプ #プライバシー