eプライバシーをめぐる戦い

欧州委員会が提案するeプライバシー規則が2018年5月より発効します。この規則を巡る状況が「戦い」と言われるのはなぜ?誰が何のために戦っているのでしょうか?

Chaos Communication Congress(34C3)は、デジタル時代のセキュリティ、プライバシー、人権に関する、一番旬なトピックスについて専門家たちが議論を交わすカンファレンスです。今年は、ヨーロッパで施行されるeプライバシー規則が話題に上りました。

デジタル権利やインターネットプライバシーを取り上げるドイツのポータルサイト、Netzpolitik.org(ドイツ語サイト)の編集者であるインゴ・ダッハヴィッツ(Ingo Dachwitz)氏は、eプライバシー規則の概要、同規則がインターネットに与えうる影響、そしてインターネット業界の代表者のほとんどが同規則は大混乱をもたらすと考えている理由について講演しました。

ヨーロッパにおける個人データ保護規則の概略史

eプライバシー規則についてはすでにご存じか、少なくともどこかで聞いたことがあるのではないでしょうか。EU加盟国では国民の意見聴取が行われ、ヨーロッパのメディアの多くでも取り上げられてきました。では、ヨーロッパでeプライバシーの話がどのように始まったのか、経緯を概説しましょう。

1990年代にインターネットが急成長を始め、それに伴い利用者データの量も増大しました。企業はこうしたデータを取得して処理するための新しい方法を開発し、データは価値ある「商品」となりました。保有する利用者データが多いほど、より効果的な分析が可能となり、より正確に消費者をターゲティングできるようになり、ひいては利用者が生成するデータに基づいた広告を表示することで商品の売り上げにつなげられるようになります。

欧州委員会(EC)は、この分野に関連するあらゆることを注視し始め、このデータを誰がどのように扱うかに特別な注目を払うようになりました。これまでになく高位なレベルでの法的規制が必要なのは明らかでした。個人データ保護に関する最初の決議は、データ保護指令です。同指令における「個人データ」の定義はやや具体性を欠いたため、21年後の2016年4月、これに代わる一般データ保護規則(GDPR)(英語記事)が登場しました。

GDPRが目指すのは、個人データを厳密に定義および分類し、EU諸国民のデータを保護するための規則を統合し、強化することです。ここで言う個人データとは、遺伝子的、知識的、文化的、経済的、または社会的な情報と、多岐にわたります。例としては、IPアドレス、顧客名、電話番号、サプライヤーの記録、職員の記録など、多くのデータが該当します。

新たなeプライバシー規則を定義する

次に来たのが、2018年5月から施行されるeプライバシー規則です。GDPRに規則を追加するもので、考え方はGDPRとほぼ同じですが、主な違いは個人データをコンテンツデータとメタデータに大別している点です。コンテンツデータとは、テキストメッセージ、画像、言語などで、メタデータとはデータに関するデータ、つまりコンテンツファイルに関する情報です。たとえばWebページであれば、キーワード、Cookie、フィンガープリントファイルなどがメタデータです。メタデータは、ネット上で誰かを特定し、追跡し、その人のふるまいを分析したいと考える者にとって大変重要な情報です。

これはChaos Communication Congressで行われた別の講演のスライドですが、現代においてメタデータがどれほど重要なのかよく示しています

eプライバシー規則では、ネット上のあらゆる種類の利用者データに関し、「プライバシーありき」を基本理念としています。具体的には、以下のようなことです。

  • データは利用者の能動的な同意がある場合にのみ収集され、コミュニケーションに不要となった場合は消去または匿名化されなければならない(第6条)。
  • あらゆる形態のオンライントラッキングは、トラッキングを望むかどうかを利用者に直接聞くところから始まり、厳密に制御されなければならない。既定でのトラッキング(利用者に許可を求めずトラッキングすること)や、トラッキングウォール(訪問者がトラッキングに同意しない限りWebサイトへのアクセスをブロックすること)は禁止する(第7、8、9条)。
  • (BluetoothまたはWi-Fiでの)オフライントラッキングは統計目的の場合、または本人の明確な同意が得られた場合に限り行うことができる(第8条)。
  • 通信サービス事業者はエンドツーエンド暗号化で利用者のデータを保護し、データの解読は利用者のみができるものとする(第17条)。
  • 通信サービス事業者は、トラッキングやターゲティングから利用者を保護するいかなる手段(広告ブロックなど)の利用も禁止してはならない(第17条)。

その「戦場」

2017年1月にeプライバシー規則が提案されて以来、ヨーロッパ社会では大議論が巻き起こっています。ヨーロッパの大手メディアだけでなく、インターネットビジネスの代表者たちも、同規則が人々の役に立たないばかりか、利用者の利便性を損ね、非生産的である、という共通の見解を主張してきました。

EUのeプライバシーに関する業界ロビイストであるInteractive Advertising Bureau(IAB)、DigitalEurope、European Association of Communications Agencies(EACA)、European Magazine Media Association(EMMA)などは、同規則に対抗するインターネットキャンペーンを展開しています(これら組織のメンバーには、Amazon、Facebook、Google、Apple、Microsoft、ヨーロッパの大手デジタル企業、広告会社、PR代理店、メディア企業などが名を連ねています)。「Like a Bad Movie」(英語)と題したこのキャンペーンは、その名(日本語で「ひどい映画のようだ」)が示すとおり、eプライバシー規則が施行された世界を描き出し、eプライバシー規則が承認されれば利用者個人やインターネット全体が害を被ると主張しています。その主張は以下のとおりです。

  • データ主導型広告の収益を制限することで高品質なジャーナリズムが減り、優良な情報源が減少、インターネット上の意見の多様性が損なわれる。
  • データ主導型広告の収益に依存する利便性の高いアプリのビジネスモデルが崩壊する。
  • 同規則は、デバイスの一つ一つ、ブラウザーの一つ一つ、Webサイトの一つ一つで消費者がプライバシー設定を管理するように強いるもので、消費者を助けるというより混乱をもたらす。
  • Webサイトはデータ主導型広告による収益が見込めなくなるため、利用できる無料コンテンツが大幅に減る。

ロビイストたちの全体的な主張は、同規則がデータ主導型のビジネスモデルを脅かすという点にあり、そのために強い抵抗を見せています(英語記事)。2016年に欧州委員会とロビーとの間で行われたeプライバシーに関する会議は41回に及び、うち36回は企業の利益に関するものでした。結果、同規則の(現時点での)最終提案では、ドラフトにあった項目がいくつか削除されています。たとえば、メタデータの定義は不明瞭なものとなり、コンピューター機器にeプライバシー設定を既定で盛り込む提案は削除されました。

戦いは続いています。欧州議会が2017年10月23日に提出した同規則の修正案(英語)には、業界の代表者たちを抑制する規則が厳しくなっていました。ロビイストも降参したわけではなく、文書を完全に書き換える修正案を新たに提示する時間はまだあります。

現時点で把握しているのは以上です。事態がどう動くか、今後も要注目です。インターネットに関わる業界が利用者データの恩恵を受けられなくなる可能性があることから、eプライバシー規則が世界に与える影響は甚大です。同規則が採択されたならば、今年最大の出来事の1つに数えられるでしょう。グローバル経済に与える影響は、確実にFIFAワールドカップ以上でしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?