Google社のSafariデータに関する信頼問題について
(翻訳:Asia Plus 黒川賢吾)
英国ではGoogleに対して、iPhoneのプライバシー設定を迂回して540万人の個人データを不法に所得したという疑いにより、集団訴訟が行われている。これは、GoogleがSafariブラウザを利用するデバイスに対して、デフォルトではSafariのブラウザからのCookieを入手しないとされているにも関わらず、Cookieを利用した広告トラッキングを2011年と2012年に数か月にわたって行なっていたとされる疑いで、「Safari回避策」として知られている。Hill Dickinson法律事務所にてIT、IP、および商法を管轄しているMark Weston氏がなぜ法律により信頼を勝ち取るべきかについて説明してくれた。
テクノロジー界には「サービスが無料である場合には、製品はあなた自身だ(あなた自身のサービス利用が製品の収益の一部となっている)」という言い回しがあります。Gmail、Facebook、Twitterなど、今や生活には欠かせない便利なツールとなっている無料のWebサービスについて、ユーザーは、巨大企業の親切により無償で提供してくれていると考え利用しています。
しかし、あるレベル(潜在意識など)において、電子メール、投稿、つぶやきなどが精査分析され、お金儲けの手段として利用されている点についてユーザーは理解しています。とはいえ、サービス事業者がある程度のレベルを超えた「あまりにも悪い」ことをしないと信頼していることを前提に、そのようなサービス利用を行なっています。 また必要な場合には、サービスオペレータの特定の動作をブロックしたり、サービスの使用を停止したりすることもできます。 私たちは、法律というルールがあることを理解しており、その内容を知らなかったとしても、サービス事業者がそのルールに従っていると認識しています。
しかしながら、もしその信頼が裏切られたらどうなるでしょうか?この「Safari回避策」はこのような裏切りの一例ではないでしょうか?
それに対する法律があります。 データ保護法は1984年から施工されており、1998年に、データ保護法1998(DPA)の形で内容が強化され、その後、プライバシーや電子通信規則2003などの様々な規制が追加されました。DPAの違反は 最大50万ポンドの罰金と甚大な評判の損害を受ける可能性があります。
しかし、データ保護に関する法律が立案以来、まだ20年も経っていません。この法律は、個人が自分のデータをどのように共有するか、企業がそのデータをどのように使用しているかという点における大きな変化を考慮しながら更新されています。近年、インターネットやソーシャルメディア、スマートフォンやタブレットなどの個別化されたテクノロジーが大量に利用されています。個人に関するデータの量は膨大に増大しています。そのデータを処理する能力と優れたターゲティングに利用できるツールも非常に増えてきています。データが盗まれたり、ハッキングされたり、悪用されたりする可能性も急激に高まっています。これらの変化が発生している最中、企業はマーケティングなど様々な目的のために、データを分析して追跡し、個人の行動の理解や予測を目的として、これまで以上に洗練されたプロセスを活用するようになりました。データを活用する様々な活動は非常に複雑で、一般の人は、自分の個人情報が「そこにある」ことを理解するのは困難です。
新しい欧州規制であるGDPRは、2018年5月25日にEU諸国で発効されます。新しい英国データ保護法の形でEU脱退後の英国にも適用されます。 この規制によって、個人に新たな権利が与えられ、特定の状況下で、「忘れられる権利」や全てのデータを他に移管する権利を含む、個人に関する新しい権利を得ることができます。個人は、自分の権利とビジネスについてより多くの知識を持つようになるでしょう。 個人情報の活用についてより高度に規制されるようになり、パラダイムシフトが起こることでしょう。
GDPRの考え方は、企業が個人データに対して、根本的な文化的変化を求めるものです。これは単なるチェックリストではありません。規制当局は、企業の個人情報の扱いにおける大きな変化を期待しています。これはトップダウンで起こるべき変化で、ビジネス責任者は全てのレベルにおいてスタッフに正しい態度とアプローチを広めます。
GDPRに違反した場合、最大2000万ユーロの罰金、または世界での年間売上の年間売上高の4%のいずれかの巨額な方の金額を支払う可能性があります。 これを考慮した場合、TalkTalk社の2016年のDPAに基づく40万ポンドの罰金は、GDPRの配下では7200万ポンドに増加する可能性があります。 これはGoogleも真剣に考えざるを得ません。
このレベルの罰金により、ビジネス責任者がGDPRを考慮するようになるだけでなく、全ての人がビジネスにおける評判の損害と顧客の喪失の可能性について心配しています。そして、GDPRに準拠するために変更せざるを得ないことは沢山あります。
情報保護は、全てのビジネスプロセスにおいて組み込まれる必要があり(いわゆるプライバシおよびデフォルト設定のプライバシー)、データ保護評価を行うことは標準的となります。 GDPRは、個人情報を、健康や安全に関する法律と同レベルで厳しく管理しています。法案への準拠に関しては、ポリシー、記録、ログ、議論など全てビジネスで必要な項目に関する準拠を実証する必要があります。
信頼により機能するものは少なくなり、より法律で管理されるようになります。
ABOUT 野下 智之
ExchangeWire Japan 編集長
慶応義塾大学経済学部卒。
外資系消費財メーカーを経て、2006年に調査・コンサルティング会社シード・プランニングに入社。
国内外のインターネット広告業界をはじめとするデジタル領域の市場・サービスの調査研究を担当し、関連する調査レポートを多数企画・発刊。
2016年4月にデジタル領域を対象とする市場・サービス評価をおこなう調査会社 株式会社デジタルインファクトを設立。
2021年1月に、行政DXをテーマにしたWeb情報媒体「デジタル行政」の立ち上げをリード。