【AdGuardニュース】ChatGPTが名誉毀損で訴えられる可能性、闇サイトGenesisをFBIらが始末、GoogleがAppleを真似する、情報漏洩アプリがまたまた出現

今回のAdGuardニュースダイジェストの内容はこちら:

• イタリア、同国におけるChatGPT復帰のための条件を発表
• ChatGPT、初の名誉毀損訴訟に直面
• 盗まれた認証情報を販売するダークウェブマーケットプレイスが崩壊
• アルコール依存症対策系プラットフォームが広告主にユーザーデータを漏洩
• Google、アプリ内データに対するコントロールをより多くユーザーに提供

イタリアがChatGPTの復帰条件を発表、その条件のすべてはプライバシー関連

イタリアは、ChatGPTを運営する米国のスタートアップであるOpenAIに、同社の大人気チャットボットを同国で禁止解除してほしければ満たすべき要求のリストを提示した。
イタリアの規制当局がEUのデータ保護法「GDPR」に違反していると非難した後、ChatGPTは3月31日以来イタリアでアクセスできない状態になっている。

現在、イタリアの規制当局は、ChatGPTをコンプライアンスに適合させるためにOpenAIが行うべきことをリストアップしています。

その要求には、

• OpenAIがAIアルゴリズムを学習させるためにユーザーのデータを処理する法的根拠を明らかにすること
• ユーザーと非ユーザーに、チャットボットが流したその人たちに関する誤った情報を訂正する方法を与えること、またはそれが「技術的に実現不可能」な場合はそのデータを削除すること
• ユーザーと非ユーザーの両方に、自分のデータ処理をオプトアウトする権利が与えられること
• OpenAIに対して、13歳未満のユーザーがChatGPTにアクセスできないようにする年齢認証システムの導入をすること

などがあります。

OpenAIを問題視しているのはイタリアだけではありません。
ヨーロッパのプライバシー監視機関は、この問題に対するEU加盟国の立場を一致させるために、ChatGPT専用のスペシャルタスクフォースを立ち上げました。

ChatGPTを含むAI搭載ツールは、もともとプライバシーに配慮した設計になっていないため、OpenAIが「EU一般データ保護規則」（GDPR：General Data Protection Regulation）というハードルをどう乗り越えるのか（そしてそもそも乗り越えられるのか）は興味深いところです。
ChatGPTやDALLE-EなどのAIツールが構築されているAIモデルは、ユーザーの同意なしにウェブ全体からかき集めた大量のデータで学習されています。
ChatGPTのトレーニングセットから自分のデータをオプトアウトしてアカウントを削除することは可能ですが、AIに何かを「アンラーニング」させる（学習したものを忘れさせる）ことは難しいプロセスです。
それに、自分のデータが完全に削除されたことを知る確実な方法もありません。

いずれにせよ、イタリアとOpenAIが問題を解決できれば、GDPR適用の他の国の手本となる可能性があります。

内部告発した市長、ChatGPTに名誉を傷つけられたと訴える

今のところ、ChatGPTは窮地に立たされており、日々多くの法的課題に直面しています。

大規模な言語モデルが「幻覚」、すなわち誤った情報を流したり、事実を「捏造」したりすることがあるのは周知の事実です。

OpenAIに対して史上初の名誉毀損訴訟を起こすかもしれないオーストラリアの一人の市長のケースでも、そのようなことが起こったようだ。
ChatGPTがその市長が贈収賄で刑務所に入っていたことがあると編し、自分の評判を落としたと、市長は言っています。
実際には、市長は贈収賄計画を内部告発した人物であり、罪に問われることはなかった。
市長の弁護団は、OpenAIに対し、28日以内に誤りを訂正するか、法的措置を取るよう言い渡しました。
市長は、OpenAIを訴えることになれば、20万ドル以上の損害賠償を求める可能性がある。

OpenAIは基本的に、ChatGPTが「もっともらしく聞こえるが正しくない答え、あるいは無意味な答えを書くことがある」と警告して、ChatGPTの出力に対する責任を免除している。
市長がOpenAIを実際に訴えることになるかどうかはわからないが、もしそうなった場合前例となるだろう。

一つ確かなことは、ジェネレーティブAI（生成系AI）がより信憑性のある答えを作ることに長け、より多くの人がそれを職場で使用するようになるにつれ、AIの間違いに対して誰が責任を負うべきか、そしてデマの拡散をどう止めるかという問題は、重要なものになってきているということです。

アルコール依存症対策系スタートアップ企業ら、ユーザーデータを広告主に流出させる

依存症と闘っている時ほど傷つきやすい時は少ないでしょう。
オンラインアルコール回復のベンチャー企業である「Monument」と「Tempest」によって個人情報が流出した10万人の患者は、オンライン医療プラットフォームに自分のデータを預ける際に、今後よく考えるようになるかもしれません。

最初にこれを報じたのはTechCrunchで、2022年にTempestを買収したMonumentは、Facebook、Google、Microsoft、Pinterestを含む広告主に患者の個人情報と健康に関するデータの大量を公開した可能性があることを明らかにしました。

データは、Monumentのサイトでは2020年から、Tempestのサイトには2017年から埋め込まれていたトラッキングピクセルを通じて、広告大手に流された。
同社は、サードパーティのトラッカーを完全に削除したのは今年2月だと述べている。
トラッキングピクセルとは、ウェブサイト所有者がユーザーの行動を追跡するためにウェブサイトに設置できるコードの小片であり、広告主が広告のパフォーマンスを測定してターゲットを絞るのにも役立ちます。
共有された可能性のある情報は、患者の名前、生年月日、メールアドレス、電話番号、自宅住所、保険番号ID、さらには写真、予約関連情報、選択したサービス、アンケートへの回答などといった機密情報です。

言うまでもなく、患者さんたちは自分の個人情報や治療方針がアドテク（広告配信技術）と共有されることに同意していませんでした。
この事件は残念ながら孤立したものではなく、2つのメンタルヘルス・プラットフォームが先月、ほとんど同じことをしていたことを認めたという事件に続くものです。

このようなデータの取り扱いは、悪質であり、遺憾でありながら、あまりにも一般的です。

どうしてもオンライン医療機関に自分のデータを預けなければならない場合は、評判の良いところを選ぶようにしましょう（
それさえも安全性の保証にならない場合もありますが）。

「クッキーモンスター作戦」で、盗まれた認証情報を販売するダークウェブのサイトが閉鎖され関係者逮捕

盗まれた認証情報やデジタルフィンガープリント（デジタルフィンガープリントとは何かについては、こちらのAdGuard記事をお読みください）がたくさん販売されていたGenesisマーケットプレイスは、FBIとその世界中法執行機関の仲間による共同作業のおかげで廃業しました。

この悪名高い招待制ダークウェブマーケットプレイスは、「Operation Cookie Monster」（“クッキーモンスター作戦”）で取り押さえられました。
この作戦は、同サイトの容疑者を含む120人を逮捕し、世界中で200件の捜索につながった。
当局は、「Genesisは、匿名性と免罪符の新時代を偽りなく約束していたが、結局はオンライン犯罪者を特定し、場所を特定し、逮捕する新しい方法を提供しただけだった」と言い、サイト管理者だけでなく、ユーザーも取り締まりの対象だったことを強調した。
2018年の登場以来、その不名誉な終わりまで、Genesisマーケットプレイスは、約8000万の盗まれたアカウントアクセス認証情報（ユーザー名やパスワードなど）へのアクセスを提供していた。
また、同サイトで提供されていたデバイスフィンガープリントにより、犯罪者は不正防止策を回避することができていた。

Genesisの取り締まりは歓迎すべきニュースですが、完全な終幕ではない可能性も高いですし、Genesisの消滅は決してオンラインID窃盗の終焉を意味するものではありません。
問題は、多くの人が自分の機密情報を、SNSで共有したり、不誠実な第三者に渡したりして自発的に提供していることです。
過剰な共有は伝染するものであり、この傾向に逆らうことが私たちの最善の利益となるのです。

Google、アプリのアカウントやデータを簡単に削除できるようにする

Googleは、Playストアのアプリ開発者に対し、ユーザーが自分のアカウントと関連データを簡単に削除できるようにすることを求めようとしています。

ユーザーは、アプリ内でもウェブ上でもこれを行えるようにする必要がある。
というようなポリシーを導入することで、Googleはアプリ内データに対するコントロールをユーザーにより多く与えることになるとしています。

このルールが導入されたことで、ユーザーは自分のアカウントを削除してもらうために、アプリを再度ダウンロードする必要がなくなります。
ウェブ上のリンクから削除を依頼することができるようになるのです。
ユーザーがアカウントの削除を要求した場合、保持する「正当な理由」がある場合以外、開発者はそのアカウントに関連するすべてのデータを削除しなければならない。
また、詐欺防止などのような「正当な理由」が何であるかを説明しなければならない。

開発者は今年の12月7日までに、データ削除の方法についてより多くの情報を提供する必要があり、ユーザーは来年にこの変更を目にすることになるかもしれません。

Googleが今回導入するルールは、App Storeが2021年に実施したものと似ています。

Appleは、アカウント作成を可能にしたアプリに対して、ユーザーが（アプリ内から）アカウントを削除できるようにすることを要求した。

Googleのような大手企業が、ユーザーの個人データに対する権限を取り戻すことは、常にポジティブなことであり、唯一の残念な点はもっと早くそうならなかったことくらいです。
しかし、自分にデータが実際に削除されたことを確認する方法がない限り、悪徳アプリはデータを保持するリスクがあることも注意すべきです。