社内文書の流出で、Googleのさらなるプライバシー過失歴が発覚
過去数年間、Googleは自分をプライバシー・チャンピオンとして再ブランディングをしようとしています。
この探求の中心には、GoogleのPrivacy Sandboxがあり、クロスサイト・トラッキングに代わるプライバシー保護として売り込まれています(しかし、ここで説明されているように、この目標には程遠いものです)。
プライバシーの問題に対する意識が高まり続ける中、最近の調査では、90%近いアメリカ人がアメリカ経済の状況よりも自分のプライバシーとデータセキュリティに懸念を抱いていると示唆される中、ビッグテックは(消費者と規制当局の両方から)行動を起こすよう圧力をかけられていることに気づきます。
しかし、プライバシーについて話すことと、実際に話した通りに行動することは別です。
今回の社内文書リークでは、2013年から2018年までの6年間、グーグル社内で従業員によって報告された、これまで知られていなかったプライバシーインシデントが明らかになった。
住所、ナンバープレート、音声データ
リークを報じたのは404メディアで、同メディアは匿名の情報提供者から、グーグル自身またはそのサードパーティ・ベンダーに関連する数十件のプライバシー関連インシデントを明らかにするデータセットを入手しました。
報告書によると、このデータベースにはグーグル従業員によって提出された「数千件」の報告が含まれており、グーグルによると、すべて対処され解決されたとのこと。
そこで、グーグル社員が報告し、私たちが特に不愉快に感じたインシデントをいくつか紹介します。
あるケースでは、グーグルのスピーチ・サービスが誤って1時間分のスピーチ・データを記録してしまい、その結果、「推定1K人の子供の発話」が収集されてしまいました。
また別のケースでは、グーグルのストリートビューが車のナンバープレートを(自動的に検閲されるべきなのに)撮影し、書き写し、この機密情報を保存していました。私たちの多くが、そもそもグーグルに私たちの家や車を撮影する許可を与えていないことに注意することが重要です。
実際、グーグルのコミュニティフォーラムには、ストリートビューの車両が許可なく私有地に入り込み、企業や住宅の360度写真を撮影していることに懸念を示す多数の苦情が寄せられています。
プライバシーとセキュリティが強化されるという約束でグーグルのプレミアム製品に投資している顧客は、次のような話を聞いて、G社にデータを預けることを考え直したくなるかもしれません。報告書によると、機密データを保護するために設計された政府機関向けの製品を使用していたGoogle Cloudの顧客が、誤って消費者レベルのサービスに移行したとのことです。この移行により、当該顧客は米国内のデータロケーションを保証されなくなりました。一般ユーザーにとっては大した問題ではないかもしれませんが、データが米国内に留まり、米国外に移動しないという保証は、通常、政府機関にとっては非常に重要です。
グーグルが被害を受けた別の事件では、2018年3月にグーグルが買収した教育テクノロジー企業Socratic.orgの100万人以上のユーザーのメールアドレスが流出しました。この情報はウェブサイトのコードの中にありました。さらに、子供を含むこれらのユーザーのジオロケーションとIPアドレスのデータも漏洩した可能性が懸念されました。グーグルは同社を買収した後、流出に対処しましたが、データは買収の1年前から流出しており、すでに収穫されていたのではないかという疑惑が持ち上がっています。
削除不可能のYouTube視聴履歴や丸見えのGoogleドキュメントリンク
今回最後に紹介するのは、誰もが日常的に利用しているサービス関連のインシデントです。
その中でも最も問題なのは、YouTubeにアップロードされた動画のプライバシー設定が「未登録」または「非公開」に指定されているにもかかわらず、「短期間」一般公開されたことで、YouTubeで機密情報や企業コンテンツを共有する個人や組織にとって悪夢となる可能性があることです(そもそも、このようなことはお勧めできません)。
多くの人々に影響を与える可能性がある別の事件では、GoogleがGoogle DriveとGoogle Docsのアクセス制御を誤って処理し、共有リンクを持つ人だけがアクセスできるように意図されたファイルへの一般公開を不注意に許可したと報告されています。報告書によると、Googleは「リンクを持つ誰でも」のアクセス制御を「公開」として扱っていたため、直接リンクがなくても、たとえばウェブ検索でファイルを見つけることができたということです。誰かが無作為にGoogle Docの漏洩を検索する可能性は低いものの、それでも機密情報の漏洩の可能性がある脆弱性が生じました。
プライバシーとは直接関係ないものの、Googleのルールの緩い執行を示す3つ目の事件として、Googleが所有するYouTubeが、視聴履歴から削除された動画に基づいて動画を推薦し続けた際に、明らかに自身のポリシーを無視したことが挙げられます。
YouTubeの現在のポリシーでは、「興味のないトピックの推奨に気づいたら、そのトピックで以前視聴した動画を削除してみてください。将来、同じようなおすすめが表示される可能性が減るかもしれません。" "減るかもしれない "は、鉄壁の保証のようには聞こえませんが、いくつかの期待を抱かせます。
自分の個人情報とデータをコントロールして安全性を高める方法
今回のリークで明らかになったグーグルのプライバシーに関する失敗の歴史は、オンライン上で個人情報を保護する上で現在進行中の課題の一例に過ぎません。
また、これが最初ではなく、おそらく最後でもない、グーグルの劣悪なプライバシー記録の証です。
グーグルからの脱却については多くのことが書かれていますし、多くのデータを一つの団体に預けることに伴うリスクを認識し、この偉業を試みた方もいらっしゃるでしょう。
もしあなたが、よりプライベートな選択肢を選んだユーザーの一人であるならば、私たちはあなたの努力と決断に拍手を送ります。
しかし、私たちの多くにとって、Googleのエコシステムから完全に切り離すことは困難な作業であり、必ずしも私たちが必要とするものでも、望んでいるものでもないかもしれません。
それよりも、共有する情報を減らし、グーグルが提供するツールを活用してオンライン上の足跡を管理するという、現実的なアプローチを私たちは支持します。
"Results about you"(自身に関する検索結果)などのツールを使ってオンライン上の個人情報をチェックし、それを削除して露出を最小限に抑える措置を取ることで、ますますデータ主導型になりつつあるこの世界で、個人を特定できる情報が流出したり、誤って扱われたりするリスクを軽減することができます。
