Google、位置追跡に関してユーザーを誤解させたとして3億9200万ドルで和解。「今後このようなことはない」と言うが、信じるべきか?
グーグルは、この種の訴訟では最大級となる3億9200万ドルの和解金を支払うことに合意した。
この訴訟は、米国の40州の司法長官によって起こされ、グーグルが位置追跡について人々を誤解させるためにダークパターンを採用していると訴えたものである。訴訟の申し立て は、「少なくとも2014年から少なくとも2019年まで、Googleは位置情報履歴とWeb & App Activityの設定に関する重要な情報を誤って伝え、省略した」とした。それらの「誤って伝え、省略」によって、ユーザーは、"位置情報履歴"をオフにすると、Googleはもはや自分の居場所を追跡できず、集めた情報を使って高度にパーソナライズした広告でターゲティングできると信じ込んでしまったのです。
今回の調査で明らかになったように、これは真実から遠く離れたものではありません。
コントロールできるかのような錯覚
ユーザーが位置情報履歴をオンまたはオフにしていたかどうかに関係なく、Googleは、デフォルトで「オン」になっているWeb & App Activity設定を通じて、ユーザーの位置を追跡することができました。グーグルは、少なくとも2018年半ばまで、「Web & App Activity」を使って位置情報を採取していることを公表していなかった。
技術大手は、さらに多くのトリックを用意していたのです。ユーザーが何らかの方法でそのゲームを見破って両方の設定を無効にしても、グーグルは、もはやそれができないという印象をユーザーに与えながら、彼らを追跡することができたのです。
「ユーザーがウェブとアプリのアクティビティまたはロケーション履歴を無効にしているかどうかに関係なく、Googleは、ユーザーがGoogle Playストア、音楽、検索、マップなどの特定のGoogle製品に関与するときに位置データを収集、保存、および使用します」。
広告のパーソナライズ "は、デザイン的に不正とされるもう一つの設定です。この設定は、ユーザーがパーソナライズされた広告をオプトアウトし、Googleによる位置情報の使用を「制御」*できることを暗に示しています。実際には、Ads Personalizationをオフにしても、Googleが位置情報をパーソナライズ広告に使用することは妨げられないことが、調査の結果判明しました。この設定を無効にしても、Googleは、「Google製品の内外を問わず、ユーザーの位置情報に基づいて広告のターゲットを設定し続ける」*のであり、どちらかといえば、ユーザーに「コントロールの錯覚」*を与えるだけだと、弁護士は述べています。
そして、もしユーザーが、こうすればGoogleの触手は自分には届かないだろうと、Googleのアカウントからログアウトすることにしたら、またしても驚かされることになる。弁護士によると、「グーグルは、サインインしたユーザーから収集・保存するのと同じ種類の位置情報を、サインアウトしたユーザーがグーグル製品を使用する際に収集・保存する」、唯一の違いは、グーグルがログアウトしたユーザーに「固有の仮名識別子」を割り当てていることだそうです。
Googleがサインアウトしたユーザーの位置情報を保存できることを明らかにしたのは、2018年5月になってからです。
PHOTO: Henry Perks/Unsplash
しかし、Googleはそれ以来、プライバシーポリシーを微調整してきましたが、現在でも、地理追跡の方法についてユーザーに知られないようにするために、十分に複雑なままであると弁護士は指摘しています。今日でも」 Googleは、Google製品を使用する際に、Googleアカウントにサインインしていないユーザーの位置情報も保存・展開することを説明していない、と彼らは指摘している。
今回の和解は、すでにbranded "historic " とされているが、罪を認めたに等しいものではない。しかし、それに限りなく近いものである。この取引の一環として、グーグルは、ユーザーが位置情報設定をオン・オフする際に、より多くの情報を表示し、ユーザーについて収集する位置情報データの種類についての詳細を提供することに同意した。
この罰金は、グーグルがプライバシーに関する和解で支払った最高額の記録も更新した。これまでの記録は、2019年にグーグルがYouTubeで子どもの視聴者を追跡していたとして米連邦委員会から1億7000万ドルの罰金を科されたものです。
これについてグーグルは何を言っているのか?
プライバシー法違反で捕まった大手テック企業にはよくあることだが、グーグルは最近、そして現在進行中の慣行を過去の遺物として塗り替えた。そして、(もちろん)もっと良くすることを約束した。
11月14日のブログ投稿で、グーグルは、データを収集する能力を「最小化」するツールをすでに多数展開していると述べた。これらのツールの中には、ユーザーが自分のデータがGoogleに保存される期間を設定したり、Googleマップでシークレットモードを使用したり、アプリを終了せずにマップと検索で自分のデータを削除できるものがある。
これらの改善と同時に、数年前に変更した古い製品ポリシーに基づく40の米国州検事団との調査を解決しました。
Googleはまた、位置情報の削除をより簡単にすることを約束し、Googleアカウントのセットアップで位置情報のトラッキング方法を明確にすると述べている。
Googleは、新機能を予告し、位置情報の追跡を肯定的に捉えている。例えば、「新しいアカウントを設定するユーザーに対して、Web & App Activityとは何か、どのような情報が含まれるか、そして、それがどのようにGoogleの体験に役立つかについて、より詳細な説明をする」ことを約束しました。その収益の80%以上はデジタル広告によるものだ。
そして、この訴訟で言われているように、「Googleは、デジタル広告をクリックしたユーザーの物理的な位置を追跡できることが独自のセールスポイントです。」
一見したところ、Googleが自らの競争優位性を自発的に放棄し、自らの位置情報収集を停止または厳しく制限することは理にかなっていない。このプロセスに対する完全な制御を銀の皿の上でユーザーに提示することも意味をなさない。諺にもあるように、「〜〜暴君〜〜大量のデータ収集の秘密は、彼らに無知でいさせること」なのだ。それでも、Googleはプライバシーを尊重すると主張し、この点に関してもっと努力すると約束している。今回の和解は、より有意義な選択肢を与え、データ収集を最小限に抑えながら、より役立つサービスを提供するという道筋に沿った、もう一つのステップに過ぎない」*とGoogleは言う。使用されている言葉はかなり当たり障りのないもので、Googleには多くの余地が残されている。しかし、だからといって、グーグルの善意を信じるべきではないだろうか。技術界の巨人は、常に約束を守ってきた。
約束は...守られていない
グーグルは、メタやその他のビッグテックとともに、人々のデータを保護する約束を守ることに関して、最低の記録を持っている。大企業がプライバシー法違反で訴えられ、程度の差こそあれ自分たちの行動を正当化しようとした事例をすべて記録しておくのは難しい。
時には、何が悪かったのか(というより、誰かが彼らの方針について間違っていたのか)を言うこともありました。時には、後に破ることになる追加の約束をすることもありました。彼らのプライバシー侵害はとっくの昔にその衝撃的な価値を失っています。この時点で、むしろ、彼らが起こらなくなったら、私たちはショックを受けるでしょう。
2016年6月、Googleは、Gmailやその他のサービスから収集した個人を特定できる情報(PII)を広告トラッキングに使用するウェブ閲覧データとは別に保持するという約束を破った。同社は、2つのデータのプールが混在しないことを約束したプライバシーポリシーの一線を文字通り消した。古いユーザーは、曖昧な*"some new features for your Google account "の要求でトラッキングを選択するよう促され、新しいユーザーはデフォルトで登録された。当時、グーグルは、プライバシーに関する懸念を一蹴した。同社の広報担当者は、Googleはスマートフォン革命に適応しているだけで、この変更は「100%任意」であると述べました。「この変更について、わかりやすい言葉で目立つユーザー通知と、ユーザーが自分のデータを制御または削除できる**簡単なツールを提供しました」* Google 当時は、このように述べました。2022年まで早送りすると、それらの「シンプルなツール」はまだ完全に実現されていない。
データの削除に関しては、グーグルは、データを削除するという約束を必ずしも守っていないことが知られている。2012年に英国の規制当局に宛てた書簡で、グーグルは、ストリートビュー・プログラムを通じて収集した個人データを、削除すると約束してから2年経っても、すべて削除していないことを認めている。そのデータには、安全が確保されていないWi-Fiネットワークからのパスワード、法律や医療に関する資料が含まれており、そもそも収集されるはずのないものであった。当時、Googleは*「誤り」*であったと述べ、謝罪した。
より最近のプライバシー侵害については、2019年1月、フランスの規制当局が、広告のパーソナライズにどのデータが使われているかなど、同社が自分の個人情報を使って何をしているかをユーザーが知ることが困難だったとして、グーグルに5000万ユーロの罰金を科した。また、規制当局は、グーグルが広告のターゲティングに対してユーザーから明示的な同意を得ることができなかったと述べています。
グーグルはこれに対し、声明を発表した。人々は、私たちから高い基準の透明性とコントロールを期待しています。私たちは、その期待に応え、GDPRの同意要件を満たすことに深くコミットしています」。
2022年1月、グーグルは(フェイスブックとともに)、今度は、最も一般的なトラッキング方法であるクッキーを拒否するためにユーザーに輪をかけさせたとして、フランスの規制当局からさらに1億5000万ユーロの罰金を科された。
前回と同様、Googleの回答は当たり障りのないものでした。人々は、プライバシー権を尊重し、安全を確保するために、私たちを信頼しています。私たちは、その信頼を守る責任を理解しており、この決定を踏まえて、さらなる変更とCNILとの積極的な協力に取り組んでいます」。
これらの文章は、AIが文法的に正しい文章を書くように要求されたときに書くようなものです。
ケンブリッジ・アナリティカ騒動の翌年、約4億1900万人のFacebookユーザーの電話番号がオープンなオンラインデータベースで公開されました。
データベースの助けを借りれば、誰でも電話番号とユーザー固有のFacebook IDを結びつけることができた。いくつかの項目には、名前や国名も記載されていた。フェイスブックによると、このデータセットは*"古い "*もので、同社が電話番号からフェイスブック上の人物を見つけることを不可能にする前にかき集めたものだという。また、同社の広報担当者は、電話番号の半分は重複していると主張している。
今年初め、Instagramは、ユーザーの同意なしにある種のフィルターを通して違法に「数百万の生体識別情報」を保存していると訴えられた。
Metaはこの申し立てに同意しなかったが、訴訟が起こされたテキサス州ではこのフィルターを利用できないようにした。1年前、Facebookは、プライバシーに関する懸念が高まる中、顔認識プログラムを終了し、「10億人以上の個々の顔認識テンプレート」を削除することを発表した。
9月には、Meta社(Google社とともに)は韓国の規制当局から2200万ドルの罰金を科された。規制当局は、同社が[自社のプラットフォーム、つまりFacebookとInstagram以外のユーザーを同意なしに追跡している](https://apnews.com/article/technology-south-korea-252a9cc71f0875575340ade7265af951)と非難したのだ。そして、収集されたデータはターゲット広告に利用された。Metaは、自分たちが*「法的に遵守された方法」で活動していることに「自信がある」*と述べ、この判決に法廷で異議を申し立てることを脅した。
最近では、Meta社は、ユーザーがiOSでの第三者による追跡をオプトアウトできるというApple社のプライバシー規則を回避していると非難された。Meta社はこの非難に反論した。*「これらの疑惑は根拠がなく、われわれは精力的に弁護する」*と、同社の広報担当者は述べている。Appleの方針はApp Tracking Transparency(ATT)として知られ、Metaのコストは100億ドル以下になると予測されている。この機能により、Meta社は個人データを収集し、それに基づいてパーソナライズされた広告を販売する能力が低下する。Googleと同様、Metaは広告費に全面的に依存しているため、回避策を模索するのは当然のことだ。
Photo: Niv Singer/Unsplash
メタは利益よりも人々を優先することを否定するかもしれないが、その行為は言葉よりも雄弁であり続けている。昨年、Facebookは、広告主が13歳の子どもをターゲットにして、喫煙、ギャンブル、極端な減量を促す広告を出すことを許可していたことが明らかになりました。
同社はこの行為を最初に報告されてから数カ月後まで止めなかった。
このリストは完全ではありませんが、メタ社が人々のデータとプライバシーの保護に失敗し続けていることを示しています。ザッカーバーグ自身の言葉を借りれば、もしMetaがそうすることができないのであれば、存在する価値はないのだ。しかし、私たちはMetaのCEOがこの約束(あるいはどんな約束でも)を守るとは思っていない。
お金がものを言うとき
プライバシーを尊重すると約束したにもかかわらず、ユーザーのプライバシーを侵害し続ける理由について、企業はもう言い訳を使い果たしたように思えます。おとなしい謝罪や「二度としない」という誓いから、力強い否定まで、ユーザを主な商品とするハイテク企業は、プライバシー保護に関心があるように見せかけています。
プライバシーへの意識が高まる今日、これらの企業は公然とその流れに逆らうわけにはいかない。しかし、彼らのモデルはすべてユーザーデータから利益を得ることで成り立っており、これが変わる気配はない。
広報部門がいくら心のこもった、あるいは生ぬるい約束や謝罪、巧みな言葉遣いの声明を出しても、実際には意味がないのです。現実には、あなたの個人情報の収集を止めることは、彼らの真の利益にはならないのです。
ユーザーのプライバシーを「保護」するために講じる措置はすべて事後的なものであり、(そうでないように見せかけようとしても)積極的なものではない。つまり、規制当局や訴訟による圧力下でそれらを実施しなければならないのである。そして、規制当局が本格的にプライバシー保護を強化し始めない限り、ビッグテックは指一本動かすことはないだろう。
傍目には、デジタル広告に基づく収益モデルに代わるものはなく、その結果、利益のためにユーザーデータを搾取することに代わるものはないように見えるかもしれません。2018年、Facebookの最高執行責任者(当時)であるシェリル・サンドバーグは、サイト上のすべてのものに1つのオプトアウトボタンがあるわけではない、なぜならその場合、Facebookは*「有料製品」だと述べています。
しかし、自分たちのやり方を変えることに倦厭しているプラットフォームがある一方で、フリーミアムモデルに移行しているプラットフォームもある。現在、混乱が認められているTwitterは、有料のTwitter Blueの購読を拡大することに狙いを定めている。Twitter Blueに新機能を導入する試みは、非常に急ぎすぎで不器用に見えますが、塵も積もれば山となるで、Twittに役立つかもしれません。
