プライバシー保護の今後の進化
データプライバシーをめぐる戦争は25年前から激化しており、終わりには程遠い。大手企業、政府、犯罪ネットワーク等は、追跡ツールを改善し続け、独自のルールを規定し、個人情報を保護するろいう人々のニーズを制御および管理しようとしています。
プライバシー問題は、GDPR(EU一般データ保護規則、英: General Data Protection Regulation)とCCPA(カリフォルニア州消費者プライバシー法、英:California Consumer Privacy Act)を含むさまざまなレベルで信じられないほどの牽引力を得ています。
個人データの収集が難しくなり続け、それを使ってのお金を稼ぐ可能性は無限にあるため、個人情報の価値も常に高まりつつあります。
ユーザーは共有したいとしたくない情報を完全に自分で決められるようになるのか?
この質問に答えるため、個々のケースから離れて、全体的にプライバシー保護技術が今後数年間でどのように発展しようとしているのかを見てみましょう。
(理想の)完璧なデータ保護サービス
想像してみましょう。私たちの理想のデータ保護サービスは:
- さまざまなデバイスでユーザーを追跡から保護
- 未承諾の広告と通知をブロック
- 個人情報の盗難を防止
- すべての情報ソースですべてのアカウントを同時に監視し、できる限り慎重に行動しながら、それでもユーザーフレンドリーである
- スマートフォンだけでなく、私たちが使用している(と将来使用する)すべての種類のデバイスで動作
しかし、最も重要なことは、完璧なデータ保護サービスは、ユーザーがデータを共有する相手やデータの種類を完全に制御できるようにする必要があります。
ユーザーは、自分の情報プロファイルからの承認を得て、どのデータが集計され、どのように使用されるかを追跡できる必要があります。
現在では、「大企業は個人情報を収集している」ということを人々が知っていても、どのチャネルを介してそれが行われているのか、どのようなリスクにさらされているのかについての理解が不十分であったり、誤っていたりします。
いくつかの点において、私たちAdGuardはプライバシー保護の完璧なモデルに近づくことができました。
最初の作業は簡単でした。さまざまなWebサイトで既知のトラッカー(追跡ソフトウェア)をすべてブロックするだけで十分でした。
しかし今では、リクエストを完全にブロックすることができない場合、広告ブロッカーはリクエストの特定部分を“カット”することができるようになりました。また、新しいトラッカーを自動検出することも可能に。
プライバシー保護テクノロジーは、コンピューターとブラウザーだけをカバーするのではありません。ずっと前にブラウザという領域を超え、今ではほぼすべての電子機器を保護しますが、その度合いはデバイス種類と環境(プラットフォーム)によってさまざまです。
当たり前なデバイス(スマホやパソコン等)の他に、スマート家電を保護することもできます。さらに、顔認識を妨げるマスク/ゴーグル/服など、非常に未来的なものも市場に出てきています。
プライバシー保護サービスは今何ができるか、そしてどの機能をまだ身に着ける必要があるのか?
現在、私たちはウェブ分析ソフトをブロックすることができますが、データとデータに何が起こるかについて責任を負うことはできません。
つまり、現時点のプライバシー保護サービスは、ユーザーに関して収集される情報の量を減らすことができますが、データ収集の問題に完全に対処したり、ユーザーが個人情報を共有することにした場合に備えてそれを保護することはできません。たとえば、ユーザーが契約の結果を理解せずにプライバシーポリシーに同意してしまう場合などがあります。
追跡の問題はまだ完全には解消できませんが(たとえば、人々はどうしてもFacebookを使い続けています)、プライバシー保護サービスはすでにデータ漏洩を明らかにすることができます。残念ながら、データを入手した企業がデータを共有する方法に影響することはできません。
一部の人にとっては、個人データの転送を禁止したり、コンピューターやスマホでの追跡を禁止したりすることで、プライバシーの問題に対処したように見えるかもしれませんが、中々そうではありません。“データパス”は、「どのWebブラウザを使用していますか?」や「どのスニーカーが好きですか?」などの小さな詳細によっても形成されます。小さく、重要ではないように見える情報から、人の詳細な個人プロファイルが出来上がり、個人の匿名化を晒すことまでできたりします。
データ漏洩の仕組み
従来、ユーザーはアプリ、携帯電話サービス、またはバンキング(銀行)製品の条件を受け入れるとデータを漏洩されます。 原則としてよく知られていることですが、実際に同意書をしっかり最後まで読んでいる人は何人いますか?
1つのインターネットプロバイダが検証した、実例ケースを思い出すだけで十分です。
そのプロバイダ、カフェや公園でインターネットに接続するときに、人々が公共の無線ホットスポットの利用規約を注意深く読んだかどうかを検証しました。「最初に生まれた子供を永遠に私たちに割り当てる」ことに同意に関するパラグラフを含めました。6人が意識せずに同意したという結果に。
同意をもらって、銀行は他のサービス(Apple Pay、Google Pay、Samsung Payなど)にデータを送信します。モバイルオペレーターなどはさらに、ユーザーデータ(現在位置を含む)を平気で販売したりします。
個人データは、Webカウンター、広告ネットワーク(特にRTB:オークションの原則が適用され、データの最終的な送信先が完全に不透明である)のWebツールを介して分路されます。モバイルおよび「モノのインターネット」デバイスを介してデータがどれほど速く漏洩するかを知る人は多くありません。
プライバシー問題は、テレビ、スマートスピーカー、スマート電球などのIOTデバイスによって悪化します。また、提供される詳細レベルに基づいて、企業にとって最も寛大な追跡チャネルの1つです。
プライバシー保護技術はすでにモバイルガジェットやスマートガジェットと統合できますが、モバイルメーカー自身の決定を制御することはできません。
独自の「アクセス」メカニズムを導入して、メーカーはサードパーティアプリ(プライバシー保護ツールなど)の機能を制限します。
例えば、Googleは広告ブロッカーの存在を受け入れましたが、モバイルデバイスでブロッカーを許可するのはまだ抵抗があるようです。
個人データは監視カメラ(CCTVとも言われる)を介して積極的に収集されており、今日では世界中のほぼすべての国でそれが発生しています。
中国は顔認識の応用で世界のリーダーになりました。それには2つの要因が:
① AIおよび機械学習技術の開発に必要な大量のデータ
② 「個人データの保護」という概念が実質的に欠けていること
市場で生き残るのは?
今後数年で、プライバシー保護業界は大きな変化を遂げると私たちは考えています。ブラウザー、ウイルス対策ソフトウェア、さまざまな有料インターネットサービス、およびその他のプレーヤーにとって、位置付けの観点からプライバシーは重要なトピックになります。
ブラウザ開発者(Firefox、Operaなど)は、広告ブロッカーの統合を含め、自社の製品が本格的なWebOSとして機能するように努めています。
組み込みの広告ブロッカーはユーザーをある程度保護しますが、追跡保護に関しては、必要なほど真剣に実行せず、将来的にもフルには実行できないままの可能性が高いです。
ブラウザーの競争は、Google Chromeの弱点を利用しようとしています。特に、プライバシー保護への関心の欠如。
広告ブロッカーの成長は鈍化しており、ユーザー数は全インターネットユーザーの20%〜30%のレベルで安定しています。
今後数年、プライバシーに対する主な脅威は、GoogleとFacebookになります。
各プレーヤーはプライバシーをポリシーの引数として使用しますが、総合的な「保護サービス」は現れません。
代わりに、VPNサービス、ブラウザー(Braveなど)、広告ブロッカー(AdGuard、uBlock Origin、AdBlock、Adblock Plusなど)、特殊なトラッカーブロッカー(Ghostery、Disconnect)、および検索エンジン(DuckDuckGo、Cliqzなど)はみんな独立して活動すると考えられます。
ユーザー側と企業側の調和
理想的なプライバシー保護サービスは、孤立して機能することはできません。
ちなみに、「セキュリティ」はプライバシーよりもはるかに単純な概念です。
データやお金の盗難など、セキュリティに対する脅威はすでに理解可能であり、その脅威が実行されるそれなりの手段もあります:ウイルス、フィッシング、ソーシャル・エンジニアリングなど。
したがって、セキュリティ分野においては、どのことが違法で道徳的に間違っているかは明らかです。
しかし、プライバシーの場合、それははるかに複雑です。
法的な観点からは、データの盗難は発生しませんが、プライバシーに対する脅威の数は常に増加しています。
意図的かどうかにかかわらず、誰もが私たちの個人情報を取得しようとしています。
法的規範はユーザーを保護し、ユーザーと企業のビジネス目標の関係を効果的に規制する必要があります。
法律の観点から見ると、短期的にはすべてがかなり有望に見えますが、過剰になる可能性のある点もあります。
たとえば、コロナウイルスの状況により、多くのアプリケーションとサービスは、必要に応じて政府に手を貸し、ユーザーのすべてのステップを追跡する準備ができていることが突然明らかになりました。
これらのアプリケーションが“平時”に私たちに関するすべての情報をどのように処理するかは、疑問を投げかけるばかりです。
個人データ保護の傾向は、速度は異なりますが、ほとんどすべての国で見ることができます。
これは紛争に満ちた長い旅です。
たとえば、Axel Springerの法的敗北後、広告ブロッカーの合法性の問題がなくなり、私たちは広告ブロッカーと企業の間のガチなバトルの終わりを目撃しました。
さらに、企業がその力を悪用しないようにしようとしている他の肯定的な例もあります(Appleなど)。
将来的には、ユーザーのプライバシーと企業のビジネス目標のバランスをとることが可能になります。
最も重要なのは、GDPRなどの規制は、人々が自分の個人データの価値を正しく理解して考える方法にプラスの影響を与えていることです。
まとめ
理想的な全体統合プライバシー保護サービスはおそらく誕生しませんが、すでに多くのことを達成しています。
今後数年間、追跡の問題を完全に解決することはできないだろう。
データがアプリケーション、モバイルサービス、銀行、信頼性の低い企業の貪欲なクラッチに流れ込むときのストーリーと例が私たちを待っています。
しかし、プライバシーの話題がますますアクティブなインターネットユーザーを真剣に心配し始めているなか、より文明的な方法で扱われるようになるでしょう。
すでに、ユーザーは10年〜20年前には存在しなかった本格的な個人データ管理ツールにアクセスできます。
実際、まだすべてを制御することができなくても、どのデータを共有同意するかを選択することができます。
残念ながら、人間がこれらの異なる機会を利用することは困難です。しかし理論的には、最終的にはすべてが自動化に役立ち、将来の保護手段もこれらの自動化機能に基づいて構築されるでしょう。
【本記事英語原作の筆者について】
Andrey Meshkov(アンドレイ・メシコーフ)は、AdGuardの共同創設者兼CTOです。15年以上IT業界で仕事を重ね、主要な専門分野だけでなく、オンラインプライバシーの懸念などといった関連分野でも多くの経験を積み重ねてきました。時々、自分の考えを共有したいという衝動が耐え難くなったら、コーディングから一休みして、1〜2本の記事を書いちゃったりするらしい。
Andrey MeshkovのTwitter: https://twitter.com/ay_meshkov
