以下の文章は、電子フロンティア財団の「App Stores Have Kicked Out Some Location Data Brokers. Good, Now Kick Them All Out.」という記事を翻訳したものである。
昨秋、位置情報ブローカーのX-Modeが複数の米国防衛関連企業と関係していることが報道された。その直後、AppleとGoogleは、アプリストアでのX-Mode SDKの取り扱いを禁止し、X-Modeによる位置情報の提供を実質的に停止した。2月には、Googleが別の位置情報ブローカーのPredicio社をストアから追放した。
これまでアプリストア独占の問題のなかで指摘してきたように、ユーザが自身の端末で実行するソフトウェアを企業がコントロールすべきではない。だが、だからといってアプリストアがモデレートすべきではないということではない。むしろ、AppleとGoogleは、自らが販売することで利益を得ているアプリが、ユーザを不当な監視などの危険に晒されないようにする責任を負っているのである。このデータブローカー2社の追放は、ユーザ保護のための前進ではあるものの、最初の第一歩に過ぎない。 過去1年の間に、X-ModeとPredicioの2社の問題はさまざまなメディアで報じられてきた。その結果、国防総省やICEなどの米国政府機関が、民間市場から位置情報を購入することで憲法修正第4条を回避しようとしていることが明らかになった。2018年、最高裁はU.S. v. Carpenter事件で画期的な判決を下し、携帯電話の電波等から収集した位置情報は、修正第4条で保護されると判断した。つまり、捜査機関が携帯電話会社から令状なしに位置情報を取得することはできない、ということを意味している。 だが多数の企業が、それと全く同じ位置情報を別の情報元――つまりスマートフォンアプリ――から収集し、捜査機関、国防総省、情報機関、移民局などの政府機関に提供している。データブローカーはアプリの開発者にSDKと呼ばれるサードパーティ・コードのインストールを勧めている。このSDKは、生のGPSデータを収集し、データブローカーに直接送信する。そしてデータブローカーは、位置情報を世界中の広告主、ヘッジファンド、他のデータブローカー、政府などに転売している。 データを収集アプリは、礼拝アプリから天気予報アプリまで多岐にわたる。X-Mode社は、米国で最大手のムスリム礼拝アプリ「Muslim Pro」を始めとする数千のアプリからデータを収集し、そのデータを国防総省の複数の請負業者に販売したとされている。別のブローカーであるPredicio社は「Fu*** Weather」や「Salaat First」など数百のアプリからデータを収集していた。データはGravy Analyticsに販売され、その子会社のVenntelがIRS、CBP、ICEに位置情報を提供している。 Vice、Wall Street Journal、Protocol、NRK Betaなどのメディアが数カ月に渡って調査報道を行い、特定アプリから米国政府への位置情報の流れを解明した。この報道に関わった記者には称賛を贈りたい。だが、特定のデータブローカーが世間の注目を浴びるようになってから、アプリストアがそれらを禁止するのでは遅すぎるのである。 データブローカーがアプリから位置情報を抽出し、軍や捜査機関に販売していていることは判明しているが、それがどのアプリであるかは知りようがない。たとえばBabel Street社は、無数のユーザの位置情報をリアルタイムに追跡できる「Locate X」という製品を、密かに国土安全保障省、国防総省、シークレットサービスに販売している。このデータは、数千のモバイルアプリから得られているとされている。 だが、どのアプリが情報を送信しているのかを突き止めるのは困難である。米国の法律は一般に、企業が個人データをどこで販売しているかを詳細に開示することを義務づけていないため、データブローカーが密かに行動するのは非常に容易なのだ。ジャーナリストがデータの流れを解明するためには、専門的な分析(専門知識と膨大な時間が必要)や政府記録の開示請求(何年もかかり、しかも大部分が黒塗り・修正されていることもある)に頼らざるを得ないことが多い。ユーザが望まないデータ共有の証拠を調査者が発見したとしても、そのアプリやブローカーは戦術を変えるだけで簡単に追及をかわしてしまう。アプリ開発者自身も、共有されたデータが誰の手に渡るなどほとんど知っていない。自分のデータがどこで、どのように共有されるかを知らずして、ユーザが賢明な選択をすることはできない。 ジャーナリストがエンド・ツー・エンドのデータフローを突き止めてようやく、Google PlayとAppleのApp Storeがユーザ保護のための措置を講じるのでは遅すぎる。 携帯電話アプリの位置情報エコシステムは、もっと適切に規制されなくてはならない。自治体レベルのCCOPS(警察監視のコミュニティ・コントロール:Community Control of Police Surveillance)条例は、警察などの地方政府機関が、データプロ―カーとの取引も含めて、議会の承認や地域住民からの意見集約なしに、監視技術を導入することを禁止できる。我々はこのような法律を支持しているが、ほとんどの都市が導入していない。またこれらの条例は、連邦政府機関が私たちの位置情報をオープンマーケットから購入している問題を解決するものでもない。私たちは憲法修正第4条に基づき、あらゆるレベルの行政体が令状なしにこの種のデータを購入できないようにするための法律や司法判断を求めていく。だがそれまでの間、多くの政府機関は、自らができると信じる限りは、位置情報データを購入し続けるだろう。 アプリストアは、アプリによる監視からテクノロジーユーザを守るための特異なポジションにある。AppleとGoogleがX-Mode社とPredicio社に対応したことは賞賛したい。だが、この2社は氷山の一角に過ぎない。アプリストアが取るべき次のステップは、位置情報を収集・販売するデータブローカーのSDKを禁止することである。
Publication Date: March 10, 2021
Translation: heatwave_p2p
Material of Header image: Derek Oyen / ICOOON MONO
