子どものプライバシーを犠牲するAppleがもたらす悲劇

Electronic Frontier Foundation
今月、Appleは子どもの保護を拡大すると称して、いくつかの新機能を発表した。だがそれは、長年ユーザのプライバシーを保護してきたAppleの取り組みを大きく後退させるものだった。そのうちの１つは、子どものアカウントとMessagesで送受信される写真をスキャンするというもので、Messagesはエンド・ツー・エンド暗号化を提供するというAppleの約束を反故にするものだった。この約束が破られれば、必然的にさまざまな危害への道が開かれることになる。暗号化の破り方が極めて狡猾なためだ。

コミュニケーションツールを使って子どもを誘惑・搾取する見知らぬ人物から子どもたちを守り、児童性虐待資料の拡散を抑制するという、Appleの目標自体は立派なものである。そして、何が子どもにとって危険なのかという問題への答えは容易に導き出せるものでもない。だが不幸なことに、Messagesの画像をスキャンしてフラグを立てれば、虐待を受けている家庭の子どもやパートナーに深刻な危険をもたらしかねない。Appleの計画は、Messagesにセキュリティホールを開けてしまうのみならず、虐待が頻繁に発生している場所はどこか、危険なコミュニケーションはどのように発生するか、そしてオンラインで安全に過ごすために若者自身が実際に何を望んでいるかという現実を無視している。

Messagesのスキャンはどう機能するのか

この機能は、理論的には、Messagesで一定の年齢（13歳）未満のユーザとの間で写真が送信されると、機械学習アルゴリズムがその画像をスキャンする。アルゴリズムが写真に「性的表現」が含まれていると判断した場合、ユーザに2つの選択肢が提示される。1つは、その写真を受信・送信しなければ何も起こらない、もう1つは、その写真の受信・送信を選択すれば、ファミリー共有プランの親アカウントに通知される、という選択肢である。このシステムは13〜17歳のユーザの写真もスキャンするが、露骨な写真を送受信していることを警告するだけで、親への通知は行われない。

子どもたちが必要としているのはアプリ内の虐待報告ツール

Messagesの写真スキャン機能には、ユーザ保護のために3つの制限が設けられている。1つは、ファミリー共有プランを利用する親のオプトインが必要であること、もう1つは、子どものアカウントが送受信しないことを決定できること、最後に、子どもとして登録されたMessagesユーザにのみ適用されることである。だが、Appleがこうした制限をいずれ変更する可能性があることを忘れてはならない。また、ファミリー共有プランの管理者が子どもアカウントを作れば、実際の子どもではなくても、誰にでもそのアカウントを使わせることができる。つまり、自分の子どもではない人物を簡単に監視できてしまうのだ。

子どもたちはネット上で嫌な目に遭っていて、それを報告したいと思っている。Center for Democracy and Technologyが最近行った調査によると、「罵倒や嫌がらせ、スパム、誤情報や偽情報、CSAMなど、E2EE（エンド・ツー・エンド暗号化）サービス上の問題のあるコンテンツ」を検知するには、オンラインの報告メカニズムを使ってユーザーが報告することが効果的であることがわかっている。また、オンラインツールで報告するのと、オフラインで保護者（caregiver）に報告するのとでは、オンラインツールでの報告が圧倒的に希望されている。こうした優れた報告システムを構築することで、ユーザ自身がコントロールできるようになる。子どもたちはユーザなのである。

だがAppleの計画は、その助けにはならない。それどころか、Appleは子どもたちをユーザではなく、テクノロジーの犠牲者として扱い、最悪の事態を招こうとしている。つまり、親と子ども、そして子どもと「露骨な」資料を探す友人との間の私的な関係にスキャンツールを挿入する一方で、この問題に対処する強力な方法を無視しているのである。より強力な報告機能を実現するには、実際に機能し、報告を促すシステムでなければならない。システムをうまく設計することで、プライバシーへの期待を裏切ることなく、若者ユーザのニーズを満たすことができるだろう。

他人より親の方が危険という調査結果

Appleの通知スキームでは、数多くのケースで真の危機的状況に対処することはできない。もちろん、大多数の親は子供の利益を最優先に考えている。だが、家庭内や家族間は統計的に最も性的暴行が発生する場であり、さまざまな研究結果から、性的虐待防止やオンラインの安全性に関する教育プログラムでは、親が（訳注：真の意味で）保護者であると仮定してはならないとされている。不幸なことに、親は見知らぬ人よりも子どもの性的虐待資料（CSAM）の作成者になる可能性が高いのである。

また、子どものオンラインでの活動について、子ども自身に報告させることなく親に情報を伝えることは、とりわけLGBTQ+の子どもや虐待を受けている家庭の子どもが関わる状況では、子どもがひどい目に遭う可能性を高める。自らの性的指向やジェンダーを探し求める若者を、そうした存在を拒絶する親にアウティングしてしまえば、悲惨な結果がもたらされることになるだろう。ある調査では、住む家のないLGBTQの若者の半数が、LGBTQ+のアイデンティティを家族に明かせば家を追い出されるのではないかと恐怖していたと回答している。ホームレスのLGBTQ+の若者の多くが、性的指向やジェンダーを理由に家を出ていかざるを得ない状況に置かれているのだ。オンラインでの出来事を報告するかどうか、誰に報告したいのかを子ども自身に委ね、その上で、その状況にどう対処したいのか、その危険が家の外から来ているのか、それとも家の中で起こっているのかを報告できるようにしなくてはならない。

この通知機能が若者を危険に晒す可能性があるシナリオは、他にも考えられる。10歳の子どもが、普段は服で隠れている場所に親から受けたアザ（虐待者が虐待を知られないようにするための常套手段）を撮った写真を共有した場合、Appleはどうやってセクストーション（訳注：相手の性的な写真をもとに行われる脅迫の手口）に使われるヌード写真と区別できるのだろうか。

Appleが危険に晒すのは子どもたちだけではない

不幸なことに、この通知スキームによって危険にさらされるのは子どもたちだけではない。虐待が行われている家庭では、年令に関係なく「子ども」アカウントを使うよう強要される可能性があり、Messagesユーザは、ストーカーウェアでよく見られるようなテクノロジーを悪用した虐待にさらされることになる。Appleのアプリに対するロックダウン・アプローチにより、他人のiPhoneにそうしたスパイツールがインストールされる可能性は低くなっているが、この新機能により、そうしたセキュリティ保護が一部無効化されてしまうことになる。一度設定してしまえば、家庭内の虐待者は、パートナーや家族がAppleに性的に露骨だと判断された写真を、虐待者に知られることなく他人に送信させないようにできるだろう。

最後に、性的に露骨な画像を検出するアルゴリズム全般で示されているように、Appleはこの機能によって、ありとあらゆる種類の性的でないコンテンツを巻き込むだろう。性的な画像を送信したわけでもないのに、親に子どもが性的な画像を送信していると通知されれば、現実の危険を招く可能性すらある。また、Appleの通知スキームが12歳未満に限定されているのは不幸中の幸いだが、13歳以上のティーンエイジャーであっても被害を受ける可能性がある。若い女性が水着姿の写真を友達に共有して、性的に露骨だと警告を受けたとすれば、どんな影響を与えるだろうか。授乳の写真だったらどうだろうか。ヌード・アートは？ 抗議の写真は？

若者は「ユーザ」である、「駒」ではない

Appleの計画は、ますます懸念されるトレンドに乗ったものと言える。テクノロジーベンダーは、職場や学校、家庭など、監視が最も受け入れられやすく、権力関係の不均衡が常態化している生活領域に、ますます広く深く入り込んできている。こうした技術が権力の不均衡の解消に役立つこともあるが、むしろ、権力者にスパイ、監視、ストーキングの能力を与えることのほうが多い。

このことは、プライバシーの未来に暗い影を落としている。テクノロジーが若者を監視すればするほど、他の領域でプライバシーを主張することが難しくなる。キミたちにプライバシーは必要ないと若者に示せば、たとえ監視が偏っていて、危険で、我々の権利を破壊するものであったとしても、監視を当たり前のものとして容易に受け入れるようになってしまうだろう。子どもの安全は重要だ。だが、子どもの安全を理由にして、すべてのユーザのプライバシーを危険なレベルにまで制限しないことも同時に重要なのだ。

Appleは、あなたのメッセージは安全であるという約束を破り、政府が拡張を求めるであろうバックドアを導入し、通知スキームが引き起こす被害を無視することで、テクノロジー業界のプライバシー保護のイメージのみならず、若いユーザの安全をも危険にさらしているのである。

Apple’s Plan to Scan Photos in Messages Turns Young People Into Privacy Pawns | Electronic Frontier Foundation