Mastodonのプライバシー、セキュリティ、モデレーションってどんな感じなの？

Electronic Frontier Foundation

本稿はMastodon・fediverseシリーズ記事の1つである。他にもfediverseとは何か、なぜfediverseは（我々次第で）素晴らしいものになりうるかなどの記事を提供している。EFFのMastodonはこちらから。

多くのユーザがマイクロブログプラットフォームのオルタナティブとしてMastodonに移行している。それにともない、このプラットフォームのプライバシーとセキュリティに多くの疑問が投げかけられている。このトピックについて、包括的とはいえないものの、我々の考えを共有したい。

基本的に、Mastodonはあなたの声をフォロワーに公開し、他の人があなたやあなたの投稿を発見できるようにする。基本的なセキュリティとして、インスタンスはトランスポート層の暗号化を採用し、あなたが選択したサーバへの接続を非公開にする。これは同じWifi接続を使用するローカルの盗聴者からあなたの通信が盗み見されることを防いでくれるが、あなたが送信するダイレクトメッセージはあなたの選んだサーバ（インスタンス）のモデレータや管理者に閲覧するおそれがあるし、別のインスタンスの誰かにメッセージを送信する場合にはそのインスタンスのモデレータ、管理者に見られる可能性もある。つまり、TwitterやInstagramと同様に、あなたの投稿やダイレクトメッセージはサービス運営者からアクセス可能なのである。だが、TwitterやInstagramとは異なり、ユーザはどのサーバ（インスタンス）に自分のコミュニケーションを託すかを選択できる。また、中央集権型のソーシャルメディアとは異なり、Mastodonはこの事実（訳注：ユーザのDMが管理者から閲覧可能であること）を比較的オープンにしている。

Mastodonのダイレクトメッセージはプライベートな会話のためのものではなく、フィードから無関係なコンテンツをフィルタリングするための手段、つまり他のユーザに配慮する（訳注：フィードを汚さない）ための機能だとの意見もある。だが、DM機能を利用するユーザすべてがそうした意図を理解しているわけではないし、そのように使われていたとしても、MastodonにおけるDMに期待されるプライバシーのあり方を決定するものだとも思えない。少なくとも多くの人が、ダイレクト・コミュニケーションに通常よりも高度なプライバシーを期待するだろう。

Mastodonはいずれ、クライアントにダイレクトメッセージのエンドツーエンド暗号化を実装することもできる。決して簡単な道のりではないが、それが実現すればユーザ間のメッセージを保護する優れたメカニズムが提供されることになる。E2EEダイレクトメッセージがすべてのユーザに実装されることが望ましいが、インスタンス単位で実装することも可能である。とはいえ、本当にセキュアなエンドツーエンド暗号化ダイレクトメセージが必要な場合には、SignalやKeybaseなどの別のサービスを利用することをおすすめしたい。

すでに大変な混乱に陥っているものの、つい最近までTwitterには強力なセキュリティチームがあった。一方、Mastodonは大半がボランティアで構築されたプラットフォームで、成長痛の最中にあり、最近でも複数の主流のフォークが残念な脆弱性を抱えていたことが発覚している（すでに修正済み）。6年の歴史があるとはいえ、新たに流入するユーザと新たに担うことになった重要性は唐突な試練といえる。そう遠くないうちに、さらに多くのバグがタペストリーから振り落とされることになるだろう。

Mastodonインスタンスでは、アプリやセキュリティキーによる二要素認証が可能で、ユーザはログイン時にセキュリティチェックを追加できる。Mastodonはさらに、強力なプライバシー管理も提供している。古い投稿の自動削除、パーソナライズされたキーワードフィルター設定、フォロワーの承認、ソーシャルグラフ（あなたのフォロワーとあなたがフォローしているユーザのリスト）の非表示が可能だ。ただ残念なことに、アカウントを「非公開」にすることはできない。投稿時にフォロワーだけが閲覧できるようには設定できるが、過去の投稿の表示設定（個別にも一括にも）を変更することはできない。

Twitterとは異なる「fediverse」（相互に通信してサービスを提供する連合サーバインフラの総体）のもう1つの側面は、ユーザのプライバシーに影響を与える“全投稿のテキスト検索”を行う手段がないということである。トロールやハラッサーは特定のキーワードを検索して標的を絞り込んでいることが多く、ハラスメントの抑制が期待できる。実際、テキスト検索ができないのはMastodonの連合的な性質による。この機能を実装するには、すべてのインスタンスが他のインスタンスで行われたすべての投稿を認識しなければならない。それは現実的ではないし、望ましいとも言えない。その代わりに、ユーザはハッシュタグを使って、自分の投稿を自分のインスタンスを越えてFediverseに伝え、検索に表示されるようにできる。

また、Mastodonのインスタンスは、他のインスタンスのコンテンツが暴言や不愉快であったり、独自のコンテンツ・ポリシーに違反していると判断した場合、他のインスタンスと「切断（defederate）」できる。たとえば、サーバAがサーバBのユーザを継続的に罵倒の標的にしていると判断し、サーバBとの「切断」を選択したとする。そうすると、サーバBのコンテンツはサーバAからは見えなくなり、サーバBのユーザはサーバAのユーザの投稿へのコメントやDMの送信ができなくなる。コンテンツやモデレーションが自分の興味・態度に合致したインスタンスに参加することを推奨されるMastodonでは、切断はインスタンスやコミュニティがユーザを保護するための強力な選択肢であり、友好的かつ快適な体験を生み出すための手段となっているのである。

中央集権型のプラットフォームは、偽アカウントやハラスメント・アカウントの発信源を迅速に特定し、プラットフォーム全体から追放できる。一方、Mastodonでは、あるインスタンスでアカウントを凍結されても、別の連合インスタンスで新たなアカウントを作成できてしまう。それを防ぐためにはより多くの調整が必要になる。不可能ではないが相当な努力を要する。

また、Mastodonには自分の体験をコントロールする強力なツールがある。中央集権的なプラットフォームと同様に、Mastodonユーザは他のユーザをミュート、ブロック、通報できる。ミュートとブロックは、あなたのアカウントに紐づいたリストで、指定したユーザのコンテンツがあなたのフィードに表示されなくなり、あなたへの接触も防いでくれる。ただ通報の仕組みは中央集権的なプラットフォームのそれとはいささか異なる。ユーザアカウントを（訳注：fediverse全体から）削除する中央管理者がいないため、自分のインスタンスのモデレータに問題のアカウントを報告することになる。そのユーザがあなたと同じインスタンスにいれば、インスタンスは当該ユーザのアカウントを停止または凍結できる。そのユーザが別のインスタンスのアカウントであれば、あなたのインスタンスはそのユーザを（インスタンス内の）すべてのユーザからブロックしたり，（当該ユーザのインスタンスから定期的に嫌がらせが行われている場合には）インスタンスごと切断することもできる。さらに必要に応じて、当該ユーザのインスタンスのモデレータに問題のコンテンツを報告することもできる。

連合によって、Mastodonユーザは「小さな街」の感覚を持つようになるだろう。同じインスタンスにいるユーザが同じ街に住む隣人に感じられるからだ。その隣人のフィードが「ローカル」だ。おそらくあなたは、同じような興味を持つ人たちや、ユーザ・コミュニティを守りたいモデレータがいるインスタンスを選ぶだろう。そうすれば、彼らはユーザのアカウントを、略奪的・敵対的かもしれないグループや個人からアクセスできないようにしたり、適切にモデレーションしてくれる。

Mastodonは閉鎖的なコミュニティやエコーチェンバーを助長するのではないかとの懸念もある。ある意味ではそのリスクはある。ユーザが自分の興味にあったコミュニティに参加すれば、必然的に自分と似たユーザばかりに出会うことになるかもしれない。だが、ある人にとってはそれこそが利点になる。Twitterの投稿はユニバーサルかつ瞬時に偏在するため、誰もが互いに手の届く距離に置かれることになる（訳注：それゆえ、ヘイト、ハラスメント、トロールの標的になってきた）。これまで、ヘイトコンテンツを排除するメカニズムは、効果が薄く、気まぐれで、しかも異議申立の手段が不十分だと批判されてきた。最近では、そうした限定的で効果の薄いメカニズムにさえ、Twitterの新たなリーダーは敵意を剥き出しにしている。そこが気にいらないからといってブルドーザーで共同住宅を破壊してしまうのではなく、隣町に簡単に引っ越すことができるとしたらどうだろうか。緑あふれる街にユーザが集まってくるのは不思議なことだろうか？

2022年、ユーザエクスペリエンスはサービスが提供するプライバシーやコンテンツポリシーの関数である。federationは、個々のユーザの態度やコミュニティの風土を尊重しつつ、そのコミュニティの外にいる人々とのコミュニケーションを可能にし、さまざまなポリシーの多彩な風景を実現するだろう。この風景がどう進化していくのか楽しみだ。