以下の文章は、コリイ・ドクトロウの「Tech monopolists use their market power to invade your privacy」という記事を翻訳したものである。
Pluralistic
連邦取引委員会(FTC)による新たなソーシャルメディアのプライバシーに関する調査報告書が、ビッグテック企業のプライバシー慣行が酷いものだと結論づけたことに、「とっくに知ってるよ!」と反応するのは簡単だが、それは大きな間違いである。
独裁者や独裁者予備軍の失望をよそに、FTCのような行政機関は、独断で規則を制定する権限を持ってはいない。規制を制定するには、まず下準備が必要だ。例えば、FTCは企業に機密情報の開示を強制できる法的権限を持つため、MBAや公共政策の修士課程で学べる以上の深い「市場調査」ができる。
市場調査は大変にすばらしい。英国競争・市場庁(CMA)のデジタル市場ユニットという研究グループは、テック業界の内部構造に切り込む興味深い調査を次々と公開している。400ページを超える大作で、テック企業が自社の業務を隠蔽するために張り巡らせた「退屈の盾」を打ち破った。彼らのアドテクに関する調査は特におすすめだ。
https://www.gov.uk/cma-cases/online-platforms-and-digital-advertising-market-study
優れた市場調査は、それだけでも強力な武器となる。内部の仕組みを暴き、議論の土台を提供する。豊かで強大な国々が実施する調査は、その同じ企業に苦しめられている小国や貧困国に執行のロードマップを与えることにもなる。
しかし、市場調査はあくまでも序章に過ぎない。規制当局が市場の実態を把握すると、いよいよ介入の段階に入る。新たな規制を提案したり、不正を働く企業に「行動是正措置」を課すのだ。
ところで、盗まれ、腐敗し、正当性を欠き、過激で、デタラメな最高裁判所が、規制をさらに難しくしている。「Loper Bright」訴訟で、最高裁が長年の原則「シェブロン敬譲」を葬り去ったためだ。これはようするに、ある機関が規制を裏付ける事実に基づいた主張をした場合、裁判所はその主張が嘘ではないと想定すべきだという原則だった。
https://jacobin.com/2024/07/scotus-decisions-chevron-immunity-loper
シェブロン敬譲の死は、多くの重要な規制――過去、現在、そして未来の――が裁判所の審査にさらされることを意味する。おそらく第5巡回区の愚かな「MAGA」判事の前に引きずり出され、骨抜きにされるか、完全に葬られることになるだろう。それでも規制当局には選択肢が残されている。シェブロン敬譲の破壊の影響を受けない行動是正措置を課せるのだ。
「Loper」以前も以後も、そして今も、市場の仕組みを慎重かつ徹底的に調査することが、その市場に「メスを入れる」前段階となる。事実は重要だ。政権が変わっても重要性は変わらない。なぜなら、いったん事実が明るみにでれば、他の政府もそれを行動の根拠として使えるからだ。
だからこそ、FTCが世界最大のテック企業に開示を強制する権限を行使し、それを評価して「大規模な監視」の実態を明らかにしたことが重要なのだ。ユーザが気づかないうちに監視され、適切に保護されていないとした結論は重みがある。
さらに、委員会は「データの濫用が市場支配力を強化し、その市場支配力がさらなるデータの濫用と消費者に害をもたらす慣行を可能にする」と指摘している。つまり、テック独占企業は独占を確立・維持するために我々を監視し、そしてさらに監視を強化する。その結果、我々は害されているのだ。
では、この報告書がどんな行動につながるのか。FTCは、規制のない商業的監視産業の慣行が違法だという証拠を掴んだと考えているのは間違いない。まず、商業的監視が「消費者」としての我々を害しているからだ。「消費者福祉」は、レーガン時代に反トラスト法を乗っ取った右翼経済学者たちが唯一残した執行基準だ。ここで委員会は、監視が我々を傷つけ、それが独占の結果として生じ、さらに企業が監視を強めるほど独占が強化されるという証拠を示している。
しかし、委員会は別の執行手段も用意している。それが、長らく(本当に長い間!)忘れ去られていた第5条だ。「不公正で欺瞞的な競争方法」を罰するこの権限は、非常に広範な力を持つ。
https://pluralistic.net/2023/01/10/the-courage-to-govern/#whos-in-charge
この調査で、委員会は――かなり説得力のある形で!――商業的監視セクターが日常的に、自分のデータがどう使われているか全く知らない人々を欺いていることを明らかにした。例えば、ほとんどの人は、プラットフォームがウェブサイト運営者をあの手この手でかどわかし、トラッキングピクセルやフォント、アナリティクスビーコンなどを埋め込ませていることも、これらがユーザデータをビッグテックのデータベースに送り返し、ビッグテック企業が持つユーザのデータと統合されていることも知らない。同様に、ほとんどの人は、クレジットカード会社や街中や店舗のBluetooth・Wi-Fiモニタリングデバイス、さらには車から収集されたデータを、ビッグテックに大量に売りさばく闇のデータブローカー業界の存在も知らない。データブローカーは、データを持っていると主張するなら誰からでも(たとえそれが嘘つきであろうと)この種のデータを買い漁る。例えば日産は、運転手の車内の匂いや性生活の記録まで持っていると豪語する。
https://nypost.com/2023/09/06/nissan-kia-collect-data-about-drivers-sexual-activity
Cox Communicationsに至っては、スピーカーや電話、その他のIoTデバイスのマイク範囲内で交わされる会話を密かに録音し、文字起こししていると主張しているのだ。
https://www.404media.co/heres-the-pitch-deck-for-active-listening-ad-targeting
(Coxのデタラメに真実の欠片があるとすれば、おそらく、彼らはいくつかの悪質な「スマートTV」企業にマイクを密かにオンにするよう説得し、それを「米国民の発言をすべて記録し、広告のターゲティングに使える」というマーケターの夢想にまで膨らませたのだろう。)
データブローカー業界に蔓延する詐欺はさておき、彼らが販売するデータの一部が本物で、しかも親密かつセンシティブな情報であり、そのデータ収集に当事者が決して同意していないことは疑いようもない。公共の場の顔認識カメラをどうやって回避すればいいのか? 「顔を持たなければいい」なんて、現実的な選択肢じゃない。
そして、一般の人々がこのデータ収集について欺かれているとすれば、それがどう使われているかについてはさらに無知だ。オンプラットフォームの利用データ、アプリやウェブからのデータが統合され、あなたとあなたの特性について「推論」をみちびく目的で分析される。
さらに、これらの企業はあなたのデータを扱う内部プロセスがめちゃくちゃで、デタラメだ。これも「欺瞞的で不公平な」行為の極みと言える。例えば、これらの企業にデータの削除を要求すると、彼らは削除したと言うが、実際に「非識別化」するだけで、それを保持し続ける。
非識別化とは、データから「個人識別子」を取り除くことでデータを無害化する、非常に理論的な方法だ。だが実際には、ほとんどの非識別化されたデータはあっという間に再識別化できてしまう。そして、非識別化されたデータのほぼすべてはいつか再識別化される可能性がある。
https://pluralistic.net/2024/03/08/the-fire-of-orodruin/#are-we-the-baddies
データの漏洩、再識別化、悪用を防ぐのは至難の業だ。一般論として、収集されたデータはいつか漏洩し、保持されたデータは必ず漏洩すると考えるべきだ。これを少しでも防ぐには、企業は詳細なログを取り、定期的な監査を行うなど、データを細心の注意を払って扱わなければならない。ところが委員会の調査によると、最大手テック企業のずさんさは目を疑うほどだ。「彼らはしばしば、収集したすべてのデータポイントや、そのデータを共有したすべての第三者を特定することさえできなかった」という。
これが消費者プライバシーに重大な影響を与えるのは明らかだが、国家安全保障の観点からも看過できない。中国政府がTikTokを使って米国民を監視しているかもしれないと世間がパニックになっているのに、米国の商業的監視が議会の厳しい精査を免れているのは驚くべきことだ。
結局のところ、テックプラットフォームのターゲティングシステムを使えば、議会スタッフ(「議会から1マイル以内の40歳未満の政治学学位保持者」)やNORAD職員(「シャイアン山から1マイル以内の空軍入隊者」)を特定し、広告(悪意のあるサイトへのリンクを含む)をプッシュするのは朝飯前だ。
これだけのターゲティング能力があれば、議会も眉をひそめるはずだ。しかし、選択できる特性はこんなものじゃない。全宇宙がそこにある。だからこそ委員会は「センシティブなカテゴリーに基づいてターゲティングが行われると、ユーザに対する深刻な脅威となり得る」と警鐘を鳴らしているのだ。
FTCのこの調査結果は、もう一つの反トラスト訴訟をめぐる現在の論争を考えると、まさに時宜を得たものだ。8月、連邦裁判所はGoogleが検索の独占企業であり、同社がそのデータの海を使って独占を確立し維持したと認定した。
これを受けて、その競争上の優位性を解消するために、裁判所がGoogleに競合他社とデータを共有するよう命じるべきだという声が高まっている。これはとんでもない悪手だ。FTCの調査が示すように、Googleが我々全員から盗んだデータは信じられないほど有毒なのだ。Googleの問題を、そのデータを広く共有することで解決できると主張するのは、一部の国だけが核弾頭を持っているという問題を、地球を破壊する爆弾への「民主的な」アクセスを与えることで「解決」しようと提案するようなものだ。
https://pluralistic.net/2024/08/07/revealed-preferences/#extinguish-v-improve
このFTCの報告書で詳述された、無謀で有害な行為によってGoogleが得た競争上の優位性に対処するなら、すべてのそのデータを削除させなくてはならない。確かに、それは想像を絶することかもしれない。だが、考えてみてほしい。有毒で同意を得ずに収集された市民のデータを、企業が保持すべき適切な量は? ゼロだ。これ以外の答えがあるだろうか。
https://pluralistic.net/2024/09/19/just-stop-putting-that-up-your-ass/#harm-reduction
ある人々は言う。Googleが収集すべきではなかったデータを共有する必要はない。Googleがそのデータから、そして他の触手(YouTube、Androidなど)が吸い上げた他のデータから導いた「推論」、さらにはデータブローカーの泥沼を掻き回して得たものを共有するだけで十分だ、と。
しかし、報告書が指摘するように、最も非倫理的で同意のないデータこそ「これらのシステムが推論する個人情報、第三者から購入したもの、またはユーザおよび非ユーザのプラットフォーム外での活動から派生したもの」なのだ。これこそ削除すべきものだ。
報告書の主要な焦点の一つは、プラットフォームが子どものデータをどう扱っているかだ。プラットフォームには子どものデータに関して特別な義務がある。議会が消費者プライバシーに尻込みする一方で、子どものプライバシー法だけは確かに制定したからだ。2000年、議会は児童オンラインプライバシー保護法(COPPA)を可決し、13歳未満の子どものデータの収集、保持、処理に厳しい制限をかけた。
COPPAには2つの解釈がある。一つは「データセットの全員が13歳以上だと確信できないなら、そもそもデータを収集したり処理したりすべきではない」という見方。もう一つは「データを収集・処理している全員が13歳以上であることを確認するために、13歳未満の子どもを含む膨大な量のデータを収集すべきだ」という見方だ。後者のアプローチは明らかに本末転倒だが、世界中や州議会で「年齢確認」法が支持を集めているように、その勢いは増している。
一方、プラットフォームはさらに愚かな第三のアプローチを見出した。年齢を確認できないからといって何も収集しないのでもなく、年齢を確認するためにすべてを収集するのでもない。すべてを収集しつつ、「私は13歳以上です」とボックスにチェックを入れさせるのだ。
https://pluralistic.net/2023/04/09/how-to-make-a-child-safe-tiktok/
13歳未満の多くの子どもたちが「13歳以上です」のボックスにチェックを入れて先に進めることに気づいているのは、別に驚くことではない。あなたは驚かないだろうが、どうやらプラットフォームは目を丸くしているようだ。彼らは、サービスでアカウントを取得するには誰もが「13歳以上です」のボックスをクリックしなければならないという理由で、未成年のユーザが全くいないと主張していたのだから。
36年間(そしてまだ続いている)包括的なプライバシー法を可決しないことで、議会は企業の自主規制にプライバシー保護を丸投げしてきた。彼らは自分たちの宿題を自分たちでチェックしていたのだ。だが今や、FTCの開示強制権限のおかげで、プラットフォームが不正を働いていると断言できる。
FTCの最優先の勧告が、議会に新しいプライバシー法の可決を求めているのは当然だ。しかし、他にも賢明な提案がある。企業にユーザのデータをより厳重に保護するよう要求することだ。つまり、収集を減らし、保存を控え、使用後に削除し、様々な事業部門からのデータの統合をやめ、第三者とのデータ共有を止めることだ。
忘れてはならない。FTCには、このような「行動是正措置」を命じる広範な権限がある。これは「Loper-Bright」訴訟における最高裁の「シェブロン敬譲」決定の影響をほとんど受けないのだ。
FTCは、プライバシーポリシーは「明確で、シンプルで、すぐに理解できる」べきだと述べ、広告のターゲティングを厳しく制限すべきだと主張している。データの推論(AIを含む)にはより明確な同意を求め、企業は定期的で厳格な監査によって自社のプロセスを監視すべきだと主張する。
競争規制当局への勧告もある。バイデン政権には、すべての機関に企業の集中を解体する権限の行使を求める「政府全体」の反トラスト的アプローチがあることを思い出してほしい。
https://www.eff.org/deeplinks/2021/08/party-its-1979-og-antitrust-back-baby
彼らは言う。競争執行機関は合併提案がプライバシーにもたらす影響を考慮し、プライバシーの促進が競争をも促進する可能性を検討すべきだ、と(つまり、Googleの盗んだデータがGoogleの独占を助けたのなら、そのデータを削除させることで彼らの市場支配力を弱められるかもしれない、ということだ)。
このような報告書に、安直な皮肉を言いたくなる気持ちはわかる。だが、それは間違いだ。テック企業が我々のプライバシーを侵害していることを「誰もが知っている」ことと、「連邦機関が結論づけた」ことの間には大きな違いがある。これらの市場調査は確実に影響を及ぼす。疑っているなら、こう考えてみてほしい。Cignaの子会社、Express Scriptsは、同社が独占力を利用して処方薬の価格を引き上げたことを暴いた画期的な市場調査を公開したとして、FTCを訴えているのだ。
大企業はこの種の連邦機関による調査を本気で恐れている。彼らが調査を脅威だと考えているのに、なぜ我々は彼らの言葉を真に受けてはいけないのだろうか。
この報告書はマイルストーンであり、英国競争・市場庁の報告書と同様、起爆剤だ。「Loper-Bright」後でさえ、この報告書は最大手テック企業の行動を制限する強力な是正措置の事実的基盤となり得る。
しかし、プライバシー法がなければ、大手テック企業に餌を与えるデータブローカー業界はほとんど影響を受けないだろう。確かに、消費者金融保護局(CFPB)はこの問題の周辺でいくつかの良い仕事をしている。
だが、最大手データブローカーの最悪の行き過ぎを抑制する以上のことをしなければならない。この業界を根絶やしにするのだ。議会はそのために行動を起こさなければならない。
https://pluralistic.net/2023/12/06/privacy-first/#but-not-just-privacy
(Image: Cryteria, CC BY 3.0, modified)
Pluralistic: Tech monopolists use their market power to invade your privacy (20 Sep 2024) – Pluralistic: Daily links from Cory Doctorow
Author: Cory Doctorow / Pluralistic (CC BY 4.0)
Publication Date: September 20, 2024
Translation: heatwave_p2p
