ESET/マルウェア情報局
プライバシーを侵食する新時代の闇
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された個人情報を脅かす新時代の技術と法制度を再編集したものです
プライバシーは、基本的な人権の1つであり、また、そうあるべきである。今日、プライバシーという用語がエンドユーザーにとって何を意味するのかを理解しようとすれば、データのプライバシーまたは情報のプライバシーに関心は向かうはずだ。なかでも、自分の情報を他者が管理している場合、そうした情報の削除や訂正を求めることができるかどうかが気になるところとなる。エンドユーザーが求めているデータの中立性は次第に維持が困難になっているのである。「デジタルフットプリント」(=インターネット上の行動履歴)をどこにも残していないにもかかわらず、テクノロジーに関心を持つ非常に熱烈な「プライバシーマニア」がいる一方で、エンドユーザーの大多数は至るところにデジタルフットプリントを残し、サイバー犯罪者に機密データを提供している。
今やデジタルデータが次の技術革命を推し進めており、人工知能(AI)システムの巨大化の源となっている。そこで疑問に思うのは、機密データが数多くあるシステムの1つに加えられたときに、機械による意思決定プロセスによって消去権と忘れられる権利が何度くらい実施されるのか、そして、このデータを収集する企業はどこでどのようにAIシステムを使用しているのか、である。
大多数のエンドユーザーは、自分たちのデータがフォームやアプリケーションを通じてソーシャルネットワークや企業に提供されていると理解はしている。しかし、データ収集があまり透明とは言えないプロバイダーやサービスも数多くある。
無料のソフトウェアとサービス
消費者が無償または低コストでソフトウェアを享受することを期待しているため、一部のベンダーはデータ収集およびデータ共有ビジネスへの参入を決定している。無料ソフトウェアの提供者は、侵害を最小限に抑えつつ、その製品から収益を得るためには、ほんのわずかな方法しか持ちあわせていない。エンドユーザーが実際に目の当たりにするのは、第三者へのデータの収集および販売である。
例えば、某セキュリティベンダーが、2017年に、無料のウイルス対策製品を提供することを決定した。彼らは、新しい、無料の製品がどのようなやり方で収益を得ているのかについて公然と宣言してはいない。だが、データ収集のような間接的なやり方を用いて収益を得ている可能性が高いのである。
Microsoft社が無料のデフォルトオプションとしてWindows Defender Antivirusを提供し始めた後に、無料ウイルス対策ソフトの提供傾向と間接的な手段による収益化が加速化したと考えられる。当然のことながら、Microsoft社が最初からウイルス対策ソフトを無料で提供するならば、既存のベンダーがソフトウェアを販売する機会が少なくなる。直接競争よりもむしろ無料のソフトウェアを提供することによって代替的に収益を上げようとするのはごく自然の成り行きである。
今後も、無料または低価格のウイルス対策ソフトの割合が高まるであろう。無料ソフトは通常、従来の収益化方法を用いず、ユーザーからデータを収集し、売却可能であるかどうかがあいまいになるような複雑な開示(ディスクロージャー)声明を導入しているため、データプライバシーに関するリスクが増大する。これは弁護士だけが理解できる、長くて判読できないプライバシーポリシーを提供している多くの企業によって、すでに証明されていることである。
したがって、無料製品では、会社がどのように収益を生み出しているのかを、ユーザーが理解することが重要である。例えば、モバイルゲームで広告が表示されたり、ゲームのレベルが上げられたりする場合がある。会社が収益を上げている方法が明白でない場合は、データとプライバシーが関わっている可能性が高い。
モノのインターネット
無料の製品やアプリは、オンライン上でユーザーがどういった行動をとっているのかを全面的に理解できるようになる一方で、IoT(モノのインターネット)デバイスを使えば、より機密性の高いデータの収集や利用も可能となっている。
仕事から車で帰宅する時は、電話が交通状況を送信し、ほかのドライバーと共有する。早く家にたどり着ける回り道を探すこともできる。自宅にあるWebにつながっているサーモスタットが電話と通信を行い、位置情報と時刻を中継する。帰宅途中、住んでいる郊外の通りに入ると、近くにあるガレージの扉が開く。ライトが点灯し、今聴いている音楽が車から自宅に自動的に転送される。このようにIoTデバイスは、それぞれの機器が連動できるように設計されており、私たちの暮らしを快適にしている。
全てのデバイスは、収集したデータを使って、あるストーリーを伝えることができる。さまざまなデータの流れを組み合わせることで、攻撃者はある人物の人生の全貌を描くことさえ不可能ではない。働く場所、食べる場所、ジムに行く時間、訪れた映画の題名、買い物する場所など。こうしたデータと機械学習と人工知能の進歩が組み合わされば、私たちが自分のために何か決定を下すたびに、ますます技術の操り人形になる恐れがある。
ガートナー社のアナリストは、2018年に世界でIoTデバイスが112億台を突破し、2020年には204億台に増加すると予測している。デバイスが接続要求を行うたびに、プライバシーポリシーを読んで、プライバシーポリシーに定められているデータ収集条件を受け入れるかどうかについて情報に基づいた決定を下すよう、エンドユーザーに教育する必要がある。
法制度
2018年5月、市民が情報の処理方法や使用方法を強化するための指令であるEU(欧州連合)一般データ保護規則(GDPR)が発効された。この法律は、所在地がEU外の、EU市民のデータを処理または収集する企業にも適用される。
法律を順守しない場合、大きな罰金が科される可能性があるが、EU外の企業にこれらの罰金がどのように科されるのか、明確な答えはない。EUは、域外に位置する企業の対応事例を用意しようとしているようである。そうした例示がなければ、多くの国際企業が違反のリスクを冒すおそれがある。
2017年、インターネットサービスプロバイダー(ISP)が許可なく顧客データを収集することを制限するという、保留中の法案を現米国政権が廃止したことで、米国のプライバシーは後退した。一部のISPは第三者によるマーケティングを許可しないという自発的な約束をしているが、それが自らの商業的利益のためにそのようなデータを使用しないことを意味するわけではない。
オンライン上における挙動から収集されるデータは極めて幅広く、容易にプロファイルが構築できるほどである。極端に個人的な利害に絡みうるものを示すものもあれば、誰が収集しているのか分からない情報さえ利用されることもある。
顧客のプロファイルはクラッカーの標的になる可能性があり、すでにこれまでデータサイト、ショップおよびその他のサイトの個人情報の侵害が確認されている。オンラインで行われていることすべてをウォッチングして生成されたデータを盗み出すことは、サイバー犯罪者にとって究極の勲章である。オンライン上の慣習に基づいてユーザーを脅迫する機会を提供するからである。
このように膨大な量のデータを操作し、それを実際に活用することは、関連するストレージおよび処理コストが大幅に低下したことによる、比較的新しい選択肢である。「ビッグデータ」の収益構造は、現在では、より多くの企業がデータを収集し、相互に関連付けて販売する能力を持つことにより成り立っている。
企業がデータを収集し販売するのが容易なのは、ユーザー側がデフォルトの設定をそのまま受け入れたり、あからさまにプライバシーポリシーを読み飛ばしてしまっているからである。その結果、ユーザーのアイデンティティーや生活様式、個人データは企業の資産となっているのである。
ユーザーの意識が高まることが望ましいが、現実的には、ほとんど向上していない。今後、サイバー犯罪者によって収集されるデータ量はさらに増え続けることだろう。IoTと化したデバイスの利用時にも、ほとんどの場合はユーザーが意思決定や選択をしないがために、私たちのプライバシーは、さらに侵食される。プライバシーの享受が過去のものとなる日もそう遠くない。
[引用・出典元]