フェイスブックがこれまでアイルランド法人で管理していた北米以外のユーザーデータ19億人分のうち、欧州を除く15億人分を米国本社に移管する、とロイター通信が報じ、波紋を広げている。
By Maurizio Pesce (CC BY 2.0)
欧州連合(EU)はビッグデータ時代に合わせてプライバシー保護を強化した新法制「一般データ保護規則(GDPR)」の施行を、5月25日に控えている。
それを目前にしたフェイスブックの動きだ。
フェイスブックは、ケンブリッジ・アナリティカをめぐる8700万人分データ流用問題が世界的な注目を集め、マーク・ザッカーバーグCEOが10時間におよぶ米上下両院の公聴会で、プライバシー保護強化を誓ったばかりだ。
ザッカーバーグ氏は公聴会の中で、GDPRへの対応を掲げるとともに、グローバルで同等のプライバシー保護を行うと表明していた。
だが実際には、厳格なGDPRの施行直前、その適用地域であるアイルランドから、緊急避難のように大半のユーザーデータ管理を大西洋をまたいで移管するという。
欧州以外のユーザーデータ管理を、包括的なプライバシー保護法制が存在しない米国に管理を移すことで、期待できる保護レベルは、当然下がることになる。
この15億人の中に、日本のユーザーも含まれる。
そしてフェイスブックの「プライバシーポリシー」を見ると、その移管の作業はすでに行われているようだ。
●プライバシーの問い合わせ先
1. 利用者の居住地または事業の主たる拠点が米国またはカナダである場合、本規約は利用者とFacebook, Inc.の間で締結されます。 それ以外の場合には、本規約は利用者とFacebook Ireland Limitedの間で締結されます。 「弊社」とはFacebook, Inc.またはFacebook Ireland Limitedのうちいずれか該当するものを指します。
フェイスブックの右カラムに「規約」という目立たないリンクがある。
ここから「Facebook利用規約」に入っていくと、「最終更新日: 2015年1月30日」の内容の「18.その他」に、上記のような記述がある。
利用規約は、北米のユーザーなら米カリフォルニア州メンロパーク市にある本社「Facebook, Inc.」との間で締結される。だが、日本や欧州を含むそれ以外の国・地域のユーザーはすべて、アイルランド・ダブリンにある国際本社「Facebook Ireland Limited」との間の締結である、としている。
少なくとも、日本のユーザーだからといって、フェイスブック日本法人との間で、利用規約を合意しているわけではない、ということだ。
さらに、個人データの取り扱いを説明した「データに関するポリシー」を見てみる。
「最終更新日: 2016年9月29日」とあるバージョンでは、やはり北米のユーザーの問い合わせ先はカリフォルニアの「Facebook, Inc.」、北米以外のユーザーの問い合わせ先は、アイルランド・ダブリンの「Facebook Ireland Limited」になっている。
ところが、この「データに関するポリシー」には、アップデート版がある。
「最終更新日: 2018年4月19日」と更新されたばかりのそのアップデート版を見ると、問い合わせ先が米カリフォルニア州メンロパーク市の「Facebook, Inc.」のみとなり、アイルランドの「Facebook Ireland Limited」の表記は消えているのだ。
日本のユーザーによる、フェイスブックのプライバシー保護に関する問い合わせ先は、いつの間にかダブリンからメンロパークに変わったようだ。
●アイルランドから米国への移管
ロイターの18日付けの報道によると、これまでアイルランドの国際本社が管轄していた、北米以外の19億人のユーザーデータのうち、5月25日施行の新プライバシー保護法制GDPRの対象となる欧州を除く、アフリカ、アジア、オーストラリア、中南米のユーザー15億人について、利用規約を変更して、米カリフォルニアの本社に移管される、という。
12月時点でフェイスブックが抱える20億人強のユーザーのうち、米国とカナダは2億3900万人、欧州は3億7000万人、その他の地域は15億2000万人に上っており、規約変更は全ユーザーの7割以上に影響を及ぼすことになる。
アイルランド法人は2008年設立。法人税率の低さによるメリットを活用しているようだ。だが、プライバシーに関しては、今後は別扱いになるという。
GDPRは、ユーザーのビッグデータを寡占し、マーケティングに駆使するフェイスブックなどの米国IT企業が大きな標的として想定された新法制だ。
GDPRでは、2000万ユーロ(21億円)か世界での売り上げの4%分の、どちらか高い方を罰金として課せられる規定がある。
フェイスブックの2017年の売り上げは400億ドルなので、4%だと16億ドル(1700億円)という巨額の罰金となる可能性もある。
ロイターへの声明で、フェイスブックは個人データの管轄変更の理由について、「EU法が(米国法にない)特別な法律上の表記を要求しているため」と説明し、さらにこう述べているという。
我々は利用規約の締結先が「 Facebook Inc」であろうと「 Facebook Ireland」であろうと、すべての地域で、同様のプライバシー保護を適用します。
ただこの変更について、フェイスブックのアイルランド法人を管轄しているアイルランド政府当局への通告はなかったと、ロイターは報じている。
またロイターは、マイクロソフト傘下のビジネスソーシャルメディア「リンクトイン」も5月から、同様に個人データの扱いをアイルランド法人から米国本社に移す、としている。
プライバシー研究者のウカシ・オレイニク氏はガーディアンの取材に対し、移管はユーザーのプライバシー保護に大きな影響があるとして、こう述べている。
15億人ものユーザーを他の司法管轄に移動するというのは、単なるコピー&ペーストとはわけが違う。
これはデータプライバシーの見地からいって、空前の大規模な変更だ。この変更によって、プライバシーの保証やユーザーの権利は低減し、ユーザーへの同意取得の要求など、多くの点で取り扱いに違いが出てくるだろう。米国の基準は欧州よりも低いため、ユーザーは今あるいくつかの権利を失うことは明らかだ。
●フェイスブックの「プライバシー保護強化」
フェイスブックは、ケンブリッジ・アナリティカをめぐる8700万人分データ流用問題で厳しい批判を浴び、ザッカーバーグ氏は10、11の両日、米上下両院で10時間、100人の議員の追及にさらされることになった。
公聴会でGDPRについて問われ、ザッカーバーグ氏はこう述べていた。
世界中のすべての人々が、きちんとプライバシーを保護される権利があります。(中略)
GDPRでは、顔認識のようなセンシティブなテクノロジーについては、積極的な同意のとりつけと特別なコントロールの提供が要求されており、フェイスブックも実装に取り組んでいます。これについては、全世界で実施予定です。
米国でもGDPRと同様のものが必要かどうかについては、議論の価値はあるだろうと考えます。ただ、その規制がどのようなものになるにしろ、前向きに受け止め、対応していくと、述べておきたいと思います。
さらに、これに先立つ4月初め、ザッカーバーグ氏はGDPRへの対応について、ロイターの取材に対して、こうも述べていた。
我々はこの件について、細部を詳細に検討中だが、全体的な方向性としては、その精神を踏襲すべきだろう。
つまり、「精神」はグローバルに踏襲するが、EUと同じ保護措置をグローバルに展開するわけではない、ということだ。
ケンブリッジ・アナリティカ問題を受けて、フェイスブックはすでにプライバシー保護に関するいくつかの対応策を打ち出している。
一つは3月末に公表したプライバシー設定画面の変更(※4/21現在、日本では未実施)。
さらに4月4日には、利用規約の見直しも打ち出している。
そして17日には、GDPRへの対応も表明。GDPRの適用対象となる欧州のユーザーに対し、ターゲット広告や「顔認識」機能への同意取得を始めるという。
ただガーディアンによると、この同意取得の手続きでは、「オプトアウト」を選択するのは難易度が高い、との指摘も出ているようだ。
●プライバシー保護、「精神」の実装
プライバシー保護について、GDPRの「精神」を踏まえつつ、地域によって、その実装には開きが出てくる。
そんな実例を、今後も見せつけられることになるのだろうか。
--------
■新刊『信じてはいけない 民主主義を壊すフェイクニュースの正体』(朝日新書)
(2018年4月21日「新聞紙学的」より転載)