Last Updated: March 7,2021
2013年8月29日にフェイスブック(Facebook)は、会員向けにEメール等で「データ使用ポリシー(data use policy)」の改定につき通知した。 (筆者注1) (筆者注2) (筆者注2-2)
この問題は、わが国では必ずしも体系的かつ正確に論じられているとは言いがたいし、さらにEUのタグ付け提案機能(tag suggestions)規制の実態、また犯罪捜査やテロリスト対策等の観点から見た人権問題の解析にいたっては皆無である。
さらなる問題は、本文を読まれて気がつくとおり、Facebook自体のビジネス・ポリシーのいい加減さである。顔認証の「オプトアウト」に関するユーザーの非活性化手順も2010年以降「入れたり・はずしたり」である。セキュリティ専門家でさえ戸惑うような頻繁な手順改定は、一般ユーザーの権利を完全に無視しているといって過言でなかろう。
なお、わが国でこれだけ普及しているFacebookの契約関係にユーザーはどれだけ利用規約やポリシーをどれだけ正確に理解していつであろうか。一例として青山学院大学法務研究科(法科大学院)教授 浜辺 陽一郎氏が「日本でFacebookを利用する法的リスクに関する諸問題~利用規約の準拠法、国際裁判管轄の定めはそのまま有効とは限らない 」(2011年4月18日掲載))が参考になるが、本文で述べたとおり、利用規約等は頻繁に改定されている。
また、Facebookのプライバシー使用ポリシー改定問題に関しては、ニューヨークタイムズのIT専門ブログ(Bits)が解説記事を載せ、その中で本年8月26日カリフォルニア北部地区連邦地裁でなされた集団訴訟の和解命令についても、広く問題点に言及している。
さらに,2012年8月10日の米国連邦取引委員会(FTC)がFacebookに対し、プライバシー設定を超える個人情報の共有に対する消費者の事前同意等具体的改善内容に関する最終和解(同意命令: final Order)についても本ブログで簡単に言及した。
限られた時間内にまとめたため、データ内容の正確度についてはなお自信がないが、この問題の重要性から見て急遽作業を行った。
1.Facebookの自動顔認証技術導入拡大の経緯
(1)タグ付け提案機能に関するグローバルな提供開始
2010年12月15日、Facebookは自動顔認証機能による写真のタグ付け提案機能の提供を公表し、さらに約半年後の2011年6月8日に日本を含むほぼすべてのFacebook提供国で その利用が可能となった旨リリースした。
このタグ付け提案機能(tag suggestions)の効能はいかなるものであろうか。建前のみでいえば「写真タグづけとは、アップした写真に写っている人の名前をFacebook 上(検索画面)から選択して、写真上に登録して名前を表示させることを言う。具体的な機能は、①自動検索・グルーピング機能、②顔認識機能である」(ビジネスシーズアナリスト 鈴木英広氏の説明から抜粋)。
その後、Facebookは米国時間2019年9月3日、顔認識技術に基づく「タグ付けの提案」の設定を廃止することを明らかにした。この設定では、Facebookが顔認識を使い、写真に写っている自分を友達が判別できるよう自動的に提案するかどうかだけを選ぶことができた。
物議をかもしてきたタグ付けの提案は、2015年から係争中の訴訟で争点となっており、Facebookがイリノイ州の生体情報プライバシー法に違反したとされる。自分が写っている写真に他のユーザーが「タグ付け」すると、その写真から自分のFacebookプロフィールへのリンクが生成される。この機能はデフォルトで有効になっており、望まない場合は設定メニューから無効にする必要があった。
Facebookは今後、タグ付けの提案の代わりに、「顔認識機能」という設定項目を提供する。このより広範なツールでは、写真に写っている自分を判別するのにFacebookが顔認識を行うかどうかを選択でき、タグ付けされていない写真に自分が写っているか、他のユーザーのプロフィール写真に自分の顔が使われていないかなどもチェックできる。Facebookは2017年、この顔認識機能の設定を一部のユーザーに導入していた。(2019.9.4 CNET JP記事から一部抜粋)
(2)海外のITセキュリティ企業の対応に関する解説
2013年2月4日、英国に本拠を置くグローバルなITセキュリティ企業”Sophos”は「Facebook、顔認識機能を再度有効に!写真のタグ付けの設定をご確認ください」と題し、次のような日本語解説記事を載せた。一部抜粋する。
*ユーザーがオプトアウトを希望していた場合は、Facebook により、ユーザーがタグ付けされたことが通知されます。しかし、そもそも、このタグ付け機能は、自分が誰であるかを知っていると主張しているにも関わらず、そのオン・オフを選択できないのです。
*この機能については、私自身を含め、不快感を覚える人が多くいました。この機能により、自分の同意がなくてもオンラインで自分が識別されてしまうことになります。よく知らない人でも、自分が誰であるかがわかってしまうのです。
*この顔認識機能については、Facebook が有効にしたり、無効にしたりと紆余曲折がありました。
*昨年(2012年)、Facebook は「技術的な改良を行うため」この機能を一時的に停止しましたが、今回復活することとなりました。」
2.Facebookの顔認証技術会社”Face.com”の買収と プライバシー侵害問題
2012年6月Facebookは顔認証技術会社”Face.com”を5,500万ドル(約53億3,500万円)~6,000万ドル(約58億2,000万円)で買収したことが報じられた。このような動きに対し、その真の目的等に関し、多くの関係機関から懸念の声が上がっている。
3.EUやドイツ、アイルランド等データ保護委員の懸念に対するこれまでの取り組み
(1) ドイツ・ハンブルグ州の情報保護・自由化委員事務局(HambBfDI)のFacebookのバイオ情報である顔認証技術に基づくプライバシー侵害問題への取り組み
EU加盟国は共通してGoogleやFacebookへの厳しい責任追及を行っているが、とりわけドイツは厳しい法的扱いを求めている。
ハンブルグ市情報保護・自由化委員事務局サイトで最近の取組み経緯情報を概観しておく。(なお、同サイトでは限られた範囲ではあるが、リリース文につき英訳化しているので、その旨も注記した)
A.2011年7月21日 HambBfDIはFacebookの利用規約と監督・規制等に関する意見書(独語)を公表
B.2012年1月17日 HambBfDのFacebookの顔認証技術の法的分析およびISPたるFacebookの責任問題の意見書(独語)を公表
C.2012年6月7日 Facebookに対する暫定的な法執行停止のプレスリリース (独語)
D.2012年8月15日 Facebookに対する調査手続きを再開する旨のプレスリリース(独語、英語)
E.2012年9月21日 連邦情報保護法(BDSG )第38条 権限にもとづく顔認証に関する差し止め命令(独語)発布 (英文リリース)
F.2012年11月28日 Facebookの異議に対する回答文書 (独語)
G.2013年2月7日 Facebookに対する行政手続きの開始のプレスリリース (独語)
上記Dにつき2012年8月15日のニューヨークタイムズは「ドイツのプライバシー保護委員は、Facebookの新自動顔認証ポリシーに驚愕」と題し監督機関とFacebookの間の詳しいやりとりを紹介している。仮訳する。
2012年8月14日にドイツの個人データ保護監督当局は、ソーシャルネットワーキングの巨人Facebookがユーザーの同意なしに顔写真につき違法にメンバーの巨大なデータベースに収集したと述べ、顔認識技術に関する調査を再度開くことを公表した。
この問題は "個人データに関し重大な影響を持つ"ヨハネス·カスパー・ハンブルク情報保護・情報自由委員が述べた。
同委員は、2012年6月にその調査をいったん中断したが、そのデータ使用ポリシーを変更するためにFacebookを説得しようとする試みが失敗した後に、彼はそれを再度開くと述べた。
"我々は、Facebookにこの問題に関し繰り返し会っているが、個人データのための重大な意味を持つこの問題に協力を得ることができていない、"とカスパー氏はインタビューで語った。
FacebookのメンバーがFacebookにアップロードした写真に基づいて、人間の顔の写真のアーカイブを収集するため分析ソフトウェアの会社の使用することは、データ保護法上、人々が実際に彼らの明確な同意を与えることを必要とするヨーロッパの保護法上で問題があった。
この点に関し、Facebookはこのようなオプト・イン・システムを使用する代わりに、彼らはオプト・アウトをユーザーに求めた。
ハンブルクの保護規制機関は、Facebookに対し、ドイツで収集された顔写真のデータベースを破壊し、それが自分の顔の生体データに基づいて、デジタルファイルを作成する前に、メンバーの明示的な同意を得るために、そのWebサイトのポリシー内容を改訂することを求めた。
2012年9月21日に後述するとおり、EU内での顔認証技術機能に関するユーザーテンプレートを削除する旨伝えてきたことから、HambBfDIのウルリッヒ・クーン(Ulrich Kühn)は保護コミッショナーの技術部門がFacebookが顔認証データが完全にソースコードを見直し、完全に削除されたことを確認しようとしたが、彼はドイツ国内のデータについてのみ調査できないため、Facebookとの協議では、Facebookが実際に削除の確認と証拠を出すよう求めた。
この作業の途中でFacebookはイツの再検査者がチェックのため説明なしにソースコードの一部を違いなく送ってきたのみであったが、更なる追加情報にもとづき検査した結果、HambBfDIは間違いなくFacebookが削除したことの確認ができたと述べた。
これらの手続きを経て、結果としてHambBfDIはFacebookによりユーザの明らかな同意なしに集められ、格納された既存の顔認証データをすすんで保存する意図はないとして2013年8月に再度手続き再開したFacebookの顔認証技術に対する訴訟を2013年2月に取り下げた。Facebook幹部はドイツのデータ保護当局とソースコードの交換ついてはコメントは行わなかったが、EU内では当分の間、顔認証の技術を使用する計画はないと述べている。
(2)アイルランドの情報保護監督機関(Office of the Data Protection Commissioner:ODPC )におけるFacebookの監督面からのドイツとの協調的活動 (筆者注3)
A.ODPCは他のEU加盟国を代表しつつ2012年7月、ODPCが2011年9月にまとめたFacebookアイルランド(FB-I)に対する1ダース以上のポリシーの改定やプライバシー保護改善にかかる具体的な勧告等詳細な検査報告書をうけて行った再検査結果の報告書を公表した。
ODPCの検査報告直後、Facebook Ireland Limitedは次回(2012年7月)のODPCの再監査に向け、米国やカナダ以外の国のユーザーとの契約義務にもとづき改定作業を約した。
また、Facebookは2011年11月米国連邦取引委員会(FTC)との間で取り交わした個人情報の共有化にかかるユーザーからのクレームの集団訴訟の和解をうけた包括的プライバシー・プログラムの実行義務を負うことになった。
ODPCの監査は、データ保持やその情報開示に関する180以上の苦情をカバーするものであった。これらの苦情のうち22はウイーン大学法学部の学生でマックス・シュレム(Max Schrems)が主導したもので、同グループは他の苦情と同様にFacebookはEU法に基づきデータ・コントローラーに対するユーザーの要求に応じすべての保有情報を開示していないというものであった。
監査への対応の一部として、Facebookは同社が保有するユーザー・データにつきユーザーによる閲覧を可能とするダウンロード・ツールを提供することに同意した。しかしながら、そのダウンロード・ツールは各ユーザ-の個人プロファイルからのみダウンロードが可能であった。
欧州Facebookのポリシー責任者であるリチャード・アラン(Richard Allan)は、ユーザーの活動ログのような他のデータと結合されるフェイスブックの「新たなタイムライン機能」 (筆者注4)は、他の該当するサービスよりアクセス制御にかかる包括的なセットを提供すると述べた。Facebookはそのプロファイル上で外部ウェブサイトからコンテンツを共有する際に使われるソーシャル・プラグインである「Like(いいね)」ボタンの使用記録に関する手順変更につき合意した。 ( 筆者注5)
すなわち、監査結果においてFacebookは現在10日以内記録しているプラグインのログのIPアドレスの最後のoctet(8バイト)を削除することにした。この点は、広告目的でのFacebookの利用を規制することにある。
さらに、ODPCはFacebookの顔認証機能につき批判した。すなわちそれは自動写真タグ機能のためにユーザーの顔写真にかかる生態認証情報をFacebookが格納することである。この点につきODPCの指摘のもとづきFacebookは早ければ2012年1月の第1週に「tag suggestions」機能を削除するというものであった。
ところで、前述の概要部分を読むとFacebookの”ODPCのbest practice”を求める勧告、特に顔認証データを削除することに同意したことから、改善につき勧告した以上の結果が得られたと評価している。(ODPCの勧告内容に対し4週間以内に不遵守のときは罰金額最高10万ユーロ(約1,290万円)というものであった)
Facebookの国際本部があるアイルランド保護機関の副コミッショナーであるゲイリー・デイビス(Gray Davis)(筆者注3)が公表した内容は、2012年9月21日FacebookアイルランがEU内のすべての顔認証データ機能をオフにし、また10月15日までに既存のユーザーテンプレートを削除するというものであった。
これに関し、FacebookはEU内での機能オフに伴い、5ヶ月間米国内でも顔認証技術の使用は停止していたが、2013年2月はじめに米国内で再開した。その内容は、停止前となんら変わらないように見える。
なお、ここで筆者が言いたいのは監督機関としてのミッションに対する責任感である。わが国では個人情報保護法施行されてすでに10年が経過したが、本年5月31日にマイナンバー法案(行政手続における特定の個人を識別するための番号の利用等に関する法律)が成立し、その問題と絡んで独立性をもった第三者機関の設置(第6章 特定個人情報保護委員会)が定められた。しかし、第6章の内容をもってEU加盟国やFTC等と同レベルの機能面で法執行体制が取れるかどうかという問題は別問題であろう。本ブログでは、この問題にこれ以上立ち入らないが、このEU各国の実態の中身を詳しく読むだけでもわが国の課題は理解できよう。
Wikipediaのハンプテイ・ダンプテイの挿絵から引用
***********************************************************************************************************
(筆者注1) 本文を読むまえに、8月30 日IT media記事「Facebook、ユーザーデータ利用に関する規約改変を発表」を読まれたい。また、「Facebook規約文書の改定案」の内容も丁寧に読まれたい。果たしてここで言わんとする意図がどこまで読み取れようか。
なお、本ブログ本文と緊密に関係する「写真を含むタグ付け」について改正プライバシーポリシー(案)の内容を一部引用しておく。
*リンクとタグ
誰でも記事にリンクを追加することができます。リンクは、インターネット上のコンテンツへの参照先で、ウェブサイトからFacebookページやFacebookのタイムラインまで、すべてのコンテンツが含まれます。たとえば、ユーザーが記事を書いている場合に、紹介するブログへのリンクや、そのブロガーのFacebookタイムラインへのリンクを含めることができます。別のユーザーのタイムラインへのリンクをクリックしたユーザーは、許可されたすべての情報を見ることができます。
タグは、タグ付けした人にユーザーの記事を紹介して、タイムラインに追加するようすすめる、他のユーザーのタイムラインへの特別な種類のリンクです。タグ付けした人が記事の共有範囲に含まれていない場合は、その記事が表示されるように共有範囲に追加されます。タグ付けは誰でも、どんなコンテンツに対しても実行できます。タグ付けされた人とその友達は、ニュースフィードや検索などで、対象のコンテンツを見ることができるようになります。
自分がタグ付けされた記事をタイムラインに表示するかどうかを選択できます。記事ごとに承認することも、友達からの記事をすべて承認することもできます。タイムラインで、後から承認を取り消すこともできます。
他の人にタグ付けされたくない場合は、その旨を伝えることをおすすめします。それでもタグ付けされてしまう場合は、そのユーザーをブロックすることができます。これにより、その人にタグ付けされることはなくなります。
(筆者注2) フェイスブックのデータ使用ポリシーの確認手順を見ておく。
データの使用に関するポリシー →Facebookが受け取る情報 →他の人と共有した情報 →
ユーザーの氏名、プロフィール写真、カバー写真、性別、ネットワーク、ユーザーネーム、ユーザーIDは、すべてのユーザーに公開することを選択した情報と同様に扱われます。詳細はこちら。 →常に公開されている情報 →プロフィール写真とカバー写真
友達や家族がユーザーを認識するのに役立ちます。これらの写真を公開することに抵抗を感じる場合は、いつでも削除することができます。ユーザーが写真を削除しない限り、新しいプロフィール写真やカバー写真を追加した場合には、古い写真はプロフィール写真またはカバー写真のアルバム内に公開された状態で残ります。
(筆者注2-2) 米国人権擁護NPO団体”EPIC.org”は”Facebook Privacy”サイトにおいてFacebookのこれまでの各種問題(Spmsored Stories問題やFTCとの合意等)を詳細に論じている。また、今回取り上げたクラスアクション「Fraley v. Faceboo」裁判につき法廷文書へのリンクを含め解説している。
(筆者注3) この項の説明は、2011年12月22日pcworld.idg.com.auの記事「Facebook commits to changes following critical Irish audit」から一部抜粋、引用した。
(筆者注4) 新機能である「タイムライン・フューチャー(特性)」について補足する。(参照URL:https://f-navigation.jp/manual/function/58/)
新しいプロフィールページ・タイムラインは言うなれば「自分史」です。自分がFacebook上で投稿した出来事、アップした写真やチェックインしたスポットなどはもちろん、大学の卒業や、結婚といったライフイベント、いままで聞いた音楽や観た映画、作った料理など、自分に関するありとあらゆる事柄がタイムラインに積み重なっていきます。
いままで自分の過去の投稿を見るには、ひたすらウォールを遡っていかなくてはなりませんでした。しかし、タイムライン上では、過去の出来事にもあっというまにジャンプすることができます。例えば二ヶ月前に自分がランチでどんなものを食べていたのか、一年前にどんなところに旅行に行っていたのか、過去にあなたがシェアした投稿が、タイムラインでは一目瞭然です。
(筆者注5) ソーシャル・プラグインとは、「いいね!」ボタンをフェイスブック外部のホームページやブログに設置することで、よりたくさんのつながりをもつことができる機能をいう。なお、次のURLにソーシャル・プラグインの設定手順が説明されている。(参照URL:http://www.facebook-japan.com/iine.html
(筆者注6) 現時点の副コミッショナーはJohn O'Dwyer氏である。ODPCの組織図参照。
(筆者注7) 常にFacebookの訴訟や裁判所文書などで登場するEdward Palmieri氏の写真は、インターネット上ではほとんど皆無である。
URL をあげておく。ユーザーの写真はこれだけ氾濫している一方で、皮肉なことである。
(筆者注8) クラスアクションの原告が立ち上げた組織(fraleyfacebooksettlement.com)は、クラスアクションの概要、Facebookとの間の和解内容について,裁判所の公文書、Q&A等を含め詳しく解説している。
**********************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
