サイトアイコン IT NEWS

副次的監視の時代を終わらせよう

著者紹介:Vijay Sundaram(ヴィジェイ・スンダラム)氏は、ManageEngineの親会社であるZoho Corporation(ゾーホー)のCTO(最高戦略責任者)。企業戦略および執行からチャネル管理、事業開発、企業販売に至るまで、複数の領域を指揮/担当している。

ーーー

我々消費者は、自分たちが使いたいサービスやソリューションにアクセスする際、Google、Facebook、Twitterなどの企業に個人データを提供することを気にしないものだ。しかし多くの人は、水面下でこうした企業がデータ収集をビジネスモデルに統合し、データ収集監視組織として機能していることを理解していない。

ユーザーには認識されていないが、多くの企業はサードパーティが自社のウェブサイトに埋め込みコードを設置することを許可しており、そのコードはユーザーの行動を捕捉し、収集または販売するために利用されている。ZohoのチーフエバンジェリストであるRaju Vegesna(ラジュ・ヴェジェスナ)氏が指摘するこの「副次的な監視」は、ユーザーや投資家を始め、ビジネスリーダーたちからの抵抗を受けずに一般的な慣行となってきた。

こうした監視の振り子が大きく揺れすぎていることは、思慮深い人の間で重大視されてきている。つまり企業がなんの規制もなくユーザーデータ収集や共有を行うことへの懸念だ。実際、副次的監視に対する規制が厳しくなってきており、EUのGDPR、カリフォルニアのCCPA、ニューヨークのSHIELD法、ブラジルのLGPDなどのデータプライバシーに関する法律がここ数年で次々と制定された。

政府の規制強化と社会意識の高まりを受けて、企業のリーダーたちはこの問題に目を向け始めている。しかし、政治家や規制当局の動きに頼るだけでは不十分だ。また法律用語や細かい文字で埋め尽くされた通知文書を根拠として法を遵守しているとしても、それでは十分とは言えない。この種のマキャベリ的な手法は形式的には正当かもしれないが、道徳的ではない。

テック業界のリーダーたちにとって、プライバシーに関する誓約を正式かつ明白に遵守する立場を示す時期に来ているだろう。

ユーザーへの通知なく広告会社にユーザーを追跡させない

企業がユーザーデータをサードパーティの広告主に販売することで事業を成り立たせている場合、データがどのようなことに使用されるのかをユーザーに知らせることが重要だ。場合によってはそうした情報をユーザーに開示しないことが法的に認められる可能性はあるが、これは適切ではない。

1996年の創業以来、ManageEngine(当時はZohoとしてビジネスを行っていた)は自社のウェブサイトや製品にサードパーティーの広告を掲載することを拒否してきた。すべての副次的な監視を阻止するため、サードパーティーの追跡コードを自社サイト内に埋め込むことを一切許可していない。ソーシャルメディアのシェアボタンは無害に見えるかもしれないが、本質的にトロイの木馬として機能し得るため、同様に排除されるべきであろう。

サードパーティとの統合がユーザーデータの追跡につながる可能性のある場合は顧客に通知する

もし企業がそうした活動に財政的に依存しているのであれば、透明性を保つ必要がある。たとえばGoogle(グーグル)を例にとると、Gmailを使うことに問題はないとほとんどの人が認識しているが、それは検索大手にデータを提供するだけの価値をユーザーが見い出しているからだ。しかし、Googleがユーザーデータを利用してクレジットカード会社やヘルスケア会社との提携を密かに結んでいるとすれば、話はまったく別だ。

Googleは2018年に医療団体Ascensionと提携し、Ascensionの患者には知らされていなかったデータ共有プロジェクト「Project Nightingale」を開始した。その後の調査で、Googleは実用面でHIPAAやその他の法律に違反していないことが判明したが、このスクープがなければ一般の人々はこの計画について知ることすらなかっただろう。また、この種の非公式な健康データのパートナーシップは他にも広く行われている可能性が高い。

もう1つの例として、GoogleはMastercard(マスターカード)と秘密裏に提携し、Amazon(アマゾン)と競合して消費者小売支出データを収集していた。この秘密の提携関係が露呈した際、両社は顧客の個人情報を一切共有していないと主張した。Googleによると、ユーザーデータを統合し匿名化した形で保護するダブル・ブラインド式暗号化技術を利用したという。両社はユーザーの個人情報はすべて「身元が特定されていない」と繰り返し主張したものの、MastercardやGoogleのユーザーにこの契約が公表されたことは一度もなかった。おそらくこのMastercardとの提携はGoogleにとって単発のものではないだろう。GoogleはAdWordsのブログ(現在はGoogle広告コミュニティに統合)を通じて、クレジットカードとデビットカード所有者の情報のうち70%にアクセスがあることを言明している。

この話の教訓は何であろうか。Googleのようであってはならないということだ。

暗号化ツールを使用して、パブリックネットワーク経由で転送される顧客データを保護する

企業がパブリックネットワーク経由でユーザーデータを送信する場合、必ずすべてのサーバー接続で強力な暗号化を使用する必要がある。ハイパーテキスト転送プロトコルセキュア(HTTPS)およびトランスポート層セキュリティ(TLS)プロトコルに従って、ウェブブラウザ、企業のサーバー、およびすべてのサードパーティ製サーバー間に常に安全な接続があることを確実にする。TLSプロトコルは両者の認証を可能にするだけでなく、データを暗号化し、第三者がデータ転送プロセスを盗聴または妨害することを防ぐ。

社内データセンターへの投資を検討する

経済的に実現可能であれば、企業は自社のデータセンターに顧客データを保存するか、データセンター内のサーバーを所有するべきである。サードパーティのデータセンターやパブリッククラウドに依存しないことで、データプライバシーイニシアティブを強化できるだけでなく、時間の経過とともにコストも削減できる可能性がある。さらに、ユーザーデータを保護するために努力している企業を評価するユーザーが増えてくれば、企業にとってもメリットがある。

ManageEngineはプライベート企業であるため外部の株主に依存することはなく、経営者は財務的な視点ではなく理念的な視点で物事を見ることができる。創業当初からユーザーのプライバシーを重視する姿勢を貫いているが、現在の監視環境は組織内でかなりの反発を招いている。確かに同社はプライバシーに関するこのような強硬路線を取ることで、多少のビジネスチャンスを逃しているかもしれない。

しかし、ヴェジェスナ氏は次のように問いかけるという。「企業が金銭的に成功しても、道徳的に破綻した場合、価値はあるでしょうか」 。

関連記事:米上院議員クロブシャー氏がAmazonのフィットネストラッカーHaloについてプライバシー面の懸念を表明

カテゴリー:セキュリティ
タグ:コラム プライバシー

[原文へ]

(翻訳:Dragonfly)

モバイルバージョンを終了