インターネットからの個人情報流出事件解説と、自分でできる対策

IT

以前SNSのアカウント乗っ取り人工知能について論じた時、プライバシーの問題や「データ分析産業」の存在に触れました。今回はあらためて、個人情報流出事件という観点からそれらについて考えていこうと思います。

個人情報といってもその意味内容はケースバイケースで、事件の内容も幅広いのですが、本稿で扱うのはインターネット上のサービスから漏洩した事例です。個人情報流出事件のタイプを大きく二つに分けてそれぞれ解説し、私たちユーザー側が自分でできる対策を紹介していきます。

目次

サービス運営会社が不正アクセスを受けたケース

個人情報流出事件としてまず定番的なのは、大手オンラインサービスやショッピングサイトの社内サーバーが何者かに侵入されるタイプです。侵入者によってログインIDやパスワード、その他登録情報が盗まれるのです。

ハッカー視点で見れば、IDやパスワードを盗めばアカウント乗っ取りが可能になります。ショッピングサイトのアカウントでたまっているポイントを使ったり、登録してあるクレジットカードで買い物したりできるのです。

また、ハッカーは膨大な数のユーザーの氏名・住所・電話番号・メールアドレスといった登録情報を閲覧・収集することもでき、それらには詐欺に利用する、他の犯罪グループに売るなどの悪用価値があります。

Yahoo! JAPANへの不正アクセス事件

代表的な事例としては、2013年5月、Yahoo! JAPAN(以下、ヤフー)で不正アクセスにより最大2200万件のID情報が流出した可能性がある、という事件がありました。

同社は追加調査を実施し、このうち148.6万件で、不可逆暗号化されたパスワードと、パスワードを忘れた際に必要な情報も流出した可能性があると発表しました。

ただ、この事件では同社の発表と対応が早かった上、そもそもIDは公なものであり、しかも流出したとされるパスワードは暗号化されていたため、混乱や被害はみられませんでした。

私たちユーザーにできる対策は?

自分のアカウントを保護する方法は乗っ取り対策の記事で解説したのですが、とりわけ重要なポイントはここでもくり返しておこうと思います。

まず、パスワードを強力に。ランダムな英数字がベストです。たとえば誕生日などをパスワードにしていると、犯罪者に簡単に推測されてしまいます。

次に、パスワードの使い回しはしない。オンラインサービス運営各社はユーザー情報を厳重に守っていますが、それでも100%ではありません。たとえば、ヤフーが攻撃されてパスワードが盗まれたとします。もしGoogleでもAmazonでも楽天でも同じパスワードだったら、その全部にログインされてしまいます。万が一の際に被害を最小限でおさえるため、パスワードの使い回しはしないこと。

もう一つ、二段階認証があれば必ず設定しておきましょう。オンラインサービス運営会社にとっても不正アクセスはなんとしてでも食い止めたい最重要課題ですので、パスワードだけではログインできない仕組みを私たち利用者に提供しています。二段階認証を設定しておけば、万が一会社からパスワードが流出しても、あなたの携帯電話が手元にない犯罪者はログインできません。

こうして自分のアカウントのセキュリティを固めておくことは大事ですが、もし自分ではなくサービス運営会社が攻撃され、個人情報流出事件があった場合は、一刻も早くパスワードを変更しましょう。こうすれば、流出したIDとパスワードは犯罪者にとって使い物にならなくなるからです。万が一の際にすばやく対応するためには、普段から不正アクセスの情報を敏感にキャッチしているといいでしょう。

これらのポイントを押さえておけば、リスクは劇的に下がります。

参考:TwitterやLINEの乗っ取り対策と、SNSの今後

私見―大事には至っていない

たとえ自分のパソコン・スマホ等端末をどんなによく管理しようが、強力なパスワードを設定しておこうが、オンラインサービス会社側が攻撃されたのではなすすべがありません。

ただ、ショッピングサイト等の運営会社はとてつもないセキュリティを敷いていますので(もし大切なお客様の個人情報がもれたら信用にかかわるし、損害も巨額にのぼる)、不正アクセスなどはそうそうされません。2013年ヤフージャパンの事件では、同社内に保存されていたユーザーのパスワードは不可逆暗号化されていたので、盗んだ何者かも利用できなかったようです。したがって、データが流出しても、大事には至っていません。

これまでを見渡すと、大規模な事件は起こっていないな、というのが私の印象です。

事件の危険性もまちまちです。誰かのログイン情報を入手したから、たまっているポイントで靴下とDVDを買っちゃおう――やったのがこんなこと止まりなら、しょうもない小物詐欺師といった感じです。それが氏名・住所にクレジットカード番号なんかまで収集されてしまうと、雲行きはどんどん怪しくなってきます。そして、流出した個人情報の、その後の行き先は?

本当に怖いのは、流出した個人情報が、悪意ある者や権力の手に渡ったときなのです。以下で解説するFacebookとCambridge Analytica(ケンブリッジ・アナリティカ)の事件はまさにそれを象徴しています。

FacebookからCambridge Analyticaへの個人情報流出事件を徹底解説!

2018年3月、米ニューヨークタイムズ紙と英ガーディアン紙は、Facebookから大量の個人情報がイギリスのデータ分析・政治コンサルティング会社Cambridge Analytica(ケンブリッジ・アナリティカ)へ流出したことをスクープしました。「良心の呵責に耐えられなかった」というケンブリッジ・アナリティカ元従業員らの証言も報じられました。

ここでは、SNS史上最大最悪とも評されるこの事件を、概要から特殊性、問題点までを徹底解説したいと思います。

多くの企業や悪意ある者がやっきになって個人情報をほしがるのには、相応の理由があります。巨額の資金をはたいて、時には不正をしてまで手に入れた私たちのデータを、彼らはどんなふうに使うと思いますか? そもそも「データ」には具体的にどのようなことが含まれるのか。氏名、住所……他には? それによって悪意ある者や権力がどんな結果を引き起こすか、想像できますか?

事件のキーパーソンは、トランプ大統領です。個人情報流出事件とトランプ大統領が、一体どう関係しているのでしょうか。

ケンブリッジ・アナリティカとは?

Cambridge Analytica(ケンブリッジ・アナリティカ)は、イギリスのデータ分析・選挙コンサルティング会社です。

データ分析は近年急激にのし上がっている(また非常に問題視されている)産業で、企業・商店など各所から個人情報を買い取り、それをまとめ直した「プロファイル」を売るという仲介業のことをいいます。

たとえばモデルケースとして、あなたが自動車保険会社の広告担当だったと想像してください。宣伝の方法だったらテレビCMや新聞・雑誌の広告欄、ポスティングのチラシや町の看板などいろいろありますが、広告費は無限にはありませんよね。車を持っていない人に自動車保険の広告を見せたら無駄になってしまいます。広告は、できる限り効率よく、お客になってくれそうな人にしぼって届けたい。そこで、あなたはデータ分析会社にコンタクトします。データ分析会社は、各所から集めた個人情報から「自動車を持っている人の名簿」をまとめ上げ、あなたに売ってくれます。あなたはその名簿に載っている人々へ自動車保険のパンフレットを郵送したり、彼らのFacebook上に広告を表示させたりするのです。

ケンブリッジ・アナリティカもそういったデータ分析会社の一つですが、同社はビジネス向けではなく、政治家のコンサルティングに特化していることを特徴としています。

ここまでは表面的な概要ですが、ケンブリッジ・アナリティカ社にはさまざまないわくがあります。創立には後に米トランプ政権でチーフ・ストラテジストとなるバノン(Steven Bannon)氏が関わり、副社長(vice president)を務めていました。同社の実績としては、イギリスで「ブレグジット(Brexit)=EU離脱」投票の際にEU脱退派に関わっています。予想外だったイギリスのEU離脱派勝利は、ケンブリッジ・アナリティカが陰の立役者だとささやかれています。

そして最も重要な事実は、同社が2016年、アメリカの大統領選挙でトランプ陣営のコンサルティングを行っていたということです。

ケンブリッジ・アナリティカは事件の後、破産申請しました。

事件の一部始終―Facebookやケンブリッジ・アナリティカは何をしたの?

事の始まりは、「診断系アプリ」によるデータ収集

個人情報流出の原因となったのは、2014年に、英ケンブリッジ大学のロシア系アメリカ人心理学者アレクサンダー・コーガン(Aleksandr Kogan)が開発したサードパーティアプリ”thisisyourdigitallife”でした。これは性格診断のようなもので、日本語では「診断系アプリ」と呼ばれる類です。

同診断系アプリを利用しようとすると、Facebookでのログインを求められます。そこで許可を与えてログインすると、その人の登録情報(氏名や学校などに加え、「いいね」をした対象、投稿の閲覧履歴、場所へのチェックイン情報、位置情報、アップロードした写真、宗教、政治思想、人間関係等のデータを含む)およびフェイスブック友達の同データが、アプリ開発者であるコーガン氏に収集される仕組みになっていました。

同診断系アプリは27万人が利用しましたが、情報収集についてはほとんど意識されていなかったもようです。

予期せず、友達の個人情報までケンブリッジ・アナリティカへ流出!

コーガン氏が収集したデータは、彼の心理学研究にのみ利用されるはずでした。

ところが、コーガン氏はアプリを利用した27万人とその友達の合計8700万人の個人情報を、ケンブリッジ・アナリティカに売却したのです。

Facebookの規約では、アプリ開発者(「ディベロッパー」とも呼ばれる)がアプリによって収集したデータを第三者と共有することは認められていませんでした。

事件が事件たる理由はここにあります。すなわち、コーガン氏はFacebookのディベロッパー規約に違反し、ケンブリッジ・アナリティカはFacebookからデータを不正流用した、ということになるのです。

2016年アメリカ大統領選で、トランプ陣営に利用された

では、コーガン氏から売られた8700万人分の個人情報はどのように利用されたのでしょうか?

先に述べた通り、ケンブリッジ・アナリティカは、2016年のアメリカ大統領選挙でトランプ氏のコンサルティングを行いました。流出した8700万人分の詳細な個人情報は、トランプ氏の大統領選挙戦で活用されたとみられています。(同社はコーガン氏から不正に入手した個人情報は大統領選挙戦には利用しなかったと主張しています。)

倒産、しかしなお残る不透明さ

ケンブリッジ・アナリティカは同事件の後、破産申請しました。

しかし、不透明な点は残っています。

ケンブリッジ・アナリティカは、不正入手した個人情報を使用不可能な状態にすることをFacebook社から求められた時、消去したと主張しています。しかし、同社の元従業員でこの事件を告発したクリストファー・ワイリー(Christopher Wylie)氏は、まだ使用可能な状態にあると話しています。流出した膨大なデータの行方は不明なままとなっているのです。

事件の要点―特殊性と問題点

Facebookが不正アクセスを受けたわけではない

この事件がヤフーからのID流出等と異なるのは、Facebookからの個人情報流出とはいえ、Facebookが攻撃を受けたわけではないという点です。

心理学者・コーガン氏は、サードパーティアプリ開発者です。ハッカーとしてFacebookに侵入して不正にデータを盗み出したわけではないのです。

また、これは「事件」といっても、あくまで一人のディベロッパーが一企業の利用規約に違反したという出来事にすぎません。だからアメリカ大統領選の結果を左右したSNS史上最大の事件であるにもかかわらず、法律違反ではないので、警察による捜査などもないのです。

知らされなかった第三者提供

以上、ケンブリッジアナリティカ事件の流れは、一言で説明するなら「Facebook上の個人データ→診断系アプリが収集→データ分析・政治コンサルティング会社へ流出→トランプ陣営」となります。

この流れのうち、診断系アプリの利用者たちは、Facebookでログインする際にデータへのアクセスを許可しています。その意味をよく分かっていない人が大半だったかもしれませんが、コーガン氏にそれらデータを渡すことには一応同意があったわけです。(友達の個人情報までという部分は非常に性質が悪く、問題ですが。)

しかし、その情報がケンブリッジ・アナリティカに渡ることにはまったく同意がありません。知らされてもいませんでした。ましてやトランプ陣営に加担することになるとは想像だにしなかったでしょう。知っていれば教えなかった、と青くなったユーザーも相当数にのぼるとみられます。

サイバー空間でつながっている鍵

このように、同意も知らされることもなく個人情報が第三者の手に渡ったことは、この事件の中核となる問題点です。

流出した個人情報が、有権者の心理や政治の操作に利用された

先ほど、データ分析会社とはどのようなものかを、自動車保険会社の広告担当をモデルに説明しました。データ分析会社に「自動車を持っている人の名簿」をまとめてもらい、それを買って、載っている人に自動車保険のパンフレットを送る、と。

それだけでも十分気持ちの悪い話ですが、これが政治家(しかも悪意のある)に利用されたらどんなことになるのか。

個人情報からは、背筋が凍るほど正確かつ深層に至るまで、その人の人物像と心理、行動パターンを描き出すことができます。

トランプ氏に投票してくれそうな有権者(人種や宗教、学歴といった属性の組み合わせや、人種差別発言を投稿した人、それに「いいね」をした人、あるいは雇用情勢への漠然とした不満を投稿した人などを抽出する)に対しては、Facebookをはじめネットのあちこちでトランプ氏の広告を表示する。彼に懐疑的な人(人種、性別、宗教、学歴といった属性の組み合わせや、投稿、あるいは政治に詳しくない人などを抽出)には、対立候補に関するネガティブな話題の広告を見せ、印象を悪くする。そうやって有権者の心理を操り、トランプ氏へ投票するよう巧みに誘導していく――。個人情報を手に入れた者には、そうやってコンピューター越しに人々を俯瞰し、心理を操り、好きなほうへ動かすことが、現に可能となっているのです。

結果、トランプ氏は予想外の当選を果たしました。

本当に怖いのは、流出した個人情報が悪意ある者の手に渡ったときだ――私はFacebookとケンブリッジ・アナリティカ(とトランプ大統領)はその恐怖を体現した事件だったと考えています。

事件の時点ではトランプ氏はまだ候補者にすぎませんでしたが、では、それが「権力」に利用されたら? 私は日ごろ、恐怖をあおるセンセーショナルな報道を心から憎んでいますが、その私が、これは本当に危険だと警告します。

私見―個人情報の本当の怖さを体現する、象徴的な事件

ショッキングだったけれど、驚きはしなかった

事件の第一報を聞いた時、私は天を仰ぎました。私もこれはSNS史上最大、そして最悪な事件だと考えています。

しかし、事件の中身には驚きませんでした。いつこんなことが起こっても不思議ないと思っていたからです。

「診断系アプリ」が個人情報を収集した、という事実だけで仰天した人が大半では?

ここまでは、「サードパーティの診断系アプリが情報収集した」という部分に関しては当たり前の前提のように書いてきました。

しかし社会一般を見るに、大半の人は「診断系アプリの開発者が詳細な個人情報を集めていた」というだけで仰天するのではないでしょうか。集められたデータには、氏名や学校・職場などといった登録情報に加え、自分が「いいね」をしたもの、フェイスブック上で閲覧した記事、自分がいつどこにいたかといった位置情報の詳細に至るまで、過去の情報すべてが含まれています。ユーザー本人すら覚えていないでしょうが、そのすべてを見知らぬアプリ開発者が閲覧・収集していたのです。

2014年の時点では、コーガン氏の診断系アプリと同じようにデータを吸い上げるアプリは世に氾濫していました。この手のものが流行っていたと思います。多くのユーザーは「ちょっとした遊び」として診断系アプリをどんどん使っていましたが、開発者の本当の目的は個人情報収集だったのです。その後、Facebookはサードパーティアプリ開発者向けの規約を変更し、開発者のユーザーデータへのアクセスを大幅に制限しました。なので、現在では、Facebookのサードパーティアプリがここまで詳細なデータや友達の情報まで吸い取ることはまずないでしょう。

しかし、Facebookのサードパーティアプリは氷山の一角にすぎません。他の大手SNSやGoogle、ヤフーといった巨大なオンラインサービスのサードパーティはどうなのか。また、インターネット関連に限らず、世に星の数ほどある企業は、あなたの情報をどのように管理・利用しているのでしょうか(データ分析会社に売っているかもしれない!)。明るみに出ていないだけで、ケンブリッジ・アナリティカ事件同様の事例はまだまだある可能性があります。

オンライン広告の仕組みやSNSのビジネスモデル、「アプリへの許可」という概念や「データ分析会社」の存在は、ほとんど世に知られていないのが現状でしょう。アメリカの連邦議会ですらそうです。オンライン広告やデータ分析産業に明るい議員は少なく、FacebookのCEOマーク・ザッカーバーグ氏の証言(testimony)1日目では、間のぬけた質疑が目立つ有様でした。

この時代だからこそ、インターネットとその関連ビジネスについての知識は、みなに知れ渡るべきだと考えています。

ザッカーバーグCEOの証言は大企業のトップ相応の正確さ、だけど……

これは海外の話ですので、立場相応の能力を欠いた者が大企業のトップに就いていることはありません。アメリカ連邦議会公聴会での証言で、マーク・ザッカーバーグ氏は、自社のサービスとビジネスを熟知した上で、間違うことなく、正確な証言をしました。

ザッカーバーグ氏は「Facebookに集まった個人情報を売ってはいない」と一貫して主張しました。これは事実です。確かに、同社はユーザーの個人情報を他の企業に販売はしていません。広告欄を提供するビジネスを展開しているだけです。

しかし、この主張には飲み込み難さがあります。直接手をつけてはいないにしろ、Facebookが個人情報売買という産業の一翼、それも重要な役割を担っているのは事実だからです。ケンブリッジ・アナリティカの件だけではなく、Facebookは広告がらみで過去にも問題を起こしたことがあります。

企業間の複雑な関係を、私たちがどこまで把握できるのか

この事件では、ケンブリッジ・アナリティカ社の背景にある企業同士の複雑な関係も気にかかります。

同社設立に後のトランプ政権幹部・バノン氏がかかわったという時点でかなり身構えるところですが、親会社と系列会社も要注目です。まず、親会社はStrategic Communication Laboratoriesという企業。その子会社にはAggregateIQというこれまた政治コンサルティング会社があり、同社はケンブリッジ・アナリティカ事件のすぐあと、Facebook社からディベロッパーの資格をはく奪されました。当のケンブリッジ・アナリティカは破産申請しましたが、収集された大量の個人情報の行方は分かっていません。

渦中の企業同士のかけひきにも目に留まります。Facebook社は「規約違反により被害を受けた」とコーガン氏を強く非難していて、これは一応筋が通っています。が、ケンブリッジ・アナリティカはお世辞にも対応が誠実とは言えません。トランプ氏に雇われて大統領選挙戦のコンサルティングを行ったことは公知の事実であり、元従業員から数々の証言があるにもかかわらず、同社はコーガン氏を通して不正に入手した8700万人分のデータはその選挙戦略に使用していないと言い張っています。系列会社であるAggregateIQも、企業間のつながりは否定しています。

真相の究明よりも、企業間のかけひきばかりで事が進んでいますよね。

Facebookのアカウントを持っているということは、この複雑な企業同士のかけひきに自分も巻き込まれているということを意味します。

SNSを含むオンラインサービスを利用するときは、相手企業と向き合っているのだという感覚を持ち、その企業が信用できるか見極めることが大事です。

しかし、我々はその親会社や系列会社までいちいち把握できるでしょうか。現実的でないと言わざるを得ません。しかも、仮に相手企業は信用できると判断しても、その信頼は永遠ではありません。運営者が方針を変えた、サービスはそのままでも運営者が変わった、運営企業が吸収合併された、などということもあるからです。

世の中、どんな業界にも優良な業者から悪質な業者までいるものです。みながみな裏で個人情報を横流ししているわけではありあmせん。サードパーティーアプリ開発者のなかをみていけば、純粋に楽しみで作った自作アプリを発表するコンピューター好きだっている。さらに私は、おもしろいサービスを展開する気鋭の起業家が「こんな事件があると、自分まで『個人情報を売っているのでは』と疑われて迷惑千万だ!」と頭を抱えているところをずいぶん見ました。

しかし少なくとも、楽しそうな見た目でユーザーを誘い、ちょっとした遊びと引き換えに詳細な個人情報を吸い上げるようなアプリ開発者が多数存在するということは、すべての人に知られるべきだと思います。

悪意ある人物が「名簿」を入手したがる理由

巷では、プライバシーと聞いてもピンとこない人がまだまだ多いと思います。「個人情報がなんだっていうんだろう」とか「何がそんなに危ないの?」などと疑問はあっても、学ぶ機会がないので、たいしたことでないよう祈りつつ、なおざりにしてしまう。そんなところではないでしょうか。

何事でも、理由を考えてみることは理解の大きな助けとなります。企業や一部の人が、やっきになって個人情報をほしがっている。不正をしてまで手に入れようとする人までいる。その理由を聞いてみたくはありませんか?

その答えは、トランプ陣営と同じです。個人情報を集めてそれを分析し、宣伝などに活用すれば、陰から民衆の心理を操ることさえできてしまう。あんなどう見てもおかしい人をアメリカの大統領に当選させることだってできるのです。

氏名、顔写真、住所、年齢、性別、学歴などにはじまり、行った場所やその時間、世に星の数ほどあるSNS投稿のうちで見た記事すべて、「いいね」した対象すべて、その他すべての行動。それら個人情報を分析した第三者には、あなたの頭の中は丸見えです。頭の中身を自由に閲覧すれば、それを操作する方法も編み出せる。恐怖です。「脳の芯まで支配した」と言っても過言ではありません。……トランプさんを夢中になって支持していた人、本当はデータ分析会社に操られていたんじゃないの? 今となっては「イタイ人」どころの騒ぎではないのです。

Facebook・ケンブリッジ・アナリティカ事件では、流出した個人情報の分析・活用により、人の心理が操作され、大衆が操作されたという出来事が、現に起こったとみられます。そのインパクトは、私にとって近年で最高でした。

私たちユーザーが自分でできる対策は?

私は今の知識を以てネット初心者だったころをふり返ると、自分は比較的うまく使ってきたなと感じています。投稿の類はゼロに限りなく近く、特定のオンラインサービスを熱心に利用したこともない。四六時中人とダラダラつながるのを嫌う性格が功を奏しました。ある程度詳しくなってからはセキュリティを上げ、利用するオンラインサービスも整理したので、今では今時めずらしいほど心軽くデジタル生活を送っています。

ただそれでも完璧だとはゆめ思っていないし、今の利用方法なら完全に安全などとはつゆ信じていません。なぜなら、企業間の複雑なバックグラウンドにまでは目を光らせられないし、データ分析会社(「調査会社」と呼ばれていることもある)の脅威は上に述べた通りだからです。個人ではほぼどうにもできない部分があるので、法による規制が急がれます。

とはいえ、やはり自分の個人情報をできる限りきちんと管理しておくのと、完全無防備のだだ漏れ状態ではネットの安全性には雲泥の差が出ます。なので以下では、私たちユーザー側にできる流出対策を挙げていこうと思います。

サードパーティアプリは遊び気分で利用しない

ケンブリッジアナリティカ事件の引き金となったのは診断系アプリでしたが、そもそも、そんな診断をやる必要があるでしょうか。ただの遊びじゃないですか。なのにリスクは高すぎます。性格診断をやってみたつもりだったのに、自分の事細かな生活状況データが転々と売られ、トランプさんの手にわたって、彼の選挙戦の武器にされた……なんていうことには誰だってなりたくないですよね。

サードパーティアプリの利用は慎重に。アプリは、自然につくられて空から降ってくる雨粒とは違います。スクリーンの向こうには開発者がいるのだということを常に意識して、信用できるか、何へのアクセス権なら与えていいかを考えることが大事です。

もっと実務的に言うなら、よく分からないアプリやサービスは使わない。大丈夫かなと迷ったときは、やめておく。自分より詳しい人にはかなわないので、身を引く。それがコンピューターやインターネットでの基本姿勢だと思っています。この分野は慎重すぎるくらいでちょうどではないでしょうか。

ネットでの個人情報収集はワンクリック、一瞬で完了してしまいます。「同意する」をクリックする前によく考えて。私たちは人間です。売り物になんてされたくありませんよね。

プライバシー設定が命―相手企業に自分のことを何もかも教える必要はない

先ほどはデータが転々と転売・転用されてユーザーにはどうしようもなくなった事例を解説しましたが、実際には、アカウントの設定で個人情報の利用方法はかなりしぼることができます。

たとえばFacebookだったら、自分について非常に様々なことをアカウントに登録できます。氏名とメールアドレスはもちろんですが、電話番号、住所、性別、誕生日=年齢、あるいは学校・職場、学歴・職歴、政治的信条や宗教といったデリケートな情報から、好きな言葉なんていうコーナーまであります。

これらの欄を埋めて登録したり、投稿や閲覧、「いいね」をしたりするということは、その内容すべてを「相手企業に教える」ことを意味します。

たとえFacebookのファンだったとしても、自分のことをそんなに何もかも教える筋合いはないでしょう。

たとえば、東高校の吹奏楽部仲間でつながり続けることを目的にFacebookを使っているなら、出身校に東高校を登録するとか、トランペットの手入れについて投稿するのは自然でしょうが、あなたの毎日24時間の居場所、政治的信条や宗教、今日入ったレストラン、仕事の逐一まで運営会社に教える必要はありません。

何なら教えてよくて、何は教えないか。そのつど自分で考えて相手企業と付き合っていったほうがいいでしょう。

また、Facebookだと「投稿を公開する範囲」や「写真へのタグ付け許可」などの設定ができるようになっています。日々のつぶやきや食べ物の写真なんて、見せる相手は友達だけで十分ではありませんか? 全世界の不特定多数に発信して、無駄なリスクを背負うことはありません。Facebookをどう使うかは人それぞれ、あなたが決めることですが、どのみち「誰でも見られるし、誰が見ているか分からない」というインターネットの基本は押さえておいたほうがいいでしょう。

「Googleは生涯の大親友よりも夫/妻よりもあなたをよく知っている」という格言がある時代です。必須マークがついていなくても、空欄はすべて埋めておこう――そんなまじめさはいりません。どのオンラインサービスでも、自分を無用な危険にさらさないためにはアカウント設定のページが命です。

情報収集の旗手はスマホ―「アプリの権限」に注意

手軽手軽といわれるスマートフォンですが、だからこそ落とし穴があります。不必要な権限を要求してくるスマホアプリが氾濫しているのです。正直、私にはアプリから強い悪意を感じることが多々あります。

スマホのアプリの権限許可
ある店のアプリのアクセス権限。お気に入りの店だが、アクセス権限は一つも許可していない。

スマホアプリのアクセス権限でとりわけデリケートなのは、位置情報です。いくら好きな店であっても、そこの調査員があなたに24時間枕元までつきまとってきたらどうしますか? 警察を呼びますよね。ところが今、それはスマホによってごく一般的に行われています。スマホの中にいる調査員は目に見えにくいというだけです。

スマホの「本体設定」の「アプリの権限」をチェック。いらなそうな権限は消しましょう。

あと、スマホに入れておくアプリは、最小限にとどめることを強くおすすめします。

個人情報を教える際のチェックリスト

では、プライバシーを守るためには自分のことを一切、誰にも教えてはいけないのか……といえば、そんな極端な話ではありません。集める情報の種類や利用目的がきちんと知らされ、同意があり、適切に管理されていればいいのです。

教える際にチェックするポイントは、

  1. どの情報を
  2. 何の目的で
  3. どの期間保有・利用するのか
  4. 第三者と共有することはあるのか

の4点です。

たとえばクラスの電話連絡網だったら、

  1. 氏名と電話番号は必須、住所は任意
  2. 台風による休校など学校生活上の連絡のみに使う
  3. クラス替えがあるまで適切に保管、その後はすみやかに処分
  4. いかなる第三者とも共有しない

これなら全然問題ありません。この通りに管理されれば、見知らぬデータ分析会社が閲覧・分析することも、見知らぬ保険会社がダイレクトメールを送りつけることも、悪意ある権力者が心理操作に利用することもできないからです。

あるいはネットショップの会員登録だったら、

  1. 氏名、住所、電話番号、メールアドレスと買い物履歴
  2. 商品の送付および新商品のお知らせやキャンペーン情報の送付
  3. 買った物の履歴は2年間、利用者がアカウントを削除した際にはすべてのデータを処分する
  4. ポイントを利用した場合、ポイントプログラム運営会社○○と購入した商品の情報が共有される。○○社による個人情報利用は○○社のプライバシーポリシーによる

などといったことがプライバシーポリシーに書いてあります。

読んでみて「これって大丈夫なのかな……?」と迷ったときは、

  • 目的からして不要なデータまで収集していないか
  • 集めたデータをいつ消去するのか、不必要に長い期間保有していないか
  • 第三者と共有されることはあるか。もしあるなら相手は誰で、何の目的で、どの範囲で共有するのか
  • 教えた個人情報が第三者に手渡されてコントロール不能にならないか。

といった点をチェックすれば問題のあるなしを判断できます。

たとえば、生年月日(=年齢)がお誕生日クーポンの送付に使われるならいいでしょうが、ネットショップが年収や身長・体重を登録するようせまってきたらおかしいですよね。この時点でネットショップの皮をかぶったデータ業者かもしれないと分かるので、相手と関わりを持つ前に身を引くことができます。たとえ相手があやしくなくても、任意となっている項目は記入しなくていいでしょう。

これであなたが納得するなら、それでいいのです。

このように、個人情報は、拒絶反応を起こす対象ではありません。自分のコントロール下に置き、適切に管理していくことを考えればいいのです。

企業をチェックする目と法規制を―一石を投じたEUのGDPR

GoogleやApple、Facebook、Amazon、Twitterといったグローバルな巨大企業になれば、ユーザーデータ流出の際に与える被害も甚大ですが、注目度が高い分、鋭い目でチェックを続けている人が世界中にたくさんいます。

しかし、これがもっとローカルで小規模な企業だとそういった目もないので、私はかえって不安だったりします。事実上、ほとんどの企業がノーチェックなのです。企業には一応一定の法的義務が課されていますが、それだけではなく、一律なチェック体制が必要でしょう。

その点、2018年5月にEUで設けられたGDPR(General Data Protection Regulations)は、EU内の法規制でありながら世界に一石を投じました。

具体的には「何の情報を集め、何に利用するのか」を提示することを企業に義務付けるなど、先進的なルールが盛り込まれています。このころ、やたらとプライバシーポリシー変更のお知らせが届いたりしませんでしたか? あれはEUのGDPRが施行されるためでした。(私もそれに合わせてこのブログのプライバシーポリシーをつくりました。)

GDPRのおかげで世界中のサイトというサイトが透明性の高いプライバシーポリシーを設けたので、EU外の私まで恩恵にあずかっています。こういった法規制が、これからもっともっと広まってほしいと思います。

結びに―「こんなことが起こり得る時代だ」と知ることが第一歩

インターネット上のサービスには、私たちの詳細な個人情報が集まります。

いくら企業側が社内にとてつもないセキュリティを敷こうとも、またいくら私たちが個人的に気をつけようとも、流出事件は起こる時には起こります。もちろん良いことではありませんが、私たちはそういうこともあり得る時代だと分かった上でオンラインサービスを使っていくべきだと思います。

また、買い物履歴やSNSの投稿の分析などをすれば、見も知らぬ第三者はあなたのプロフィールや心理の深いところまで、驚くほど正確に描き出すことができます。悪用されれば恐ろしいことになるのは、Facebookとケンブリッジ・アナリティカの事件解説で紹介した通りです。

私たちにできる個人情報流出対策も、オンラインサービスとのよりよい付き合い方も、データ分析産業(「良心の呵責に耐えられない」という理由で辞めていく人が出るような仕事である)への法整備も、スタートラインは「事実を知ること」なのです。

「自分の個人情報? 使っててくれていいよ」とか「プライバシー? 隠すことなんてないよ」なんていう言がどれほど的外れか、過去の事件の深刻さから分かってもらえたと思います。もしそんなことを口ずさんでいる人が周りにいたら、危なくてたまらないし恥をかくこと請け合いなので、トランプ大統領の顔を思い浮かべつつ、ぜひとも個人情報の悪用価値とそれが引き起こす最悪な結果を教えてあげてください。

関連記事・リンク

著者・日夏梢プロフィール||X(旧Twitter)MastodonYouTubeOFUSE

GAFA独占の問題点と日本の現状・課題 – フェイスブックを含むアメリカの巨大IT企業の問題を解説しました。

FacebookのVR「ホライズン」はSNSとゲームに何をもたらすか – 旧フェイスブック、新社名メタの新サービスを論じました。

Mastodonの始め方と使い方―Threadsに代わる新SNSのすすめ – 同じくメタの新SNS「スレッズ」について書きました。

スマート家電(IoT家電)のメリットとデメリットー使ってみた感想とセキュリティ対策 – インターネットに接続された家電が「家の中に盗撮・盗聴器を招き入れる」事態につながるのを防ぐセキュリティ対策等を解説しました。

TwitterやLINEの乗っ取り対策と、SNSの今後 – 特定のSNSのみならず、インターネット全般に関して詳しく書きました。今の時代に絶対必要な知識をつめました。今日からより安全で快適なオンラインライフを。

機材なし~最低限での「歌ってみた」スタートガイド – ネットに動画を投稿する際、背景に映りこんでいたものや景色、自分のポーズなどによっては、悪意ある人物が個人情報を引き出す危険性があります。写真・動画のセキュリティ・プライバシー対策を紹介しました。

人工知能(AI)の問題点・デメリット5選と、人間の未来 – データ分析産業は「問題点5選」の一つです。

生成AIとは?―どこが問題点で、何が起こっているのか – 「ChatGPTから情報が漏れる」というのはどういうことを言っているのか、仕組みを解説しました。

ポイントカード今昔:Tカードの個人情報第三者提供拒否ガイド付き – この記事では扱いきれなかったポイントカードについて、あらためて記事を一本割きました。プライバシー対策の要ともいえる第三者提供の拒否方法を解説してあります。

dポイントカードの使い方から解約まで―リンク付きまるごとガイド – Tポイントに続き、dポイントについても第三者提供拒否設定のやり方を解説しました。手続きページへのリンク付き。

プライバシーポリシーを楽に読む方法 – 文面が長く難しいので多くの人が結局読まないまま「同意」を押している現状に鑑み、プライバシーポリシーを読むときのポイントとかんたんに読むコツを紹介しました。

【参考記事リンク】

米ニューヨーク・タイムズ紙のスクープ記事 – 2014年末までケンブリッジ・アナリティカで働いていたクリストファー・ワイリーさんの証言によるブレークです。この記事では紹介しきれなかった複雑でおどろおどろしい内幕と人間関係も報じられています。

英ガーディアン紙の証言記事 – ケンブリッジ・アナリティカの元エグゼクティブ、ブリタニー・カイザー(Brittany Kaiser)さんの証言。ケンブリッジ・アナリティカ自身も診断系アプリで情報収集していたことや、Googleなど他の大企業も個人データ販売で何兆ドルもの利益を得ていること、そして彼女の後悔についてインタビューで語っています。

イギリスBBC日本語版 – ケンブリッジ・アナリティカのご当地イギリス、BBCの記事です。日本語で手軽に読めます。手短でも内容は充実しています。

トップに戻る