個人情報流出事件から考える、インターネットの使い方と私たちにできる対策

以前SNSのアカウント乗っ取り人工知能について論じた時、プライバシーの問題や「データ分析会社」の存在に触れました。今回はあらためて、個人情報流出事件からそれらについて考えていこうと思います。

個人情報といってもその意味内容はケースバイケースで、流出事件も内容は幅広いのですが、この記事で扱うのはインターネット上のサービスから漏洩した事例です。事件のタイプを大きく二つに分けてそれぞれ解説し、私たちにできる対策を紹介します。

目次

サービス運営会社が不正アクセスを受けたケース

まず定番的なのは、大手オンラインサービスやショッピングサイトの社内サーバーが何者かに侵入され、ログインIDやパスワード、その他ユーザーの登録情報が盗まれるケースです。

代表的な事例としては、2013年5月、Yahoo! JAPAN(以下、ヤフー)で不正アクセスにより最大2200万件のID情報が流出した可能性がある、という事件がありました。同社は追加調査を実施し、このうち148.6万件で、不可逆暗号化されたパスワードとパスワードを忘れた際に必要な情報も流出した可能性があると発表しました。ただ、この事件では同社の発表と対応が早かった上、そもそもIDは公なものであり、流出したとされるパスワードも暗号化されていたため、混乱や被害はみられませんでした。

ハッカー視点で見ると、IDとパスワードを盗むのはアカウント乗っ取りが目的です。ユーザーになりすましてポイントを使ったり、買い物をしたり。また、氏名・住所・電話番号・メールアドレスなど、登録情報を閲覧・収集することもできます。

私たちユーザーにできる対策は?

アカウント乗っ取り対策の記事に全部書いておきましたが、とりわけ重要な部分はここでもくり返しておきます。

まず、パスワードを強力に。ランダムな英数字がベストです。たとえば誕生日などをパスワードにしていると、簡単に推測されてしまいます。

次に、パスワードの使い回しはしない。オンラインサービス運営各社はユーザー情報を厳重に守っていますが、それでも100%ではありません。たとえば、ヤフーが攻撃されてパスワードが盗まれたとします。もしGoogleでもAmazonでも楽天でも同じパスワードだったら、その全部にログインされてしまいます。万が一の際に被害を最小限でおさえるため、パスワードの使い回しはしないこと。

もう一つ、二段階認証があれば必ず設定する。オンラインサービス運営会社としても不正アクセスはなんとしてでも食い止めたい最重要課題ですので、パスワードだけではログインされない仕組みを私たち利用者に提供しています。二段階認証を設定しておけば、万が一会社からパスワードが洩れても、あなたの携帯電話が手元にない者はログインできません。

そして、もし流出事件があったら、すぐにパスワードを変更する。

これらを押さえておけば、万が一の際にもリスクは劇的に下がります。アカウント保護の全容は以下の記事でどうぞ。

参考:TwitterやLINEの乗っ取り対策と、SNSの今後

私見―大事には至っていない

たとえ私たちが自分のパソコン・スマホ等端末をどんなによく管理しようが、オンラインサービス会社側が攻撃されたのではなすすべがありません。

ただ、ショッピングサイト等の運営会社はとてつもないセキュリティを敷いていますので(もし大切なお客様の個人情報がもれたら信用にかかわるし、損害も巨額にのぼる)、不正アクセスなどそうそうされません。2013年ヤフージャパンの事件では、同社内に保存されていたユーザーのパスワードは不可逆暗号化されていたので、盗んだ何者かも利用できなかったようです。したがって、データが流出しても、大事には至っていません。

これまでを見渡して、大規模な事件は起こっていないな、というのが私の印象です。

事件の危険性もまちまちです。誰かのログイン情報を入手したから、たまっているポイントで靴下とDVDを買っちゃおう――やったのがこんなこと止まりなら、しょうもない小物詐欺師といった感じです。それが氏名・住所にクレジットカード番号なんかまで収集されてしまうと、雲行きが怪しくなってきます。そして、流出した個人情報の、その後の行き先は?

本当に怖いのは、流出した個人情報が、悪意ある実力者や権力の手に渡ったときなのです。以下で解説するFacebookとCambridge Analytica(ケンブリッジ・アナリティカ)の事件はまさにそれを象徴していると考え、注目しています。

FacebookからCambridge Analyticaへの個人情報流出事件を徹底解説!

2018年3月、米ニューヨークタイムズ紙と英ガーディアン紙は、Facebookから大量の個人情報がイギリスのデータ分析・政治コンサルティング会社Cambridge Analytica(ケンブリッジ・アナリティカ)へ流出したことをスクープしました。「良心の呵責に耐えられなかった」というケンブリッジ・アナリティカ元従業員らの証言も報じられました。

ここでは、SNS史上最大最悪とも評されるこの事件を、概要から特殊性、問題点までを徹底解説したいと思います。

企業や悪意ある人物がやっきになって個人情報をほしがるのには、相応の理由があります。巨額の資金をはたいて、時には不正をしてまで手に入れた私たちのデータを、彼らはどんなふうに使うのだと思いますか? そもそも「データ」には具体的にどのようなことが含まれるのか。氏名、住所……他には? それによって悪意ある実力者や権力がどんな結果を引き起こすか、想像できますか?

事件のキーパーソンは、トランプ大統領です。個人情報流出事件とトランプ大統領が、一体どう関係しているのでしょうか。

ケンブリッジ・アナリティカとは?

Cambridge Analytica(ケンブリッジ・アナリティカ)は、イギリスのデータ分析・選挙コンサルティング会社です。

データ分析は近年急激にのし上がっている(また非常に問題視されている)産業で、企業・商店など各所から個人情報を買い取り、それをまとめ直した「プロファイル」を売るという仲介業のことをいいます。

たとえばモデルケースとして、あなたが自動車保険会社の広告担当だったと想像してください。宣伝の方法だったらテレビCMや新聞・雑誌の広告欄、ポスティングのチラシや町の看板などいろいろありますが、広告費は無限にはありませんよね。車を持っていない人に自動車保険の広告を見せても、無駄になってしまいます。広告は、できる限り効率よく、お客になってくれそうな人にしぼって届けたい。そこで、あなたはデータ分析会社にコンタクトします。データ分析会社は、各所から集めた個人情報から「自動車を持っている人の名簿」をまとめ上げ、あなたに売ってくれます。あなたはその名簿に載っている人々へ自動車保険のパンフレットを郵送したり、彼らのFacebook上に広告を表示させたりするのです。

ケンブリッジ・アナリティカもそういったデータ分析会社の一つですが、政治家のコンサルティングに特化しているのを特徴としています。

ここまでは表面的な概要ですが、ケンブリッジ・アナリティカ社にはさまざまないわくがあります。創立には後に米トランプ政権でチーフ・ストラテジストとなるバノン(Steven Bannon)が関わり、副社長(vice president)を務めていました。実績としては、イギリスで「ブレグジット(Brexit)」投票の際にEU脱退派に関わっており、ケンブリッジ・アナリティカが予想外の勝利の陰の立役者だとささやかれています。

そして最重要な事実は、同社が2016年アメリカ大統領選挙でトランプ陣営のコンサルティングを行っていたということです。

ケンブリッジ・アナリティカはFacebook事件の後、破産申請しました。

事の一部始終―Facebookやケンブリッジ・アナリティカは何をしたの?

事の始まりは、「診断系アプリ」によるデータ収集

個人情報流出の原因となったのは、2014年に、英ケンブリッジ大学のロシア系アメリカ人心理学者アレクサンダー・コーガン(Aleksandr Kogan)が開発したサードパーティアプリ”thisisyourdigitallife”でした。これは性格診断のようなもので、日本語では「診断系アプリ」と呼ばれる類です。

同診断系アプリを利用しようとすると、Facebookでのログインを求められます。そこで許可を与えてログインすると、その人の登録情報(氏名や学校などに加え、「いいね」をした対象、Facebook上での行動、場所へのチェックイン情報、位置情報、アップロードした写真、宗教、政治思想、人間関係等のデータを含む)およびフェイスブック友達の同データがアプリ開発者であるコーガン氏に収集される仕組みになっていました。

同診断系アプリは27万人が利用しましたが、情報収集についてはほとんど意識されていなかったもようです。

予期せず、友達の個人情報までケンブリッジ・アナリティカへ流出!

コーガン氏が収集したデータは、彼の心理学研究にのみ利用されるはずでした。

ところが、コーガン氏はアプリを利用した27万人とその友達の合計8700万人の個人情報を、ケンブリッジ・アナリティカに売却したのです。

Facebookの規約で、アプリ開発者(「ディベロッパー」とも呼ばれる)がアプリによって収集したデータを第三者と共有することは認められていませんでした。事件が事件たる理由はここにあります。すなわち、コーガン氏はFacebookの規約違反を、ケンブリッジ・アナリティカはFacebookからデータを不正流用した、ということになるのです。

2016年アメリカ大統領選で、トランプ陣営に利用された

では、売られた8700万人分の個人情報はどのように利用されたのでしょうか。

ケンブリッジ・アナリティカは、2016年のアメリカ大統領選挙でトランプ氏のコンサルティングを行いました。流出した8700万人分の詳細な個人情報は、トランプ氏の大統領選挙戦で活用されたとみられています。(同社はコーガン氏から不正に入手した個人情報は大統領選挙戦には利用しなかったと主張しています。)

倒産、しかしなお残る不透明さ

先に述べた通り、ケンブリッジ・アナリティカは同事件の後、破産申請しました。

しかし、不透明な点は残っています。

ケンブリッジ・アナリティカは、不正入手した個人情報を使用不可能な状態にすることをFacebook社から求められた時、消去したと主張しています。しかし、同社の元従業員でこの事件を告発したクリストファー・ワイリー(Christopher Wylie)氏は、まだ使用可能な状態にあると話しています。流出した膨大なデータの行方は、不明なままとなっているのです。

事件の要点―特殊性と問題点

Facebookが不正アクセスを受けたわけではない

この事件がヤフーからのID流出等と異なるのは、Facebookからの個人情報流出とはいえ、Facebookが攻撃を受けたわけではないという点です。

心理学者・コーガンは、Facebookのサードパーティアプリ開発者です。ハッカーとしてFacebookの社内サーバーに侵入して不正にデータを盗み出したわけではありません。

また、これは「事件」といっても、あくまで一人のディベロッパーがFacebookという一企業の規約に違反したという出来事にすぎません。だからアメリカ大統領選の結果を左右したSNS史上最大の事件であるにもかかわらず、法律違反ではないので、警察による捜査などもないのです。

知らされなかった第三者提供

Facebook・ケンブリッジアナリティカ事件の流れは、一言で説明するなら「Facebook上の個人データ→診断系アプリが収集→データ分析・政治コンサルティング会社の手にわたる→トランプ陣営」です。

この流れのうち、診断系アプリの利用者たちは、よくわかっていなかったとはいえ、Facebookでログインする際にデータへのアクセスを許可しています。コーガン氏にそれらデータを渡すことには、一応同意があったわけです。(友達の個人情報までという部分は非常に性質が悪く、問題ですが。)

しかし、その情報がケンブリッジ・アナリティカに渡ることにはまったく同意がありません。知らされてもいませんでした。ましてやトランプ陣営に加担することになるとは想像だにしなかったでしょう。知っていれば教えなかった、と青くなったユーザーも相当数にのぼるとみられます。

サイバー空間でつながっている鍵

このように、同意も知らされることもなく個人情報が第三者の手に渡ったことは、この事件の核となる問題点です。

流出した個人情報が、有権者の心理や政治の操作に利用された

先ほど、データ分析会社とはどのようなものかを、自動車保険会社の広告担当をモデルに説明しました。データ分析会社に「自動車を持っている人の名簿」をまとめてもらい、それを買って、載っている人に自動車保険のパンフレットを送る、と。

それだけでも十分気持ちの悪い話ですが、これが政治家(しかも悪意のある)に利用されたらどんなことになるのか。

個人情報からは、背筋が凍るほど正確かつ深層に至るまで、その人の人物像と心理、行動パターンを描き出すことができます。

トランプ氏に投票してくれそうな有権者(人種や宗教、学歴といった属性の組み合わせや、Facebookで人種差別発言を投稿した人、それに「いいね」をした人、あるいは雇用情勢への漠然とした不満を投稿した人などを抽出する)に対しては、Facebookをはじめネットのあちこちでトランプ氏の広告を表示する。彼に懐疑的な人(人種、性別、宗教、学歴といった属性の組み合わせや、Facebookへの投稿、あるいは政治に詳しくない人などを抽出)には、対立候補に関するネガティブな話題の広告を見せ、印象を悪くする。そうやって有権者の心理を操り、トランプ氏へ投票するよう巧みに誘導していく――。個人情報を手に入れた者には、そうやってコンピューター越しに人々を俯瞰し、心理を操り、好きなほうへ動かすことが、現に可能となっているのです。

結果、トランプ氏は予想外の当選を果たしました。

彼がアメリカ史上最低の大統領であることはすでに決定事項で、世界一の超大国のリーダーとしてふさわしくないのは世界中誰の目にも明らかです。極端に感情的で自己中心的な性格もそうですが、政治家としての能力も酷評されています。しかし私は、トランプ氏は民衆の心理の誘導において、財力や人脈も含め、悪い方向で、ある意味の実力者だったと思います。

本当に怖いのは、流出した個人情報が悪意ある実力者の手に渡ったときだ。私はそれを体現したのがFacebookとケンブリッジ・アナリティカ(とトランプ大統領)の事件だと考えます。では、それが「権力」に利用されたら? 私は日ごろ、恐怖をあおるセンセーショナルな報道を心から憎んでいますが、その私が、これは本当に危険だと警告します。

私見―個人情報の本当の怖さを体現する、象徴的な事件

ショッキングだったけれど、驚きはしなかった

事件の第一報を聞いた時、私は天を仰ぎました。私もこれはSNS史上最大、そして最悪な事件だと考えています。

しかし、事件の中身に驚きはしませんでした。いつこんなことが起こっても不思議ないと思っていたからです。

「診断系アプリ」が個人情報を収集した、という事実だけで仰天した人が大半では?

ここまで、「サードパーティの診断系アプリが情報収集した」という部分に関しては当たり前の前提のように書いてきました。

しかし今の社会一般を見るに、「診断系アプリの開発者が詳細な個人情報を集めていた」というだけで仰天した人が大半なのではないでしょうか。ここでいうユーザーデータは、氏名や学校・職場などといった登録情報に加え、自分が「いいね」をしたもの、フェイスブック上で閲覧した記事、自分がいつどこにいたかといった位置情報の詳細に至るまで、過去の情報すべてを含んでいます。つまり、本人すら覚えていないことまですべてを、見知らぬアプリ開発者は自由に閲覧・収集していたのです。

2014年の時点では、コーガン氏の診断系アプリと同じように詳細なデータを吸い上げるアプリは、世に氾濫していました。この手のものが流行っていたと思います。多くのユーザーは「ちょっとした遊び」としてこのようなアプリをどんどん使っていたようですが、実は個人情報収集目的だったわけです。その後Facebookはサードパーティアプリ開発者向けの規約を変更し、開発者のユーザーデータへのアクセスを大幅に制限しました。つまり、現在では、Facebookのサードパーティアプリがここまで詳細なデータや友達の情報まで吸い取ることはないでしょう。

しかし、Facebookのサードパーティアプリは氷山の一角にすぎません。他の大手SNSやGoogle、ヤフーといった巨大なオンラインサービスのサードパーティどうなのか。今、数えきれないサイトで「Facebook・Twitter・Googleでログイン」という選択肢がありますよね。そうやってログインするなら、そのサイトへ自分のFacebook・Twitter・Googleアカウントの何にアクセスする許可を与えたか、意識していますか? また、世に星の数ほどある企業は、あなたの情報をどのように管理・利用しているのでしょうか(データ分析会社に売っているかもしれない!)。明るみに出ていないだけで、ケンブリッジ・アナリティカ事件同様の事例はまだまだある可能性があります。

オンライン広告の仕組みやSNSのビジネスモデル、「アプリへの許可」という概念や「データ分析会社」の存在は、ほとんど世に知られていないのが現状でしょう。

アメリカの連邦議会ですらそうです。オンライン広告やデータ分析産業に明るい議員は少なく、FacebookのCEOマーク=ザッカーバーグ(Mark Zuckerberg)氏の証言(testimony)1日目では、間のぬけた質疑が目立つ有様でした。

この時代だからこそ、インターネットとその関連ビジネスについての知識は、みなに知れ渡るべきだと考えています。

Facebook社CEOマーク・ザッカーバーグ氏の証言は大企業トップ相応の正確さ、だけど……

これは海外の話ですので、立場相応の能力を欠いた者が大企業のトップに就いていることはありません。アメリカ連邦議会公聴会での証言で、Facebook社の創業者兼CEOのマーク・ザッカーバーグ氏は、自社のサービスとビジネスを熟知した上で、間違うことなく、正確な証言をしました。

ザッカーバーグ氏は「Facebook社はFacebookに集まった個人情報を売ってはいない」と一貫して主張しました。これは事実です。確かに、同社はFacebookに集まったユーザーの個人情報を他の企業に販売はしていません。広告欄を提供するビジネスを展開しているだけです。

しかし、この主張には飲み込み難さがあります。直接手をつけてはいないにしろ、Facebookが個人情報売買という産業の一翼、それも重要な役割を担っているのは事実だからです。ケンブリッジ・アナリティカの件だけではなく、Facebookは広告がらみで過去にも問題を起こしたことがあります。

企業間の複雑な関係を、私たちがどこまで把握できるのか

この事件では、ケンブリッジ・アナリティカ社の背景にある企業同士の複雑な関係も気にかかりました。

まずは同社設立に後のトランプ政権幹部・バノン氏がかかわったということがそうですが、親会社・系列会社も要注目です。まず、親会社はStrategic Communication Laboratoriesという企業。そして他の子会社にはAggregateIQというこれまた政治コンサルティング会社があり、同社はケンブリッジ・アナリティカ事件のすぐあと、Facebook社からディベロッパーの資格をはく奪されました。当のケンブリッジ・アナリティカは破産申請しましたが、収集された大量の個人情報の行方はしれません。

渦中の企業同士のかけひきにも目に留まります。Facebook社は「規約違反により被害を受けた」とコーガン氏を強く非難していて、これは一応筋が通っています。が、ケンブリッジ・アナリティカはどうかというと、お世辞にも対応が誠実とは言えません。トランプ氏に雇われて大統領選挙戦のコンサルティングを行ったことは公知の事実であり、元従業員から数々の証言があるにもかかわらず、同社はFacebookからコーガン氏を通して不正に入手した8700万人分のデータはその選挙戦略に使用していないと言い張っています。AggregateIQも、企業間のつながりは否定しています。

真相の究明よりも、企業間のかけひきばかりで事が進んでいますよね。

Facebookのアカウントを持っているということは、この複雑な企業同士のかけひきに自分も巻き込まれているということを意味します。

SNSを含むオンラインサービスを利用するときは、相手企業と向き合っているのだという感覚を持ち、その企業が信用できるか見極めることが大事です。

しかし、その親会社や系列会社まで我々がいちいち把握できるでしょうか。現実的でないと言わざるを得ません。仮に相手企業は信用できると判断しても、その信頼は永遠ではありません。運営者が方針を変えた、サービスはそのままでも運営者が変わった、運営企業が吸収合併された、などということもあるからです。

どんな業界にも、優良な業者から悪質な業者までいるものです。アプリ開発者のなかをみていけば、純粋に楽しみで作った自作アプリを発表するコンピューター好きがいないわけではありません。さらに私は、おもしろいサービスを展開する気鋭の起業家が「こんな事件があると、自分まで『個人情報を売っているのでは』と疑われて迷惑千万だ!」と頭を抱えているところをずいぶん見ました。

しかし少なくとも、楽しそうな見た目でユーザーを誘い、ちょっとした遊びと引き換えに詳細な個人情報を吸い上げるようなアプリ開発者が多数存在するということは、すべての人に知られるべきだと思います。

悪意ある人物が「名簿」を入手したがる理由

個人情報やプライバシーと聞いてもピンとこない人が、巷にはまだまだ多いと思います。「個人情報がなんだっていうんだろう」とか「何がそんなに危ないの?」とか疑問に思っても、なかなか学ぶ機会がないので、たいしたことでないよう祈りつつ、なおざりにしてしまう。そんなところではないでしょうか。

何事でも、理由を考えてみることは理解の大きな助けとなります。企業や一部の人が、やっきになって個人情報をほしがっている。不正をしてまで手に入れようとする人までいる。その理由を聞いてみたくはありませんか?

その答えは、トランプ陣営と同じです。個人情報を集めてそれを分析し、宣伝などに活用すれば、陰から民衆の心理を操ることさえできてしまう。あんなどう見てもおかしい人をアメリカの大統領に当選させることだってできるのです。

氏名、顔写真、住所、年齢、性別、学歴などにはじまり、行った場所やその時間、世に星の数ほどある投稿のうちで見た記事すべて、「いいね」した対象すべて、その他すべての行動。それら個人情報を分析した第三者には、あなたの頭の中は丸見えです。頭の中身を自由に閲覧すれば、それを操作する方法も編み出せる。恐怖です。私は「脳の芯まで支配した」と言っていいと思います。……トランプさんを夢中になって支持していた人、本当はデータ分析会社に操られていたんじゃないの? 今となっては「イタイ人」どころの騒ぎではありません。

流出した個人情報がプールされたビッグデータの分析・活用により、人の心理が操作され、ひいては大衆が操作されたという出来事が、現に起こったとみられます。Facebook・ケンブリッジ・アナリティカ事件のインパクトは私にとって、近年で最高でした。

私たちユーザーにできる対策は?

私は今の知識を以て初心者だったころをふり返ると、自分はインターネットを比較的うまく使ってきたなと感じます。四六時中人とダラダラつながるのを嫌う性格が功を奏しました。それでも完璧だとはゆめ思っていないし、今の利用方法なら完全に安全などとはつゆ信じていません。企業間の複雑なバックグラウンドにまでは目を光らせられないし、データ分析会社(「調査会社」と呼ばれていることもある)の脅威は上に述べた通りだからです。個人ではほとんどどうにもできない部分があるので、法による規制が急がれます。

しかし、自分の個人情報をできる限りきちんと管理しておくのと、完全無防備のだだ漏れ状態ではやはり全然違います。少なくとも何の意識もしないよりは、状況をはるかに改善できると思います。

サードパーティアプリは遊び気分で利用しない

そもそも、診断系アプリなんて使う必要があるでしょうか。ただの遊びじゃないですか。リスクが高すぎます。性格診断をやってみたつもりだったのに、自分の事細かな生活状況のデータが転々と売られ、トランプさんに伝わって、それが彼の選挙戦の武器にされた……なんていうことにはなりたくないでしょう。

サードパーティアプリの利用は慎重に。アプリは、自然につくられて空から降ってくる雨粒とは違います。スクリーンの向こうには開発者がいるのだということを常に意識して、信用できるか、何へのアクセス権なら与えていいかを考えることが大事です。

もっと実務的に言うなら、自分によく分からないものは使わない。大丈夫かなと迷ったときは、やめておく。自分より詳しい人にはかないませんので、身を引く。それがコンピューターやインターネットでの基本姿勢だと思っています。慎重すぎるくらいでちょうどではないでしょうか。

ネットでの個人情報収集はワンクリック、一瞬で完了してしまいます。「同意する」をクリックする前によく考えて。私たちは人間です。売り物になんてされたくありませんよね。

プライバシー設定が命―相手企業に自分のことを何もかも教える必要はない

たとえばFacebookだったら、自分について非常に様々なことをアカウントに登録できます。氏名とメールアドレスはもちろんですが、電話番号、住所、性別、誕生日=年齢、あるいは学校・職場、学歴・職歴、政治的信条や宗教といったデリケートな情報から、好きな言葉なんていうコーナーまであります。

これらの欄を埋めて登録したり、投稿や閲覧、「いいね」をしたりするということは、その内容すべてを「Facebook社に教える」ことを意味します。

たとえFacebookのファンだったとしても、自分のことをそんなに何もかも教える筋合いはないでしょう。

たとえば、東高校の吹奏楽部仲間でつながり続けることを目的にFacebookを使っているなら、出身校に東高校を登録するとか、トランペットの手入れについて投稿するのは自然でしょうが、あなたの毎日24時間の居場所、政治的信条や宗教、今日入ったレストラン、仕事の逐一までFacebook社に教える必要はありません。

何なら教えてよくて、何は教えないか。そのつど自分で考えて相手企業と付き合っていったほうがいいでしょう。

また、Facebookだと「投稿を公開する範囲」や「写真へのタグ付け許可」などの設定ができます。日々のつぶやきや食べ物の写真なんて、公開する相手は友達だけで十分ではありませんか? 全世界の不特定多数に発信して、無駄なリスクを背負うことはありません。Facebookをどう使うかは人それぞれですが、どのみち「誰でも見られるし、誰が見ているか分からない」というインターネットの基本は押さえておいたほうがいいでしょう。

「Googleは生涯の大親友よりも夫/妻よりもあなたをよく知っている」という格言がある時代です。必須マークがついていなくても、空欄はすべて埋めよう――そんなまじめさはいりません。どのオンラインサービスでも、アカウント設定のページが命です。

情報収集の旗手はスマホ―「アプリの権限」に注意

手軽手軽といわれるスマートフォンですが、だからこそ落とし穴があります。不必要な権限まで要求してくるスマホアプリが氾濫していることを、私はこの場でぜひとも指摘したいと思います。正直、私にはアプリから強い悪意を感じることが多々あります。

スマホのアプリの権限許可
ある店のアプリのアクセス権限。お気に入りの店だが、アクセス権限は一つも許可していない。

スマホアプリのアクセス権限でとりわけデリケートなのは、位置情報です。いくら好きな店であっても、そこの調査員が24時間枕元までつきまとってきたら、もはや警察を呼びますよね。ところが今、それはスマホによってごく一般的に行われています。スマホの中にいる調査員は目に見えにくいというだけです。

スマホの「本体設定」の「アプリの権限」をチェック。いらなそうな権限は消しましょう。

あと、スマホに入れておくアプリは、最小限にとどめることを強くおすすめします。

個人情報を教える/収集する際のチェックリスト

では、プライバシーを守るためには絶対に何の個人情報も誰にも教えてはいけないのか……といえば、そんな極端な話ではありません。集める情報の種類や利用目的がきちんと知らされ、同意があり、適切に管理されていればいいのです。チェックするポイントは、

  1. どの情報を
  2. 何の目的で
  3. どの期間保有・利用するのか
  4. 第三者と共有することはあるのか

たとえば小規模な世界の話で、クラスの電話連絡網だったら、

  1. 氏名と電話番号は必須、住所は任意
  2. 台風による休校など学校生活上の連絡のみ
  3. クラス替えがあるまで適切に保管、その後はすみやかに処分
  4. いかなる第三者とも共有しない

なら全然問題ありません。情報がこの通りに管理されれば、見も知らぬデータ分析会社に閲覧・分析されることも、見知らぬ保険会社がダイレクトメールを送ってくることも、悪意ある権力者が心理操作に利用することもないからです。

あるいはネットショップだったら、

  1. 氏名、住所、電話番号、メールアドレスと買い物履歴
  2. 商品の送付および新商品のお知らせやキャンペーン情報の送付
  3. 買った物の履歴は2年間、利用者がアカウントを削除した際にはすべてのデータを処分する
  4. ポイントを利用した場合、ポイントプログラム運営会社○○と購入した商品の情報が共有される。○○社による個人情報利用は○○社のプライバシーポリシーによる

などといったことがプライバシーポリシーに書いてあります。

目的からして不要なデータまで収集していないか。集めたデータをいつ消去するのか、不必要に長い期間保有していないか。第三者と共有されることはあるか。もしあるなら相手は誰で、何の目的で、どの範囲で共有するのか。教えた個人情報が第三者に手渡されてコントロール不能にならないか。このあたりをチェックすれば、問題のあるなしを判断できます。あなたが納得するなら、それでいいのです。

個人情報は、拒絶反応を起こす対象ではありません。自分のコントロール下に置き、適切に管理していくことを考えていけばいいのです。

企業をチェックする目と法規制を―EUのGDPRは一石を投じた

GoogleやApple、Facebook、Amazon、Twitterといったグローバルな巨大企業になれば、ユーザーデータ流出の際に与える被害も甚大ですが、注目度が高い分、鋭い目でチェックを続けている人が世界中にたくさんいます。

しかし、これがもっとローカルで小規模な企業だとそういった目もないので、私はかえって不安だったりします。事実上、ほとんどの企業がノーチェックなのです。企業には一応一定の法的義務が課されていますが、それだけではなく、一律なチェック体制が必要でしょう。

その点、2018年5月にEUで設けられたGDPR(General Data Protection Regulations)は、EU内の法規制でありながら世界に一石を投じました。

具体的には「何の情報を集め、何に利用するのか」を提示することを企業に義務付けるなど、先進的なルールが盛り込まれています。5月ごろ、やたらとプライバシーポリシー変更のお知らせが届いたりしませんでしたか? あれはEUのGDPRが施行されるためでした。(私もそれに合わせてこのブログのプライバシーポリシーをつくりました。)

GDPRのおかげで世界中のサイトというサイトが透明性の高いプライバシーポリシーを設けたので、EU外の私まで恩恵にあずかっています。こういった法規制が、これからもっともっと広まってほしいと思っています。

結びに―「こんなことが起こり得る時代だ」と知ることが第一歩

インターネット上のサービスには、私たちの詳細な個人情報が集まります。

いくら企業側が社内にとてつもないセキュリティを敷こうが、いくら私たちが個人的に気をつけようが、流出事件は起こる時には起こります。もちろん良いことではありませんが、そういうこともあり得る時代だと分かった上でオンラインサービスを使っていくべきだと思います。

また、買い物履歴やSNSの投稿の分析などをすれば、見も知らぬ第三者はあなたのプロフィールや心理の深いところまで、驚くほど正確に描き出すことができます。悪用されれば恐ろしいことになるのは、Facebookとケンブリッジ・アナリティカの事件解説で紹介した通りです。

私たちにできる個人情報流出対策も、オンラインサービスとのよりよい付き合い方も、データ分析産業(「良心の呵責に耐えられない」という理由での辞めていく人が出るような仕事である)への法整備も、スタートラインは「事実を知ること」なのです。

「自分の個人情報? 使っててくれていいよ」とか「プライバシー? 隠すことなんてないよ」なんていう言がどれほど的外れか、過去の事件の深刻さから分かってもらえたと思います。もしそんなことを口ずさんでいる人が周りにいたら、危なくてたまらないし恥をかくこと請け合いなので、トランプ大統領の顔を思い浮かべつつ、ぜひとも個人情報の悪用価値とそれが引き起こす最悪な結果を教えてあげてください。

関連記事・リンク

TwitterやLINEの乗っ取り対策と、SNSの今後 – 特定のSNSのみならず、インターネット全般に関して詳しく書きました。今の時代に絶対必要な知識をつめました。今日からより安全で快適なオンラインライフを。

人工知能(AI)の問題点5選と、人間が全然心配しなくていいこと – データ分析産業は「問題点5選」の一つです。

米ニューヨーク・タイムズ紙のスクープ記事 – 2014年末までケンブリッジ・アナリティカで働いていたクリストファー・ワイリーさんの証言によるブレークです。この記事では紹介しきれなかった複雑でおどろおどろしい内幕と人間関係も報じられています。

英ガーディアン紙の証言記事 – ケンブリッジ・アナリティカの元エグゼクティブ、ブリタニー・カイザー(Brittany Kaiser)さんの証言。ケンブリッジ・アナリティカ自身も診断系アプリで情報収集していたことや、Googleなど他の大企業も個人データ販売で何兆ドルもの利益を得ていること、そして彼女の後悔についてインタビューで語っています。

イギリスBBC日本語版 – ケンブリッジ・アナリティカのご当地イギリス、BBCの記事です。日本語で手軽に読めます。手短でも内容は充実しています。

著者プロフィールTwitterではブログ更新のお知らせなどをしていますので、フォローよろしくお願いします。

ポイントカード今昔:Tカードの個人情報第三者提供拒否ガイド付き – この記事では扱いきれなかったポイントカードについて、あらためて記事を一本割きました。補足として、またデータ産業への別の角度からの視点としてどうぞお読みください。