europe versus facebook


20111022:facebookへのポストより。

フェイスブック社によって自分の利用データが不当に保存されプライバシーを侵されたとして、24歳の学生が同社への「戦い」を開始した。彼は、いったい、なにを問題にしたのか(*1)(*2)(*3)(*4)(*5)(*6)(*7)。


「事件」の経緯


マックス・シュレムス(Max Schrems)は、24歳のウイーン大学の法学生である。

去年の夏、交換留学生としてカリフォルニアの大学にいた。講義の中で、フェイスブック幹部と会話を交わした。

幹部の「プライバシー」観念が、ヨーロッパの厳格な個人情報保護とは違って、放埒なものだと感じた。

法学生の彼は、EUの個人情報保護指令Directive 95/46/CE(*8)の考えを知っていた。その情報保護の観点からみると北米のそれは、彼には緩いと感じたのである。

そこでシュレムスは、自分のデータがフェイスブック社がどのように取り扱っているのかを実際確かめようとしたわけだ。

もちろん「ハック」じゃない。「正規」の手続きでフェイスブック社からデータを得るのである。

請求先はアイルランドのダブリンにあるフェイスブックのオフィス、北米(USA/CANADA)以外のデータ管理にかかわるオフィスだ。EU圏内のデータには、EU指令とそれに対応したアイルランドの情報(データ)保護法の影響力が及ぶ。

請求はフェイスブックの「個人データの情報依頼フォームから行う。

左の画像が当該フォームのキャプチャである。黄色矢印の部分には「請求の根拠的法令」を記入する必要がある。

ところで、日本の場合、その欄になんて書けばいいのだろうか。2005年の個人情報保護法の開示請求権に基づき請求することになるだろう。情報保護が緩いとされている日本の場合、それに基づいてフェイスブック社からどのようなデータがやってくるかは不明である。だれかやってみないか?


さてと。マックス・シュレムスは僕のようには迷わなかった。その欄にどのような法律名を書けばいいのか、その法律がどのような効用をもっているか、熟知していた。95/45/EC and Irland DPAと書けばいい。

かくして、彼はフェイスブック・ダブリンから自分のユーザデータをCD-ROMで手に入れた。

今年7月のことだ。

シュレムスはCD-ROMを開いて驚いた。1222頁にわたるPDF化されたデータ。その中に、自分自身が消したはずのデータが残っていたからだ。削除したはずのメッセージ、削除したはずの「あいさつ」poke(*9)、拒否(削除)した友人。要するに、彼がフェイスブックを通じて行った行動履歴がそのまま残っていた。朝起きてから夜寝るまで、お休みの挨拶すらフェイスブックはすべて記録する。<嫌>とか<多分>とかのワンクリックのささいな反応も、すべて記録されていた。

それだけではなかった。彼によれば、「自分がフェイスブックでは使っていないはずの友人の電子メールのアドレスすら含まれていたんだ」。


というわけで、彼は怒った。8月中旬から一月の間、フェイスブックのユーザデータ保存の仕方が、どのようにEU指令とアイルランドDPAに違反しているのかを記した訴状を作っては、アイルランドの情報保護委員会(Irish Data Protection Commisioner)に対して送り続けた。それは22に及んだ。

彼はさらに、この点についてのアピールを行うために、友人とともに一つのネット・プロジェクトを立ち上げた。「被告フェイスブックに対する原告ヨーロッパ」Europe versus Facebook。サイトURL は http://europe-v-facebook.org

サイトは、目的、彼がアイルランドの委員会に送った一連の訴状(complaints)、シュレムス自身のフェイスブックデータファイル(例示、もちろん黒塗りも多い)の保存庫(data pool)から構成されている。

彼の活動は、最初ドイツ語圏のメディアが注目して報道をしたが、僕のような押っ取り刀がこのことを知ったのは、10月19日、アイルランドの委員会が聴聞を開始することを決めてからである。その直後から英・伊・仏のクオリティーペーパーが記事にしはじめ、恐らく今後この件についての報道は増えるだろうと思われる(残念ながら日本のメディアはまだ報じていないようだ)。

なにが問題にされているか

さてシュレムスはなにを問題にしたのだろうか。

論点は2つである。

一つ目。ユーザがフェイスブック上で行った行動のうち、ユーザが「消した」(remove or delete)したはずのデータを、フェイスブック社が消さないで保持しているという点。

二つ目。ユーザのコンピュータを用いたインターネット利用一般が、彼女・彼の意図とは無関係にフェイスブックに収集され、「利用」されているのではないか、という疑義。

このうち二つ目は「問題」が単一じゃなくて、すこしややこしいので別の節を設けて考える。まず、一つ目の問題を片付けておこう。

ここでは、リベラシオン紙が掲載したシュレムスのデータ画像を再利用しよう。


上は、彼が2010年11月に書いたメッセージ。ポイントは上から四行目のDeleted trueとなっていることである。

シュレムスは、明示的に「消した」というのは、データストレージ(ここではフェイスブックサイトのデータベース)から明示的に消されなければ「消す」(remove or delete)にはならないと主張している。

フェイスブック側が、「消す」という言葉を用いながら、消していない。おかしいではないか。ざっと言ってしまえば論点はシンプルである。

そしてそれは恐らく、ユーザの感覚から言えば正しい。じゃあどうすればいいか。選択は

  • フェイスブックの「消す」用語は、「消去データ保存領域に待避」という用語である、あるいは「ゴミ箱に入れる」と定義しなおしてそれをユーザに明示する。
  • フェイスブックのデータベースから本当に消す。

このどちらかだ。

じつはデータベース作成側の感覚からすれば、「消す」とはデータベースからデータを「消す」と同義ではない。

むしろ、上の画像にあるように、Deletedというboolデータタイプ項目をデータベーススキーマの中に設けておいて、true/falseフラグで「削除・非削除」をオンオフするのも「消す」だ。

だから目くじらたてられても困る、というのが作った(特にエンジニアの)の率直なところだろう。

(素人だけどエラソウに言えば)僕がもしも作れって言われれば、やっぱりそのような設計をするだろうと思う。データを管理する側からすれば、データベースに対して、ある項目のdeleteを本当に行うというコードを書くことは、かなり勇気がいるからだ(*10)。

しかし、ユーザ側から「消してないじゃないか」と言われれば、認めるしかないのである。

多分、フェイスブック側は、あの手この手でこの主張をキックするとは思うけどね。上の方策2つ、どっちをとっても大変な変更コストがかかるから、よっぽどのことがない限り、やらないだろう。

「remove/deleteと言っても、そりゃ***社は全部データを消さずに持ってるだろうよ」。

この点は、SNSのアカウントをとる前に、わかっておくべきだことだと僕は思っている。フェイスブックとは限らない。

データベースで膨大なユーザ情報をぶんまわすようなネットサービスの仕組みはそんなところで、すべて作られてるはずだ。

このような阿婆擦れた感覚からすれば、彼の主張はナイーブ過ぎる。それでもそれは間違っていない。この手の牽制球は、ともかく投げておくのが大切と気づかさせてくれただけでも、彼の行動には大きな意味があるのだ。

二つ目の論点に移ろう。これは少しフクザツなので、節を改める。

SNSに監視されるということ

(近日中に書きます)

*1: 本コラムが参照した新聞記事は注2-7に掲載。2011年10月23日現在。

*2: 仏リベラシオン紙: http://ecrans.fr/Facebook-la-memoire-cachee,13424.html

*3: 米ハフィントンポスト紙 http://www.huffingtonpost.com/2011/10/21/facebook-privacy-policy-europe-student-complaints_n_1022988.html

*4: 英ガーディアン紙 http://www.guardian.co.uk/technology/2011/oct/20/facebook-fine-holding-data-deleted、この記事について次の日本語のブログがある。http://www.takashimedia.com/blog/?p=1526

*5: 伊レプピュリカ紙 http://www.repubblica.it/tecnologia/2011/10/19/news/facebook_rispetti_la_legge_europea_la_sfida_di_tre_studenti_per_la_privacy-23232910/index.html?ref=search

*6: 英インデペンデント紙 http://www.independent.co.uk/life-style/gadgets-and-tech/news/student-campaigns-against-facebook-data-collection-2374072.html

*7: 米フォックスニュース http://www.foxnews.com/scitech/2011/10/21/facebook-building-shadow-profiles-non-members-experts-allege/

*8: 個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令:Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data

*9: なお、彼のアイルランドの委員会への訴状の最初のものは、このpokeを消したにもかかわらずフェイスブックがデータを保存していることについてのものである。

*10: 実はこの話は、ネット上のデータのロギングをどう考えるか、という問題ともからむはずだ。不正なデータ改ざんも含めてチェックするという立場からすれば、データベースに対して行われたすべての「履歴」をデータ履歴も含めて、「消さず」に残しておくのが、ある意味正しいとも言える。

this file --> last modified:2012-03-31 13:52:16