ウイルス対策ソフトの会社が個人に関する情報を第三者に提供した「Avast事件」の読み方

(写真:ロイター/アフロ)

 昔から「タダより高いものはない」などと言われるわけですが、テクノロジーの進化のおかげもあって昨今では「無料」を謳う便利なサービスがいろいろと世の中に溢れるようになりました。とくにネット界隈では「基本無料」で利用可能なサービスが星の数ほどあるのは改めてここで紹介するまでもないところです。

 そして、ベンチャー企業の成功パターンとして定着した「まず無料でサービスをばら撒いて、多くの人たちに使ってもらって、サービスが定着してから機能を有料化したり、他社に高い値段で事業売却する」というプロセスがインターネット産業を風靡したこともあって、ユーザーの側もサービスが無料で使えるのは当たり前という前提で接するようになりました。それは、メディアもアプリもゲームも、成功したあらゆるネット上のサービスがこの「基本無料」ありきで設計されてきたと言っても過言ではありません。

 しかし、人が霞だけを食べて生きてはいけないように、そうした便利なネットサービスも善意だけで無料提供されているはずもなく、事業を回していくためにはなんらかの資金調達が必要であることは明白です。

 ネット関連事業で古くからあるマネタイズの手法は広告であるわけですが、最近は単純な広告だけでしのげるほど世の中甘くないということで、皆さんいろいろと智恵を絞ってさらなるマネタイズ手法を考えて導入しています。近年の流行りの一つはユーザー動向データを集めて売買するという「データドリブン」と言われる手法で、まさにデータ資本主義万歳という感があります。

 ここで「ユーザー動向データ」などど表記すると、なんとなく匿名性もありそうだし、それで世の中の役に立つなら自由に使っていいよとおっしゃる心の広い御仁も少なくないのでしょうが、一見匿名性の高いデータのようであっても、その道のプロが本気を出せばかなりの精度で個々人の素性をほとんど特定できてしまうような残念な形で個人に関する情報が収集・処理・流通させてられいる世の中でもあります。各社の匿名データを寄せてきて突合することで個人を特定できる状態まで可能である、ということは、先日のリクルートキャリア社のリクナビ内定辞退率問題でもかなり騒ぎになったのは記憶に新しいところです。

プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)後編 #イベントレポート #完全版 (1/4):混ぜるな危険(@IT 19/12/3)

 仮に匿名化されたデータであっても、それを何かのIDで「名寄せ」することができれば、概ねこのユーザーであろうという特定ができてしまうのは、JR東日本で発生したSuica問題以降ずっと懸案となってきました。定期券などで日ごろ使う非接触ICカードによる駅の乗降情報だけ見れば一件匿名ですが、実際には何時何分、どの駅のどの改札から降りた人で、毎日そこを通る人だとなれば、匿名でもIDを追えばその人がいつどこに現れるのか、照合により個人が識別できてしまうことになります。これは匿名情報でもなんでもなく、ごく単純に個人に関する情報の第三者提供であったということで、Suica問題は日本の個人情報にまつわるトラブルの原点となっています。

JR東日本によるSuica履歴データ販売、いまだ残る波紋(Response 14/10/4)

 そうした言わば不正に個人を特定できてしまうようなユーザー情報の収集・処理・流通を阻止するための手段の一つとして、昨今はセキュリティ対策ソフトなどをPCやスマホへ導入するユーザーも少なくないでしょう。しかし、そうしたセキュリティ対策ソフトを提供する企業が自ら不正な個人情報データの収集・処理・流通に荷担しているかもしれないという、かなりとんでもない話が発覚したようです。

Avast、セキュリティソフトで集めたユーザーデータを匿名化して企業に販売――米報道(ITmedia 20/1/28)

Avastは、アプリでのデータ収集はオプトインでユーザーに許可を得ていると説明したが、Motherboardが取材した多数のユーザーは許可した自覚がなく、そのデータが販売されていることも知らないと語った。Avastはデータは匿名化して販売しているとしているが、専門家によるとこのデータから個人を特定するのは簡単だという。

出典:ITmedia

 Avast社は広くPC、Mac、Android、iOS向けに無料でセキュリティ対策ソフトを提供することで人気を集めておりました。かくいう私も、数年前は自宅のパソコンで普通に使っていた時期もありますし、便利だなと思って自覚なく使ってきたユーザーさんも少なくないのではないかと思います。やはりタダで利用できる便利なソフトの裏にはそれなりの理由があったということなのでしょうか。さらに同社では有料製品もあるのですが、そちらも同じようにユーザーデータが販売されていたのかどうかも本件問題に関しては気になるところです。

 このAvast社が提供する(した)とされるユーザーデータは子会社であるJumpshot社を通じて販売され、そのお得意様には「Google、Yelp、Microsoft、McKinsey、Pepsi、Sephora、Home Depot、Conde Nast、Intuit」などの名前が含まれているそうで、Googleは自社サービスで収集できるユーザーデータだけでは物足りず、さらに手広くこうしたデータを集めているのでしょうか。さすがデータ収集に熱心な企業は違うなと感心します。

 これの何が怖ろしいのかと申しますと、前述の「名寄せ」による突合にあります。Suicaは駅の乗降客のデータを「匿名だ」といって第三者に提供して違法性が問われましたが、Avast社のユーザーデータもまた、何時にパソコンが操作され、何のアプリが立ち上がり、どのくらい操作されたのかといったアクティビティデータが販売されたという点で、オプトインでユーザーに明確な許可を得ていない限り適法とは言えません。

 タダで利用できるサービスが危なっかしいということではAvast社の事例とはやや趣が異なりますが、無料で写真や動画をアップして公開できるサービスが普及しているのをいいことに、そうしたサービスから無差別に顔画像データを収集してデータベースを作り法執行機関等に向けて顔認識サービスを提供している事業者が存在し、米国でちょっとした社会問題になっています。

顔認識アプリのClearview AI、プライバシー侵害で提訴される(CNET Japan 20/1/27)

Clearviewのアプリは、人々の写真をソーシャルメディアなどのサイトから取得した写真のデータベースと照合することで、人物を特定できる。

出典:CNET Japan

 顔画像データをSNS事業者に無断で自動収集して営利目的に利用していたのであれば権利的にもかなり問題となりそうですが、もし仮にSNS事業者がそうしたデータ収集行為に対して手数料などを課して収入を得ていたりすればさらにひどい話でもありまして、この一件がどう収拾に向かうのかは大変気になるところです。

 これらのデータを買っている大手ICT企業がどんな動機で、これらの「匿名化されているはずのデータ」を買うのかという点については、明確に「自社のデータと突合すれば、特定のユーザーの行動がより鮮明に把握できるようになり、そのユーザーが未来に取るであろう行動をより高精度に予測可能な状態になる」のであって、それが「そのユーザーと似た行動をとるユーザー群もまた、同じような行動をとると予測される」という価値を持ちます。これが広告分野やショッピング、保険、学力テストなどにも応用されることになりますが、一番恐ろしいのは健康情報への集約であって、今後、同様のデータ売買が表面化するときにユーザー追跡の在り方も含めて大きな議論になる可能性は捨てきれません。

 なお、Avast社は今回の件で世界中から批判を浴びた結果、ユーザーデータの販売事業から撤退を決めたようです。

Avast、匿名化ユーザーデータ販売サービス「Jumpshot」を終了 批判を受け(ITmedia 20/1/31)

 ここまでくると、もはや「インターネット上の無料サービスが、私たちの情報を不適切に売却することから自分のデータを自衛する」ことは不可能になってきます。承認した覚えがないのに自分の情報が流出し、しかもその自分の情報の流出自体が気づけない、ということは起こり得ます。

 結果として、おそらくは情報法やプライバシーに関連する問題についてはより公的な機関によるSNS事業者などICT関連企業の動向に対する監視が必要になっていくと思われます。今回はAvast社が販売サービスそのものをやめるという落着でしたが、それもこれも、バレたからです。バレないようにやっている会社やサービスを、もっと炙り出せるようにし、単にマスコミとして騒ぐだけでなく公的な組織が命令や処分、懲罰を粛々と加えられるような状況にならない限りイタチごっこにすらならないのではないか、という危惧は拭い去れないでしょう。