Q&A: Twitterのデル・ハーベイ氏が信頼、安全、銃弾、子猫について語る
デル・ハーベイ氏はツイッターの信頼と安全担当ディレクターであり、アカウントのアクティビティや不正使用、ユーザーの安全、スパム、法的問題など、多くの分野を網羅する重要な職務を担っている。
今朝のプライバシー・アイデンティティ・イノベーション会議で、ハーヴェイ氏は壇上でこれらの問題の多くについて私の質問に答え、Twitter のスパム対策がどのように進化してきたか、同社が召喚令状にどう対処しているか、アドレス帳アップロード論争における Twitter の役割から学んだ教訓などについて説明してくれた。
ハーヴェイ氏は2008年からTwitterに勤務しています。以前は、性犯罪者に対する囮捜査を行う団体「パーバーテッド・ジャスティス」に所属していました。ハーヴェイ氏自身も、同団体と共同で制作されたNBCの番組「デイトライン」の「プレデターを捕まえろ」で囮役を演じました。
Twitterでは、彼女のチームはプロダクトチームのバランスを取る役割を果たしています。エンジニアが子猫を作るための素晴らしい新機能を思いついたとき、同じ機能を使って銃弾を撃つこともできると指摘し、安全なものにするために協力するのが彼女のチームの役割だと彼女は今日語りました。
「私たちはアイデアを出す人ではなく、むしろ夢を砕く人です」と彼女は冗談めかして言った。「夢を砕く方法についてはアイデアがあるんです」
私たちの会話の抜粋を引き続きお読みください。
私も多くの読者と同じように、Twitterをよく使います。今でも友人からダイレクトメッセージが届きます。Twitterで私についてひどいことを言われているというのです。アカウント乗っ取りやスパム対策の現状について教えていただけますか?
ハーヴェイ:これはありとあらゆるサイトで起きていることです。つまり、以前の身元情報から信頼できる、あるいは正当なアカウントだと分かるアカウントを乗っ取って、それを利用して何らかの行動を起こすことができれば、社会的に価値が上がる、という考え方です。もちろん、その友達は私の何か悪いことを知っているかもしれない、という社会通念はあります。しかし、それでもなお、「先週の金曜日に投稿されたあなたの衝撃的な写真を見ましたか?」というリンクをクリックする人の数は増え続けています。彼らは金曜の夜に何をしているのか分かりません。「なんてことだ、こんな写真が撮られたんだ?」と思う人もいるでしょう。
私たちが取り組んでいるような取り組みは、正直言って、一種の軍拡競争です。確かに、侵害を受けたと特定された人のパスワードをリセットするのは素晴らしいことです。しかし、フィッシング詐欺師が実際に行うことは、例えば最初の侵入で1,000人のユーザー名とパスワードを入手することです。そのうち500人ほどをスパムメールに使います。…残りの500人はまだ手元にあります。その500人のうち約250人を使って、他の人をフィッシングします。すると、「あなたがこんな衝撃的なことをしたなんて信じられない…」というダイレクトメッセージが届きます。まるでフィッシングの頭金を支払っているようなものです。つまり、侵害の兆候を示した人を一人残らず特定したとしても、まだ何の症状も出ていない人が必ず存在するということです。私たちが取り組んでいることの多くは教育です。
Twitterはhttpsで、デフォルトで有効になっています。ログインする際は、アドレスバーをよく確認してください。DMリンクをクリックしてログインが必要なページに移動した場合、なぜでしょうか?Twitterにログインしているはずです。
二段階認証についてはどうでしょうか?他のオンラインサービスでは既に導入されていますが、Twitterはまだユーザーにそのオプションを提供していません。なぜでしょうか?また、将来的にこの種の攻撃に対抗するために二段階認証を導入する可能性はあるのでしょうか?
ハーヴェイ:確かに、将来的にはあらゆる可能性が考えられると思いますが、率直に言って、二要素認証はリソースの最も現実的な活用方法とは言えません。二要素認証を利用する人は、人口全体から見ればごく一部です。彼らは通常、フィッシング詐欺に遭う可能性が低い、より情報に精通した人々です。少なくともTwitterの二要素認証では、Twitterが実際に求めているよりもはるかに多くの情報を提供する必要があります。実名を教える必要はなく、使い捨てのメールアドレスでもいいですし、プロキシを使ってアクセスすることも可能です。人々はTwitterのこうした要素を非常に高く評価しています。アカウントのセキュリティを強化し、さらにこうした追加情報も提供してくれる二要素認証ですが、これらのリソースをもっと活用するのに比べて、導入率は非常に低いのです。
私はそれを使います。
ハーヴェイ:私も使います。でも、おそらくそういうリンクをクリックすることはないでしょうね。
ビッグデータについては、これまでたくさんお話してきました。プライバシーポリシーを読み通すのは面倒だと言う人が、Twitterは私について何を知っているのか、そしてその情報をどのように使っているのかと尋ねてきたら、例えば街でその人に会った時に何と答えますか?
ハーヴェイ:路上でそんなことを聞かれたことは一度もないと思うよ。
さて、私があなたにそれを尋ねたら何と答えますか?
ハーヴェイ:実は、プライバシーポリシーでやったことは、ちょっと面白いんですけど、ハイライトしたセクションをヒントとして表示したんです。プライバシーポリシーをわかりやすく、分かりやすくするために、本当に力を入れました。サイトへのアクセス方法や、提供されたあらゆる情報を保管しています。私たちが保管している情報をリストアップしています。他のサイトほど多くの情報を保管しているわけではありませんが、私たちが心がけていることの一つは、不要なデータを簡単に削除できるようにすることです。
例えば、ツイートにジオタグを付けているとします。これはオプトインなので、「ツイートにジオタグを付けたい」と言わなければなりません。でも、後で「あれは本当にまずかった」と思うかもしれません。実は、設定ページには、ツイートに関連付けられたジオタグ情報をすべて削除するオプションがあります。
これは私たちが常に意識していることです。私たちが情報を持っている場合、あるいはお客様から情報を提供された場合、お客様ご自身で削除するか、削除を依頼するかを選択できる方法を提供したいと考えています。
今年初め、Twitterはユーザーのアドレス帳データを保存していたことが判明した企業の一つで、そのデータの用途をユーザーに明確に説明していませんでした。「友達を探す」の説明をより明確に更新されましたね。この経験から何を学びましたか?また、このアドレス帳問題全体から業界全体にとって得られたより広範な教訓は何でしょうか?
ハーヴェイ:私がまず学んだのは、そのチームにも担当者を任命する必要があるということでした。エンジニアが何かをするとき、「これを作って、みんなのものを救おう」なんて考えません。全部台無しになるかもしれないけど、完璧に仕上げる。「これは子猫ちゃんが生まれるぞ!みんなのために子猫ちゃんが生まれるぞ!」って考えるんです。
子猫を産むのは分かりますが、弾丸も撃つのは分かりますか?
えっと、なんでそれで弾丸を撃つんですか?子猫が生まれるんですよ!
こういった製品や面白いものを作っている人たちは、それがどんなひどい間違いを起こす可能性があるのか、あるいは人々がそれをひどく悪用する可能性があるのかなど考えません。
正直に言うと、これが私のTwitterでの経験の始まりです。2008年10月に入社し、不正利用やプライバシーなど、あらゆる問題に初めて取り組む担当になりました。その頃、ビズとエヴとスパムについて話し合ったのを覚えています。ビズは「ああ、それは問題にならないと思います。フォローする人は選べますよ」と言っていました。私は「ああ、大変だ」と思いました。…何かを生み出し、素晴らしいことをしてユーザーを喜ばせようとしている人たちと、私が属するグループとの間には、実に興味深い乖離があります。私たちはアイデアマンというより、むしろ夢を砕く人だと思います。夢を砕く方法についてのアイデアを持っているのです。
本質的には、本当に素晴らしくて驚くべきことであり、実際に子猫を生み出すこのことをどうやって可能にしながら、誤解されたり、再文脈化されたりする要素も取り除くかということです。
貴社のグループ(40名未満)は、アカウントアクティビティと不正使用、広告ポリシー、アナリティクス、API、ブランドポリシー、法務ポリシーなどの分野を担当されています。300名ほど必要だと思いますが、どのように管理されているのでしょうか?
ハーヴェイ:本来はコンピューターで解決すべき問題を人間に押し付けることには、私は断固反対です。「全員でここに集まって、これらの点をすべて見て、不正使用の有無を判断しましょう」と言うのは簡単です。「全員でこれらの点を見て、共通点を見つけ、不正使用を示唆する行動を特定し、それに焦点を当てましょう」と言う方が、はるかに拡張性が高く、はるかに大きな効果があります。ほとんどのサイトや組織にとって、こうした不正行為の検出は、最初から不正なアカウントだけでなく、侵害されたアカウントや、何か問題が発生したことを示す何らかの状態変化が見られたアカウントも検出するという、将来的な方向性です。
もちろん、もっと人員を増やすべきだと主張したいのであれば、ディック(コストロ、Twitter CEO)とアマック(アレックス・マクギリブレイ、Twitter 法務顧問)に連絡してください。私は全く構いません。
先週、Twitterはウォール街占拠デモ参加者のTwitterアカウントのデータを検察に提出するよう命じた裁判所命令の阻止を求めました。具体的な事例についてお話しできる範囲は限られていると思いますが、概ね、召喚状の有無に関わらず、昨今の法的命令、つまりデータ開示要求にどのように対応していますか?また、法環境の変化に伴い、どのように変化していますか?
それは非常に複雑な質問です。大まかに言うと、あらゆる種類のリクエストを受け取る際に私たちが常に確認するのは、そのリクエストの背後にあるもの、妥当なリクエストか、行き過ぎていないか、十分な背景情報があるか、妥当性があるか、といった点です。また、緊急リクエストの場合は、非常に興味深い点が別にあります。例えば、ユーザーが「バリウムを60錠飲んだ。さようなら」と言った場合、私たちはユーザーを助けようとしていると伝えられます。
Twitterは、当局がデータ提供を要請した際にユーザーに通知するという点で、非常に透明性が高くなっています。しかし、すべてのオンラインサービスがそうであるとは限りません。この考え方の背景にあるものは何でしょうか。また、どのようにそれを実践しているのでしょうか。
それは正しいことのように思えます。
しかし、すべての人に当てはまるわけではありません。
私たちは常に、知っていることはすべてお伝えするよう努めてきました。もしお伝えできない場合は、お伝えできる時にお伝えします。Googleの透明性レポートは、Twitterでも同様に活用できるよう取り組んでおり、特定のユーザーだけでなく、Twitterの透明性をより明確にお伝えできるよう努めています。
Twitter の信頼性と安全性を広範囲に見てみると、変更しなければならない問題が 1 つまたは 2 つあるでしょうか。改革を行う必要があるでしょうか。あるいは、Twitter が信頼性と安全性を維持し、状況を改善するために業界が何か対策を講じる必要があるでしょうか。
ハーヴェイ:私たちは既に、セーフティ&セキュリティセンターの刷新を進めています。Twitterだけをターゲットにするのではなく、インターネット全体、つまりTwitter特有の要素も含め、オンライン上でのより幅広い実践を網羅するものです。これは、中小企業への働きかけにも繋がります。この分野に参入したばかりで、様々な問題への対応に関するポリシーがまだ明確でない企業です。私たちはこうした企業と定期的に会合を開き、ポリシーの背景にある考え方や、私たちが考える正しい選択肢について、丁寧に説明しようと努めています。そして願わくば、今年は、安全性、セキュリティ、プライバシーといった問題に関して、様々なテクノロジー企業間で具体的な取り組みをスタートさせたいと思っています。
私たちは、これらが、虐待に対処する際に人々が知っておくべき、考えるべき、認識すべきことの中核となるようにしたいと考えています。これは非常に重要なことです。なぜなら、現状ではユーザーが受け取っているアドバイスは断片的だからです。
Gluu の Mike Schwartz 氏からの聴衆からの質問: Twitter のビジネス モデルは、ユーザーに提供するサービスやユーザーとの関係と矛盾することがありますか?
ハーヴェイ:確かに、可能性は常に存在します。収益化を目指す企業であれば、常に可能性は存在します。しかし、Twitterは全体として、物事を「正しい方法」で進めることに常に確固たる姿勢をとってきました。それは、私たちが自ら生み出した企業理念にも表れています。会社全体で6ヶ月かけて反復作業を行い、全員が熱心に取り組みました。
コアバリューの一つは、私たちが誇りに思える方法で事業を成長させることです。そしてもう一つは、ユーザーの声を守り尊重することです。会社が選んだ10のコアバリューのうち、これらがたった2つであるという事実は、私たちが常に頼れるものを与えてくれます。これは、これが正しい選択なのか、なぜ私たちがこの選択をするのかを人々が理解してくれるのか、そしてこれが正しいことなのかを考える上で、非常に役立っていると思います。
