あなたの「個人情報」がなぜそうではないのか:ワシントン州初の最高プライバシー責任者とのQA
デジタル時代において、自分自身に関するどのデータが本当に自分のものなのかを見極めるのは困難です。インターネットの利用状況、買い物習慣、身体、投票記録、家具の配置など、データは誰が持つべきなのでしょうか?
あなたがデータ提供に同意していなくても、米国中のさまざまな企業や政府機関がすでにそのデータを保有している可能性があることに驚かれるかもしれません。
アレックス・アルベン氏にとって、これは大きな問題です。アルベン氏はプライバシー擁護者であり、ワシントン州初の最高プライバシー責任者です。ワシントン州、ひいては全米の市民の個人データとプライバシーを守ることが彼の任務です。
GeekWire Podcast のこのエピソードでは、Alben 氏にインタビューし、私たちの個人データがどのようにして見知らぬ人の手に渡ってしまうのか、また、国民や組織がプライバシー保護のために何ができるのかについて学びます。
アルベン氏は仕事で頻繁に出張しますが、誰もがデータプライバシーを心配しているわけではないものの、多くの人がこの問題を痛感しているとアルベン氏は言います。最近発生したEquifaxの不正アクセス事件では、ハッカーが1億4,300万人のアメリカ人の個人データを盗み出し、この問題への注目がさらに高まっています。
「私が行く先々で、人々はプライバシーについて不安を感じています。政府に監視されていると感じています。企業にプロファイリングされていると感じていて、自分たちには何もコントロールできないと感じているのです」とアルベン氏は語った。
「そして我々は、人々を実際に見下して『ああ、それは問題ではない』と言わないように最善を尽くす必要がある。なぜなら率直に言って、これは問題であり、我々は個人の監視とプロファイリングの両方において前例のないレベルに達しているからだ」と彼は語った。
Amazonが顧客の購買習慣について詳細に把握していることを考えてみてください。そのデータから、Amazonは顧客の年齢、居住地、収入、家族の有無、ペットや車の有無、さらには食物アレルギーやその他の健康状態の有無まで、大まかに把握できる可能性があります。
その情報を、個人のインターネット閲覧習慣に関するデータや、自宅内の物理的な空間の詳細を示すインターネット接続デバイスから得たデータと組み合わせれば、どれほど多くのことがわかるか想像してみてください。
アルベン氏は、個人データマイニングはテクノロジー業界における未開の地の一つだと指摘する。規制や制限はほとんどなく、個人のプライバシー権や自身のデータに対する権利を規定した国内法も存在しない。モノのインターネット(IoT)は、非常に新しい分野であるため、特に懸念される。
「まるでアメリカで車の速度制限がなかったら、車を運転していたようなものだ」と彼は言った。「『そんなのおかしい。安全上の問題だから規制が必要だ』と思うだろう。しかし、これは今、モノのインターネット(IoT)が直面している状況と似ている」
現在、アルベン氏をはじめとする全国の人々は、そうしたガードレールの設置に取り組んでいる。そしてその間、クッキーは常にクリアにしておくようにと彼は言う。
上記のアルベンとの会話を聞いて、エピソードを MP3 としてダウンロードし、会話全体の編集されたトランスクリプトを読み続けてください。
トッド・ビショップ:まず初めに、あなたの仕事がどのようなものか皆さんに説明してください。先ほども申し上げたように、あなたはワシントン州では初であり、全国でもほんの一握りの人のうちの一人です。
アレックス・アルベン氏:州政府レベルでは、最高プライバシー責任者は他に3、4人いると思います。ですから、これは非常に先駆的な仕事です。そして、おっしゃる通り、ワシントン州で最高プライバシー責任者が就任するのは初めてです。職務を自ら創り、定義づける機会であり、非常に刺激的な仕事です。私自身も経験を積みながら学んでいます。州内にはデジタルプライバシーに関心を持つ人が数多くいます。州議会にも、プライバシー保護のために更なる努力が必要だと強く感じている議員がいます。私は50もの州機関で働いていますが、それぞれが異なる使命を持ち、ワシントン州民のデータを収集・処理しています。それぞれの機関と協力し、それぞれの業務におけるベストプラクティスを構築できるよう努めています。
TB:世の中の多くの人々、おそらく私自身もそうだと思いますが、周りを見渡すと「ああ、私はオンラインで無料で何かを得るために、自分のプライバシーを犠牲にしているんだ」と思うことがあります。プライバシーに関して、市民の皆さんとお話をすると、どのような現状があるのでしょうか?どのような意見を聞き、それをどのように仕事に取り入れているのでしょうか?
アルベン:ワシントン州クラークストンからコルファックスまで、州内をかなり旅していますが、どこへ行っても人々はプライバシーについて不安を感じています。政府に監視されていると感じています。企業にプロファイリングされていると感じていて、自分たちにはコントロールできないと感じています。プライバシーの世界で私たちが働く環境はまさにそんなものです。私たちは、人々を「まあ、問題ない」と見下して言わないように最善を尽くさなければなりません。率直に言って、これは問題であり、個人の監視とプロファイリングは前例のないレベルに達しているからです。
ですから、問題がないとは言えませんが、「これが現状です。消費者教育の観点から言えば、これは自分自身を守るためにできることです」と言えるでしょう。非常に知識のある人は既に自分自身を守る方法を知っており、TorやSignalといった製品を利用しています。彼らは暗号化とは何かを知っています。彼らは自分の足跡を隠し、自分のプロフィールを制限することができます。しかし、私の聴衆はそうではありません。私の聴衆はワシントン州の700万人です。彼らは実際にはオンライン上で何が起こっているのかあまり知らず、自分のデータの管理、つまり州が自分について何を知っているか、そして州内の企業が自分について何を知っているかを非常に気にしています。
TB:ではまず、州が何を知っているかについてお話ししましょう。これは明らかに、政策を通じて直接管理できるものです。ワシントン州が州民に関するデータを収集している状況を見ると、州は何を知っているのでしょうか?州はそれを使って何をしているのでしょうか?そして、あなたはご自身の仕事を通じて、それをどの程度まで規制しているのでしょうか?
アルベン氏:私のオフィスは、州のCIO(最高情報責任者)とCISO(最高情報セキュリティ責任者)と連携しています。州機関に対し、「あなたに関する収集データを最小限に抑えるにはどうすればいいか」という課題を提示できます。私たちは、いくつかのデータを収集する必要があります。例えば、あなたは運転免許証を持っています。州はあなたに連絡を取り、あなたが誰であるかを把握する必要があります。しかし、その情報はデータベースに保存され、州はそのデータに関する規則を定めます。そのデータを販売してもよいか?他の法執行機関と共有してもよいか?民間企業と共有すべきか?そして、州議会がそれに関する政策を策定します。ですから、プライバシーをより尊重した慣行を可能な限り構築しようと努めています。
一例を挙げると、前回の会期で議会は生体認証に関する2つの法律を可決しました。1つは指紋やDNAなど、州が個人から収集する生体認証情報とその規則に関する法律、もう1つはFacebookやオンライン企業などの企業が個人について収集する可能性のある生体認証情報に関する法律です。どちらの法律も原則は同じで、生体認証情報の収集には本人の同意が必要であり、州または企業はその生体認証情報を、収集目的に沿った方法でのみ使用できるというものです。
例えば、写真に顔認証機能を搭載した強化運転免許証を作ったとします。これは生体認証識別子です。私たちは、その情報を本人確認のために使用します。これは当然のことです。しかし、本人の同意を得ない限り、その情報を第三者に販売することはありません。第三者が、本人が知らない方法で生体認証情報を使用できるように販売することはありません。これはプライバシー保護の世界において、実に大きな前進です。生体認証に関する法律を制定している州は他に2、3州しかありません。このような政策は議会が賢明に採用したものであり、私自身もこれを支持したいと考えています。
TB:インターネットサービスプロバイダーと国家規則の変更という問題もありました。ワシントン州議会でも取り組みがあったことは承知しています。全体的な考え方は、国家レベルでの変更によって、インターネットプロバイダーが個人情報を販売する本人の許可なく販売できるようになるというものでした。現状はどうなっているのでしょうか?
アルベン:はい、前回のセッションでその点について議論しました。連邦通信委員会(FCC)は、ブロードバンドプロバイダーがユーザーのウェブトラフィック情報(どのサイトを訪問したか)やテレビ視聴情報(どのテレビ番組を視聴しているか)を販売できないという一連の規則を提案しました。なぜなら、ほとんどの場合、通信事業者はこれら両方を把握しているからです。企業がユーザーが何を見ているか、どのウェブサイトを訪問しているかを把握している場合、これは非常に強力な情報となります。FCCは施行予定だった規則を、トランプ政権と議会が撤回することを決定しました。これにより、ワシントン州のような州政府が「連邦政府はこの分野で規制しませんが、州は規制できます」と言えるのかという疑問が生じました。州議会では、下院を通過したものの、上院では採決に至らなかった法案が提出されました。私は、その法案を可決するために必要な票があったと考えています。そして、その法案が基本的に述べているのは、施行されなかったFCCのプライバシー規則を実際に復活させるということです。人々は、それらの規則は既に施行されていると思っていたのです。
TB: …そしてそれらは廃止されつつありましたが、実際には、彼らがそれを実行する前に撤回されていました。
アルベン:まさにその通りです。これはトランプ政権の「とにかく全ての規制を撤廃したい」という方針の一環でした。実際、彼らはこの件についてあまり慎重に検討していなかったと思いますが、それは問題ではありません。このルールは重要です。ワシントン州には、コムキャストなどの通信事業者と契約している都市がいくつかあります。これらの契約では、ブロードバンドを提供する独占権やフランチャイズ権を与えるために、「ユーザーのウェブ閲覧データを販売しない」と明記されています。しかし、私たちはそれだけに頼りたくはありません。州としてこの条例を可決することは良い政策だと思います。州の政治情勢次第では、再びこの問題が浮上するかもしれません。
TB:少し立ち止まって考えてみましょう。冒頭で、当然ながら懸念を抱いている市民と話をしているとおっしゃっていましたが、彼らに何を伝えたいですか?懸念すべきだとおっしゃいましたが、彼らは何をすべきでしょうか?政府は何ができるでしょうか?そして、それに関してどのような大きな目標をお持ちですか?
アルベン: [笑い] その質問に答えるのに2時間もかからないのですか? わかりました。市民はいくつかのアプローチを取ることができますが、ほとんどは教育的なものです。プライバシーポリシーを読むように言うつもりはありません。訪問する可能性のあるすべてのサイトについて、実際にそれを一律に読む時間がある人は誰もいないでしょう? それに、率直に言って、たとえプライバシーポリシーを読んだとしても、法律を変えることはできません。私たちはそれを「強制契約」と呼んでいます。「消費者の皆さん、このポリシーを遵守してください。選択の余地はありません」。これはビジネスのやり方ではありません。ビジネスのやり方は、同意を得ることです。もし私があなたからデータを収集し、それが個人データであるならば、何を収集し、どのように使用するのかをあなたに伝えるべきです。
古いモデル、つまり古いウェブモデルの問題点は、過去10年間でビッグデータとデータ分析によって急速に発展したことです。これらの技術によって、企業は誰も完全に理解できないような方法で、非常に複雑な個人プロファイルを構築できるようになりました。例えば選挙です。アメリカの有権者リスト全体を収集している企業があります。投票登録をしているすべての人、つまり1億5000万人以上の人々のリストです。彼らの投票パターン、つまり投票頻度です。彼らはあなたが誰に投票したかは知りませんが、投票頻度と投票場所から、誰に投票しているかをかなり正確に推測できる場合があります。そして、その有権者リストを他のデータベース、例えば自動車購入者のデータベースや買い物をする場所のデータベースと組み合わせます。すると、これらの企業はリストに載っているすべてのアメリカ人について4000以上のデータポイントを保有していることが判明しました。企業が合法的に収集したデータベースに、私に関する4000以上のデータポイントが含まれているとは、驚きです。そのため、ESPN.comのようなウェブサイトにアクセスしても、ブラウザXがワシントン州内のどこかからアクセスしていることはわかりません。「この人はボルボを所有していて、この電話会社を使っていて、この人はこれらの都市を旅行したことがある」ということは分かります。
人々が気づいていないのはまさにこの点です。私たちは、この番組のような消費者教育を通して、自分に関するデータが世の中に出回っていることについて、より洗練された理解を人々に与える必要があります。そして、例えばデータ収集を制限するための実用的なツールも提供する必要があります。ウェブセッション終了後にCookieを削除すればいいのではないでしょうか。訪問したサイト、クリックしたページ、クリックしたリンクごとに設定されるCookieは、企業にとってデータマイニングのための貴重な宝庫となっています。データマイニングの範囲を制限したいのであれば、Cookieを削除しましょう。
TB:他にはどのような実用的なヒントがありますか?
アルベン: 州レベルでは、州政府機関に対し、昔の人々に関するデータ収集を減らすよう強く勧めています。例えば、1990年代、紙の記録をファイルキャビネットに保管していた時代です。州政府機関は、個人に関するデータをできる限り多く収集するべきです。以前は、オフィスに出向いたり、手紙を郵送したりしない限り、人々から情報を得るのは容易ではありませんでした。今では、電話やメールで個人とよりスムーズにコミュニケーションを取ることができます。州は、特定のサービスを提供するために、個人に関するあらゆる情報を収集する必要があります。狩猟免許や釣り免許を発行したい場合、「どこで釣りをしますか、いつ行きますか、お名前は何ですか?」と尋ねるだけで済みます。社会保障番号まで収集する必要はありません。私は、このような慣行を州全体で導入したいと考えています。
TB:しかし、それは企業が「より良いサービスを提供するために、これらすべての情報を知る必要がある」と主張するのと同じように、国家が国民の利益のためにできることを制限することになるのでしょうか?私はコインの裏表の立場から議論しているのです。
アルベン:私はプライバシー擁護者です。…サービスを提供するために必要なデータを収集します。私がこの仕事に就いてすぐに始めたことの一つは、業務をどのようにスケールアップできるかを分析することでした。現在、私と仕事をしている1人、あるいは2、3人が、50の州機関にまたがって業務を展開する予定です。どのように実現するのでしょうか?一つの戦略は、魚類野生生物局から保健福祉省まで、州機関で働く人々にツールを提供し、より良いプライバシー慣行を実際に実践してもらうことです。
私たちは「プライバシーモデリング」というウェブベースのアプリケーションを開発し、privacy.wa.gov のウェブサイトに掲載しています。このウェブアプリケーションは、州政府機関、いや、州政府や地方自治体、あるいは単に関心のある市民が、「サービスを提供するために収集したい情報の種類は何ですか?」と尋ねることができるものです。収集したい情報は40種類以上あります。運転免許証、生体認証、社会保障番号などです。サービスに提供したい個人情報の種類を特定し、「どのように使用したいですか?」と尋ねてください。その情報の使用方法は5つか6つあります。単に保管することも、共有したり、他者に販売したりすることもできます。情報の種類を指定してボタンを押すと、「この状況に適用される連邦法とワシントン州の法律」という結果ページが表示されます。
例えば、誰かの生年月日と性別を収集し、それを使って販売したい場合、適用法を教えてくれます。実際、この仕事で最初に気づいたことの一つは、誰もその国のプライバシー法が何なのかを知らず、他人にプライバシー法を知っていることを期待すべきではないということです。つまり、これは非常に専門的なプライバシー検索エンジンのようなもので、誰でも利用できます。政府機関から非常に価値があると言われており、プライバシー権とは何かという問題全体を分かりやすくしてくれることを期待しています。
TB:見逃した方のために、privacy.wa.gov です。ぜひチェックしてみてください。とても便利なツールです。
アルベン: そして、リンクは「プライバシーモデリング」と呼ばれるアプリケーションへのリンクです。この研究はヒューレット財団から資金提供を受けているため、この実験に税金を使っているという印象を与えたくはありません。しかし、これは価値のある実験だったと思いますし、他の州からも同様のアプリケーションを作れないかと問い合わせをいただいています。
TB:ということは、国民が法律を理解するためにそれを利用しているのでしょうか、それとも企業がデータを使って何ができるかを理解するために利用しているのでしょうか?
アルベン: 両方です。政府の職員が、何ができるか、どのような法律が適用されるかを知るために利用しています。例えば、誰かの生年月日を使うことは全く問題ない場合もありますが、特定の状況下では実際に違法となる場合もあります。しかし、連邦レベルと州レベルの両方で、長年にわたって制定されてきた法律について知っておく必要があります。市の法令については調べませんでした。調査できる項目が多すぎて、非常に煩雑になってしまうからです。
TB:冒頭でも触れましたが、あなたはテクノロジー業界出身で、シアトル周辺に住んでいた方ならきっと耳に覚えのあるStarwave社で初期に働いていました。ポール・アレン氏が所有するESPN.comを開発した会社です。
アルベン:最初の商用ウェブ企業のひとつでした。
TB:それはどのくらいの時間枠でしたか?
アルベン:私は 1993 年に入社しました。ESPN を立ち上げたのは 1995 年だったと思います。
TB:当時は、インターネットやウェブが何なのかさえ知らない人もいました。
アルベン: ビジネスモデルの面でウェブはまだそれほど洗練されておらず、それがプライバシーにも関わっていました。当時、私たちは理解に苦しみました。人々はインターネットにお金を払うようになるのか?それとも広告ベースのモデルになるのか?結局、ある意味では両方になりましたが、当時はそれを知りませんでした。私たちは製品をリリースしました。何百万人もの人々が製品を使い始めました。東海岸で一日を始め、ニュースやスポーツのスコアがサイトに表示され始めると、トラフィックを追跡できるようになりました。実際に、その普及を見るのは非常に刺激的でした。当時、マイク・スレイドがCEOを務め、多くの優秀な人材がこのような画期的なウェブサービスを構築しました。しかし、当時はデータマイニングは行っていませんでした。実際、マイク・スレイドから私たちのサイトのプライバシーポリシーの作成を依頼されたとき、私は「喜んで引き受けます」と答えました。その後、プライバシーポリシーを設けている他のサイトを探してみましたが、ほとんどありませんでした。
TB:ということは、あなたは長い間この問題に取り組んできたわけですね。
アルベン: 20年以上前に、良いプライバシーポリシーを書かなければならなかったんです。確かそうだったと思います。たった1ページのポリシーで、「私たちはデータを収集します。データは販売しません」と書いてありました。それが私たちのモデルでした。
TB:ああ!それなら簡単そうですね。
アルベン: それは簡単でした。
TB:それは今日では例外ですよね?
アルベン: とても簡単でしたね。今のこのサイトのポリシーとは違います。実は、Starwaveは最終的にウォルト・ディズニー社に買収されました。私のプライバシーポリシーの核心は、同社の25ページにわたるポリシーにあります。
TB:冗談でしょう。何か知っているフレーズはありますか?
アルベン:いくつか残っている文章があります。例えば「これが私たちがあなたのデータをどのように活用するかです」といった部分でしょうか。しかし重要なのは、これはインターネットの進化を辿るものだということです。インターネットは、初期には消費者が誰なのかをほとんど知らないまま、人々に情報を提供し、消費する、ほぼ放送型のメディアでした。しかし今では、消費者が誰なのかを知り、オークションを開催してその消費者を販売し、その消費者に情報を提供するようになります。そして、その消費者のウェブサイトだけでなく他のサイトにおける行動に基づいて、私たちはあなたを追跡し、非常に洗練されたプロフィールを構築します。これがインターネットの成長です。個人に提供される無料サービスやプラットフォームの数という点では、インターネットは素晴らしい発展を遂げてきましたが、そのプラットフォームはデータに基づいています。サティア・ナデラ氏は「データはインターネットの新たな通貨だ」と述べ、Appleのティム・クック氏は「あなたは製品だ」と述べました。どちらも真実です。しかし、私たちが製品であるならば、たとえそれらの権利を完全に制御できないとしても、私たちはプライバシーの権利についてある程度の認識を持つ必要があります。
TB:初期の時代から、今ではオンラインプライバシー権の問題にとどまらない状況になっています。というのも、Amazonが小売業界に進出するという素晴らしい例が、私たちのすぐ近くにあったからです。ホールフーズ・マーケットの買収完了直後にAmazonが最初に発表した内容の一つは、Amazonプライムアカウントの利用者にホールフーズで特別な特典を提供するというものでした。つまり、デジタル世界と現実世界が結びついたのです。これは、このすべてにどのような影響を与えるのでしょうか?
アルベン:プライバシーを重視する人々にとって、状況は複雑になります。モノのインターネット(IoT)は新たな次元であり、プライバシーにとって新たな課題です。IoT以前の時代、私たちはオンラインでの行動を心配していました。ほとんどの場合、コンピューターの前に座っているだけでした。今では、物理的な空間での行動について考えなければなりません。家の外にいる時だけでなく、GPSなどの位置情報サービスを通じて行動の痕跡を残しているため、家の外でも監視される可能性があるからです。しかし今では、データを収集し、行動をプロファイリングするデバイスと関わる時も、ますます家の中で監視されるようになっています。少し突飛な例を挙げましょう。最近、ルンバという掃除機を購入しました。家中を掃除してくれます。素晴らしいですね。たくさんのほこりを吸い取ってくれます。ルンバは家の地図も作成します。そして、より高度なルンバは、家の中にあるもののデータマップを他の企業に販売するようになるのです。最新バージョンのデバイスを購入したときには、そのことを知らなかったかもしれません。
TB:プライバシーポリシーを読んでいない限りは。
アルベン:プライバシーポリシーを実際に読んだ場合を除いては。先ほども言ったように、実際に読む人はほとんどいません。重要なのは、掃除機や懐中電灯など、私たちにとっては無害で単機能に見えるデバイスでも、他のデバイスと通信し、インターネットに接続しているということです。そして、インターネットに接続されていれば、個人情報を送信する可能性があります。
TB:ミレニアル世代の立場になって考えてみましょう。つまり、数十年前の自分に戻らなければならないということです。だからどうする?誰が気にする?企業が私のことを全部知っているなんて?私は何も悪いことをしていない。彼らが私の行動をすべて知っているとか、私の家の地図を描いて、ホールフーズで買った野菜をカウンターに置いたことを掃除機が把握しているから把握できるとか、そんなことを私が気にする必要があるでしょうか?誰が気にするでしょうか?
アルベン: これはまさに実存的な哲学的議論と言えるでしょう。利便性の素晴らしさと、プライバシー、ひいては自由を失う危険性との間で、議論が交わされています。妥協点が必ずあるはずです。利便性をすべて求めてプライバシーをすべて手放す人はいません。ミレニアル世代、私が話を聞いたコミュニティカレッジの学生でさえ、プライバシーをすべて手放したいとは思っていません。実際、個人情報の盗難やストーカー被害に遭った際には、プライバシーを非常に気にします。ですから、こうしたデータをむやみに提供することで、個人情報の盗難など、望まない事態に対して、より脆弱な立場に置かれているという認識を持つ必要があります。
一方で、驚くほどの利便性もあります。AmazonのEcho Dot製品が大好きです。これを使えば「Jeopardy」をプレイでき、たまに勝つこともあります。この製品が我が家にやってくるまでは、このような利便性は考えられませんでした。もちろん、私は自覚を持ってこの製品を家に招き入れました。それでもなお、私は「Jeopardy」の回答がどのように使われるかをコントロールしたいのです。本当にそう思います。そして、このデータは、収集・分析する人にとって非常に興味深いものです。ですから、IoTの段階は、物理的な空間においてどのように自分自身を管理し、保護するかという課題を提示するでしょう。そして、IoTには非常に深刻な側面があります。それは医療機器です。糖尿病の管理やペースメーカーのために体内に埋め込まれる機器です。これらがインターネットに接続されたデバイスであれば、ハッキングされる可能性があります。そのため、これらのデバイスには、より高度なセキュリティ対策が必要です。
そして実際、現時点では規制は存在しません。私たちはデバイスを使っています。まるでアメリカで車の速度制限がなかったら車を運転していたようなものです。何億人もの人が車を運転しているのに、どの州にも速度制限がないなんて想像できますか?「そんなのおかしい。安全上の問題だから規制が必要だ」と言うでしょう。しかし、これは今私たちが直面しているモノのインターネット(IoT)の状況と似ています。何億人ものアメリカ人がIoTデバイスを使って、私たち自身に関するデータを収集しているのに、規制がないのです。これは非常に厄介な問題です。なぜなら、私たちはテクノロジーを活用したい、利便性を実現したい、これらのデバイスが私たちの生活にもたらすメリットを促進したい、そして同時にプライバシーについても適切なコントロールを確保したいと考えているからです。
TB:私たちはプライバシーの現状、そして多くの人が自分に関する巨大なプロフィールが作成されていることに気づいていないという事実について話してきました。オンライン世界から現実世界への移行が進んでいる今、この状況はますます深刻化していくように思われますが、同時に仮想現実や拡張現実も台頭しています。私たちの生活全体が本質的にデジタル化されつつあります。以前レイ・カーツワイルの講演を聞いたのですが、彼は大脳新皮質にナノボットが入り込み、私たちの体内にハイブリッドコンピューターが生まれると語っていました。では、10年後にはどのような姿になっているのでしょうか?
アルベン: 私は水晶玉を持っていませんが、1990年代に初期のウェブ企業の立ち上げに関わった私たちから、特にシアトル地域で過去10年間に経験したeコマースによるインターネットの成長に至るまで、私たちが目にしてきた変化の驚異的な速度について言及することしかできません。そして今、私たちは人工知能と機械学習という新たな領域に足を踏み入れようとしています。機械が私たちに代わって意思決定を行うようになるのではないかという懸念があります。機械が意思決定を行うには、確かに非常に現実的な理由があるでしょう。しかし、私たちはプライバシーや安全に影響を与えるような重大な意思決定を機械に任せたくはありません。
最近、非常に興味深い法的問題が浮上しました。それは、「機械は機械同士で契約を結ぶことができるのか?」というものです。人間であれば契約交渉は可能です。おそらく、もう一人の人間がいれば、合意に至るでしょう。しかし、ロボット2台が契約を結ぶことはできるのでしょうか?そして、裁判所はその契約が実際に拘束力のある契約であると判断するでしょうか?なぜなら、まさに今、サプライチェーンにおける主要な商取引プラットフォームや産業プラットフォームを運用しているコンピューティングの世界で、まさにそれが起こっているからです。人間がそのような高度な業務を遂行することは不可能でしょう。私としては、これは、個人情報がロボットによって取引され、ロボットの能力はおそらくその背後にいる人間に匹敵するのではないかという懸念を抱かせます。これはもはやSFの世界ではありません。何が取引可能で何が取引不可能なのかについて、何らかの原則を定める必要があると言わざるを得ない分野です。
ヨーロッパ諸国は私たちよりはるかに先を行っています。ヨーロッパ諸国は現在、一般データ保護規則(GDPR)と呼ばれる制度を導入しており、2018年5月に施行される予定です。これはプライバシーをはるかに尊重する制度であり、より同意に基づく制度です。そして、EU加盟国の市民のデータを規制することになります。そのため、ヨーロッパで事業を展開したり、そのデータを利用したりするアメリカ企業は、ヨーロッパの法律を遵守する必要があります。2つの異なる制度をどれだけ長く維持できるのか疑問です。なぜなら、Webベースのアプリケーションにとって、大西洋は架空のものだからです。どこかの結節点に過ぎません。課題は、企業がヨーロッパとアメリカの両方で事業を展開していく上で、どのように舵取りをしていくかということです。すべての事業について2つの帳簿を管理するのでしょうか?私には、それが可能かどうか分かりません。
TB:では、ヨーロッパの体制が標準になる可能性があるのでしょうか?
アルベン:私たちは欧州の体制に移行するだろうと考えています。これはアメリカの議員にとって良い政策になると思います。今は州政府職員という立場から話しますが、アメリカの議員が「消費者のデータがどのように利用されるかについて、消費者の同意を得られる世界の方がより良いのではないか」と発言するのは良い政策になると思います。プライバシーがより尊重されるだけでなく、消費者と企業の間にそのような信頼関係が築かれれば、より良い関係が築かれるからです。
TB:ということは、先ほどおっしゃっていた強制契約の話に戻りますか?今は、私たちは無意識のうちに暗黙的に同意しているようなものですが、この概念全体においては、自分の情報がどのように扱われているのか、そして何に同意したのかを完全に認識できるということですか?
アルベン: データの利用方法について、より多くの同意を得るという考え方です。荷物の配達など、サービスを受けてもらいたいからデータを渡すのであれば、それはそれで構いません。しかし、私が知らない方法でその情報を使うのであれば、それは問題です。企業であるあなたは、私に連絡を取り、その情報を使用する際に必ず私の同意を得る必要があります。これは難しい問題です。消費者に「同意しますか?」と繰り返し同意を求めるのは容易ではありません。私たちはこの領域を手探りで進めていく必要があります。ヨーロッパのサイトにアクセスした際に「Cookie を収集します。Cookie ポリシーに同意しますか?」と表示されるのを目にすることは既に何度かあります。正直なところ、私はそれが面倒だと感じています。「Cookie を設定してください。どうすればいいですか?サイトにアクセスしないだけです」と。しかし、長期的には、データの利用方法について人々に意味のある選択肢を与える方法を見つける必要がありますが、まだそこまでには至っていません。
TB:先ほどお話いただいたことの一つにプライバシー権利章典がありましたが、これも解決策の一つなのでしょうか?
アルベン:プライバシー権利章典はパズルのピースの一つだと思います。少し歴史をお話ししましょう。アメリカ合衆国にはプライバシー法がありません。アメリカ合衆国憲法にも「プライバシー」という言葉はなく、今日のデジタルプラットフォームや商取引を予見していたわけでもありません。憲法は、市民は政府による不当な捜索や押収から保護されるべきだと定めています。ですから、憲法自体は長年にわたり、私たちに多くの指針を与えていません。立法者は特定の種類の情報に関して、非常に限定的な規則を定めてきました。医療情報を保護するHIPPA(医療情報プライバシー保護法)や、学生の記録を保護するFERPA(連邦個人情報保護法)があります。議会が介入し、法律の中にプライバシーのサイロ化を作り出してきましたが、アメリカには包括的なプライバシー法がありません。これが問題を引き起こします。新しい技術が導入されると、議会や州議会はそれらの技術に追いつくことができず、問題が発生するでしょう。そして、私たちには包括的なプライバシー原則がないのです。
私のアイデアは、決して独創的なものではありません。しかし、一つは、人々が全面的に保護されると分かるプライバシー権利章典を作成することです。これはオバマ政権下で検討されましたが、議会では全く支持されず、棚上げになってしまいました。私は、州がこの分野でより積極的に取り組む必要があるという考え方に傾きつつあります。州がプライバシーを規制したり促進したりしてはいけないという規定はありません。実際、ワシントン州憲法にはプライバシー条項があります。1889年にこの憲法を起草した際、州の創設者たちはプライバシーについて真剣に考えていました。彼らは電信という新しい技術を念頭に置いて考えていたと思いますが、それは素晴らしいことです。私たちの書類にはプライバシーという言葉が使われており、それはもっと多くの意味を持つように更新される可能性があります。州が法律改正の原動力となることは不適切ではありません。特に連邦政府が行動を起こさず、州議会や州知事の中に人々のために正しいことをしたい、プライバシー権の保護のためのより良い環境を作りたいと考えている人々がいる場合はなおさらです。
TB:全体像についてですが、この件について皆さんに伝えたいことは何でしょうか?プライバシーについて何を知っておくべきでしょうか?何をすべきでしょうか?最後に、ここにいる皆さんに伝えたいメッセージは何でしょうか?
アルベン:私のメッセージは、企業世界と政府世界の両方で、私たちのデータがどのように利用されているかに目を向ける必要があるということです。国家安全保障局(NSA)がすべてのアメリカ国民のすべてのメールと通話のメタデータを監視していたことが発覚し、人々は激怒しました。これは明らかに愛国者法の限界を超えています。人々が憤慨するのは当然のことでした。議会が国家監視の仕組みを実際に縮小するまでに約15年かかり、いまだに完全には至っていません。私たち自身が公開するデータについても、同様のアプローチを取り、自らの情報を漏洩することに注意する必要があります。特に、生体認証IDとIoTの世界に生きている今こそ、なおさらです。生体認証IDはあなたに固有のものです。ですから、それを公開して悪意のある者の手に渡ってしまったら…その結果を制御するのは非常に困難です。ですから、私たちはプライバシーに関して危険な環境に生きているのです。私は「希望を捨てろ」と言うつもりはありません。プライバシーを促進するために、私たちが実行できる健全な政策があると考えています。しかし、国民と国家、そして企業の間に協力関係が築かれる必要があります。
