サードパーティーがユーザーデータを知らぬ間に収集する副次的監視の時代を終わらせよう
今回は「サードパーティーがユーザーデータを知らぬ間に収集する副次的監視の時代を終わらせよう」についてご紹介します。
関連ワード (コラム、プライバシー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
我々消費者は、自分たちが使いたいサービスやソリューションにアクセスする際、Google(グーグル)、Facebook(フェイスブック)、Twitter(ツイッター)などの企業に個人データを提供することを気にしないものだ。しかし多くの人は、水面下でこうした企業がデータ収集をビジネスモデルに統合し、データ収集監視組織として機能していることを理解していない。
ユーザーには認識されていないが、多くの企業はサードパーティーが自社のウェブサイトに埋め込みコードを設置することを許可しており、そのコードはユーザーの行動を捕捉し、収集または販売するために利用されている。ZohoのチーフエバンジェリストであるRaju Vegesna(ラジュ・ヴェジェスナ)氏が指摘するこの「副次的な監視」は、ユーザーや投資家をはじめ、ビジネスリーダーたちからの抵抗を受けずに一般的な慣行となってきた。
こうした監視の振り子が大きく揺れすぎていることは、思慮深い人の間で重大視されてきている。つまり企業が何の規制もなくユーザーデータ収集や共有を行うことへの懸念だ。実際、副次的監視に対する規制が厳しくなってきており、EUのGDPR、カリフォルニアのCCPA、ニューヨークのSHIELD法、ブラジルのLGPDなどのデータプライバシーに関する法律がここ数年で次々と制定された。
政府の規制強化と社会意識の高まりを受けて、企業のリーダーたちはこの問題に目を向け始めている。しかし、政治家や規制当局の動きに頼るだけでは不十分だ。また法律用語や細かい文字で埋め尽くされた通知文書を根拠として法を遵守しているとしても、それでは十分とはいえない。この種のマキャベリ的な手法は形式的には正当かもしれないが、道徳的ではない。
テック業界のリーダーたちにとって、プライバシーに関する誓約を正式かつ明白に遵守する立場を示す時期にきているだろう。
企業がユーザーデータをサードパーティーの広告主に販売することで事業を成り立たせている場合、データがどのようなことに使用されるのかをユーザーに知らせることが重要だ。場合によってはそうした情報をユーザーに開示しないことが法的に認められる可能性はあるが、これは適切ではない。
1996年の創業以来、ManageEngine(当時はZohoとしてビジネスを行っていた)は自社のウェブサイトや製品にサードパーティーの広告を掲載することを拒否してきた。すべての副次的な監視を阻止するため、サードパーティーの追跡コードを自社サイト内に埋め込むことを一切許可していない。ソーシャルメディアのシェアボタンは無害に見えるかもしれないが、本質的にトロイの木馬として機能し得るため、同様に排除されるべきであろう。
もし企業がそうした活動に財政的に依存しているのであれば、透明性を保つ必要がある。たとえばGoogleを例にとると、Gmailを使うことに問題はないとほとんどの人が認識しているが、それは検索大手にデータを提供するだけの価値をユーザーが見い出しているからだ。しかし、Googleがユーザーデータを利用してクレジットカード会社やヘルスケア会社との提携を密かに結んでいるとすれば、話はまったく別だ。
Googleは2018年に医療団体Ascensionと提携し、Ascensionの患者には知らされていなかったデータ共有プロジェクト「Project Nightingale」を開始した。その後の調査で、Googleは実用面でHIPAAやその他の法律に違反していないことが判明したが、このスクープがなければ一般の人々はこの計画について知ることすらなかっただろう。また、この種の非公式な健康データのパートナーシップは他にも広く行われている可能性が高い。
もう1つの例として、GoogleはMastercard(マスターカード)と秘密裏に提携し、Amazon(アマゾン)と競合して消費者小売支出データを収集していた。この秘密の提携関係が露呈した際、両社は顧客の個人情報を一切共有していないと主張した。Googleによると、ユーザーデータを統合し匿名化した形で保護するダブルブラインド式暗号化技術を利用したという。両社はユーザーの個人情報はすべて「身元が特定されていない」と繰り返し主張したものの、MastercardやGoogleのユーザーにこの契約が公表されたことは一度もなかった。おそらくこのMastercardとの提携はGoogleにとって単発のものではないだろう。GoogleはAdWordsのブログ(現在はGoogle広告コミュニティに統合)を通じて、クレジットカードとデビットカード所有者の情報のうち70%にアクセスがあることを言明している。
この話の教訓は何であろうか。Googleのようであってはならないということだ。
企業がパブリックネットワーク経由でユーザーデータを送信する場合、必ずすべてのサーバー接続で強力な暗号化を使用する必要がある。ハイパーテキスト転送プロトコルセキュア(HTTPS)およびトランスポート層セキュリティ(TLS)プロトコルに従ってウェブブラウザ、企業のサーバー、およびすべてのサードパーティー製サーバー間に常に安全な接続があることを確実にする。TLSプロトコルは両者の認証を可能にするだけでなく、データを暗号化し、第三者がデータ転送プロセスを盗聴または妨害することを防ぐ。
経済的に実現可能であれば、企業は自社のデータセンターに顧客データを保存するか、データセンター内のサーバーを所有するべきである。サードパーティーのデータセンターやパブリッククラウドに依存しないことで、データプライバシーイニシアティブを強化できるだけでなく、時間の経過とともにコストも削減できる可能性がある。さらに、ユーザーデータを保護するために努力している企業を評価するユーザーが増えてくれば、企業にとってもメリットがある。
ManageEngineはプライベート企業であるため外部の株主に依存することはなく、経営者は財務的な視点ではなく理念的な視点で物事を見ることができる。創業当初からユーザーのプライバシーを重視する姿勢を貫いているが、現在の監視環境は組織内でかなりの反発を招いている。確かに同社はプライバシーに関するこのような強硬路線を取ることで、多少のビジネスチャンスを逃しているかもしれない。
しかし、ヴェジェスナ氏は次のように問いかけるという。「企業が金銭的に成功しても、道徳的に破綻した場合、価値はあるでしょうか」。
【Japan編集部】著者のVijay Sundaram(ヴィジェイ・スンダラム)氏は、ManageEngineの親会社であるZoho Corporation(ゾーホー)のCTO(最高戦略責任者)。企業戦略および執行からチャネル管理、事業開発、企業販売に至るまで、複数の領域を指揮/担当している。
関連記事
・アップルのクックCEOが他社のスクリーンタイムアプリを排除した理由を米独禁法公聴会で弁明
・GoogleがMastercardとパートナーしてユーザーのオフラインの買い物を追跡する
・米上院議員クロブシャー氏がAmazonのフィットネストラッカーHaloについてプライバシー面の懸念を表明
画像クレジット:r. nial bradshaw / Flickr under a CC BY 2.0 license.
【原文】
As consumers, most of us don’t mind providing companies like Google, Facebook and Twitter with our personal data, as long as we get access to the services and solutions we want to use. However, many people don’t realize that these companies function as data-collecting surveillance organizations, integrating data collection into their business models in clandestine ways.
Unbeknownst to users, many companies allow third parties to place embed codes on their websites, capturing user behavior to either harvest or sell to other parties. This practice of “adjunct surveillance,” as Zoho Chief Evangelist Raju Vegesna describes it, has become common practice given a lack of resistance from users, investors and other business leaders.
To anyone paying attention, it has become painfully evident that the surveillance pendulum has swung too far. Companies are collecting and sharing user data with impunity. In fact, adjunct surveillance has become so egregious that a wave of data privacy laws has sprung up in recent years: the EU’s GDPR, California’s CCPA, New York’s SHIELD Act and Brazil’s LGPD, among others.
It’s time for tech leaders to take a stand by formally, and visibly, taking a privacy pledge.
Due to increased government regulation and public awareness, business leaders are starting to see the writing on the wall. However, it’s not enough to rely on lawmakers and regulators’ activity. It is also not enough to be legally compliant, burying the notices in legalese or fine print. Such Machiavellian maneuvers may technically be legal, but they’re certainly not moral.
It’s time for tech leaders to take a stand by formally, and visibly, taking a privacy pledge.
Don’t let advertising companies track your users without their knowledge
Even if your business depends upon selling user data to third-party advertisers, it is vital that you inform your users about what you’re doing with their data. In some cases, it very well may be legal to withhold such information from users; however, that doesn’t make it right.
Since its inception in 1996, ManageEngine — then doing business as Zoho — has refused to allow any third-party advertisements on any of its websites or products. In an effort to block all adjunct surveillance, they don’t allow the embedding of any third-party tracking codes anywhere on their sites. Although social media share buttons may seem innocuous, they should be removed as well, as the buttons can essentially function as Trojan horses.
Inform your customers about any third-party integrations that may track their data
If your enterprise is financially reliant on such activity, it needs to be transparent about it. Take Google as an example: Many of us don’t have a problem using Gmail because we value the service enough to provide the search behemoth with our data. However, when Google leverages our user data to enter into partnerships with credit card and healthcare companies on the sly, that is a different story entirely.
Google partnered with Ascension hospitals back in 2018 on “Project Nightingale,” a data-sharing initiative that was not revealed to Ascension patients. Although subsequent investigations found that Google had not technically violated HIPAA, or any other laws for that matter, it is likely that the public wouldn’t even know about this initiative had it not been for this scoop. Also, it’s highly unlikely that this type of surreptitious health data partnership is an anomaly.
As another example, Google also secretly partnered with Mastercard in an effort to compete with Amazon and capture consumer retail spending data. After an exposé revealed the clandestine partnership, both companies claimed that they didn’t have any personally identifiable information for any customers. According to Google, they utilized double-blind encryption technology that protected all user data, which had been aggregated and anonymized. Despite this frequently made argument that all the users’ personal data had been “de-identified,” at no point were Mastercard or Google users made privy of the deal. In all likelihood, this Mastercard partnership is not a one-off for Google. Through an AdWords blog, Google claims to have access to 70% of all credit and debit card users’ activity.
The moral of the story? Don’t be like Google.
Use encryption tools to protect customer data transmitted over public networks
If your business sends user data over public networks, ensure all server connections use encryption with strong ciphers. Follow the hypertext transfer protocol secure (HTTPS) and the transport layer security (TLS) protocols to ensure there is always a secure connection between web browsers, your corporate server and all third-party servers. Not only does the TLS protocol allow both parties to be authenticated, but it also encrypts the data, ensuring that no third parties can eavesdrop or otherwise interfere with the data transfer process.
Consider investing in internal data centers
If economically feasible, companies should store customer data in self-owned data centers, or own the servers inside these data centers. By not relying on third-party data centers and public cloud offerings, not only will you bolster your data privacy initiatives, but you’ll also likely save money over time. Additionally, your company will benefit as more and more users begin to value companies that go out of their way to protect user data.
As a private company, ManageEngine has never been beholden to external shareholders, which has allowed executives to look at things through a philosophical lens as opposed to a financial lens. From the outset, they’ve always placed a premium on user privacy, which is why the current surveillance landscape has garnered such ire within their organization. To be sure, they’ve left some money on the table by taking such a hard line on privacy.
However, as Vegesna frequently asks, “What’s the point of being financially profitable if your business is morally bankrupt?”
(翻訳:Dragonfly)
コラムニュース – エキサイトニュース
生活に役立つ雑学、ライフスタイル情報、ライフハック術、話のネタになるコラムや旅行や女性向けコラムを展開しています。また、チョベリーやスマダンといったエキサイトニュースオリジナルコラムも人気です。
コラム – 産経ニュース
産経新聞社のニュースサイト。コラムの一覧ページです。 世界に言語が一つしかなかった頃の話という。人々は広い平野に街を造り、巨大な塔の …
コラムとは – コトバンク
ブリタニカ国際大百科事典 小項目事典 – コラムの用語解説 – [生]1881.12.8. ロングフォード[没]1972.1.11. コネティカット,エンフィールドアイルランドの劇作家,詩人。国民劇場創立者の一人で『アイリッシュ・レビュー』 Irish Reviewの創刊者。『破れた土地』 Broken Soil (1903) ほか数編の戯曲,全…
コラム – Wikipedia
コラム ( 英語: column ) 原義は 円柱 のこと。. 円柱形、円筒形または柱状のもの一般を指す。. 分野によって カラム とも表記する。. 新聞 ・報道 雑誌 ・ニュースサイトなどに掲載される、 ニュース 以外の記事。. つまり、個人的な分析・意見が含まれている記事で、 評論 や エッセイ の他、 人生相談 コーナーや「オススメ 」などといったものも含まれる。. コラムの …
コラム | 女性自身
光文社発行 “NO.1国民的週刊誌”女性自身PCサイト。全国の女性の「見たい・知りたい」に応えていきます
「コラム」の記事一覧 | PRESIDENT Online(プレジデント …
「コラム」の記事一覧ページです。PRESIDENT Online(プレジデントオンライン)は、ビジネス誌「プレジデント」を発行するプレジデント社が運営する総合情報サイトです。みなさまのビジネス人生をより豊かなものにするために必要な情報をタイムリーにお届けし、職場の悩みを解決し、理想的な働き方を実現するヒントを提示してまいります。24時間、365日、仕事の道具箱としてご活用いただけます。
社説・コラム:東京新聞 TOKYO Web
社説・コラム 社説 社説の一覧 バイデン政権発足 米国の再建がかかる 前任者による破壊で荒れ果てた米国を再建する−。これがバイデン新 …
47コラムの最新ニュース | 47NEWS(よんななニュース):47 …
47コラムの最新ニュース覧です。全国47都道府県・52参加新聞社と共同通信の内外ニュース。地方創生・写真・動画。地域の文化や活力を発信。野球、サッカー、ゴルフなどスポーツも地域密着から五輪まで。新商品・技術、観光、B級グルメ、映画、音楽、新刊、心和む記事コーナーなど
余録 – 毎日新聞
毎日新聞朝刊1面の看板コラム「余録」。 で段落を区切り、日々の出来事・ニュースを多彩に切り取ります。毎日新聞朝刊1面の看板コラム「余録
コラム | 働き方改革ラボ
在宅勤務ができる業務は増えていますが、行政手続きに関する業務はいまだ担当者が出社して対応することが多いのが現状です。 ニューノーマルな働き方を実現する、行政手続きの電子化のメリットや導入の進め方についてご紹介します。
プライバシーとは – コトバンク
ブリタニカ国際大百科事典 小項目事典 – プライバシーの用語解説 – 必ずしも内容的に確定した概念ではなく,広義においては人間の人格的自律を内実とするいわば一般的自由の意味で使用されるが,狭義においてはデータ・バンク社会の提起する問題とも関連づけて,自己に関する情報の流れをコントロールする権利…
privacy(プライバシー)の意味 – goo国語辞書
privacy(プライバシー)とは。意味や解説、類語。個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。「プライバシーを守る」「プライバシーが侵される」 – goo国語辞書は30万3千件語以上を収録。政治・経済・医学・ITなど、最新用語の追加も定期的に行っています。
1-3.「個人情報」と「プライバシー」の違い|消費者の皆さまへ …
1-3.「個人情報」と「プライバシー」の違い|プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。
プライバシー情報の取扱い|基本的な対策|一般利用者の対策 …
· プライバシー情報の取扱い プライバシーとは、一般に、“他人の干渉を許さない、各個人の私生活上の自由”をいうと考えられています。いいかえると自分が他人に知られたくない情報のことで、インターネットにおいても、個人のプライバシーは保護されなければなりません。
プライバシーマーク制度|一般財団法人日本情報経済社会推進 …
プライバシーマーク制度|プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。
「プライバシー」とは?意味や使い方を解説! | 意味解説
「プライバシー」という言葉をご存知でしょうか。聞いたことはあっても意味がわからない人が多いと思うので、この記事では「プライバシー」について解説します。
プライバシー・個人情報保護の現状と課題 – Ministry of …
プライバシー・個人情報保護の現状と課題 慶應義塾大学総合政策学部 准教授新保史生 資料1 「『宴のあと』事件」判決(東京地判昭和39年9月28日判時385号12頁)
【プライバシー権のまとめ|判例の基準|定義の発展】 | IT …
1 プライバシー権が認められるに至った歴史 2 プライバシー侵害の基準 3 『公的事項』『有名人』はプライバシー侵害が『適法』となる傾向あり 4 『プライバシー情報』は公表を望まない広範な事項|具体例 5 プライバシー権の拡大傾向|自己情報コントロール権 6 積極的プライバシー権→個人情報保護法として成文化された 7 新しい構成|忘れられる権利・削除権|概要 8 プライバシー権・『個人情報保護』の『過剰反応問題』 1 プライバシー権が認められるに至った歴史
プライバシーの権利とは – コトバンク
日本大百科全書(ニッポニカ) – プライバシーの権利の用語解説 – 伝統的な意味では、「一人で放っておいてもらう権利」right to be let alone、つまり、人がその私生活や私事をみだりに他人の目にさらされない権利をいう。たとえば、家庭の内情や個人の会話を公開されたり、私室をのぞきこまれたり、過去の経…
セキュリティとは – IT用語辞典 e-Words
セキュリティ【security】とは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。
情報セキュリティって何?|はじめに|国民のための情報 …
· 情報セキュリティという言葉は、一般的には、情報の機密性、完全性、可用性を確保することと定義されています。
IPA 独立行政法人 情報処理推進機構:情報セキュリティ
· 「情報セキュリティ対策ベンチマーク」、「セミナーサポートシステム」 【停止期間】2021年1月27日(水)8:00 ~ 24:0 ※作業状況により、停止時間を延長する場合があります。 テレワークを行う際のセキュリティ上の注意事項 Web会議 …
セキュリティ : 富士通 – Fujitsu
富士通の「セキュリティ」は、企業が取り組むべき、情報漏洩、不正アクセス、ウイルス、メール、電子認証などのセキュリティ対策を行います。
セキュリティソフトの比較 2021 – the比較
セキュリティソフトの比較ページ。2021年版のセキュリティソフトについて、ウイルス検出率、軽さや、流行りのランサムウェア保護精度、価格を比較。目的別のおすすめやクーポン情報もあり
無料セキュリティソフト – フリーソフト100
無料セキュリティソフト 有料セキュリティソフト 概要 ソフト名 KINGSOFT Internet Security アバスト 無料アンチウイルス AVG AntiVirus FREE Avira Free Antivirus Bitdefender Antivirus Free ノートン 360 マカフィー リブセーフ ESET ソフト
ZEROウイルスセキュリティ – セキュリティソフト(ウイルス対策 …
「ZEROウイルスセキュリティ」は、1台用1,980円のウイルス対策ソフトです。しかも更新料0円。1台に1度入れたら、その端末が使える限り、期限切れにならずに使えます。2003年の発売以来、一貫して「安い、軽い、ラク」を追求し、のべエントリー数は1000万人を突破しています。
セキュリティ – ITmedia NEWS
ITの普及によって便利になる生活。その光の一方、セキュリティの重要性も増しています。今すべきセキュリティとは何なのでしょうか――。
セキュリティ、個人情報の最新ニュース:Security NEXT
· セキュリティや個人情報関連のニュースを配信。情報漏洩や不正アクセス事件、脆弱性情報、製品など。小規模向けに提供されている複数のCisco …
