パブリックWi-Fiに接続する際に、子供かペットを差し出せと言われて同意する人はいないだろう。ところが、ロンドンで同意する人が続出したのだ。

セキュリティ会社のF-Secureの依頼でCSRI (Cyber Security Research Institute)とSySSがパブリックWi-Fiのリスクに関する調査を行った。結果は「Tainted Love — How Wi-Fi Betrays Us」というレポートにまとめて公開されている。リサーチャー達はロンドンのカナダ・スクエアでパブリックWi-Fiに対する人々の意識を確かめる実験を行い、その1つとして以下のような一節を含むサービス利用規約への同意を求めた。

第一子:サービスの利用に際し、F-Secureの要求に従って第一子をF-Secureに手放すことに同意する。子供を持たない場合は、最愛のペットで代替する。この合意条件は無期限で有効。

ヘロデ大王のエピソードから名付けたのだろう。リサーチャー達は、このテストを「ヘロデ条項(Herod clause)実験」と呼んでいる。結果は、瞬く間に6人が「同意」ボタンを押して、F-Secureに子供を差し出した。

F-SecureのレポートはパブリックWi-Fiの利用に関するもので、身元不明なパブリックWi-Fiサービスを避ければ、こうした詐欺的な利用規約には引っかからないということになる。ただ、このレポートを読んで、筆者が考えさせられたのは、利用者が利用規約に目を通さず、簡単に「同意」ボタンを押したこと。

これはパブリックWi-Fiに限った問題ではなく、「同意」ボタンを押した人たちを笑うことはできない。筆者だってついこの間、iOSデバイスをiOS 8にアップデートした際に、早く使ってみたい一心で利用規約を1文字も読まずに反射的に「同意」をタップした。

3年前に話題になったプライバシーアイコン、今は……

利用規約で大事なのはユーザーの権利、特にインターネットではプライバシーが重要である。それはわかっているけど、それならなぜ読まないんだと言われても、簡単に読めるような長さじゃない。カーネギーメロン大学の研究者が2008年に発表した「The Cost of Reading Privacy Policies」によると、典型的なプライバシーポリシーは2000単語から4000単語の長さで、最も多いのは2500単語前後。1分250単語のスピードで読んでも10分かかるうえ、多くの利用規約は文章が難解だ。

何か深刻な問題のある利用規約なら「誰かが指摘して、後で改善されるだろう」といった他人任せで、読まずに同意してしまう。前述したように、使いたい一心で「同意しない=使わない」を選びたくない気持ちもある。それが習慣化し、次第に"読まずに同意"が当たり前になっている。筆者の場合、今や規約をしっかりと確認するのは、ソフトウェアのライセンスでインストールできる台数を確認する時ぐらいだ。

もちろん読まずに同意するのは、読まないほうの怠慢なのだが、なんだかスッキリしないのは、例えばスポーツのルールブックだって隅々まで読み込んでいる人はいないし、読んだことがないという人も多い。でも、ルールのポイントが理解され、ちゃんと共有されているからサッカーや野球などの人気スポーツが広く一般的に成立している。

利用規約の多くはポイントすら利用者に伝わっていないのに同意だけを得ている。じっくりと読まれてあれこれと指摘されるのを避けるために、わざと長く難解にしているんじゃないかと疑いたくなるほどで、だからヘロデ条項実験の結果のようなことが起きる。約束事として成立していても、規約のあるべき形として機能しているかは議論の余地が残る。

F-Secureのレポートを読んで、Terms of Service; Didn't Read (ToS;DR)を思い出して久しぶりにアクセスしてみた。ToS;DRは利用規約を分析し、ユーザーが知っておくべきポイントをまとめ、そしてA~Eの5段階(Aがユーザーにとって好ましい)で評価している。

例えば、YouTubeの利用規約は「通知なしでユーザーのコンテンツを削除する」「ユーザーが削除したコンテンツの保持」などに同意させるため、評価は「D」だ。利用規約を読まなくても、ひと目でユーザーにとってのポイントがわかるので、2年前に公開された時は話題になった。しかし、残念なことに、それから分析が進んでいないようで、2年前に評価中だった利用規約が、そのまま今も残っていた。

ユーザーの視点から利用規約の内容を5段階評価する「ToS;DR」

Aza Raskin氏がMozilla時代に提案したプライバシーアイコン(Privacy Icons)というものもあった。これは、オンラインサービスで個人データがどのように扱われるかを、普通の人が簡単に理解できるようにするためのアイコンである。クリエイティブ・コモンズのライセンス表記に似ている。

こちらはプライバシー保護のためのツールを提供するDisconnectが、よりわかりやすく、実用的に進化させている。Disconnectの拡張機能をブラウザにインストールすると、Webサイトのプライバシーポリシーのポイントをワンクリックで確認できるので便利だ。

Aza Raskin氏のプライバシーアイコン

表示しているページのプライバシーポリシーをアイコン表示するDisconnectの拡張機能

また、利用しているオンラインサービスの利用規約の変更履歴を知りたければ、EFF(電子フロンティア財団)とInternet Society、ToS;DRのコラボレーションによるTOSBack(ベータ)を利用すると変更個所を確認できる。

横に並べて利用規約の変更前と変更後を確認できるTOSBack

ユーザーが情報収集に努めれば、利用規約を精読しなくても、今は主要なオンラインサービスの利用規約の内容やプライバシーポリシーを簡単に把握することが可能だ。2年前よりも着実に前進している。だが、多くの普通のネットユーザーにとっては今もわかりにくいままで、本来のあるべき利用規約への同意の実現にはまだまだ遠い。また、Webサービスに比べてソフトウェアの利用規約をわかりやすくする試みの前進は鈍い。

今や、ユーザーのプライバシー保護優先を主張する企業やサービスは珍しくない。しかし、利用規約の上にプライバシーアイコンを表記するなど、プライバシーポリシーのポイントを誰でも把握できるようにしている企業やサービスは稀である。これは矛盾であり、ヘロデ条項実験が話題になったのをきっかけに、プライバシーアイコンが提案された時のような議論が再び活発になってほしいと思う。