1月28日の「データプライバシーの日」、Appleがデータ追跡に関するレポートを公開し、次のiOS/iPad OSのベータ版に「App Tracking Transparency」(アプリケーションのトラッキング申告)を組み込むことを明らかにしました。その取り組みにGoogleは賛同する一方、Facebookは批判を強めています。

匿名でも安心できない、知るとゾッとするデータ追跡

デジタルプライバシーについて考える「データプライバシーの日」と定められた1月28日、世界中でオンライン上の個人情報を守る重要性を人々に喚起するさまざまな取り組みが行われました。このイベントに関わり続けているAppleは今年、データ追跡に関するレポート「A Day in the Life of Your Data」を公開、iOS 14/iPadOS 14の次のベータ版に「App Tracking Transparency」(以下、ATT)を組み込む計画を明らかにしました。後述しますが、ATTは脱cookieに匹敵するぐらい大きな影響をデジタル広告にもたらすとみられています。

新しいアプリをインストールした際に、ロケーションの許可を求められることがあります。天気関連のアプリなら、位置情報へのアクセスを許可すると、自動的に今いる場所の天気をアプリが表示してくれるようになります。アプリを便利に使うためにロケーションの許可は必須といえるでしょう。でも、そのデータが許可したアプリの機能やサービス以外に、データブローカーを介してターゲティング広告のために他のアプリやWebサイトとも共有されているとしたら、「話が違う」と思いませんか?

  • 左の「Accuweather」は、他のアプリやWebサイトと共有するように位置情報を追跡、右の「Dark Sky」はアプリの天気情報のためだけに位置情報を使っています。アプリによって位置情報の使われ方が異なりますが、違いに気づかずに使用しているユーザーは少なくありません

下の画像は、2019年に米国で大きな話題になったNew York Timesの「Twelve Million Phones, One Dataset, Zero Privacy」から。ホワイトハウスとその周辺のスマートフォンユーザーのロケーションです。

  • New York Timesのプライバシープロジェクトによる「Twelve Million Phones, One Dataset, Zero Privacy」。米国の主要都市における1200万台以上の端末、500億を超えるロケーションピンから、データトラッキングをジャーナリストがリサーチしました

個人情報どころか機密情報に関わる場所なのに、人の動きが露わです。モバイル機器から位置データが共有される際には、個々のデバイスが特定されないように匿名化されます。だから、データ追跡に使われても匿名の消費者アンケートぐらいのものと思うかもしれません。しかし、New York Timesは「確かに、位置情報は名前や電子メールアドレスのような特定可能な情報を含まない何十億ものデータポイントでしかありません。でも、それは子どもだましで、マップ上に表示される点は容易に実名に結びつけられます」と指摘しています。

「Twelve Million Phones, One Dataset, Zero Privacy」のようなレポートや、IABの「The Socioeconomic Impact of Internet Tracking」のような論文などを通じて、近年人々のプライバシー意識が高まっています。Appleの「A Day in the Life of Your Data」(PDFファイル)は、ジョンが7歳の娘エマと遊びに行く計画を立て、車で公園に行き、アイスクリームを買うという日常のストーリーを例に、個人の行動が追跡され、データが利用される可能性を分かりやすく解説しています。数々のレポートや論文をベースに、モバイル機器ユーザーがより自分の体験としてデータプライバシーの問題を考えられるように説明していて、ひと通り読むと注意すべき点や効果的な対策などプライバシー設定の勘所が分かります。ただ、残念ながら公開時点で日本語版がなく、日本語版のリリースを期待したいところです。

  • Appleの「A Day in the Life of Your Data」から。公園までの移動中に、子どもは車の中でゲーム。子ども向けのアプリでも、20%近くが保護者の同意なく個人情報を共有しているという調査結果があります

「アプリのトラッキング申告」もうすぐ提供開始、Googleが対応表明

ATTは、昨年6月のWWDC 2020でプライバシーラベル(食品成分ラベルのようにアプリのプライバシー関連のデータを表示:2020年12月に提供開始)とともに発表されたiOSアプリ向けのプライバシー機能です。アプリが、Apple以外のアプリやサービスにわたってユーザーデータを追跡する場合、事前にデータ追跡の許可をユーザーから得るように義務づけます。

具体的には、ユーザーがデータ追跡を拒否すると、アプリが「IDFA」というデータ追跡用の端末識別子にアクセスできなくなります。IDFAは、Webブラウザーにおけるcookieのような役割で、広告ターゲティングに利用されています。これまで、iPhoneなどでIDFAへのアクセスを拒否するには、ユーザーによる設定が必要でした。アプリが追跡し始める前に、必ずユーザーの同意を求めるようになることで「拒否」が急増すると見込まれています。Facebookによると、データによってパーソナライズされた広告がなければ、広告によるWebサイトの売上が60%以上減少する可能性があるそうです。

  • 「App Tracking Transparency」(アプリケーションのトラッキング申告)は、 iOS 14、iPadOS 14、tvOS 14に組み込まれて今年春に登場する予定です

ユーザー視点で見ると、プライバシーラベルとATTによって、これまで分かりにくかったデータ追跡の状況が透明化されます。冒頭の例のように、天気関連のアプリを使っていていつの間にかロケーションのデータを追跡されるようなケースが格段に減る、と期待されています。

ATTは2021年初めに提供開始の予定だったので、次のベータへの実装の発表は従来の計画通りといえますが、大きなニュースが1つありました。ATTの影響を最も受ける企業の1つであるGoogleが、プライバシー重視と透明性の観点からAppleに同意。App Storeで配信するアプリでは、GoogleがAppleのガイドラインに従うと公表しました。データ追跡の許可/拒否の確認を表示すると、多くのユーザーが「拒否」を選ぶと考えられるため、ATTが始まったらGoogleはIDFAを使用しないそうです。

では、IDFAを用いずにどのように広告ターゲティングを行うかというと、Appleは「SKAdNetwork」というモバイル・インストールアトリビューションの通知を受けられるAPIを用意しています。Googleは、Google Mobile Ads SDKのバージョン7.64にSKAdNetworkのサポートを追加しました。ただし、SKAdNetworkはプライバシー保護を徹底している一方で、マーケティングツールとしては限定的であり、開発者やビジネスのニーズを満たす向上をGoogleはAppleに求め、パートナーとともにフィードバックを準備しているそうです。

Googleとは対照的にFacebookは、AppleがApp Storeにおける独占的な力を濫用し、広告効果に頼る中小ビジネスに大きな損失をもたらそうとしていると批判の声を強めています。New York Timesなどによると、反トラスト法(独占禁止法)違反での提訴を視野に入れているそうで、そうなるとEpic Gamesの「Fortniteの乱」のようにこじれる可能性も。Googleも、iOSではAppleのガイドラインに従うものの、Androidにおける広告識別の扱いについては不明です。

  • Facebookは昨年12月、AppleのATTを批判する意見広告をWall Street JournalやNew York Timesなどに掲載

プライバシー問題に関して、Appleが強い抵抗勢力と対峙している状況は変わりません。ただ、これまでとの大きな違いは、個人の情報を吸い込んで急成長してきた巨大ITプラットフォームに対する人々の不信感や嫌悪感の高まりです。それを後押しに昨年、米当局が反トラスト法違反でFacebookとGoogleの提訴に踏み切りました。そうした変化はプライバシー問題にも及んでいます。

1月28日に、Appleのティム・クックCEOが、プライバシーやデータ保護をテーマにしたカンファレンス「CPDP 2021」でスピーチし、その中で人々のデータをターゲット広告に利用し、現実において分断、誤情報の拡散、信頼の喪失、暴力といった結果を生み出しているビジネスモデルを強く批判しました。

「人々を誤解させたり、データを搾取したり、まったく選択の余地のない選択の上に成り立っているビジネスだとしたら、それは称賛に値しません。変革すべきです」。選挙とフェイクニュースの問題が米大統領選を混乱させましたが、今COVID-19ワクチンのリスクを煽るような情報の増加が問題化しています。それが根拠のある情報ならともかく、社会不安を煽って拡散を助長するだけの情報は現実の危険を拡大します。「ソーシャルジレンマがソーシャルカタストロフィ(破滅)になるのを容認することはできません」とクック氏。

  • CPDP 2021で、Appleがオンライン広告におけるユーザーの選択と信頼の向上をテーマにしたセッションを実施、ティム・クックCEOがイントロダクトリースピーチを行いました

最後に、以下は2010年にD8カンファレンスで、スティーブ・ジョブズ氏がクラウドサービスとプライバシーについて語ったことです。

「プライバシーとは、人々が何にサインアップしているのか理解していることだと考えています。そのためには、分かりやすい英語で説明する必要があります。私は楽観主義者ですので、人々は賢明であると信じていますが、他の人よりも多くのデータを共有したいと考えている人たちがいるのも事実です。だから、私たちはしつこく毎回尋ねます。聞かれることに疲れて『もう十分だ、やめてくれ』と言われるまで、その個人データを何に利用しようとしているのか、しつこいほど確認します」

当時、ジョブズ氏はAppleのプライバシー保護のアプローチを「オールドファッションかもしれないが…」としていましたが、それはAppleのプライバシーの取り組みの基本姿勢であり続け、人々のプライバシー意識が高まる今、デジタルプライバシーのスタンダードになろうとしています。