このストーリーは、未来の最前線からのビジネスレポートであるQuartzとの新しい最高イノベーション責任者予測シリーズの一部です。
連邦法がプライバシーを保護するかどうかについては、広く誤解されている。少なくとも明示的には、保護されていない。議会は、インターネットのデータ問題に関する10年分の超党派合意を無駄にしてしまった。法整備が進まない中、最近、ある規制当局のグループがその空白を埋めるために介入した。それは、連邦取引委員会(FTC)と名乗る、政府の無能な集団だ。
過去1年間、FTCはプライバシーに関連するわずかな法律を拾い上げ、ビッグデータの最大の脅威に対処するための手段として再パッケージ化しました。革新的な法的議論と画期的な和解を通じて、FTCはインターネットのルールを書き換えつつあります。AIなどのテクノロジーがウェブの新時代を牽引する中で、プラットフォームの転換期を迎えるまさにそのタイミングに、FTCはまさにその瞬間を迎えているのです。
連邦取引委員会法(FTC)は、委員会に「不公正または欺瞞的な」商慣行を規制する権限のみを与えている。プライバシー専門家は長年、消費者は不利な立場に置かれてきた。企業があからさまな嘘をつかない限り、消費者のデータを自由に扱えるのだ、と。FTCは2018年にFacebookに対し50億ドルのプライバシー侵害訴訟を起こしたが、この訴訟の焦点はFacebookがユーザーを欺いた方法にあり、Facebookのデータ利用方法が本質的に違法であるという主張ではなかった。
しかし、バイデン大統領が任命したFTC委員長リナ・カーン氏のリーダーシップの下、FTCは前例のないほど精力的にデータ不正行為に取り組んできた。
FTCには一定の規則制定権限があるものの、それは時間がかかり、困難なプロセスです。その間、FTCは既存の規制を誰も考えつかなかった領域まで拡大することで、テクノロジー政策を変えつつあります。
この斬新な法的攻勢の中で最も重要なのは、処方薬クーポンサービスを提供するGoodRXに対する訴訟です。一般に信じられていることとは異なり、医療情報の携行性と説明責任に関する法律(HIPAA)は、医師、保険会社、およびそれらの提携企業以外には適用されません。しかし、本記者の調査でGoodRXがユーザーの処方箋データをGoogle、Facebook、その他の広告関連企業と共有していたことが判明したことを受け、FTC(連邦取引委員会)は医療関連企業にデータ漏洩の開示を義務付ける規則を制定しました。FTCは、GoodRXがデータ共有の実態を開示しなかったことで医療情報漏洩通知規則に違反したと主張し、医療データにも法的保護を拡大する初めての判例となりました。
FTCは過去1年間に、フォートナイトの開発元であるEpic Gamesに対する訴訟など、画期的な和解を複数回成立させてきました。フォートナイトの訴訟は、消費者を欺くために意図的に紛らわしいウェブサイトやアプリのデザインを指す「ダークパターン」の領域における政府の初の本格的な介入となりました。Epic Gamesは5億ドルの罰金に同意しました。最近の画期的な訴訟では、FTCは子供のプライバシー保護を強化し、AlexaスマートスピーカーとRingスマートドアベルにおける重大なプライバシー侵害についてAmazonを厳しく追及しました。
ロナルド・レーガンはかつて、英語で最も恐ろしい言葉は「私は政府の人間です。皆さんを助けるためにここにいます」だと言った。アメリカ国民をスパイして金儲けをしている人にとって、FTCに関してはまさにその通りかもしれない。
Gizmodoは、FTCの消費者保護局長であるサミュエル・レバイン氏に長時間インタビューを行い、FTCがプライバシー問題に対する画期的な取り組みをどのように構想しているか、今後の計画、急速に変化する技術環境を阻害することなく消費者を保護する新しい規制環境を構築する取り組みなどについて話を聞きました。
このインタビューは、明確さと一貫性を保つために編集されています。
トーマス・ジャーメイン:サム、まずは何が変わるのか、大まかな概要から始めましょう。インターネットの黎明期以来、企業はプライバシーポリシーで「同意する」をクリックさせさえすれば、ほぼ何でもできると思われてきました。
サミュエル・レバイン:市場は自己修正できるとか、消費者はプライバシーポリシーを読むことで自らを守れるといった虚構を説くのはもう終わりです。過去20年間、企業はプライバシー契約に何でも記載でき、消費者が同意すれば何でも許されるという体制が続いてきました。
全体像を見れば、私たちが政府機関として行った転換は、多くの人が既に認識しているものの、政府内では誰も口にしなかった事実を、明確に示していると言えるでしょう。それは、通知と選択の制度は機能していないということです。20年前なら理にかなっていたかもしれませんが、今では全く意味がありません。消費者に何十万ページにも及ぶプライバシーポリシーを読む負担を強いること、ましてや理解する負担を強いることなど、到底無理な話です。
データの最小化、機密データの共有の全面禁止、そして2、3年前には不可能と思われていたその他の実質的な保護策を含む、少なくとも6件の事例を検討してきました。また、商業監視とデジタルセキュリティに関する市場全体のルールも検討しています。
TG: このプライバシーポリシー、通知、そして選択に関する制度は、長らく現状維持でした。連邦プライバシー法に関して議会からの更なる意見が得られない状況において、代替案は何でしょうか?FTCは企業に何を期待しているのでしょうか?
SL:まず、議会がプライバシー関連法案を可決することを望んでいます。私たちはできる限りのことを行っていますが、私たちの行動は包括的な連邦法の制定に代わるものではありません。これは私たちの立場に変わりはありません。しかしながら、企業には引き続き、個人情報の取り扱い方法について、追加情報の追加、あるいは正確な開示を求めます。もし企業がそうしない場合は、責任を問うつもりです。
とはいえ、私たちが執行措置を通じて試みてきたのは、「欺瞞」だけが私たちの唯一の権限ではないことを市場に改めて認識してもらうことです。私たちはまた、「不公正な」慣行を禁止し、措置を講じる権限も有しています。これは、損害を引き起こし、消費者が合理的に回避できず、消費者や競争に相殺する利益をもたらさない慣行として、私たちの法律で定義されています。企業のデータ慣行が人々に損害を与える場合、たとえその慣行が正確に開示されていたとしても、私たちは措置を講じる用意があります。言い換えれば、企業が人々のデータをどのように利用しているかについて真実を述べているかどうかだけでなく、企業が私たちに損害を与える可能性のある方法で人々のデータを使用しているかどうかも考慮しているのです。
TG:ここで言う「害」とは、具体的にどういう意味でしょうか?これはプライバシー問題に関する議論が続いているところです。「確かに、気味が悪いかもしれないけど、お金は損していないし、大したことないじゃないか」と言う人もいます。
SL:状況によりますが、明確に申し上げると、私たちは金銭的な損害だけを問題にしているわけではありません。私たちの法律では、「損害」だけでなく「損害を与える可能性」も考慮しています。これは重要な区別です。係争中の訴訟についてはコメントしたくありませんが、例えば、データブローカーの行為は、スティグマ、差別、ストーカー行為のリスク増加など、そうした性質の事態につながる可能性があります。これらは現実のリスクであり、たとえ金銭的な損害がなくても、これらの損害はFTC法に基づいて認定されるべきだと考えています。
私たち社会は、お金を失わなければ損害を被らないという考えを信じる時代はとうに過ぎ去っています。無謀なデータ管理によって人々が損害を被る方法は実に様々で、あなたや他の多くのジャーナリスト、そして私たちのケースでも十分に記録されていますが、その損害は必ずしも金銭で定量化できるものではありません。
TG:もしそれが損害の定義だとしたら、その論理はデータブローカー業界のほぼ全体に当てはまるでしょう。FTCがデータブローカー業界をほぼ完全に消滅させる可能性も想像できます。
SL:それが目的ではありません。目的は、違法行為とみなされる行為を抑制することです。この業界では、機密データをフィルタリングする措置を講じていない企業、責任ある当事者のみが機密データを購入できるようにする措置を講じていない企業、そしてこれらのデータが人々に害を及ぼすような方法で使用されないようにするための措置を講じていない企業が存在します。これらの問題が蔓延していることはご指摘の通りです。しかし、執行措置を講じるにあたり、私たちは個々の企業、個々の事例、そして消費者が被害を受ける可能性のある個々の方法に真正面から注目しています。
TG:政府職員にとって、仮説的な話になるかもしれませんが、私が話を聞いた専門家の中には、AIと予測分析が非常に効果的になり、例えば広告ターゲティングなどが可能になり、個人に関するデータをほとんど収集せずに済むようになるという見方をする人もいます。企業は「私たちはあなたがどんな人間かを知っているので、あなたの行動の詳細は重要ではありません」と言い切るのがますます上手になっています。そうなると、この問題が「プライバシー」とは全く関係なくなり、単なる権力の行使になってしまう可能性があります。既存の法律はすべて、有害な行為を全面的に禁止するのではなく、同意を得ることに重点を置いています。もしそれが現実になった場合、規制当局はどうするのでしょうか?
SL:素晴らしい指摘だと思います。2点ほど指摘させてください。1つは過去を振り返る点、もう1つは未来を見据えた点です。振り返ってみると、私たちは今、長年にわたる無制限のデータ収集の結果を目の当たりにしています。そして確かに、膨大なデータが、様々な方法で、多くの企業によって、様々なデバイスを通して、様々な形で収集されてきました。そのため、多くの企業、特に大手企業は、もはや人々をターゲットにするために追加のデータを収集する必要がなくなるかもしれません。ちなみに、これは競争上の懸念も引き起こす可能性があります。既存企業に有利に働く傾向があるからです。
私たちが今直面している現実は、長きにわたり無法地帯だったことに直接起因しています。今後は、企業が新たな情報を収集することなく、個人について憶測を巡らせることができるような状況について検討する必要があります。実際、これは既に規則策定において議論されている事項です。未知の領域ではありますが、大企業にとっての共通モデルの一部となりつつあります。しかしながら、FTCの管轄権を超えるものではないと考えています。
TG:業界団体と消費者団体は、包括的なプライバシー法の制定を長らく待ち望んできました。法整備が進まない現状では、FTCは「議会が何もしないのであれば、今あるわずかな規則や法律を自分たちで何とかしよう」と言っているように見えます。現状をこのように表現していいのでしょうか?
SL:私たちは長年プライバシーとデータセキュリティに取り組んでおり、議会による法案可決を諦めたわけではありません。しかし、私たちが公に表明し、そして私自身も心の底から感じているのは、ただ手をこまねいて議会の承認を待つつもりはないということです。ここ数年、私たちは公正信用報告法(FCRA)、健康情報漏洩通知規則(Health Breach Notification Rule)、COPPA(児童オンラインプライバシー保護法)、そしてもちろんFTC法第5条など、私たちが保有するあらゆるツールを棚卸ししてきました。そして、私たちはこの点で多くの成功を収めており、企業もその成果に気づき始めています。成功が成功を呼ぶことを願っています。私たちがツールを見直したように、企業も自らを見直し、私たちが執行措置を講じるに至ったような慣行に手を染めていないか確認し始めているはずです。
TG: 国内外の既存のプライバシー法についてお話ししましょう。一般的に、すべてのプライバシー規則は、この会話の冒頭でお話ししたような、通知と選択に基づくプライバシーポリシー制度に該当します。これで十分なのでしょうか、それとも議会がさらに踏み込む必要があるのでしょうか。
SL:消費者が自分に関するどのようなデータが収集されているかを把握し、オプトインまたはオプトアウトする機会を与えることは不可欠です。問題は、特に消費者が実際に利用を選べないサービスや、健康データや子供のデータなど、特に機密性の高い情報を扱う分野においては、それが十分かどうかということです。
そのため、PremomアクションとBetterHelpアクションでは、これらの企業に対し、消費者の機密データを広告目的で販売または共有していることを開示することを義務付けませんでした。私たちは、これらの企業に対し、そうした行為をやめるよう求めました。他の企業には、機密データの無制限な収益化について私たちが発しているシグナルに耳を傾けていただければ幸いです。また、これは、消費者が長々としたプライバシーポリシーを読むことに完全に依存している体制の限界を浮き彫りにしています。これは、人々に過度の負担を強いていることは周知の事実です。
TG: 議会が連邦プライバシー法を可決した場合、プライバシー専用の新たな規制機関を設立しない限り、その執行はFTC(連邦取引委員会)に委ねられることになると思います。これはよく議論される点です。しかし、議会が執行のための追加予算を計上しなかった場合、FTCは必要なほど徹底的に執行できるでしょうか?
SL:言うまでもなく、私たちのデータ規制当局のリソースは、小国のほんの一部に過ぎません。実際、FTCの職員数は、経済規模がはるかに小さかった1980年代よりも少なくなっています。ご存知のとおり、1980年代には、この機関を弱体化させようとする意識的な取り組みがありました。ここ数年で規模は拡大しましたが、それでも40年前の水準には達していません。
私自身としては、議会が強力な連邦法案を可決した場合、それを執行するためのリソースも確保していただきたいと強く願っています。しかし、議会が法律を可決し、それを執行するよう指示すれば、私たちは必ずそれを執行します。必ずや方法を見つけます。しかし、言うまでもなく、プライバシー保護だけが私たちの仕事ではありません。他の重要な業務への影響を最小限に抑えるためには、議会が、現状に対応し、その任務を遂行するのに十分なリソースをかけて、法案の費用を負担することが非常に重要です。
TG:少し話題を変えさせてください。最近は「AI」という文字が含まれない記事を出版するのは違法だと思うので。AIが消費者問題にどのような影響を与えるかについて、どのような懸念をお持ちですか?既存の問題を悪化させるのか、それとも新たな問題を生み出すのか、どちらでしょうか?
SL:当局として、私たちはこれまで、AI分野で見られる多くの慣行にFTC法が適用されるという確信を明確に示してきました。現在、人類の終焉やそれに類する未来の出来事について、多くの懸念が広がっています。しかし、例えば不適切なアルゴリズムによる意思決定によって生じる危害の一部は、FTCが長年取り組んできた問題です。保護対象者に危害をもたらす可能性のあるアルゴリズムによる意思決定は、FTC法に違反する可能性があると、私たちは何年も前に明確にしてきました。柔軟な権限を持つことの利点の一つは、この分野で人々が抱く多くの懸念に対処できると信じていることです。
データプライバシーの文脈におけるテンプレートとして、一つ例を挙げましょう。Ring社に対して先日命令を出したばかりですが、Ring社に要求した事項の一つは、Ring社が違法に収集したとされるデータでトレーニングされたモデルやその他のデータ製品を削除することでした。これがAIの文脈にどのように適用されるかを考えるのは、それほど難しいことではありません。FTC(連邦取引委員会)は既にこれを行っています。人々がまるで無法地帯のように行動しているとしても、こうした行為には適用される法律が存在し、私たちはそれを適用する用意があることを、市場が理解してくれることを願っています。
TG:OpenAIのCEO、サム・アルトマン氏が先日議会に出席しましたが、彼は議員たちに「ロボコップ」や「マトリックス」のような終末的な未来に焦点を当ててほしいと考えているようです。議会が法案を審議する中で(プライバシー法案ほど長くはかからないことを願いますが)、彼らはこのSF的な未来について心配するべきでしょうか?それとも、来年AIがどのように活用されるかに焦点を当てるべきでしょうか?
SL:議会には、この技術の進化と、それがもたらす可能性のあるあらゆる可能性について、それが良いか悪いかに関わらず考える責任があると思います。しかし、おっしゃる通りです。既に発生している危害、そして既に予測可能な他の危害について、議会が目を背けることはあってはなりません。私たちは、この技術に伴う多くのリスクについて公に議論してきました。例えば、詐欺のリスク、雇用や住宅の決定における公平性の問題、少数派や障害者、その他の保護対象層に危害をもたらす可能性のあるアルゴリズムによる意思決定におけるバイアスなどです。この技術による危害の多くは、今まさに顕在化しています。議会がこの技術の長期的なリスクについて考えることを決して妨げません。私たち全員が立ち向かうべき課題が今、確かに存在します。議会がそうしてくれることを期待していますし、FTCもまさにそれを行っています。
