定期的に WhatsApp をよく見るタイプの人ではないとしても、新しいプライバシー ポリシーを読んだことがある可能性は高いでしょう。
「試みた」という部分に重点が置かれている。約4,000語に及ぶこの長文は、WhatsAppがユーザーに対し、新規約に従わない場合はプラットフォームから追放すると通告したことで、世界中の無数のWhatsAppユーザーから非難を浴びた。鋭い観察眼を持つ批評家たちはすぐに、一般的なプライバシーポリシーにつきものの雑多な記述に埋もれながらも、新規約によってWhatsAppが電話番号や支払い情報といった個人データを親会社であるFacebookや子会社のInstagramと共有する権利を付与されたように見える点に気づいた。
当然のことながら、人々は激怒しました。過去1週間で、数千万人もの人々がWhatsAppからSignalやTelegramといった競合メッセージングプラットフォームへと流れ込んだようです。イーロン・マスク氏やエドワード・スノーデン氏もこの動きに加わりました。トルコ当局はWhatsAppのデータ共有慣行に関する調査を開始し、続いてイタリアの地域データ当局も調査を開始しました。木曜日には、WhatsAppの最大市場であるインド当局が、新しい利用規約は個人のプライバシーだけでなく国家安全保障にも脅威となるとして、請願書を提出しました。
すぐに明らかになったのは、誰もが憤慨していることには同意しているものの、何に対して憤慨しているのかについては多少曖昧だったということだ。
📈 @elonmusk と @Snowden がツイートした後、今週末、500 万人以上が #Signal をダウンロードしました 😱 👁🗨 #privacy #whatsapp
私たちのレポート👉 https://t.co/qgRqvJ6940 pic.twitter.com/bmvuCWQJwr
— Appfigures (@appfigures) 2021年1月12日
WhatsAppがこれらの新ポリシーを不用意に導入したことで、混乱は当然の結果となった。数え切れないほどのユーザーの前に、恐ろしく聞こえる最後通告を突きつけ、しかもそれを(おそらく誰もが同意するだろうが)ほぼ理解不可能なプライバシーポリシーに結びつけたことで、WhatsAppユーザーの大部分は最悪の事態を想定せざるを得なくなった。つまり、FacebookがWhatsAppのメッセージを読み、連絡先リスト全体を覗き見し、アプリ内で誰かを「既読」のままにした瞬間をすべて把握できるようになったのだ。この噂は最終的にWhatsAppの責任者ウィル・キャスカートの耳にも届き、彼は長々としたTwitterスレッドでこれらの主張の大部分を否定した。その後、WhatsApp自体もFAQページという形で反論を展開した。
衝撃的な展開となったが、WhatsAppが自らの汚点を正そうとした試みは、声高な批判者から戯言とみなされた。そして正直に言って、彼らの言い分ももっともだ。これはWhatsAppの話なのだから。プライバシーとセキュリティの分野で広く称賛されてきた暗号化チャットプラットフォームが、ユーザーのデータ――どんなデータでも――をFacebookのような企業と共有すると、非常に無礼な形で発表すれば、一部の人々が憤慨するのも無理はない。
問題は、WhatsAppの共同創業者であるヤン・クーム氏とブライアン・アクトン氏がFacebookとの関係を断ってから数年経った現在、WhatsAppは徐々にFacebookの他のサービスに似たものへと変化してきたということです。ソーシャル化を目的としたアプリですが、主にショッピングが中心です。今回の新しいプライバシーポリシーは、WhatsAppとFacebookが、ようやく声高にその声を上げた形と言えるでしょう。
一日中時間がないから、短いバージョンを教えて
WhatsAppを友人や家族、そしてたまにペットシッターにメッセージを送るためだけに使うタイプの人にとって、プライバシー面での変化は見られません。実際、WhatsAppにおける「プライバシー」について考えるとき、私たちが思い浮かべるものは、2016年半ばからほとんど変わっていません。当時、WhatsAppは電話番号などの基本的なメタデータや、ユーザーが手動でオプトアウトしない限り様々な「匿名」IDを共有するようになると発表しました。(Facebookはその後すぐにオプトアウトボタンを削除しましたが、それはまた別の話です。)
つい最近、匿名の開発者がWhatsAppウェブアプリ全体をリバースエンジニアリングし、その成果はGitHubで公開されています。簡単に言うと、2016年のアップデート後にペットシッターにメッセージを送信した場合、Facebookは私の携帯電話のメーカーとモデル、そしてバッテリー残量の危険なレベルまで把握できた可能性があります。しかし、ペットシッターとの会話は完全に暗号化されています。これは今も変わりません。
とはいえ、インドやブラジルのように、WhatsAppが単なるチャットアプリではなく、ブランドや企業が顧客にリーチするためのチャットアプリとなっている国に住んでいる場合、状況は少し異なります。前述のペットシッターとの会話とは異なり、特定の企業との会話は暗号化されていないだけでなく、想像以上に多くの関係者と共有されている可能性があります。
WhatsApp のプライバシー ポリシーはほとんどの人にとって目新しいものかもしれないが、この特定の慣行はすでに何年もこのプラットフォームの MO となっている。
あなたが知っているWhatsAppとあなたが知らないWhatsApp
WhatsAppの失策に至った経緯は、実のところ、クーム氏が彼に莫大な収益をもたらしていたプラットフォームから離脱したのとほぼ同時期に始まった。数ヶ月後、WhatsAppはひっそりと企業向けの新製品「WhatsApp Business API」をリリースした。数十億ドル規模のプラットフォームからさらなる収益を搾り取ることを約束したのだ。
名前が示すように、ビジネスAPIは企業向けに設計されていました。例えば、WhatsAppを使って搭乗券を送信したい航空会社や、WhatsAppを使って注文品の配達状況を知らせたい食料品チェーンなどです。これらのメッセージは、Instagramの広告のようにプロモーション目的ではなく、取引目的、つまり自分のサイズの靴を探しているときに店員と交わす会話のようなやり取りを目的としていました。対象となる企業が特定の問い合わせに1日以内に回答した場合、Facebookは無料で回答を送信できるようにしていました。
最初の24時間以降に送信されるメッセージには、わずかな手数料がかかります。手数料は、関係する第三者やブランドがターゲットとする国によって異なりますが、1メッセージあたり数セントから数セント程度です。この手数料は、関係する第三者と、もちろんWhatsAppによって分配されます。
いくつかのメディアは、この急成長中の製品を、かつての「カスタマーサポート」メールやテキストメッセージに対するFacebookの回答のようなものとして取り上げましたが、ほとんどのメディアは(当然のことながら)このAPIを退屈なアドテクと見なしており、ほとんど注目されませんでした。一方、ブランドはこのアイデアに非常に興奮しており、WhatsAppがよりコマースフレンドリーになるよう新機能を導入する間も、興奮し続けました。
2020年までに、インドを拠点とするWhatsAppユーザーは、ペットシッターと話すためにWhatsAppを使用するだけでなく、WhatsApp専用のカタログをスクロールして新しい靴を探し、選択した靴をWhatsApp専用のカートに入れて、WhatsApp専用の決済プロセッサを使用して新しい靴の代金を支払い、その後WhatAppで注文が時間どおりに届いたか確認するようになりました。
ブランドの魅力が高まるということは、より多くのブランドがこのAPIに参入しようとしていることを意味します。2018年、WhatsAppは当初、Netflix、Uber、そしてWhatsAppがSMSプラットフォームとして主流となっている地域の一部のホテルや銀行など、厳選された約100社のパートナー企業に新プラットフォームへのアクセスを提供しました。一部のアナリストは、1年後にはAPIを利用する企業数が100社から約1,000社に増加したと推定しています。WhatsAppのチームによると、現在のペースで進めば、2024年末までにこのAPIを利用する企業は55,000社近くに達しており、メッセージング手数料は総額36億ドルに達する見込みです。
問題は、WhatsAppのチャットはデフォルトで暗号化されているため、顧客の発言内容を読み取ることすらできないブランドに、自社製品に多額の資金を投じさせるのは非常に難しいということです。ワシントン・ポスト紙によると、これが最終的にクーム氏の退任につながった争点の一つでした。FacebookはWhatsAppをビジネスフレンドリーなプラットフォームに変えたいと考えていましたが、WhatsApp側はWhatsAppのネイティブ暗号化を何らかの方法で弱めなければプラットフォームを構築できないと反論しました。
彼らの言う通りだった。しかし、Facebookは(繰り返しになるが、Facebookらしく)、暗号化されたプラットフォームにブランド規模の抜け穴を埋め込むというアイデアを、それほど気にしていないようだった。しかし、WhatsAppがこれらの新しいポリシーを導入した際に、どのポリシー変更が最も痛手となったのかを遡って考えてみると、最も不気味な部分のいくつかは、実はこの一つの決定に起因していると言えるだろう。
コメントを求められたFacebookの広報担当者は、記事掲載直後にメールを返信し、WhatsAppが「最近のアップデートをめぐる混乱が甚大である」ため、新しいプライバシーポリシーの導入を5月中旬まで延期したことを発表したブログ記事を挙げた。
暗号化について語るときに私たちが語ること
Twitter.com上でインターネット上の怒りの波が臨界点に達したとき、Instagramのトップであるアダム・モッセリ氏は、WhatsAppの新しい利用規約について「多くの誤情報」が流れているとツイートした。人々が目にしていた変更点は、WhatsAppで企業にメッセージを送信することに関するものであり、これは常に任意であるとモッセリ氏は注意喚起した。さらに、この件に関するWhatsAppのFAQへのリンクを貼ったが、そこには企業がユーザーのWhatsAppデータをどのように使用するのかという、曖昧な説明が含まれていた。しかし実際には、そこにはほとんど何も書かれていない。これらのパートナー企業が(おそらく)暗号化されたプラットフォームから収集しているデータの詳細は一切触れられておらず、プライバシーポリシーのどの「変更」が企業ベースのメッセージングに具体的に適用されるのかについても触れられていない。
では、これらを細かく分析するのではなく、まずはソースコードから見ていきましょう。Business APIのソースコードは、Facebookの開発者向けサイトで簡単に検索できます。つまり、このAPIがWhatsApp本体から取得するデータポイントや、WhatsAppの暗号化を(少なくとも潜在的に)回避する方法も確認できます。あるいは、驚くほど説得力のあるFAQ(「WhatsApp Business APIはエンドツーエンドの暗号化を維持していますか?」という質問)を参照することもできます。ここで強調したWhatsAppの回答は…まさに…(強調は私たちによるものです)です。
WhatsApp では、エンドポイント間のコンテンツへの第三者のアクセスがないため、管理するサーバー上の API エンドポイントを管理するビジネス API ユーザーとの通信はエンドツーエンドで暗号化されているとみなします。
一部の組織では、WhatsApp Business APIエンドポイントの管理をサードパーティのビジネスソリューションプロバイダーに委託することを選択する場合があります。この場合、通信には引き続き同じSignalプロトコル暗号化が使用されます。ただし、WhatsApp Business APIユーザーがエンドポイントの管理をサードパーティに委託しているため、WhatsAppはこれらのメッセージをエンドツーエンドで暗号化されているとは見なしません。2021年には、FacebookがホストするクラウドベースのAPIを利用する企業にもこのルールが適用されます。
さらに、WhatsApp Business API クライアントへの呼び出し時に HTTPS を使用している場合、そのデータは SSL で暗号化されます (バックエンド クライアントから WhatsApp Business API クライアントまで)。
言い換えれば、WhatsApp は、プラットフォーム上で企業やブランドと会話をする場合 (その企業やブランドが一定数の第三者と連携している場合)、私たちが使い慣れている暗号化された WhatsApp は役に立たなくなることを伝えているのです。
ここで、これらのサードパーティが実際には誰なのかを明確にしておいた方がいいでしょう。Facebook はこれらのサードパーティをビジネス ソリューション プロバイダー (略して BSP) と呼んでいますが、基本的には Facebook でのマーケティングをできるだけ簡単な体験にすることを唯一の責任とする、承認された広告技術ベンダーのグループです。たとえば、流行の新しい CBD グミのラインを宣伝していて、Instagram で、米国在住で家庭ではポルトガル語しか話さない 18 歳から 21 歳の犬の飼い主にのみリーチしたい場合、Facebook がマッチングさせてくれる BSP が数十社あります。また、Whatsapp など他の Facebook プロパティでこれらのユーザーにリーチしたい場合は、Facebook がビジネス API への鍵を保有しているとリストアップしているパートナーが 66 社あります。たとえ API を入手できなくても、Facebook は基本的に、少額の金銭を渡すことを約束すれば、広告がこれらのサードパーティ プレーヤーの手に渡って安全であることを約束しているのです。
これらの BSP が実行を許可されている暗号化解除操作は、いつものように Facebook のおかげで公開されています。これまでこの API について読んで納得できなかった場合は、これらのドキュメントに目を通すことをお勧めします。同じように納得できる方々のために、要点を説明します。BSP または Facebook が承認したパートナーが Business API をダウンロードすると、WhatsApp の会話のデータをこのパートナーが管理する外部データベースに送るポートがパッケージ化されます。このパートナーが、たとえば顧客サポートに WhatsApp を使用したいと考えているピザ店と提携すると、ピザのスライスの状態を尋ねるすべてのメッセージは、そのリクエストを送信した人の大量の連絡先情報とともに、この暗号化されていないバケットに保存されます。
データが第三者の管轄下に入ると、たとえFacebookのプラットフォーム上でターゲティング広告に使用されたとしても、最終的にはFacebookの責任ではなくなります。WhatsAppは別のFAQ(強調は筆者による)でこの仕組みを分かりやすく説明しています。
一部の企業やソリューションプロバイダーは、WhatsAppの親会社であるFacebookを利用してメッセージを安全に保管し、顧客に対応しています。Facebookは、お客様のメッセージを自動的に広告の配信に利用することはありませんが、企業は受信したチャットを自社のマーケティング目的(Facebookでの広告掲載など)に利用できます。プライバシー保護に関する詳細は、いつでも各企業にお問い合わせください。
つまり、もし私がWhatsAppを使って、架空のピザ屋に「なぜナスのパルメザンチーズとダイエットコーラがまだアパートに届かないのか」と尋ねたとしたら、その会話から漏れたデータは、そのピザ屋の信頼できるパートナーが対応できるほぼあらゆる場所で、パルメザンチーズやパルメザンチーズ関連商品の広告を私にターゲティングするために利用される可能性がある。それがFacebook広告につながるとしたら、それは単なる幸運な偶然だ。
まとめると、現時点で WhatsApp (まあ、主に Facebook) が言っていることは次のとおりです。
WhatsApp にはマーケティング担当者が活用していない魅力的な消費者データが大量に存在しますが、それにアクセスするには Facebook と信頼できる第三者機関のいずれか (そう、この第三者機関も役職条件の一部として Facebook に料金を支払っています) に少なからず料金を支払う必要があるかもしれません。
十分なデータを手に入れれば、Facebookに再び料金を支払えば、同じユーザーをターゲットにした広告掲載の権利を得ることができます。しかし、行間を読むと、Facebookに広告を掲載するかどうかの決定は、彼らが尋ねる前から既に決まっていることがわかります。
このサイクルはおそらく週に何千回も繰り返されます。
???????
いつか、マーク・ザッカーバーグは、彼がずっと望んでいたであろう尻のインプラントを買えるほど裕福になるでしょう。
一方で、WhatsAppがこの発表を失敗したことを責めるつもりはありません。アドテクのあらゆる事柄と同様に、WhatsAppのビジネスAPIの詳細、あるいは具体的なデータ共有方法を説明するのは、うんざりするほど退屈な作業であり、人々の小さなスマートフォンの画面には到底収まらないでしょう。しかし、こうしたニュアンスの多くを無視したことで、このアップデートには、一見広範囲に及ぶプライバシーの変更が実際には何を意味するのかという、各自の持論が溢れかえっています。
どこかに妥協点があるはずだ。Facebook幹部がその答えを見つけるまでは、これまで同社が掲げてきた空虚なプライバシーの約束を並べ立て、慌てふためいたTwitter投稿を続けるしかないだろう。しかし、WhatsAppの失態から私たちが学ぶべきことがあるとすれば、こうした陳腐な言葉を一つ一つ丁寧に読み解いていくと、根深く、不安を掻き立てる何かが、そして時には想像以上に根深い何かが、残される可能性があるということだ。
午後2時58分更新 (東部標準時): Facebook からの回答を追加しました。
