当記事は、米ハーバード・ビジネス・スクール助教授で当社(米マカフィー)アドバイザのBenjamin Edelman氏が寄稿してくれたものだ。
筆者は2010年1月最終週、Webブラウザ用ツールバー「Google Toolbar」の通信処理に問題があると指摘した。ユーザーがGoogle Toolbarを「無効化」して非表示にしたとしても、ツールバーは動きを止めず、ユーザーが表示したWebページや米グーグル以外の検索エンジンで実行した検索操作などのオンライン活動を記録し続けるのだ。米グーグルの対応は素晴らしかった。筆者がこの件を公表すると、直ちに許可なく行うこの通信処理の問題を修正した。しかし、大きな疑問が残っている。なぜグーグルは社内テストでこのバグを見つけられなかったのだろうか。グーグルがユーザーの同意を得ずに集めたデータは、どのように処理されているのだろうか。さらに、そもそもグーグルは何のためにこのデータを集めていたのだろうか。
情報の開示方法を再考
最近Google Toolbarユーザーを見つけると、必ず質問するようにしている。そうしたユーザーのパソコンを調べると、多くはグーグルの「Enhanced Features(拡張機能)」を有効にしている。つまり、グーグルがそのユーザーの表示したWebページと実行した検索操作をすべて記録する設定になっているのだ。ところがほとんどの場合、本人たちは情報記録の事実に気付いていない。なぜ知らないのだろう。それは、説明を受けても理解や記憶していられるような方法でないからだ。
まず、グーグルはツールバーの記録機能をインストール直後に表示するポップアップ画面で説明する。この時点でインストール作業は終わっており、ユーザーはただ仕事に戻りたいだけなので、これ以上の質問に答えたり、何か判断したりしたくない状態に置かれている。そこで情報開示時に守るべき最初の原則を紹介しよう。「ユーザーが与えられた情報にもとづいて意思決定しようとするタイミングで同意してもらう」というものだ。そしてこの作業はインストール時に行う必要があり、後付けでは駄目だ。
情報開示は、タイミングだけでなく説明文も極めて重要である。現在Google Toolbarのインストーラは、Enhanced Featuresについて「当社(グーグル)にURLを送信することで、ユーザーのアクセスしたWebサイトを通知する」機能としている。厳密に解釈すると、この文章はどういう意味になるだろう。グーグルは「Webサイト」(例えば米ニューヨーク・タイムズ紙のドメイン「nytimes.com」を指す情報)や「URL」(特定の記事や検索操作を指す情報)を記録するのだろうか。驚いたことに、グーグルの説明文そのものに矛盾がある。グーグルは本来全く異なる概念のWebサイトとURLという用語を入れ替え可能としており、これは明らかに誤りだ。情報開示にかかわる文章は明快かつ厳密な表現を用い、極めて正確な内容でなければならない。
この種の作業はコミュニケーション専門家が得意としている。分かりやすい情報開示を実現するには、重要な情報が目立つよう工夫したタイトルとレイアウト、フォーマットの専用画面を表示させよう。見出しや要旨、文の構造によっても分かりやすさが改善する。グーグルはこうした点を配慮できているだろうか。残念ながらグーグルがEnhanced Features有効化の許可を求める画面には、「Introducing Sidewiki(サイドウィキの紹介」というタイトルが付いている(関連記事:「Google Toolbar」,Webページにコメントを書き込める「Sidewiki」機能を搭載)。これは新機能を宣伝するための表現であり、結果的に大きなプライバシー問題を引き起こす恐れをユーザーに警告しているとは言い難い。現在のタイトルを「プライバシーに関する重要な選択」や「プライバシー設定」に変えれば、問題の本質を突き、設定による影響を伝えられるだろう。こうした重要な画面はユーザーに情報を提供することが目的であり、ユーザーを説得しようとしてはならない。何よりも大切なのは、画面のデザインをマーケティング担当者に任せず、ポリシーやコミュニケーションの専門家に依頼することだ。
追加情報を必要とするユーザーには、より詳しく説明した文書を提供しよう。この文書にも正確で厳密な内容が求められるし、グーグルはここでも全く合格レベルに達していない。Google Toolbarの文書は、問題の通信機能を5ページ目で初めて説明する。グーグルが記載したことと省いたことから判断すると、この説明そのものが明らかに矛盾している(説明文)。さらに、ここでもグーグルの選んだフォーマットの分かりにくさが目立つ。グーグルはプライバシーの注意点をWebブラウザの画面に押し込んで表示するが、そこにはメニューやツールバーを用意していない。そのためユーザーは、表示されている重要な情報のコピーや検索、保存、印刷といった操作が行えない。これは配慮に欠ける画面デザインだ。情報開示というものは、ユーザーにとって使いやすく、内容を理解したくなるような方法で行う必要がある。
ユーザーがWebブラウザを操作するたびに実行され続ける、扱いに注意を要するこうした通信処理は、情報開示を繰り返して行わなければならない。プライバシーに重要な影響を及ぼすプログラムでは、そのことを折に触れて繰り返しユーザーに気付かせよう。アラートやメッセージを使い、影響下にあることきちんとユーザーに知らせるのだ。例えば3カ月に1回といった頻度やGoogle Toolbarのアップデート・タイミングで、インストール内容をユーザーに思い出させよう。
プライバシー保護の仕組みを改善
優秀なプライバシー保護機構は、情報開示よりも大切だ。ソフトウエア開発者がデータの収集/保持方法をきちんと調整すれば、自分たちのサービスにおけるプライバシー問題を激減できる。
まずは集めるデータを見直そう。対象となる機能を使う見返りに詳細情報の記録を認めるユーザーは多いか。Google Toolbarについて考えると、筆者は怪しいと思う。Webページ単位の重要度指標「PageRank」を知りたいユーザーは多くないだろう。グーグルのSidewikiで提供されるコメントの質や量も、重大なプライバシー侵害に見合わない。筆者の方針は、対象となる機能のメリットを嘘偽りなく伝え、ユーザーの関心を第一に考えることだ。データ収集するのは、ユーザーから見てすぐメリットが得られる状況に限る。「サービスが改善される」とか「コミュニティが形成される」といったあいまいなメリットは、データ収集の理由にならない。
システムがユーザーの要求を満たすために通信する情報は、最小限に抑えた方がよい。例として、あるWebサイトのPageRankをユーザーに知らせる方法を二つ考える。一つ目は、ユーザー側のパソコンがアクセスしようとしているURL情報をすべてサーバーに送り、サーバーが該当WebページのPageRankを返すというもの。二つ目は、パソコンがドメイン名だけをサーバーに送り、サーバーが該当ドメイン配下でよくアクセスされるURLのPageRankを表形式で返すというもの。後者でも、表に記載するデータをワイルドカードを使ったりまとめてたりすれば、必要とする通信帯域をあまり増やさず、処理もやや複雑にする程度で済む。そしてプライバシー保護で大きな恩恵が得られる。一つ目の方法だとアクセスしたWebページの情報は漏れなくサーバーに伝わるが、二つ目だと具体的なWebページは知られずに済む。
最後になるが、データはあまり保存しないようにして、同意を得た特定の目的だけに使おう。ここで主に検討することは、データの保存期間および利用目的と、誰に利用許可を与えるのかだ。当たり前のように感じるが、どれも見落としやすい項目である。グーグルのツールバーに関するプライバシー・ポリシーを読んでも答えは得られないし、同社の基本的なプラバシー・ポリシーもこの点に触れていない。こうした状況から、同社の状況は言わずもがなだ(関連記事:Microsoft、「Bing」の検索ログ保存で自主規制/Microsoft、「Bing」検索ログのIPアドレス保存期間を6カ月に短縮へ)。
まとめ
筆者が基本的に目指しているのは、システムにプライバシー保護機構を組み込むことだ。収集するデータを減らし、ユーザーが実際に関心を示したときだけデータを集めよう。ユーザーには、同意したことの本当の意味と理由をきちんと理解してもらおう。プライバシー保護に対する見方を変えよう。自分たち企業と狙っているビジネス・チャンスの間に立ちふさがるハードルとみなさず、それ自体を価値がある目標と考えるのだ。事細かに記録したユーザーの情報から利益を得ようと考える人にとっては、苦い薬だろう。しかし、これこそ適切な行動だ。
Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Protecting Privacy by Design」でお読みいただけます。
