2019年6月4日から1週間開催されたApple社のカンファレンス、WWDCは高すぎるMacProのスタンドや旧来の開発言語であるObjective-Cの負の遺産に終止符を打ったSwiftUIが多くの反響を呼んでいるが、発表されたステートメントの中でも特に際立っていてたのがApple社によるプライバシー強化の方針だった。

初日の基調講演では「我々はプライバシーは最も基本的な人権であると信じている」という宣言がなされ、続く6月5日に行われたセッション「Designing for Privacy」においてその詳細が示された。

今回のカンファレンスでApple社が明かしたのは「プライバシーに関わる情報とは何か？」という問いと「プライバシーを守るとは具体的にどのような実践を伴うか？」という問いに対する回答である。

まず重要なのは、Apple社によれば個人の特定可能性や精度に関わらず個人が生み出したあらゆる情報はプライバシーに関わる情報であり保護されなければならないということだ。

たとえば、日本ではよく個人情報とは「個人を直接的に特定できる情報」であるという意見が散見され、商品の配達先のような情報はそれにあたるが位置情報や音声情報はそれに当たらないということになるのだが、Appleから言わせればそれでは全く不十分である。

その例として今回発表された中で一番わかりやすいのが失くしたApple製品をほかのAppleユーザーから探してもらえるサービス「FindMy」だ。

通常、同様の落し物防止タグを販売しているTileやMAMORIOは位置情報と時刻をサーバーに送信しているのに対して、FindMyは公開鍵暗号方式を用いて第三者による発見情報を暗号化し、その位置情報はApple社に対しても秘匿され、ただ一人紛失者にしか閲覧できないようになっている。

また、発表によれば発見者の端末がサーバーに送信するのは位置情報と時刻と電波強度だけであり、IDはもとより端末の種類やインストールされているOSのバージョンすら送っておらず、Appleがそれらの情報もプライバシー保護の対象としていることが示されている。

プライバシーはセキュリティよりも広く重い

Appleは彼らが思うところのプライバシー保護の実践指針が簡潔にまとまったのが以下の図である。

まず、発表者も「多くの企業がプライバシーをこのレベルでしか考えていない」と嘆いているが、プライバシーはセキュリティよりも高度な権利であり、単に個人情報が厳格に守られているだけではプライバシーが守られているということを意味しない。

また、利用規約で同意を取っているであるとか、個人情報の用途について説明責任を果たしているであるとか、ユーザーに拒否や削除を行う選択肢が用意されているだけでもその基準を満たしているとはいえない。

それはたとえば、そういった要件を完全に満たした上で得られたalexaの音声情報をAmazon社の社員が直接聞いていることが批判されていることからも明らかだろう。

さらに、位置情報やカメラの画像もプライバシー情報なのであれば、それらを用いた処理や機械学習も可能な限りユーザーの手元にある端末で完結するよう行うべきということになる。

Appleは、大勢のユーザーのビッグデータを利用する場合もあくまで生データではなく各自の端末での学習結果を送って統合すべきであると述べており、iPhone内でそれを行う用のライブラリが発表されている。

ゆえに、Appleのプラットホームに乗るサードパーティは設計の段階でサービス自体を必要最低限の個人の情報しかサーバーに送らないようにすることを強く要求される。

Apple社はそのような設計思想を「Data Minimization」と呼んでいる。

Appleによれば、上記全てを実践することによって初めて企業は「我々はプライバシーを尊重している」と言う資格を得るということだ。

一方、今回の一連の発表に対しては、特にAppleがランダムにメールアドレスを発行してトラッキングを防止する「Sign in with Apple」が大きな反響をよんでおり、SNS上では主に「プラットフォーマーの横暴だ」であるとか「GoogleとFacebookの排除である」といった言葉が溢れている。

このSign in with Apple機能もプライバシー保護のステートメントに沿った機能であるが、それに対する人々の感想はおおむね「基本的人権としてのプライバシーなどというものは所詮GoogleやFacebookの排除による市場支配の正当化のためのお題目でしかない」といったところに落ちついているように見える。

しかし、私はここでいったん善意解釈の原則に従ってApple社に市場支配の意図や競合への悪意がまったく無いと仮定した上で今回のステートメントの意義で考えてみたい。

なぜなら、意図を仮定せずともポリシー自体の可能性や矛盾を指摘することは可能だし、仮にAppleが悪意に基づいてたとえばポリシーをサードパーティにそれを強制する一方で自分たちは服さないというようなダブルスタンダードを行っているのであればそれは近いうちに具体的な証拠を伴って明らかになるだろうからだ。

米国によるHuawei排除について

WWDCと同時期にネットで話題になっていたのが、米政府により市場からの排除を命じられたHuawei社CEOの任正非氏に対する以下のインタビューである。

このインタビューで注目すべきは、 任氏とインタビュアーの会話が核心的な部分で噛み合っていないことである。

インタビュアーは「中国政府からバックドアの設置や盗聴などの協力を求められたときに、Huaweiにそれを拒む選択肢はありえるのか？」と尋ねているが、任氏はひたすら「我々はそんなことはしない」「我々が奉仕しているのは全世界の人々であって諜報機関ではない」と繰り返すだけだ。

一見任氏はインタビュアーの質問の意図を理解していないようにみえるが、一方で彼の立場からすれば質問自体が罠であり「であれば、政府が好き放題できてしまう中国のような独裁国家のプロダクトは一掃するしかない」という結論にしかなりえないのではぐらかすしかないとも考えられる。

しかし、私が考えたいのは、もしここで任氏が以下のように返したらどうだろう？ということだ。

「ええ、あまり考えたくはありませんが、我々が中国政府にそう強要されるという事態はありうるかもしれません。しかし、ではGoogleやFacebookはどうなのでしょうか？」

「すでに我々とは比較にならないほど膨大な個人情報や通信履歴を保持している彼らがユーザーのためにではなく彼ら自身のためにそれを利用しないことや、米国や他の政府から愛国者法やFreedom Actのような法律を持ち出されて国益のために個人情報を差し出さないことは一体何によって保証されているのでしょう？」

もちろん「Googleは過去にあった各国政府からの開示請求の件数を公開している」であるとか「米国には中国とは異なり政権交代があるのだからそういった悪事はいずれ暴かれる」などと答えることは可能だろうが、とはいえそれらと任氏の「我々はそんなことはしない」という「誠意」一辺倒の的はずれな回答のあいだに大きな差はないだろう。

なぜなら、問題は企業が手に入れた個人情報をいかに誠意を持って守っているかではなく、米国のであれ中国のであれ国の法規に従って経済活動を行なっているいち企業に過ぎない彼らがすでに大量の個人情報を持ちすぎてしまっていることそれ自体にあるからだ。

国家は国民から治安の維持や安全保障を求められるし、誠意ある政府スタッフであればそれを遂行するであろうし、一方で世の中には実際に犯罪計画や危険人物は存在するのだからそれらの個人情報を保持しているプラットフォーマー側にも責任は発生する。そしてその責任はどんな目的であれ企業が個人情報を集めれば集めるほど増大してゆき、本来の目的とは関係のない議論や改修にエネルギーを割かざるを得なくなることで己を蝕んでいく。

それは米中対立に限らず、たとえば日本においてもIT企業は犯罪捜査への協力やそのためのデータの一定期間の保持が義務付けられているし、また、先に挙げた日本における個人情報の定義論自体が単なる無理解やプライバシー意識の低さからだけではなく保持している情報が個人情報だと定義されたとたん求められる責任が一段ときつくなり内部統制や開発環境の分離といった著しい不効率を受け入れなければならないことへの不満に起因していることからも明らかだろう。

そして、そこで意味を持ち始めてくるのが、先ほどのプライバシー強化方針とData Minimizationの原則だ。

持たないことによって屈せず、裏切らず、自由になれる

Appleのプライバシー強化方針が興味深いのは、たとえそれがお題目だとしても、実際にData Minimizationの指針に従ってサービスを設計し直すことによってサードパーティの提供者自身も個人情報の重しから自由になれることである。

例えば、先に上げたAppleのFindMyが優れているのは、ユーザーにとってセキュアであり情報漏洩による被害を極小に抑えている一方で、個人情報を守る責任を企業からユーザー個人の端末に移譲している点だ。

そうすることによって、企業の開発者は保護しなければならないデータソースの範囲を限定することができるし、個人情報を持つことによってユーザーに対して負わなければならないオペレーターの責任もなくなる。

さらに、より大きいのがサービス提供者が抱える良心の問題だ。

中国での売り上げが2割強を占めるAppleが中国政府からある人物の個人情報を提供するよう命じられたとしても、FindMyのようなData Minimizationなアーキテクチャにおいてはユーザーのプライバシーは誠意や統制ではなく暗号によって守られているのであるから、Apple社はあえて反抗したり独自の倫理基準を持ち出すこともなく堂々と「NO」という事ができる。

もちろん暗号化されていたり秘匿されていたとしてもそれらはユーザーが出力したプライバシーに関わる情報ではあるのだから引き続き厳密に守らなければならないが、とはいえ、なんの後ろめたさもなく「我々のサービスは安全です、なぜならユーザーのプライバシーを危険に晒す情報を我々はそもそも保有していないからです」と自信を持って述べられるのは大きい。

なぜなら、プロダクトの制作に関わる者にとって、自分の製品について嘘を言わなければならないほど苦痛なことはないからだ。