フェイスブックがこれまでアイルランドの国際本社で管理していた北米以外のユーザーデータ１９億人分のうち、欧州以外の１５億人分を米国本社に移管する、とロイター通信が報じ、波紋を広げている。

ＥＵはビッグデータ時代に合わせてプライバシー保護を強化、新法制「一般データ保護規則（ＧＤＰＲ）」の施行を５月２５日に控えている。

一方でフェイスブックは、ケンブリッジ・アナリティカをめぐる８７００万人分データ流用問題が世界的な注目を集め、マーク・ザッカーバーグＣＥＯが１０時間におよぶ米上下両院の公聴会で、プライバシー保護強化を誓ったばかりだ。

ザッカーバーグ氏は公聴会の中で、ＧＤＰＲへの対応を掲げるとともに、グローバルで同等のプライバシー保護を行うと表明していた。

だが実際には、ＧＤＰＲ施行直前、ＥＵ加盟国でその適用地域であるアイルランドから、緊急避難のように大半のユーザーデータ管理を大西洋をまたいで移管するという。

欧州以外のユーザーデータ管理を、包括的なプライバシー保護法制が存在しない米国に管理を移すことで、期待できる保護レベルは、当然下がることになる。

この１５億人の中に、日本のユーザーも含まれることになる。

そしてフェイスブックの「プライバシーポリシー」を見ると、その移管はすでに行われているようだ。

●プライバシーの問い合わせ先

1.利用者の居住地または事業の主たる拠点が米国またはカナダである場合、本規約は利用者とFacebook, Inc.の間で締結されます。 それ以外の場合には、本規約は利用者とFacebook Ireland Limitedの間で締結されます。 「弊社」とはFacebook, Inc.またはFacebook Ireland Limitedのうちいずれか該当するものを指します。

フェイスブックの右カラムに「規約」という目立たないリンクがある。

ここから「Facebook利用規約」に入っていくと、「最終更新日: 2015年1月30日」の内容の「18.その他」に、上記のような記述がある。

利用規約は、北米のユーザーなら米カリフォルニア州メンロパーク市にある本社「Facebook, Inc.」との間で締結される。だが、日本や欧州を含むそれ以外の国・地域のユーザーはすべて、アイルランド・ダブリンにある国際本社「Facebook Ireland Limited」との間の締結である、としている。

少なくとも、日本のユーザーだからといって、フェイスブック日本法人との間で、利用規約を合意しているわけではない、ということだ。

さらに、個人データの取り扱いを説明した「データに関するポリシー」を見てみる。

「最終更新日: 2016年9月29日」とあるバージョンでは、やはり北米のユーザーの問い合わせ先はカリフォルニアの「Facebook, Inc.」、北米以外のユーザーの問い合わせ先は、アイルランド・ダブリンの「Facebook Ireland Limited」になっている。

ところが、この「データに関するポリシー」には、アップデート版がある。

「最終更新日: 2018年4月19日」と更新されたばかりのそのアップデート版を見ると、問い合わせ先が米カリフォルニア州メンロパーク市の「Facebook, Inc.」のみとなり、アイルランドの「Facebook Ireland Limited」の表記は消えているのだ。

日本のユーザーによる、フェイスブックのプライバシー保護に関する問い合わせ先は、いつの間にかダブリンからメンロパークに変わったようだ。

●アイルランドから米国への移管

ロイターの１８日付けの報道によると、これまでアイルランドの国際本社が管轄していた１９億人のユーザーデータのうち、５月２５日施行の新プライバシー保護法制ＧＤＰＲの対象となる欧州以外の、アフリカやアジア、オーストラリア、中南米のユーザー１５億人については、利用規約を変更して、米カリフォルニアの本社に移管される、という。

１２月時点でフェイスブックが抱える２０億人強のユーザーのうち、米国とカナダは２億３９００万人、欧州は３億７０００万人、その他の地域は１５億２０００万人に上っており、規約変更は全ユーザーの７割以上に影響を及ぼすことになる。

アイルランド法人は２００８年設立。法人税率の低さによるメリットを活用しているようだ。だが、プライバシーに関しては、今後は別扱いになるようだ。

ＧＤＰＲは、ユーザーのビッグデータを寡占し、マーケティングに駆使するフェイスブックなどの米国ＩＴ企業が大きな標的として想定された新法制だ。

ＧＤＰＲでは、２０００万ユーロ（２１億円）か世界での売り上げの４％分の、どちらか高い方を罰金として課せられる規定がある。

フェイスブックの２０１７年の売り上げは４００億ドルなので、４％だと１６億ドル（１７００億円）という巨額の罰金となる可能性もある。

ロイターへの声明で、フェイスブックは個人データの管轄変更の理由について、「ＥＵ法が（米国法にない）特別な法律上の表記を要求しているため」と説明し、さらにこう述べているという。

我々は利用規約の締結先が「 Facebook Inc」であろうと「 Facebook Ireland」であろうと、すべての地域で、同様のプライバシー保護を適用します。

ただ、この変更について、アイルランド当局への通告はなかったと、ロイターは報じている。

またロイターは、マイクロソフト傘下のビジネスソーシャルメディア「リンクトイン」も５月から、同様に個人データの扱いをアイルランド法人から米国本社に移す、としている。

プライバシー研究者のウカシ・オレイニク氏はガーディアンの取材に対し、移管はユーザーのプライバシー保護に大きな影響があるとして、こう述べている。

１５億人ものユーザーを他の司法管轄に移動するというのは、単なるコピー＆ペーストとはわけが違う。

これはデータプライバシーの見地からいって、空前の大規模な変更だ。この変更によって、プライバシーの保証やユーザーの権利は低減し、ユーザーへの同意取得の要求など、多くの点で取り扱いに違いが出てくるだろう。米国の基準は欧州よりも低いため、ユーザーは今あるいくつかの権利を失うことは明らかだ。

●フェイスブックの「プライバシー保護強化」

フェイスブックは、ケンブリッジ・アナリティカをめぐる８７００万人分データ流用問題で厳しい批判を浴び、ザッカーバーグ氏は１０、１１の両日、米上下両院で１０時間、１００人の議員の追及にさらされることになった。

※参照：「個人情報は売っていない」ザッカーバーグ氏がビジネスモデルを死守する：１０時間１００人質問の公聴会

公聴会でＧＤＰＲについて問われ、ザッカーバーグ氏はこう述べていた。

世界中のすべての人々が、きちんとプライバシーを保護される権利があります。（中略）

ＧＤＰＲでは、顔認識のようなセンシティブなテクノロジーについては、積極的な同意のとりつけと特別なコントロールの提供が要求されており、フェイスブックも実装に取り組んでいます。これについては、全世界で実施予定です。

米国でもＧＤＰＲと同様のものが必要かどうかについては、議論の価値はあるだろうと考えます。ただ、その規制がどのようなものになるにしろ、前向きに受け止め、対応していくと、述べておきたいと思います。

さらに、これに先立つ４月初め、ザッカーバーグ氏はＧＤＰＲへの対応について、ロイターの取材に対して、こうも述べていた。

我々はこの件について、細部を詳細に検討中だが、全体的な方向性としては、その精神を踏襲すべきだろう。

つまり、「精神」はグローバルに踏襲するが、ＥＵと同じ保護措置をグローバルに展開するわけではない、ということだ。

ケンブリッジ・アナリティカ問題を受けて、フェイスブックはすでにプライバシー保護に関するいくつかの対応策を打ち出している。

一つは３月末に公表したプライバシー設定画面の変更（※4/21現在、日本では未実施）。

さらに４月４日には、利用規約の見直しも打ち出している。

そして１７日には、ＧＤＰＲへの対応も表明。ＧＤＰＲの適用対象となる欧州のユーザーに対し、ターゲット広告や「顔認識」機能への同意取得を始めるという。

ただガーディアンによると、この同意取得の手続きでは、「オプトアウト」を選択するのは難易度が高い、との指摘も出ているようだ。

●プライバシー保護、「精神」の実装

プライバシー保護について、ＧＤＰＲの「精神」を踏まえつつ、地域によって、その実装には開きが出てくる。

そんな実例を、今後も見せつけられることになるのだろうか。

——–
■新刊『信じてはいけない　民主主義を壊すフェイクニュースの正体』（朝日新書）

■デジタルメディア・リテラシーをまとめたダン・ギルモア著の『あなたがメディア　ソーシャル新時代の情報術』（拙訳）全文公開中

※このブログは「ハフィントン・ポスト」にも転載されています。