Metaのターゲティング広告に対するEU当局の規制まとめ
(作成 2023/02/12、更新 ----/--/--)
昨年12月から今年1月にかけての、EU当局によるMetaのターゲティング広告に対する規制について、自身の中での整理も兼ねて状況をまとめておこうと思います。
認識違いや、おかしな記述などありましたら、コメント欄でお知らせいただけると幸いです。
何が起きたのか
- 2023年1月4日、アイルランドのデータ保護委員会(DPC)は、GDPRに違反したとして、Metaに3億9,000万ユーロ(約550億円)の制裁金を科すと発表(参考1, 参考4)
- DPCはMetaに対し、3ヶ月以内に是正策を講じるよう求めた(参考1)
何が問題となったのか
- 2022年12月5日、欧州データ保護委員会(EDPB)は、FacebookとInstagramが、これらのアプリ内での操作に基づくターゲティング広告に同意することを、同アプリを利用する際の条件にしてはならないとする裁定を下した(参考3)
- EDPBはDPCに対し、公式の命令を出し、制裁金を科すよう求めている(参考3)
- これはGDPRが施行された2018年5月25日の2件の申し立てに関する最終決定になる(参考6)
- 弁護士でありプライバシー活動家でもあるMax Schrems氏が2018年にDPCに苦情を申し立てたことに端を発している(参考9)
- FacebookとInstagramの利用規約が、GDPRに違反してターゲティング広告の表示に同意することをユーザーに強制しているという申し立て(参考6)
- Metaは、2018年のGDPR施行に伴い、FacebookとInstagramの利用規約を変更。従来は、ターゲティング広告に個人情報を利用する際ユーザーの同意を得ていたが、変更後の規約をユーザーが受け入れた時点で個人情報を合法的に広告に利用できると見なすようになった(参考1)
- 問題となっているのは、MetaがFacebookとInstagramの個人データを利用する上での正当性(参考8)
- GDPRにおいては、企業がユーザーの個人データの利用を正当化するための6つの条件が定められ、そこにはユーザーの同意を得ることが含まれている(参考8)
- Metaは、ユーザーがボタンを押すことで広告の表示に同意していると主張(参考8)
- DPCは当初、Metaの主張が合理的だと解釈したが、DPCと他の欧州の規制当局との間で意見が対立した結果、この問題はEDPBに付託されていた(参考8)
- Metaは長年、外部のウェブサイトやアプリのデータに基づくターゲティング広告についてはユーザーが拒否できるようにしてきたが、自社のプラットフォームについてはそうした選択肢を提供していない(参考5)
- 同社のアプリ内でどの動画を見たか、どのアイテムをタップしたかといった行動に基づく広告については、その選択肢を用意していない(参考3)
Metaの反応は
- Metaは異議を申し立てる意向とし、今回の決定によって自社プラットフォーム上に個人情報に基づく広告が出せなくなるわけではないと説明(参考1)
- 「ユーザーと企業に対しては、EU全域でメタのプラットフォームにおけるパーソナライズド広告の恩恵を受け続けられることを保証します」と、同社はコメントしている(参考4)
- GDPRは、データの利用について同意を得ることを義務付けていないとし、自社のアプローチは法に準拠していると確信していると強調(参考1)
- 事業の運営方法を変更する必要はないとした上で、人々のデータの処理において法的に正当化できる新しい方法を見つける必要があるだけだと主張(参考4)
- Metaは公式ブログで、この決定に異議を申し立てるつもりだと語った。「われわれのアプローチはGDPRを尊重していると確信しており、今回の決定に失望している」(参考6)
- 「FacebookとInstagramは本質的にパーソナライズされており、各ユーザーに独自の体験を提供することが、彼らが見る広告を含め、そのサービスに必要かつ不可欠な部分であると信じている」とMetaは声明で述べた(参考8)
- Metaは、ユーザーが広告やプライバシーを設定するためのツールの開発に継続的に投資していると説明(参考2)
- この取り組みには、利用規約やプライバシーポリシーの明確化、プライバシーに関する新しいショートカットメニューの追加、自分のデータを管理したり一括削除したりするツールの提供、表示される広告に関する説明などが含まれる(参考2)
今後どうなるのか
- Metaは、自社プラットフォーム上でのオプトアウトを提供するよう求められる可能性がある(参考3)
- 法廷闘争が長引く可能性があるものの、最終的に今回の決定が確定すれば、メタはネット上の行動履歴に基づく広告表示に同意しない選択肢をユーザーに提供することが義務付けられ、主力事業への打撃となる(参考5)
- 判決の一部として、EDPBはアイルランドのDPCに対し、FacebookとInstagramのすべての個人データの処理プロセスを網羅する、新たな調査を実施するよう命じた(参考8)
- DPCは、これをEDPB側の「行き過ぎた行為」と呼び、欧州司法裁判所に無効化を求める予定(参考8)
- 「これはデータが無料で使われる時代の終わりの始まりです」と、プライバシー活動家でICCL(Irish Council for Civil Liberties)のシニアフェローのジョニー・ライアンは語る(参考4)
引用記事
参考1:EU、米メタに制裁金4.1億ドル ターゲティング広告巡る違反で | ロイター
参考2:アイルランド当局による550億円の支払い命令、Metaは「強く反対」の方針 - ケータイ Watch
参考3:Metaのターゲティング広告モデル、EU規制当局の新たな決定に直面か - CNET Japan
参考4:メタのパーソナライズド広告を規制するEU判決は、“監視資本主義”の終わりの始まりとなる | WIRED.jp
参考5:EU、米メタに制裁金550億円 追跡型広告巡り - WSJ
参考6:アイルランド、Metaにまた罰金 GDPR違反で約547億円 - ITmedia NEWS
参考7:米メタに制裁金550億円=EUデータ保護規則違反―アイルランド当局 - 海外経済ニュース - 時事エクイティ
参考8:EUの制裁金550億円で終わらないメタの「追跡型広告」の問題 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
参考9:Metaに550億円の制裁金--アイルランド当局がGDPR違反と判断 - CNET Japan
その他:
「FacebookとInstagramでユーザー追跡広告を強制表示していた」としてMetaが約547億円の罰金を科される - GIGAZINE
【読書メモ】ビッグデータの倫理(O'Reilly Japan / 2013)
(作成 2022/11/20、更新 ----/--/--)
知人からお薦めされた『ビッグデータの倫理』を読みました。
O'Reilly Japan - ビッグデータの倫理
https://www.oreilly.co.jp/books/9784873116006/
2013年なので今から9年前の書籍ですが、テーマや考察に古さは感じず、もちろん世の中の法律や規制は当時より進んでいるのですが、AI倫理の問題は息が長いのだと改めて思います。
特に印象に残ったのは下記(書籍より引用)。
倫理的判断ポイントの特定方法にはいくつかある。馴染みがあるのは、完全に信頼できて納得いくものではないが、「気持ち悪さ(creepy)」だろう。これは基本的に、何かが正しくないという本能的で無意識による感覚だ。
この「気持ち悪さ」は役に立つが、掴みどころのない概念だ。そして、あなたのビジネスモデルやオペレーションにおいて、価値と行動の整合における気持ち悪さの度合いの算出は、そのコンテキストに大きく依存する。
サービスや施策のレビューをするときは、この「気持ち悪さ」がどういった性質のもので、何に起因するのかを、できるだけ言語化するよう意識しています。
ここでは少し抽象度高めですが、
- その目的を達成する上で必要性が低いから
- ユーザーへのメリットが間接的なのに対し、デメリットは直接的に発生しうるから
- そのUI(ex. 画面遷移, 説明)ではユーザーが気づかず、サプライズになるから
- 一般に普及したサービスや同業他社では行っておらず、ユーザーはその仕様に慣れていないから
- 身近な友人にすら公表しない情報で、センシティブ度が高いから
など。
また「気持ち悪さ」の度合いに影響するコンテキストは、5W3H(5W + How, How much/many, How often)で整理するようにしています。
ビジネス部門と合意する上では、解像度の高い説明が求められますので、引き続き精進したいと思います。
今回は読書メモなので短いですが、以上です。
『AI・データ倫理の教科書』は、具体例で AI倫理 / 責任あるAI の概観を掴める入門書
(作成 2022/09/10、更新 2022/09/10)
「AI倫理(AI Ethics)」や「責任あるAI(Responsible AI)」について、原則を定める企業が、海外だけでなく国内でも増えてきました。
分野として興味は持っていたものの、なかなか体系的に理解を深められるコンテンツに出会えなかったのですが、本書は「教科書」という名前の通り、具体例が豊富で、概観を掴むのにぴったりの一冊だと思います。
とても良い本でしたので、参考になった点を書評としてまとめました。
おかしな記述などありましたら、コメント欄でお知らせいただけると幸いです。
本書の内容
第1章 倫理の判断枠組み
- Ⅰ はじめに
- Ⅱ 倫理とは何か
- Ⅲ 倫理についての判断枠組み
最初に「倫理とは」という用語の定義があり、著者の福岡氏は以下のような整理をしています。
・「倫理」は社会規範、「道徳」は内心の規範
・同じ社会規範である「法律」との違いは、違反した時の国家による制裁の有無
・「倫理」に反する行為は、国家による刑罰や損害賠償請求はないものの、社会的な批判を受ける場合がある
そして次に、倫理の判断枠組みとして、倫理学の流派といいますか、系統を紹介しながら、「功利主義」「義務論」「徳倫理学」という主要な3つの考え方について解説しています。
どの考え方が最上ということではなく、ケースや文脈によって使い分けたり、組み合わせながら、倫理的な判断をしていく必要があるのだと理解しました。
第2章 各国のAI倫理原則
- Ⅰ はじめに
- Ⅱ AI倫理原則の世界的動向
- Ⅲ AI倫理原則に見られる共通点
国内でいえば、
・人工知能学会倫理指針
・国際的な議論のためのAI開発ガイドライン案
・人間中心のAI社会原則
・AI利活用ガイドライン
海外では、
・OECD Principles on Artificial Intelligence
・信頼できるAIの責任あるスチュワードシップのための原則
など、政府や民間団体によるAI倫理原則が、多数公表されています。
この第2章では、国内・海外における主要なAI倫理原則を紹介し、最終的に9つのテーマに集約しています。
- 人間の尊重
- 多様性・包摂性の確保
- サスティナビリティ
- 人間の判断の関与・制御可能性
- 安全性・セキュリティ
- プライバシーの尊重
- 公平性
- アカウンタビリティ
- 透明性
多くのAI倫理原則から共通項が抜き出されているので、視点のフレームワークとして参考になりますし、自社の取り組みを点検する際のチェックリストとしても活用できると思います。
第3章 AI・データ倫理が問題となった事例
- Ⅰ はじめに
- Ⅱ 人間の尊重
- Ⅲ 公平性
- Ⅳ プライバシーの尊重
- Ⅴ アカウンタビリティ
- Ⅵ 透明性
- Ⅶ 人間の判断の関与
- Ⅷ 安全性・セキュリティ
- Ⅸ 多様性・包摂性の確保
- Ⅹ サスティナビリティ(持続可能性)
- ⅩⅠ まとめ
本書で、一番多くページが割かれているのが、この第3章です。
先の第2章で集約した9つのテーマごとに、社会問題となった事例を紹介し、何が論点だったのか、どうすれば防げたのかを考察しています。
個人的には、「Ⅲ 公平性」のパートが興味深く、AIが人間の持つバイアスを取り込んだり、社会の差別を再現してしまう可能性はニュースで指摘されることも多く、参考になりました。
事例としては、Amazonの人事採用AI、アップルカード事件、再犯リスクを評価するCOMPAS、滞納予測AIなどが紹介されています。
「何をもって公平か」の判断は悩ましく、(AIではありませんが)たとえば女性の管理職比率を例にとっても、
・50:50にする
・日本の人口性比に合わせる
・その企業内の性比に合わせる
など、様々な基準が考えられます。
一律の正解があるわけではありませんので、もし自社で基準を定めるとしたら、どのような背景で、何を考えてその基準を選択したかを対外的に説明できるよう、それこそ多様なメンバーで、外部の方々とも議論を重ねなくてはと思いました。
第4章 AI倫理に対する企業の取組み
- Ⅰ AI倫理に関するソニーの取組み
- (ソニーグループ株式会社 法務部 法務グループ 有坂陽子)
- Ⅱ マイクロソフトの責任あるAIの取組み
- Ⅲ メルカリの取組み
- (株式会社メルカリ 会長室 政策企画 松橋智美)
- Ⅳ 富士通におけるAIガバナンス
- (富士通株式会社 AI倫理ガバナンス室長 荒堀淳一)
インタビュー形式で各社の取り組みを紹介しています。
この4社の中ですと、実践という観点で、Microsoftが一段進んでいる印象を持ちました。
同社は6年前の2016年に、CEOのサティア・ナデラ氏が責任あるAIのコンセプトを発表し、取り組みを開始しています。
本書でも、ガバナンス体制のハブ&スポーク、開発現場で運用しているガイドラインやチェックシートなどを紹介していて、実務者としては非常に参考になりました。
また補足にも書きましたが、MicrosoftはGoogleと並んで、サイトコンテンツが充実していますので、本書を読んだ上で同社のサイトを眺めていただくと、より一層理解が深まるものと思います。
個人的な感想
最後に、本書の良い点を改めて整理したいと思います。
- 倫理学の枠組みがあり、倫理的かを判断する視点を得られる
- 国内外のAI倫理原則から共通点を抜き出し、9つのテーマに整理した上で、事例とセットで解説しているのでわかりやすい
- 国内企業の具体的な取り組みを紹介していて、実務の参考になる
「AI倫理」や「責任あるAI」の概観を掴めたことで、目にするニュースや各社の取り組みを一段深く見れるようになりましたので、関心のある方にはおすすめの一冊です。
補足
「AI倫理」と「責任あるAI」の関係性
『責任あるAI -「AI倫理」戦略ハンドブック』によれば、「責任あるAI」実現のために守るべき規範が「AI倫理」とのこと。
実践的な取り組み
本書をきっかけに他社事例を調べていたのですが、MicrosoftとGoogleは実践的な取り組みを公開していて、特に進んでいる印象を持ちました。
機会があれば、両社の取り組みもブログにまとめたいと思います。
内容充実で視覚的にもわかりやすい「プライバシーセンター」まとめ
(作成 2022/08/15、更新 2022/10/02)
個人情報やパーソナルデータの取り扱いについて、イラストや図解、具体例などを交えて解説しているプライバシーセンター。
ユーザーに向けた透明性や説明責任の役割を担うプライバシーセンターですが、今回の記事では、
・内容が充実しているか(網羅性、具体性、説明の十分さなど)
・視覚的にわかりやすいか(構成、表現の平易さ、図の有無など)
といった点で、参考になる事例を紹介したいと思います。
・考慮の抜け漏れやおかしな点
・他社の取り組みに関する情報提供
などありましたら、コメント欄でお知らせいただけると幸いです。
(以下は五十音順)
- 【え】NHK
- 【え】NTTドコモ
- 【ぐ】Google
- 【く】ClassDojo
- 【す】Snap
- 【そ】ソフトバンク
- 【に】日本経済新聞
- 【ふ】Facebook
- 【ぺ】PayPay
- 【め】Meta
- 【や】Yahoo! JAPAN
- 【ら】LINE
- 【り】リクルート
【え】NHK
<特徴>
- サイトやアプリごとに、パーソナルデータの取り扱いを記述している
- オプトアウト画面にスライドボタンがあり、ユーザーは外部事業者のサイトへ移動せずに設定変更できる
- 開示等の請求について、各事案の概要や審議内容を公開している
【え】NTTドコモ
<特徴>
- イラスト中心でわかりやすい
- マンガで敷居を下げている
- 広告の説明もイラストと図解でわかりやすい
- パーソナルデータのダッシュボードを用意している
【ぐ】Google
<特徴>
- プロダクトごとに詳細ページを用意している
- 文字量が多くならないよう、横にスライドするカーソルを用いている
- 管理画面、設定画面への導線がある
- 子どもの保護者向けコンテンツがある
【く】ClassDojo
<特徴>
- 創設者のメッセージから始まる
- 文章が簡潔で、表現もわかりやすい
- ユーザーボイスが掲載されている
【す】Snap
<特徴>
- 文章がフレンドリーで親しみやすい
- プライバシーポリシーの要約ページがある
- 製品・機能別のプライバシーコンテンツがある
- コンテンツやアカウントの違反件数と対応状況を公開している
【そ】ソフトバンク
<特徴>
【に】日本経済新聞
<特徴>
- プライバシーポリシー内でイラストを用いたり、①〜④の記号で関係を整理するなど、わかりやすさを意識している
- クッキーポリシーが充実している
- 「特定の誰であるかが分かる」と「特定の誰であるかが分からない」を分けて整理している
- SNSのボタンに関する留意事項を記載している
- 日経が導入している外部サービス/ツールについて、「広告」と「分析」の軸で利用目的を分類している
【ふ】Facebook
<特徴>
- 投稿、プロフィール、タグ付けなど、機能ごとに詳細ページを用意している
- 文字量が多くならないよう、横にスライドするカーソルを用いている
- 管理画面、設定画面への導線がある
- FAQ形式で、ユーザーが欲しい情報を見つけやすい工夫をしている
【ぺ】PayPay
<特徴>
- Yahoo! Japan同様、利用・取得・連携について説明している
- 統計化の例を記載している
- プライバシーに関する各種設定方法をまとめている
【め】Meta
<特徴>
- Facebookだけでなく、Instagramも包含している
- 自身の情報の管理画面、ダウンロード画面への導線がある
- FacebookとInstagramを連携したパーソナライズに触れている
- 青少年(18歳未満)向けのコンテンツがある
【や】Yahoo! JAPAN
<特徴>
- パーソナルデータには、個人情報のほか、「誰かの情報ではある」という程度の識別性を有しているすべての情報が該当する、としている
- 用途の詳細が充実している
- パーソナルデータの閲覧・削除・ダウンロード機能がある
- 冗長にならないよう、「詳しく見る」ボタンでアコーディオン形式にしている
- 子どもの保護者、および15歳以下の子ども向けのコンテンツがある
【ら】LINE
<特徴>
- パーソナルデータのライフサイクル(取得・利用・提供・保管)に沿って整理している
- プライバシーポリシーを起点にコンテンツが充実している
【り】リクルート
<特徴>
- パーソナルデータを「個人情報」と「インフォマティブ情報」に分類している
- イラストや図解でわかりやすさを意識している
- クロスユース(内部連携)や外部連携の事例が充実している
- セキュリティ対策とプライバシーガバナンスの取り組みが具体的である
-
セキュリティ対策
- プライバシーガバナンス
-
プライバシーガバナンスで考える要素を整理する
(作成 2022/08/09、更新 2022/08/15)
プライバシー保護を実現するには、体制やプロセスを社内に構築し、仕組みとして機能させることが重要になります。
この記事では、経産省と総務省が公開している「DX時代における企業のプライバシーガバナンスガイドブックver1.2」*1を参考に、自社のプライバシーガバナンスを考えるとしたら何を考慮する必要があるのかを、整理したいと思います。
・考慮の抜け漏れやおかしな点
・他社の取り組みに関する情報提供
などありましたら、コメント欄でお知らせいただけると幸いです。
考える要素の全体像
大きく「ポリシー(方針)」と「プラクティス(実践)」の2つに分けて整理しています。
ポリシー(方針)
<指針・憲章>
組織として大事にすること、ユーザーとの約束ごとなど、どういう状態(ゴール)を目指すのかを宣言した文書です。
外部向け
多くの企業では、個人情報について、プライバシーポリシーや個人情報保護方針を定めていると思います。
より広い「パーソナルデータ」について、パーソナルデータ憲章/指針を定める会社も増えてきています。
内部向け
個人情報やパーソナルデータの取り扱いに関する、社内規程などが該当します。
<ガイドライン/ブック>
上記の指針・憲章を具体的に記した文書です。
外部向け
文字ベースで抽象的な指針・憲章を、イラストや図解、具体例を交えて解説したもので、代表例がプライバシーセンターになります。
内部向け
社内規程を実務に落としたルールブックなどが該当します。
プラクティス(実践)
<ガバナンス>
体制
プライバシーガバナンスを機能させるための体制を作る。
- 責任者
- CPOやDPOなど、社内におけるプライバシー保護の責任者を定めます。
- プライバシー保護組織
- プライバシー専任の組織を作ることもあれば、法務やセキュリティが兼任するする場合もあります。
- 内部連携
- 事業部門やプロダクト部門とどのように連携するか。
- 外部連携
- 研究機関や業界団体、弁護士といった社外の有識者とどのように連携するか。
レビュープロセス
リスクチェックやPIA(プライバシー影響評価)を実施する。
- どの工程で(Where, When)
- ex. 企画、開発、テストなど
- どの組織が(Who)
- ex. 法務、セキュリティ、社外の有識者
- 何を(What)
- ex. パーソナルデータの
- インプット(入力)
- スループット(処理)
- アウトプット(出力)
- ex. パーソナルデータの
- どのような基準で(How)
- どのような頻度で(How often)
- ex. 発生ベース、Qごと、1年に1度
外部監査
社外の第三者から客観的な評価を得る。
- 有識者会議
- 諮問委員会
- ユーザーへの意識調査
<周知・浸透>
定めたルールやプロセスが遵守されるには、各従業員への意識づけや、現場に定着させるための取り組みが必要です。
教育
- 基礎
- eラーニングやテストで、プライバシー保護に関する前提知識を揃えます。
- 応用
- それぞれの事業部門やプロダクト部門に特化した内容で、発展的な内容の研修や勉強会を開催します。
ツール
- ドキュメント
- 普段の業務で使用する資料やマニュアルに盛り込み、従業員が日常的にプライバシー保護を意識する機会を作ります。
- チェックシート
- レビュープロセスとは別に、現場の従業員がプライバシーリスクを点検できるチェックリストを用意します。
- 開発キット
*1:「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました (METI/経済産業省)
https://www.meti.go.jp/press/2021/02/20220218001/20220218001.html