データ収集に関する法整備
トラッキング、データ収集全般について、法整備の観点から考えてみる。
データ収集の問題点
データ収集の問題点を整理する。ユーザーのデータは第2の通貨として機能している。ただ、お金という形式の通貨とは違いが2つある。
1つ目は、使ったら取り戻すことができないということ。デバイスを離れ相手のサーバーやストレージに保存されたら、ユーザーが管理することはできない。消去機能があったとしても、それは消去機能があった場合の話だ。消去機能があったところで、消去の定義・方法はわからないし、実際に消去されたかの確認はできない。
2つ目は、お金と違い、所有者は一人ではなく、価値を失わないまま共有されうる。収集されたデータをコピペして、第2、3者に譲渡・販売できる。お金のコピーが好きなだけ行えるようなものである。
ところが、ユーザーは第2の通貨という認識はなく、データ収集により私達の自由や活力が奪われている実感もないだろう。気が付かなければ、問題視もされない。
脳天気な法整備
法整備の必要性はある。例えば、広告企業が自発的にトラッキングをやめることは考えられない。なぜなら、合法的に、ユーザーに気が付かれずにデータ(第2の通貨)を取ることができるならば、取り続ける方が得策だからだ。
現状の法整備は、データを収集するための条件や、収集された情報がどのように管理されるか、第三者提供の規制、ペナルティの設定などがある。スマホビジネスは特に開発が活発であるために、そのペースは法整備よりもはるか先をゆく。政策で対抗しようにも常に後手に回る。もっと根本的な解決が必要だ。
規制対象は、データ収集自体にするべきである。現状の法整備ではフォーカスがずれてるし、問題の焦点をミスリーディングすることになる。収集された段階でユーザーに管理権限はない。デバイスを離れた後のことはうやむやになる。問題なのは、データを集めること自体である。データの管理方法に関して語った時点で、データ収集を許していることになり、それはユーザーの権限やコントロールを貶めている。データは企業のものではなく、ユーザー自身のものであるということを強調する必要がある。
本当に必要なデータだけ収集すること。それ以外の収集をした時点での罰則を規定することが重要だ。必要だと誤解させたり、ダークパターンに頼ったとしても、データを収集した時点で処罰対象にする。データ収集がなければ、わけのわからないTOSやプライバシーがどうのこうのという長話もする必要がない。なぜなら、データを管理するのはユーザーだからである。世界共通で不必要なデータ収集に対する規制を定めるべきだ。それ以外は、ユーザーにとっては確認しようがないという点で無価値だ。
法整備の懸念点
法律は何もユーザー側の味方というわけではない。企業のデータ収集を規制すればプライバシー上良いことかも知れない。個人データ保護に関しては、現状GDPRが注目されているが、一方で、Chat controlという構想があり、CSAMを理由にしてE2EEを含めて、クライアントサイドでのmass surveillance体制を強化しようとしている。つまり、企業のデータ収集は法律の対象にできても、政府のデータ収集は対象にはならない。
GDPRも別にユーザーのことを考えて生まれたわけではない。GDPRにもChat controlにも一貫していることは、政府は規制を強めるということだ。まずは、企業の方からアプローチしただけである。私達は反対を表明することはできるが、その効果は限定的だ。単純に法整備だけで、解決を図ることはことは難しいだろう。ユーザーの主体性や意識が求められる。