Webブラウザ用ツールバー「Google Toolbar」の通信処理に問題があると、2010年5月11日初頭に様々なセキュリティ研究者が指摘しました。仮にユーザーがGoogle Toolbarを「無効化」して非表示にしたとしても、ツールバーは動きを止めず、ユーザーが表示したWebページやグーグル以外の検索エンジンで実行した検索操作などのオンライン活動を記録し続けてしまう、とのことです。グーグルの対応は非常に素早く、直ちに許可なく行うこの通信処理の問題の修正を行いました。しかし、なぜグーグルは社内テストでこのバグを見つけられなかったのでしょうか。その根底には、システム設計段階における情報開示方法や、プライバシー保護機構における問題が垣間見られます。
情報の開示方法を再考
Google Toolbarユーザーの多くは、グーグルの「Enhanced Features(拡張機能)」を有効にしています。つまり、グーグルがユーザーの表示したWebページと実行した検索操作を全て記録する設定になっているのです。その一方で、ユーザーの多くは情報記録の事実に気付いていません。
まず、グーグルはツールバーの記録機能をインストール直後に表示するポップアップ画面で説明します。この時点でインストール作業は終了しており、ユーザーはただ仕事に戻りたいだけなので、これ以上の質問に答えたり、何か判断したりしたくない状態に置かれています。情報開示の際における、守るべき最初の原則として、「ユーザーが与えられた情報にもとづいて意思決定しようとするタイミングで同意してもらう」という内容があげられます。この作業はインストール時に行う必要があり、決して後付けにしてはいけません。
情報開示は、タイミングだけではなく説明文も極めて重要です。情報開示にかかわる文章は明快かつ厳密な表現を用いる必要があり、極めて正確な内容を表記しなければなりません。この種の作業はコミュニケーション専門家が得意としていません。
分かりやすい情報開示を実現するには、重要な情報が目立つよう工夫したタイトルとレイアウト、フォーマットの専用画面を表示させると良いでしょう。見出しや要旨、文の構造によっても分かりやすさが改善します。タイトルを「プライバシーに関する重要な選択」や「プライバシー設定」などにすることで、問題の本質を突き、設定による影響を伝えることができるでしょう。このような重要な画面は、ユーザーに情報を提供することが目的であり、ユーザーを説得しようとしてはいけません。重要なことは、画面のデザインをマーケティング担当者に任せず、ポリシーやコミュニケーションの専門家に依頼することです。
追加情報を必要とするユーザーには、より詳しく説明した文書を提供する必要があります。この文書にも正確で厳密な内容が求められます。またその文書にもフォーマットの分かりやすさが重要です。プライバシーの注意点をWebブラウザの画面で表示する際、メニューやツールバーを用意する必要があります。情報開示は、ユーザーにとって使いやすく、内容を理解したくなるような方法で行わなけばなりません。
ユーザーがWebブラウザを操作するたびに実行され続ける、扱いに注意を要するこうした通信処理は、情報開示を繰り返して行わなければなりません。プライバシーに重要な影響を及ぼすプログラムでは、そのことを折に触れて繰り返しユーザーに気付かせると良いでしょう。アラートやメッセージを使用し、影響下にあることを明確にユーザーに知らせるのです。例えば3カ月に1回といった頻度などで、インストール内容をユーザーに思い出させる必要があります。
プライバシー保護の仕組みを改善
優秀なプライバシー保護機構は、情報開示よりも大切です。ソフトウェア開発者がデータの収集や保持方法をきちんと調整すれば、サービスにおけるプライバシー問題を激減することができます。
まずは、集めるデータを見直さなければなりません。対象となる機能を使用する代わりに、詳細情報の記録を認めるユーザーは多いのでしょうか。Google Toolbarについて考えると、Webページ単位の重要度指標「PageRank」を知りたいユーザーは多くないと考えられます。グーグルのSidewikiで提供されるコメントの質や量も、重大なプライバシー侵害に見合いません。対象となる機能のメリットを嘘偽りなく伝え、ユーザーの関心を第一に考えることが重要です。データ収集するのは、ユーザーから見て、すぐにメリットが得られる状況に限定した方が良いでしょう。「サービスが改善される」とか「コミュニティが形成される」といったあいまいなメリットは、データ収集の理由になりません。
システムがユーザーの要求を満たすために通信する情報は、最小限に抑えた方が良いでしょう。例として、あるWebサイトのPageRankをユーザーに知らせる方法を二つ考えてみます。一つ目は、ユーザー側のPCがアクセスしようとしているURL情報を全てサーバーに送り、サーバーが該当WebページのPageRankを返すというものです。二つ目は、PCがドメイン名だけをサーバーに送り、サーバーが該当ドメイン配下でよくアクセスされるURLのPageRankを表形式で返すというものです。後者でも、表に記載するデータについてワイルドカードを使用したり、まとめていたりすれば、必要とする通信帯域を余り増やさずに、やや複雑な処理で済ますことができます。その一方、プライバシー保護では大きな恩恵が得られます。一つ目の方法だとアクセスしたWebページの情報は漏れなくサーバーに伝わってしましますが、二つ目の方法だと具体的なWebページは知られずに済みます。
また、データはできる限り保存せず、同意を得た特定の目的だけに使用することを推奨します。特に検討が必要なこととしては、データの保存期間および利用目的と、利用許可を与える対象です。一見、当然と思われますが、いずれも見落としやすい項目です。プライバシー・ポリシーを読んでも答えは得られないですし、基本的なプラバシーポリシーもこの点に触れていないケースが多くあります。
まとめ
今後のシステム設計に必要なことは、システムにプライバシー保護機構を組み込むことです。収集するデータを減らすことで、ユーザーが実際に関心を示したときだけデータを収集するべきです。またユーザーには、同意したことの本当の意味と理由を理解してもらう必要があります。プライバシー保護を、企業と狙っているビジネスチャンスの間に立ちふさがるハードルではなく、プライバシー保護自体を価値がある目標と考えなければなりません。ユーザー情報から利益を得ようと考える人々にとっては、納得しづらい状況の可能性もありますが、これこそ適切な行動だと言えます。
※本ページの内容はMcAfee Blogの抄訳です。
原文:Protecting Privacy by Design