Appleは2020年後半、アプリ向けの新たなプライバシーガイドラインを発表しました。このガイドラインでは、アプリによる個人データの収集と利用について、明確かつ詳細な開示が求められています。また、近い将来には、個人識別子またはデバイス固有の広告主識別子を用いてユーザーを追跡する場合、アプリがオプトインの許可を得ることも義務付けられる予定です。
これら二つの変化はオンライン広告業界を混乱に陥れました。残念ながら、業界は25年の歴史の中で、クリックスルー数を計測し、それを行動と照らし合わせて評価することに熱中していた時代から、ユーザーを意図的に侵入的なミスディレクションと難読化の渦に誘い込む時代へと変わってしまいました。概して、業界は個人情報がどれだけ抽出され、利用されているかをユーザーに知られたくないと考えており、許可を求めることを嫌っています。なぜなら、ほとんどの人がノーと言うことを知っているからです。
オンライン広告業界は、広告の成功は高度にターゲットを絞った広告によってのみ可能だと主張しています。つまり、画面に表示される広告は、ほんの数分前のクリックや訪問履歴など、ユーザーに関するあらゆる情報に基づいて、何兆倍もの計算によって生成されるということです。この成功の主張は真実かどうかは定かではありませんが(以下で述べるように、ますます多くの証拠が、それが真実ではないことを示唆しています)、業界は、もし情報が知られればトランプのトランプ戦略が崩れてしまうことを恐れ、私たちの情報をどのように利用しているかを隠蔽することに頼るようになりました。
Invoca(広告・マーケティング業界があまりにも複雑化しているため、事業内容を正確に把握できていない企業)によるこのブログ記事は、Appleの動きを内部から解説しています。見出しは「IDFAとは何か、そしてAppleがなぜ廃止したのか」です。IDFAとは、Appleがハードウェアに付与するデバイスベースの広告識別子で、デバイスのブラウザCookieのような機能を持ち、ユーザーはいつでもリセットできます。しかし、記事を詳しく読んでみると、誇張した見出しとは裏腹に、著者は実際には次のように述べていることがわかります。
AppleはIDFAそのものを「廃止」したわけではないが、ユーザーのプライバシーを継続的に重視する一環として、iOS 14ではアプリ内での追跡を「オプトイン」方式にした。
言い換えれば、Apple は砂上の楼閣をめちゃくちゃに破壊しようとしているのだ。
大手テクノロジー企業の中で、顧客のプライバシーを最重要課題の一つに位置付け、真剣に取り組んでいるのはAppleだけです。他の大手企業は、プライバシーの重要性を口先だけで主張しながらも、日常的に抜け穴を探し出し、規制違反に対して少額の罰金を支払い、ユーザーの同意を欺瞞的に侵害する手法を構築しています。
AmazonとGoogleは、米国および国際的に情報開示、追跡、消費者への侵害といった問題を抱えていますが、最大のプライバシー侵害者は言うまでもなくFacebookです。Facebookのビジネスモデルは、ユーザーのプライバシーを日常的に侵害し、その後改善を約束することに依存しているように見えますが、実際には決して改善は行われていません。
Appleはここ数年、Safariなどのアプリにおけるユーザートラッキングを段階的に取り締まってきました。こうした取り組みは、ユーザーが特に選択しない限り、オンラインアクティビティが保護され、プライバシーが確保される、安全で一般的に「オプトイン」なインターネットを実現するという同社の使命の一環であると説明しています。Appleの新たなアプリベースの情報開示と、アプリ外でのトラッキングへの同意要件は、顧客のプライバシー保護を重視するAppleの進化を続けています。
オンライン広告業界全体が崩壊の兆しを見せている。表向きはパブリッシャーのために集められた資金の多くは、アドテク企業、広告詐欺、仲介業者に吸い上げられ、実際のサイトに届くのは半分以下だ。ある調査によると、1ドルあたりわずか30セント程度にとどまっているという。
他に起こりうる終末の例はありますか?
- JPMorganChase は広告の配信範囲を 40 万サイトから 5,000 サイトに縮小しましたが、結果に変化はありませんでした。
- Uber は新規ユーザーを獲得するための広告支出を監査し、実際のリード数が減少することなく支出を 1 億 5,000 万ドルから 2,000 万ドルに増やしました。
- プロクター・アンド・ギャンブルはオンラインでの支出を2億ドル削減し、そのリーチが拡大したことに気づいた。
- eBayは紹介による売上が落ちることなく、広告費を1億ドル削減した。
例えば、ある商品を購入した後、なぜ同じ商品の広告がインターネット上であなたを追いかけてくるのか説明してみてください。広告の効率性?ほとんどありません。
Appleのプライバシー対策は、広告主(あるいはパブリッシャー)に成果をもたらさず、その無能さをルーブ・ゴールドバーグの策略の陰に隠蔽してきた、闇の広告大手を倒す可能性がある。Appleが、インターネット黎明期を彷彿とさせる、よりシンプルで直接的、そしてより押し付けがましくない広告を世に送り出す可能性も否定できない。
それはおそらく楽観的すぎるだろうが、まずは Apple がすでに行った変更と、これから登場するサードパーティによる追跡のオプトイン要件から始めよう。
一行から数ページの啓示へ
Appleの新しい情報開示要件は、比較的理解しやすく、要約も容易です。アプリは、どのようなデータを収集する可能性があるのか、そしてそのデータがユーザーに紐付けられるのか、アプリ外で保存されるのか、あるいはユーザーを追跡するために使用されるのかを開示する必要があります。簡潔さという点では、標準化された形式と言語のおかげで、パッケージ食品の栄養成分表示ラベルと比較することができます。しかし、栄養成分表示ラベルと同様に、データは自己申告であることに留意する必要があります。監視と検証におけるAppleの役割は明確ではなく、様々な例外があります。
過去にAppleのプライバシールール、欧州連合(EU)の一般データ保護規則(2018年5月時点)、そしてカリフォルニア州消費者プライバシー法(2020年1月施行)に準拠してきた開発者は、すでにこれらの情報をすべて収集し、アプリ内およびウェブサイト上の1つ以上のポリシーで提供しているはずです。これらの既存の法律、規則、そしてAppleのガイドラインは適用範囲が広範であるため、個人事業主であっても、実質的にすべての開発者が対象となるはずです。
Appleが「アプリのプライバシー詳細」と呼ぶものは、アプリが収集するあらゆる種類のユーザーデータ(埋め込みサードパーティコード経由を含む)と、開発者がそれらをどのように扱うかを体系化し、簡素化するものです。どんな標準規格にも準拠できるような長々としたプライバシーポリシーを読む代わりに、Appleの詳細情報では標準化された用語とトップレベルのアイコンが使用されています。(GDPRは名目上、プライバシー開示において平易で読みやすい言葉遣いを義務付けていますが、それを支援するものではなく、紛らわしい言葉遣いの禁止を強制しているようにも見えません。)
Appleは開発者に対し、必要な情報をすべて収集し提供する方法について、同様に分かりやすく説明している。一般的な原則は、アプリによって収集または推測され、 「送信されたリクエストをリアルタイムで処理するために必要な期間よりも長い期間」デバイス外に送信されるデータは、開示されなければならないというものだ。例えば、誰かがアプリにメールアドレスを提供して何らかの情報を取得させたとしても、アプリの開発者や関連する第三者が取得後すぐにそのメールアドレスを破棄した場合、Appleの定義における「収集」には該当しないと思われる。(なお、私は弁護士ではないため、この記事は法的助言を構成するものではないことに留意してください。)
アプリのプライバシーの説明では、収集される可能性があるデータのカテゴリについて、それぞれの具体的な例(位置情報、財務情報、連絡先情報など)、そのデータがユーザーとどのようにリンクされるか(およびそのようなリンクを回避する方法)、収集されたデータに基づいてアプリ開発者または提携サードパーティがユーザーを追跡する方法などについて説明します。
Appleはまた、デバイス内とデバイス外のトラッキング、パーソナライゼーション、データ使用には大きな違いがあることを明確にしています。アプリは、サードパーティのものも含めたマーケティング情報をダウンロードしてキャッシュし、ローカルに保存された個人情報と広告主IDに基づいて、アプリ内でパーソナライゼーションなどの動作を適用することができます。その情報がデバイス外に送信されない限り、開示する必要はありません。(この原則は、Appleが企業による電話番号スパム識別を許可している方法と似ています。Appleは、電話番号データベースをアプリにダウンロードし、着信電話番号とローカルでのみ照合することを許可しています。)
これらのプライバシー情報は、Appleの各種App Storeのバージョン履歴の下にある「Appのプライバシー」パネルに表示されます。「あなたにリンクされたデータ」には、使用されているすべてのデータのカテゴリーが、それぞれ異なるアイコンで表示されます。また、「あなたにリンクされていないデータ」セクションには、デバイス上でのみ、または診断目的で収集されたデータ、あるいは検索または取得後に保持されないデータ(場合によっては任意)が開示される場合もあります。「詳細を表示」をタップまたはクリックすると、より詳細な項目ごとの説明が表示されます。
開示される情報の範囲は、実に複雑です。ジェームズ・トムソン氏による人気計算機アプリ「PCalc」は、ユーザーとは一切関係のない診断データを収集します。それ以外の情報は収集しません。一方、Facebookの開示情報は、iPhoneの画面10枚分にまで及びます。
ちなみに、Apple は、広告やアプリ内購入など、Apple のフレームワークやシステムの使用を通じてApple 自身が収集する情報をアプリ開発者に開示することを義務付けていません。Apple はすでに、iPhone、Mac、その他のデバイスを使用するために、アプリのユーザーと「ファースト パーティ」として契約を結んでいます。Apple は、ユーザーがデバイスをセットアップして特定の App Store にサインインする一環として、利用規約を公開し、ライセンスとデータ収集ポリシーへの同意を求めています。これらの利用規約や契約は、理想的なほど明確に表示または表現されていないかもしれませんが、Apple がそのユーザー エクスペリエンスも改善するよう努めることを期待できます。(Apple では、一部の追跡と収集をオプトアウトすることもできます。これについては、私の著書Take Control of iOS & iPadOS Privacy and Securityで詳しく説明しています。)
ただし、Appleのアプリには独自のアプリプライバシーリストがあります。Pagesは、「連絡先情報、ユーザーコンテンツ、識別子、使用状況データ、診断情報」がユーザーにリンクされる可能性があると述べています。ワープロアプリとしては、リンクが多すぎるように思えます。しかし、「詳細を見る」をクリックすると、Appleはデータの大部分を分析(使用状況やユーザーの行動の測定)に使用し、アプリのカスタマイズにはごく一部の情報のみを使用すること、そしてアプリ内でユーザーコンテンツ(写真、動画、データ、その他のドキュメント)にアクセスできることを明記しています。
いつものように、問題は情報開示が個人の変化を促すかどうかです。アプリのプライバシーに関する記載は単なる情報開示に過ぎず、ユーザーは様々なデータ収集についてオプトインまたはオプトアウトすることはできません。つまり、全てを受け入れるか、何も受け入れないかのどちらかです。しかし、一般的なソフトウェアのEULA(エンドユーザー使用許諾契約)や難解なプライバシーポリシーとは異なり、Appleの要件と提示方法は、開発者が誠実に情報を提供していれば、何が起こっているのかを非常に明確に示しています。そして、あなたはそれを受け入れるか受け入れないか、つまりアプリを購入するかインストールするかしないかのどちらかです。
しかし、Appleはまもなく、アプリのプライバシーで公開されている項目のうち、特定の項目についてユーザーが選択できるオプションを有効化しようとしています。近い将来(時期はまだ発表されていませんが)、Appleはサードパーティによるトラッキングへの同意をユーザーに義務付ける予定です。これがFacebookを揺るがしている原因であり、以下で詳しく説明します。
許可ベースのマーケティングと広告の聖杯
FacebookがAppleの今後のApp Tracking Transparency(アプリ追跡透明性)要件について、複数の新聞に全面広告を掲載し、Appleのアップデートが中小企業を危険にさらすと主張するウェブサイトを立ち上げるほどまでに恐怖を感じさせたのは一体何だったのだろうか? ティム・クック氏が2020年12月17日のツイートで指摘したように、それはこの小さなメッセージだ(「App Store戦争:Facebook vs. Apple、パブリッシャー vs. Apple、Apple vs. Brave」、2020年12月17日参照)。
ユーザーは、自分に関するデータが収集され、どのように使用されるかについて、選択権を持つべきだと考えています。Facebookはこれまで通り、アプリやウェブサイトをまたいでユーザーを追跡できますが、iOS 14のApp Tracking Transparencyでは、事前にユーザーの許可を求めることが必要になります。pic.twitter.com/UnnAONZ61I
— ティム・クック(@tim_cook)2020年12月17日
Facebookは自社のアドボカシーサイトでこのメッセージを次のように説明している。「Appleの新しいiOS14ポリシーでは、パーソナライズされた広告に不可欠な情報の収集と共有を禁止するメッセージの表示をアプリに義務付けています。」
言い換えれば、Facebookの広告モデル全体が非常に脆弱であるため、ユーザーが自分の情報を好き勝手に共有されるか、Facebookにプライバシー保護を頼るかを選択できるとしたら、広告効果は崩壊するでしょう。これは、Facebookにとって痛烈な告発と言えるのではないでしょうか。
BuzzFeed Newsによると、Facebookの社員の中にも、Facebookの姿勢はナンセンスだと感じる人がいたという。「まるで、同情的なメッセージで人々の陰に隠れて、悪いことを正当化しようとしているようだ」とあるエンジニアは書いている。別の社員は当然のことながら、「なぜオプトインを魅力的なものにして、人々が同意したくなるようにできないのか?」と疑問を呈した。
もちろん、この新たな透明性アラートをトリガーするアプリを提供するのはFacebookだけではありません。Appleが「ファーストパーティ」エコシステムの外でユーザーを追跡する手段を提供すると定義する情報を送信するすべてのアプリは、同様のダイアログを提示し、遵守する必要があります。アプリによっては、対象となるのはアプリ自体だけの場合もあれば、アプリと関連ドメインに編成されたサーバーやその他のリソースの場合もあります。さらに、ネットワークに接続されたハードウェアやサービスなど、より広範な範囲に及ぶ場合もあります。
つまり、Facebookは、iPhone上のFacebookアプリからMacのブラウザからアクセスする可能性のあるFacebookウェブサイトに、追跡識別子を共有するために、このような警告を表示する必要はない。しかし、Facebookウェブサイトとの間でデータのやり取りを行った後は、追跡識別子を他の当事者に渡すことはできない。ターゲティング広告のアプローチを機能させるには、Facebook、あるいはデータブローカーと情報を共有する企業は、追跡プロンプトを表示する必要がある。(アプリは、詐欺行為の抑止や検知、セキュリティ上の目的で、特定の識別情報を共有・利用することもできる。)
しかし、絶対に避けるべき一線があります。企業が自社所有または自社運営のサービス以外でユーザーを追跡できる情報を共有する場合、この透明性要件が適用されます。Appleが広範なサービスを提供する企業に対してこれをどのように適用するかは、まだ明らかになっていません。Facebookは、InstagramやWhatsAppといった子会社を通じて、警告なしにユーザーを追跡できるのでしょうか?
この追跡プロンプトは、AppleがApp Tracking Transparency(アプリ追跡の透明性)を有効にした後、初めてアプリを起動した際に表示されます。後で変更したい場合は、「設定」>「プライバシー」>「追跡」で変更できます。アプリ側でポップアップが表示される理由を説明することも、一般的なメッセージを表示することもできます。(このアプローチは、開発者や広告ネットワークによる回避策や抜け穴の悪用に対応するため、AppleがiOSとiPadOSの複数回のリリースで強化してきた位置情報プライバシーと非常によく似ています。)
特に、アプリを使用するにあたり、サードパーティによるトラッキングへの同意をアプリに義務付けることはできません。Appleは開発者向けFAQで次のように述べています。「[Q] トラッキングを許可することに同意することで機能を制限したり、アプリのトラッキング透明性プロンプトでユーザーにトラッキングを許可するよう促したりすることはできますか? [A] できません…」
電子フロンティア財団(EFF)は、FacebookによるAppleに対するキャンペーンはユーザーや中小企業とは全く関係がないと主張している。むしろ、Facebookはプライバシーの侵害に依存するビジネスモデルを強化し、反競争的な行為から目をそらそうとしているのではないかとEFFは示唆している。
しかし、EFF の第一の、一見明白な立場はさらに大きな反響を呼んでいる。
たとえそれが企業の利益に繋がるとしても、企業による私たちの基本的人権の侵害を許すべきではありません。
そのトランプのカードを吹き飛ばせ、アップル、吹き飛ばせ。
アップルは顧客を製品のように扱うビジネスを行っていない
批評家や懐疑論者は、Appleの莫大な収益源のうち広告収入はごくわずかであるため、広告ネットワークと仲良くする必要はないと指摘するだろう。そうした人々は、Amazon、Facebook、Google、さらにはMicrosoftへの広告収入を減少させるような制限を課すことは、Appleのハードウェアエコシステムに挑戦したり、競合するアプリやサービスを開発したりする彼らの努力を阻害するだろうと主張するかもしれない。(Microsoftが広告に重点を置いているとは思わないかもしれないが、同社は2020年度に驚くべきことに約80億ドルの広告収入を生み出した。)
しかし、Appleがプライバシーを武器にして他のIT大手に打撃を与える必要があるとは考えにくい。Amazonはあらゆる商品を売って利益を上げており、EchoスマートスピーカーやFire TVなど、Apple製品と競合するハードウェアでさえ、HomePodやApple TVと競合している。これらはおそらくAppleのハードウェア製品の中で最も売れていない製品だ。GoogleのAndroidオペレーティングシステムは広告収入で、米国司法省の最近の提出書類によると、GoogleはAppleデバイスのデフォルト検索エンジンになるために、年間80億~120億ドルをAppleに支払っている。Microsoftはモバイルビジネスから撤退し、Windowsの規模にかかわらず、Appleを含むすべてのプラットフォームでアプリとサービスを利用できるようにすることに力を注いでいる。プライバシーはAppleのセールスポイントかもしれないが、全体として、同社はそれを他社に対する競争上の武器として使っていない。
ティム・クック氏は、ユーザープライバシーのほぼすべての側面において、欠陥や例外が発見された際には謝罪し、変更を加えるなど、一貫して原則的な姿勢を貫いています。これは誠実であると同時に、マーケティング戦略でもあると言えるでしょう。しかし、例えばウォルマートが再生可能エネルギーへの移行や排出量削減に取り組んでいるように、社会への恩恵は受け入れつつも、欠陥や誤解を招くような発言には鋭い目を向け続けるべきです。
結局のところ、インターネット上の非公開、不要、およびオプトアウト形式の追跡の量を削減しようとする Apple の取り組みは、たとえ寄生的なデータ ブローカー、仲介業者、および広告テクノロジー企業の資金繰りを悪化させる結果になったとしても、何も悪いものではありません。