「プライバシー保護に敵対的」 最低評価を受けたGoogle
米Googleがまたしてもプライバシー問題に直面している。プライバシー保護団体が行ったネット大手各社のプライバシー取り組み評価で、“最低”という不名誉なレッテルを張られたのだ。同社は強く抗議したが、その一方で譲歩も余儀なくされているようだ。
英国に本拠を持つNPO、Privacy International(PI)が6月9日、23のインターネット企業・サービスを評価した「Privacy Ranking of Internet Service Companies」(暫定版)を発表した。これは、6カ月間、20の主要指標から各社のプライバシー保護に対する取り組みを調べ、「プライバシーに優しい」から「プライバシー保護に敵対的」までの6段階で評価したものだ。
その結果、最上位はなし。eBay、BBC、Wikipediaなどが2番目の「改善の余地あり」、AmazonやMyspaceが3番目の「いくつか問題あり」、米Microsoftは4番目の「深刻な問題あり」、米Appleや米Yahoo!とWindows Live Spaceは5番目の「多くの脅威あり」とランクづけられた。そして、Googleは最下位にランクされた唯一の企業となった。
PIによると、Googleが最下位となった要因としては、そのずば抜けたアーカイブレベル、製品とサービスの多様性と特殊性、市場独占状態と膨大なユーザー数によってさまざまなツール間でデータ共有が可能なこと、などがあるという。ほかにも、同社がOECDのプライバシーガイドラインやEU(欧州連合)のプライバシー基準を完全に順守していないこと、またGoogle Toolbarでの検索情報についてポリシーを明確に公開していないことなどを挙げている。
PIは「Googleのプライバシーへの態度には、最も露骨に言えば敵対的、控えめに言えばあいまいさがみられる。こうしたことは、MicrosoftやeBayのような企業にはみられない」とコメントしている。
もちろんGoogleはこの評価に不満だ。英Guardianによると、Googleのグローバル・プライバシー顧問のPeter Fleischer氏は「(PIの)調査は間違いと誤解だらけ」と述べ、「(Googleを最下位にすることで)関心を引きたかったのだろう」と非難したという。
またGoogleのエンジニアで、ブロガーとしても有名なMatt Cutts氏もブログで反論した。1)Googleはユーザーのクエリ情報を漏えいしたことはない、2)米司法省にクエリ情報を提出していない、3)プライバシー対策として古いクエリ情報を匿名化している―などを挙げ、同社がプライバシー保護に真剣に取り組んでいることを強調した。
Googleの不満は、これだけで収まらないようだ。6月10日付のPIからGoogle CEOあての公開書簡によると、同社は欧州のジャーナリスト2人に接触して“PIはMicrosoftと関係がある”と述べたという。PIは書簡で自らの独立性と調査の公平さを強調。「最下位とされたことに対する腹いせではないか」とやり返している。
プライバシー問題はGoogleにとって“のどに刺さった骨”だった。これまでにも、過去の検索履歴を参照する「My Search History」や、「Google Desktop 3」のサーバーへのデータ保存機能などに、市民団体などが懸念を表明してきた。最近では、米DoubleClick買収にからんで、消費者団体が、データを利用したユーザー行動の追跡可否を調査するよう米連邦取引委員会(FTC)に求めている。
Googleはこれまで、プライバシー問題に関する懸念に対し、ユーザビリティの向上のためと説明してきた。だが、PIなどの動きは、これまで以上にプレッシャーが高まっていること示している。PIはさらに、プライバシーに関するユーザーとの同意設定の仕組み導入に乗り出すようで、今年7月に米カリフォルニア州で会合を開く。
調査会社の英Ovumのアナリスト、David Bradshaw氏は「Googleにとって本当の危機は、ユーザーコミュニティからプライバシーを大切にしていないと思われることだ」とコメントしている(英Financial Times紙)。
こうした背景もあってか、GoogleはPIに対して反論する一方で、データの取り扱いを変更する姿勢もみせている。6月11日には、データ保持期間を2年から18カ月に短縮して、以降は匿名化すると発表した。EUのプライバシー管轄機関であるArticle 29データ保護委員会の要求に応じたもので、ほかにもクッキーの有効期間を変更する意向を明らかにしている。
ただ、どこまで妥協するかは未知数だ。Web 2.0型企業ではユーザーのデータを保有することが生命線になる。
GoogleはEUへの書簡で、データ保持期間について「セキュリティ、イノベーション、詐欺対策の観点から、18カ月よりさらに短縮することは受け入れられないと述べている。