FacebookやGoogleのような企業のFTCのプライバシー監査は、「悲惨なほど不十分」である

先週議会に出席したMark Zuckerberg氏は、ソーシャルメディア会社が連邦取引委員会に定期的なプライバシー監査を提出することを要求していた2012年の同意令を遵守しなかったことで、

FTCのプライバシー監査は、ハイテク企業がユーザに約束するプライバシーの約束を守るための最も強力な施行メカニズムの1つと広く見られているが、プライバシー弁護士のメガン・グレイ氏による新しい論文は、FTCのプライバシー監査は、彼らが本当に消費者を守ることになるならば、大きな改革を受けなければならない。グレイは現在FTCで働いていますが、この論文は公に入手可能な文書に基づいており、仕事以外の時間に書かれています。

Facebookの2011年の同意判決は、同社の現行のCambridge Analyticaのスキャンダルに注意を払っている人にはおなじみに聞こえると主張している。FTCによると、Facebookはプライバシーに関するユーザーとのコミュニケーションにおいて不公平かつ欺瞞的であり、第三者のアプリケーションがユーザーデータにアクセスできるようにしながら、ユーザーにはそのデータの可視性を友達に限定できると信じさせた。FacebookのFTCとの合意の下で、同社はユーザーのプライバシーについて誤解を与えないように、20年に一度の年2回のプライバシー監査を受ける必要があります。

しかし、フェデックスは2015年にそれについて学んだが、Facebookが同意判決に従わないことを議会の指導者が示唆していたにもかかわらず、これらの監査はケンブリッジ・アナリティカの8000万人のFacebookユーザーのデータ収集に関するいかなる情報も提出しなかった。

Cambridge Analyticaが利用しているようなアプリにユーザーデータへのアクセスを許可するのは、「意図的な失明」の行為だった。リチャード・ブルメンタリ上院議員は、Zuckerbergに語った。”それは実際には、FTCの同意判決に違反した、それは礼儀正しく、無謀でした”と彼は言った。(Zuckerberg氏は、フェイスブックはCambridge Analyticaの行動をFTCに通知しなければならないと考えていたが、法的義務はないと回答した。)

議会のメンバーは、FacebookをFTCにきれいにしていないと非難したようだが、Gray氏の論文は、FTCのプライバシー監査が設計上失敗していることを示唆している。現在のプロセスは、本質的に同意注文の企業が自己規制することを可能にする一方で、ケンブリッジ・アナリティクのような者によるデータの誤用は敷物の下で掃除される。代理店が本当にプライバシー侵害を捉え、消費者を害から守るためには、Grey氏によると、監査プロセスをより積極的かつ厳格にする必要があります。

「当局は、定期的に、消費者のプライバシーを保護する重要な役割を果たしている。しかし、このような胸焼けは逆行する可能性があります。消費者は、FTCが誤用を念頭に置いているとの考えに基づいて、オンラインプラットフォームを介して個人情報をより容易に共有することができます。しかし、慎重な見直しは、監査が悲観的に不十分であることを示している。

FTCの2012年のFacebookに対する同意令とGoogleに対する2011年の判決は、消費者のプライバシーを保護するための強力な行動と高く評価されていました。しかし、同意命令で定められた監査プロセスは、誇大宣伝に執着していない、とグレイ氏は言う。

「詳細な検査では、おそらく「合理的なプライバシー保護」は要求されなかった」と彼女は書いている。「むしろ、注文はより制約され、「プライバシーリスク」に対処するために「合理的に設計された」包括的なプライバシープログラムだけが必要だった。この言葉の下で、FTCは消費者データの悪用を主張するうえでの厳しい戦いに直面する可能性があることを本質的に示している。

FacebookやGoogleなどの企業では、自分の監査人を雇うことができ、監査人と企業との契約は公開されていないため、企業が監査にどれだけ費やしたかを判断することは困難です。監査は会社の従業員の声明に大きく依存しています。基本的には、幹部が監査人にユーザーのプライバシー保護のために十分な努力をしていると述べた場合、監査人は会社が義務を果たしていると報告します。

“それはまったく役に立たない。それは単に歯が欠けているだけでなく、歯が欠けているよりも悪い」と電子フロンティア財団の上級スタッフ弁護士、ネイト・カルドソは、ギズモードに語った。「キツネは鶏舎を守るように頼んでいる。FTCが監査人を選び、監査人の質問にFacebookがサーバーを開くよう要求した場合、おそらくケンブリッジ・アナリティク(Cambridge Analytica)には入らないだろう」

監査では、大企業のプライバシーがどのようなものになっているのかだけを傷つける傾向もあります。たとえばグーグルのグーグルはグーグルが「あまりにも曖昧で重複して無意味である」と呼びかけており、Googleの無数の製品では検索から電子メール、YouTubeへのさまざまなプライバシー問題を掘り下げません。自走車。

監査人が会社に何かを伝えさせてもらうことを許可すると、プライバシー侵害が報告されない環境が生まれます。”FTCのプライバシーの事例は、通常、意図的な犯罪に由来するものではありません。むしろ、このケースは通常、会社が見落とした、または消費者に適切に開示しなかった問題から発生します。管理アサーションに依存するプライバシー監査は、これらの盲点をめったに発見しません」とGray氏は書いています。

セキュリティ専門家Alec Muffettは、この問題を別の方法で伝えています。

スポーツ的なメタファーでは、ベンダー(この場合はGoogle)が独自の高ジャンプバーをデザインし、高さと高さを文書化し、どのようにジャンプするかを文書化します。彼らはそれを飛び越し、認定代理店は彼らが自分のデザインのバーに高いジャンプを成功裏に実行したことを単に証明します。設計文書とジャンプ技法を公開する必要はありません。

FTCは、監査プロセスが壊れていることを知っています。世界のプライバシーフォーラムは、昨年の秋、代理店が従業員に「監査」としての言及を中止し、代わりに「評価」という言葉を使用するように指示するよう勧告した。

「欧州委員会(委員会)を議論するコミッショナーのスタッフは、一般大衆の法令に同意し、監査後に仕事をして100回書く必要があります。評価は監査ではありません….」WPFのエグゼクティブPam Dixon監督は、Uberに対する同意判決でFTCにコメントした。

グレイ氏は、FTCのプライバシー監査を改善するためにいくつかの勧告を行っています。彼女は、最も劇的なのは、FTCが企業のプライバシー保護の証明に全面的に頼るのを止めることだと彼女は言う。しかし、FTCが、企業のシステムを通じて消費者データの流れをマッピングし、企業が精査されている間に発生した注文の違反を分析することを含む、監査人がより細かくカバーすることを期待していることをFTCが概説すれば、

“ミズ。グレイ氏はFacebookの調査を含め、現在のプライバシーやデータセキュリティに関する調査やFTCの訴訟に関与していない。彼女の記事やその他の関連するコメントは、FTCの見解ではなく個人的な意見である」とFTCの広報担当者は語った。

Greyはまた、FTCが一般的に受け入れられるプライバシー原則や公正情報慣行などの監査プロセスにデータプライバシーの業界標準原則を組み入れて、より広く受け入れられているルーブリックに対して企業を評価することを推奨しています。GAPPまたはFIPの推奨事項の一部は、特定の製品には適用されない場合もありますが(たとえば、監査人は、データ保持に関する推奨事項のもとで転送中のデータのみを保管する製品を評価することができない場合があります)彼らがなぜ適用しないのかを説明している、と紙は主張する。

「FTCはまもなくコミッショナーの全く新しいスレートを持つだろう」とグレイは指摘する。「政府機関がプライバシーの命令をどのように監視しているかを包括的に見直すことができるかもしれない」

新任指名官がシリコンバレーのプライバシー侵害を厳しく制限することに関心を持つかどうかはまだ分かりません。「トランプ政権は、シリコンバレーの友人ではないことを明確にしており、この特定の状況では、ユーザーのプライバシーを保護することができます」とCardozo氏は述べています。一方、トランプ政権は、政府の規制や行政状態が好きではないことを明確にしている」

bitFlyer ビットコインを始めるなら安心・安全な取引所で
スポンサーリンク

シェアする

フォローする

スポンサーリンク

Network-wide options by YD - Freelance Wordpress Developer