LinkedInの本人確認を行いました。私が提供した情報はこれです。

93日前原文(thelocalstack.eu)

概要

LinkedInの本人確認バッジ取得で、個人情報や生体データが米国企業Personaに渡る仕組み
PersonaはAI企業など17社にデータを委託、EU域外への転送とCLOUD Actによる米政府アクセスリスク
パスポートや顔画像はAI学習にも利用、同意不要の「正当な利益」根拠
利用規約の責任上限は50ドル、紛争は米国仲裁、実質的な救済困難
データ削除請求やDPOへの異議申し立てなど、利用者が取れるアクションも紹介

LinkedIn本人確認バッジの裏側

LinkedInの青いチェックマーク 取得のため、本人確認手続きを実施
パスポートや自撮り画像 の提出が必要なプロセス
実際の本人確認は Persona Identities, Inc. （米サンフランシスコ拠点）が担当
Personaは LinkedInの委託先 として、本人確認データを収集・処理
多くの利用者は Personaの存在や利用規約 を認識せず同意

Personaが収集する情報

フルネーム、パスポート全体画像、自撮り写真、 顔の幾何学情報（生体データ）
パスポートの NFCチップデータ、国籍、性別、生年月日、年齢
メールアドレス、電話番号、住所、 IPアドレスやデバイス情報
位置情報 （IPから推定）
入力の遅延やコピペ検知 などの行動的生体情報も取得
これらは LinkedInバッジ取得 という短時間の操作で全て収集

データの外部照合とAI学習利用

Personaは 政府データベースやクレジット機関 など外部データとも照合
本人確認の名目で 実質的なバックグラウンドチェック を実施
パスポート画像や自撮り写真は AI学習データ としても利用
「正当な利益（legitimate interest）」を根拠に 同意なしでAI訓練に利用
GDPR上のバランステスト の妥当性には疑問

データの共有先とサブプロセッサ

Personaがデータを共有する先
- LinkedIn ：氏名、生年、ID種別、発行元、結果、ぼかし処理済みID画像
- サービスプロバイダや関連会社、買収・合併時の譲渡先
- 法執行機関 （米国法に基づく要請時）
Personaの サブプロセッサ（下請け） リスト
- Anthropic, OpenAI, Groqcloud などAI企業を含む17社
- 16社が米国、1社がカナダ、 EU拠点ゼロ
- AWSやGoogle Cloud などインフラも米国企業
- パスポートや顔データが AI企業の解析対象 となる構造

データの越境移転とCLOUD Act

Personaは 米国法人 で、 CLOUD Act の適用対象
データセンターがドイツ等にあっても、 米国裁判所の令状で米政府がアクセス可能
Personaのプライバシーポリシーにも 「国家安全保障」名目での提供明記
FISAやNSL等の要請は秘匿義務付き で、本人に通知されない場合も
EU-US Data Privacy Framework (DPF) による保護も、米大統領令ベースで法的安定性に乏しい

生体データのリスクと保存期間

収集される 顔の幾何学情報 は 唯一無二の個人識別データ
ポリシー上は 6ヶ月以内に削除 とされるが、 法的要請時は例外で無期限保存も
生体データ流出時のリスク はパスワードより深刻（変更不可）

利用規約・責任・救済

Personaの 損害賠償上限は50ドル
紛争は 米国仲裁機関で個別対応、集団訴訟や裁判不可
EU/EEA居住者は 契約はアイルランド法準拠 だが、実際の会社は米国法支配下

利用者が取れるアクション

データ開示請求 （GDPRに基づく、30日以内対応義務）
データ削除請求 （本人確認完了後はサーバー保存不要）
DPO（データ保護責任者）への異議申し立て （AI訓練利用の停止要求等）
今後の本人確認は慎重に検討 （バッジの価値とリスクの比較）

まとめ：3分で提供したものの重み

たった 3分の本人確認 で、 米国企業とその委託先AI企業 にパスポート・顔画像・生体データを提供
AI訓練や米国政府アクセスリスク、EU法だけでは守られない現実
バッジ取得の対価 として何を差し出したのか、十分な理解が必要

Hackerたちの意見

へー、これ読んでて「えーっと、アカウント確認のためにそんなに色々渡した覚えないんだけど」って思った。で、LinkedInに行ってシールドがあるか確認したら、「仕事用のメールが確認済み」ってだけだった。しかも、全然知らなかった「Persona」ってやつもあったし。フィードの一番上には、ブライアン・クレブスのその話題に関する投稿があったよ。

ずっと前にLinkedInのアカウントを持ってたんだ。登録する時、LinkedIn専用のメールアドレスを作ったんだけど、かなりユニークで推測できないやつだった。辞書攻撃には絶対に耐えられるやつね。結局、アカウントから得られる価値がないと判断して、会社についてもあまり良くない話を聞いたから、アカウントを削除したんだ。数時間後には、そのユニークなメールアドレスにスパムが届き始めた。これが偶然なのか、データが漏れたのか、売られたのか、あるいは他の方法で管理を失ったのかを検証するために、半ばコントロールされた実験をやってみるのも面白そうだけど、プライベートな情報は絶対に彼らには任せられない。LinkedInにデータの安全を信じることはできないし、売られたと思ってる。

└

LinkedInが「Googleでログイン」と言ってGmailのログインページをコピーして非難されたのを覚えてる？それでパスワードを入力したら、全ての連絡先を引き出されて、銀行やメーリングリスト、元カレまでスパムまみれにされたんだよ。「5日間参加してないから、加入してほしい」みたいなことを言って。

└

私の予想では、最初はインテリジェンスプラットフォームだったんだ。Skypeと同じように、Microsoftがランダムに買収したんだよね。本当に驚くべきことだよ。もし人に連絡して、LinkedInが保持している情報やグラフを求めたら、ほとんどの雇用主は彼らを解雇するだろうね。

└

LinkedInは、時間が経つにつれて何度も侵害されてきた。でも、私はこのプラットフォームに対する信頼が非常に低いから、一度でも価値を提供しなくなったら、最後の価値を搾り取るために嫌な方法を見つけるだろうとすぐに信じるよ。「元」ユーザーだけに残しておくためにね。

記事から: 「それを考えてみて。君はヨーロッパのプロフェッショナルネットワークのためにヨーロッパのパスポートをスキャンしたのに、君のデータは北米の企業にしか行かなかった。チェーン内にEUベースのサブプロセッサーは一つもない。LinkedInがヨーロッパのプロフェッショナルネットワークとは思えない。」

└

そうだね、彼はXingを使いたかったのかも。でも、そこじゃかなり孤独だろうね。

└

著者は、自分のプロフェッショナルネットワークがヨーロッパにあるって言いたかったんじゃないかな。LinkedInはそのネットワークに連絡を取るためのプラットフォームに過ぎないし。

└

彼らがLinkedInを使うのは、地域や準地域のプロフェッショナルネットワークのためだね。まるで自分の通りのためにNextdoorを使うような感じ。もちろん、あのヨーロッパの人たちはネットワーク効果のためにLinkedInを使ってるけど（LinkedInは今や悲惨な廃墟みたいなものだから、ほとんどの人は幻想のために使ってる）、他の以前の波のヨーロッパの人たちもLinkedInを使ってたからね。国内や地域の代替案は、みんなが「一つの」サイトにいることを求めるからうまくいかない。技術の中央集権化、特にアメリカに偏っているのは、様々な理由から巨大な間違いだった。この点で、中国のやり方を称賛せざるを得ない。彼らは多くの分野で外国の選択肢を単純に禁止して、健全な国内の選択肢が一晩で生まれた。多くの国がこれを始める必要がある、特にアメリカの技術が非常に敵対的な政府の一部であり、特に同盟国に対して激しい外交や貿易戦争を展開している今は。

EUのデータ主権について: OPは正しい。だからこそ、私たちはすべてのクラウドベースのサービスをアメリカからEUのデータセンターに移行し始めたんだ。今は基本的に80%は完了してる。残りの20%は難しいものではなくて、今のところそれほど重要ではないけど、長期的には100%の切り離しを目指してる。IDVのセキュリティについて: 書類をIDV会社に送るとき（アメリカでも他の国でも）、明示的な同意なしにデータを使って学習する権利は自動的にはない。過去にはかなり大きな集団訴訟があったけど、法律の枠組みが不十分で、悪用や怠慢を抑止するには弱いと思う。とはいえ、大きなデータセットを扱うと、実際にはデータを誤ってラベル付けする可能性が高く、これが大規模に起こっていないことを証明するのは難しい。結局のところ、データベースに対するクエリが実行されるだけで、大量のデータがあれば、必要以上に多くをキャッチするかもしれない。一度データが選ばれて学習に使われると、その損害を元に戻すのは不可能。もちろん、後からトレーニングの成果物を削除することはできるけど、モデルの重みはすでにそのデータで再バランスされてるから、誰も最初からトレーニングしない限り元には戻せない。みんな、自分のデータ（ソースコードや生体情報など）が同意なしにすでにトレーニングに使われていると考えるべきで、そうした行動から守るための法律の枠組みはないし、実際には逆の状況だ。唯一のコントロールは参加しないことだけ。

この書き込み、すごく感謝してる。新しいアカウントにアクセスするために確認を強いられたんだ。基本的なアクセスすら得る前に確認を強制するインタースティシャルページがあった。簡単な背景としては、セールスナビのライセンスをもらったんだけど、仕事用のアドレスに何のアカウントも紐付いてなかった。それに、メインアカウントでセールスナビのトライアルが進行中だったから、そっちにアクセスを与えたくなかった。だから、仕方なくパスポートで確認してアクセスを得たんだ。それから、渡した情報を確認するためにプライバシー設定を全部見たけど、フルエクスポートはサインアップ日とCSVの他の一行だけだった。デフォルトでオンになってたダークパターンの広告設定を全部オフにして、会社の名前を思い出そうとしたけど、時間がなくてフォローアップできなかった。全体のプロセスにすごく不快感を感じた。だから、今はその投稿の詳細を使って、仕事用のアドレスから情報の削除をリクエストした。もう一つの懸念は、もし確認済みのアカウントがメインになったら、連絡先や長年のつながりが台無しになること。だから、仕事が終わったらすぐにアカウントを閉じようと思ってる。でも正直、問題はそこで終わらないと思う。なんでこういうサービスはこんなにひどいんだろう。お金が善意や誠実、信頼の代わりにこんなに力を持つのはどうしてなんだろう。変わらなきゃいけない。あるいは、ただネットから離れるしかない。でも、それが選択肢であってはいけない。分散型サービスはどこにあるんだろう。これについてますます真剣になってる。

└

新しいアカウントにアクセスするために確認を強制された。基本的なアクセスすら得る前に、確認を強制するインタースティシャルページがあった。既存のアカウントにアクセスするためにも確認を強いられてる。削除もできないし、「AIコンテンツに利用されること」からもオプトアウトできない。もっと情報を渡さなきゃいけないのに、それが完全に無害な目的で使われるとは思えない。

└

これをシェアしてくれてありがとう。どういう扱いになっているか、ちょっと creepy な部分があるのは理解できるし、同意もする。でも、ここや他のところで見かけるコメントに欠けているのは、確認はどう扱うべきかってこと。今、AIやボットの問題が本当に深刻で、信頼が貴重になっている。どうやってそれを確保できるか？一つの方法を考えたけど、みんなが会員になるためにお金を払うってこと（詐欺はまだあるだろうけど、コストはかかる！）。他にどんなトレードオフで確認できる？ PersonaのCEOが（もちろん）LinkedInで、セキュリティ研究者のBrian Krebsの投稿に応じて情報を出しているよ： https://www.linkedin.com/posts/bkrebs_if-you-are-thinking-ab... 。彼は確認されてないけど、サービスにはお金を払っているね。

こういうプライバシーに関する活動が必要だよね。自分は確認したくなかったけど、最近LinkedInで確認しちゃった。著者がプライバシーを心配している人のためにアクションリストを提供しているのも素晴らしいと思う。

実際の仕組みを思い出させてくれるけど、記事にはもう少しバランスが必要だね… > それを考えてみて。君はヨーロッパのプロフェッショナルネットワークのためにヨーロッパのパスポートをスキャンしたのに、君のデータは北米の企業にしか行かなかった。チェーンの中にEUベースのサブプロセッサーは一つもない。LinkedInはアメリカの製品だよ。EUは同じくらい成功して人気のある製品を作るために20年もあったけど、結局できなかった。アメリカの企業は君のヨーロッパのナショナリストの野望に対して何も負う必要はない。彼らの製品は自己責任で使ってね。もちろん、アメリカの企業はアメリカの法律に従うし、アメリカの企業は他の地域の同様の企業を優先する。そもそも、質や価格で競争できるヨーロッパの選択肢がないことが多い。つまり、これがOPにとって特別に間違っている理由が見当たらない。 > CLOUD法の内容を簡単に言うと、アメリカの法執行機関がアメリカの企業にデータを渡すよう強制できるってこと。たとえそのデータがアメリカ以外のサーバーに保存されていてもね。ヨーロッパの法執行機関も同じ権限を持っていて、簡単に行使している。

└

ヨーロッパの法執行機関も同じ権限を持っている。いや、そうじゃないよ、ここで暗示されているようには。ドイツの裁判所はドイツの企業に召喚状を出せる。たとえ他のヨーロッパや非ヨーロッパの国に100%子会社があっても、法的支援を求める必要がある。それは子会社の現地の管轄に基づいて評価されるもので、親会社ではない。ドイツのMicrosoftは運営者としてアメリカの法律とアクセスの対象になる。詳しくはWikipediaの「アメリカの例外主義」を見てね。

└

見落としているかもしれない一つの詳細：たとえアメリカの企業でも、ヨーロッパでサービスを提供する場合（ウェブを通じても）、ヨーロッパの法律や規制、GDPRに従う必要があるよ。

└

つまり、これがOPにとって特別に間違っている理由が見当たらない。記事を読んだ？これはダークパターンだよ。実行するのに3分しかかからない行為なのに、実際に何が起こるのか理解するには数日かかる法的文書を読む必要がある。テクノロジーと関わるほとんどの人にとって、これは間違っていると感じると思う。ここには企業が従うべき法律があって、どこに設立されていてもそれを期待している。私たちはここで基本的な人権を持つことに慣れているけど、最近のアメリカ人とは違うかもしれない。データ処理や生体データの所有権は明確にされるべきだし、理解するのに数日もかかるべきじゃない。私もこれが間違っていると感じるよ。

└

「自分でなんとかしろ」ってアドバイスは、言ってる人が75年間も全てのブーツストラップを握ってたら、説得力が増すよね。これがアメリカとEUの間の有毒な関係の毒性なんだ。こっちを見ながら自分で立ち上がれって言ってる感じ。南アメリカも同じだね。

└

この感情はよく見かけるけど、本当に面白いよね。アメリカ人が世界に自由市場について講義しながら、ヨーロッパが自分たちのテックジャイアンツを生み出してないことに驚いてるのを見るのは。「EUは20年間、同じくらい成功した製品を作る時間があった」って言うのは、地政学的には1950年代の機能不全の家庭と同じだよ。何十年も、夫は全てのビジネスと安全を自分がやるって主張して、家族の絶対的な頭でい続けた。で、中東で20年間も酔っ払って軍事活動して、帰ってきたら、自分が手を広げすぎたことに気づいて、妻が自分のシリコンバレーのオフィスを持ってないって叫ぶんだ。最初から彼女のビジネスを容赦なく買い取って、依存させたのは彼なのに。アメリカは、グローバルデータをアメリカの独占企業に流すことで、デジタル依存のヨーロッパを作り上げた。ヨーロッパ人がアメリカに強制された役割を演じていることを非難するのは、歴史的なガスライティングだよ。そして、CLOUD法のグローバルで超領域的な過剰適用が、EUの地元の法執行と同じだと考えるのは、妄想のケーキにアイシングを乗せるようなものだね。

└

その反応は驚くほどの傲慢さが漂ってるね。アメリカ人のほぼ50%がドナルド・トランプに投票したのも驚かないよ。彼はその考え方を完璧に体現してるから。自分が世界の他の人たちより優れていると思ってるの？あなたが「革新」や「より良い製品」と呼ぶものは、しばしば巨大な資本投入を通じて市場の支配的な地位を作り出し、その後は単純に利益を搾取することに過ぎないよ。EUは、自国の管轄内で運営される市場を規制する権利があるし、特に反競争的な行為や支配の乱用に関する信頼できる懸念があるときはなおさら。私が見た限り、LinkedInに対してEUレベルでの集団訴訟を考える十分な根拠があるかもしれない。いわゆる「ヨーロッパの民族主義的野心」については、安心して。ヨーロッパには有能な弁護士や規制の専門家が不足しているわけじゃないから。関連資料をブリュッセルのEU機関で働いている知り合いに転送するつもりだよ。

LinkedInの組織認証についての奇妙なところは、決して取り消されないことだね。もう働いてない会社からの認証を持ってる連絡先がたくさんいるし、時にはかなり長い間そうだよ。一方で、認証なしで公式に組織を代表して投稿してる人も多い。今の会社を代表してるのに、前の会社からのランダムな認証を持ってるのは、かなり滑稽だよ。今の形のLinkedInの認証は、信頼のシグナルとしてはほとんど価値がないね。

ヨーロッパ市民として、データがアメリカではなくEUで処理される法律ができることを願ってるよ。

└

僕の妻は、言及された会社の競合で働いてるんだ。そこの会社はEUにあるけど、全てAWSで運営してる。集められるデータは、言われている以上に多くて、セッションのフル動画録画や音声も含まれてるよ。AWSのEU地域はあまり機能してないし、ほとんどの会社がアメリカのプロバイダーを使ってるんじゃないかな。EUには、これが重要になるための独立したプラットフォームが必要だと思う。

要するに「彼らの『グローバルなデータパートナーのネットワーク』」っていうのは、一度その情報を提出したら、自由に使われるってことだね。こういうことは大手テックが徐々に普通にしてきたから、いろんな角度から搾取される可能性があるよ。

ハクソク