ハクソク

世界を動かす技術を、日本語で。

FTCが「Match」および「OkCupid」に対して、ユーザーを欺き個人データを共有したとして措置を講じる

56日前原文(ftc.gov)

概要

  • FTCOkCupidMatch Group Americas に対して措置を実施
  • ユーザー情報の 第三者提供プライバシーポリシー違反 が問題
  • 企業側は プライバシー誤表記の禁止 を含む和解案に合意
  • FTC は企業のプライバシー約束を厳格に執行
  • 今後の 利用者保護透明性向上 が期待される

FTCによるOkCupidとMatch Group Americasへの措置

  • FTC(Federal Trade Commission)OkCupid とその関連会社 Match Group Americas に対する措置を発表
  • OkCupid がプライバシーポリシーに反して、 写真や位置情報などの個人情報 を無関係な第三者へ提供した事実
  • 和解案 により、企業は今後 プライバシーポリシーの虚偽記載禁止 を求められる
  • Dallas 拠点の Humor Rainbow, Inc. がOkCupidを運営、Match Group Americasがサービス提供
  • FTCの訴状 では、OkCupidが数百万人分の個人情報を無断で第三者に渡したと指摘

問題となったプライバシー侵害の詳細

  • OkCupid は「プライバシーポリシーに明記された場合や利用者に通知しオプトアウト機会を提供した場合以外、個人情報は共有しない」と約束
  • 実際には、 サービスプロバイダーやビジネスパートナー、関連企業以外 の第三者に情報を提供
  • 第三者はOkCupid創業者が投資していた企業で、正式な業務提携なし
  • 約300万件 のユーザー写真、位置情報等が契約制限なしで第三者へ渡された

企業側の隠蔽行為

  • 2014年9月以降、MatchとOkCupidは情報共有の事実を 隠蔽 し、FTCの調査を妨害
  • ニュース報道で第三者へのデータ提供が明らかになった際も、企業側は関与を否定

和解内容と今後の規制

  • OkCupidMatch は今後以下の点で 虚偽表示の禁止 を約束
    • 個人情報(写真・位置情報・属性情報等)の収集、利用、開示、削除、保護の範囲
    • 個人データの収集・利用・開示の目的
    • プライバシーコントロールやユーザーインターフェースでの選択肢の機能説明
  • FTC のスタッフによる訴状と最終命令は 2-0 で承認
  • テキサス北部地区連邦地方裁判所 にて訴状・命令を提出
  • 最終命令は裁判官の承認を経て 法的効力 を持つ

FTCのコメントと今後の影響

  • FTC消費者保護局長Christopher Mufarrige のコメント
    • 「FTCは企業のプライバシー約束を守るために調査・措置を実施」
    • 「必要に応じて訴訟も辞さない姿勢」
  • 今回の措置により、 消費者の個人情報保護企業の透明性向上 への圧力が強化

参考リンク

Hackerたちの意見

この和解提案の解釈は合ってる?不正に送信されたコピーや、それに基づくトレーニングの結果が削除されないってこと?

重要な引用: > OkCupidとはビジネス関係がなかったにもかかわらず、第三者のデータ受取人は、OkCupidの創業者がその第三者に投資していたため、OkCupidユーザーの写真や関連データの大規模なデータセットを共有するように求めた。FTCによると、OkCupidは情報の使用方法に関して正式な制限を設けることなく、約300万枚のユーザー写真や位置情報などにアクセスを提供したらしい。この苦情で名前が挙がっていない第三者って一体何なんだろう?

ただの推測だけど、第三者の会社は法律を破ったり、プライバシーポリシーに違反したりしてないんじゃないかな。リュート社によると、もし知りたければ「Clarifai」だって。 https://www.reuters.com/world/match-group-settles-us-ftc-cla...

これって、300万件の著作権侵害が民事裁判で訴えられる可能性があるってことなのかな?

FTCの記事は連邦の訴状にリンクしていて、第三者のデータ受取人としてClarifai, Inc.が名前を挙げられてる。「2014年9月、Clarifai, Inc.のCEOがOkCupidの創設者の一人にメールを送り、Humor RainbowにClarifai, Inc.(つまりデータ受取人)がOkCupidの大量の写真データセットにアクセスできるようにしてほしいと依頼した。」 [0] https://www.ftc.gov/system/files/ftc_gov/pdf/OkCupid-MatchCo...

性別に基づく差別での集団訴訟や罰金はないの?OkCupidは、ユーザーがプロフィールで男性か女性かを選んだかによって、異なる料金を設定してたよね。

OkCupidは、ユーザーがプロフィールで男性か女性かを選んだかによって、異なる料金を設定してた。これについては聞いたことも考えたこともなかったけど、デートアプリとしてはなんとなく理にかなってるね。ユーザーの性別のバランスを取るための唯一の手段の一つだし、男性:女性の比率が20:1とかだと、みんな(ユーザーも含めて)にとって最悪だよね。もし、より多くの潜在的なマッチにアクセスできるなら、異性に対して数ドル余分に払う方がいいな。

これらの会社の shady で倫理的に問題のある行動には驚かされるよ。もっと訴訟や法的措置が起きてもおかしくないのに。

FTCの措置で、ユーザーが自分たちで集団訴訟を起こすのを防ぐものはあるのかな?(真面目な質問、皮肉じゃないよ)

使い捨てアカウント。過去にこのサイトを何回か試したことがある(少なくともUK版)。今は結婚してるから、「デートシーン」とかそのひどさに関わる必要がなくてラッキー。Matchに登録した時、プロセスの約10分後に突然、別の男性のアカウントに変わっちゃって、写真や説明、オリエンテーションが全部違ってた。なんでこんなことが起こったのか全く分からないけど、ほんとに恥ずかしかったし、Matchがこんなことするなんて信じられない。アカウントが合体するなんて、どれだけコードがクソなんだろうって考えるとゾッとする。すぐに「自分の」アカウントを削除したよ。これって個人データの過剰な共有にカウントされるんじゃないかな。

自分のOKCアカウントも同じようにハッキングされたり合体したりしたことがある。オンラインサービスでこんなことが起こったのは初めてだよ。

「俺は2010年にOKCで今の妻と出会ったんだけど、その頃はオンラインデーティングがこんなにひどい状況になる前だった。もう16年もデートシーンから離れてるけど、SNSで見る限り、今のオンラインデーティングは3つの理由で最悪だと思う。1. 多くの男性(全員じゃないけど、かなりの数)がただセックス目的で来てる。関係を求めてるんじゃなくて、フックアップを狙ってるんだよね。そして、彼らの意図について正直じゃない。Tinderがデーティングアプリなのかフックアップアプリなのかで議論があるのも良くない。2. これを言うのは難しいけど、一部の女性は自分を過大評価しすぎてる。少なくとも、デートの考え方が古いんだよね。初デートで50ドル以上のレストランに連れて行かれることを期待してる人もいるけど、多くの男性は女性がただ無料の食事を狙ってると思ってる。こういう敵対的なスタートだと、関係を築くのが難しい。3. デーティングサイトやアプリには、関係が失敗することで利益を得るインセンティブがある。彼らは、悪いマッチを提供することができるから、ユーザーを連続的なデートをする状態に保てる。最も成功した顧客は、もう二度とお金を落とさない人だから、彼らは本当に厄介な立場にいるんだ。」

この記事にはもっと情報があるよ - これは12年前のことみたいだね https://www.reuters.com/world/match-group-settles-us-ftc-cla... > FTCは、OkCupidのユーザーは、自分の情報(約300万枚の写真、人口統計情報、位置データを含む)が2014年に顔認識技術会社Clarifaiと共有されることを知らされていなかったと述べていて、これはOkCupidのプライバシーポリシーに反している。

「ありがとう!そのリンクをトップテキストにも入れたよ。」

一度、OKCupidで研究をしている人とデートしたことがあって、その人が「お互いに送るメッセージのNLPスタイルの分析をやってる」って言ってた。デート自体についてはまだよく分からないけど、そんなことを言うなんてちょっとヤバい告白だった。

デートした相手がデータを見て選んだのかもって思っちゃうよね。(ハッカーニュースに投稿するような人は、明らかにいい人材だし!)

「昔のOkCupidのブログを覚えてる?彼らはオンラインデーティングについて面白い記事をたくさん投稿してたよね。プロフィール写真で笑顔を見せるべきかどうかの記事は結局否定されたけど、客観的でデータに基づいたPUAじゃないアドバイスがあったのは良かったな。」

「彼らが多くのハードデータを共有して、洞察に満ちた分析をしていたのは良かったな。その時は女性が何を求めているかについての物語がたくさんあったけど、実際にうまくいっていることを投稿しているのを見るのは新鮮だった。オンラインでプライバシーが保たれているかどうかに懐疑的だったけど、その視点はそれほど広がってなかったのかも。」

彼らはプロフィールのあらゆる側面で大量のデータ分析をしていて、結果を発表する人気のブログもあったんだ。どんな要因がより良いマッチだけでなく、より良い関係に繋がるのかを研究してた。アカウントを無効にするときには、OkCで誰かに出会ったからなのか聞いて、もしよければ誰か選んで教えてくれって。匿名化されていて大規模であれば、特に問題はないと思う。どのメッセージ戦略がうまくいくかを理解することは、マッチを改善するための大事な部分かもしれない。例えば、長いメッセージをたくさん送る人同士をマッチさせるのが一つの明らかな要因かもしれないし、逆に一文ずつ送るスタイルの人同士をマッチさせるのもありかも。必ずしもそれがうまくいくとは言わないけど、メッセージのNLP分析が追加の互換性シグナルを生むかどうかを研究するのはおかしくないよ。当時のOkCの目的は、マッチを改善するためにできるだけ多くのデータベースのシグナルを開発することだったんだから。

和解の一環として、ダラスに本社を置くHumor Rainbow, Inc.が運営するOkCupidと、Humor Rainbowにサービスを提供するMatch Group Americasは、プライバシーポリシーを誤って表示することを禁止されることになったんだって。みんな他の会社は「誤表示」しても許されるのにね。

「これはまるで“ストライク1”みたいなもので、これが続くとどうなるかの明確な基準を示してるよね。別の有名なケースでもそうだったし。」

どのサイトも shady なことしてるよね。もう独身じゃなくて本当に良かった。eHarmonyには、そのサイト専用のユニークなメールアドレスで登録したんだけど、6ヶ月無駄にした後にアカウントを削除することにしたんだ。そしたら、すぐにそのアカウントにスパムが届くようになって、まるで洪水が始まったみたいだった。特別な理由で他では使ってなかったユニークなアカウントだったから、私の勘は正しかった。

「15年前は良かったんだけど、Match.comがすべてを統合し始めて、経理担当者たちが質の高い製品がそれほど利益を生まないことに気づいてから、すべてがダメになった。訴訟が起こるまでこんなに時間がかかるとは驚きだよ。デーティングサイトがクソだって文句を言ってる人がたくさんいるけど、サイト自体が問題だって気づく人はいなかったし、"ルックスマキシング"の詐欺にハマってた。金持ちが腐敗してることを認める以外は何でもする人がいるんだ。」

6ヶ月も無駄にした挙げ句、アカウントを削除することにしたんだ。そしたら、まるで洪水のようにスパムがこのアカウントに届くようになった。Facebookも同罪だよ。2006年頃に親戚のためにFacebookアカウントを作ったんだけど、そのメールアドレスは自分が管理しているドメインのname_facebook@なんだ。半年ごとに、Facebookからほぼ毎日「○○さんがあなたの投稿にコメントしました!」みたいなメールが1ヶ月間送られてくる。で、どうやってこの親戚が新しい投稿をしたか知ってるかって?彼は2011年から亡くなってるんだよ。

俺は登録するサイトごとにこれをやってる。全てのメールを受け取れる「キャッチオール」メールアドレスを持ってるから、whateverIwant@mydomain.comって入れれば、メールが受信箱に届くんだ。だから、誰が俺のメールアドレスを売ったり漏らしたりしてるのか分かる。今のところ、そういうのはほとんどないけど、新しいサイトに登録することもあんまりないからね。

「HingeやBumbleを含むこれらのデーティングアプリが、男性ユーザーを引き付けるためにたくさんの美人の偽プロフィールを作ってるのはほぼ確信してる。俺の地域では誰もダウンタウンに住んでるなんて言わないのに、ダウンタウンの位置情報があったり、複数のプロフィールで同じ反応やプロンプトがあったりするのが怪しい。これは彼らが数字をごまかしてるのと同じで、虚栄心の指標を使ってるんだ。」

「それか、もっと現実的で、陰謀論的じゃない理由として、洗練されたチャットボットが本当に問題で、デーティングプラットフォームもそれに免疫がないってこと。」

わからないな。彼らは必要ないと思う。こういうアプリで注目されるのが好きな女性はたくさんいるからね。

https://en.wikipedia.org/wiki/Pig_butchering_scam > 「私たちは、プラットフォーム上およびオフで潜在的な危害を防ぎ、妨害するために、毎年1億2500万ドルを信頼と安全のチーム、機能、イニシアチブに投資しています。私たちのインパクトレポートで述べたように、安全ポリシー、機能、社会的擁護、法執行機関との連携、デザインによる安全性など、いくつかの分野に引き続き注力しています。」 from: https://mtch.com/single-news/922/#:~:text=We%20invest%20$125... 「アメリカ人は、非営利団体の消費者擁護団体であるアメリカ消費者連盟の新しい推計によると、毎年少なくとも1190億ドルを詐欺で失っている。」 from: https://www.nbcnews.com/tech/security/scam-cost-price-money-...

「和解の一環として…プライバシーポリシーを誤って表現することを禁止される。」俺は見逃したのかな、それともこの和解の他の部分は言及されてないの?つまり、全く罰則がないってことだよね。