2008-08-16(土) [長年日記]
■ 「ストリートビュー問題」をセキュリティ観点から整理する
※以下の文章はブルース・シュナイアー『 セキュリティはなぜやぶられたのか』の受け売りなので、未読の人はとっとと買って読んだ方がよっぽどためになります。
要約
Googleマップの「ストリートビュー」機能に関する議論の多くは、これをプライバシー問題として捉えているが、ほとんど議論がかみ合っていないばかりか、なぜかみ合っていないのか当人たちもわかっていない。この問題をセキュリティの観点から捉えなおすと、守るべき資産価値やリスクの算出方法が個人個人の主観をよりどころにしていることがわかり、なぜ議論がかみ合わないのかが明らかになり、ネットでの議論よりも有効なアクションが見えてくる。
セキュリティとは
『セキュリティはなぜやぶられたのか』によれば、人生はセキュリティの連続である。旅行に使う交通機関を選ぶのもセキュリティだし、賞味期限切れ牛乳を飲むかどうかの判断もセキュリティだ。人間だけでなく、生きとし生けるものはすべてに適用可能な普遍的な考え方なので、プライバシー問題のように「昔はプライバシーなんて概念はなかった」などという主張で煙に巻かれる心配がない。
セキュリティとは「守りたい資産の価値」と「セキュリティ対策にともなうコスト(とリスクの増減)」とのトレードオフを考えることだ。セキュリティの評価には以下の5段階を踏み、最後のトレードオフによって対策を採用するかどうかを判断する。
- 守るべき資産は何か
- その資産はどのようなリスクにさらされているのか
- セキュリティ対策によって、リスクはどれだけ低下するのか
- セキュリティ対策によって、どのようなリスクがもたらされるか
- 対策にはどれほどのコストとどのようなトレードオフが付随するか
本書は豊富な事例が特長なので、ストリートビュー問題も仮想的な事例を想定しつつ考えてみよう。
仮想事例(1) 快適全裸生活
まずは高木浩光さんのすばらしいフィールドワークに敬意を表して、高い塀に囲まれた一軒家の住人を創造しよう。この人物(読者の妄想の妨げにならないように性別は定めない)は、窓を開け放したリビングで、全裸で寛ぐことを至上の喜びとしているとする。住人にとって守るべき資産は、誰にも覗かれることなく全裸生活をエンジョイすることであり、この資産は家の周囲からの覗き見というリスクにさらされている。
ストリートビュー登場以前には、低層住宅地に家を建て、周囲に高さ180cmの塀を張り巡らせることで、カジュアルな覗き見を排除。また監視カメラを設置することで意図的な覗き行為に対する抑止力とした。この対策では身長2mを超える人物によるカジュアルな覗き見を排除できないが、これ以上高い塀を作るコスト上昇に比べてリスクが少なすぎると判断、トレードオフを飲んだ。日本においては適切な妥協だろう。
さて、この幸せな裸族の住む世界に、ストリートビューを投入する。新たに「偶然撮影された裸体を全世界に公開される」というリスクが加わることになる。ストリートビュー登場以前には考慮する価値がないとして切り捨てていたレベルのリスクだが、この時点で対策を検討すべきレベルまで上昇した(と住人は判断した)。
Googleのプリウスに対し監視カメラによる抑止力は期待できないので、このリスクへの対策として考えられるのは、[1]さらに塀を高くする(金銭的コスト上昇)か、[2]自宅の写真がストリートビューに登場しだい削除依頼をする(時間的コスト上昇および心理的負担増)、のいずれかである(「車で行けないような僻地に引っ越す」のような現実的ではない対策はあらかじめ除外する)。
ここで重要なのは、住人にとっての「全裸生活の価値」や、ストリートビューによってもたらされた「新たなリスクの大きさ」を算出する基準が、この住人の内部にしかない点である。他人が「服着ればいいじゃん」とか「カーテン閉めろよ」と指摘することにはなんの意味もないし、「偶然裸体を撮られる確率はきわめて小さいよ」というアドバイスも「万が一公開されて広まったら手の施しようがない」という損失の大きさの前には無力かも知れない。セキュリティにおいてトレードオフは「主観」であり、他人がとやかく言えるものではないのだ。
ところがプライバシーに立脚したストリートビュー問題の議論では、こういうやりとりが平気で行われている。まったく不毛な話である。人が何を大切に感じるかどうかなど、他人に指示できるわけがない。
仮想事例(2) 監視カメラを避ける人
「ストリートビューなんて街角の監視カメラと変わらない」という意見が見られるので、次の登場人物は、政府や警察に対して強い猜疑心を持ち、街角に設置されている監視カメラに日ごろから警戒心を抱いている、という設定。出歩くときはサングラスと帽子で人物を特定されないように気を配っているとか、過去に国家権力から痛い目に合わされた経験があるとか、そういう妄想によるリアリティの補強はご自由に。
この人にとっての資産は「自分の行動履歴をコントロールできる自由」であり、常時稼動していて犯罪捜査を理由に簡単に権力者の手に渡りかねない監視カメラは、リスクの高い、セキュリティ対策を必要とするレベルの「脅威」だと言える。なにしろ監視カメラは、映像の削除を依頼することも、一時的な停止依頼もできないので、明らかに自分のコントロール下になく、なんらかの自衛によるリスク低減策しかとれない。
さて、この人物にとってストリートビューはどういう扱いになるか。ストリートビューは常時稼動ではないので、何か見られて困るときに周囲を見回してカメラを搭載したプリウスが接近していないかに気を配るだけでよい。自宅では窓にブラインドをかけておけば十分だ。また、運悪く撮影された場合にも、Googleに依頼すれば画像を削除してもらえる。つまりストリートビューは自分で自分の情報をコントロールできるので、リスクは低く、許容できるということになる。
しかし、立場が違えば180度異なる話にもなる。基本的に権力組織は信用してよいと考えていて(「権力には責任が伴うものだ!」)、監視カメラの映像は(事故で流出でもしない限り)公開されないと信じられる十分な理由があると考えている人物の場合、監視カメラは脅威ではない。一方、営利企業は利益のためならなんでもやりかねないと考えるなら、Googleの脅威は政府より上だ。特にストリートビューはいまどきの誠実な企業なら決してやらない「オプトアウト」方式の運営をしている。自分の知らないうちに不利な情報を公開されるかわからない、怖い、対策が必要だ……という(主観に基づく)ロジックは十分に説得力がある。
監視カメラを脅威と感じる前者も、ストリートビューを脅威と感じる後者も、どちらも主観的に判断している点に注意して欲しい。脅威の大きさを測る尺度はその人の内にしか存在しない。
あなたは何をすべきか
ストリートビュー問題を取り巻く「私はあれを気持ち悪いと思う」「いやおれは気持ち悪くない」の応酬は、単なる意見表明合戦にすぎない。全員が異なる資産を持ち、それを脅かすリスクについて別々の尺度で語る場で、議論など成立するわけがない。そういうことにネットは向いていないのだ。
(特にストリートビューに脅威を感じている)あなたがすべきなのは以下の行動だ:
- 守るべき資産を明確にする: ストリートビューから何を守りたいのか、それはどれほどの価値を持つ資産なのかを明確にする。これができるのはあなただけだ。
- 対策コストを算出する: ストリートビューという脅威から、その資産を守るために必要な対策方法とそのコスト(導入後に受けることになる新たなリスクを含む)を計算する。ここまでやらずに「気持ち悪い」と漏らしてるだけならただのダダっ子。「Googleのせいでこれだけの損害が出る」とちゃんと言えるようにしよう。もちろん主観ベースでかまわない。
- トレードオフを見極めてセキュリティ対策を実施する: 引き換えに失うものがほとんどないなら、とっととその対策を導入するのが吉だろう。一方、コスト的に見合わないなど、導入が困難な対策なら、対外的にアクションを取ることを検討すべきだ。
- 脅威にさらされる資産が完全に個人的なものなのであれば、個人としてGoogleに対してそのコストを請求することを考えても良いだろう。この件で損害賠償請求をするのは正当な権利だと思う。
- 個人的に行動するのに抵抗があるのであれば、あなたが訪ねるべきは町内会長や自治会役員だ。地域住民の間でストリートビューを脅威とみなすコンセンサスを得られれば、自治体を動かすのはけっこう簡単なはずだ。最近話題の東京大田区の空白地域、あれはGoogleが空気を読んだからだという憶測もあるが、もしかするとセキュリティ意識の高い住民が先手を打ってGoogleの侵入を阻止したのかもしれない。地域ぐるみでの抗議には、Googleも耳を貸すだろうし、もし反応が悪ければより上位の自治体にエスカレーションしても良い。少なくともネットでクダを巻いてるよりは、ずっと現実味のある行動だ。
昨年自治会の役員をやった経験から、個人的には最後のアクションをおすすめする。けっこう真剣に対応してくれるはずだ。
ネット上には、カメラの位置を下げればよいとか、人物や屋内を写真に入れないようにすればいいという案があふれているが、すでに膨大なデータが公開状態にあるのに、そんなの悠長な話をしている場合じゃないだろう。それなら地域別に「ここから先はGoogle進入禁止」と線引きしてしまって、少なくとも自宅周辺をガードする方が早くて確実だと思うね。
2008-08-15(金) [長年日記]
■ メールアドレスを変えた
spc.gr.jpを更新しないことに決めたので、現在メインで使っているsho@spc.gr.jpはあと10ヶ月の寿命となった。というわけで、新しいドメインでメールアドレスを作成、これをメインで使うことにした:
すいません、間違えました*1。こちらです:
こんないかにも「自動生成してください」と言わんばかりの短いアドレスを作っておいてなんだが、今度のはいちおうテキストでは非公開にして、spam対策を(少し)やってみることにした。どれくらい減るものかねぇ?
昨日の時点で、主要なWebサービスに登録してあるアドレスは置き換えた。ワークフロー中にメールによるconfirmationがあるのがざっと7割くらい。他はWeb上だけで変更できてしまう。旧アドレスにも通知をするところは数えるほどしかなかったけど、どうなんだろうなぁ。
個人的にメールをやりとりする人たちには、旧アドレスに来たメールをトリガーにお知らせするつもり。もちろん、この日記を読んでる人は自主的に変えてくれると助かります。
残るはメーリングリストやメルマガの登録変更で、これがまた面倒そうだ。QuickML系はいちいちメールが流れちゃうし。これを機に、少し整理するか。
*1 M@STER FONTSからMakotoフォントを利用。
2008-08-14(木) [長年日記]
■ 朝からバッテリを外すなど
夕べ、ちょっと車で出ようと思ったらリモコンでキーが開かなかったので「???」となりながら手で開けて乗り込み、スタートしたら今度はセルが回らない。バッテリ上がってるし……。先週末に車検から戻ってきて以来乗ってないから、おれは何にもしてないぞ。神奈川スバル、うちのR1に何をした?
夕べはどうしようもなかったので、今朝5時に起きてバッテリを外し、ガレージに設置してあるチャージャーにつないできた。完全放電しちゃったけど、ちゃんと復活するかしらん? 鉛蓄電池はそういうの関係ないんだっけ?
なんとなく、室内灯がつけっぱなしだったんじゃないかという気がするなぁ。慌ててあちこち触っちゃったから、元がどうなっていたのか判然としないけど。おのれスバル、どうしてくれよう。
Before...
◆ hidecr [私は部屋見られてみ気にしない人だけど 裸とかそういう前提以前に とにかく見られるのが嫌って人もいるんですよね うちの..]
◆ FB [なるほど、これ読んだつっこみがこれでは 「まったく不毛な話である」だな。]
◆ ただただし [あんたら、よりによってツッコミどころはそこだけかい!(笑) 種明かしをすると、最初の事例は(資産の価値が個々人のもの..]
◆ けめろん [あなたと全く同じ対策を開始していました。ネット上では代議士への働きかけなどの意見もあるようですが、わたしは彼らはネッ..]
◆ ぱ [文章を読み進めて、さらにコメント欄見て、「それでもトンチンカンな意見を言う人々」を見て吹いた。こりゃ頭の痛い問題です..]
◆ えっこわ [なるほど。判りやすい。理解した。]