話題の最新アプリをダウンロードしたばかりなのに、使い始める前に何ページにも及ぶ定型文をクリックしなければならないなんて。そんな時間があるでしょうか？プライバシーやセキュリティに気を遣う人でさえ、アプリの利用規約はざっと目を通すことが多いものです。それにはちゃんとした理由があります。カーネギーメロン大学の研究者たちは、1年間に目にするすべてのプライバシーポリシーを読むには、なんと76営業日かかると推定しました。これは2008年のことです！

アプリやサービスのプライバシーポリシーを一字一句読む必要はありません（退屈ですからね！）。しかし、ざっと目を通す際に注目すべき重要な基準がいくつかあります。そう、ざっと目を通すのです。プライバシーポリシーを完全に無視すべきではありません。なぜなら、あなたのデータがどう扱われるのか（あるいはどう扱われるのか）を知ることは重要だからです。

プライバシーポリシーが短いほど良いとは限らない

GDPRとCCPAのおかげで、多くの企業がプライバシーポリシーをより分かりやすい言葉で書き始めています。中には、データの収集、保管、利用、共有方法といった問題に焦点を当てている企業もありますが、必ずしも簡潔さが求められるわけではありません。

Brexのプライバシーおよびデータ顧問であるホイットニー・メリル氏は、プライバシーポリシーが長いことが必ずしも悪いわけではないと述べています。「長すぎるものを見ると、『なんてことだ、こんなに悪いことをしているなんて！』と思う人もいるでしょう。しかし、それは同時に、あらゆることについて非常に透明性が高く、何が起こっているのかを説明しようとしていることを意味する場合もあります」と彼女は言います。

言い換えれば、短いプライバシー ポリシーを持つ企業を軽視せず、少々長いプライバシー ポリシーを無視しないでください。この場合、徹底的であることは、この世で最悪のことではありません。

簡潔さ、更新、コールバックに注目

簡潔であることが必ずしもプライバシーポリシーの良し悪しを示す指標ではないとしたら、何が良いのでしょうか？読みやすい言葉遣いや、明確で簡潔な要約を含むプライバシーポリシーは、少なくとも企業がユーザーに理解しやすい方法で情報を伝えようとしていることを示す指標です。プライバシーポリシーの更新情報も、良い兆候です。（GitHubは、プライバシーポリシーの変更内容をサイトポリシーリポジトリで説明しています。）

メリル氏は、Appleのプライバシーページを高く評価しています。そこには、プライバシーの価値と原則が説明されています。また、Appleのサインアップフローやコピー全体に、握手する二人の青い人物のグラフィックが使われている点も指摘しました。iOSとmacOSでも、Appleのアプリが何らかの形で個人情報の使用を求めるたびに、同じアイコンが表示されます。

「いつ彼らを見かけても、彼らはデータ、データの使用、データの共有、あるいはデータ収集について話をしようとしていることが分かります」と彼女は語った。

一部の分野では、Appleはリンクを提供したり、自社のポリシーを参照したりすることで、何が収集され、どのように使用されるかについての追加情報を提供しています。「これは非常に役立つと思います。なぜなら、何かに許可を与える際に、それが何に使われるのか理解するための文脈が十分に得られないという懸念があるからです」と彼女は述べています。

結局プライバシーポリシーを深く掘り下げる必要はないかもしれない

GitHubのアソシエイト・コーポレートカウンセル、フレッド・ジェニングス氏（本稿執筆時点では、法的助言やGitHubの弁護士としての立場を表明しているわけではないことを明確にしてほしいと要請）は、プライバシーポリシーをどの程度精査するかは、アプリやツールを何に使うかによって異なる可能性があると指摘する。「ポリシーを読み始める前にまず考えるべきことは、自分がそのサービスにどのようなデータを提供しているのか、そしてそのデータはどの程度プライバシーが確保されているのか、ということです」とジェニングス氏は述べた。

広いのは悪い

スタンフォード大学ロースクール、インターネットと社会センターの消費者プライバシー担当ディレクター、ジェン・キング氏は、プライバシーポリシーで使われる言葉は意図的に曖昧になっていることが多いと指摘する。例えば、多くのフォームには「～かもしれない」「～かもしれない」「～できる」といった表現があり、解釈を難しくしている。

疑問がある場合は、企業がポリシーで留保している権利を実際に実行しているか、または近々実行するだろうと想定するのが最善です。それがあなたにとって決定的な要因になるかどうかは、その企業のサービスを何に利用しているかによって異なります。ジェニングス氏によると、ポリシーをスクロールする際に注意すべき点として、企業がどのようなデータを収集し、どのように共有・保管するかに関するセクションがあります。

データ収集

優れたプライバシーポリシーは、企業があなたについてどのような情報を収集しているかを明記しています。収集する情報には、氏名、住所、ソーシャルメディアの詳細、IPアドレスなどの固有識別子、GPS情報などが含まれます。また、これらのデータは、企業が第三者から収集する情報と組み合わせられる場合もあります。

個人情報以外にも、企業のアプリやサービスを使って作成したコンテンツについても問題があります。企業があなたの画像やその他のコンテンツを第三者に投稿するライセンスを取得しているだけなのか、それともより高度な所有権を主張しているのかに注意してください。写真家が写真共有サイトに画像を公開する予定で、後日他の場所で販売する可能性もある場合、出版社は他の組織がその作品を公開する権利を持っているかどうかを知りたいと考えるかもしれません。「他の場所で公開していないと主張させるためにアカウントを削除しなければならない場合でも、アカウントを削除した後も、そのデータが企業に永続的にライセンスされているかどうかを知りたいと思うでしょう」とジェニングス氏は説明しました。

まずCtrl+Fを押して「所有権」を探し、会社があなたの創作物に対してどのような権利とライセンスを取得しているのかを確認しましょう。所有権、永続的（「永続的」または「永続性」は、何かがどれだけの期間保持されているかを説明する際に使われる法的なキーワードです）、全世界的、または単独裁量権などです。適切なセクションを見つけたら、時間をかけて詳細に読んでください。

データ共有

「私がざっと目を通す際に最も注意する点の一つは、私のデータが販売されているかどうかを判断できるかどうかです」とキング氏は述べた。ここでも、断定的な表現が重要になる。「時折、企業がその問題について明確な立場を表明しているプラ​​イバシーポリシーを見つけることがあります。その場合は、『お客様のデータを販売または共有することはありません』と明確に述べられているだけです」

しかし、たとえユーザーのデータを販売しないと主張する企業であっても、十分な対策を講じているとは言えません。なぜなら、「共有」も同様に悪影響を及ぼしうるからです。また、「関連会社とのみ共有します」と謳っているアプリでも、想像以上に広範囲でデータを共有している可能性があります。例えば、Match.comを所有するMatch Group, Incは、Tinder、OkCupid、PlentyOfFishも所有しており、OkCupidのユーザーは自分のデータがTinderと共有されていることに気づいていない可能性があります。さらに、情報を共有したい組織のデータ共有ポリシーを信頼できたとしても、共有先の組織は異なるポリシーを持っている可能性があります。

「収集する」「共有する」「アフィリエイト」といった言葉を探します。

データ共有には、政府との情報共有も含まれます。「よりプライベートなデータを保存している場所であれば、『法的手続き』や『法執行』といった言葉も気になるかもしれません」とジェニングス氏は言います。「開示」という言葉も役立つかもしれません。

データストレージ

「保存」や「暗号化」などのフレーズでCtrl+Fを押すと、企業がサーバー上にデータを保存する方法に関する情報が見つかります。また、「削除」や「保持」を検索すると、情報がどれくらいの期間保存されているかがわかります。

残念ながら、データ保存に関する情報は曖昧で不透明であることが多く、企業は数え切れないほど多くのセキュリティ侵害に見舞われています。たとえプライバシーポリシーに納得できるものであっても、データを保護するには、データを保存している企業を信頼するだけでなく、追加の対策が必要です。

• アプリには、動作に必要な情報のみを提供するように検討してください。必要以上のデータを追加しても、必ずしも大きなメリットが得られるとは限りません。例えば、生理周期を記録するアプリは、日付と時刻のみで動作し、性交相手の名前や生年月日は必要ありません。

• パスワードが漏洩した場合でも 1 つのアカウントのみに影響するよう、アカウントには必ず一意かつ複雑なパスワードを使用してください。

• 多要素認証には、パスワードに加えて、セキュリティ キー (Yubikey など) や、Google Authenticator や Authy などのアプリを使用します。

追加リソース

Facebookがユーザーのデータをどのように扱っているかについて広く共有されている投稿は完全に誤りだと証明されていますが、オンラインで役立つ情報もいくつか見つかります。まだ初期段階ではありますが、「Guard」はプライバシーポリシーを読み取り、ユーザーが利用するデジタルサービスにおけるプライバシーの脅威を警告する人工知能サービスです。

EFF はまた、「Who Has Your Back」レポートも発表しており、プラットフォーム ポリシー違反や法的要請に基づく政府の削除要請を報告する際の企業の透明性、コンテンツの削除や停止に関する通知や控訴手続きの有無などについて詳細に分析している。