Facebook の Cambridge Analytica スキャンダルのようなデータ窃盗の混乱を防ぐため、Google は機密性の高い Gmail API を使用する開発者に対し、アプリがルールに従って動作していることを証明するセキュリティ監査の費用を支払うよう求めている。
そして、そのコストは毎年15,000ドルから75,000ドル以上にもなり、中小企業を廃業に追い込む恐れもある。
「影響は甚大です」と、SquareCatの共同創業者であるジェームズ・アイビングス氏はThe Registerへのメールで述べた。「私たちは小さな会社であり、課せられた料金を支払えない場合、倒産の可能性に直面しています。なぜなら、現在のところ、その金額は私たちの経済力をはるかに超えているからです。APIを使用している何千ものアプリの中で、私たちのような状況は非常に一般的になると思います。」
彼の会社は、Leave Me Alone というメール一括登録解除アプリなどを開発している。
Googleは、メール分析ビジネスのReturn Pathなど、Gmailのメッセージとやり取りするアプリの開発者が、機密性の高いメールの内容やメタデータにプログラムでアクセスできるというウォールストリート・ジャーナルの報道から3か月後の2018年10月に、プライバシー保護計画を発表した。
この変更は、競合他社から何年も批判を受け、また、サービスを通じて配信される広告を精緻化するために消費者のGmailメッセージをアルゴリズムで解析する行為をめぐって訴訟を起こされたことを受けて行われたもので、Googleは2017年半ばにこの慣行を否定した。
改訂されたGoogle APIルールは2019年1月15日に発効し、Google APIを実装するすべての新規アプリに適用されます。この日より前に存在していたアプリは、2月15日(金)までに申請審査プロセスを開始する必要があります。
2月15日までに申請書を提出できなかった申請は、2月22日に新規ユーザーの追加ができなくなり、3月31日に取り消されます。
「ユーザーの期待と開発者の使用をより確実に一致させ、ユーザーがデータを安全に保つために必要な自信を与えるために、新しいポリシーを導入しました」とGoogleの広報担当者は電子メールで説明した。
誰もが幸せではない
この状況は、いつでも変更される可能性があり、中立的な監視を受けないプラットフォームのルールに依存するビジネスリスクを強調しています。
変更に不満を持つ人々にとって唯一の選択肢は、他社に事業を移すことだ。アイビングズ氏は、自社が「GmailではなくOutlookなど他のサービスに特化せざるを得なくなり、多くのユーザーを失うことになる」可能性があると述べた。
Google API を実装しているアプリのうち、Google OAuth API スコープまたは制限付きスコープ (メッセージの内容、添付ファイル、メタデータ、ヘッダーの読み取り、作成、変更を許可したり、メールボックスへのアクセス、メッセージの転送、管理設定を制御したりする Gmail API) を使用するサブセットは、2019 年末までに Google 指定の第三者からの評価書によって裏付けられた年次セキュリティ評価という特別な精査を受けます。
これは、Leave Me Alone のような消費者向けアプリにのみ適用されます。Leave Me Alone は、Gmail API を使用してニュースレター、スパム、登録メッセージを識別し、一括登録解除オプションを提供しています。また、Gmail API を使用してメッセージを整理し、ラベル付けする Clean Email にも適用されます。G Suite アカウントと連携するアプリには適用されません。従業員は企業管理者からプライバシーを期待していないためです。
Clean Emailの創設者Kyryl Bystriakov氏はThe Registerへの電子メールで、Clean Emailはユーザーのデータを尊重することを中心に構築されており、それを販売したり集約したりする意図はないので、Googleの強化されたプライバシー要件を歓迎すると述べた。
「当社のサービスに対してお金を払うことは、はるかに誠実で率直な取引であると信じている」と彼は語った。
ビストリャコフ氏は、Googleが制限付き範囲APIを使用するアプリに年間セキュリティ監査のために1万5000ドルから7万5000ドルの支払いを要求すると知って驚いたと述べた。
「日々ユーザーのデータとプライバシーを扱う経営者として、このような要件がなぜ出てくるのか理解できます」と彼は述べた。「しかし、これはやり過ぎなだけでなく、APIを中心に構築してきた開発コミュニティを破壊することになるとも考えています。」
価格交渉の余地はほとんどない。アイビングス氏によると、Googleが提供している承認済みの監査会社は2社のみで、選択肢は限られているという。「実質的に、これらの監査会社は数千ものアプリを独占的に支配しており、監査の実施を義務付けている」とアイビングス氏は述べた。
マーケティング目的でGmailデータを収集する企業と、サブスクリプション収益に注力する企業に対して異なる基準を設けているかどうかとの質問に対し、Googleは、すべての企業に同様にルールを適用していると主張した。「ユーザーデータポリシーの条項はすべての開発者に適用されます」と同社の広報担当者は述べた。「異なる規定を設けているわけではありません」
ビストリャコフ氏は、Googleはまさにそうすべきだと主張している。彼は、ビジネスモデルが異なればリスクも異なり、異なる基準でカバーされるべきだと示唆している。
Clean EmailとLeave Me Aloneは、それぞれのプライバシーポリシーが正確であると仮定すると、データ収集事業を営む企業よりもはるかに強力なプライバシー保護の取り組みを行っています。Clean Emailはメールアドレスのみを収集すると明言しています。Leave Me Aloneは、「お客様のメールの内容をいかなる形式でも保存することはありません」と明言しています。
これを、2017年にUberなどの企業に電子メールデータを販売していたことが発覚し、(ビジネスモデルを伝えなかったことに対する)謝罪とデータ売買のより明確な宣言を促したUnroll.meと比較してみましょう。
自分が思っていた以上にGoogleに情報を伝えているかもしれないと気づいたときの同期感覚
続きを読む
Unroll.meは、企業顧客向けの市場調査レポートを作成するために、「購入レシート、販売レシート、配送確認と返品、サブスクリプションの確認とキャンセル、登録確認、取引概要など」を収集していると述べている。これは、IPアドレス、訪問したウェブページのURL、参照元ページと離脱ページ、ページビュー、ページ滞在時間、その他のインタラクション指標に加えて収集される。
The RegisterはUnroll.meにコメントを求めたが、返答はなかった。
「Gmailがセキュリティ評価に関する要件を改訂するか、あるいはユーザー層ごとに異なるレベルのコンプライアンスを要求したり、開発者がより迅速かつ容易にコンプライアンスを達成できるサービスを提供したりすることで、コンプライアンスを達成するための他の方法を提供してくれることを心から願っています」とビストリャコフ氏は述べた。
アイビングズ氏は、Google製品のユーザー体験を向上させたい企業に金銭的な障壁を設けるよりも、信頼できる行動を確保するより良い方法があるはずだと述べた。「利用規約に違反する企業に罰則を課すことは効果的かもしれない」と同氏は述べた。「あるいは、よりきめ細かで制限の厳しいAPIアクセスルールを作成することも確かに役立つだろう。例えば、GitHub APIは、メールアドレスの読み取りやファイルの編集など、アプリに非常に限定的な権限を与えている。これは、Googleの『すべてを読み取れる』権限とは対照的だ」®
