イーロン・マスクの保守的な議題に同調する一部の部外者にツイッターシステムとデータへのアクセスを与えることで陰謀論をかき立てるというイーロン・マスクの願望は、大西洋の両側にある規制当局との深刻な混乱に世界で最も裕福な男を着陸させる可能性があります.
最近、マスク氏が数人の外部レポーターにアクセスを許可したことで、マスク氏と彼の応援団が、コンテンツ モデレーションに対するプラットフォームの以前のアプローチを暴露するものとしてフレームに入れているものが公開されるに至りました。
これまでのところ、これらの「Twitter ファイル」リリースは、彼がブランド名を付けているように、ニュース価値のある啓示という点では湿ったスクイブでした. B) コンテンツの一部に関するすべての事実がまだ確立されていない可能性がある急速に変化する状況を含む、ポリシーを実装するため。 C) また、潜在的に有害なコンテンツの可視性を低下させるために適用できるモデレーション システムを導入している (コンテンツを削除する代わりに) ことは、特にワイルドなニュース速報です。
しかし、これらの大幅に増幅されたデータ ダンプは、Twitter に厳しいニュースをもたらす可能性があります。外部のレポーターにシステムを開放するという Musk の戦術が、規制制裁という形でブーメランに逆戻りする場合です。
アイルランドのデータ保護委員会 (DPC) は、(少なくとも現時点では) 欧州連合における Twitter の主要なデータ保護規制機関であり、部外者のデータ アクセスの問題について Twitter に詳細を求めています。
「DPC は今朝、Twitter と連絡を取り合っています。 詳細を明らかにするために、この問題についてTwitterと協力しています」と広報担当者はTechCrunchに語った.
今日の初めに、 ブルームバーグ また、外部者が Twitter ユーザー データにアクセスしているという池に関する懸念についても報告しました — Facebook の元 CISO である Alex Stamos のツイートを引用して、マスクがアクセス権を与えられた記者の 1 人が昨日投稿した Twitter スレッドは「FTC が同意判決の調査を開始する」。
Twitter の FTC 同意判決は 2011 年にさかのぼり、同社が数年にわたってユーザー データの「セキュリティとプライバシー」を誤って伝えていたという申し立てに関連しています。
ソーシャル メディア企業は、5 月にすでに命令違反で 1 億 5000 万ドルの罰金を科されていました。 しかし、FTC が契約条件に著しく違反していると判断した場合、将来の罰則はさらに厳しくなる可能性があります。 そして、FTC が先月すでに Twitter に通知を出しており、「CEO や企業は法を超越している」と警告していることを考えると、その兆候は予兆です。
ここで考慮すべきもう 1 つの点は、欧州連合の一般データ保護規則 (GDPR) です。GDPR には、個人データを適切に保護するという法的要件が含まれています。
これは、GDPR のセキュリティ (または「完全性と機密性」) の原則として知られており、個人データは次のように規定されています。
適切な技術的または組織的手段を使用して、無許可または違法な処理に対する保護、および偶発的な損失、破壊、または損傷に対する保護を含む、個人データの適切なセキュリティを確保する方法で処理されます (「完全性および機密性」)。
したがって、ユーザー データ (および/またはユーザー データを公開する可能性のあるシステム アクセス) をスタッフ以外に渡してふるいにかけると、Twitter が GDPR のセキュリティ原則に完全に準拠しているかどうかについて疑問が生じる可能性があります。 ここでも考慮すべき問題がもう 1 つあります。Twitter が (非公開の) ユーザー データを部外者に引き渡す際に、どのような法的根拠に基づいているのか (実際にそうである場合) です。
一見すると、Twitter ユーザーは、標準的な T&C の下で、このような異常な処理に故意に同意することはほとんどありませんでした。 そして、ここで合理的に適用できる他の法的根拠は明らかではありません。 (ツイッターの 条項 処理シナリオに応じて、ユーザーのダイレクトメッセージまたはその他の非公開通信の処理に関して、契約上の必要性、正当な利益、同意、または法的義務をさまざまに呼び出しますが、実際にこれを処理している場合、これらのベースのどれが適合しますか? Twitterサービスプロバイダーでも法執行機関などの組織でもない非従業員への非公開ユーザーデータの種類については、議論の余地があります。)
これについて彼女の見解を尋ねたところ、 リリアン・エドワーズ — ニューキャッスル ロー スクールの法学、イノベーション、社会学の教授である — は、ここで GDPR がどのように適用されるかは切り詰められたものではないと私たちに語りましたが、彼女は Twitter がデータを予期しない第三者 (「誰が勝手に共有する可能性があるか」) に開示することを提案しました。セキュリティ原則に違反します。
「ご同意いただけましたら [to Twitter’s expansive terms]、これらの使用を承認しましたか? セキュリティ違反はありませんか? ここには悪質な要素がなければならないと思います」と彼女は主張した. 「これがどれだけ予想外だったか、セキュリティやプライバシーの脅威にどれほどさらされているか。たとえば、パスワードや電話番号などの個人情報が含まれている場合は?」
「それは難しい」と彼女は付け加えた — GDPR の下で必要とされるセキュリティ対策は、「データが次のことを保証するよう努めるべきである」と指摘する英国のデータ保護機関によって発表されたガイダンスを引用して:そうする権限があります(そして、それらの人々はあなたが与えた権限の範囲内でのみ行動します。)
「マスクは彼らを正しく承認しましたが、彼はそうすべきでしょうか? それらはセキュリティリスクですか? 合理的なDPAはそれを非常に厳しく見ていると思います。」
これを書いている時点では、Twitterが選択した部外者のレポーターに提供している正確なデータやシステムへのアクセスの量は明確ではありません.
Twitter からアクセスを許可された記者の 1 人であるジャーナリストの Bari Weiss は、次のように述べています。 つぶやき スレッド (彼女が設立し、データを報告する出版物に関連する他の 4 人のライターを参照) には、次のように書かれています。 私たちが同意した唯一の条件は、資料が最初に Twitter で公開されることでした。」
これらの作家のもう一人、アビゲイル・シュリアーは、さらに 主張した: 「私たちのチームには、Twitter の内部コミュニケーションとシステムへの広範な、フィルタリングされていないアクセスが与えられました。」
それでも、どちらのツイートにも、アクセスできるデータの種類に関する具体的な詳細はありません.
Twitterはまた、従業員を通じて、許可されているアクセスレベルに関する警告に対応して、非公開のユーザーデータへのライブアクセスをレポーターに提供していることを否定しました. 同社の新しい信頼と安全の責任者であるエラ・アーウィンは、過去数時間にツイートし、オンラインで共有されていたアカウントの内部システム ビューのスクリーンショットは、Twitter によって部外者に提供された内部アクセスの詳細を示しているように見えますが、そうではないと主張しました。そのシステムへのライブ アクセスを示します。
むしろ、「セキュリティ上の目的で」、この内部ツール ビューのスクリーンショットを記者に提供したと述べています。
Irwin のツイートでは、このスクリーンショットの共有方法は「PII がないことを保証するために選択された」とも主張しています。 [personally identifiable information] 暴露された」。
「私たちはレポーターにこのアクセス権を与えていません。レポーターはユーザーの DM にアクセスしていませんでした」と彼女は、レポーターのシステム (および潜在的には DM) へのアクセスについてセキュリティ上の懸念を提起した Twitter ユーザーに応えて付け加えました。 Irwin は 6 月に信頼と安全のプロダクト リードとして Twitter に入社したばかりですが、先月、信頼と安全の責任者に昇格しました (経由で 情報) は、マスクの下でわずか 2 週間働いた後に辞任した元首長のヨエル・ロスの後任として、マスクが誠実な政策適用から引き継ぐことによる「独裁的布告」に関する懸念を理由に辞任しました。
Twitter の信頼と安全の新しい責任者が、内部データのスクリーンショットを撮って、そのような情報を組み込んだレポートを公開することを目的とした非スタッフと共有することに時間を費やしている理由は別として、ここでの彼女の命名法の選択は注目に値します。「PII」は個人情報ではありませんGDPR のどこにでもある用語です。 これは、「ユーザーのプライバシー」の概念を最小限 (つまり、実際の名前、電子メール アドレスなど) にまで削ぎ落としたいと考えている米国の組織が好んで使用する用語です。 PII。
GDPR の関連する法的用語は「個人データ」であるため、これは重要です。これは PII よりもはるかに広く、PII とは見なされない可能性のあるさまざまなデータ (IP アドレス、広告主 ID、場所など) を含みます。 したがって、Irwin の主な関心事が「PII」の公開を避けることである場合、彼女は EU の GDPR が理解している個人データのセキュリティを理解していないか、優先順位を付けていないかのどちらかです。
これは、欧州連合の規制当局を懸念させるはずです。
アイルランドの DPC は、10 月末に Musk が会社を引き継いで以来、現在 Twitter の主任データ管理者ですが、人員を削減し、3 人の上級セキュリティ、プライバシー、および1 か月前に同時に辞任したコンプライアンス担当役員 — GDPR に関してアイルランドで「主に設立された」という同社の主張のステータスについて疑問が提起されました。
以前に報告したように、マスクによる一方的な米国ベースの意思決定は、Twitter が GDPR のワンストップショップ (OSS) メカニズムからクラッシュする危険性があります。これは、EU ユーザーのデータに影響を与える意思決定に Twitter のアイルランド法人が関与する必要があるためです。 また、会社がアイルランドで主要施設としての地位を失った場合、DPC だけでなく EU 全体のデータ監督者が、地元のユーザーのデータが危険にさらされていると感じた場合、独自の問い合わせを開くことができるため、規制リスクが直ちに高まります。危険。
マスクが Twitter のシステムを予想外の部外者に開放するようになったことで、彼はセキュリティとプライバシーのリスクに関する大きな疑問を引き起こす非常に公的な光景を見せています。見落としも。 (また、GDPR は、ローカル ユーザーのデータに差し迫ったリスクがあると判断した場合、非リード DPA による緊急介入を許可しているため、TikTok が最近行ったように、表向きは OSS 内にあるにもかかわらず、Twitter は EU の他の場所でダイヤルアップされた精査に直面する可能性があります。イタリアで。)
マスクが会社を引き継いで以来、Twitter はそのコミュニケーション機能を閉鎖しました。この情報。 ただし、Twitter からの声明を送信したい場合は、喜んで含めます。