MetaがInstagramのダイレクトメッセージ(DM)におけるエンドツーエンド暗号化(E2EE)機能を標準設定から廃止したことを受け、電子フロンティア財団(EFF)が「プライバシーをユーザー自身の設定ミスのせいにするな」と激しく批判した。
エンドツーエンド暗号化(E2EE)とは何か
E2EEとは、送信者と受信者の端末間でのみメッセージが復号される仕組みだ。通信事業者やサービス提供者であっても内容を読み取ることができない。WhatsApp(Meta傘下)やSignalが採用している方式として知られており、個人の通信プライバシーを技術的に保証する最も確実な手段のひとつとされている。
InstagramのDMは以前、E2EEをオプトイン形式(任意で有効化)で提供していた。Metaはこれをさらに後退させ、標準設定から完全に外した。ユーザーが自分で設定変更しない限り、Metaのサーバーを経由した非暗号化の通信状態がデフォルトになる。
EFFの主張:「Privacy by Default」が設計の原則
EFFが問題視しているのは、機能の有無ではなく設計思想だ。
「ほとんどのユーザーはプライバシー設定を深く掘り下げない。それは怠慢ではなく、普通の人間の行動だ」とEFFは主張する。「プライバシーを守りたければ設定を変えろ、変えなかったのは自己責任」というロジックは、プライバシーを権利ではなくプレミアム機能として扱う考え方であり、EFFはこの構造を根本から否定している。
EUでは「Privacy by Design(設計段階からのプライバシー組み込み)」がGDPRの要件に位置づけられており、欧州規制当局がこの件をどう判断するかが今後の焦点になる可能性がある。
Metaの思惑:コンテンツモデレーションという建前
E2EEが有効だとMetaはメッセージの内容を読めない。有害コンテンツの拡散防止や法執行機関への情報提供という正当な理由を掲げつつも、広告ターゲティングや政府・司法当局への情報開示を可能にしておきたいという動機も透けて見える。この構図に対してEFFは明確に「プライバシーの問題はユーザーに転嫁されている」と指摘している。
実務への影響——日本の企業・IT管理者に問われること
日本の業務環境でInstagramのDMを主要なコミュニケーション手段として使うケースは多くないかもしれない。しかし、このニュースが提起している本質的な問いはどこにでも当てはまる。
「自社のサービスやシステムで、セキュリティ設定のデフォルトはどうなっているか?」
たとえばMicrosoft 365では、Teamsの外部ゲスト招待設定、SharePointの共有スコープ、Exchange Onlineのメール暗号化など、多くの設定がデフォルト値のまま使われている。「使いたい人は申請して有効化してください」というアプローチは、Metaが批判されているのと構造的に同じ問題を抱えている——セキュリティを「特殊な操作を要求される面倒なもの」として位置づけてしまうのだ。
実務上のチェックポイントとして以下を挙げておく:
- 自社で使うSaaSの通信がE2EEかどうか、利用規約・サービス仕様で確認する
- TeamsやSlack等のビジネスチャットにおけるメッセージの保存・閲覧ポリシーを把握し、従業員に周知する
- 「デフォルト設定のまま使うユーザーが多数派」という前提でポリシーを設計し直す
- GDPR・個人情報保護法の観点から、自社サービスのプライバシーデフォルトを棚卸しする
筆者の見解
セキュリティの設計において「ユーザーが設定すれば守られる」という発想は、昔から繰り返し失敗してきた。大手プラットフォームであっても例外ではない、というのが今回改めて示された。
「禁止ではなく、安全に使える仕組みを作ること」が正しいアプローチだと筆者は考えている。しかし今回MetaがやったことはE2EEをデフォルトから外すこと——安全な選択肢をユーザーが積極的に選ばなければ辿り着けない場所に置いてしまった。これはEFFの言う通り、設計として明らかに間違っている。
この話を日本のIT現場に引き寄せれば、Metaだけの問題ではない。Entra IDの条件付きアクセスポリシー、Teamsの外部共有設定、クラウドストレージの公開範囲——「デフォルトは何か」「ユーザーが何もしなければどうなるか」を設計の出発点に置くことが、プライバシーとセキュリティを両立させる唯一の現実的な方法だ。利用者に後から設定を押しつけるのではなく、安全な状態がデフォルトになる設計こそが求められている。
出典: この記事は EFF slams Meta for killing Instagram encrypted chats and blaming users の内容をもとに、筆者の見解を加えて独自に執筆したものです。