Metaが、社員の作業状況を追跡する社内ツールをいったん止めました。理由はかなり皮肉で、社員の入力データが社内で見える状態になっていたからです。
「人の行動を細かく集める仕組み」を作った会社が、そのデータの扱いでつまずいた。こういう話は、技術企業ではよくあるように見えて、実はかなり重いです。監視と安全管理は、ほんの少し歯車がずれるだけで一気に信頼問題になるからです。
Metaが導入したMCIは、4月に米国の社員向けに始まりました。名前はおだやかですが、やっていることはなかなか強烈です。記事によると、このツールはマウスの動き、クリックした場所、キー入力、さらには画面の内容まで集めます。
要するに、仕事の中で人がどうソフトウェアを使っているかを、そのまま記録する仕組みです。
Metaの説明では、これはAIの学習のためでした。人間が普段どんなふうにコンピューターを使うのかをAIに覚えさせるには、実際の人間の操作が参考になる、という理屈です。発想としてはわからなくはありません。AIに「人間らしいPC操作」を身につけさせたいなら、教科書より現場の動きのほうが材料としては濃い。
ただ、その材料が社員の操作である以上、当然ながらプライバシーの問題が出ます。しかも、最初は社員がオプトアウトできなかった。つまり「嫌ならやめます」が通じにくかったわけで、ここで不満が一気に積み上がったのだと思います。
Metaはその後、社員の抗議を受けて、ある程度は参加を制限できるようにしました。それでも不満は残っていたようです。社員側の見方では、これは単なるAI開発ではなく、働き方そのものを監視する仕組みに見えるからです。
この感覚、かなり自然です。自分のキーボード入力や画面を取られると聞いたら、「それは学習のためです」と言われても、気分はよくないはずです。会社側がどれだけ善意で設計したつもりでも、受け取る側は「見張られている」と感じやすい。
しかも今回まずかったのは、監視そのものより、そのデータの置き方でした。Metaのエンジニアが社内向けのセキュリティ通知を出し、MCIで集めた情報が入ったデータベースが、社内の誰にでも見えてしまう状態だったと伝えています。
ここがかなりいやらしいポイントです。外部のハッカーにやられた話ではなく、社内でのアクセス管理のミスです。つまり「会社の中なら大丈夫」という前提が崩れた。これ、セキュリティの世界では地味に見えてかなり痛い事故です。
Metaの広報担当トレイシー・クレイトン氏は、「慎重に設計し、プライバシー保護も入れている。現時点でMeta社員が不正にデータへアクセスした証拠はないが、調査のため停止する」と説明しています。
このコメントは、企業広報としてはかなり標準的です。けれど、社員側の不信感を完全には消せないでしょう。なぜなら争点は「悪意のあるアクセスがあったか」だけではないからです。「そもそも、そんなに集める必要があるのか」「集めたデータを安全に扱えるのか」という二つの問いが残るからです。
面白いのは、Metaがこの問題にあわてていたのは外部への漏えいではなく、社内の反応だったように見える点です。月曜日に内部フォーラムへ批判が集まり、社員の不満が一気に噴き出した。その数時間後にMetaは停止を決め、WIREDに先に伝えたあとで社員へ告知したとされています。
つまり、社内の空気が相当悪かったのでしょう。こういうとき企業は、技術的な不具合より「この会社は私たちの声を聞くのか」で評価が決まります。Metaはここでかなり厳しい試験を受けたように見えます。
さらに、6月18日に問題を把握し、4時間以内に対応したものの、最初の修正では不十分で、あとからアクセスをさらに絞り直したという説明も出ています。Stefane Kasriel氏は、「MCI由来のデータ」の一部が本来より多くの人に見えていたと認め、保護策が確実だと確認できるまで再開しないと述べました。
この「一度直したが、直りきっていなかった」という流れは、かなり生々しいです。ソフトウェアの事故としては珍しくない。でも、集めているのが社員の行動データだと、同じミスでも受け止められ方が全然違います。たとえば個人の作業ログや画面情報が扱われていたら、そこには業務上の秘密や個人情報が混ざる可能性がある。だからこそ、雑な運用は許されないんですよね。
前からMCIに反対していた元社員は、この件を「大混乱」と表現し、社員がこういう事態は起きるだろうと予想していたと話しています。さらに、経営陣は懸念に耳を貸さず、労働者や顧客データの安全性とプライバシーのリスクを軽く見ていた、とかなり辛辣です。
ここは単なる文句ではなく、Metaの組織文化への批判として読むべきだと思います。監視的な仕組みを入れたとき、運用のミスが起きるたびに「やっぱりね」と言われる会社は、かなり不利です。技術の優秀さだけでは覆せない、信頼の赤字があるからです。
Metaは今回の停止を、MCIの将来を見直す機会にもするとしています。すでに十分なデータが集まったので、長期的にどれだけ価値があるのか評価できる、というわけです。
この言い回し、企業としては上手いです。失敗を「ただの中止」ではなく、「評価の節目」に変えている。でも本音を言えば、かなり追い込まれているのではないかと思います。社員の反発が強く、しかもセキュリティ事故まで起きた。こうなると、単純な再開は難しいでしょう。
個人的には、この件はMetaがAI時代にどこまでやるつもりなのかをかなりはっきり見せた事件だと思います。AIのためなら社内の操作データも集める。けれど、そのデータを扱う体制が少しでも甘いと、途端に信頼が崩れる。
AI開発は「データがあれば強い」世界ですが、何でも集めればいいわけではありません。特に社員のデータは、顧客向けの利用ログよりもずっと生々しい。仕事の失敗も癖も、無防備さも入るからです。そこに会社がどれだけ敬意を払えるか。今回の件は、その答えにかなり苦い点数をつけたように見えます。
参考: Meta Pauses Employee-Tracking Program Following Internal Data Leak
