データブローカーは、アプリ、ウェブサイト、公的記録、クレジットレポートなどから、お客様の個人情報を収集・集約しています。そして、これらのデータを、監視の目がほとんど届かない状態で、自ら選択したほぼすべての相手と共有・販売し、毎年数十億ドルもの利益を上げています。

これは個人情報の悪用につながる可能性があります。例えば、政府は本来令状が必要なデータを購入できる場合があります。

米国にお住まいで、このようにデータが収集・保管されることを望まない場合、誰がそのデータを保有しているのか、そしてどのようにオプトアウトするのか(そもそもオプトアウトが可能である場合)を判断するのは、お客様ご自身になります。

一方で、データブローカーにはほとんど障壁がありません。多くの法域において、データブローカーはほとんど規制を受けることなく、また通知する義務も負わずに、お客様の情報を分析、共有、再販しています。AI主導の広告パーソナライズ化が進む中、お客様の個人データの価値はかつてないほど高まっており、それと同時に直面しているリスクもかつてないものとなっています。

2024年のデータブローカー市場は約2,700億ドル規模(新しいウィンドウ)でしたが、2032年には4,700億ドルを超えると予想されています。Acxiom、Equifax、Experianといった大手企業は数億人分のデータを保有しており、データベースへのアクセス権を販売することで毎年数十億ドルもの利益(新しいウィンドウ)を上げています。

これは非常に巨大かつ分散した業界で、世界中で最大5,000社もの企業がデータの収集と販売を行っています。例えば、Google Play Storeで正当なアプリとして配信されているAndroidマルウェアが、偶然お客様のデータを収集してしまうこともあります。欧州のGDPR(新しいウィンドウ)カリフォルニア州消費者プライバシー法(CCPA)のような法律の施行により、プライバシー保護に向けた動きも一部で見られますが、依然として強制力は不十分な状況です。

これほど多額の金銭が動き、多くのプレイヤーが関与している以上、お客様の個人データがすでに収集されていることはほぼ間違いありません。その結果、ユーザー情報の盗難や金融詐欺の被害に遭ったり、クレジットや住宅ローン、保険の契約を拒否されたりするリスクが生じる可能性があります。

データブローカーとは?

データブローカー(または情報ブローカー)とは、個人の情報を収集、処理、販売、または共有する企業や個人を指します。多くの場合、本人の直接的な知識、同意、または対価の支払いなしに行われます。

彼らは、公的記録(不動産所有権や裁判所文書など)、オンライン活動(ウェブ追跡、cookie、SNSのスクレイピング)、小売やポイントプログラム、モバイルアプリや位置情報、クレジット情報、金融機関など、さまざまなソースからデータを収集します。

収集されたデータは詳細なプロファイルにまとめられ、広告主(ターゲット広告用)、保険会社(リスク評価用)、雇用主(身元調査用)、法執行機関(一部の司法管轄区における犯罪捜査用)、さらには政治キャンペーン(有権者ターゲット用)などの第三者に販売されます。

データブローカーは何を収集しているのか?

An infographic showing what data brokers collect about you

行動や好みが定量化できるのであれば、それを監視し販売するデータブローカーが存在する可能性が高いと言えます。一般的に収集されるデータには以下のものがあります:

  • ユーザー情報と連絡先情報:氏名、エイリアス、生年月日、電話番号、メールアドレス、過去の住所、社会保障番号など。
  • 人口統計:性別、年齢、民族、婚姻状況、学歴、職業、年収など。
  • オンライン行動:ウェブサイトの閲覧履歴、検索履歴、広告クリック履歴、SNS活動、オンライン購入履歴、ニュースレターへの登録など。
  • 位置情報:GPS、Wi-Fi、Bluetooth、アプリデータ、ジオタグ付き写真に基づく情報。
  • 購買習慣:買い物行動、ブランドの好み、ポイントカード、サブスクリプション、匿名化されたクレジットカードの利用状況など。
  • 財務プロファイル:クレジットスコア、ローン、住宅ローン、不動産所有状況、破産やリーエンなどの公的な財務記録に基づく情報。
  • 健康の兆候:フィットネストラッカーのデータ、健康関連の検索履歴、薬局での購入履歴、潜在的な医学的状態など。
  • ライフスタイルと信念:趣味、政治的傾向、宗教的信条、個人の性格特性、メディア消費習慣など。
  • 社会的・職業的つながり:世帯員、親族、友人、同僚、職歴など。

詳細を読む:お客様のアドレスは流出しており、簡単に見つけられてしまいます

データブローカーはどこからデータを収集しているのか?

監視資本主義の時代において、データトラッカーの洗練されたエコシステムが形成されており、そのほぼすべてが最終的にデータブローカーのデータベースへとつながっています。リストには以下が含まれます:

  • 公的記録と政府ソース:裁判所の提出書類、不動産証書、有権者登録、婚姻届など。
  • 小売および商業データ:購入履歴、ポイントプログラム、保証書、カタログ登録など。
  • オンライン追跡:ウェブサイトやアプリがcookie、ピクセル、トラッカーを使用して、お客様の閲覧やクリック、活動を記録する。
  • SNS:公開投稿、いいね、フォロワー、チェックインなど。
  • アプリとサービス:利用規約の奥深くに隠された条項を通じて、ユーザーデータをひそかにブローカーに販売または共有する。
  • 信用調査機関が保持するデータ:クレジットレポートや財務活動は、特定の条件下でブローカーと共有される場合がある(特に米国)。
  • アンケートや懸賞:個人が自発的に個人情報を開示する仕組み。
  • 位置情報:天気予報アプリやフィットネスアプリなど、GPSへのアクセスを求めるアプリによって収集され、匿名化された移動パターンとして販売されるデータ。

データブローカーは個人の人生をデータポイントに還元する — その仕組みについて

An infographic showing how data brokers exploit your information

データブローカーが繁栄しているのは、お客様のデータに対して高額を支払う意欲のある組織が数多く存在するためです。この情報は、ターゲット広告から容疑者の追跡まで、ほとんどあらゆる目的に使用されます。よくある利用例としては以下が挙げられます:

  • 企業は、「都市部に住む新米の親」や「ITリテラシーの高い住宅所有者」といった詳細な消費者プロファイルをターゲット広告、顧客獲得、データ保持のために購入します。
  • 保険会社はブローカーから入手したデータを使用してリスクを評価し、健康リスクや運転習慣などの推測される行動に基づいてプレミアム(保険料)を設定します。
  • 貸し手は、従来のクレジットレポートが不十分な場合に、買い物の習慣や支払い履歴などの情報を利用した代替のクレジットスコアリングに、ブローカーのデータを使用することがあります。
  • 政治キャンペーンでは、有権者のデータや過去の寄付状況、関心事に基づいたメッセージを作成するためにデータが購入されることがあります。例えば、教育資金に関心のある郊外の有権者には、学校関連の広告がターゲットとして表示されるかもしれません。
  • 一部のブローカーは、誰でも個人の氏名、アドレス、親族、電話番号を検索できるウェブサイトを運営したり、そこにデータを提供したりしています。
  • 政府や法執行機関は、令状を請求する代わりに、位置情報や財務データなどを直接購入することがあります。
  • データブローカー同士でデータを交換し、データベースを強化して、新しい業界や地域へビジネスを拡大することもあります。

ブローカーに売買されたデータは、自分に関連する意思決定にどう影響するのか?

このようなデータ取引が及ぼす影響は広範囲に及び、往々にして公衆の目からは隠され、非常に個人的なものです。彼らは、アプリの使用状況や頻繁に利用する店舗など、単体では重要に思えない情報を収集し、収益化しています。

しかし、これらの断片を組み合わせることで、お客様のルーチン、設定、財務状況、脆弱性など、驚くほど詳細な人物像を作成できます。一部のデータは直接お客様の名前と結びついていない場合でも、多くは永続的な識別子(IPアドレス(新しいウィンドウ)ブラウザのフィンガープリントなど)にリンクされています。そのため、顔を明かすことなく、お客様を容易に再識別する(新しいウィンドウ)ことが可能です。

個人データが一度流出し、集約されてしまうと、それらは際限なく取引される可能性があり、お客様が管理を取り戻すことはほとんど不可能です。また、お客様が意図せず同意した可能性がある場合でも、データを保持している企業が侵害を受けると、お客様がサイバー攻撃の標的となるリスクが生じ、ユーザー情報の盗難、詐欺、あるいはストーカー被害にさえつながる恐れがあります。

プライバシーやセキュリティのリスク以上に、透明性の欠如も同様に深刻な問題です。人々は、自分についてどのようなデータが収集され、それがどのように利用されているのかを知る機会がほとんどなく、データの削除を試みても、そのプロセスは意図的に複雑化されていることがよくあります。

さらに悪いことに、これらの詳細なプロファイルは、パーソナライズされた広告やターゲットを絞った政治的メッセージだけでなく、お客様の人生を左右する決定に影響を与えるためにも悪用される可能性があります。それらは、行動を操作し、誤情報を拡散させ、偏見や排除、差別を静かに助長する恐れがあります。

個人の個人情報を収集、パッケージ化、販売するビジネスは、国によりますが、一般的に合法です。例えば米国では、データブローカレッジを規制する連邦法はありませんが、カリフォルニア州、バーモント州、オレゴン州、テキサス州では、データブローカーに登録を義務付け(新しいウィンドウ)、個人がオプトアウトする手段を提供することを求めています。EU市民はGDPR(一般データ保護規則)によって保護されており、企業が個人データを収集および共有するには法的根拠が必要です。

こうした法的保護にもかかわらず、最近のデータブローカーの実態調査により、このシステムには大きな欠陥があることが明らかになりました。多くの企業が必要な登録を怠っており、膨大な数が正当な削除要求に応答しないか、あるいはその前にさらに機密性の高い個人情報の開示を要求してきます。また、Googleから「削除」ページを意図的に隠している業者も存在します。

例えば、カリフォルニア州のデータブローカー登録簿では、登録済み企業499社のうち35社が、オプトアウトまたはデータ削除ページにnoindexコードを追加していました。これにより、GoogleやBingなどの検索エンジンでは検索できないようになっています。また、5社はオプトアウトページ自体を一切設けていませんでした。

主要なデータブローカー企業にはどのようなものがありますか?

2700億ドル規模のデータブローカー業界は、複数の巨大企業が支配しており、Acxiom、Experian、Equifaxがその代表的な企業です。各社について知っておくべきことは以下の通りです。

Acxiom

Acxiomは世界最大級のデータブローカーであり、36か国で事業を展開し、月間1.2兆件の記録を処理しています。その多くは、個人から直接収集されたデータです。同社は26億人の個人データを保持しており、それぞれが1万以上の特性を使ってプロファイル化されていると主張しています。

Experian

Experianは、グローバルなデータブローカーおよび信用調査の大手企業で、32か国で活動し、2億人以上のユーザーと15万の法人クライアントを抱えています。同社は5,000のデータポイントと2,400のオーディエンスセグメントを保有しています。

Equifax

Equifaxは、グローバルな信用調査の有力企業であり、24か国で事業を展開する大手データブローカーです。年間収益は50億ドル近くに達し、世界中で8億人以上の個人と8,800万の企業に関するデータを集約しています。

データブローカーによる情報収集を停止させるにはどうすればよいですか?

An infographic showing how to protect yourself from data brokers

データブローカーによるデータ収集を完全に止めることはできませんが、軽減することは可能です。その方法は以下の通りです。

  • 共有する情報を制限しましょう。サービスへのサインアップ時に、氏名や実際の生年月日などの詳細な情報を入力することは避け、クイズ、アンケート、懸賞のフォームに記入する前には、今一度慎重に考えましょう。
  • オンラインサービスに登録する際は、メインの受信トレイにメッセージを転送するメールエイリアスを使用しましょう。これにより、お客様の実際のメールアドレスを保護でき、どのサービスがエイリアスを共有または漏洩させたかを特定できるほか、迷惑メールが増え始めた場合にそのエイリアスを簡単に無効化または削除することができます。
  • ニュースレター、カタログ、使用していないプロモーションメールの登録を解除して、マーケティングリストから自分自身を削除しましょう。Proton Mailでは、ニュースレター表示から簡単にこれを行うことができます。
  • モバイルアプリを見直し、使用していないアプリを削除し、必要のないアプリに対しては位置情報へのアクセスと追跡の許可を拒否しましょう。
  • オンラインに接続する際は常にプライバシー重視のツールを使用しましょう。これには、トラッカーブロッカーを備えたブラウザ検索エンジン、IPをマスクしトラフィックを暗号化するVPN(新しいウィンドウ)、データをスキャンしないセキュアなクラウドストレージ、そして安全な通信のための暗号化済みメールが含まれます。
  • Acxiom(新しいウィンドウ)Experian(新しいウィンドウ)などのデータブローカーサイトからオプトアウトしましょう。また、個人検索サイトで自分を検索し、削除を依頼してください。DeleteMeやPrivacy Beeなどのサービスを利用して、多数のウェブサイトに対して一括でオプトアウトを申請することもできますが、常に効果的とは限りません(新しいウィンドウ)

データへの露出を減らすためのステップを踏むことは、どんな些細なことでも役立ちます。しかし結局のところ、データブローカーによるデータの収集、搾取、販売を止める唯一の現実的な方法は、強力で強制力のある規則を設けることです。

それが実現するまで、お客様自身のデータを制御下に置くツールが、最良の防御手段となります。

よくある質問

ソーシャルメディアを避けていても、情報ブローカーはシャドウプロファイルを作成できますか?

オンラインでの活動を制限しようとしても、情報ブローカーは引き続きお客様のプロファイルを構築できます。これらの企業は、不動産登記、DMVの記録、国勢調査データ、さらには世帯員や職場の同僚が共有した情報など、オフラインの情報源からデータを抽出します。例えば、友人が緊急連絡先としてお客様を登録したり、写真にタグ付けしたりすると、そのデータはお客様と結びつけられる可能性があります。

データブローカーはAIを使用してデータセットを分析・拡大していますか?

多くのブローカーは、人工知能や機械学習を活用して情報を収集し、お客様のライフスタイルについて、本人さえも知る機会のないような推測を行っています。例えば、世界最大の広告会社でありながらデータブローカーとしても活動するPublicisは、23億人以上のプロファイルを作成できるというプラットフォーム「CoreAI」を構築しました。世帯の支出習慣や家族の好みが、予算重視の製品向けか、高級品向けかといったターゲティングを決定するために詳細に利用されています。

ブローカーにデータを販売させるのではなく、自分でデータから収益を得ることはできますか?

個人データの収益化という考え方はまだ初期段階にあり、巨大なデータブローカー業界と競合するレベルには達していませんが、関心を集め始めています。すでに、閲覧履歴や買い物レシートを共有することで直接報酬が得られるアプリなど、個人がオプトインして報酬を受け取れるプラットフォームが登場しています。

他にもDatapodsのように、ユーザーが自分のデータをパッケージ化してライセンス供与し、共有内容を細かく決定し、いつでも同意を取り消して収益の一部を得られる仕組みもあります。国レベルでは、ブラジルの「dWallet」イニシアチブがあり、市民が個人情報を安全に保管し、提案に応じてアクセス権を販売するための「データ貯蓄アカウント」を提供しています。