「個人情報を売られている」と聞くと、何か特別な悪事のように響くかもしれません。でも実際には、データの売買は産業として成立し、合法に運営されています。
広告ID、購買履歴、位置情報、検索行動、アプリの利用履歴。これらは日々取引され、私たちのデジタルな分身が、知らない場所で組み立てられているのです。
「データブローカー」という産業
データブローカーと呼ばれる事業者をご存じでしょうか。複数のソースからデータを買い集め、名寄せをし、プロファイルを構築して再販する企業群です。米国では大手として Acxiom、Experian、LiveRamp などが知られ、それぞれが世界の数億人分のプロファイルを保有しているとされます。
日本にも類似の事業はあります。広告配信プラットフォーム、データ・マネジメント・プラットフォーム(DMP)、調査会社。表に出る名前は控えめですが、活動は活発です。
これらの事業者は、必ずしも「個人情報」と呼べる氏名や住所を直接扱っているわけではありません。広告IDやクッキーIDといった識別子で個人を区別し、行動履歴を積み上げ、興味関心や属性を推定する。法律上の「個人情報」を持っていないがゆえに、規制の対象から微妙に外れる構造になっています。
「匿名化」は安全装置ではなかった
「匿名化されているから問題ない」という説明を、何度も耳にしてきました。けれど、この前提自体が、研究の世界では長く疑問視されてきました。
カーネギーメロン大学のラタニア・スウィーニー教授が2000年代初頭に発表した研究は、いまも引用され続けます。米国民の約87%が、郵便番号と生年月日と性別の3項目だけで一意に識別できる、というものでした。20年以上前の指摘です。
これは米国の人口分布のデータですから、日本にそのまま当てはまるわけではありません。けれど、組み合わせれば識別できるという原理は同じです。市区町村と生年月日と性別、あるいは行動範囲と通勤時間と購買履歴。複数の属性を重ねれば、思った以上に簡単に個人は特定されます。
その後の研究でも、匿名化された行動履歴データの再特定は繰り返し可能であることが示されてきました。「匿名化」は絶対の安全装置ではなく、再特定の難易度を上げるだけの相対的な対策にすぎないのです。
違法ではなく、合法のまま流通する
ここで重要な事実を確認します。データブローカーの活動は、多くの場合、違法ではありません。
日本の個人情報保護法は、「同意の取得」「利用目的の明示」「第三者提供時のオプトアウトの整備」といった手続きを踏むことで、データの第三者提供を許容しています。法律が想定しているのは「適切な手続きを踏んだ流通」であって、「流通そのものの禁止」ではありません。
問題は、この適切な手続きが、私たちの実感とどれくらい結びついているかです。利用規約のどこかに「第三者に提供することがあります」と書かれていれば、提供は正当化される。「同意を得ました」というアリバイが、儀式として成立すれば、データは合法的に流通する。これは前回(第1回)で見た「同意の儀式化」と、合わせ鏡の関係にあります。
ターゲティング広告という日常
身近な例で考えてみましょう。あなたがある商品をECサイトで眺めた直後、別のサイトを開くと、その商品の広告が追いかけてくる。日常的な体験ですが、これを成立させているのが、ブラウザ間で共有されるトラッキングIDと、広告事業者間のデータ連携です。
つまり、あなたが「この商品に興味がある」という事実は、複数の事業者のあいだで瞬時に共有されています。あなたが「同意した」のは特定の1サイトのプライバシーポリシーかもしれませんが、その先のネットワークは、あなたの理解の範囲を超えて広がっています。
EUではこのトラッキングに厳しい規制をかけ、米カリフォルニア州は2018年に制定されたCCPA(カリフォルニア州消費者プライバシー法)でデータ販売の停止権を認めました。日本でも改正法でCookie規制が議論されてきましたが、欧米と比べると立ち後れている状態です。
「保護されている」のではなく、「合法的に流通している」
ここまでの話をまとめると、こうなります。
私たちのデータは、悪意ある攻撃者の手に渡って漏えいする、というだけの話ではありません。日々、合法的に取引されている。匿名化という名の安全装置は完璧ではない。同意という儀式は、流通を正当化する手続きとして機能している。
「個人情報は保護されている」という感覚は、半分は正しく、半分は錯覚です。正確には、「合法的に流通している状態を、法的に保護と呼んでいる」のかもしれません。
第3回からは、もうひとつの大きな保有者——国家——に視点を移します。民間の流通だけが論点ではない、というところから、議論の射程を広げていきます。
引用元
- Sweeney, L. (2000). ‘Simple Demographics Often Identify People Uniquely’
- California Consumer Privacy Act (CCPA)
著者プロフィール
町島 和徳(ギャラクティックブレーン合同会社 代表社員)
電気通信大学在学中からコンテンツ制作の現場でキャリアをスタート。エンタメ業界での経営実務を経て、現在はコンサルタント兼フルスタックエンジニアとして活躍。経営・マーケティング・技術の複眼的視点と、部門や階層を超えたファシリテーション力を強みに、スタートアップから大手企業まで幅広いDX支援を手がける。生成AI・RPAの実務活用を精力的に展開。成功・失敗双方の実践知を惜しまず発信する現場主義のプロフェッショナル。
