FTC報告書が暴く「暴走する商業的監視の実態」

Electronic Frontier Foundation

連邦取引委員会（FTC）の最新報告書は、EFFが長年警鐘を鳴らしてきた事実を裏づけている。テック大手は私たちの個人情報を広範囲に収集・共有することで、オンライン行動ターゲティング広告ビジネスを推し進めている。FacebookやYouTube、X（旧Twitter）など9つのソーシャルメディアと動画プラットフォームのデータ慣行に関する4年間の調査結果は、商業的監視によってユーザのプライバシーコントロールが著しく制限されている実態を浮き彫りにした。調査対象企業すべてが同様のプライバシー侵害を行っているわけではないが、結論は明白だ。企業はプライバシーよりも利益を優先する。

EFFはこうした慣行について長年警告してきたが、今回のFTCの調査は、商業的監視がいかに広範囲に及び、侵襲的になっているかを詳細に示す証拠となった。以下に報告書から読み取れる重要なポイントを挙げていく。

企業による個人データ収集は、ユーザの想像をはるかに超える

FTCの報告書は、企業がユーザの予想をはるかに超える方法でデータを収集していることを確認した。自社プラットフォームでの活動を追跡するだけでなく、他のウェブサイト、他のアプリでの活動も監視し、非ユーザ¹訳注：当該サービスのユーザではないインターネットユーザのデータまで収集し、さらにはサードパーティのデータブローカーから個人情報を購入している。一部の企業に至っては、ユーザデータの正確な出所を開示できない、あるいは開示しようとしなかった。

FTCの調査によると、企業は閲覧したウェブサイト、位置情報、人口統計情報はもちろん、「離婚サポート」や「ビールと蒸留酒」といったセンシティブな関心事まで、実に詳細な個人情報を収集している。一部の企業は追跡するユーザの属性について大まかな説明しかできなかったが、数千もの属性を含む表計算シートを提出した企業もあった。

歯止めのないサードパーティとのデータ共有

企業は個人情報を収集したら、必ずしもそれを自社内にとどめておくわけではない。ほとんどの企業が個人情報をサードパーティと共有していると報告している。一部の企業に至っては、共有範囲が広すぎて、個人情報を共有したすべてのサードパーティの一覧を提供できないとまで主張した。一覧を開示した企業では、その中に法執行機関や、米国内外の他企業が含まれていた。

さらに懸念すべきは、ほとんどの企業がデータを共有する前にサードパーティを審査するプロセスを定めておらず、データ使用制限の遵守を確認するために継続的にチェックする企業も皆無だった。つまり、企業が個人情報を分析など、表向きは無害そうな目的のためにのみ共有していると言っても、データが本当にその目的のためにだけ使用されているとは限らない、ということだ。このようなデータ共有に関する安全策の欠如は、ユーザを重大なプライバシーリスクにさらしている。

ユーザには何も知らされない

FTCの報告書は、これら企業による個人データの収集、共有、使用に関する透明性の欠如を浮き彫りにした。FTCにすらデータ共有先を報告できないのに、ユーザに正直であることなどどうして期待できようか。

データの追跡と共有は秘密裏で行われるため、ユーザはそれぞれのプラットフォームでどれだけプライバシーを犠牲にしているのか、ほとんど理解していない。これら企業は自社プラットフォームからだけでなく、非ユーザに関する情報や、ユーザのウェブ全体での活動からも情報を収集している。個人がこの広大なデジタル監視ネットワークに個人データを取り込まれることを避けるのは、ほぼ不可能な状況だ。企業がプライバシー設定を提供しても、その設定はしばしば不透明だったり効果がほとんどなかったりする。FTCはさらに、一部の企業がユーザ自信からデータの削除を要求されても、実際には削除していないという事実も明らかにした。

FTCが暴いた商業的監視の規模と秘密主義は、プライバシー保護の負担を個々のユーザのみに負わせることができない理由を示している。

監視広告ビジネスモデルこそが根本原因

FTCの報告書は根本的な問題を浮き彫りにした。これらのプライバシー侵害は偶発的な過ちなどではなく、オンライン行動ターゲティング広告のビジネスモデルそのものに内在しているのだ。企業が膨大なデータを収集しているのは、主にターゲット広告のために詳細なユーザプロファイルを作成するためだ。個人情報に基づくターゲット広告が生み出す利益が、企業をますます侵襲的なデータ収集手法の開発へと駆り立てている。FTCは、ほとんどの企業のビジネスモデルがプライバシー侵害を助長していると指摘した。

FTC報告書が示す立法措置の緊急性

連邦プライバシー法が存在しない現状で、企業は何十億ものユーザの個人データをほぼ好き放題に収集・共有してきた。FTCの報告書は、自主規制の失敗を明確に示している。企業の内部データプライバシーポリシーは一貫性がなく不十分で、利益よりもプライバシーを優先することを認めない。FTC自身の言葉を借りれば、「この報告書は、重大な措置がなければ商業的監視のエコシステムがさらに悪化するだけであることを疑いの余地なく示している」のだ。

この問題に対処するため、EFFは連邦プライバシー法制定を強く提唱している。多くの要素が必要だが、以下が重要なポイントだ。

1. データ最小化とユーザの権利：企業は、ユーザが要求したものを提供するために必要な範囲を超えて個人のデータを処理することを禁止されるべきだ。ユーザはデータにアクセスし、移転・訂正・削除する権利を持つべきである。
2. オンライン行動ターゲティング広告の禁止：商業的監視の根本原因に取り組むには、行動ターゲティング広告そのものを禁止しなければならない。そうでなければ、企業は侵襲的なデータ収集から利益を得続けるために、プライバシー法を巧みに回避する手法を見つけ出すだろう。
3. 私訴権を伴う強力な執行：プライバシー法に実効性を持たせるため、プライバシーを侵害した企業を訴える私訴権を人々に与えるべきだ。そうしなければ、限られた政府の執行リソースのため、プライバシー法の違反の大半が野放しにされるおそれがある。

オンラインサービスの利用が、無数の企業に個人情報を好き勝手に使わせることを意味するべきではない。ウェブサイトでアカウントを作成する際、見ず知らずのサードパーティに情報が渡ったり、広告を表示するためにクリックごとに監視されることを心配する必要はないはずだ。当面は、Privacy Badger拡張機能を使用することで、FTCの報告書で詳述されているトラッキング技術の一部をブロックできる。しかし、この調査で明らかになった商業的監視の規模は、もはや個人レベルの対策では太刀打ちできない。立法措置が必要不可欠だ。議会は今すぐに行動を起こし、強力な連邦プライバシー法によって企業による搾取からデータを保護しなければならない。