以下の文章は、電子フロンティア財団の「How the Federal Government Buys Our Cell Phone Location Data」という記事を翻訳したものである。

Electronic Frontier Foundation


この数年、データブローカーと軍、情報機関、法執行機関は、無数の市民の動きを監視するために、巨大かつ秘密のパートナーシップを構築してきた。我々のスマートフォンにインストールされた多数のモバイルアプリは、正確かつ頻繁に我々の行動を追跡している。データブローカーはアプリ開発者から我々の位置情報を収集し、政府機関に売却している。政府の手に渡ったデータは、軍による国外でのスパイ活動、ICEによる国内外の人物の監視、FBIやシークレットサービスなどの法執行機関に使用されている。本稿では、最近の調査や報道をもとに、この監視パートナーシップがどのように機能し、なぜ懸念しなくてはならないのか、そして、我々に何ができるのかを説明する。

データはどこから来るのか?

天気予報アプリ、ナビゲーションアプリ、クーポンアプリ、「ファミリーセーフティ」アプリなどは、その機能を有効化するために、位置情報へのアクセスを要求してくる。だが、ひとたび位置情報へのアクセス権を得たアプリは、そのアクセス権を誰とでも自由に共有できるのが一般的だ。

そこに登場するのが位置情報ブローカーである。データブローカーは、アプリ開発者にデータ購入取引を持ちかけ、多くの場合、デバイスに直接アクセスできるユーザ単位で料金を支払う。開発者は、位置情報ブローカーの「ソフトウェア開発キット」(SDK)と呼ばれるコードをアプリに追加する。一度ブローカーのSDKがインストールされれば、アプリが起動している状態であればいつでもデータを収集できるようになる。また、アプリを閉じていても、スマートフォンの電源が入っていればいつでもデータに「バックグラウンド」アクセスできることもある。

あるアプリ開発者は、データブローカーのSafegraphから次のようなマーケティングメールを受け取っている。

Safegraphは、強力なデータ・レコードを持つ米国のモバイルユーザのエキゾーストデータ(位置情報、マッチ、セグメント、その他戦略を含む)で、ユーザあたり年1~4ドルの収益化が可能です。私たちはすでに複数のGPSアプリと提携し、大きな成功を収めています。データ・パートナーシップにご興味があればぜひご一緒しましょう。

だが、ブローカーが溜め込んでいるデータは、パートナー・アプリから直接収集するデータだけではない。アドテク・エコシステムは、広告オークションのプロセスから関係者が個人情報を抜き取る機会を提供している。要するに、広告収益化事業(たとえばGoogle)は、アプリと提携して広告を配信している。その過程で、Googleはユーザに関するデータ(位置情報も含む)を収集し、そのデータを数百社の広告代理業者と共有する。各社はそのデータを使って、どの広告枠に入札するかを決めていて、これだけでも十分に不快な慣行であるのだが、こうした「ビッドストリーム(bidstream:入札ストリーム)」データのフローはほぼ無規制であるため、各社はデータが流れてくるたびに自由に収集し、後々使用するために保存できてしまうのである。

本稿で取り上げるデータブローカーは、さらに別のレイヤーでもデータを収集している。アプリや広告取引からの直接のデータ収集に加えて、他のデータブローカーから排他的にデータを取得してもいるのだ。たとえばBabel Streetは、Venntelからすべてのデータを購入しているという。そのVenntelは、親会社であるマーケティング向けデータブローカーGravy Analyticsからデータの大半を取得している。そのGravy Analyticsは、Complementics、Predicio、Mobilewallaなどのブローカーからデータへのアクセスを購入している。その3社がどこからデータを入手しているかは不明だが、少なくともその一部は、位置情報を売買する数十社の企業から集められたものだろう。

「どのアプリがデータを共有しているのか」も気になるところだろう。だが、その答えは「ほとんどわからない」である。報告書、技術分析、GDPRになどの法律に基づく情報開示請求によって、アプリと位置情報データブローカーとの関係に一端は明らかになっている。たとえば、Muslim ProとMuslim MingleというアプリがX-Modeにデータを売っていたこと、ナビゲーションアプリ開発会社のSygicがPredicioにデータを送信していたこと(PredicioはそれをGravy AnalyticsとVenntelに販売)などが判明している。だが、これは氷山の一角にすぎない。本稿で取り上げた位置情報ブローカーは、それぞれ数百、数千の異なるソースからデータを取得している。Venntel一社だけでも「8万以上」のアプリからデータを収集していると主張している。データの多くを他のブローカーから得ていることを考えれば、それらのアプリはVenntelとは直接の関係にはないと考えられる。つまり、この業界を支えるアプリ開発者自身ですら、自分たちのユーザのデータがどこに行き着くのかまったくわかっていないだろう。一方、ユーザは自分のデータがブローカーの手に渡ったのか、どのようにそこに行き着いたのかなど知る術もない。

誰が位置情報を売っているのか?

数十の企業が、民間市場で位置情報を売って数十億ドルを稼ぎ出している。その顧客の多くは、マーケティング企業、ヘッジファンド、不動産企業、他社データブローカーなど、データ売買の常連たちだ。規制が不十分なため、個人データが民間企業間をどのように流通し、そこでどのように使用されているかを追跡するのは極めて難しい。関係企業は通常、居住・睡眠・集会・礼拝・抗議などの活動データが、スターバックスの建設予定地の決定、ターゲット広告配信などの、完全に良性の目的のために使用されると主張している。

だが、一部の企業は、法執行機関、軍、情報機関、軍需産業など、より行動指向的な顧客にデータを販売している。この数年、ジャーナリストらによって、監禁や殺害の権限を持つ機関が秘密裏に位置情報を購入していることや、そのデータを販売する謎に包まれた企業の実態が次第に明らかにされている。

このチャートは代表的な政府系ブローカーVenntelとBabel Streetの2社の、アプリから政府機関への位置情報のフローにおける役割を図示したものである

最もよく知られているベンダーは、Gravy Analyticsの子会社、Venntelだ。同社はこれまで、少なくともIRSDHSICE、CBPDEAFBIなどの政府機関と取引してきた。Gravy AnalyticsはSDKを直接アプリに埋め込むことはせず、他のデータブローカーから間接的にデータを取得している。

データブローカーがデータの出所を明かすことはほとんどなく、Venntelも例外ではない。だが、調査や議会の証言によって、少なくとも一部の情報源は明らかになっている。2020年、NRK Betaのマーティン・グンダーセンは、自身の位置情報がどのようにVenntelに渡ったかを追跡するために、GDPRの知る権利に基づく請求を提出した。彼はSygicという会社の2つのナビゲーションアプリと、Funny Weatherというアプリをインストールし、それらに位置情報のパーミッションを与えていた。Funny Weatherは、彼のデータを位置情報ブローカーのPredicioに販売し、PredicioはGravy Analyticsに販売していた。Sygicのアプリは、PredicioとComplementicsの2社にデータを売り、ComplementicsもGravyにデータを送っていた。そうして、すべてのデータはVenntelのデータベースに集約された。2021年、ロン・ワイデン上院議員の長期にわたる調査により、ブローカーのMobilewallaがデータをVenntelに販売していたことを認めた

Gravy Analyticsは、同社のウェブサイトで位置情報の取り扱いに関する情報を公開し、さらに「1億5000万台以上」のデバイスにアクセスできると主張している。また、ビッドストリームからのデータ収集は行っていないと明言してもいる。だが、政府当局はVenntelのデータがSDKとビッドストリームの双方から得られており、それを裏付ける証拠もあると議会に伝えている。また、Venntelの情報源の1つ、Mobilewallaも、ビッドストリームから位置情報を収集・販売していることを議会に証言している政府契約には、Venntelのデータセットが「8万以上のアプリ」から得られたデータを含むと記述されている。X-ModeのようなSDKのみに依存するデータブローカーは、おおよそ数百程度のアプリとの直接的なパートナーシップにとどまるのだが、Venntelの驚異的なアプリカバー力を考えれば、少なくともそのデータの一部はビッドストリームから吸い上げられたものである可能性が高い。

Venntelのデータは細分化され、デバイス固有のものであるため、そのデータは個人の特定を容易にする。Motherboard の報道によると、Venntelのサービスを利用することで、顧客は特定の地域のデバイスを検索したり、特定のデバイスの識別子を検索してそのデバイスの移動を追跡できるという。つまり、顧客は特定の職場、企業、世帯のデバイスを追跡できるということである。氏名や電話番号のような明示的な識別情報を含まない場合もあるが、これは「匿名」を意味するものではない。元従業員がMotherboardに語ったように、「個人を特定できるのは間違いない」のである。

Vennelは、同社のデータベースにアクセスするためのウェブアプリ「Venntel Portal」の年間ライセンスを約2万ドル/1万2000クエリで販売している。また、同社は特定地域の全データへの直接アクセス(政府が管理するサーバにアップロード)を年間65万ドルという高額で販売してもいる。

Babel Streetは、法執行機関向けの「オープンソース・インテリジェンス」(OSINT)サービスに特化した政府コントラクター(請負業者)である。同社の主力製品「Babel X」は、ソーシャルメディアやウェブサイトからテキストをスクレイピングして解釈し、OSINTと従来の情報技術で収集したデータを融合させている。Babel Streetは、軍、情報機関、民間企業、連邦・州・地方の法執行機関などに「広く利用」されている。また、2020年3月にProtocolが報じたように、「Locate X」というサービスで、アプリ由来の位置情報データへのアクセスを販売している。

Babel Streetは2017年、Locate Xを米国特許商標庁に初めて登録した。同サービスでは、Babelの顧客がアプリ由来の位置情報データベースを照会できる。Locate Xは、住所や地域の周囲にデジタルフェンスを描き、その場所に存在したデバイスをピンポイントで特定し、そのデバイスが前月にどこに行っていたかを確認することができる。MotherboardがDHSから入手した記録によると、DHS当局者は「Babel Street は基本的に、Venntel のデータを高い値段で、アクセスに面倒な制限をつけて再ホストしている」と認識している。また、Babel Streetの従業員によると、連邦政府に流れている位置情報のほとんどはVenntelに由来するものだという。

Babel Streetは、一般向けのマーケティング資料を数多く用意しているが、Locate Xの詳細は隠しておきたいようだ。Babel Streetが顧客に提示する利用規約では、Locate Xのデータを証拠として使用することや、法的手続きで言及することさえ禁止している。それでも、空軍州兵、米国特殊作戦軍(SOCOM)、CBP、ICE、シークレットサービスなどの顧客は、Locate Xについて公言している。

Anomaly 6(以下、A6)も、アプリ由来の位置情報を政府に販売している。その実態は、2020年にウォールストリートに初めて報道された

A6は、元Babel Streetの2人の従業員、ブレンダン・ハフとジェフリー・ハインツが設立した企業だ。2人はBabel Streetで、国防総省、司法省、情報機関など、政府の大手顧客を担当していた。A6は独立後、Babel StreetのLocate Xの競合製品の開発を始め、かつての顧客層に向けてサービスを提供したという。2018年、Babel Streetが同社とその創業者2人を提訴したが、最終的に両社は法廷外で和解した。

A6は、自社の情報をほとんど公にしていない。同社のウェブサイトは、会社のロゴ、メールアドレス、アニメーション背景が表示されているだけである。カリフォルニア州バーモント州でのデータブローカー登録はされていない。また、A6のデータソースもほとんど知られていない。ウォールストリート・ジャーナルの報道によると、「500以上」のモバイルアプリのSDKを介してデータを収集しているという。Motherboardの2021年の報道によると、こうしたSDKはA6自身ではなく、同社の「パートナー」企業によってデプロイされ、同社とそのデータソースの間にバッファが形成されている。A6は、政府との契約は「機密事項」であり、どの機関と契約しているかは明かせないと主張している。公共調達の記録から、少なくとも1つの関係が明らかになっている。2020年9月、SOCOM傘下のSOCAFRICAがA6のサービスに58万9000ドルを支払っている

The InterceptとTech Inquiryは2022年4月、Twitterの「firehose」にアクセスできるソーシャルメディアモニタリング企業 Zignal LabsとのミーティングでのA6のプレゼンテーションについて報じた。A6は、両社の顧客が「特定のツイートを誰が送ったのか、どこから送ったのか、誰と一緒にいたのか」などを把握できるようにするためのパートナーシップを提案していた。A6はその能力を示すライブデモを実施し、ウクライナ国境に集結したロシア兵の携帯電話を追跡してどこから来たかを示し、NSAとCIAの両本部を訪問した183台のデバイスを追跡して米国の諜報員がどこに配備されているかを示した。また、ある諜報員と見られる人物の米国内の動き、ヨルダンの米軍飛行場までの移動、そして自宅に帰るまでを追跡して見せた。

X-Modeは、独自のSDKアプリから直接データを収集する位置情報ブローカーである。X-Modeはもともと、ユーザが夜の魔力にそそのかされてこっ恥ずかしいメールを送らないようにする「drunk mode」というアプリの開発会社として設立された。だがこのアプリが人気を博すと、同社はその真の価値がデータにあることに気がついた。同社はアプリから位置情報を収集するSDKを開発して自社アプリに導入し、データストリームに金を払ってくれるならどんな顧客にも販売するという方針転換を果たした。X-Modeが政府クライアントと直接関係があるのかは不明だが、Systems & Technology ResearchSierra Nevada Corporationなど、米軍と直接取引する防衛関連企業数社にデータを販売している。また、法執行機関や民間企業に代わって、サイバー攻撃への関与が疑われる「脅威アクター」を「自宅前まで」追跡する民間インテリジェンス企業のHYASにも販売していた

X-Modeはアプリに直接埋め込み可能なSDKを開発している。このSDKは、米国内のユーザであれば1人あたり月0.03ドル、国外のユーザでは1人あたり月0.005ドルのレートで、開発者に直接データの対価を支払っていた。また、X-Modeの直接SDKモデルは、アプリを分析することで、どのアプリが同社をデータ共有しているかが正確に把握できた。それゆえ、同社はニュースの見出しを飾ることにもなり、米国最大手のムスリム向けアプリ「Muslim Pro」や「Salaat First」などのリスク・グループ向けの数十のアプリが、X-Modeで位置情報を収益化していたことをMotherboardに暴かれてもいる。AppleとGoogleは、X-Modeが開発者利用規約に違反していると判断し、X-ModeのSDKを使用するすべてのアプリをApp StoreとPlay Storeから排除した

X-Modeは一時期、米国で約2500万人、世界中で4000万人のアクティブユーザのデータを持ち、400以上の異なるアプリを通じて追跡していると自負していた。モバイルプラットフォームから排除された後に同社は買収され、パブリックイメージを払拭するためにOutlogicというブランド名に変更された。新たな親会社のDigital Envoyは、「IPベースの位置情報」サービスを販売し、子会社のOutlogicを「小売、不動産、金融市場向けの位置情報プロバイダ」と説明している。Digital Envoyは米国政府とも深いつながりがある。The Interceptは、Digital EnvoyとIRSの執行部門、DHSの科学技術局(Venntelとも契約)、ペンタゴンの国防兵站局との契約を報じている。Digital Envoyと政府の関係に、Outlogicのアプリベースの位置情報が含まれているかは不明である。

位置情報はどのように利用されているか?

データブローカーと連邦政府機関とのいくつかの契約は公文書となっているが、そうした機関が実際にサービスをどのように利用しているかはほとんど知られていない。その実態は、政府文書や匿名の情報源を通じて次第に明らかになってきている。

国土安全保障省

大量の位置情報データ購入の政府系最大の顧客といえば、国土安全保障省(DHS)と、その傘下の移民・関税執行局(ICE)、税関・国境警備局(CBP)だろう。ウォールストリート・ジャーナルは、ICEが移民の容疑者を特定するのにこのデータを役立てていることを報じている。またCBPは、米墨国境の人気のない地域など「通常とは異なる場所での携帯電話の活動を探す」ためにこの情報を使用しているという。政府文書でも国境沿いのトンネルを発見するために位置情報を利用していることが明示されている。Motherboardによると、CBPは国境付近だけではなく、米国全土の市民の位置情報を購入しているという。CBPは裁判所の命令なしにこうした検索を行っており、その法的根拠を議会と共有することを拒否している。

連邦調達データベースによると、DHSはVenntelの位置情報製品に少なくとも200万ドルを支払っていることがわかる。最近公開されたDHSの調達記録は、ある機関の慣行をより明確に表している。この記録は、Venntelと、最近閉鎖したDHS研究部門の国土安全保障高等研究計画局(HSARPA)との一連の契約に関するものである。2018年、同局はVenntel Portalの5ライセンス分、10万ドルを支払っている。数カ月後、HSARPAは「Geographic Marketing Data – Western Hemisphere(地域別マーケティングデータ – 西半球)」という製品にアップグレードし、1年間のアクセスに65万ドルを支払った。このデータは、「S3バケット経由で毎日配信されている、つまりDHSに直接納品」されていた。「Venntel Portal」はVenntelがホストするデータへの限定的なアクセス提供だが、「Geographic Marketing Data」はDHSに特定地域のVenntelの全データをほぼリアルタイムに直接アクセスさせるものであったとみられる。

HSARPAによる購入は、Data Analytics Engine(DA-E:データ分析エンジン)と呼ばれるプログラムの一環として実施された。DHSは作業指示書の中で、このプロジェクトをサポートするために、特に中米、メキシコのデータが必要になると説明している。他にも、DA-Eの「ビッグデータアーキテクチャ」がICEの「逮捕・押収・新たな手がかり」につながったと、政府は鼻高々に誇っている。ICEはその後もVenntelとの継続的な関係を続けており、2018年以降、同社と少なくとも6つ以上の契約を結んでいる。

連邦法執行機関

FBIは2021年末にVenntelとの契約を公表した。この文書には、FBIがVenntel Portalの1ライセンスに2万2000ドルを支払ったことが記されているが、それ以外はほぼ黒塗りされている。司法省の麻薬取締局(DEA)は、2018年はじめに2万5000ドルの年間契約を約束したが、Motherboradによると最初の1ヶ月が経過する前に契約は打ち切られたという。ウォールストリートジャーナルによると、IRSはVenntelのデータから容疑者を追跡しようとしていたが、同社のデータセットでは標的を特定できなかったため断念したという。Babel Streetの法執行機関の顧客の中には、もっと成功した例もある。Protocolは、米国シークレットサービスが2018年にガソリンスタンドに設置された違法なクレジットカード読取機を押収するためにLocate Xが使用されたと伝えている

軍・情報機関

軍や情報機関が位置情報を利用するケースも数多くある。ミシシッピ州立大学の研究者が、機密扱いではないプロジェクトで、Locate Xのデータを使ってロシアのミサイル実験場周辺の動き(高官級の外交官の動きも含む)を追跡したこともある。米陸軍はこのプロジェクトに資金提供し、将来的にデータを「うまく使える可能性がある」ことが示されたと述べている。また、携帯電話所有者の「個人の特徴」を収集しない限り、携帯電話のデータ収集は陸軍の方針に合致するとも述べている(もちろん、個人の詳細な移動情報は「個人の特徴」なのだが)。

Locate Xの別の顧客は、Motherboradが最初に報じたように、アイオワ州航空保安局である。具体的には、デモインにある第132ウィングが、MQ-9 Reaperドローンを使ってターゲットの「長期間のカバー」と「動的遂行」を実施しているとされ、Locate Xの年間ライセンスを35000ドルで購入している。このライセンスは「国外での政府任務要件をサポートする」ために使用されると述べられているが、それ以上の詳細な説明はない。

Anomaly 6の連邦政府の顧客として確認されているのは、米国特殊作戦司令部(SOCOM)のみである。2020年、SOCAFRICA(アフリカ大陸に注力する部門)は、A6の「商用テレメトリーフィード(commercial telemetry feed)」に60万ドル近くを費やしている。2021年3月、SOCOMはViceに、この契約の目的が「国外での活動環境」におけるA6サービスの有用性を評価することにあり、すでに契約が切れていることを明かしている。2021年9月、連邦調達記録によると、米海兵隊の特殊作戦司令部MARSOCは、A6の「SMEサポート」に8700ドルの契約を交わしていたことが確認されている(SMEはSubject Matter Expertの略で、A6がトレーニングや専門知識を提供したことを意味する)。

最後に、国防情報局(DIA)もまた、位置情報ブローカーと連携していることを確認している。DIAは2021年1月にロン・ワイデン上院議員に宛てたメモで、スマートフォンの位置情報データを代理購入する「別の機関に資金提供している」と述べている。データは米国内外の端末を含むグローバルなものだが、DIAは米国内のデータポイントを別のデータベースに分けていたという。米国の位置情報データベースは、複数の政府機関から承認を得る「特定のプロセス」を経なければ照会できないが、DIAは過去2年半の間に5回の許可が下りたという。DIAは情報へのアクセスには令状が必要だと主張している。また、どのデータブローカーがDIAと協力しているかは不明である。

政府による位置情報データの購入は適法なのか?

一言で言えば、「ノー」である。憲法修正第4条は、不当な捜索・押収を禁じており、令状に特定性を要求している。連邦政府が特定の人物の位置情報を要求する場合、まず犯罪の相当な理由に基づいて裁判所から令状を取得しなければならない。もし連邦政府が法執行のために数百万人の市民の継続的な行動を調査したいと言っても、残念なことにそれは憲法が禁止する一般捜索(general search)2該当する。位置情報ブローカーを間に挟んだからといって、連邦政府が憲法修正第4条の規則を回避することは許されない。

携帯電話の位置情報(CSLI)に関する連邦最高裁の判決は、示唆に富んでいる。CSLIは、携帯電話が基地局と相互作用することで生成され、携帯電話サービスを利用するすべてのデバイスから、常に受動的に収集されている、CSLIは、GPSベースの位置情報よりも粒度が小さく、デバイスの位置を正確には特定できない。また、直接アクセスできるのは、電話事業者自身だけである。2018年、最高裁はCarpenter v. United States 事件で、CSLIは憲法修正第4条で保護されるとの判決を下した。また、政府が裁判所の承認した令状なしに通信事業者にCSLIを要求することはできないとも判示した。2018年以降、米国のすべての大手通信事業者が未加工のCSLIをどこにも販売しないことを公約している。警察は捜査の過程でCSLIを必要とする場合には、令状を取得するのが一般的である。

また、AppleやGoogleなどの大手企業が保存するGPSデータへの「ジオフェンス令状」についても、裁判所は制限を開始している。こうした令状は、特定の時間や場所に存在したすべてのデバイスの情報を求めるものであるが、EFFが説明してきたように、これらは憲法修正第4条の特定性要件に違反する一般捜索である。今年はじめ、連邦地裁はUnited States v. Chatrie事件でこの令状を取り消した。数百万人もの位置情報データの連邦政府による購入は憲法修正第4条に関して同様の問題を引き起こすだろう。

政府機関は、商業データブローカーの位置情報データにアクセスすることで、数百万〜数十億の特定可能な人々の移動データを一度に照会できてしまう。しかも、ある特定の地域・時間帯に限定されるわけではない。Anomaly 6が示したように、ある時間・ある居場所から出発して、数百のデバイスの位置履歴を一度に前方・後方から調べ、デバイスの所有者がどこに住み、どこで働き、どこに移動したかを把握できる。また、州や国をまたがるような広範囲なクエリも可能で、得られたデータにフィルタをかけることもできる。DHSが2018年のVenntelとの契約で購入したのは、こうした全データベースへのアクセスだったと見られる。こうした動きは、憲法修正第4条の特定性要件の限界点をはるかに超えている。

2021年、民主主義とテクノロジーのためのセンターは、政府による位置情報データの購入を支える法的フレームワークについて包括的な報告書を発表した。その中で、法執行機関や情報機関による米国民の個人データの購入が、「最高裁が認めた憲法修正第4条のセーフガードを回避している」と結論している。EFFもこれに同意する。憲法修正第4条は売り物ではない。我々の移動に関するセンシティブなデータはそもそも収集も販売もされてはならないし、個別の令状なしに政府機関が利用できるようにすべきでもないのは明白だ。

最後に、バーモント州カリフォルニア州の透明性に関する法律では、位置情報を処理する企業を含む特定のデータブローカーに州への登録を義務づけている。前述の企業のうち、X-Mode、Gravy Analytics、Venntelはカリフォルニア州に登録されているが、Babel StreetAnomaly 6は登録していない。この法律は執行されねばならない。

我々にできることは?

議会は、連邦政府によるセンシティブな位置情報の購入を禁止しなければならない。問題は単純だ。政府機関は、通常は令状が必要な個人データを一切購入できないようにすべきである。

だが、立法府に求められているのはそれだけではない。個人データが政府の手に渡ってしまうのは、そもそも民間市場に蓄積されているためだ。我々は個人データの収集・販売に意味のある同意を義務づける規制を必要としている。そして、このような大量監視を可能にする追跡技術の基盤を作り出したオンライン行動広告の禁止にも踏み出すべきだ。

モバイルOSの開発者もまた、この狡猾なデータ市場を閉鎖する力を持っている。長年に渡り、AppleとGoogleの両者は、広告識別子などの技術を用いた第三者によるトラッキングを明確にサポートしてきた。両社はその方針を変更しなければならない。また、フィンガープリンティングのような代替トラッキング手法も取り締まられるべきである。それによって、ブローカーによるユーザの追跡は現在よりも難しくなるだろう。さらにOS開発者は、アプリにどのSDKを組み込んでいるか、特定のデータを誰と共有しているかを開示するよう、アプリに要求しなくてはならない。AppleもGoolgeもデータ共有の透明性を確保するための取り組みを進めているため、ユーザは特定のアプリがどれほどセンシティブなパーミッションにアクセスかを理解できるようになってきた。だが一方で、それぞれのアプリが自分のデータをどのように共有・販売しているのかについては、ほとんど知らされないままだ。

幸いなことに、位置情報がデータブローカーや連邦政府の手に渡るのを防ぐための手段もある。最初のステップとして、広告識別子を無効にするのが良いだろう(邦訳記事)。データブローカーがさまざまなソースから入手したデータをあなたのデバイスに紐付ける最も一般的なツールを塞ぐことができる。またスマートフォンアプリを調べて、サードパーティのアプリに付与されている不要なパーミッションをオフにするのもいいだろう。データブローカーはアプリ経由の情報を取得することが多いため、位置情報へのアクセス許可を求めるアプリは注意して確認しておくと良い。アプリが提供する機能に必要としないであろうパーミッション、とりわけ位置情報へのアクセスは無効化し、信頼できないアプリはアンインストールしておこう。

How the Federal Government Buys Our Cell Phone Location Data | Electronic Frontier Foundation

Author: Bennet Cyphers / EFF (CC BY 3.0 US)
Publication Date: June 13, 2022
Translation: heatwave_p2p