以下の文章は、電子フロンティア財団の「Federal Regulators Limit Location Brokers from Selling Your Whereabouts: 2024 in Review」という記事を翻訳したものである。
2024年の年頭と年末、スマートフォンのアプリを通じてユーザの居場所を追跡・売買する位置情報ブローカーに対し、連邦規制当局が次々と執行措置を講じた。1月、連邦取引委員会(FTC)はX-Mode SocialとInMarketの2社に制裁を科し、詳細な位置情報の販売を禁止した。FTCによる同種の規制は初めてのことだ。さらに12月にはGravy Analytics(Venntel)とMobilewallaにも規制の手を伸ばし、生殖医療クリニックや宗教施設といったセンシティブな場所への訪問履歴の売買を禁止した。FTCはこれまでもKochavaなど位置情報ブローカーの提訴を重ねてきたが、こうした企業によるプライバシー侵害は深刻さを増す一方だった。2024年、連邦政府が本腰を入れて規制に乗り出したのは、喜ばしい動きと言えるだろう。
規制当局も指摘するように、位置情報はまさにセンシティブな個人情報だ。企業はさまざまな手口でスマートフォンから位置情報を収集している。アプリに組み込まれた企業のソフトウェア開発キット(SDK)は、分析やデバッグを名目に大量のセンシティブ情報を送信するよう指示する。データブローカーはアプリ開発者に対し、SDKの組み込みと引き換えに市場分析データや金銭的な見返りを提供することもある。SDKを直接組み込まない企業でも、リアルタイム入札(RTB)オークションに参加し、指定した場所のデバイスの広告枠に入札することで、落札できなくても貴重な位置情報を手に入れられる。確かにアプリが位置情報などの許可を求める際、その目的は正当なものかもしれない。たとえば価格比較アプリなら、近所で目的の商品を最安値で売っている店を教えてくれる。だが、その情報が同時に追跡企業とも共有されていることは、誰も教えてくれない。
今年は業界の内幕が次々と明るみに出た。Locate Xのような強力なツールの仕組みが暴露され、いずれ法執行機関と協力すると主張するだけで、世界中のスマートフォンの位置情報にアクセスできる実態が明らかになった。2022年にEFFが地方警察への大量データ販売の事実を暴いたFOG Data Scienceは、今年になって容疑者を追跡するため、主治医の情報提供を法執行機関に持ちかけていたことも発覚した。
EFFは、データブローカーが時と場所を超えて位置情報を追跡できないよう、モバイルデバイスの設定を変更するなど、技術的な対策について詳しく説明した。また、暴走するデータ産業から私たちを守るため、法制面からも構造的なセーフガードの整備を訴えた。
FTCの動きに加え、消費者金融保護局(CFPB)もデータブローカー業界を取り締まる新たな規則を提案した。CFPBによれば、データブローカーは財務情報からアプリの使用状況、一日の行動履歴まで、高度にセンシティブな情報を集めているという。新規則には厳格な同意要件が盛り込まれ、非識別化を謳う個人データにも保護の手が及ぶ。「軍人、退役軍人、政府職員、その他の米国民の詳細な個人情報」が売買されているという実態を踏まえれば、2025年中の採択・施行が待たれるところだ。
今年は、規制当局が本気で消費者保護に乗り出した年として記憶されるだろう。ほぼすべての人の行動履歴が克明に記録され、わずかな金で売買される――数年前なら想像もできなかった被害から、消費者を守ろうとする意思が示された。2025年も位置情報ブローカーの脅威に立ち向かう姿勢が継続されることを期待したい。
本稿は、我々EFFの「Year in Review」シリーズの一部である。2024年のデジタルライツをめぐる戦いに関する他の記事はこちら。
Federal Regulators Limit Location Brokers from Selling Your Whereabouts: 2024 in Review | Electronic Frontier Foundation
Author: Bill Budington / EFF (CC BY 3.0 US)
Publication Date: December 31, 2024
Translation: heatwave_p2p
Material of Header image: Fallon Michael
