ターゲティング広告業界があなたのデータを監視の危険にさらす仕組み
私たちユーザーの個人情報は、新しいデジタル経済のエンジンであるオンライン広告業界を活性化させる貴重な資源である。
しかし、この資源から利益を得ているのは私たちではなく、アドテク企業が私たちのデータを販売することで莫大な利益を得ている。
多くの場合、これについて私たちは知らずで同意なしですし、もちろんデータを使われたことに対する補償も何もありません。
この莫大な商売は、半兆ドルの価値があり、さまざまな段階で多くの関係者が関与しているが、その巨大な規模にもかかわらず、私たちの視界からはほとんど隠されています。
そこで、"カーテンの裏側"を見てみましょう。
あなたのデータは1ミリ秒ごとにオークション販売されている
ほとんどすべてのアプリは広告を表示し、あなたが見る広告はランダムで、ランダムな場所にポップアップ表示されるという印象を受けるかもしれないが、そうではない。
広告が表示されるのはランダムで、ランダムな場所に出てくるという印象があるかもしれないが、そうではない。
つまり、同じアプリを使っている他の誰かが、全く異なる広告体験を得る可能性があるということだ。では、広告選択プロセスの仕組みを詳しく説明しよう。
あなたが広告スペースを持つアプリ(アプリパブリッシャーの3分の1以上がお金を稼ぐために広告に依存しているので、あなたはそうである可能性があります)を使っているとします。アプリはそのスペースを最も高い入札者に売りたいので、Google Adsのような、アプリパブリッシャーと広告主をつなぐプラットフォームにリクエストを送る。
このプラットフォームは次に、アドエクスチェンジ(広告スペースがリアルタイムで競り落とされる場所)を運営する別のプラットフォームにリクエストを送る。
アドエクスチェンジは次に、Facebook Ads ManagerやGoogle Display & Video 360など、デジタル広告主を代表する他の多くのプラットフォームにリクエストをブロードキャストします。
これらのプラットフォームは、あなたのデバイスとオンライン行動に関する情報を分析し、あなたに広告を表示するチャンスにいくら支払うかを決定する。
リアルタイム入札(RTB)として知られるこのプロセス全体は、ミリ秒単位で行われ、勝者はあなたの画面に広告を表示することができる。
しかし、あなたのデータは、オークションで落札し、あなたに広告を見せることになった広告主だけが見ることができるわけではありません。広告主がアプリの広告枠をめぐって競争するとき、広告主はすべて、あなたのデバイス、位置情報、アプリの使用状況などの情報を含むあなたのデータにアクセスできる。
このようなことが可能なのは、ビッドストリーム・データがどのように扱われ、保護されるべきかについて、明確なルールや基準がないからだ。そしてそれは、オークションに負けた入札者も、あなたのデータを他のことに利用できることを意味する。どんなことに?それはすぐにわかる。
グーグルとフェイスブックは、RTB市場の支配的なプレーヤーである。
我々のデータによると、Google Adsサービスは全初期広告リクエストの11%以上を占め、モバイルウェブサイトだけでなくモバイルアプリでの入札をサポートするFacebook Audience Networkは約10%を占めている。
初期リクエストとは、アプリが広告を読み込むために送信するリクエストのことで、これが成功すると追加の広告リクエストが発生する可能性がある。
モバイルアプリ内リアルタイム入札取引所の大手であるApplovinは、全広告リクエストの約7%で3位。
Amazon Ad Systemが約2.4%、イスラエルに拠点を置くironSourceが約1.3%で続いている(広告取引所を運営)。
広告主とパブリッシャーの他に、アドエクスチェンジのもう一つの重要なプレーヤーはデータブローカーで、データブローカーもビッドストリームデータにアクセスする。彼らの目的は、広告を配信することではなく、このデータを再パッケージ化し、自社の顧客(その中には政府機関も含まれる)に販売することだ。
後者は、何の制約もないこの「商業的に入手した」データを好きなように使うことができる。
一般的な用途としては、監視、入国管理、取り締まりなどがある。
Z世代向けアプリが位置情報を米政府に流出させた方法
この傾向を見事に表しているのが、ニア・インテリジェンスという消費者データブローカーが、「パススルー・エンティティ」を通じて、EUを含む機密ユーザーデータを米国政府の請負業者に販売していたというウォールストリート・ジャーナルの最近の報道である。
ニア・インテリジェンスが収集したデータは、DCSA(国防防諜安全保障局)、NSA(国家安全保障局)、NGA(国家地理空間情報局)、USAF Cyber Ops(米空軍サイバー作戦部)、国防総省、JCOS(統合参謀本部)の手に渡ることになる。
このデータブローカーは、複数の広告取引所を通過するデータの流れを盗聴していた。これらの取引所は後に、Nearがデータを転売し、広告以外の目的に使用したことはTOS違反であると主張したが、Nearはかなりの間、それを行うことができた。
不注意にもNear Intelligenceに(そしてそれを通じて米国政府に)データを提供してしまったアプリのひとつが、サンフランシスコを拠点とするLife360である。Life360は、友人や家族が同意の上で互いの位置情報を追跡できるようにするアプリで、特にZ世代に人気があり、"最もホットな学校帰りのアクセサリー"と呼ばれている。
このアプリを使うには、アプリを使わないときはおおよその位置情報にアクセスでき、使うときは正確な位置情報にアクセスできるなど、多くのパーミッションが必要だ。
アプリが必要とするパーミッションが多ければ多いほど、広告パートナーと共有できるデータも多くなり、このデータが政府にとってより価値のあるものになる可能性がある。
時々、アプリの疑わしいデータ慣行が暴露され、異議を唱えられると、アプリはやり方を変えたと主張するかもしれない。しかし、多くの場合、彼らは通常通り、あるいは微調整を加えながらビジネスを続けている。
The Markupによる別の調査2021年12月にまでさかのぼるでは、Life360は正確な位置情報を約12のデータパートナーに販売しており、それによってかなりの金額を稼いでいたことが判明した。
Life360はその後、ブローカーへのデータ販売を止めると述べたが、正確な位置情報データと"集約された"位置情報データを分析会社に販売し続けると指摘した。
また、ライフ360はニアが政府機関とデータを共有することで利用規約に違反していると述べているが、同社はそれを防ぐための十分な措置をとっていないようだ。
こういった監視は意外と一般的
政府機関が、令状や法的監督なしに、怪しげな手段で機密性の高いユーザーデータを入手することは、特にデータ保護法がしっかりしていない国ではよくあることだ。
これは、EUを除けば基本的にどこでも行われている。データブローカーは、どんな風評被害も厭わず、平気でこの秘密の取引に参加している。
広告取引所とは別に、データブローカーがデータを入手するもう一つの一般的な方法は、アプリを通じて直接データを入手することだ。
正確な位置情報を共有するアプリもあれば、デバイスの種類、名前、電話番号など、数え上げればきりがない。
重要なのは、これらのデータはすべて、あなたのモバイル広告識別子、言い換えれば、あなたのデバイスに割り当てられた固有のIDに紐付けられているということだ。
データブローカーは、さまざまなアプリや、ソーシャルメディアのプロフィールや公的記録など、オンラインやオフラインの情報源から情報を取得することで、少しずつあなたのことを詳しく知っていく。最終的に、データブローカーはあなた独自のプロフィールを構築することができる。
アプリからのデータマイニングで悪名高いブローカーのひとつに、昨年詳しく取り上げたSafeGraphがある。要するに、SafeGraphは、自社のSDK(ソフトウェア開発キット)を使用したアプリから位置情報にアクセスしていたのだ。SDKは、アプリ開発者が時間とお金を節約するために使用するコードの断片であり、ゼロから作成する必要がないように、既製の機能(位置追跡など)を提供する。
開発者は、SDKを通じてユーザーのデータを共有することで、データブローカーから報酬を得ることもある。
これは、アプリに位置情報へのアクセスを許可すれば、そのアプリのSDKも位置情報にアクセスし、ブローカーに送信することができるという事実に根ざしている。
実際、データ共有、いやデータ販売の慣行は、例に事欠かないほどいたるところで行われている。以下はその一部である:
2022年5月、報告書は、ICEのような米国政府機関が、何の監視もなしに民間企業から何十億ものデータポイントを購入していることを明らかにした。
そして、この慣行に異議が唱えられるたびに、政府は制限を回避する方法を見つけるだろう。例えば、オレゴン州がICEと州のデータを共有することを禁止した後、オレゴン州陸運局はICEがアクセスできるように運転免許証の記録をデータブローカーに売却した。2021年3月、Vice誌のMotherboardは、無人機による攻撃や偵察を行う米軍の部隊が、Babel Streetというデータブローカーが開発したLocate Xというツールを介して、一般的なアプリから位置情報を購入していたことを明らかにした。
2020年11月、米軍がイスラム教徒の祈祷アプリから位置情報を購入していたことが明らかになったが、これはこれまでで最も注目すべき事例の一つである。
もはや秘密ですらない
政府があなたのデータを合法的に押収できない場合、オンラインデータ市場で購入するという回りくどい方法を取ることは、何年も前から公然の秘密となっている。
このやり方はよく知られているので、ある時点で米国政府でさえもそのような見せかけをやめた。
今年3月、FBI長官のクリストファー・レイは、FBIが民間企業から米国の電話位置情報を購入していたことを初めて認めた。
しかし彼は、FBIはある時点でそれを止めたと主張した。彼の言葉を額面通りに受け取るかどうかは、あなた次第だ。
ターゲティング広告経由の政府監視から逃れるためにできること
このデータマイニングとデータ販売マシンを前にして、あなたは無力だと感じるかもしれない。
政府機関が何の監視もなしに民間企業からデータを取得することを禁止するような強固な法律がなければ、このやり方は続くだろう。第一に、政府にとってこの方法でデータを入手するのはずっと簡単だからである。
第二に、それは良い利益を生むからである。
つまり、現実的にできることは、オンライン上に残す痕跡の量を減らし、どうしても残ってしまう痕跡を見えなくすることだ。監視から自分のデータを守るために、いくつかできることがある:
広告IDを無効にするか、リセットする。あなたの広告IDは、あなたのデバイスに割り当てられ、データブローカーが異なるソースからあなたについてのデータをリンクするために使用される一意の番号です。そのため、広告IDを無効にしたり(常に可能というわけではありませんが)リセットしたりすると、データブローカーがあなたのプロフィールを作成するミッションが、不可能ではないにせよ、より複雑になります。
アプリに不必要な権限を与えない。多くのアプリは、あなたの位置情報、カメラ、連絡先などへのアクセスのように、実際には必要のないパーミッションを要求します。これらは、あなたのデータを収集し、データブローカーと共有するために使用することができます。アプリのアクセス許可はデバイスの設定で確認、変更できます。また、アプリが合法的に特定の重要なパーミッションを必要とする場合でも(例えば、天気予報アプリがあなたの位置情報へのアクセスを必要とする場合など)、それを与えることには慎重であるべきです。アプリをダウンロードする前に、そのアプリのプライバシー慣行を調べ、レビューを読み、そのアプリのデータ共有行動に関するニュースがないかチェックしましょう。
広告ブロッカーを使う。広告リクエスト(ブラウザからの広告読み込みリクエスト)は、トラッキングリクエストでもあります!広告ブロッカーは、広告が読み込まれないようにするだけでなく、あなたのオンライン上の行動や興味を追跡するスクリプトを停止します。今年の初めに我々は推定している広告追跡要求は、インターネットトラフィックの約19.6%を構成し、これらの要求のほとんどは '隠された'、すなわち、最初の広告要求が通過し、他の広告ドメインのロードに依存していること。
無料 "サービスの使用を制限します。あなたがそれにお金を払っていない場合、あなたは顧客ではなく、製品であることを忘れないでください。
