広告大手、成人の91%を広告でターゲティングできると発表 AIの力も使っていくという
データブローキングは、ウェブ上であなたを追跡する不気味な侵入的な広告の背後にある、非常に利益率の高い業界です。
この産業の市場規模は$250億ドルを超え、2032年までに$440億ドルに達すると予測されている。
そして、ユーザーの個人情報やデータを数千もの第三者に販売することで繁栄しているこの業界では、販売の多くは一般ユーザーには見えない“舞台裏”で行われているのだ。
アップル、マイクロソフト、グーグルのような大手企業とは異なり、データブローカー業界の主要なプレイヤーは一般に知られていません。その理由の一つは、彼らのビジネスモデルにあります:彼らは、あなたのデータ(住んでいる場所、視聴するコンテンツ、ソーシャルメディアでフォローしている人、同居する人など)に対しあなたによる所有権はないという前提で運営しています。代わりに、そのデータは資産として扱われ、再パッケージ化されて販売される対象となります。データ販売ビジネスは法的なグレーゾーンにあり、規制当局がプライバシー問題にますます注目する中、データブローカーが自ら進んで注目を浴びることは稀です。むしろ、彼らは不本意ながらスポットライトを浴びることが多い——例えば、人々のデータ(正確な位置情報を含む)を違法に収集・販売している現場を摘発された場合などです。
データ収集のモンスターを創造する
このような状況下で、フランスの広告大手パブリシス・グループCEOのアーサー・サドゥン(Arthur Sadoun)が、自社が地球上のほぼすべてのインターネット接続ユーザーについてどれほど多くの情報を保有しているかを公に明かしたことは驚きでした。しかし、彼が共有した内容に深く入る前に、Publicisとその強みの核心に迫ってみましょう。
Publicis Groupe(パブリシス・グループ)は単なる広告会社ではありません。2024年末までに、一連の合併と買収を経て、世界最大の広告会社となりました。2019年から、Acxiom、Experian、Equifaxといった大手データブローカーと並ぶEpsilonを傘下に収めています。
Epsilonはデータ収集に長い歴史を有し、その事業の中核を成しています。Epsilonは、年間470億件以上の許可に基づくメールを送信し、数千のデータベースを管理し、1日あたり500億件のデジタル広告を配信しているとされています。2014年、同社はCommon IDというツールを開発したテクノロジー企業Conversantを買収しました。このソリューションは、匿名化されたオンラインプロファイルを実世界の名前や住所と結びつけることができ、その影響力をさらに拡大しました。Conversantのテクノロジーは現在、Publicisの傘下にあります。
そして最近、Publicisは「世界最大の独立系アイデンティティソリューション企業」と自称するLotameの買収を発表した。Lotameは109カ国で展開する最大級のデータマーケットプレイスを運営し、100以上のソースから情報を収集しています。その主な方法の一つが、JavaScriptタグのようなツールの使用です。これは、オンライン上の行動を追跡し、クリックした内容、購入した商品、ウェブサイトに滞在した時間などのデータを収集する小さなコード片です。これらのプロファイルは、16億件を超えるIDを表現し、4,000社を超える大手ブランドやパブリッシャーに販売されています。これらの企業は、これらを精度の高いターゲティング広告に活用するために熱心です。
ユーザーであるあなたは監視されている
アーサー・サドゥーンと彼の衝撃的な告白に戻りましょう。Publicisの最近のプロモーション動画で、AIの力を強調したサドゥーンは、エプシロンを通じて世界中で23億人のデータにアクセスできると明かしました。「しかし、私たちは彼らを単に観察しているだけではありません」と付け加えました。「なぜなら、私たちはアイデンティティを基盤とした視点を有しているため、それぞれと直接的に関与する許可を唯一持っているからです」さらに、ロタメの買収により、その数はさらに16億のIDが増加します。
「Epsilonで既に把握している23億人に加え、Lotameは109カ国にわたる16億のIDを追加します。これにより、当社のクライアントはインターネットに接続された成人の91%とエンゲージメントを図れるようになります」
サドゥーンの言葉を文字通り受け取れば、パブリシスの3,600を超えるクライアントは、世界中で約39億人をターゲットにできることになります。
広告業界最大手の一つであり、おそらく最大手であるパブリシスは、サムスン、グーグル、Hulu、ESPN、ファイザー、トヨタ、ターゲット、ビザ、マリオットなど、業界の巨人を含む広範なクライアントリストを誇ります。特にエプシロンは、グローバルブランド上位20社のうち15社と、フォーチュン500企業上位10社の過半数と提携しています。そのクライアントは、金融サービス、小売、CPG、保険、自動車、医療など、多岐にわたる業界に及んでいます。その印象的なリストには、アメリカン・エキスプレス、アストラゼネカ、AT&T、バンク・オブ・アメリカ、デル、ダンキン・ドーナツ、フェデックス、ゼネラル・モーターズ、ヒルトン、JPモルガン・チェース、クラフト、ネスレ、NFL、ユニリーバ、ウォルグリーンズ、さらにはマクドナルドとコカ・コーラなども含まれています。
データの正確性について、サドゥーンは「可能な限り正確だ」と主張している。プライバシー保護に役立つと期待されていたクッキーの廃止は、その正確性を低下させないとの見解を示しています。
「アイデンティティが最も正確です。私たちはデバイスやクッキーではなく、実在の人物を対象にしています。1人あたり最も多くのアイデンティティポイントと属性を保有しています。米国 alone で、7,000の個々の属性と、人々の購入品の75%を把握しています。AIにより、毎日1兆件のインタラクションを5分ごとに更新しています。」
これが少し不気味に感じないなら、それは問題です。サドゥーンが説明する詳細な追跡のレベルは、大多数の人々が快適や倫理的と考える範囲を遥かに超えています。これは、あなたが何を購入し、オンラインでどのようにインタラクションするかを分単位で継続的に収集、更新、プロファイリングするシステムです。この監視の規模の大きさと、AIが精度を継続的に向上させる能力が組み合わさると、個人情報のプライバシーがほとんど存在しない世界が描かれます。これは広告の問題だけではありません——デジタルプロファイルがあまりにも精密で、あなたの行動を不気味な正確さで予測できる世界です。
さらにポイントを強調するため、サドゥーンは架空の女性「ローラ」の例を挙げた。
走れ、ローラ!
ローラは多くの人々が共感できる人物であり、それがこの例が恐ろしい理由です。彼女は2人の子供を持つ若い女性で、オレンジジュースが大好き——しかもプレミアムオレンジジュースです。しかし最近、ローラは収入がインフレに追いつかず、オレンジジュースの消費を削減せざるを得なくなったとサドゥーンは説明します。
もし、あなたの生活の詳細を知っている人が不快に感じないなら、サドゥーンはさらに踏み込み、「彼女が誰なのか、何を見ているのか、何を読んでいるのか、誰と住んでいるのか」に加え、「ソーシャルメディアで誰をフォローしているのか、オンラインとオフラインで何を購入しているのか、どこで購入するのか、いつ購入するのか」を知っていると明かします。そして、最も衝撃的なのは「なぜ購入するのか」です。
サドゥーンは、パブリシスのAIがこれらのデータを活用し、ローラがより安いジュースブランドに切り替える可能性を予測できると説明します。AIが判断すると、すぐに彼女に安価なオプションの広告を配信し始めます。
これは、行動ターゲティング広告がどれほど深く個人化され——そして潜在的に侵入的——になったかを示す完璧な例です。コンテキスト広告は、コンテキストに基づいてターゲットを絞ります(例えば、新しい親向けのサイトで見かけるベビーカーの広告や、ゲームフォーラムで見る新しいゲームコンソールの広告など)。一方、データ駆動型広告は、オフラインとオンラインの両方の行動に基づいてターゲットを絞ります。これは非常に侵入的に感じられることがあります。
しかし、これが最も深刻な問題ではありません。世界中のインターネットユーザーのほとんどから詳細なデータを収集しているデータブローカーは、無敵の要塞ではありません。他の企業と同様に、データ漏洩や不適切な実践に脆弱です。リスクの例はすぐに見つかります。実際、Epsilon自身は史上最も高額なデータ漏洩事件の被害者となりました。
Epsilonのトラブル深い歴史
2011年4月、Epsilonは重大なデータ漏洩を公表しました。同社は具体的な経緯を完全に開示していませんが、おそらくフィッシング攻撃が原因でした。ハッカーは従業員を騙して開発者の認証情報などの機密情報を開示させ、Epsilonのメールデータベースにアクセスし、75のクライアントから2億5,000万件の記録を盗み出しました。漏洩した情報は名前とメールアドレスのみでしたが、被害者はスパムメールや詐欺により推定$200万の損失を被りました。
この漏洩はデータブローカーの評判に重大な打撃を与えました。推定$4500万の売上損失が発生したほか、同社は米国司法省との和解で$1億2750万を支払い、さらにフォレンジック監査、監視、法的費用に$2億2500万を支出しました。当初、推定では、犯罪者がメールアドレスにアクセスし、そのデータを最大限活用してさらなる攻撃のための情報を収集した場合、Epsilonの損失は最大$40億に達する可能性があるとされていました。損害額はそれより低かったものの、同社には多額の費用がかかりました。
さらに深刻なのは、同社が高額な料金を支払って顧客の個人データを不正な scheme に関与するクライアントに故意に販売していたことが発覚した点です。2021年に米国当局との和解の一環として、エプシロンは2008年7月から2017年7月までの間に、従業員が3000万人を超える消費者のデータを大量メール詐欺業者に販売していたことを認めました。この組織は、そのデータを利用して、無防備な被害者(多くは高齢者)に偽の「抽選」宝くじの手紙や占いの勧誘メールを送信しました。2024年、エプシロン社の幹部社員2名(上級幹部と営業マネージャー)が、この詐欺事件への関与で懲役刑を言い渡されました。エプシロン社は$1億5,000万の罰金と被害者への賠償金を支払うよう命じられました。21万8,000人を超える被害者が$2,370万ドル以上を詐取され、一部の被害者は繰り返し標的とされました。
これらの事例は、データブローカーがウェブスクレイピング、他社からの情報購入、公的記録の分析、ロイヤルティプログラムなど、多様なオンライン追跡手法を通じて個人に関する前例のない洞察を獲得するだけでなく、このデータを偶発的に不正に扱うことで、深刻で広範な影響を及ぼす可能性があることを浮き彫りにしています。
データブローカーたちからプライバシーを保護する方法
データブローカーの監視の目を完全に逃れることはほぼ不可能です。完全にオフラインになることが唯一の確実な方法です。しかし、彼らが収集するデータを販売目的で制限したい場合、これは困難な任務ですが、まだ実現可能です。
データブローカーのウェブサイトには、行動ターゲティング広告のためのデータ収集を拒否するフォームが埋もれていることがあります。例えば、Epsilonは「興味に基づく広告」(閲覧履歴に基づく広告)の拒否オプションを提供しています。また、Publicisは個人データの売却を拒否するリンクを提供しています。調査の結果、Acxiomのウェブサイトに米国在住ユーザー向けのオプトアウトフォームを発見しました。ただし、米国以外在住でデータを削除したい場合は、Acxiomに国別のメールアドレス宛てにメールを送信する必要があります。ただし、この手続きは、リクエスト提出前に既にマーケターに販売されたデータには影響しません。
各データブローカーに個別に連絡してデータ収集と販売を拒否する方法は、簡単な作業ではありません。適切なフォームを探すだけで、相当な時間を要する場合があります。さらに、すべてのデータブローカー(数百社に及ぶ)に到達する可能性は低く、大多数をカバーするには広範な調査と多大な忍耐が必要です。
自分で大変手間のかかるこの作業をしたくない場合は、有料でこれらの作業を代行してくれる企業も存在しています。
代表的なサービスとしては、Incogni、Privacy Bee、 DeleteMe、Aura、Optery、DeleteMyInfoなどがあります。
オンライン上の足跡を消去するプロセスは、手間のかかる作業です。
何よりも、最初から大きな足跡を残さないようにしておくことが、後々の作業を簡単にしてくれます。
以下が、自分のオンライン上の存在を最小限に抑えるための戦略です:
-
SNSでの情報共有を制限する: 生年月日や住所などの機密個人情報を共有しないようにしましょう。これらの情報は、身分確認やセキュリティ目的で利用され、容易に悪用される可能性があります。
-
SNSアカウントを非公開設定にする: SNSインフルエンサーでない限り、アカウントを非公開に設定する方がメリットがあります。設定を通じて、信頼できる友人や家族のみに表示されるよう制限できます。
-
オンラインの宝くじやクイズなどを避ける: これらの一見無害な活動は、思わぬ個人情報を収集する可能性があります。プライバシーを保護したい場合は、これらを避けることをおすすめします。
-
ダウンロードするアプリを厳選する: アプリは信頼できるソースからのみダウンロードしてください。不要なアプリはデバイスを混乱させるだけでなく、データ収集や共有を行う可能性があります。使用しなくなったアプリは必ず削除してください。
-
登録や一時的なやり取りには使い捨てメールアドレスまたはエイリアスを使用してください: インターネット上のあらゆる登録にメインのメールアドレスを使用する代わりに、メールアドレスを晒したくないところには使い捨てメールアドレスを作成して使うことがおすすめです。これにより、迷惑メールから受信箱を保護し、個人情報が不要なアカウントと関連付けられるのを防ぐことができます。一部のサービス(例:AdGuard メール)は、ご指定のメールアドレスに転送してくれる「エイリアスメールアドレス」という機能を提供しています。(エイリアスから転送されたメールは必要に応じて後からフィルタリングできます。)
-
知らない送信元からのメールを開かないようにしてください: 知らない送信元からのメールには注意してください。フィッシング攻撃、マルウェア、または有害なリンクを含む可能性があります。見た目が正当な場合でも、知らないメール内のリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
-
プライバシー重視のブラウザや広告ブロックツールを使用する:Brave や Mozilla Firefox などのブラウザは、トラッカーをブロックし、プライバシーを保護するように設計されています。これらを、AdGuard 広告ブロッカー などの広告ブロックアプリや拡張機能と組み合わせて使用することで、オンラインでの活動をさらに保護し、不要な広告を減らすことができます。
-
VPNを使用してIPアドレスをマスクし、データを暗号化する: VPN(Virtual Private Network)は、オンラインプライバシーを強化してくれる優れたツールです。実際のIPアドレスを隠蔽し、インターネットトラフィックを暗号化するため、ウェブサイトや第三者が活動を追跡しにくくなります。VPNは、特に公共のWi-Fiでブラウジングする際の通信保護に役立ちます。