携帯キャリアはいかにしてユーザーデータで儲けているのか?
一見すると、顧客と携帯電話事業者の関係は非常に単純に見えますよね。
月々の料金を支払い、その見返りとして、データを使い果たすまで、もしくは次の請求書が届くまで、モバイルインターネットや通話を利用できる。
しかし、この関係は単純な「支払いとサービス」の交換だけではありません。
私たちの多くが気づいていないのは、携帯電話キャリアは単にサービスを提供しているだけでなく、私たちの個人情報を収集し、販売しているということです。
携帯電話ネットワークを利用するたびに、私たちはウェブ履歴、通話履歴、送信したテキストメッセージ、使用したモバイルアプリなどという情報にアクセスを与えています。
このデータから、私たちの嗜好、習慣、行動について多くのことがわかってしまいます。
当然ながら、このデータを使って私たちにパーソナライズされた広告やオファーを提供する広告主にもメリットが出てきます。
MetaやGoogleのような企業が、広告利益のために私たちのデータをどのように利用しているかについてはよく耳にしますよね。
しかし、彼らのサービス(InstagramやGmailを考えてみよう)なら、少なくとも無料であり、それらに追加条件があることを予測するのもおかしくないだろう(結局のところ、無料だから何らかの代償があって当然と思えますよね)。
一方、携帯キャリアに関しては、私たちは常に増え続ける携帯電話料金を負担していますので、負担や代償はその料金だけだろうと思いがちです。
しかし、残念ながら現実は違います。
AT&T、Verizon、T-Mobileといった海外の大手携帯キャリア(それぞれ市場シェアで米国第1位、第2位、第3位の携帯サービスプロバイダー)は、すべてデータ共有(つまりデータや個人情報の販売)ビジネスに参入している。
携帯キャリアたちはどのようにしてユーザーの機密データにアクセスし、共有しているのか?
大手携帯キャリアが顧客データをどのように利用しているかを知るには、各キャリアのプライバシー・ポリシーに目を向けるしかありません。
しかし、その泥沼に飛び込む前に、2つの方法であなたのデータを共有していることに触れておかなければならない。
その2つの方法とは
- デフォルトでの共有(サービス利用するだけで自動的に共有される)
- 同意を得ての共有
デフォルトのオプションとは、広告パーソナライゼーション・プログラムに自動的に登録され、それをオプトアウトするには設定を変更しなければならない(当該プログラムの存在を知らなければオプトアウトは非現実的)ということです。
デフォルトで共有・収集されるユーザー情報は、個人情報保護法のため、オプトインベースで収集される情報よりもパーソナライズされていないのが普通です。
ユーザーの明示的な同意が必要な広告パーソナライゼーション・プログラムに関しては、通信事業者は、収集できるデータの種類とその使用方法に関して、より自由度がある。
ユーザーはデータの収集と共有のすべてに同意していて、それについて何の疑問も抱かないはずだ、ということが前提となっているからです。
しかし、現実はもっと複雑です。
多くの人が「同意する」をクリックする前にプライバシーポリシーや同意書を読んでいないことは周知の事実です。
アメリカ人の3分の1は、同意する前にプライバシーポリシーを読んだことがないと認めている。
一方、企業は、ユーザーが細かい字を読みたがらないことを利用し、ユーザー・インターフェースに暗いパターンを使って、個人情報の共有に同意させるよう誘導したりします。
同意フォームに意図的に「曖昧な」表現を使ったり、同意しないとサービスが悪くなったり、特典を受けられなくなったりすることをほのめかしたりすることで、同意させようとします。
携帯キャリアが顧客データで儲けている方法
同意は非常に厄介な問題です。
携帯キャリアは、顧客の許可を得てデータを共有していると主張するかもしれないが、顧客を騙してデータを提供させることもあります。
上記を認識した上で、自社の追跡プログラムが"creepy"(気味悪い)、"invasive"や"common"(侵入的、一般的)と呼ばれている T-Mobile について詳しく見てみましょう。
T-Mobile
T-Mobileのプライバシーポリシーによると、顧客がオプトアウトしない限り、顧客からアプリの使用データを収集し、「関連広告」のために広告主と共有するという。
特筆すべきは、これはアンドロイド・ユーザーにのみ影響することで、アップル・ユーザーは免れている。
iOSユーザーのモバイル広告ID(MAID)は、広告目的でユーザーの行動や嗜好を追跡するために使用される識別子であるが、アップルがApp Tracking Transparency(ATT)機能を導入した2021年以降、それほど容易に利用できなくなった。この機能により、iOSユーザーはサードパーティによるトラッキングをオプトアウトすることが非常に容易になり、iOSデバイスは広告にあまり役立たなくなった。
T-モバイルによると、アプリの利用データを広告の選択に使用するのではなく、ユーザーの興味や購買意欲など、ユーザーに関する「モデルと推論」を作成するために分析するという。この情報は、ユーザーがインストールしたアプリの名前と、そのアプリに費やした時間に基づいている。
T-モバイルはこのデータを、性別や年齢層など顧客が自ら提供する情報と組み合わせ、ユーザーのMAIDとともに広告主と共有する。
これにより、広告主は顧客のプロファイルに基づいて広告のターゲットを絞ることができる。
しかし、T-モバイルはMAIDは顧客の名前やその他の識別情報とはリンクしていないと主張しているため、MAIDがどれほどのプライバシーリスクをもたらすのか疑問に思うかもしれない。これは大したことではなく、些細な問題を大げさに取り上げているだけなのだろうか?そんなことはない。MAIDは直接的に個人の身元を明らかにするものではないが、マーケティング担当者などの第三者によって暴露されるのを防ぐという意味ではない。彼らはデータブローカーが提供する特別なサービスを使ってユーザーの「仮面を剥がし」、例えばフルネームや住所などの個人情報を入手することができるのだ。数年前のマザーボードのレポートが明らかにしたように。
関連広告』プログラムだけでは十分でないかのように、T-モバイルはさらに多くのデータを収集する『パーソナライズ広告とオファー』という別のプログラムも用意している。
このプログラムへの登録には、顧客の「明示的な許可」が必要だが、同意書がしばしばどのようにデザインされているかを考えると、これを得るのはそれほど難しくないかもしれない。このプログラムは、より詳細な方法で顧客のトラフィックを分析し、"正確な位置情報 "や "ブロードバンドデータからのウェブ閲覧活動に関するトップレベルドメイン情報 "といったデータを収集する。
つまり、T-モバイルは、あなたが訪問したウェブサイトのURLに関する情報を収集・共有するが、その中の特定のページについては収集しない。
このデータは、あなたの興味やニーズについて多くのことを明らかにすることができ、マーケティング担当者が高い精度であなたに広告を調整するために使用することができます。
Verizon(ベライゾン)
T-Mobileのユーザーデータの取り扱いは特別なものではない。ベライゾンもユーザーデータを収集し、「販売」しているが、プログラムは異なる。そのひとつが、すべてのユーザーが自動的に登録される"Business and Marketing Insights"だ。このプログラムでは、ウェブ履歴、端末の位置情報、アプリ、機能、人口統計データ、興味を分析することで、あなたがどのように携帯電話を使用しているかを追跡します。このデータの一部は、第三者から提供される場合があります。ベライゾンは、お客様がオプトアウトしない限り、このデータを集計して広告主に販売します。他の2つのプログラムは、「カスタム体験」と「カスタム体験プラス」(後者はオプトイン)です。
「カスタムエクスペリエンス・プラス」は、「カスタムエクスペリエンス」と比較して、より多くのデータを収集します。訪問したウェブサイトや使用したアプリに加え、顧客が電話をかけたり受けたりした電話番号や端末の位置情報も記録される。
ベライゾンは、特別なフィルターを使用することで、健康やセクシュアリティに関連するウェブサイトへの訪問や、機密性の高い位置情報など、センシティブなデータの採取を避ける「努力をしている」と主張している。しかし、Meta and othersで見てきたように、そのようなフィルターは有効ではないかもしれない。ベライゾンはまた、「カスタマー・エクスペリエンス」プログラムのために収集された情報を第三者と共有しないと述べている。
これは、ベライゾンがそう呼んでいないにもかかわらず、広告のように聞こえる(例えば、「ビジネス&マーケティングインサイト」や「カスタマーエクスペリエンス」プログラムは、その名前に「広告」という言葉さえない)。
このような透明性の欠如は問題である。そして、ベライゾンの最近の歴史に照らすと、さらに厄介に見える。2021年、ベライゾン・セレクト・プログラムの名称を「カスタマー・エクスペリエンス」に変更した後、同社は以前はオプトアウトしていた顧客を加入させたとして非難を浴びた。
単なる見落とし?そうとは言い切れない。
AT&T
プライバシーポリシーは公開されているため、誰でも自分の個人データがどのように使用されているかを調べることができるが、普通はそんなことはしない。
しかも、プライバシー・ポリシーの意味を理解するためには、多くのページに散らばる、曖昧で分かりにくい言葉でいっぱいのテキストの壁をかき分けなければならないことが多い。
携帯電話事業者のデータ慣行について知るのは、データ流出事件が世間に露呈してからということもある。
今年3月、AT&Tの第三者マーケティング・ベンダーのデータ漏洩により、約900万人のAT&T顧客が、氏名、口座番号、電話番号、電子メールアドレス、使用端末、割賦契約データなどのデータをマーケティング業者と共有していたことが明らかになった。
AT&Tのプライバシーポリシーには、AT&Tはあなたが同社のネットワークをどのように利用しているかについての情報と、あなたのデバイス情報を収集すると記載されている。これには、閲覧したサイト、視聴したビデオ、表示した広告へのリンクなど、ウェブ閲覧やアプリのデータが含まれます。
出典:AT&Tのプライバシーポリシー
AT&Tは、クレジット・レポート、マーケティング・メーリング・リスト、地理的・人口統計的情報、さらにはソーシャル・ネットワーキング・サイトの公開投稿など、外部ソースからの情報を使って、すでに印象的な顧客に関する書類を補強することができる。
デフォルトでは、AT&Tの全顧客は同社の「パーソナライズド広告」プログラムに登録されている。このプログラムにより、広告主は、民族や人種のデータを含む顧客のデータに基づいて、広告のターゲットを絞ることができる。ただし、このプログラムではウェブ閲覧データは使用されない。
一方、オプトインの「パーソナライズド・プラス」プログラムでは、広告主はアプリの使用情報、ウェブ履歴、顧客専有ネットワーク情報、正確な位置情報を利用することができる。
EUキャリアは違うのか?
EUは、連邦プライバシー法がまだない米国よりもデータ保護とプライバシー規制が厳しい。EUの一般データ保護規則(GDPR)では、データを広告に使用する際には顧客の同意を得ることが義務付けられているため、携帯電話事業者が顧客データを密かに収集することは難しくなっている。
しかし、EUにおけるデータの一括収集と共有には他のどこよりもハードルが高いとはいえ、EUの携帯電話事業者がそれを行っていないわけではない。
最近、欧州のビッグ4通信事業者(ドイツテレコム、オレンジ、テレフォニカ、ボーダフォン)は、デジタル広告を通じて顧客データを収益化するためにアドテク合弁会社を設立することで、さらに一歩前進することを決めた。彼らは、TrustPidと呼ばれる新しい広告追跡システムを使用する予定である。このシステムでは、通信事業者がIPアドレスと携帯電話番号に基づいて「擬似匿名トークン」をユーザーに割り当てる。この技術はプライバシーに優しいと宣伝されているが、すでに悪名高い「スーパークッキー」と比較されており、通常のクッキーとは異なり、単純にブロックすることができないトラッキングコードとして物議を醸している。
例えば、European Digital Rights (EDRi)グループは、新しいシステムが機能することになっている方法「ウェブサイトやアプリが簡単に人々を識別し、TrustPidマーケティング・トークンとIDを関連付けることを可能にする」と主張している。
モバイルキャリアによる広告用ユーザープロファイリングを止めるには?
携帯電話会社が広告のためにあなたをプロファイリングするのを止めるには、まず、あなたがどのプログラムに自動的に登録されているかを調べ、オプトアウトする必要がある。
通常、どの携帯電話会社にも、ウェブサイトか個人アカウントのどこかにオプトアウトのフォームが埋め込まれている。
例えばAT&Tの場合、"Personalized Advertising"プログラムをオプトアウトするには、まずアカウントにサインインする必要があります。
また、別ページがあり、そこでAT&Tとその関連会社(Cricket entitiesやDIRECTVなど)による広告にあなたのCPNIが使用されることをオプトアウトできます。
VerizonやT-Mobileも同様です。
また、VPNを使用することで、モバイル・プロバイダーによるあなたのトラフィックへのアクセスを制限することもできます。
VPNは、あなたの本当のIPアドレスと所在地を隠し、インターネット・トラフィックを暗号化します。
こうすることで、ISPも広告主も、あなたがどのウェブサイトを訪問したかを知ることができなくなり、あなたのウェブ履歴に基づいてターゲットを絞ることができる。
ただし、オンライン・ブラウジングとは関係のない他のデータ、例えば、あなたが自発的に事業者に提供した可能性のある年齢や性別に関する情報や、デバイスのタイプ、ネットワークの使用状況、通話記録、位置情報(例えば、セルタワーの三角測量など、IDとは別の手段で突き止めることができる)に基づいて、ターゲットを絞ることができないわけではない。
TrustPid(ヨーロッパにおける広告追跡の将来的な可能性)に関しては、ISPのデフォルトのDNSサーバーの代わりに、代替のDNSサーバー(例えば、AdGuard DNS)を使用できるデバイスレベルのVPNが役に立つかもしれません。
ISPのサーバーの代わりに、あなたのDNSクエリは暗号化され、VPNのDNSサーバーに送信されるため、TrustPidがあなたのオンライン活動とあなたのアイデンティティを結びつけることが難しくなるはずです。
