ネット広告 閲覧者の情報収集「端末」「個人」危うい結合

 自分が利用したつもりのない事業者に、気づかないうちに自分に関する情報を取得される――。ユーザーとしては納得がいかないが、インターネット広告の世界では既に、当然のように行われている。使われるのは、個人情報保護法の規制を受けない「端末」などの識別情報だ。だが、個人の使う「端末」の情報は、簡単に「個人」の情報に変わる危険がある。


 「欧州サッカーと推理小説が好きで週1回ジムに通う40代男性、4人家族……。ウェブ上の行動履歴をもとに推測した属性が大量に集められてデータベース化されています」。インターネット広告に詳しい技術者はこう説明する。

 2007年の6000億円から17年には1兆5000億円に急増したネット広告費。強みは、一人ひとりの趣味嗜好(しこう)や性別、年齢、居住地などをもとに、その人に最適な広告を表示できることにあるだろう。

 だが、なぜ、いつの間に、それほどの情報を集めたのか。それを可能にした一つが、「クッキー」を使ったユーザーの識別とトラッキング(追跡)である。

 クッキーとは、サイトを閲覧する際、サイト側のサーバーが、閲覧者が使うブラウザー(閲覧ソフト)を識別するため発行する名札のようなものだ。

 図をみてほしい。ある人がサイトAをみる。通常のクッキーはAとユーザーの間でやり取りされるが、Aが広告事業者Zと提携し、サイトAに「Zのサーバーにアクセスしろ」と指示するプログラムを埋め込んでいると、ブラウザーはユーザーが気づかない間にZにもアクセスする。この時、Zは自前のクッキーを発行すると同時にAの発行したクッキーも受け取って両者を統合する。提携がAだけでなく、BやC、Dなど幅広く結ばれていれば、Zはユーザーの様々なサイトの閲覧状況を追跡し、興味関心がどこにあるかを把握できるようになるわけだ。

 ユーザーにすれば、自らアクセスしたAやBなどに情報を提供していることは予想できても、Zにまで渡すつもりはないだろう。不本意にも思えるが、既に幅広く導入されている。

 「一つのサイトに、広告事業者などへの送信を指示するプログラムが20や30埋め込まれていることは珍しくない」。東京のソフト開発会社「データサイン」の太田祐一社長はこう話す。同社は情報収集の透明性を高めようと、サイト上でどのようなプログラムが動いているか確認できるツールを開発しているが、あるメーカーのサイトを調べてみると、広告やアクセス解析などを目的とした約40のプログラムが入り、閲覧者のブラウザーの情報を外部送信させている様子が一目で分かった=写真=。

  • ソフト開発会社「データサイン」のツールを使って、あるメーカーのサイトを調べた画面。外部の広告事業者などが提供するプログラム40種類以上が表示されており、閲覧ブラウザーに情報を外部送信させていることがわかる
    ソフト開発会社「データサイン」のツールを使って、あるメーカーのサイトを調べた画面。外部の広告事業者などが提供するプログラム40種類以上が表示されており、閲覧ブラウザーに情報を外部送信させていることがわかる

個人情報に変わる

 こうして集められる興味関心などの情報は、あくまで端末やブラウザーに(ひも)づいたもので、日本の個人情報保護法では、個人情報には当たらない。欧州では保護対象として規制を強化しており、日本でも法改正の過程で検討されたが、見送られた。「その端末を誰が使っているのか分からないのだから、そこまで心配する必要はない」との意見が勝ったからだ。

 だが、この図でいうZが、フェイスブック(FB)のように利用者の個人情報を保有する事業者だったらどうだろう。端末に紐づけられた情報は個人に結びつけられ、個人情報に変わる。

 FBばかりではない。数年前に登場したDMP(Data Management Platform)。ウェブ上の行動履歴を集約することでユーザーの詳細な属性データを作り上げていくプラットフォームのことだが、一部のDMP事業者は顧客情報を保有する企業に対してデータを提供している。提供するのは非個人データでも、仮に提供先の顧客データと紐づけられれば、個人データに変わることになる。

 個人情報保護法では、個人データを第三者提供する場合、原則として本人の同意を得ることが義務づけられているが、匿名状態の情報を外部に提供した結果、提供先で個人情報になるケースについては明確な整理がされてこなかった。だが、プライバシーの問題に詳しい森亮二弁護士は、こうしたケースが、個人情報保護法に違反する恐れがあると指摘する。

 「これまで、クッキーなどを利用した情報収集がプライバシーを侵害するのではないかという議論は、それが『匿名状態である』との前提で許容されてきた面がある。収集された情報を個人情報と結合する行為は一線を越えるもので、改めて議論が必要だ」と話す。

設置サイトも知らず

 「技術の飛躍的な進展で、事業者が以前に比べはるかに多くの情報を収集できるようになった一方、外からはどんな情報が取得されているか分かりにくくなっている」と指摘するのは、政府のパーソナルデータ検討会で技術検討ワーキンググループ主査を務めた佐藤一郎国立情報学研究所教授だ。だからこそ、「サイト運営者は、自社サイトに外部事業者のプログラムを設置する際には、どんな機能をもち、閲覧者にどんな影響を与えるのか確認し、検証する責任がある」と話す。

 「いいね!」を設置していた企業の中には、業界のトップの一流企業でさえ、どのような情報がFBに送られるか知らないまま導入しているケースが少なくなかった。ある技術者は「サイト上に埋め込んだプログラムで、閲覧者の意に沿わない行為をこっそりさせるなんて、ある意味、ウイルスと同じではないか」と話す。端末などに紐づけられた情報が現行法の規制対象となっていないことが、サイト側の意識を緩くしているとは言えないだろうか。

メールアドレス利用の動きも

 トラッキングの手法は刻々と進化し、最近ではクッキーの代わりに利用者のメールアドレスを使う手法も活用されている。

 クッキーはユーザーが消去することも可能だが、メールアドレスを頻繁に変える人は少ない。同じメールアドレスを様々なサイトの登録に使う人も多いので、追跡には便利だ。しかも、「閲覧するサイトをスマホやパソコンなど端末ごとに使い分けていても、同じメアドを使っていれば同一人物であると分かる」と広告会社の担当者は話す。

 複数所有している端末の履歴を統合して一人のユーザーを識別することは「クロスデバイス」と呼ばれる。こうした手法を使う広告会社の一社、「クリテオ」の場合、国内での成功率は非公表だが、海外ではユーザーの6割で達成しているという。

 クリテオは「使用するメールアドレスは元のアドレスには復元できないよう加工しており、個人情報ではない」と説明する。ただ、特定の個人名などは分からなくても、端末をまたいで個人の情報が統合されてゆくのは間違いない。

■FB「いいね!」国内3万サイトに設置
 FBが提供している「いいね!」などのソーシャルプラグインを設置したサイトを閲覧すると、クリックしなくても閲覧者の端末やブラウザーに紐づいた閲覧情報などがFBに送信される。FBに氏名などを登録した利用者の情報については個人情報になる。
 FBは自社サイトの利用規約で説明しているが、「いいね!」設置サイトかどうかはアクセスするまで利用者には分からず、アクセスした時には情報はFBに送信されている。設置サイトの多くはFBへの情報送信について説明しておらず、結局、利用者にはどのサイトを閲覧するとFBに情報が提供されるかは分からない。
 「データサイン」が国内18万サイトを対象に調査したところ、今年1月現在、3万1252サイトで設置が確認された。
(編集委員 若江雅子)
2018年3月5日11:40 Copyright © The Yomiuri Shimbun