米国の上院議員は今年4月上旬、AT&TやGoogle、Twitter、ベライゾン・メディアなどのデジタル広告に関わる企業8社に、正確な位置情報などのデータを渡している企業(とその所在国)についての詳細を求めた。データを受け取っている企業のなかに、独裁政権や犯罪組織が含まれているリスクがあるためだ。
決定的な証拠とまではいかない。だがそれは、アドテクデータが米国人に悪意を持つ他国政府の手に渡る危険性を示す情報である。ロン・ワイデン上院議員(民主党/オレゴン州)らは、そうにらんだ。
ワイデン氏とほか5名の上院議員は今年4月上旬、AT&TやGoogle、Twitter、ベライゾン・メディア(Verizon Media)などのデジタル広告に関わる企業8社に書簡を送った。そしてこれらの企業が、世界のリアルタイムビッディング(RTB)広告市場内のさまざまな組織からなる複雑な連なりを通じて、正確な位置情報などのデータを渡している企業(とその所在国)についての詳細を求めた。
データを受け取っている企業のなかに、独裁政権や米国に敵対する政権、犯罪組織がそのデータにアクセスし、それを使って米国内の反体制派をターゲットにしたり、偽情報キャンペーンを展開したり、さらにはもっと深刻な問題を引き起こしたりするおそれのある国々を拠点としている企業はあるか? ワイデン上院議員らがとくに知りたがったのは、それだった。これら8社のデジタル広告企業のほとんどは、広告データを送っている企業についての詳細を、まったくといっていいほど明らかにしなかった。
Advertisement
明らかになった国外流出
だが、ここにきて、マグナイト(Magnite)とTwitterが開示した情報により、この両社は中国やトルコ、ロシア、アラブ首長国連邦といった、危険視される国々を拠点とする企業と提携していることが明らかになった。
こうした国々の政府は、米国で暮らす人々のプログラマティック広告データにアクセスし、国家安全保障を脅かすような使い方をする恐れがある。この情報により、アドテクデータの国外流出を規制し、違反者を罰することを可能にする法案の正当性は十分に立証されていると、ワイデン上院議員らは確信している。同上院議員は、この法案の数カ月以内の提出をめざしている。
ペンシルベニア州立大学のロースクール「Penn State Law」で法学と国際関係学の教授を務め、工学部ネットワーク・セキュリティリサーチ研究所を兼務するマーガレット・フー氏は、「広告業界は、アドテクがもたらす危険を誤解している」と語る。
米DIGIDAYが入手した、ワイデン上院議員の質問状への返信によれば、マグナイトは提携先として、中国のモブビスタ・インターナショナル(Mobvista International)やトルコのテュルクティジャーレット(Turkticaret)、アラブ首長国連邦のアドファルコン(AdFalcon)などの名前を挙げている。
Twitterは返信のなかで、同社のモバイル広告ネットワーク、モパブ(MoPub)のパートナーである企業のリストを公開していると指摘し、さらにはロシアのハイブリッド(Hybrid)、中国のモブビスタ、同じく中国のパングル(Pangle:TikTokのオーナーであるバイトダンス[ByteDance]が運営)と提携していると述べている。
国民の安全より自社の利益を優先?
米DIGIDAYの取材に対し、ワイデン上院議員は次のように述べている。
「中国やロシアのようなハイリスクの国々に米国人の個人情報が送られれば、そのたびに国家安全保障上の明らかなリスクが生じる。これらの国々がそうした情報を使えば、ハッキングや偽情報キャンペーンのターゲティングだけでなく、オンライントラッキングもできてしまう。国民のプライバシーや国家安全保障よりも自社の利益を優先していることに関し、広告企業は自制や分別をほとんど示していない。こんなことは終わらせるべきだ。私は近々この脅威に対処し、米国人のデータをハイリスクな国々へ輸出するのを禁止するための法案を提出するつもりだ」。
ワイデン上院議員は、Google、AT&T、パブマティック(Pubmatic)、ベライゾンにも警告を発している。これら4社のいずれも、アドテクパートナーや、それらが拠点とする国々の名前を明らかにしていない。
「米国の企業が自国民の機密情報を敵対国と共有するなど、あってはならないことだ。だが、とりわけ許しがたいのは、AT&TとGoogle、パブマティック、ベライゾンの4社が、他国のパートナーを議会と国民の目に触れないようにしていることだ」と、ワイデン上院議員は述べている。
ほかの2社、インデックス・エクスチェンジ(Index Exchange)とオープンX(OpenX)もまた、両社が提携する企業の名前を明かしてはいない。ただし、インデックス・エクスチェンジはパートナー企業の所在国をすべて、オープンXは一部を明らかにしている。Googleなど、パートナーの企業名を公表していない企業の一部は、機密保持契約を結んでいるため、企業名を公表することはできないと説明している。
データの匿名化では不十分
個人データが営利事業からもともとの対象ではない他国の政府などにばらまかれる。こうしたデータの拡散を抑制するための大規模な取り組みの一環として、ワイデン上院議員は「2021年米国人のデータを他国の監視から守る法(Protecting Americans’ Data From Foreign Surveillance Act of 2021)」を正式に提出することを計画している。
この法案(4月に草案が発表された)は、米国の安全保障にとって必要なテクノロジーを輸出規制対象とする「2018年輸出管理改革法」を改正し、米国民および米国居住者に関する特定の個人データの輸出を制限することを目的としている。この法案では、外国の政府が諜報目的でデータを悪用して米国の国家安全保障を脅かしたり、他国に再配布したりすることのないように、該当する連邦政府諸機関がデータカテゴリーのリスト、データ量の基準値、個人データ輸出のタイムパラメーターを決定するとされている。この法案が正式に提出され、可決されれば、違反者は刑罰もしくは私訴権の対象となる。
デジタル広告業界は個人データに関する規制から身を守るために、しばしばデータ匿名化に頼る。だが、この法案の草稿には次のように明記されている。匿名化された個人データは「そのデータが関係する人物が、ほかのデータソースを使えば、ある程度まで識別できる場合」、識別可能な個人データと別には扱えない。
この法案には、米国を不利な状況へと追い込み、国家安全保障上の脆弱性を生み出すおそれのある、諸外国への技術と専門知識の不正取引を防ぐ輸出規制の延長としての役目があるとフー氏は述べる。「ワイデン上院議員がめざしているのは、規制対象の法的枠組みを技術と専門知識からデータ自体、そのデータの販売、そして他国におけるそのデータの管理者へとシフトすることだ」。
契約上の制約の制限
ワイデン上院議員の質問に対する回答のなかで、アドテク企業のほとんどは、他国のパートナー企業との契約上の取り決めにより、デジタル広告の配信やフリークエンシーキャップの有効化といった目的以外に、ビッドストリームデータを使用することは禁止されていると強調している。
マグナイト(ビッドストリームデータの処理に関する質問を送られた全企業のなかで、もっとも協力的だったのはマグナイトだった)は、同社がビッドストリームを通じて回しているリアルタイムデータには、ユーザー識別子や特定の経緯度座標などがあると、回答のなかで述べている。「マグナイトは、ビッダーがマグナイトのデータを販売することを一貫して禁止している。それを禁止する契約条項を放棄したことは一度もない」と、同社は述べる。ほかの一部企業と同じくマグナイトも障壁を設置して、出稿するつもりのない企業が秘めたる目的でビッドストリームデータを流用するのを阻止していると、述べている。「マグナイトは以前から、月の最低支出の要件を満たしていない広告バイヤーにアクセス料金を課してきた」と、同社は述べる。
これら企業の一部は、契約違反を発見するために、社内に監査プロセスを整えていると述べている。それに対してフー氏らは、アドテクパートナー間で交わされる法的契約は、諸外国が監視目的でビッドストリームデータを使用する可能性を防ぐのに十分ではないと主張している。「問題は強制力だ」と、フー氏は語る。「誰が調査を行うのか? 誰が監督となって、その契約がきちんと守られていることに責任を持つのか? これらの契約が尊重されていると妄信するのは、少し甘いのではないか」。
なぜ、ビッドストリームデータは人権や市民の自由を脅かすおそれがあるのか?
議員や人権擁護者らは、他国の政府が誰かに強制して、あるいは金を払って、人の居場所の追跡に使われるかもしれない位置情報などのデータを公表することを懸念している。たとえば中国では、新たなイニシアチブにより、民間企業と政府機関のあいだでデータ交換が促されている。6月に発表されたプロトコル(Protocol)のレポートによれば、バイドゥ(Baidu)などの企業と国営の電気通信事業者は、データ配信を容易にするためのデータ交換プラットフォームをすでに設立しているという。
アドテクシステムを通って流れるデータが、国家安全保障と市民の自由にもたらすリスク。フー氏のような人々がそれを示そうとするとき、それとなく引き合いに出されるのが、元アメリカ空軍大将で、ジョージ・W・ブッシュ政権下で中央情報局(CIA)と国家安全保障局(NSA)の長官を務めたマイケル・ヘイデン氏の有名な言葉だ。「我々はメタデータに基づいて人を殺している。だが、このメタデータで人を殺しているわけではない」。2014年、元CIA職員のエドワード・スノーデン氏によって暴露されたNSAのデータ使用に関する討論会が開かれた際、ヘイデン氏はそのように語った。そして、こんなひと言を付け加えた。「合法ともいえるし、そうでないともいえる行為ではあるが」。
ワイデン上院議員が4月にアドテク企業へ送った質問状には、こう書かれている。「米国人のほとんどは、オークション参加者の一部が『ビッドストリーム』のデータを取り出して保存し、彼らに関する完全ファイルを編集していることをわかっていない。そしてこれらのファイルが、ヘッジファンド、政治キャンペーン、さらには政府といった、クレジットカードを持っている誰かに公然と売られているということを」。これと同じ文言は、ワイデン上院議員を含む超党派グループが2020年7月に連邦取引委員会(FTC)へ送った書簡にも書かれている。その書簡のなかで同グループは、アドテクデータをめぐるさまざまな活動が連邦取引委員会法に違反しているかどうかの判断をFTCに求めた。
アドテクを介した諜報活動というリスク
そしていま、RTB業界全体が、非営利団体のアイルランド自由評議会(Irish Council for Civil Liberties:ICCL)の批判の的になっている。ICCLは6月上旬、「世界最大のデータ漏洩」を可能にしてきたRTB業界は、「すべての人々の秘密ファイルを作成した」ことへの責任があるとして、インタラクティブ広告協議会(IAB)を提訴した。
広告業界は、RTBシステムを介したデータ配布のリスクを認識していないと、フー氏は述べる。スノーデン氏による、NSAが電気通信事業者のメタデータを使用しているという暴露。それは、一見すると安全な情報(たとえば、地理に基づいた広告ターゲティングのための位置データ)も、ターゲットとなっている個人の位置の特定ばかりか、標的殺害にさえ使えるということを浮き彫りにしていると、同氏はいう。「法に触れる諜報活動が、ますますこの種のメタデータやジオロケーションデータをベースにするようになっている」と、同氏は語る。「アドテクを介せばジオロケーションの正確な特定が可能になるという諜報活動のポテンシャルを、過小評価することはできない」。
KATE KAYE(翻訳:ガリレオ、編集:分島 翔平)