私たちは日々、デジタル空間で数百回、あるいは数千回にわたって追跡されている。クッキー(Cookie)やWebトラッカーは、私たちがクリックしたWebサイト上のリンクをすべて記録し、モバイルアプリに組み込まれたコードは、私たちのデバイス(ひいては私たち自身)が訪れたあらゆる物理的な位置を追跡する。これらのデータはすべて収集され、公開記録、スーパーマーケットの会員プログラム、公共サービス事業者などから取得されたその他の詳細情報と統合されて、極めてパーソナライズされたプロファイルが作成される。そして、そのプロファイルは共有・販売されるが、その過程で私たちの明示的な認識や同意がない場合も多い。
米国では、より強固なプライバシー保護が必要であり、その実現には連邦議会が包括的なプライバシー法を制定することが最良の方法だという合意の形成が進んでいる。その最新の試みである「2024年米国プライバシー権法(APRA)」は、これまでの提案よりも大きな支持を集めたものの、あまりにも骨抜きにされたため、採決に至る前に共和党・民主党双方からの支持を失った。
プライバシー保護の面では一定の前進もあり、データブローカー(ターゲット広告やメッセージ配信などを目的に消費者の個人情報を売買する第三者企業)が位置情報データをどのように利用できるかについて、一部の制限が設けられた。
しかし、こうした進展はまだ小さな一歩にすぎない。一方で、より広範かつ強力なテクノロジーがかつてないほど膨大なデータを収集し続けている。同時に、ワシントンで準備が進む米新政権は、報道機関や批判者を攻撃し、移民の大規模な強制送還を公約し、敵対勢力への報復を示唆し、妊娠中絶を制限する州法を支持するなどの姿勢を示している。さらに、生体認証データ、特に顔認識技術のためのデータ収集が増加し、その利用があらゆる場面で常態化しつつある。この状況を踏まえれば、私たちの個人データはかつてないほど脆弱であり、プライバシー保護の必要性はこれまでになく切迫していると言える。
では、2025年には米国の個人データはどのような状況になっているのだろうか? プライバシーの専門家や擁護者たちに今後、デジタルデータがどのように取引され、保護されることになるのか、考えを聞いた。
問題のある業界を規制する
2024年12月初旬、米国連邦取引委員会(FTC)はデータブローカーのモバイルワラ(Mobilewalla)とグレイビーアナリティクス(Gravy Analytics、およびその子会社ヴェンテル=Venntel)と、それぞれ和解に達したと発表した。FTCは、両社が教会、病院、軍事施設など機微な場所にいるユーザーの位置情報を明示的な同意なしに追跡・販売していたことを突き止め、一部の例外を除いてこのようなデータの販売を禁止した。これは、FTCによる他の企業への強制措置や、外国企業への大量データ販売を禁止する司法省の規則案など、データブローカー規制が相次いだ1年の締めくくりとなった。
さらに、FTCがこの和解案を発表した同じ日に、消費者金融保護局(CFPB)は、データブローカーを「消費者報告機関」と指定することを目指す新たな規則を提案した。実現すれば、厳格な報告要件とプライバシー保護が適用され、正当な目的なしに給与や社会保障番号などの機微な情報を収集・共有することが禁止される。ただし、この規則は今後90日間のパブリックコメントを経る必要があり、トランプ政権下で最終的に施行されるかは不透明である。決定すればデータブローカーのビジネスを根本から制限する可能性がある。
現状では、データブローカーの業務運営には制限はほとんどなく、また、どの程度存在しているのかについても明確な情報はない。業界観測筋の推定では、世界には4000から5000社のデータブローカーが存在すると考えられており、その多くは一般に知られていない名前で、しかも企業名は頻繁に変わっている。カリフォルニア州だけでも、2024年の州データブローカー登録簿には自主的に登録した企業が527社掲載されており、そのうち約90社は位置情報データの収集を自己申告している。
これらのデータは、対価を支払えば誰でも購入できる。マーケティング担当者はターゲット広告の作成にデータを活用し、銀行や保険会社は本人確認や詐欺防止、リスク評価のために同じデータを利用する。法執行機関は、従来の捜索令状なしに人々の行動を追跡するために位置情報データを購入する。さらに、外国組織が軍人やその他の政府関係者に関する機密情報を購入することも可能である。また、人探しサイトでは、基本的に誰でも他人の連絡先や個人情報を有料で入手できる。
データブローカーやその顧客は、こうした取引を正当化するために「ほとんどのデータは匿名化されている」と主張する。しかし、特に位置情報データに関しては、真に匿名化することが可能なのか疑問が残る。さらに、匿名化されたデータであっても、他の個人情報と組み合わせることで容易に再識別が可能になる。
デジタル権利擁護団体は、この秘密主義的な業界、特にすでに社会的に脆弱な立場にあるコミュニティへの潜在的な悪影響について、長年警鐘を鳴らしてきた。しかし、データ収集のさまざまな形態は、政治的立場を問わず広範な懸念を引き起こしている。たとえば、下院エネルギー・商業委員会の共和党委員長であるキャシー・マクモリス・ロジャース下院議員は、米国疾病予防管理センター(CDC)がパンデミック時のロックダウンの効果を評価するために位置情報データを購入したことに懸念を示した。また、昨年の調査では、米軍兵士に関する機密データをいかに容易に(しかも低コストで)購入できるかが明らかになった。民主党のエリザベス・ウォーレン上院議員は、MITテクノロジーレビューへの声明でデータブローカーが国家安全保障に及ぼすリスクを指摘し、共和党のジョン・コーニン上院議員は、本誌の記事を読んで「衝撃を受けた」と後に語った。
しかし、昨年、連邦政府が数々の措置を講じる契機となったのは、2022年の最高裁判決「ドブス判決」による合法的な中絶の憲法上の保証の撤廃だった。この判決を受け、バイデン大統領はリプロダクティブ・ヘルスケア(性と生殖に関する医療)へのアクセスを保護するための大統領令を発令し、その中でFTCに対し、医療機関や中絶クリニック …