閲覧情報ひそかに「追跡」 規制外技術、2割で使用
企業サイトを解析すると、デバイスフィンガープリント(DF)によるユーザー追跡が作動していることがわかる。
国内の消費者向け主要サイトの約2割で、外部からわかりにくいユーザー追跡技術が使われていることが日本経済新聞の調査でわかった。詳細な個人分析への利用は確認されなかったが、自社の追跡を認識していない企業も多くデータ管理の甘さが目立つ。個人情報を巡る国内ルールが、データ技術の進歩に追いついていない。
「追跡していたとは知らなかった」。カーシェアリングのパーク24の広報担当者は困惑した。実際は自社サイトでデバイスフィンガープリント(DF)という追跡技術が作動。ユーザーの閲覧情報を追って広告効果を測っていた。現在は止めたが「委託業者任せだった」と反省する。
DFはユーザーが使うソフトの種類などの特徴を「指紋」のような手掛かりとし、ネット上の行動をたどる技術。個人名などは集めないため日本では原則として規制対象外だ。似た追跡技術に「クッキー」があるが、「勝手に分析される」などの批判を集めた。代替技術としてDFが注目されるようになった。
DFの追跡はクッキーに比べて外部に気づかれにくく、ユーザーから遮断するのも難しい。米グーグルは「不透明な追跡技術」と批判し、ブラウザー(閲覧ソフト)の「Chrome(クローム)」をDFが働きにくい仕様にしている。米アップルの「Safari(サファリ)」や米モジラ財団の「Firefox(ファイアフォックス)」なども同様だ。
日本経済新聞と情報管理サービスのデータサイン(東京・港)は、ネット通販など消費者向けサービスの主要100社のサイトを解析。22社でDFの利用を確認した。
利用目的は様々だ。広告やマーケティングに使う企業がある一方で、サイト表示の改善などユーザーの利便性向上や不正アクセス防止につなげる例もあった。
アパホテルは「過去に自社サイトを訪れた人が大手検索サイトを表示した際に、アパのネット広告が流れるようにした」と話した。キリンホールディングスは「パソコンからのアクセスかスマホからなのかなどを調べ、サイト表示の改善につなげた」と説明する。
不正アクセス防止のために利用したという企業の多くは、そのユーザーがいつも使うパソコンなどとは違う機器からのアクセスを検知することなどに使っていた。
各社に「DFで集めたデータを趣味嗜好などの個人分析に使ったか」と聞いたところ、12社が「使っていない」と回答。残りは回答拒否や未回答だった。
ただ、こうした利用目的や実態を利用規約などで具体的に説明していた企業はゼロだった。さらに6社は、外部業者に管理を任せるなどしユーザー追跡の詳細を把握していなかった。全日本空輸は「(追跡そのものを)今回初めて知った」と回答。オリエンタルランドは「委託業者のDF利用は知っていたが、データの詳細は分からない」とした。
DFの利用を巡る管理の甘さや説明不足は、ユーザーからの不信を招く恐れがある。プライバシー意識が高いユーザーが増える一方で、DFは使い方次第で個人の内面に関わるデータを集め、分析に使うことができるからだ。どんなサイトをよく閲覧していたかなどから趣味や好みをうかがうことができ、求職や通院の有無など生活状況すら推定可能となる。委託先企業がデータを乱用したり、第三者に転売したりするリスクもある。
利用企業からは「関連ルールがわかりにくく、どう対応すべきかわからない」(アパレル大手)と戸惑う声も出た。DFに関する個人情報保護のルールは国内外でバラバラだ。日本のルール整備の遅れが、企業の対応の混乱や危機意識の低さの一因になっている。
例えば欧州連合(EU)の一般データ保護規則(GDPR)や米カリフォルニア州法は、DFでの個人分析にユーザーの同意取得などを義務付ける。日本やインドでは原則として規制されない。DFで集めるデータを「個人情報」に含めるかの線引きが違うため、こうしたズレが起きている。
日本では、個人情報の範囲を名前や顔情報など個人の特定に直結するデータに絞る。一方でEUをはじめとする多くの国や地域は、IPアドレスなど個人特定の手掛かりになるデータまで保護し、規制の範囲が広い。
サイバー空間では、氏名などが不詳のままでもその人を特定できるデータが飛び交うのが実情だ。データ規制に詳しい大井哲也弁護士は「DFなどで集めるデータを個人情報に含めない日本は、世界の潮流に遅れている」と指摘。データ技術の発達に合ったルールの必要性を強調する。
企業による対応は、ルール整備を待てない。プライバシーに関わるデータ技術の利用については、法的な義務にとどまらず積極的に情報開示する姿勢も求められる。(長尾里穂)
デバイスフィンガープリントとは
ユーザーが使うデバイス(端末)の動作環境の特徴を、フィンガープリント(指紋)のように手掛かりにして、ネット上の行動を追跡する技術のこと。ブラウザー(閲覧ソフト)の種類や設定、ハードディスクの空き容量、図形の描画機能、カメラの種類などの複数の要素を組み合わせることにより、9割以上の精度で特定できるとされる。
ユーザーがネットを閲覧すると、訪れたサイトの運営者やネット広告を出す企業のサーバー内に、そのユーザーが訪問した記録が使用機器の特徴とともに残される。DFはその痕跡をたどることで閲覧状況などを把握する仕組みだ。好みのサイトの内容などから趣味や嗜好を分析し、広告配信に利用されることも多い。
似た追跡の仕組みに「クッキー」がある。ただクッキーでの追跡は使用機器の設定を変えることなどで回避できるが、DFは追跡の遮断が困難とされる。DFによる追跡自体を外部から見つけにくくすることもでき、情報管理サービスのデータサイン(東京・港)は「特殊ソフトを使っても検知できない例もある」と指摘する。
ユーザーへの説明、見直しの動きも
隠密性の高い追跡技術のデバイスフィンガープリント(DF)を利用する企業の中に、利用目的や実態についてのユーザーへの説明を詳しくするよう見直す動きが出始めた。これまでは具体的に説明する例がほとんどなく、自社サイトでの追跡の詳細を認識していない企業もあった。
日本経済新聞は消費者向けサービスの国内主要100社を対象にDFの利用調査を実施。DFの利用が確認された22社に聞き取りを行ったところ、ファーストリテイリングやニトリホールディングスなど6社が、DF利用に関する説明を詳しくするなどの見直しを検討していると明らかにした。
ファストリは、不正アクセスを防止する目的でDFを使っていたが、これまでユーザー向けの詳しい説明はなかった。「(利用規約などで)分かりやすい表記への変更の検討を始めた」と話す。パーク24は「委託先も含め、どんな技術やデータを使っているか把握し、必要に応じて顧客に同意を取る仕組みに変えたい」とする。
パーク24の場合、そもそも自社サイトでのDF追跡そのものを認識していなかった。「代理店に委託しDFの追跡は知らなかった」と説明する。
同社のサイト上では、ネット広告技術を提供するpopIn(ポップイン、東京・港)の広告ツールが作動していた。同社は中国の検索大手、百度(バイドゥ)の関連会社で「追跡技術に頼らない広告配信」を売りにする。しかし日経の調査でこの広告ツールにDF利用の形跡がみつかり、ポップインも「試験的に使った」と認めた。パーク24への説明はなかったという。
DFは、かつて主流だった「クッキー」という仕組みにかわる「発覚しにくい追跡技術」として普及した経緯がある。
「2年ほど前から『利用がばれない追跡ツールはないか』という依頼が増えた」。東京都のウェブ技術会社の経営者は明かす。クッキーからDFへの乗り換えが多いという。
クッキーは、訪れたサイトから「目印」となる文字情報を受け取るなどして過去の閲覧状況がわかる仕組みだ。広告配信などに利用されたが、消費者のプライバシー意識の高まりを受けて批判を呼び、敬遠する企業が増えた。DFはクッキーより知名度が低く、追跡がわかりにくい。
サイトを運営する企業自身も、ネット広告などを委託した専門業者がDFを使うことに気づきにくくなっている。
データを扱う技術は進歩が速い。ユーザーからの信頼とデータ活用の両立のためには、技術の内容を把握しデータ管理を徹底することが重要になる。
調査概要
個人や家庭に身近なネットサービスのうち、各分野のシェア上位を中心に100社を調べた。データサインの特殊ソフトを使い、10月19日に各社の通販や商品紹介サイトなどのトップページでDFが使われているかを解析。利用を確認できた22社には、12月18日までに目的や対応状況を聞き取った。
調査対象企業一覧
DMM・com、J・フロントリテイリング、JR東海、JR東日本、JTB、KDDI(au)、NEC、NTTドコモ、ZOZO、青山商事、アサヒビール、味の素、アスクル、アップル、アパホテル、アマゾン・ドット・コム、イオンリテール、イトーヨーカ堂、エアビーアンドビー、エイチ・アイ・エス、エクスペディア・グループ、オークラニッコーホテルマネジメント、オリエンタルランド、オリエントコーポレーション、オンワードホールディングス、花王、カカクコム、カルチュア・コンビニエンス・クラブ、関西電力、キヤノンマーケティングジャパン、キリンホールディングス、グーグル、ぐるなび、ゲオホールディングス、サイバーエージェント、サントリーホールディングス、ジェーシービー、資生堂、シャープ、すかいらーくホールディングス、スターバックスコーヒージャパン、セブン―イレブン・ジャパン、全日本空輸、ソニー、ソフトバンク、第一生命保険、大和証券、高島屋、ディーエイチシー、東急ホテルズ、東京海上日動火災保険、東京ガス、東京電力ホールディングス、東京ドーム、東芝、東宝、トヨタ自動車、日産自動車、日清食品ホールディングス、ニトリホールディングス、日本航空、日本コカ・コーラ、日本生命保険、日本マクドナルドホールディングス、任天堂、ネクソン、野村証券、パーク24、パーソルホールディングス、ハウス食品、パソナ、パナソニック、日立製作所、ファーストリテイリング、ファミリーマート、ファンケル、フェイスブック、富士通、ベネッセホールディングス、ベルーナ、ホンダ、マイナビ、丸善ジュンク堂書店、みずほ銀行、三井住友銀行、三越伊勢丹ホールディングス、三菱UFJ銀行、三菱電機、明治、メルカリ、ヤフー、ヤマダホールディングス、ユー・エス・ジェイ、ゆうちょ銀行、ユナイテッドアローズ、ヨドバシカメラ、楽天、リクルートライフスタイル、良品計画、ローソン
[日本経済新聞/データの世紀]