他人を監視するスパイアプリや学生の試験結果が売買されている「インドの闇のデータ経済」とは？

13億人以上の人口を抱えるインドはIT大国として近年めざましい発展を遂げていますが、その一方でオンラインのプライバシー規制は非常に緩く、配偶者を監視するスパイアプリや多種多様な個人情報が売買されています。そんなインドにおける闇のデータ経済の実態について、非営利のジャーナリスト団体・Rest of Worldがまとめています。

Inside India’s booming dark data economy – Rest of World
https://restofworld.org/2020/all-the-data-fit-to-sell/

インドに住むAyushi Sahu氏という女性は、2018年に夫と離婚することになりました。そのきっかけとなったのが、夫がSahu氏のスマートフォンを監視して記録したプライベートな通話・SMS・WhatsAppメッセージ・写真・ビデオといったデータだったとのこと。夫はSahu氏の実家に出向いて録音したメッセージを両親の前で再生し、Safu氏が義理の母親について文句を言ったことや、男友達と通話したことを非難したそうです。

Sahu氏は自分がいつから監視されていたのか知りませんでしたが、所有するスマートフォンが夫からの贈り物だったことから、最初からスマートフォンにスパイウェアが搭載されていた可能性があるとのこと。インドでは嫉妬深い人が配偶者のスマートフォンにスパイアプリを仕掛け、言動を監視することは珍しくありません。

インド私立探偵・捜査員協会のKunwar Vikram Singh会長はRest of Worldの取材に対し、裕福な家庭が私立探偵を雇って配偶者の適性を評価することは、特に都市部のエリート層において一般的だと回答。Singh氏の推定によればインド全体で私立探偵サービスは12億ドル(約1200億円)の市場規模があるそうで、特定の個人を追跡するためにスマートフォン向けのスパイウェアを使用するケースも多いと述べています。

インドにおけるスパイウェア需要の高まりは2010年代前半に発生したとのこと。グジャラート州のソフトウェアエンジニアであるTushar Mepani氏は、ウイルスやサイバーセキュリティに関する調査の中で「子どもの居場所を監視したい」と考える親と出会いました。これらの親は非常にお金持ちだったそうで、ビジネスチャンスを嗅ぎ取ったMepani氏は子どもを追跡するアプリ・EasySpyPhoneを開発しました。

EasySpyPhoneは位置データの収集に加え、通話の録音やテキストメッセージの監視が可能でした。ここから派生した最近のアプリはさらに機能が追加されており、FacebookやWhatsAppなどのソーシャルメディアの監視が可能になったほか、電話のマイクを密かにオンにして会話を録音することもできるそうです。費用は月額20ドル～40ドル(約2100円～4200円)であり、親たちからは好評だとMepani氏は述べています。

しかし、Mepani氏が自分自身でリリースしたスパイウェアは1つか2つだそうで、主な収益は複数のベンダーに監視アプリのライセンスを供与することで得ているとのこと。各ベンダーはこのライセンスを元にして、異なるパッケージでスパイウェアを販売しています。私立探偵であるKarnam Choudhary氏もその一人であり、Spy Mobile Processという独自アプリを作成して素行調査を望む顧客に提供していると述べました。

インドではスマートフォンを介した追跡などを規制するプライバシー法が曖昧で、誰かを監視する目的で開発されたスパイウェアの売買も規制されていません。また、スパイウェアのベンダーは「スマートフォンの所有者による適切な書面による同意」がインストールに必要だと規約に記し、スパイウェアの使用に伴う責任はユーザーにあるとの免責事項を加えているとのこと。

Googleは2020年8月より「不正行為を助長する商品やサービスに関するポリシー」を更新し、スパイウェアなどの監視テクノロジーに関する広告を禁止しました。その一方で、「民間の調査サービス」や「親が未成年の子どもを追跡・監視するためのサービス」については規制対象外となっており、ベンダーは子ども向けの製品をうたってスパイウェアの販売を続けています。Mepani氏は「スパイウェアはナイフのようなものです」と述べ、果物を切るといった正当な行為だけでなく、使い方によっては悪用もできると指摘しました。

インドにおけるプライバシーの問題はスパイウェアの広がりだけでなく、さまざまな個人情報を売買するデータ取引市場にも存在します。毎月5億人以上がインターネットを使うインドでは絶えず大量の個人情報が収集されており、顧客がさまざまなデータを購入できるオンラインの闇市場があるとのこと。販売されているデータセットは多様性に富んでおり、子どもを持つ親・ケーブルTVの顧客・妊婦・習慣的にピザを食べる人・投資信託の利用者といった、あらゆるグループに属するデータベースが存在するそうです。

典型的なデータベースは名前とさまざまな個人情報が並んだスプレッドシートの形で販売されており、年齢や居住地に加えて所有する車の種類、家族構成や子どもの進学先までわかる場合もあります。データベースは定期的に更新されるため古いデータの方が安く、同時に複数購入すると割引されるといった販売形式もある模様。潜在的な顧客はソーシャルメディアで広告を探すか、業界のキーワードと「データ」「データベース」といったワードを組み合わせて検索するだけで、データを販売する業者にたどり着けるとRest of Worldは述べています。

プライバシーの専門家によると、インドでは少なくとも2006年頃から個人情報がデータとして売買されていたそうで、データブローカーはインターネット上からさまざまな情報を収集しているとのこと。元データブローカーであるHimanshu Bhatt氏は、国民識別番号制度であるアドハーの身分証明カードが画像データとして売られているケースもあったと指摘。2019年の調査ではインド企業の69％が信頼できるデータセキュリティシステムを設定しておらず、44％は過去にデータ流出を経験していたと判明しました。

また、インドでは企業がビジネスで収集した個人情報を売ることもあり、クーポンの獲得や映画の払い戻しのために入力した個人情報は、個人の同意なしで企業が販売できる場合が多いそうです。Rest of Worldは、「近所の携帯電話ショップは地域キャンペーンを行う政党に人口統計情報を販売可能であり、金融テクノロジー企業は占星術アプリを通して収集した個人情報を自分たちのサーバーに転送してクレジットカードの信用度を測定できます。誰かがLinkedInに雇用履歴を記入したりパブリックディレクトリで連絡先を共有したりすると、ブローカーはソフトウェアを使用してデータを抽出できます」と述べています。

実際にRest of Worldがデータベースの販売業者に連絡を取って「データベースのサンプル」を要求したところ、メールアドレスと電話番号を教えただけで数千人分のリストが届いたとのこと。リストには名前・メールアドレス・電話番号・住所に加え、「綿のパジャマ(27ドル／約2800円)」「ノイズキャンセリングヘッドフォン(408ドル／約4万2000円)」など、オンラインショップで購入した物品や値段についても記されていました。データセット全体にはおよそ1400万人分のデータが含まれており、購入に必要な金額はたった20ドル(約2100円)だそうです。

データベースの利用方法は購入者次第ですが、これらのデータを使って収益を得る主な方法は詐欺です。データベースの価値はデータセットが富裕層であるかどうかや季節によっても上下するそうで、中でも価値が高いのは「学生のデータベース」だとのこと。

インドではトップクラスの大学に入学するための受験戦争が激しさを増しており、高校の終わりまでに学生はJoint Entrance Exam(JEE)やNational Eligibility Entrance Test(NEET)といったテストに向けて猛勉強を重ねます。テストに熱を上げるのは親も同様であり、子どもをよい大学に入れるために多額の資金を費やす親もいます。そのため、学生の成績・受験番号・親の名前・電話番号などを含むデータベースは詐欺師にとって非常に貴重です。

学生や保護者のデータベースを入手した詐欺師は、めぼしい保護者に対して「医科大学か工学部への裏口入学を保証する」と持ちかけ、お金を受け取って姿をくらませる裏口入学詐欺を行います。もちろん裏口入学の話はでまかせですが、子どもの教育に力を注いできた親はうっかりだまされて大金を支払うことも少なくない模様。2018年に裏口入学詐欺がインドで大きく報道された際、学生のデータベースを販売するウェブサイトが閉鎖されましたが、翌年になると名前を変えて再び同様のウェブサイトが登場したそうです。

インドではデータプライバシーの問題が大きく議論されることが少なく、警察も実際に詐欺を行う詐欺グループに焦点を当てており、データのブローカーはほぼ無視されているとのこと。当局の見解では、詐欺グループは明確に犯罪を犯しているものの、ブローカーは単にExcelのシートを取引しただけであり、多くの被害者は明確なデータ流出源を知らないため起訴することも困難だそうです。

近年は少しずつデータブローカーが法廷に引きずり出されるケースも増えており、2017年には通信企業のReliance Jioが顧客データ盗難の申し立てを行ったほか、2018年には教育局から流出した80万人分の学生のデータを販売したとして、3つのデータ販売企業の所有者が逮捕されました。

また、2019年にインドの国会はEU一般データ保護規則を参考に設計された個人データ保護法案を発表しています。この法案では企業がユーザーの個人情報を収集する理由や潜在的なリスクについて開示し、ユーザーが自分のプライバシーを管理できるようになるとのこと。しかしこの法案では「政府機関」が規制を免除されていることから、プライバシー保護の活動家は懸念を表明しています。

それでも、弁護士兼政策研究者のSmriti Parsheera氏は、新たな法案がインドにおけるデータプライバシーの取り組みを前進させるとの見解を示しています。Rest of Worldは「テクノロジーの使用に注意することは個人のプライバシーを保護する最も簡単な方法かもしれません」と主張し、Sahu氏が夫による監視を知った後に注意深くなり、スクリーンロックの設定をするようになったと述べました。