Apple独自のクレジットカード「Apple Card」は本当に他のクレジットカードと比べてプライバシーを保護してくれるのか？

by Melvin Thambi

AppleがiPhone用の独自クレジットカードとして発表した「Apple Card」が、2019年8月20日からアメリカで利用可能となりました。このApple Cardと、CHASEが発行するAmazon Prime会員用のクレジットカード「Amazon Prime Rewards Visa Signature Card」のどちらがプライバシー面に問題を抱えているかを、ワシントン・ポストが調査しています。

Credit card privacy matters: Apple Card vs. Chase Amazon Prime Rewards Visa - The Washington Post
https://www.washingtonpost.com/technology/2019/08/26/spy-your-wallet-credit-cards-have-privacy-problem/

アメリカにはクレジットカードを対象とするプライバシー法が存在しますが、クレジットカードを用いた取引情報は複数の企業が共有しており、「まさにクレジットカードは財布の中にいるスパイそのものだ」とファウラー氏は語っています。

Appleはそういったプライバシー面に特化した、従来のクレジットカードよりもセキュアなクレジットカードとしてApple Cardをリリースしています。Appleはゴールドマン・サックスと提携してApple Cardを提供していますが、Apple Cardに紐づけられた個人情報を他企業に販売・共有することは禁止されています。しかし、Apple Cardはあくまでマスターカードのクレジットカードとして取引の処理が行われるため、Appleやゴールドマン・サックスがユーザーの個人情報を販売しなくても、他の経路からそういった類いの情報が流出する可能性は十分にあるそうです。

ワシントン・ポストで技術系のコラムニストを担当しているジェフリー・ファウラー氏は、Apple CardとAmazon Prime Rewards Visa Signature Card(APRVSC)という2種類のクレジットを用いてバナナを購入し、どこからどのようにクレジットカードに紐づけられた個人情報や取引情報が洩れる可能性があるかを調査しています。

クレジットカードに関する情報を追跡するため、ファウラー氏はクレジットカード会社などの内部関係者やプライバシー擁護者の力を借りて、自身のクレジットカードによる取引情報がどういった企業からアクセスされているのかを調査したそうです。Apple CardとAPRVSCという2枚のクレジットカードを用いた実験の結果、ファウラー氏のクレジットカードに関する情報は、以下の6種類の企業にアクセスされたそうです。

◆1：銀行

by Johny vino

クレジットカードを用いて取引を行うと、当然ですが取引に関連するデータを銀行が受け取ることになります。問題はその情報を銀行が「誰と共有できるか」だそうです。銀行は消費者による疑わしい取引を政府に報告することを長く求められており、1999年に制定されたグラム・リーチ・ブライリー法の影響で、銀行が特定の個人に関する情報を企業と共有することも可能になっています。

例えばファウラー氏のAPRVSCの場合、CHASEのマーケティングパートナーのほか、Amazonとも共有されていたそうです。CHASEのプライバシーポリシーには「7つの異なる目的に使用するために取引情報を複数の企業と共有する」と記されているそうですが、ファウラー氏が確認した中で最も恐ろしいと感じたカテゴリが「非アフィリエイト向けのマーケティングへの利用」という項目だそうです。この「非アフィリエイト」とういうのは、「CHASEが所有していない企業」すべてを指すそうで、つまりはあらゆる企業とデータを共有する可能性があることが示唆されているとのこと。ただし、CHASEはクレジットカードの情報をどの企業と共有しているのかについて明かしていません。代わりに、CHASEのスポークスマンであるパトリシア・ウェクスラー氏は、「パーソナライズされた取引情報」などは共有していないとだけコメントしたそうです。

加えて、APRVSCの場合はAmazon上で何かしらの商品を購入すれば、Amazonが取引に関する情報を受け取るようになっています。APRVSCを用いてAmazon以外のプラットフォーム上で何らかの商品を購入した場合については、「高レベルでのみ情報を共有し、どこで何を購入したという詳細はAmazonと共有していない」とウェクスラー氏は語っています。

それに対して、Apple Cardのプライバシーポリシーにはほとんどの種類のデータ共有が不可と記されています。Apple Cardの場合、信用調査機関に対してユーザーが請求分の支払いを正しく行っているかについての情報を共有するそうですが、この情報についても他企業と共有しないことが約束されています。

さらに、Apple Cardの場合はAppleの公式サイトであろうと外部のサービスであろうと、取引に関する情報は一切Appleと共有していないとのこと。ウォレットアプリ上にはクレジットカードで購入した商品などの詳細が表示されますが、この情報は端末上で暗号化されるためApple側がこれらを確認するすべはありません。

◆2：カードネットワーク

by Ales Nesetril

クレジットカードを用いて商品を購入した場合、最初に銀行に情報が行き、次にVISAやマスターカードが運営する決済ネットワークに情報が移るのですが、「この段階からApple Cardの優位性は薄れ始める」とファウラー氏は指摘。

決済ネットワークは銀行同士を繋ぐネットワークで、購買情報を集約する役割を担います。VISAの決済ネットワークの場合、顧客は50人単位で郵便番号などがまとめられたデータをチェックできるそうです。マスターカードの場合はデータの最小単位を明かしていませんが、同様のシステムが構築されているものと考えられます。

2018年にはGoogleが広告効果を検証するためにマスターカードから数百万件分のユーザー情報を購入していたとBloombergが報じており、Apple Cardというプライバシー面が強固なカードを使用していたとしても、マスターカードの決済ネットワークを使用する限り外部機関にユーザーの取引情報や個人情報が漏れる可能性は十分にあるとのこと。

◆3：店舗

by Mike Petrucci

クレジットカードを用いて実際に商品を購入した店舗にもクレジットカードに紐付けられた情報が共有されます。店舗の場合、クレジットカードを使用したユーザーのプロフィールを作成し、このプロフィールを更新しながらユーザーの習慣を学ぶことで、Facebookなどの広告配信プラットフォーム上でユーザーをターゲットにした広告を出すそうです。これはApple CardだろうがAPRVSCだろうが変わりなく行われることだとのこと。

アメリカの大手百貨店のターゲットは、この際に受け取る顧客情報を販売していないとしていますが、プライバシーポリシーには「顧客の個人情報を他の企業と共有する」と明確に記されています。この「他の企業」についてファウラー氏はターゲットに問い合わせたそうですが、明確な返答は得られなかったとのこと。

また、ターゲットがどのような個人情報を共有するのかについても問い合わせたそうですが、内容は「変化する」「可能な場合は常に、匿名化された情報を提供している」という返答があったそうです。

◆4：POSシステムとマーチャントバンク

by Square

クレジットカードを用いて商品を購入する場合、専用の機械でカードを読み取り、取引を処理します。その際に使用されるのがPOSシステムとマーチャントバンクです。これらに関連する企業は、クレジットカードの所有者名・カード番号およびその他の詳細な情報にアクセスできます。そして多くの場合、これらの企業も何らかの形で入手したカード関連の情報を共有する権利を持ち合わせている模様。

この段階でどの企業が関わっているかを調べるのが非常に難しいそうで、ファウラー氏はターゲットでバナナを購入したものの、「使用しているマーチャントバンクがどこかをターゲットが明かすことはなかった」と記しています。

なお、POSシステムを提供するSquareはクレジットカードに関する情報を販売しないとしていますが、レシート用に入力したメールアドレスや電話番号を販売元と共有しており、さらには一般消費者による購入情報を業界団体などと共有しています。

◆5：モバイルウォレット

ファウラー氏は物理的なカードを用いてバナナを購入したそうですが、スマートフォンの決済システムなどを用いた場合、より多くの情報が外部に漏れる可能性があります。

例えばAndroid向けの決済サービスであるGoogle Payの場合、Googleアカウントに取引情報が保存されます。Googleはこの情報に基づいたターゲット広告は許可していないとしていますが、Google Payのデフォルトのプライバシー設定では、「ユーザーがアクセスしたサイトやアプリのサードパーティ販売者に対し、この販売者への支払いに利用出きるGoogleお支払いアカウントをユーザーが使っているかどうかをGoogleまたはその関連会社が通知することを許可します」という項目がオンになっています。

それに対してApple Payの場合、ユーザーに紐付けられるような取引情報は一切保存しないとされています。

◆6：金融アプリ

自身の財務状況を管理する無料の金融関連アプリは無数に存在しています。Mintはあらゆる銀行口座を一括で管理することができますが、データはマーケティングに利用されています。同じように、Yodleeは収集したユーザーデータを匿名化して市場調査会社や小売業者、投資家向けに販売しています。

また、Gmail経由で領収書を受け取った場合、Googleはこの情報をGoogleアカウントの購入データベースに追加します。GoogleはGmail経由で収集したコンテンツを使用して広告ターゲティングを行うことはないとしていますが、他の用途には利用しているとしています。

企業のプライバシーポリシーや問い合わせに対する返答内容から、ファウラー氏は「カード情報ビジネスは、広告主や投資家の支援、小売業者と銀行がより多くの支出を奨励することを助けるための活況を呈しています」とコメントし、クレジットカードの取引情報などはユーザーの消費を加速させるためのマーケティング情報として使用されていると指摘。

加えて、「クレジットカードの取引内容が悪用される可能性は十分にありますが、取引内容を完全に識別できるような方法で、取引内容を『販売』あるいは『共有』する必要はありません。ただし、データは集約され、匿名化され、ハッシュ化または仮名化された状態であっても、特定のユーザーをターゲットにするための情報として使えます」と語り、特定の個人と識別できないような状態にデータが加工されていても、十分に有用な情報のままであると指摘しています。

by rupixen

個人情報と紐付かないように加工されたクレジットカードの取引情報は、どのように一般ユーザーの害になるのでしょうか。不正取引や不当な貸付行為は法的に制限されていますが、「個人の支出パターンから明らかになる情報は複数あり、その情報を用いてユーザーを脅迫することもできるかもしれない」とファウラー氏は指摘しています。

また、クレジットカードの取引情報を企業が有効に扱うことで、一般消費者に不利が生じる可能性も示唆されています。カリフォルニア大学バークレー校のクリス・ホーフナグル教授は、「企業が消費者について多くを知っているほど、情報操作の機会が増えます」と語り、ユーザーがいつどこで何を買ったかなどの取引情報を用いて、特定の商品の価格を上げたり、消費者の行動をモデル化したりすることが可能になるとのことです。

ファウラー氏は他のクレジットカードほど豪華な特典がないながらも「Apple Cardを使い続けるつもりだ」と語っています。その理由はAppleとゴールドマン・サックスの契約により、少なくとも銀行経由でクレジットカード関連の情報が漏れる心配が少ないからだそうです。Apple CardはMintのようなアプリでも動作しないため、専用アプリから取引情報を確認する必要があるものの、プライバシー面では完璧ではなくとも他のカードより幾分マシなようです。