規制をくぐり抜けるスマホの位置情報ブローカーを取り締まるためにはどうすればいいのか？

スマートフォンの位置情報は目的地までのナビに使ったり個人にあった広告を届けてくれたりととても便利な一方で、ふと「つねに追跡・監視されているのでは？」と不安になったことがある人も多いはず。実際、アプリで収集された位置データがブローカーによって取引されており、その市場規模は推定120億ドル(約1兆3000億)にもなるといわれています。そのような市場取引がなぜ可能になっているのか、規制するにはどうすればいいのかについて、テクノロジー系メディアのThe Markupがまとめています。

Who Is Policing the Location Data Industry? – The Markup
https://themarkup.org/ask-the-markup/2022/02/24/who-is-policing-the-location-data-industry

アメリカには位置情報の取引を制限する法律がなく、携帯電話から収集した位置情報の売買は完全に合法のビジネスとなっています。位置情報の不正な利用はアプリを提供するAppleとGoogleによって取り締まられており、ユーザーに対して位置情報を取得している旨を明確にしたり、特定のデータブローカーに対しての規制を行ったりしています。

具体的な施策として、AppleやGoogleはポリシーを制定する他、アプリのユーザーの位置情報をブローカーに送信するために設計されたソフトウェア開発キット(SDK)を取り締まることで、データの販売を規制しようとしています。しかし、専門家や位置情報に関する業界の関係者は「この動きは不十分で抜け穴がたくさんあります」と語っています。

もともと、位置情報の取引はアプリのコードの中にひっそりと含まれたSDKからデータブローカーに直接データを送信し、位置情報を販売したり分析したりして利用していました。AppleとGoogleはそれを規制するために、アプリに存在するSDKをスキャンしてこの仕組みを取り締まっています。しかしながら現在ブローカーは新しい方式に移行しており、アプリ開発者がブローカーと契約していれば、「サーバー間転送」で直接ユーザーの位置情報データを供給することができるとのこと。

1000以上のAndroidアプリが無断であなたの個人情報を盗んでいる、「許可しない」にしていてもダメ - GIGAZINE

by rawpixel.com

規制をすり抜けるデータ販売の実例として、The Markupは2021年12月に、子ども見守りアプリ「Lfe360」がユーザーに関する位置情報データを、ブローカーに直接転送する契約を結んでいたことを報道しました。報道後にLife360は位置データの販売を停止しましたが、それまでに数千万人のデータが取引され、ブローカーが「Life360のデータがなければマーケティングキャンペーンを実施することはできなかった」と語るほどの業界最大のデータソースのひとつだったとのこと。

落とし物トラッカー「Tile」を買収した「Life360」が無断で数千万人のユーザーの位置データを販売していたことが発覚 - GIGAZINE

AppleもGoogleも位置情報取得や販売についてのポリシーを設定していますが、データブローカーは追跡不可能な方法で位置情報を取得し始めているため、「どのようにポリシーを施行することができるのか、また、アプリがユーザーの位置情報をどのように利用しているのかを、どちらも回答できていません」とThe Markupは指摘しています。

位置情報売買を取り締まるための方法として、カリフォルニア大学バークレー校の国際コンピューター科学研究所の研究者であるサージ・エゲルマン氏は、「AppleとGoogleは、自分のデータに何が起こっているかをユーザーに知らせるための措置を取ることができます。しかしながら、データ販売の本当の取り締まりは、政府の介入によって行われる必要があります」と指摘しています。

アプリストアが検出できるのはSDKの存在と、アプリを実行したときに第三者のサーバーにデータが送信されるかどうかだけであり、これ以上は技術で解決できないとのこと。ストアに掲載するアプリについて、AppleとGoogleはユーザーデータの販売先を開示するよう求めることができますが、アプリの提供者がうそをついたとしても確かめる手段はありません。

アメリカにはデータプライバシーに関する法律はない一方で、カリフォルニア州のように独自の規制を設けている州もあります。しかし、そのカリフォルニア州のプライバシー法では、データブローカーを特定して規制することはできないため、デューク大学のテクノロジーポリシー研究所の一員であるジャスティン・シャーマン氏は「その場の個別的な対処は、最終的にはうまくいくかもしれません。しかし、この位置情報の不当な売買の問題に対しては、体系的な規制を政策としてアプローチする方が効果的です」と主張しています。