Googleはロシアの広告企業が制裁対象になった後も数カ月にわたりユーザーデータを共有していたことが判明

2022年2月にロシアによるウクライナ侵攻が始まった後、アメリカは多くのロシア企業を制裁対象に指定して、アメリカの企業が取引することを禁止しました。ところが、Googleは制裁開始から数カ月以上が経過した6月23日まで、ロシア最大の銀行であるロシア貯蓄銀行が所有する広告企業のRuTargetとユーザーデータを共有していたと、アメリカの非営利報道機関・ProPublicaが報じました。

Is Google sharing data from Americans and Europeans with sanctioned Russian adtech companies?
https://adalytics.io/blog/sanctioned-ad-tech-user-data

Google Let Sberbank-Owned RuTarget Harvest User Data for Months — ProPublica
https://www.propublica.org/article/google-russia-rutarget-sberbank-sanctions-ukraine

ProPublica: Google shared user data with Russia firm
https://www.fastcompany.com/90766295/google-sharing-user-data-russia-propublica

ロシアがウクライナへの侵攻を始めた2022年2月24日、アメリカ財務省はさまざまなロシア企業を制裁対象企業リストに掲載し、その中には企業やブランドのデジタル広告購入をサポートする広告企業・RuTargetも含まれていました。ところが、デジタル広告分析会社Adalyticsの調査によると、RuTargetが制裁対象企業リストに登録された後もGoogleはユーザーデータの提供を続けていたとのこと。AdalyticsはGoogleがRuTargetとユーザーデータを共有した事例を700件近く特定しており、ProPublicaがこの件についてGoogleに問い合わせた6月23日になって、ようやくRuTargetとのデータ共有が停止されたそうです。

調査では、Googleがウクライナに拠点を置くウェブサイトを閲覧したユーザーに関するデータをRuTargetと共有したことも示されています。これらのデータには、一意の携帯電話IDやIPアドレス、位置情報、ユーザーの関心やオンライン活動についての詳細情報などが含まれており、ロシア軍や諜報機関による人々の追跡に利用される可能性も懸念されています。

Adalyticsを運営するKrzysztof Franaszek氏は、RuTargetがGoogleのユーザーデータへのアクセス・保存が可能だったことは、深刻な潜在的悪影響が及ぶ可能性があると指摘。「私たちが知っている限り、RuTargetはこれらのデータを取得して他から得た20ものデータソースと組み合わせ、対象がどこにいるのかを知ることができます」「RuTargetのデータパートナーにロシア政府や諜報機関、サイバー犯罪者が含まれていた場合、大きな危険があります」と述べました。

Googleの広報担当者であるMichael Aciman氏は、Googleが2022年3月にRuTargetによる広告製品の使用・購入をブロックし、それ以降はRuTargetがGoogle経由で直接広告を購入していないと主張。しかし、ProPublicaから警告を受ける前までは、依然としてRuTargetがユーザーや広告に関するデータを購入していたことを認めました。

「Googleは適用されるすべての制裁および貿易コンプライアンス法を順守することにコミットしています」「私たちは問題の事業体を検討し、今年初めに行ったGoogle広告製品の直接利用をブロックする措置に加え、適切な執行措置を講じました」と、Aciman氏は述べています。

アメリカ上院情報委員会の委員長を務める民主党のマーク・ワーナー上院議員は、2月25日にGoogleへ送った(PDFファイル)書簡で「ロシアと関係のある団体によるプラットフォームの搾取」に警戒するよう通知していましたが、それにも関わらずRuTargetとの関係を断ち切っていなかったことに失望感を表しています。「すべての企業にはウラジーミル・プーチンのウクライナ侵略に資金を提供したり、不用意に支援したりしないようにする責任があります。アメリカの企業がロシア企業とユーザーデータを共有している可能性があり、しかもその企業が制裁を受けたロシアの銀行によって所有されていると聞き、信じられないほど憂慮すると共に率直に失望しています」と述べました。

オンライン広告では、広告枠の販売と入札がリアルタイムビッディング(リアルタイム入札)という方法で、アドエクスチェンジというプラットフォームで取引されています。このオンライン広告購入プロセスにおいては、企業間でターゲットとなるユーザーのモバイルID、IPアドレス、位置情報、興味関心といったデータがやり取りされており、広告企業はこれらのデータを基にいくらで入札するのかを決定しています。

RuTargetのような広告企業は、実際に落札するかどうかにかかわらずこれらのデータを受信・保存し、時間と共に豊富なデータリポジトリを作成可能だとのこと。デューク大学公共政策大学院で講師を務めるジャスティン・シャーマン氏は、オンライン広告プロセスでやり取りされるこれらのデータはほとんど規制されておらず、名前や電子メールなどの個人情報は含まれていないものの、非常に機密性が高いことには違いないと指摘。「私たちのデータエコシステムや、データブローカーと広告主のエコシステムが、アメリカ人の非常に機密性の高い情報を外国企業に提供したり、送ったり、売ったりする方法について注目が高まっています。また、外国の機関がそのデータに不正にアクセスすることへの懸念もあります」と述べました。

ワーナー氏やロン・ワイデン上院議員らの議員グループは、広告ビジネスにより流出したデータが敵対国や機関に不正利用されるとの懸念から、2021年4月にGoogleやその他のアドエクスチェンジに対して「データを共有した国内外のパートナーをリストアップするように」と指示を出しました。ところが、Googleは「非開示義務がある」としてリストアップを拒否したとのこと。しかし、Franaszek氏は入札データをGoogleと共有している一部の企業はGoogleとの関係を公にしており、Googleの言う「非開示義務」が何なのか曖昧だと主張。また、Googleの公式ページでもリアルタイム広告オークションの入札者の名前が少なくとも13社リストアップされており、「Googleは上院議員に『非開示義務がある』と告げる数カ月前に、外国のパートナーのリストを自社のウェブサイトで公表していました」とFranaszek氏は指摘しています。

Googleを通じてRuTargetとのユーザーデータ共有が行われていたウェブサイトには、ロイター通信やESPNなどが含まれていました。また、RuTargetのウェブサイトに記載されていた顧客には、MasterCard・Hyundai・PayPal・ファイザーといった国際的企業も存在しました。ProPublicaの問い合わせに応じたファイザーは、「調査の結果、ファイザーはRuTargetとは現在、いかなる関係やその記録もないことが判明しました」と回答しました。