プライバシーを勝手にオークションにかける「リアルタイム入札」について電子フロンティア財団が警鐘を鳴らす

デジタル社会における自由やプライバシーの保護を目的に設立された非営利組織である電子フロンティア財団が、オンライン広告が表示される際に行われる「リアルタイム入札(RTB)」の問題についてまとめました。

Online Behavioral Ads Fuel the Surveillance Industry—Here’s How | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2025/01/online-behavioral-ads-fuel-surveillance-industry-heres-how

リアルタイム入札(RTB)とは、ターゲティング広告が表示されるたびにユーザーの個人情報を無数の広告主やブローカーに公開するシステムのことで、悪用されると性的指向や、どこで何をしていたかも筒抜けになってしまうとのこと。

過去には、カトリック団体による同性愛者の司祭の特定や、政治的な抗議活動の参加者の特定などに使われたこともあると、電子フロンティア財団は述べています。

RTBの基本的な仕組みは次のとおりです。
1．ユーザーが広告スペースのあるサイトやアプリにアクセスすると、サイトやアプリは広告オークション会社にどの広告を表示するか決めるよう依頼します。
2．広告オークション会社は、ユーザーに関する情報やユーザーが閲覧しようとしているコンテンツなどの情報を「入札リクエスト」にまとめ、数千の潜在的な広告主に一斉送信します。
3．入札リクエストには固有の広告ID、位置情報、IPアドレス、デバイス情報、興味関心、人口統計的な情報などのデータが含まれる場合があります。これらの「入札ストリームデータ」は、容易に本人と紐付けることが可能です。
4．広告主は、入札リクエストに含まれる個人情報と、長年にわたって構築してきたユーザーデータプロファイルを使用して応札するかを決めます。

このプロセスの最大の問題は、広告スペースを購入するかどうかに関係なく、RTBに参加したすべての広告主が個人情報を入手する点にあります。

一部の広告オークション会社は入札ストリームデータの売却を禁止する規約を設けていますが、RTBはデータブローカーが機密データを仕入れるための主要な情報源になっているのが実情です。

また、RTBは単に企業によるデータ収集を可能としているどころか、できるだけ多くのデータをかき集めさせるインセンティブにもなっています。というのも、入札リクエストに含まれる個人情報が多ければ多いほど入札額が高くなるからです。

また、広告主側も判断材料にするためにできるだけ多くのデータを買い集めようとするため、これもデータブローカーが個人のオンライン生活を追跡する動機となります。

RTBはほとんどのウェブサイトやアプリに組み込まれているため、オンライン広告業界によるプライバシー侵害の規模は想像を絶するほど巨大で、電子フロンティア財団によると数千億のRTB入札リクエストが日々ブロードキャストされているとのこと。入札が1回行われるごとに、本物か偽物かを問わず数千の広告購入者がデータを受け取れることから、RTBのデータを転売するビジネスは一大産業に発展しました。

RTBは単なるプライバシー侵害にとどまらず、国家安全保障上のリスクにもなっており、事実としてGoogleの広告オークションが制裁対象になったはずのロシア企業に数カ月間にわたって機密情報を流していた問題が発覚したこともあります。

Googleはロシアの広告企業が制裁対象になった後も数カ月にわたりユーザーデータを共有していたことが判明 - GIGAZINE

電子フロンティア財団が提唱する「RTBから自分の身を守る方法」は以下のとおりです。

・ウェブサイトの場合
電子フロンティア財団がオンライントラッキングのブロック用に開発した無料の拡張機能であるPrivacy Badgerをブラウザにインストールすること。

Privacy Badgerは以下からダウンロードできます。

Privacy Badger - Chrome ウェブストア
https://chromewebstore.google.com/detail/privacy-badger/pkehgijcmpdhfbdbbnkijodmdjhbjlgp

Privacy Badger – Firefox (ja) 向け拡張機能を入手
https://addons.mozilla.org/ja/firefox/addon/privacy-badger17/

・アプリの場合
モバイル広告IDを無効にし、アプリの権限をよくチェックすること。Androidの場合は、まず「設定」から「セキュリティーとプライバシー」をタップします。

以降、「プライバシー管理」

「広告」

「広告IDを削除する」の順番でタップして広告IDを削除します。

iPhoneの場合は、アプリの使用開始時に追跡を許可しないようにすることができます。過去にどんなアプリに追跡を許可したか確認するには、「設定」から「セキュリティーとプライバシー」をタップ。

続いて「トラッキング」をタップ。

この画面で許可の状況を確認できます。

ただし、これらはあくまで個々人の自衛策に過ぎません。

電子フロンティア財団は根本的な解決策として、「オンライン広告がユーザーの監視を助長するのを防ぐ最善の方法は、行動ターゲティング広告を禁止することです。そうすると、広告は現在表示しているページの内容とコンテキストに応じてターゲティングされ、ユーザーの機密情報が収集されたり公開されたりしなくなります。広告を見ることが、聞いたこともない無数の企業にデータを渡すことを意味するべきではありません。ターゲティング広告と、それを可能とする大量監視を終わらせる時が来たのです」と提唱しました。