行動ターゲティング広告はどこまで許されるのか - NIKKEI NET:IT-PLUS
高木浩光 産業技術総合研究所 情報セキュリティ研究センター, 2008年10月16日

以下は、過去に it.nikkei.co.jp に掲載されていた私のコラムで、2010年4月の日経新聞社サイトの改編に伴って消失したため、日本経済新聞社の承諾を得て転載するものです。
転載元：http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008

---

インターネット広告は最近、閲覧者のアクセス履歴から嗜好を分析して関心を持ちそうな広告を配信する「行動ターゲティング広告」にシフトしつつあるようだ。特に、日本ならではの事情により、欧米には見られない方式の広告システムが今年になって続々登場している。これらにはプライバシーやセキュリティー上のリスクを伴うものもあるが、はたしてユーザーはそれを承知しているのだろうか。（高木浩光・産業技術総合研究所情報セキュリティ研究センター主任研究員）

ブラウザーの「バグ」を用いた行動追跡

行動ターゲティング広告は以前から存在していたが、今年の動向として新しいのは、行動を追跡する手段として、自サイトでの閲覧行動だけでなくよそのサイトでの閲覧行動まで追跡するタイプが現れたことだ（参照：ヤフー、楽天、ＭＳが新商品を投入・広告ネットワークの戦い〔１〕^{リンク切れ}）。

この記事で紹介されている「楽天ad4U」は、「ユーザーのブラウザー側で保有している履歴情報をもとにユーザーの嗜好を解析して、広告を配信するという仕組み」だという。これはどういうことか。筆者が調べたところ、ブラウザー側の欠陥を突くことによって閲覧履歴を取得するものであることがわかった。

仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。

たとえば個人でブログを開設している人が、自分のブログを訪れているのがどんな人たちなのかを知りたいと思ったとしよう。通常ならば、サイトの運営者はアクセス元のIPアドレスから訪問者の国や地域を調べるくらいのことしかできない。

ところがこの仕組みを使って、特定のサイトのURLを隠しリンク（画面上には表示されない）としてブログに埋め込んでおき、表示色を取得するプログラムを仕掛けておけば、訪れた人がそのサイトに行ったことがあるかないかを、ブログの開設者は密かに知ることができてしまう。たとえば、アダルトサイトのURLを埋め込んでおけば、訪問者が過去にそのアダルトサイトを利用したかどうかがわかってしまうことになる（図1）。

このようなことができてしまうのは、一部のWebブラウザーに古くから存在する欠陥が原因である。WebブラウザーのFirefoxでは、2002年5月に「バグ番号:147777」として報告されているバグであり、今も解決方法が議論されているものの、HTMLやスタイルシートの仕様上の欠陥であるためスマートな対策方法が見つからず、未解決となっている。同様に、FlashなどのJavaScript機能を持つプラグインにもこの欠陥があるようだ。

楽天ad4Uの実際の広告を調べてみたところ、Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計し、そのカテゴリーの広告を表示するようになっていた。

ad4Uの開発元のドリコムの発表文によると、この方式は「プライバシー保護にも優れています」と説明されている。これはどういうことかというと、数千個のリンクのそれぞれの訪問の有無は、ブラウザー上で処理され、サーバーには送信されないからだ。ブラウザー上の統計処理によって表示する広告を決定し、広告の番号だけがサーバーに通知される仕組みとなっているようだ（図2）。

バグの存在を前提にした事業のリスク

従来方式の行動ターゲティング広告では、クッキー（cookie）を用いて閲覧者にIDを割り振り、IDごとの閲覧履歴をサーバー側で追跡する必要があったため、これがプライバシー上問題であるとしてしばしば批判されることがあった。ad4Uの方式ではその必要がないため、「プライバシー保護にも優れています」というのだろう。しかし、ブラウザー側のバグを突くプログラムを配信するという手法は次の２つの点で問題があるのではないか。

第一に、将来、ブラウザー側のバグが修正されたら、この広告は機能しなくなる。バグの存在を前提にしたシステムをビジネスとして展開することにリスクはないのか。

このような利用が広く普及してしまうと、ブラウザー側でバグを修正する動きに対してブレーキをかけることにもなりかねない。その結果として、先に述べたブログでアダルトサイトの閲覧の有無を盗み見るような悪質な行為を防げなくなってしまう。

第二に、このような方法で閲覧履歴を参照するプログラムは、現在国会で継続審議となっている刑法改正案の「不正指令電磁的記録作成等の罪」（いわゆる「ウイルス作成罪」）のいう「不正な指令」に該当するおそれがあると筆者は考える。なぜなら、これは、人がブラウザーを使用するに際して「その意図に反する動作をさせる」プログラムだからだ。

ウイルス作成罪は未成立であるから合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか。英語圏ではこうした行為に対して必ず批判の声が上がるもので、こういうプログラムは「スパイウエア」と認定されると筆者は考える。それに対して日本では、表立って批判する人がほとんどいないため、このようにいつの間にか実用化されてしまう。

「個体識別番号」を用いた行動追跡

もうひとつの新しい動きは、携帯サイト向けの広告において、行動追跡の実現手段として「個体識別番号」を用いるものが続々と登場しつつあることだ（参照：携帯向けも参入相次ぐ・広告ネットワークの戦い〔２〕^{リンク切れ}）。

たとえば、この記事で紹介されているサノウ（東京・渋谷区）の「ネオアド」は、開発元の発表文で「今年の3月31日にNTTドコモが携帯電話番号毎に付与するiモード用のユニークなIDである『iモードID』を一般サイトに公開したことで、実現可能となりました」と説明している。

従来、NTTドコモの携帯電話では、契約者に固有の携帯IDはiモードの公式サイトにしか送信されなかった。一般サイトへは、端末の製造番号を送信する機能はあったが、これを送信する際には必ず確認画面が現れて、ユーザーが同意ボタンを押さなければ送信しない仕組みとなっていた。

表示するたびに確認画面が出てしまうのでは広告用途には使えない。それが、2008年3月末から携帯IDが一般サイトにも開放されたことでこのような広告システムが実現可能となり、続々と応用サービスが登場しはじめたのである。

携帯IDを用いた行動ターゲティング広告の仕組みはこうだ。仮に、どこのWebサイトを訪れても同じ広告会社が提供する広告画像が貼り付けられているとする。すると、携帯利用者はWebサイトを訪れると同時に広告会社のサーバーにもアクセスすることになる。

このとき、広告会社のサーバーにも携帯IDが送信される（図3）。広告会社は、携帯IDで人を識別しながらアクセス履歴を集計することで、同じ人がいつどこのWebサイトを訪れたかを知ることができる。これによりその人の嗜好を推定することができ、好みに合った広告を配信できるというわけである。

従来にはなかったプライバシーリスク

従来、一般のPCのインターネット（携帯電話ではなく）では、こうした行動ターゲティング広告を実現するためにクッキーを応用した手法が用いられてきた。「第三者クッキー」と呼ばれる方法で、広告会社が独自の固有IDを閲覧者に割り振り、そのIDごとに閲覧履歴を集計することで嗜好を分析している。

第三者クッキーは「トラッキングクッキー」と呼ばれることもあり、スパイウエア対策ソフトはこれをスパイウエアの一種として扱っている。米国では、このようなクッキー利用が消費者のプライバシーを侵害するとして、大手広告会社が2000年に集団訴訟を提起されるという事態にまで至っている。

クッキーについて言えば、プライバシーの問題は比較的小さい。なぜなら、クッキーは閲覧者側で自由に削除することができるので、削除するたびに広告会社による追跡はリセットされるからだ。また、第三者クッキーは近年使われなくなる傾向にあり、たとえばiPhoneでは第三者クッキーを拒否する設定になっている。

それに対し、携帯電話の携帯IDはクッキーのように削除することができない。いったん契約者に割り振られたIDは不変である。そのため、携帯IDを用いた広告が普及すると、広告会社により追跡される可能性は携帯電話を解約するまでの何年にも渡って続いてしまう。このことを利用者らは理解しているだろうか。

嗜好情報が売買されるおそれ

広告会社としては、効率のよい広告配信が目的であり、そのIDの人が具体的に誰なのかには関心がないかもしれない。しかし、ここで筆者が懸念するのは、ＩＤごとに集計された嗜好情報（サイトの閲覧履歴やそれを分析した結果など）のデータベースが第三者に販売されることはないのかという点である。

匿名のＩＤを住所・氏名にひも付けることをしなければ、個人情報保護法でいう「個人情報」には該当しないため、売ることは合法である。買う側もたとえばショッピングサイトなどで、すでに正当な手段で住所・氏名を取得している事業者ならば、嗜好情報を広告会社から買っても個人情報保護法には抵触しないと考えられる。その事業者が住所・氏名と同時に携帯IDも取得しているならば、入手した嗜好情報は携帯IDを使って住所・氏名と結合することができる。このような売買は合法かもしれないが、企業のビジネス行為として倫理的に許されるものだろうか。

ショッピングサイトに住所・氏名を提供する際、利用者はそのショップに陳列された商品について自分の関心を探られるのは、しかたのないこととして覚悟しているだろう。しかし、別のサイトで閲覧した嗜好情報についてまで、そのショップに把握されることについて、了解しているだろうか。

このような嗜好情報の売買は、従来の通常のPCのインターネットでは起き得なかったことである。なぜなら、第三者クッキーとして発行されるIDは、広告会社が独自に割り振ったIDであるため、ほかのサイトでは情報をひも付けて照合することができず、売買する価値がないからである。 　つまり、広告に付随して収集される嗜好情報の売買という懸念は、国際的に見ても過去に例のないものであり、日本の携帯電話だけで今年になって始まりつつある事態といえるのだ。

日本の個人情報保護法の不備

あまり意識されていなかったことかもしれないが、インターネットの安心・安全は、主に英語圏での活発な議論によって淘汰の洗礼を受けた技術を採用することで実現されている。日本だけで独自に始まった携帯ＩＤ送信は、英語圏の批判にさらされておらず、他に類を見ない独自のプライバシーリスクを生み出してしまった。

携帯ＩＤや端末製造番号は、いわゆる「ワンクリック詐欺」業者らの間では「個体識別番号」と呼ばれている。個体識別番号を表示することでアクセスした人を特定したかのように見せかけ、料金を振り込めと脅す手口だ。NTTドコモが携帯ＩＤを一般サイトにも自動送信するようになったことは、ワンクリック詐欺の被害を増大させる危険もある。この問題については楠正憲氏も論じている。（参照：携帯ＩＤ開放の危うさ・事件が起きる前に対策を^{リンク切れ}）

筆者は、そもそもこのようなＩＤ送信を携帯電話会社が開始したことに問題の原因があると考えているが、これを個人情報保護法で規制できていないところにも不備がある。2008年3月30日付の日経新聞の記事によれば、NTTドコモは「iモードID」の送信について「氏名やメールアドレスは含まれておらず、個人情報開示には当たらない」としているという（参照：ドコモ、携帯電話の「識別番号」・コンテンツ会社に通知^{リンク切れ}）。

日本の個人情報保護法では、住所・氏名ばかりが守られ、肝心の個人の嗜好情報などのプライバシーが守られていない。住所・氏名だけなら他人に知られても問題がない場合も少なくないにも関わらず、この法律の影響で、常識的な利用さえ抑制されてしまうことが起きている。その一方で、他人に知られたくないはずの嗜好情報が、規制の網から漏れて売買される可能性が生じているのだ。

プライバシーポリシー明示の徹底を

これは、特定の広告会社が実際に集めた嗜好情報を横流ししていると指摘しているのではない。技術的には可能な状態にあることを指摘しているだけである。現時点でそれを行っている事業者が存在しないとしても、将来どうなるかはわからない。

嗜好情報の横流しを疑われたくない事業者は、それを行わないという約束をプライバシーポリシーに明示してはいかがだろうか。広告を掲載する側の事業者も、採用する広告会社がそのような横流しをしていないか確認する必要があるのではないか。

また、広告会社は横流しをしない方針だとしても、データ流出のリスクは少なからずあるだろう。一般的には従業員が持ち出すリスク、不正アクセスにより流出するリスクなどがある。第三者クッキーを用いた方式とは異なり、携帯IDを用いた方式では流出時の被害が無視できないほどに大きい。

流出時の被害を小さく抑えるために、長期間にわたる行動追跡を行わないことが望ましい。広告表示に必要な最小限の期間しか追跡情報を残さないようシステムを工夫するべきだろう。そして、その期間をプライバシーポリシーで明示することが望ましい。

政府も、こうしたインターネットを経由したIDによるひも付けという技術的可能性を踏まえて、個人情報保護のあり方を再検討するべきではないだろうか。