医療系サイトのユーザー情報が、ターゲティング広告に流用されていた 専門家の調査結果が波紋

医療や遺伝子検査に関する情報を扱うウェブサイトで、ユーザーの情報がFacebookのターゲティング広告に流用されていたことが明らかになった。こうした外部への情報共有についてはプライバシー規約に明記されていなかったことから、立場の弱い人々に偏って危害をもたらす危険性が指摘されている。

デジタル広告が不適切にも弱い立場にある人をオンライン上でターゲットにしてしまうケースは、実によくみられる。例えば虐待の被害者や子どもがそうだが、デジタルヘルスケアや遺伝子検査を手がけるいくつかの企業の顧客もこれに含まれるようだ。これらの企業は広告のトラッキングツールを使用し、利用者の健康状態に関する情報を漏らした可能性がある。

デューク大学と患者のプライバシー保護を推進する団体「Light Collective」は最近の研究で、遺伝性がんのコミュニティとFacebookのがん患者サポートグループで活動している10名(うち3名はFacebookグループの運営側で活動)を対象に、2021年9月と10月に「Facebook外のアクティビティ」機能から得られたデータをダウンロードして分析した。この機能では、アプリやサイト上のユーザーの行動履歴について、サードパーティーがFacebookと運営会社であるメタ・プラットフォームズと共有している情報を確認できる。

その結果、この種の報告によく含まれる小売やメディアといった業種に加え、遺伝子検査やデジタル医療を扱う数社も、顧客情報をターゲティング広告の目的でFacebookと共有していることが明らかになった。これらのサイトを電子フロンティア財団(EFF)の「Privacy Badger」や非営利団体The Markupの「Blacklight」といったトラッカー識別ツールを使ってさらに分析したところ、各サイトが搭載している広告モジュールが明らかになった。

そこで研究者らは各社のプライバシー規約を確認し、この種のサイトを越えたトラッキングとそれによるFacebookへのデータ流出について許可しているか、そして情報開示しているか調べた。すると5社中3社は、サードパーティーのツールを用いてマーケティング目的でユーザーの特定やターゲティングを実施する可能性を規約に明記していなかったのである。

「これらの規約に大きく欠けている部分があるとわかり、衝撃でした」と、研究報告の共著者でセキュリティ研究者でもあるLight Collective代表のアンドレア・ダウニングは言う。「今回該当した企業と話してみると、自分たちが使っている広告ツールを完全には理解していないようでした。ですから、この件について認識してもらわなければなりません」

複雑なエコシステム

ダウニングと論文の共著者でデューク大学臨床研究所チーフ・サイエンス&デジタル・オフィサーのエリック・ペラクスリスは、ターゲティング広告は往々にしてわかりにくいエコシステムではあるが、トラッキングは患者という属性の人々にとって特有の結果を伴うことを強調している。例えば複数のサイトでユーザーを特定する過程で、サードパーティーによるトラッキングツールでユーザーの健康状態に関する情報を収集しながら、さらにユーザーの関心や職業、デバイスフィンガープリント(デバイス固有の情報)、居住地域といった幅広いプロフィールも構築できてしまう。

広告というエコシステムが相関性をもっていることから、この“合成写真”には、Facebookなどのサイト上での活動を含むあらゆるウェブ閲覧行為からの情報が取り込まれている可能性がある。その典型的な例が、ユーザーの健康状態を巡るマーケター側の仮定に基づいて、妊娠中の人などをターゲットに一貫して展開される広告だ。

会員限定記事会員サービス詳細