
データブローカーが個人情報を入手する仕組み、注意深くても避けられない
自分の名前をオンラインで検索し、自宅の住所、電話番号、過去の住所、親族、収入の推定額がすべて表示される。しかも一度も訪れたことのないウェブサイトで。アメリカのほとんどの人にとって、これは仮定の話ではない。これこそがデータブローカー業界のビジネスモデルである。
データブローカーの仕組み
データブローカーとは、既存のデータベース、公的記録、小売店、アプリ、ソーシャルメディアプラットフォームから個人情報を合法的に収集し、それをパッケージ化して最高入札者に販売する企業である。ダークウェブで販売される盗難データとは異なり、ブローカーが収集する情報は完全に合法的手段で蓄積されており、この違いが規制をはるかに困難にしている。
彼らは複数の情報源から情報を引き出している。公的記録は不動産所有権、結婚許可証、裁判所の書類、有権者登録情報を提供する。小売店やロイヤルティプログラムは、収入レベル、食習慣、健康上の懸念を明らかにする購入履歴を販売する。モバイルアプリは位置情報データ、連絡先、端末識別子を収集する。ソーシャルメディアプラットフォームは、ユーザーが自発的に投稿したデータを共有、あるいは販売する。
誰がデータを購入するのか
購入者には、広告をターゲティングするマーケティング担当者、リスクを評価する保険会社、身元調査を実施する賃貸人、候補者を審査するリクルーターが含まれる。しかし、同じデータは詐欺にも利用されている。詐欺師はブローカーからデータを購入し、フィッシング攻撃を個人向けにカスタマイズしたり、家族になりすましたり、個人情報盗難を実行したりする。
BBCが今年初めに報じたところによると、インドのコールセンター詐欺師が米国の消費者データをブローカーから購入し、被害者に銀行口座の全額引き出しを強要した事例が確認されている。
オプトアウトの方法
データブローカーから個人情報を削除することは可能だが、骨の折れる作業である。各ブローカーは独自のオプトアウト手続きを運営しており、公的記録が更新されたり、ロイヤルティカードが使用されたりするたびに新しいデータが出現する。プライバシー擁護派はこのプロセスを、さらに厄介なモグラ叩きゲームに例えている。
2026年に施行されたカリフォルニア州のDelete Act(削除法)は、州民がすべてのデータブローカーに一度に適用される単一のオプトアウト要求を行うことを認めている。プライバシー擁護派は、他の州もこのモデルを採用することを期待している。
カリフォルニア州外のユーザーには、IncogniやDeleteMeなどの自動データ削除サービスが加入者に代わってオプトアウト要求を提出し、数百のブローカーサイトをカバーする。セキュリティ専門家はまた、小売店と共有するデータを最小限に抑え、プライバシー重視のブラウザを使用し、定期的に信用報告書を監視することを推奨している。
出典: データブローカーがユーザーが注意していても個人情報を入手する方法に関するPCWorldの記事。 PCWorldで全文を読む
雅子 訳

