メタデータは、いたるところに存在している。あらゆるツイート、撮影されたすべての写真、Facebookに投稿される近況報告などだ。

これらに含まれるメタデータは、身元や所在地を隠そうとする人を見つけ出すために、警察や軍隊に使われる。自撮り写真に関連づけされたメタデータは、データがアリバイを崩せることに気づかない犯罪者の確保にもつながる。

実際、Twitterのメタデータが非常に正確な身元確認に使えることが、新しい論文［PDFファイル］で明らかになった。あなたは自分のツイートの匿名が守られると思っているかもしれないが、実はツイートした本人の身元を非常に正確に特定できることが判明したのだ。必要なことは、ただメタデータを見るだけである。

論文は、ユニヴァーシティ・カレッジ・ロンドンと、ビッグデータの専門機関である英アラン・チューリング研究所の研究チームが発表した。科学者はツイートに関連づけられたメタデータを使用し、10,000人のTwitterユーザーの身元を96.7パーセントの精度で特定した。メタデータを60パーセントまで不明瞭にしたときでさえ、95パーセント以上の精度で1人の人間をピンポイントで識別できたのだ。

「メタデータに隠された内容は、ツイートそのものに比べてずっと大きいのです」と、キプロス工科大学の博士課程の学生であるサッヴァス・ザネトゥは言う。「データはオンライン上にあるので身元確認に使われる危険性はないのだと、人々は勘違いしています」と、論文の共同執筆者でユニヴァーシティ・カレッジ・ロンドンの博士課程に在籍するビアトリス・ペレスは補足する。

まともな考えをもった人なら、知らない人に路上で住所を聞かれても、教えたりはしないだろう。しかし「寝室のライトを何回つけたり消したりするのか」は教えるかもしれない。

「これがメタデータの考え方です」とペレスは話す。「人々は、たいしたことではないと考えます。しかし、別の情報の断片とつなぎ合わせると、あなたが帰宅しているかどうかわかってしまうのです」

彼の推測によれば、ほとんどのTwitterユーザーは次のような重要なことを知らないのだという。Twitterには144種のメタデータが保存されていて、それらはAPI（アプリケーションプログラミングインターフェース）を通じて外部からアクセスできるのだ。

研究者は500万のTwitterユーザーのツイートから14種のメタデータを抽出し、それらを3つの異なる機械学習アルゴリズムで分析した。メタデータには、アカウントがつくられた時間、ツイートが投稿された時間、お気に入りやフォロワー、フォローの数が含まれる。

研究者たちによると、個人を特定するうえで最も精度が高く効果的だったのは、特に基本的な機械学習アルゴリズムのひとつだったという。つまり、ほんのわずかなメタデータを利用することで、ほぼ正確に個人を特定できるという事実を示している。

GDPR施行で状況は変わるか

ペレスによると、ソーシャルネットワークによって集められたデータを匿名化することが答えではない。「データセットを匿名にするのは非常に難しいのです」と、ペレスは言う。ひとつかそれ以上のデータセットを使って“三角測量”をするのは簡単で、個人の特定につながる情報を削除しようとする試みを無効化することがある。

これに対してペレスたちは、Twitterからのデータセットを難読化することによって、匿名化が可能であることを証明した。具体的には、システムが個人を正確に特定しづらくなるように、フィールドの一部を削除したのだ。

「ぼかされていないデータポイントがいくつかあったとしても、それは簡単でした」とペレスは言う。個人の特定率はおおむね安定していたが、固有のデータ要素が削除されることで、個人の識別ができなくなったのである。

一連の状況は、EUで今年5月下旬に施行された一般データ保護規則（GDPR）によって改善する可能性が高い。「メタデータに関連する監視の目は、これから強まっていくことでしょう」と、データ保護コンサルタントのパット・ワルシュは説明する。

GDPRの第25条では、「データ保護を設計段階から初期設定とすること」を求めている。この規定はデータの最小化とも呼ばれ、企業がタスクを実行するうえで必要最小限のデータだけを処理するよう要求している。

しかし問題は、わたしたちを識別する大量の情報を企業が保有できる状態が正しいかどうか、ではない。もっと大きな問題は、平均的なユーザーが自分のプライヴァシーを第一に考えるかどうか、であろう。

「確かに一般のユーザーは気にすべきですね」と、ザネトゥは言う。「しかし、それについては懐疑的だと思います」