ソーシャルメディアだけじゃない。こんなところでも個人情報は売買されている。

米国最大の財務データブローカー、Yodleeは、米国人数百万人分の膨大な銀行データやクレジットカードの取引履歴データを匿名化して持っている...はずでした。しかしMotherboardが手に入れた内部書類によると、Yodleeの顧客は巨大なテキストファイルをダウンロードして中をちょっと探れば、匿名化を無効にできてしまうのだそうです。

データがなぜかテキスト形式

Motherboardによりますと、2019年の内部書類は、Yodleeがいかにして銀行やクレジットカード会社などのパートナー企業からデータを集めているかを説明していました。データには銀行やクレジットカード所有者と関連づけられた識別子、取引回数、購入日時、取引が行われた店、その他のメタデータなどが含まれていたそうです。また、デリバリーアプリを通したレストランへのオーダーなど、複数の小売業者が関わったデータもあり、書類によると、Yodleeの顧客がこのデータにアクセスする場合、Yodleeが運営するインターフェースではなく、大きなテキストファイルをダウンロードする形になるというのです。

不完全なデータクリーニング

また書類は、Yodleeがそのテキストファイルに行う｢データクリーニング｣の仕組みを説明しています。これはアカウント番号、電話番号、社会保障番号などを｢XXX｣の文字で隠すことをさします。同時に、クリーニングは財務取引データや給与、銀行やクレジットカード会社の名前も隠すようにできています。

しかし、クリーニングではアカウント毎に割り当てられた識別子をそのまま残してしまうのです。匿名化されたデータでも、リバースエンジニアリングで個人を特定するのは、例え共通の情報がなくても、意外に簡単なことは何度も研究で指摘されています。

特定の人間が何かを購入した情報が確認できれば、同じ識別子を使って他の取引データも非匿名化できる、と専門家たちはMotherboardに語っています。

例えば、3つか4つの購入履歴に関して、場所と時間を割り出すことができれば、｢アタッカーは高確率でアカウントを非匿名化できます｣とラトガース大学の准教授であるVivek Singh氏はMotherboardに答えました。｢そして非匿名化することで、その個人の他の取引データも手にすることができるでしょう。｣

インペリアル・カレッジ・ロンドンの准教授であるYves-Alexandre de Montjoye氏は、2015年にSingh氏と共同で、｢メタデータを元に購入者を割り出す｣という研究論文を執筆しました。彼によると、Yodleeのクリーニングはデータを仮名に書き換えるだけなので、｢データセットを手にしたら、あとは貴方がいつ、どの店で購入したかが分かれば、貴方のデータを特定できるでしょう｣と語っています。

既に追求は始まっている

Yodleeとその親会社のEnvestnetは上院から激しい追求を受けており、民主党議員のRod Wyden氏とSherrod Brown氏、そしてAnna Eshoo下院議員は連邦取引委員会（FTC）に、こういった財務データの売買が違法にあたるかを調査するよう依頼する手紙を送りました。

｢Envestnetは、個人の財務データの匿名化によって消費者のプライバシーは守られていると言いますが、研究者たちは何年にも渡って、匿名化されていると言われるデータが誰のものか、3つ、4つ程度の情報を元に割り出すことができていました｣と手紙にはあります。

｢消費者は、Envestnetが彼らの情報をどれだけ危険に晒しているか理解していません｣とも記し、彼らの懸念は、Envestnetが銀行やクレジットカード会社に対し、こういったことが行われているのを消費者に告知するよう義務付けていないことでもあると伝えました（Motherboardも指摘していますが、Yodleeは証券取引委員会への2015年の申請時も、顧客がデータをどう利用するか確認していないと認めています）。

YodleeがMotherboardに送りつけた長い声明によると、Yodleeは同社の行動を擁護し、全ての法に乗っ取った運営を行なっていると主張。また、Yodleeは｢消費者の個人情報を保護するため、技術面、運営面、契約面で防御策をとっています。例えば、データを元に個人を割り出せないよう、分析や識別を禁止しています｣と説明し、｢Envestnet | Yodleeのデータアナリティクスが、匿名化プロセスの業界スタンダードと同水準、またはそれを超えている｣と｢著名プライバシー専門家たち｣からお墨付きをもらっているそうです。