世界を動かす技術を、日本語で。

データブローカーがCBPとICEにフライト情報を販売している

2025年7月15日原文(eff.org)

概要

  • データブローカー が個人情報を秘密裏に売買する現状
  • 航空会社 が旅行者データを政府機関に提供
  • プライバシー侵害 と法的抜け穴の問題
  • 監視社会化 への懸念
  • 法整備 と規制強化の必要性

データブローカーと航空会社による個人情報売買の実態

  • データブローカー は長年、プライバシー法の隙間を利用し、個人情報を収集・売買

  • 利用者の同意や認識なし に、動向データが民間・政府機関へ販売

  • 収集された情報は 法執行機関や諜報機関 など多岐に渡る顧客へ提供

  • 利益追求 のため、企業が収集したあらゆる個人データが市場で取引対象

  • 404 Mediaの調査 により、Airlines Reporting Corporation(ARC)が米国税関・国境警備局(CBP)へ旅行者データを販売していた事実が判明

    • ARCは United AirlinesやAmerican Airlines など米大手航空会社8社以上が運営
    • 旅行者の 氏名、フライト行程、財務情報 まで提供
    • 情報源を秘匿 することで、政府は情報取得の出所を隠蔽
  • 政府は 令状なしで情報収集 し、第四修正条項を回避

  • ARCのTravel Intelligence Program (TIP) は39ヶ月分・10億件超の旅行データを集約

  • CBPは治安維持の理由 を主張するが、監視網拡大による無実の旅行者への影響が懸念

    • 世界の54%以上のフライト情報 がARC経由で管理
    • ARCの取締役会には JetBlue, Delta, Lufthansa, Air France, Air Canada なども参加
  • ICE(移民・関税執行局) もARCから個人データを購入

  • 政府による 国籍・宗教・政治的立場 に基づく監視強化への懸念

データブローカーがもたらす広範なプライバシー侵害

  • スマートフォンの位置情報 が警察へ販売
  • インターネット基幹データ が連邦諜報機関へ流出
  • 公共料金データ(電話・水道・電気) もICEへ提供
  • 移民当局による 恣意的な国境検問 や監視の強化
  • 本人の同意や認識なし に進むデータ抽出と監視社会化

プライバシー保護強化に向けた提言

  • 「プライバシーファースト」法制化 による企業のデータ取扱い制限
  • 「Fourth Amendment is Not For Sale」法案 による警察のデータ購入規制
  • データブローカー登録法 の厳格な施行
  • 個人の プライバシー権保護 と監視社会化防止のための法整備推進

Hackerたちの意見

ブローカーが売ってるデータの量と範囲は、マジで驚異的だよ。どれだけひどいと思っても、その10倍はあると思っていい。

一般的に言って、HNの人たちはこの業界を全然理解してないと思う。理解の方向性を変える必要があるんじゃないかな、規模じゃなくて。基本的なハッカーニュースの人たちは、例えばGoogleがあなたの個人情報を売ってると思ってるけど、他の業界と比べるとテック業界はほぼ密閉されてる。誰かが電話をかけて、好きなフォーマットで、必要なデータを狙い撃ちで注文するのはずっと可能だった。例えば、地元のエルム通り400ブロックに住む35歳の歯医者のクレジットカードの明細?その日のうちに手に入るよ。

さらに、彼らは文字通りあなたのデータを利益のために売ってるビジネスをしてるんだ。だから、データを売ってることに驚くことはないよね…。

この分野で働いてるけど、1000倍って感じかな。

ここでの疑問は、ブローカーたちはどうやってデータを手に入れてるのかってこと。ブローカーから高値で買う人たちが、元のソースから直接入手するのは簡単じゃないの?それに、データがどこかで入手可能なら、実際に問題なのはブローカーじゃなくて、最初にそれを簡単に売る人たちだと思う。

同僚が「できるって言ったでしょ、友達!」ってテキストが入ったバナー広告を作って、個人をターゲットにして証明したんだ。一般の人たちは、広告提供者やデータブローカーが自分たちについてどれだけ知っているか全然わかってないよ。

2014年頃、リクルーターと一緒に働いていたんだけど、LinkedInやYelp、Twitter、GitHub、Eventbriteなどからデータを集約するツールを持っていたんだ。誰についてでも得られる情報の量には驚かされたよ。もう10年以上前の話だけどね。パランティアの助けを借りて、政府はもっと多くのデータを持っていて、スタイルメトリーに基づいてRedditの投稿をリンクさせたり、心理分析を行ったりできるんじゃないかな。

2ヶ月前はあんまり話題になってなかったね(43+7ポイント、2+3コメント) https://news.ycombinator.com/item?id=43949975 https://news.ycombinator.com/item?id=43952971

データ市場が一般の目からこんなに隠れてるなんて、ほんとに驚きだよ。大企業が毎日データを掘り出して取引してるのに、データマーケットプレイスがまだ存在しないなんて信じられない。特に「分散化」についての騒ぎがあるのにね(ああ、分かってるよ、クリプトの宣伝マンたち)。私はこれをビジネスモデルとして何年も提唱してきたんだ。さらに、行動モデルを使ったオープンな形で実現してほしいな。そうなったら、業界の常識がひっくり返ると思う。人々が企業にお金を請求する時代が来るかもしれないのに、ただの製品扱いされるなんて…。

これは実際面白いかもしれない。過去のひどいデータブローカーのケースでは、違反者はEUにビジネスがなかったから、20Mの罰金を何度も受けても笑ってた(例えばClearview)。あるいは、プライバシー違反から得る利益が売上の4%を超えてたから、罰金をリスクとして受け入れられた。でもここでは、データの管理者が航空会社で、データブローカーへの転送が違法かもしれない。航空会社はGDPR違反をするには最悪の企業だよ。グローバルな収益は多いけど、利益率は薄いし、その利益のほとんどはデータの悪用から来てないから、GDPRの罰金を軽視することはできない。EU内で連絡が取れるし、最悪の場合、加盟国が彼らの飛行機を地面に留めて押収することもできる。EUに飛ぶことを禁止するために、他の着陸する飛行機を押収すると脅すこともできるしね。ああ、ドイツは債務を回収するために飛行機を押収するよ: https://www.reuters.com/article/world/thai-prince-to-pay-bon...

[遅延]

この話のリードは、データブローカーがこのデータを売ってることなのか、それとも購入者がICE/CBPってことなの?

Hacker Newsで議論の続きを見る