ハクソク

世界を動かす技術を、日本語で。

私たちは、オンラインで個人データを削除するのを難しくしている企業を追跡しました

285日前原文(themarkup.org)

概要

  • The MarkupCalMatters による調査で、データブローカーの多くが消去依頼ページを検索エンジンから隠している実態を発見。
  • カリフォルニア州法はデータ削除の手続きを義務付けているが、実際には消費者がページを見つけにくい状況。
  • 一部企業は指摘後にコードを修正したが、多くは応答せず。
  • 「ダークパターン」など消費者妨害となる設計が法違反の可能性。
  • 新法「Delete Act」で一括削除依頼が可能となる新システムが導入予定。

データブローカーの削除依頼ページ隠蔽問題

  • The MarkupCalMatters がカリフォルニア州登録の 499社 のデータブローカーWebサイトを調査。
  • 35社 が消去手順ページを検索エンジンから除外するコードを使用。
  • GoogleやBingなどの主要検索エンジンはこのコードを尊重し、検索結果からページを除外。
  • カリフォルニア州消費者プライバシー法(CCPA)で削除依頼が保証されているが、実際にはページ発見が困難。
  • 一部企業は指摘後にコードを削除、他は「スパム防止」などを理由に継続使用。
  • 24社はコメント要請に応じず、一部はその後こっそり修正。
  • 消去依頼ページが公式レジストリに記載されていても、実際は存在しない場合も確認。

消費者への影響とダークパターン

  • 消去依頼ページへのリンクを ホームページの最下部 や極小サイズで設置し、発見を困難にする事例。
  • ポップアップや複雑なプライバシーポリシーの中にリンクを埋め込むなど、 消費者の権利行使を妨げる設計
  • Consumer Reports の政策アナリスト Matthew Schwartz は「消費者が見つけにくくする巧妙な抜け道」と指摘。
  • カリフォルニアプライバシー保護局(CPPA)は「ダークパターン」として法違反の可能性を警告。
    • 過去には Todd SnyderHonda が違反で罰金・改善措置。

データブローカー業界の現状と法規制

  • CCPAは 売上2500万ドル超10万人以上のデータ を扱う企業に適用。
  • 連邦レベルで包括的なプライバシー法がないため、カリフォルニア法が重要な規制手段。
  • レジストリには StatSocialUpLead など、一般になじみの薄い企業も多数登録。
  • CalMattersは消費者向けに権利行使ガイドや第三者ツールの案内も公開。

新法「Delete Act」と今後の展望

  • カリフォルニア州議会は Delete Act を可決。
  • Delete Request and Opt-out Platform(DROP)」という新システムを導入予定。
    • 消費者は一度の申請で全データブローカーに対して削除・オプトアウト依頼が可能。
    • プライバシー保護局が2025年にサービス開始を目指す方針。

他業界の類似事例

  • 2019年、 TurboTax 運営会社が無料申告オプションを隠すコードを使用していた事例。
  • 2021年、病院が価格情報ページを検索エンジンから隠していたと Wall Street Journal が報道。

まとめ

  • データブローカーの多くが消費者の権利行使を妨げる設計や運用を実施。
  • 法律の「形だけの遵守」ではなく、実質的な 透明性アクセス性 の確保が求められる現状。
  • 新たな法整備とシステム導入で、消費者保護強化が今後の課題。

Hackerたちの意見

自分のOpenAIデータを削除しようとしてみて。忘れられる権利とか保護がある場所に住んでても、身分証明書のコピーをアップロードしないとリクエストを拒否されるんだよね。でも、そうするとそのデータを持たれちゃう。

EUに住んでるなら、GDPRリクエストの後に身分証明書の提示を求められることがあるけど、それは身分を偽ってる可能性がある場合だけだよ。Grouponがこれをやって、止めざるを得なくなったんだって。

それを実現する仕組みはないと思う。デフォルトでAIモデルがGDPRに違反してることになるんじゃないかな。間違ってるかもしれないけど、もしそうならAI企業にとって深刻な問題だよ。

「州に登録されている499のデータブローカーのウェブサイトを調べた結果、35社が特定のページが検索に表示されないようにするコードを持っていることがわかった。」思ったほど悪くないね。

そりゃそうだよ。スパムを送ってくる会社にGDPRの情報リクエストを出してるけど、ほとんど無視されるんだ。返信してくれるところは大体「あなたの個人データは削除しました」って言うけど、それじゃ全然足りない。自分についてどんな情報があるのか、どこで手に入れたのか、なんでスパムを送るのが許されると思ってるのか知りたいんだ。最近の違反者のプリントアウトを保管してるフォルダがあって、数週間の休暇を取ったら、小額訴訟を起こすつもり。

最近の違反者のプリントアウトを保管してるフォルダがあって、数週間の休暇を取ったら、小額訴訟を起こすつもり。神の仕事をして利益を得る珍しいケースだね!

えっと、アメリカで(疑わしい)企業に対して複数の小額訴訟を起こすつもりなの?がっかりする準備をしておいた方がいいよ。この場合、古い裁判所の目には損害の証拠がゼロだから。あなたが損害を受けた証拠がないからね。イライラするかもしれないけど、他人の行動によって物理的または金銭的なリスクはないよ。上の意見には反対だけど、今はコミュニケーションスパムが内在するリスクのある未来に生きてるからね。ただ、5年間にわたってドキュメントを見て、マツダが間違ったオイルを入れた件で小額訴訟に負けたことがある。書類をひっくり返して、項目を見たり過剰請求(22回もあった)を確認した後にわかったんだ。裁判官は「損害がない」として却下したけど、1週間後には3番目のシリンダーが壊れたよ。

データがすでにデータブローカーに売られてたら、データを削除する意味ってあるの?

マグショットの恐喝業者は、マグショットを削除するためにお金を請求して、その後、自分たちが所有する別のドメインに移すんだよね。

私的には、蛇口を閉めることにはまだ価値があると思う。特に、これからの自分を守るためにセキュリティやプライバシーの対策を強化したならね。数年前からVPNやファイアウォール、広告ブロッカー、プライバシー重視のブラウザを使うことに本気になったんだ。ここ8ヶ月から12ヶ月の間に、やっとその効果が出てきた気がする。広告はほとんど見ないし、見たとしても全然的外れなものばかり。定期的に削除するメールエイリアスを使うことで、特にパスワードや情報漏洩に関して大きな違いが出たよ。あとは、あのクソみたいな電話番号をなんとかしたい…スパムのテキストメッセージが終わらなくてうんざり。

カリフォルニアに住んでるなら、来年始まる新しいDROPプラットフォームを通じて削除リクエストができるよ。それが州内の登録されたデータブローカー全てに削除リクエストを送ることになるから、彼らは45日以内に対応しなきゃいけない。対応の一環として、過去にデータを共有したり売ったりした相手に削除通知を送ることも含まれてる。DROPリクエストに応じないと、1リクエストにつき1日200ドルの罰金が課せられるんだって。2028年からは、カリフォルニアの登録データブローカーは、削除リクエストに法の範囲内でしっかり対応しているか監査を受けることになる。今は実際のデータブローカーのうち、登録されてるのは20%くらいかもしれないけど、スタートとしてはいい感じ。ちょっと宣伝:データブローカーが本当に削除すべきデータを削除できるように、監査や会計を提供し、プライバシーリクエストの処理を自動化するプラットフォームを作ってるんだ:forgetmenaut.com

ちなみに、ヨーロッパ、イギリス、トルコでは、公式の欧州デジタル広告連盟のウェブサイトを使って、いくつかの広告プロバイダーからのプロファイリングをオプトアウトできるはずだよ。

そして大事なのは、自分のデータをエクスポートしたり所有したりするのを不可能にしたり、すごく難しくて面倒にすること。

なんか、ある企業は堂々とデータのエクスポートを一切認めないことがあるよね。例えば、Amazonのeero。あれ、高い割に全然機能しないWiFiルーターだし(本国に電話して、アプリをインストールしないと使えない)。約1年前に障害があった時、既存の広告ブロックも全部機能しなくなったんだよね。再起動しなくても、ローカルでブロックするはずなのに。特別なサブスクリプションを支払わない限り、広告ブロックもできないみたいだし。(クラウドがダウンしてる間に、支払い顧客かどうか確認できなかったから、ローカルの広告ブロック設定を消しちゃったのかな?)誰か、Amazonがeero製品のデータエクスポートを提供しない理由を知ってる人いる?BlinkやRingのエクスポートも見たことないし。メインのAmazon.comはエクスポートがあるけど、結構なデータを集めてるとは思えないけど、eero、Blink、Ringには対応してないんだよね。

うん、Googleでデータをエクスポートできるのは嬉しいけど、やるのがめっちゃ面倒だよね。

GDPRリクエストを隠そうと思ったわけじゃなくて、サポート/法務ボタンの裏に置いてたんだ。でも結局訴えられて、負けちゃった。今は「データを削除する」や「データをリクエストする」をメインの設定リストに入れなきゃいけなくなった。結果、リクエストが殺到してる。ボタンがあるからクリックする人が多いみたい。私にとっては大したことじゃないけど、リクエストは自動化してるからね。でも、これが行き過ぎた気はする。

ここにも別の悪党「VanceAI」がいるよ…削除ボタンでアカウントを削除しようとしても、何も起こらない。サイト上は完璧なのに、削除ボタンだけ壊れてる(リクエストがタイムアウトする)。でも、チケットを送れるよ。数日後に解決済みとして返事が来る。サイトに戻ると…あれ、まだ古いセッションでログインしてる。すると、メールアドレスが表示される: deleted_2544642405_blabla@gmail.com。単に「削除」とタイムスタンプを付けただけの偽の「削除」で、他のデータはそのまま残ってる。あ、削除ボタンもまだ直ってないし ;) 企業は本当にGDPRの重い罰金でしか学ばないみたい。

deletemeや似たようなサービスを使ったことある人いる?体験はどうだった?価値があったと思う?自動化すれば簡単にできそうな猫とネズミのゲームみたいだけど、効果があるかはわからないな。

私は(optery、deletemeじゃない)使ったことがあって、少なくとも一度は自分の情報を整理するために使うのはいいと思う。毎月支払うのは正当化できなかったけど、もし私が半重要な人だったら、価値があるかもね。年に1、2ヶ月だけでも。多くのブローカーは反応が遅くて、永遠にかかるか、実際には何も起こらないし、情報が戻ってくることもあるけど、私の情報が外に出てる量は確実に減ったと思う。

Incogniを数年使ってるけど、最初の年が終わった後、値段に見合う価値があるのかちょっと心配だった。でも、データブローカーが喜んで削除してくれるけど、ブロックリストには載せないってことに気づいた。つまり、また情報が来たら喜んで取り込むから、再度Incogniからのリクエストが必要になるってこと。Incogniが本当に価値を提供してるのかは微妙だけど、全体的には自分のデータの広がりを少し抑えてくれてると思う。

AIツールはトレーニングデータをスクレイピングする時にnoindexとか無視しがちだから、データ削除リクエストのフォームを見つけるのはAIのいい使い道かもね!

子供たちが自分のSnapchatアカウントを削除するのに苦労してる。