確定ボタンを押す前に、すでにあなたの個人情報は抜かれている
Image: Gizmodo US

確定ボタンを押す前に、すでにあなたの個人情報は抜かれている

お前はもう…死んでいるっ!

と言われてもおかしくないような事実が発覚しました。寝る前にこの記事を読んでいる人は要注意。そわそわして眠れなくなるかもしれないから。

アメリカでは「家を買おうかなぁ」とか、「今の家のローンの支払いを少なくした方がいいかなぁ」なんて思っているときにQuicken Loansの「mortgage calculator(ローン計算ツール)」を使っている人は多いですよね。

そのたびにサイトでは「手元に今いくら貯蓄があって」、「家の価値が今いくらほどなのか」、「あとどれくらいでそのローンを払い終えられるのか」みたいな質問をカジュアルに投げかけてくるわけです。まぁそうやってQuickenはもしあなたがローンをすると、月に具体的にどれくらいの金額を彼らに負うことになるのか教えてくれるわけなんですが。で、聞くんでよすぇ…そう、「名前」、「メールアドレス」、「電話番号」。

入力フォームにそれらの情報を入れつつ、「あ、やっぱりやめておこう」と、「確定」ボタンを押して規約に同意する前にサイトを閉じることってありますよね。まぁお金のことですから、もう少し検討してからにしようとか。慎重になるのも当然ですよ。

でもね…。はい! アウトォォー! 実はすでにあなたのメールアドレスと電話番号は「murdoog.com」というサーバーへ吸い上げられています。このサイトは匿名のサイト訪問者の情報を暴き、家の住所まで把握する機能を売りにしている「NaviStone」という会社によって運営されています。

Quickenのサイトに埋め込まれたNaviStoneのコードが、実はあなたが入力フォームに入れている個人情報を秘密裏に吸い上げているんです。しかも「確定」ボタンを押さなくてもですよ!? これは恐ろしい…。

サイトに潜むNaviStoneのコード

「Acurian Health」という治験者を見つけて来る会社がどうやってオンラインで健康状態に関する情報を検索する人たちを追跡しているのかという、最近の米ギズモードの調査の中で、AcurianだけでなくQuicken Loans、生涯教育センター、女性向けの大きいサイズを取り扱うショップ、その他小売業者のホスト側によって運営されているサイトの中でもこのNaviStoneのコードが見つかったのです。

JavaScriptを用いて、ユーザーが情報を入力している最中に情報が転送されているんです! そうやって彼ら企業は、たとえユーザーが心変わりをして送信するのをやめたときでも情報を得ることができていたわけです。

1 確定ボタンを押す前に、すでにあなたの個人情報は抜かれている?
Image: Gizmodo US

2 確定ボタンを押す前に、すでにあなたの個人情報は抜かれている?
Image: Gizmodo US
エンコードされて送られるデータはこんな感じ

3 確定ボタンを押す前に、すでにあなたの個人情報は抜かれている?
Image: Gizmodo US
デコードされたデータはこんな感じ

NaviStoneはオハイオ州のスタートアップ企業で、「顧客を招き入れ、今までは匿名だったサイト訪問者を郵便登録情報と住所の情報に変えてみせまっせー」と謳っています。しかもサイトを訪問してからたったの1日、2日のうちにポストカードすら送れるとまで豪語しているんです。「匿名のサイトトラフィックのうち60%〜70%は郵便登録情報と住所のマッチングが可能」だからだそうです。

Acruian Healthの調査の件で、ワシントン大学法学部のRyan Calo教授は、ユーザーが「確定」ボタンを押すか押さないかに関わらず情報を収集するというのは明らかに利用者の期待する結果に反する行為であると米ギズモードに言っています。

また、これは不公平性と詐欺行為に対して定められた連邦法違反でもあり、カリフォルニア州とマサチューセッツ州の詐欺交渉行為に対する法にも違反しているとも言っているのです。「いや、法廷ではマジで笑えないよ」と。

Builtwith.comによると現在少なくとも100サイトがこのNaviStoneのコードを利用しており、私たちもそれらのサイトで実際にコードが動作しているのを目撃しました。それらサイトのほとんどは訪問者のメールアドレスしか吸い上げていないようですが、一部のサイトでは住所と他の入力情報まで吸い上げているようなものもあります。

そして私たちが目を通した膨大な数のサイトのうち1件(Gardeners.com)のみ、サイト内で情報の取り扱いについて正直に明記したページが見つかりました。そこでは「あなたの入力する情報は、中断、注文申請の完了有無に関わらず収集されています」とご丁寧に書いてくれています。いや、それ、やめてねと言いたいのですがね。

そのほかのサイトの記述はどれも、クッキーやWebビーコンのような技術を使っている旨を記す一般的なポリシーのみです。特定の情報が吸い上げられるという仕様に関してはまったく書かれていません。

各社の回答

そこで米ギズモードはそれらのサイトに「なぜこんなことをしているのか」、「どのようにこれら集めた情報を使っているのか」を確認するため、複数の問い合わせを送りつけてみました。うち2件から返信があったんですが、Quicken Loansからは返信がありません。

そのうちの1件、教育向けの旅行を手配している非営利の会社Road Scholarからは「弊社に問い合わせを送り興味を示してくれていて、すでに我々の顧客連絡リストに載っている顧客へ再度連絡して関係を始めるため」にNaviStoneのコードをサイトに埋め込んでいるとの回答が得られました。

もう1件は家庭用品を取り扱う会社Wayfair。ここは運営している衣服のサイトJoss & Mainにコードを埋め込んでメールアドレスを収集しているところです。ちなみに担当はこう言っています。「全てのチャネルの責任あるマーケティング行為において最高基準を維持していることを約束しています(ドヤ)」と。いや、回答になっていませんよ…。念のため言っておきますね。ここ、NaviStoneのコードを用いてメールアドレスを収集している会社です。

続けて「正式に確定ボタンを押してサイトにメールアドレスを提供していないユーザーへ我々はメールを送信していません。」とも担当のSusan Frechetteさんは言っています。えーっと、もう一度言います。NaviStoneのコードを用いてメールアドレスを収集している会社です。「NaviStoneさんとは、弊社の紙広告(郵便を通す)プログラムをサポートしてもらうために協働させてもらっています」とのこと。

ちなみにメールアドレスは今や、電話番号や社会保障番号(ソーシャルセキュリティナンバー)と同じく、ほかの重要な情報に紐付く個人識別情報にもなっています。なので「じゃあ要は個人と自宅住所を特定して、彼らに広告を送るためにメールアドレスを収集しているんですね? 」と直球で聞いてみたようですが、Frechetteさんはそれ以上のコメントを控え、NaviStoneへ訪ねてくれと言われていましたよ。らちがあかねぇ…。

NaviStoneのCOOへ聞いてみた

NaviStoneの方は、どうやって匿名サイト訪問者の情報を明らかにしているのかを公開することに乗り気ではありません。この技術が現在専売特許として認可が降りるのを待っている状態だと言っています。そんなのどうでもいいんですけどね。ただ、ここでNaviStoneのCOOのAllen Abbottさんからメールをもらうことができました。

NaviStoneはユーザーの郵便番号やその他の個人情報を紐付けるような形でメールアドレスを使用するということはありません」と。あくまで彼らの使命は、クライアントができるだけ各顧客に合わせた紙広告が送れるよう手助けをしているだけだと言っているのです。

「広告手段としてのコミュニケーションを生むためにメールアドレスを使うというよりも、広告を送る際の抑制因子としてメールアドレスを使っているだけですよ。例えば入力フォームにメールアドレスを入力するということは、その人は自宅へ広告を送られるよりも、メールで受け取りたいという意思表示ですからね。」とAbbottさん。(そんな解釈ありかい! )

実験

ちなみに確定ボタンを押す前から情報の監視をしていることでよく知られている会社がありますね。それがFacebookです。Facebookは、ユーザーが自分のステータス上で投稿をしようとして途中でやめた内容も参考にしているそうです。しかし、今回のケースはそのレベルを超えていますよねぇ。多くの場合、NaviStoneのコードを使っている会社っていうのは、もともと顧客と関係があったわけではないにも関わらず、彼ら顧客が最終的に提供しないと決めた個人情報を収集していたのですから。

そこで米ギズモードはサイト上でオンラインショッピングをするふりをして、どのようにこのコードが動作するのかテストしてみました。そのとき購入を確定する前にサイトを離脱してみたら…案の定3つのサイト(Rockler.com、CollectionsEtc.com、BostonProper.com)が、米ギズモードのカートに入れて買おうとしていた製品に関してメールを送ってきたのです! そのメールアドレスは彼らが入力フォームで記入したものでした。もちろん確定ボタンは押していません。米ギズモードスタッフはメールアドレスがNaviStoneへ送られるまさにその瞬間をとらえているわけですが、会社はそれはメールの件とは関係がないと言うのです。

どうやら今やビジネスは消費者が匿名でネットサーフィンする能力を奪うためになんでもするような時代になってしまったんですね。それがたとえプライバシーの侵害になったとしてもね。そしてネット上では自分の開示情報をコントロールできていると思っている私たちのこれまでの感覚というものが、実は幻想に過ぎなかったということです。「確定」ボタンなんてものも、もはやあってないようなもの。なんならいっそのこと「送る? あ、でももうもらっちゃってまーす」表記のボタンにしてほしいくらい…。

ただ一点得るものがあったのは、米ギズモードの報告により、NaviStoneは今後このような形でユーザーからメールアドレスを収集することはしないと言ってくれたということです。

Abbottさんは「我々の技術は適切な用途で使われてきていたと信じている一方で、確定ボタンを押す前にメールアドレスが転送されてしまうというシステムの運用には変更を加えることを決めました」とメールで書いてくれています。「いや、前半部分! ここまできてまだ認めないのかい…」と歯ぎしりが止まらない自分を抑えつつ、今後の変更に期待。

とは言うものの、訪れたサイトを信じることができないようであれば、代わりにChromeのアドオンツール「uBlock Origin」を利用してみるといいでしょう。今回のケースのように、見えないトラップがあなたのブラウザ上のデータに介入してくることを防いでくれます。

いやぁ、もう怖くて今晩寝れなくなりそう…。

Image: Gizmodo US
Reference: SSRN, Legal Information Institute, uBlock Origin

Kashmir Hill and Surya Mattu - Gizmodo US [原文
(Doga)

    あわせて読みたい

    powered by