スペインとオーストラリアの学者とコンピュータ-科学者のチームによって執筆された最新の研究論文で、Facebook(フェイスブック)のプラットフォームがユーザーに割り当てる関心事項について十分に認識していれば、Facebookのターゲットツール使用して、特定の個人のみに排他的に広告を配信できることが実証された。
「Unique on Facebook:Formulation and Evidence of (Nano)targeting Individual Users with non-PII Data(Facebook上での一意性:非個人データによる個人ユーザーのナノターゲティングの定式化と証拠)」と題するこの論文では、Facebookのプラットフォームによってユーザーに割り当てられた趣味・関心事に基づいて、ユーザーを一意に識別できる可能性を示すメトリックを定義する「データ駆動モデル」が説明されている。
研究者たちは、Facebookのアドマネージャーツールを使用して、意図した特定のFacebookユーザーのみに届くように多数の広告をターゲット配信することができることを実証した。
この研究では、Facebookの広告ターゲットツールが有害な目的に利用される可能性について、新たな疑問を投げかけている。さらには、Facebookがユーザーについて収集している情報を使用して個人を特定できる、つまり、ユーザーの趣味や関心のみに基づいてFacebook上の膨大なユーザーから1人を選び出すことができるという状況を踏まえ、Facebookの個人データ処理帝国の合法性についても疑問を呈している。
この研究結果により、行動ターゲティング広告の禁止または段階的廃止を求める議員に対する圧力が強まる可能性がある。行動ターゲティング広告は、個人的にも社会的にも害を及ぼす可能性があるため、何年にも渡って非難の対象になってきた。少なくとも今回の論文によって、こうした侵襲的なツールの使用方法について確固とした抑制と均衡を求める声が高まりそうだ。
また、この研究では、こうした独立系の研究機関でもアルゴリズムを利用したアドテックを調査できることの重要性も浮き彫りになっており、研究者のアクセスを遮断しないように求める対Facebookの圧力も強まるに違いない。
Facebookの関心は個人データ
「私たちのモデルで検証した結果、Facebookによってあるユーザーに割り当てられた関心事集合のうち4つの大変珍しい関心事または22のランダムな関心事によって90%以上の可能性でそのユーザーをFacebook上で一意に特定できることが明らかになりました」とマドリード大学Carlos III、オーストラリアのGraz University of Technology(グラーツ工科大学)、スペインのIT企業GTD System & Software Engineering(GTDシステム&ソフトウェアエンジニアリング)の研究者は書いている。これにより、1つの重要な事実がわかる。つまり、Facebookが認識している珍しい関心事または多くの関心事を持つ個人は、Facebook上で、数十億人という膨大なユーザーの中からでも容易に特定できるということだ。
「この論文は、私たちの知るかぎりでは、世界規模のユーザーベースを考慮した上で個人の一意性について調査した最初の研究です」と彼らは続け、28億人のアクティブなユーザーに対するデータマイニングというFacebook固有のスケールについて言及した(注:Facebookはユーザー以外の情報も処理している。つまり、Facebook上でアクティブなインターネットユーザーよりもさらに広範なスケールの人たちにリーチしている)。
研究者たちは、今回の論文は「Facebookの広告プラットフォームを体系的に悪用してインターネット上の非個人識別情報データに基づくナノターゲティングを実装できる可能性」について最初の証拠を提示するものであることを示唆している。
Facebookの広告プラットフォームが、1対1で相手を巧みに操るためのパイプの役割を果たしていることについては早くから論争が繰り広げられてきた。例えば2019年のDaily Dotの記事には、性生活に不満を抱えている夫に、妻やガールフレンドを心理的に操作するサービスを販売していたSpinner(スピナー)という会社の例が紹介されている。挑発的で無意識に相手を操作する広告がターゲットのFacebookやインスタグラムのフィードにポップアップ表示されるというものだ。
今回の研究論文では、2017年に起こった英国の政治生命に関する事例にも言及している。労働党の選挙運動の最高責任者がFacebookのカスタムオーディエンス広告ターゲティングツールを利用して、党首のJeremy Corbyn(ジェレミー・コービン)氏をだますことに成功したのだ。ただし、このケースでは、ターゲットになったのはコービン氏だけではなかった。彼の同僚や彼と同じ考えの数人のジャーナリストにも広告が送られた。
今回の研究チームは、Facebookのアドマネージャーツールを利用すれば、特定の1人のFacebookユーザーに広告を送ることができることを実証している。彼らはこのプロセスを「ナノターゲティング」と呼んでいる(現在のアドテックで「標準的」な「インターネットベース」の広告をユーザーグループに送るマイクロターゲティングとは異なる)。
「本稿では、21のFacebook広告キャンペーンによって実験を実施することで、広告主がユーザーの関心事を十分に認識していれば、Facebook広告プラットフォームを体系的に悪用して特定のユーザーに排他的に広告を配信できることを論文の3人の執筆者が証明する」と論文には書かれており、この論文は「ターゲットユーザーの関心事のランダム集合を認識するだけで、Facebook上に1対1のナノターゲティングを体系的に実装できる」という「最初の経験的証拠」を提示するものだとしている。
彼らが分析に使用した関心事データは、彼らが作成し、2017年1月以前にユーザーによってインストールされたブラウザ拡張機能を介して、2390人のFacebookユーザーから収集されたものだ。
この拡張機能はData Valuation Tool for Facebook Users(Facebookユーザー向けのデータ評価ツール)と呼ばれ、各ユーザーのFacebook広告設定ページを解析して、ユーザーに割り当てられた趣味や関心を収集すると同時に、Facebookのブラウジング中にそのユーザーに配信される広告によってFacebookにもたらされる利益のリアルタイムの推測値を計算する。
関心事データは2017年以前に収集されたものの、Facebookの広告プラットフォームを介して1対1のターゲティングが可能かどうかをテストする研究者たちの実験は2020年実施された。
「具体的には、この論文の3人の執筆者たちをターゲットとするナノターゲティング広告キャペーンを設定しました」と彼らはテスト結果について説明する。「私たちは、Facebookが各ターゲット執筆者に割り当てた関心事のリストから5、7、9、12、18、20、22個をランダムに選択したものを使用して各執筆者向けにオーディエンスを作成することで、データ駆動型モデルが実際に機能するかどうかをテストしました」。
「2020年の10月から11月の間に合計21回の広告キャンペーンを実施して、ナノターゲティングが現在実現可能であることを実証しました。実験でモデルの実施結果を評価したところ、攻撃者があるユーザーについて18個以上のランダムな関心事を認識していれば、そのユーザーに対して非常に高い確率でナノターゲティングを実行できることが分かりました。実験で18個以上の関心事を使用した9つのうち8つの広告キャンペーンで、当該ユーザーのナノターゲティングに成功しました」。
したがって、Facebookに18個以上のあなたの関心事が登録されている場合、あなたを巧みに操ることを目論んでいる人物にとって、それらの関心事は極めて興味深いものになる。
ナノターゲティングは止められない
1対1のターゲティングを防ぐ1つの方法として、Facebookが最小オーディエンスサイズに厳しい制限を課す方法が考えられる。
今回の論文によると、Facebookは、キャンペーンのオーディエンスサイズが1000人を超える(以前は21人以上だったが2018年にFacebookが制限値を上げた)可能性がある場合、アドキャンペーンマネージャーツールを使用して「Potential Reach(潜在的リーチ)」値を広告主に提示しているという。
しかし、Facebookは、実際には、この潜在的リーチよりも少ないユーザーをターゲットとするキャンペーンを広告主が実施することを禁止していない。ただ、メーッセージがリーチする人の数が極めて少ないことを広告主に知らせないだけだ。
研究者たちは、複数のキャンペーンで、1人のFacebookユーザーに無事広告が届いたことによってこの事実を実証することができた。その結果、広告のオーディエンスサイズはFacebookの広告レポート生成ツールによって生成されたデータを参照したものであること(「Facebookにより1人のユーザーだけにリーチしたことが報告された」)、ウェブサーバー上にユーザーが広告をクリックすることによってのみ生成されるログ記録が存在することによって確認された。さらには、ナノターゲティングの対象ユーザーに広告とそれに付随する「この広告が表示されている理由」オプションのスナップショットを取得してもらった。このオプションの値は、ナノターゲティングに成功したケースのターゲティングパラメーターに一致していたという。
実験結果のサマリーには次のように追記されている。「本実験から得られた主な結論は次のとおりである。(i)攻撃者がターゲットユーザーから18個以上の関心事を推測できる場合、Facebook上の特定の1人のユーザーをナノターゲティングできる可能性は非常に高い。(ii)ナノターゲティングは非常に低コストで実現できる。(iii)本実験によると、ナノターゲット広告の3分の2は有効キャンペーン期間中7時間以内にターゲットユーザーに配信されると予想される」。
ナノターゲティングの防止対策について議論されているこの論文の別のセクションでは、Facebookが課しているとされるオーディエンスサイズの制限は「まったくの無効であることが判明した」と主張しており、20人というオーディエンスサイズ制限は「現在適用されていない」と断言している。
また、Facebookがカスタムオーディエンス(広告主がPIIをアップロードできる別のターゲティングツール)に適用しているという100人制限の回避策も提示されている。
以下論文より抜粋する。
広告主による極めて少数のオーディエンスをターゲットとする広告の配信を防ぐためにFacebookが実装している最も重要な対策は、オーディエンスを形成するユーザーの最小数に制限を課すというものだ。しかし、この制限はまったくの無効であることが判明した。本論文の結果に動機付けられたFacebookは、アドキャンペーンマネージャーを使用して20人を下回るサイズのオーディエンスを設定することを禁止した。我々の調査では、この制限は現在適用されていない。その一方でFacebookは、最小カスタムオーディエンスサイズを100人とする制限を課している。セクション7.2.2で説明するとおり、この制限を回避して、カスタムオーディエンスを使用してナノターゲティングによる広告キャンペーンを実装するさまざまな方法が文献で紹介されている。
この論文では、全体を通して、インターネットベースのデータを「非個人識別情報(non-PII:Personally Identifiable Information)」と呼んでいるが、このような枠組みは欧州の法律のもとでは無意味であることを忘れてはならない。欧州では、一般データ保護規則(GDPR)のもとで、個人データについて非常に広い見方をしているからだ。
PIIという言葉は米国でのほうがより一般的だ。米国では、欧州のGDPRに相当する包括的な(連邦)プライバシー法というものがないからだ。
アドテック企業もPIIという言葉を使いたがる。ただし、それはずっと限定されたカテゴリでの話だ。アドテック企業が実際に処理するすべてのデータ(個人を識別およびプロファイリングして広告を配信するために使用できるデータ)という意味ではない。
GDPRのもとでは、個人データとは個人の名前やメールアドレス(つまり、PII)などの明白な識別子だけでではなく、個人を特定するために間接的に使用できる情報(居場所や関心事など)も含まれる。
以下に、GDPR(第4(1)項)の関連部分を抜粋する(強調部分はTechCrunchによる)。
「個人データ」とは、識別されている、または識別可能な自然人(データ主体)に関する任意の情報を指す。識別可能な自然人とは、特に、名前、識別番号、場所データ、オンライン識別子などの識別子、またはその人の身体的、生理的、遺伝的、精神的、経済的、文化的なアイデンティティに固有の1つ以上の要素を参照することで、直接または間接に識別可能な自然人のことである。
他の研究でも数十年に渡って繰り返し示されていることだが、個人は、クレジットカードメタデータやNetflixの視聴習慣など、わずかな「非個人識別情報」があれば再特定できる。
膨大な数の人たちをプロファイリングし広告のターゲットにするFacebookは、継続的かつ広範囲にインターネットユーザーの行動をマイニングして関心事ベースのシグナル(つまり、個人データ)を収集し、個人プロファイリングを行って各個人に合わせた広告を配信する。そのFacebook帝国が、世界中のほとんど誰でも巧みに操作できる(ただし、相手について十分な知識があり、その相手がFacebookのアカウントを持っていることが条件)可能性のある攻撃ベクトルを作り出したとしても何も驚くには当たらない。
しかし、それが法的に問題のないことであるとは限らない。
実際、人々の個人データを処理して広告ターゲティングを行ってもよいというFacebookの主張の法的根拠は、EUで長年に渡って問題とされてきた。
広告ターゲティングの法的根拠
Facebookは以前、ユーザーは自身の個人データが広告ターゲティングに使われることについて同意していると主張していた。しかし、Facebookは、行動ターゲティングのためにプロファイリングされることを承諾するのか、ただ友人や家族とつながりたいだけなのかのどちらかをユーザーに選択してもらう際に、見返りを求めず、具体的で、明確な情報に基づいて選択できるようにしていない(ちなみに、見返りを求めず、具体的で、明確な情報に基づく同意というのは、同意についてのGDPRの基本的なスタンスだ)。
Facebookを使うには、自分の情報が広告ターゲティングに使用されることを承諾する必要がある。これは、EUのプライバシー運動家が「同意の強制」と呼ぶものだ。つまり、同意ではなく、強制だ。
しかし、2018年5月のGDPR施行以来、Facebookが合法的にヨーロッパ人の情報を処理できるのは欧州のユーザーが広告の受信についてFacebookと契約している状態だからだ、という主張に切り替えたようだ。
FacebookのEU規制当局として主導的立場にあるアイルランドのデータ保護委員会(DPC)によって今週始めに公開された仮決定では、こうした暗黙の主張変更は透明性に欠けるとして、Facebookに対し、3600万ドル(約40億9500万円)の罰金を課す提案をしている。
DPCは、Facebookの広告契約の主張には問題があるとは考えていないようだが、欧州の他の規制当局は問題があると考えており、アイルランドの仮決定に意義を唱える可能性が高い。この件に関するFacebookのGDPRに対する不満をめぐる規制当局側の調査は今後も続き、当分は終わりそうもない。
仮にFacebookがEUの法律を回避しているという最終判断が下った場合、Facebookはユーザーに対し、ユーザーの情報を広告ターゲティングに使用できるかどうかについて見返りを求めない選択肢をユーザーに与えることを強制されることになる。そうなると、Facebook帝国に存在の根幹に関わるような風穴をあけることになる。というのも、この研究でも強調しているとおり、(ターゲティング広告に利用せずに)保管しているだけの関心事データでも個人データになるからだ。
それでも、Facebookは、問題など存在しないと主張するいつもの常套手段を使っている。
今回の研究に対して回答した声明の中で、Facebookの広報担当はこの論文を「当社の広告システムの動作原理についての理解が間違っている」として一蹴している。
Facebookの声明では、この研究者たちの結論の核心部分から注意をそらして、彼らの研究結果の重要さを矮小化しようとしている。以下に、広報担当の言明を示す。
この研究は当社の広告システムの動作原理を間違って把握しています。広告ターゲティングに使用する特定の人に関連付けられた関心事のリストは、その人がそのリストを共有することを選択しないかぎり、広告主が見ることはできません。このリスト、つまり広告を見た人を特定する具体的な詳細情報がなければ、この研究者たちの手法を使って広告主が当社のルールを破ろうとしても無駄です。
Facebookからの反論に答えて、論文の執筆者の1人であるAngel Cuevas(アンヘル・クエバス)氏は、同社の議論を「残念だ」と表現し、問題がないなどと主張するのではなく、ナノターゲティングのリスクを防止するためのより強力な対策を実装すべきだとしている。
この論文では、ナノターゲティングにともなう数多くの有害なリスクが指摘されている。例えば心理的説得、ユーザーの操縦、脅迫などだ。
「驚くのは、ナノターゲティングが実現可能であり、対策は広告主がユーザーの関心事を推測できないと仮定することくらいしかないことをFacebook自身が暗黙に認識していることです」とクエバス氏はいう。
「広告主がユーザーの関心事を推測する方法はいくらでもあります。この論文でも、(ユーザーからは研究目的で行うという明示的な同意を得た上で)ブラウザのプラグインを使って実際に試してみました。それだけではありません。関心事の他にも、(今回の研究では試しませんでしたが)年齢、性別、都市、郵便番号などのパラメーターもあります」。
「これは残念なことです。Facebookのようなテック大手は、広告主がFacebookプラットフォームでのオーディエンスサイズを決めるために後で使用できるようユーザーの関心事を推測することなどできないという前提に頼らずとも、もっと強力な対応策を実現できるはずです」。
例えば2018年のCambridge AnalyticaによるFacebookデータの悪用スキャンダルを覚えているだろうか。Facebookのプラットフォームにアクセスした開発者が、クイズアプリを使って、気づかれることも同意を得ることもなく、数百万人のユーザーのデータを抽出することができたという事件だ。
つまり、クエバス氏のいうとおり、広告主 / 攻撃者 / エージェントが同じような不透明でずるいやり方を実装してFacebookユーザーの関心事データを取得し、特定の個人を巧みに操ることは決して難しくない。
論文の注には、ナノターゲティングの実験を行った数日後、テスト用キャンペーンに使用したアカウントがFacebookによって何の説明もなく閉鎖されたと記載されている。
Facebookからは(アカウントが閉鎖された理由も含め)論文に記載した具体的な質問に対する回答はなかった。だが、もしFacebookがナノターゲティングの問題を認識していたから閉鎖したのであれば、なぜそもそも特定の1人のユーザーをターゲットとする広告の配信を防ぐことができなかったのだろうか。
訴訟の増加
この研究結果は、Facebookの事業にどの程度広範囲な影響を及ぼすだろうか。
あるプライバシー研究者の話によると、この研究はもちろん訴訟に役立つという。欧州では、特にFacebook(広くはアドテック全般)に対するEU規制当局のプライバシー保護対策が遅々として進んでいないため、訴訟の数が増えている。
また別の研究者は、今回の研究結果は、Facebookが、個人データは処理していないと見せかけておきながら、実はユーザーの体系的な再特定化を大規模に行っていることを浮き彫りにしていると指摘する。つまり、Facebookは膨大な数のユーザーの膨大なデータを蓄積しており、個人情報の処理に制限を設ける程度の範囲の狭い法的規制など事実上回避できてしまうことを示唆している。
このため、行動ターゲティング広告がもたらす害を抑える有意義な制限を課そうとする規制当局は、Facebook独自のアルゴリズムが同社が保持する膨大なデータ内を検索して、その中からユーザーの代理人に相当するパラメーターを探し出して利用するという方法に気づく必要がある。また、同じような論法でFacebookのアルゴリズムによる処理は法的な制限を回避する可能性がある(例えばFacebookが慎重に扱うべき関心事の推測の問題で使った戦術)ことも認識しておく必要がある。
別のプライバシーウォッチャーで独立系の研究者でコンサルタントのDr Lukasz Olejnik(ウカシュ・オレジニク)博士は、今回の研究を驚くべきものだとし、過去10年間で最も重要なプライバシー研究結果のトップ10に入る内容だと説明する。
「28億人から1人を特定するのはとてつもないことです。Facebookプラットフォームは、そのようなマイクロターゲティングが行えないようにする予防策を講じていると主張しているにもかかわらず、です。この論文は、過去10年間で最も重要なプライバシー研究結果のトップ10に入ります」と語る。
「関心事は個人データに含まれるとするGDPR第4(1)項の意味する関心事によってユーザーを特定することができるようです。ただし、こうした処理をどのようにして大規模に実行するのかは明確に示されていませんが(ナノターゲティングのテストは3人のユーザーに対してのみ実行された点を指摘して)」。
オレジニク氏は、この研究はターゲティング広告が個人データ、そして「おそらくGDPR第9項の意味における特殊なカテゴリのデータにも」基づいて行われていることを示していると指摘する。
「これはつまり、適切な保護対策が行われていないかぎり、ユーザーの明示的な同意が必要であることを意味します。しかし、論文の内容から、私たちは、そうした対策は存在しているとしても不十分だという結論に達しました」と同氏は付け加えた。
今回の研究はFacebookがGDPR違反を犯していることを示していると思うかという質問に対し、オレジニク氏は「DPAは調査を行うべきです。その点は疑問の余地がありません」と話す。「技術的には難しい案件かもしれませんが、立件は2日もあればできるはずです」。
我々はこの研究結果をFacebookの欧州DPAで主導的立場にあるアイルランドDPCに知らせ、GDPR違反があるかどうかを判定するための調査を行うかどうか聞いてみたが、本記事の執筆時点では回答がなかった。
マイクロターゲティングの法的禁止に向けて
この論文によってマイクロターゲティングの法的禁止を肯定する論拠が補強されるかという質問に対し、オレジニク氏は、歯止めをかけることは「前進ではある」が、問題はその方法だと答えた。
「全面禁止にする場合、現在の業界および政治環境の対応準備ができているかどうかは分かりません。とはいえ、少なくとも、技術的な防止策は求めるべきです」と同氏はいう。「(Facebookによれば)すでに防止策は講じているということですが、(ナノターゲティングの件については)防止策は存在しないも同然のようです」。
オレジニク氏は、グーグルのプライバシーサンドボックス案に組み込まれているアイデアを一部利用すればすぐに変化が起こる可能性があると提案する。しかし、同案はアドテック各社が競争監視につながるとして不満を表明したため頓挫してしまっている。
マイクロターゲティングの禁止についてクエバス氏に意見を聞くと、次のように答えてくれた。「私の個人的な立場から言わせていただくと、我々はプライバシー保護のリスクと経済(求人、イノベーションなど)とのトレーオフについて理解する必要があるということです。私たちの研究によると、アドテック業界は、個人識別情報(メール、電話、住所など)について考えるだけでは不十分であり、オーディエンスの範囲を特定する(絞り込む)方法についてより厳しい対策を実装する必要があることは明らかです。
「その上で申し上げますが、私どもはマイクロターゲティング(少なくとも数万人規模のユーザーにオーディエンスを限定できる能力と考えます)を禁止することには反対です。マイクロターゲティングには重要な市場が存在しており、そこでは多くの仕事が生まれています。また、必ずしも悪いこととは限らない興味深いことが行われている極めて革新的な分野でもあります。ですから、マイクロターゲティングの潜在能力をある程度制限してユーザーのプライバシーを保護するというのが私どもの立場です」。
「プライバシーの分野で未だに解決されていない疑問は同意だと思います」と同氏はいう。「研究コミュニティとアドテックエコシステムは、(理想的には協力して)十分な説明を行った上での同意をユーザーから得るための効率的なソリューションを作成するために取り組みを進める必要があります」。
大局的な話をすると、欧州では、AI駆動形ツールの法的要件がおぼろげに見え始めたところだ。
EUでは
2021年初めに提案された人工知能の高リスクの応用を規制する法律が施行される予定だ。この法律では「人の意識を超えて作用する行動を大きくねじ曲げるためのサブリミナル技術で、その人または別の人に心理的または身体的な害を及ぼすかその可能性のある技術」を展開するAIシステムの全面禁止が提案されている。
そのため、Facebookのアドツールが脅迫や個人の心理的操作に利用されないようにするための適切な保護策を同社がまだ実施していない場合、FacebookのプラットフォームがEUの将来のAI規制のもとで禁止に直面するのかどうかを推測してみるのは少なくとも興味深い。
とはいえ、現時点では、Facebookのターゲティング帝国にとっては、相変わらずもうかるビジネスである。
クエバス氏にFacebookプラットフォームに対する今後の研究計画について尋ねると「次の研究で是非やりたいのは、関心事と他の人口統計情報を組み合わせることでナノターゲティングが『より容易になる』のかどうかという調査です」。
「というのは、広告主がユーザーの年齢、性別、都市(または郵便番号)といくつかの関心事を組み合わせてユーザーに対してナノターゲティングを実行できる可能性が非常に高いからです」と同氏はいう。「こうしたパラメーターをいくつ組み合わせる必要があるのかを知りたいのです。年齢、性別、住所と数個の関心事をユーザーから推測するほうが、数十の関心事を推測するよちもはるかに簡単です」。
このナノターゲティングの論文は2021年12月のACM Internet Measurement Conferenceでのプレゼンテーションとして受理されている。
画像クレジット:NurPhoto / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
