個人情報ブローカーの隠された「退会」機能が招いた2兆円超の被害

あなたの生年月日、住所、そして社会保障番号まで—これらの機密情報が知らないうちに売買され、詐欺師の手に渡っているとしたら、どう感じるでしょうか。

米議会の民主党議員らが発表した調査報告書によると、データブローカー企業4社に関連する大規模情報漏洩により、消費者が被った損失は209億ドル（約2兆9000億円）を超えることが明らかになりました。この驚愕の数字の背景には、企業が意図的に個人情報の削除手続きを見つけにくくしていた実態があります。

隠された「退会」ページの実態

調査のきっかけとなったのは、The MarkupとCalMattersによる共同報道でした。この報道により、複数のデータブローカー企業が「no index」というコードを使用し、Googleなどの検索エンジンから個人情報削除ページを意図的に隠していることが判明しました。

ニューハンプシャー州選出のマギー・ハッサン上院議員は昨年8月、5つの主要データブローカー企業—Comscore、Findem、IQVIA Digital、Telesign、6Sense Insights—に対して調査を開始しました。

各社の対応は大きく分かれました。Comscoreは2003年から存在していた「no index」コードを発見し、削除したと報告。同社は「消費者のアクセスを妨害する意図はなかった」と説明しています。Telesignは第三者のSEOツールが原因で検索結果に表示されなくなっていたとし、現在は修正済みだと回答しました。

一方、Findemは議員からの問い合わせに一切応答せず、「no index」コードも削除していません。さらに同社の開示資料によると、消費者からのプライバシー要請の80%を「データ不足」を理由に処理していないことも判明しました。

被害規模の算出方法

報告書は過去10年間の4つの大規模データ漏洩事件を分析しました：2017年のEquifax、2018年のExactis、2023年のNational Public Data、そして2025年のTransUnionです。被害者数はTransUnionの440万人からNational Public Dataの2億7000万人まで幅広く分布しています。

損失額の算出には金融サービス業界の研究データを活用し、大規模データ漏洩の被害者のうち約30%が個人情報盗用の被害に遭い、そのうち58-69%が金銭的損失を経験するという統計を基にしています。被害者一人当たりの中央値は約200ドルですが、2017年のEquifax和解では一部の申立人が最大2万ドルの損害賠償を求めることができました。

日本への示唆

日本では2022年に改正個人情報保護法が施行され、個人情報の利用停止や削除要求の権利が強化されました。しかし、海外のデータブローカー企業から日本人の情報を削除することは依然として困難です。

特に注目すべきは、6senseが第三者監査を活用して退会手続きの可視性と処理状況を評価している点です。これは日本企業にとって参考になるベストプラクティスといえるでしょう。

IQVIAがGoogleのAI概要機能を退会情報の検索手段として挙げた点も興味深いですが、議会スタッフはAIの出力が不安定で特定ページの表示が保証されないと指摘しています。これは生成AIの普及が進む中で、プライバシー保護における新たな課題を示唆しています。