自分の携帯電話の番号、どのように売られたのか BBC記者が追跡

Published

ジェイン・ウェイクフィールド、テクノロジー記者

数カ月前、私はある情報提供をけた。ジャーナリストとして多くの情報を得ている私には、当たり前のことだ。しかしこのタレコミが特徴的だったのは、メッセージアプリ「ワッツアップ」経由で送られてきたことだった。

今までワッツアップで赤の他人からメッセージを受け取ったことがなかったので、とても驚いた。

普通のことではないし、少し警戒心を抱いた私は、このメッセージを送ってきた女性に、どこで私の電話番号を手に入れたのかを聞いた。

その女性は、「ロケットリーチ」という企業から電話番号を買ったのだと答えた。この企業のウェブサイトには、「あらゆる専門家の電子メールアドレスや直通の電話番号」を提供する」と書いてあった。

この時私は初めて、どこか不明瞭で、だがもうかるという、個人情報販売の世界のことを知った。

個人情報を集め、販売するアメリカ企業が後を絶たない。

こうした企業は、ツイッターやリンクトインといった公共の情報源だけでなく、企業、メディア、そして電話帳サイトなどから個人情報を入手していると主張している。

そこで私は、自分でも同じことをしてみようと思った。リンクトインでロケットリーチのスコット・キム社長を見つけ、メッセージを送った。

キム氏はすぐに、私の個人情報を削除すると合意してくれた。だが、私の個人情報がどのようにロケットリーチに行き着いたのかを調べるのは、ちょっとした任務となった。

答えづらい質問

まず私は、個人情報の漏えい元を追跡するのは不可能だと言われた。データから私の電話番号を削除してしまったからだという。

しかし、個人情報保護の活動団体「Noyb」のロバート・ロメイン氏は私に、「あなたの情報を扱っていた人から、データを削除した、問題はもう消え去ったと言われても、答えになっていない」と助言してくれた。

そこで私はキム社長に、自分の電話番号がインターネット上でどのように手渡されていたのかを追跡し、記事にするつもりだと伝えた。すると、これまでとはやや異なる答えが返ってきた。

ロケットリーチの回答には「公開禁止」と書かれていたため、直接その内容を引用することはできない。しかし同社の回答をまとめると、私の個人情報を解析した結果、「Pipl」というサービスを介して私のツイッターアカウントから得た可能性が高いということだった。

私はすぐにPiplのマシュー・ハーツ社長に連絡を取った。ハーツ氏の返事は簡潔なもので「データ元はSync.meのようだ」というものだった。

Sync.meとは、公共の電話帳サービスだ。私はウェブサイト上のフォームから、同社に連絡を取った。

「間違えて認識していた」

Sync.meは、「記録を確認したところ、あなたの個人情報は登録されていないようだ」と返信してきた。

「過去に、あなたの電話番号を別の企業の番号と間違えて認識していたかもしれない」

「しかし、一般データ保護規則(GDPR​)を適用して以降、こうした番号はサービスから削除している」

GDPRは、欧州連合(EU)が2018年に発効したオンラインの個人のプライバシー権保護規則だ。

謎は解けた……気もする。しかしはっきりしないのは、もしロケットリーチが私の電話番号をGDPR​適用以前のデータベースから採取したなら、果たしてそれを売るのは合法なのかという点だ。

「慎重を要する可能性」

ロケットリーチは、個人情報保護とデータの安全な保管に努めており、法を順守した上で営業していると述べている。

またPiplは、「我々はあなたや他の人のプライバシーの権利を尊重している」と回答してきた。

「この情報は公共の情報源から得たものであり、プライベートな情報とは見なされない」

「当社はEU企業ではなく、GDPRも適用されないが、個人情報の扱いに慎重を要する可能性を理解しているし、誰でも情報を削除できるようにしている」

GDPRは、個人情報が公共のものになった際に、それを本人の管理下に戻すことを目的としている。同じような規則は、EU離脱後のイギリスにも存在する。

またこうした規則は、パブリックドメインから入手されたデータについても適用される。

ロメイン氏は、「情報に公の場からアクセスできる、というだけでは不十分だ」と話す。

「ウェブサイトに電話番号を載せたからといって、それを誰かがデータベースに入れて売ることを許しているわけではないので」

花輪のようにつながる

ピルズバリー法律事務所でデータ保護主任を務めるラフィ・アジム=カーン氏も、この意見に同意する。

「ある企業があなたの個人データを扱う法的根拠を持っていたとしても、それが別の企業にも当てはまるわけではない」

「データは花輪のようにつながり、企業の間を出回っているが、法の下では、各企業は個別のデータ管理者として扱われる」

「もしあなたの個人情報を持っている企業が、あなたが望まない方法で他人からの連絡を許したら、GDPRを順守しているのか疑問が生まれる」

インターネット上での個人データ収集

イギリスの情報コミッショナー局は、私に正式に苦情を申し立てるよう示唆してきた。私はその通りにした。

その一方で同局は、「データ・マッチングやインターネット上での個人データの収集について、データ保護法では公に獲得できる個人情報の取り扱いを止めることはできない。それでも、法に従って情報を取り扱う必要はある」と説明した。

「たとえば、ソーシャルメディアのプロフィール欄から誰かの個人データを入手した場合、あなたはその情報の管理者になる」

「その時点で、情報の取り扱いに法的根拠が必要になったり、個人にプライバシー情報を提供したりと、データ保護の規則に従う必要が出てくる」

「少しばかげている」

アメリカに本拠を構える企業が欧州のデータを取り扱う場合、「27条に基づく代表」を置く必要がある。この企業がデータ保護法に違反した場合に、規制当局がやりとりをする人物だ。

しかしPiplはBBCニュースの取材に対し、こうした担当者を置いていないと述べた。

ルクセンブルクのデータ保護当局は、Noybがロケットリーチや同業のアポロに対して申し立てた苦情を却下した。両社が欧州担当者を置いていないため、この件を追及できないというのが理由だった。

データ保護コンサルタントのダイアン・ヒウォード=ミルズ氏は、これは少しばかげた板ばさみ状態だと指摘した。

「当局は、これらの企業の行いは正しくないが、担当者がいないから行動に移せないと言っている」

たいていの場合、企業側は個人情報を扱うことで「合法的な利益」を持つ。しかし一方で、自分の情報がどのように獲得されたのかを「知る権利」があり、それをはっきりと持っている個人の権利とのバランスを考えなければいけないと、ヒウォード=ミルズ氏は話す。

英ニューカッスル大学のリリアンエドワーズ法学教授は、こうした例はGDPRが抱える問題を浮き彫りにしていると述べた。

「GDPRをEU域外に適用する現実的な方法はない。情報を得る権利についても、情報を削除する権利についても」

「アメリカで効力があるのは著作権侵害による削除申請だが、あなたの電話番号に著作権はない」

「こういったところに、各地のシステムの違いがはっきりと出ている」

個人情報で得た利益は?

ヒウォード=ミルズ氏は一方で、何らかの行動が起きるだろうと希望を抱いている。

「ヨーロッパ当局は、人を特定するデータ入手について強く要求している。必ず答えが出るはずだ」

一方の私は事態がまったく理解できず、私の電話番号を売ることでロケットリーチが得た利益の一部を受け取れるのだろうかと考えている。

しかしこの疑問について、今のところロケットリーチからの回答はない。

(英語記事 How did my phone number end up for sale?