米New York Timesは2月5日(現地時間)、「Times Opinion」で、ある情報源が持ち込んだスマートフォンの匿名化された位置データから個人を特定できたとして、その経緯を紹介した。

 この情報源は、1月6日の米議会議事堂襲撃に憤慨したため、同メディアにデータを持ち込んだという(本来はデータを共有する権限はないため、匿名を希望)。このデータは、数千台のスマートフォンへの約10万件の位置pingが含まれており、議事堂襲撃の時間に議事堂内にあった約130台のスマートフォンが特定できた。

 このデータの位置情報自体は匿名化されているが、これを同じIDを含む別のデータベースと照合したところ、スマートフォンの所有者に関する実名、住所、電話番号、メールアドレスなどを数秒で特定できたという。New York Timesは特定した個人に実際に連絡を取り、確認している。

 これらのIDはモバイル広告ID(Mobile Advertising ID、MAID)と呼ばれ、企業がネット上を横断して(匿名化した)ターゲットを追跡するためのものだ。Android端末のMAIDは「Google Advertising ID(GAID)」、米AppleのiOS端末のものは今話題の「IDFA」だ。

 スマートフォンの所有者はMAIDをリセットしたり削除することができるが、現在はそもそもそのような一意のIDがあることすら知らないユーザーが多い。一方、保有するIDデータベースを他のデータベースと照合し、個人を特定するサービスを提供する企業が存在する。

 New York Timesは、このデータの使用を規制する法律が全くないと指摘する。また、企業に対し、データの使い方や保存期間の開示を義務付ける法律もない。

 「議事堂に集結したトランプ氏支持者を特定するために位置データベースを使うべきだと考える米国民もいるかもしれないが、商用データベースの利用は自由への懸念につながる」とNew York Timesは主張する。

 この記事は無料で公開されている。