地元のカフェの Wi-Fi ホットスポットに接続する前に、あなたが去った後に Wi-Fi ホットスポットが文字通りあなたの足跡をたどらないことを確認したほうがよいでしょう。
全米各地の何十万もの企業や公共スペースには、いわゆる「無料」のWi-Fiホットスポットがあります。ショッピングモール、空港、チェーン店、地元のカフェなど、どこにでもあります。その結果、インターネットへの接続はかつてないほど簡単になりました。ノートパソコンやスマートフォンで安定したデータ接続ができない場合でも、ホットスポットに接続できます。しかし、この利便性には、個人データとプライバシーという代償が伴うことがよくあります。
「無料」Wi-Fiを使用する場合、多くの場合、サードパーティプロバイダーによって管理されています。プロバイダーは、貴重なサインオンデータと引き換えに、ユーザーをオンラインにさせています。ホットスポットが要求するサインオン情報は様々ですが、多くの場合、メールアドレス、電話番号、ソーシャルメディアのプロフィール、その他の個人情報が含まれます。これらの情報はすべて、ターゲット広告の配信や、ユーザーの行動に関するインサイトの取得に利用されます。
プライバシー・ライツ・クリアリングハウスの政策顧問エモリー・ローン氏は、PCWorldに次のように語っている。「これらの企業のWi-Fi利用規約をよく読んでみれば、タダ飯など存在しないことがほぼ確実に分かるだろう。」
Wi-Fiホットスポット利用者のほとんどにとって、これは驚くようなことではないかもしれません。しかし、一部のホットスポットプロバイダーがデータ収集をさらに一歩進め、利用者が施設を離れた後も何百万人ものユーザーの居場所を密かに追跡していることは、驚くべきことかもしれません。これらのホットスポットは、アメリカで急成長している位置情報ベースのWi-Fiマーケティング業界の一部です。
PCWorld は、プライバシーの専門家や Wi-Fi 位置情報分析企業にインタビューし、この技術がどのように機能するか、また追跡を回避するために何ができるかについて詳しく聞きました。
Wi-Fi位置情報追跡とあなた
PCWorldは12社のWi-Fiホットスポットプロバイダーのプライバシーポリシーを調査したところ、多くの場合、サインオン時にユーザーに位置情報の追跡への同意を求めていることが分かりました。この行為を示唆するフレーズとしては、「位置情報データ」「位置情報履歴」「あなたの位置情報」「デバイス識別子」「MACアドレス」(これについては後述)などが挙げられます。
全てのWi-Fi企業に連絡を取りましたが、ホットスポット利用者の追跡に関する質問に回答してくれたのは、米国で主要事業を展開している2社だけでした。ZenreachとEuclidの2社は、ホットスポットの圏内を通過する数百万台のスマートフォンやノートパソコンの位置情報を記録しています。たとえユーザーがログインしていなくてもです。
ユークリッドEuclid は、顧客が最もよく訪れる場所と、再び訪れる可能性を企業に伝えます。
Zenreach のプライバシー ポリシーによると、「その後、ユーザーのデバイスがこのクライアントの場所に戻るか、別の Zenreach ルーター (任意の Zenreach クライアント) の Wi-Fi 範囲に入ると、当社は自動的にデバイスを認識し、そのデバイスの記録に訪問を記録します。」
Euclid のプライバシー ポリシーによると、「一般的な訪問情報は、モバイル デバイスが当社のテクノロジーを使用するさまざまな場所を移動する際に収集されます。」
Zenreachのウェブサイトによると、ホットスポットネットワークの範囲を例に挙げると、同社の主要顧客にはピーツコーヒー、ファイブガイズ、アイホップ、KFCなどが含まれています。KFCは全国に約4,500店舗を展開しているため、これらのネットワークは都市部の広い範囲に広がっています。
仕組み: データ収集はキャプティブポータルから始まる
ゼンリーチZenreach のキャプティブ ポータル ビルダーのこれらのテンプレートは、Wi-Fi ホットスポットのサインイン フォームがどのように表示されるかを示しています。
公共Wi-Fiに接続すると、通常は「キャプティブポータル」とも呼ばれるサインインフォームが表示されます。ここで個人情報を入力し、利用規約に同意してオンラインに接続します。
Zenreachの場合、「『オンラインにする』をクリックすると、利用規約とプライバシーポリシーに同意したことになります」と表示され、Zenreachはユーザーの位置情報を継続的に追跡することを許可します。Euclidはより明確に、同意のチェックボックスの横に「このデバイスの位置情報を提供することに同意します」と表示しています。
ユークリッドユークリッドの捕獲ポータルには、位置を追跡していることが記されています。
ZenreachやEuclidといった位置情報マーケティングホットスポットプロバイダーの特徴は、キャプティブポータルに入力した個人情報(メールアドレス、電話番号、ソーシャルメディアのプロフィールなど)を、ノートパソコンやスマートフォンのメディアアクセス制御(MAC)アドレスにリンクできることです。MACアドレスとは、Wi-Fiがオンになった際にデバイスからブロードキャストされる固有の英数字IDです。
ディーター・ホルガーとロブ・シュルツ/IDGEuclid はプライバシー ポリシーで次のように説明しています。「今日、モバイル デバイスをお気に入りの衣料品店(場所)に持っていき、数日後に地元の人気レストラン(これも場所)に持っていくと、同じ MAC アドレスを確認することで、モバイル デバイスが両方の場所にあったことが分かります。」
MACアドレスだけでは、スマートフォンがiPhoneなのかSamsung Galaxyなのかといった、デバイスのメーカー以外の識別情報は含まれません。しかし、デバイスのMACアドレスが誰かのプロフィールにリンクされ、デバイスのWi-Fiがオンになっている限り、同じプロバイダーのどのホットスポットでも、その所有者の動きを追跡できます。
Zenreachのプライバシーポリシーには、「ユーザーがサインアップした後、当社はユーザーのメールアドレスやその他の個人情報を、そのデバイスのMACアドレス、およびそのデバイスのMACアドレスに関して以前に収集した(または後から収集した)位置情報履歴と関連付けます」と記載されている。
これにより、個人の日常習慣の詳細なプロフィールが明らかになります。どこで買い物をし、どこに住み、特定の時間帯にどの場所をよく訪れるかなどが、このデータから明らかになるかもしれません。
ユークリッドEuclid のこのパネルには、企業が利用できる、施設間を移動する顧客に関するデータの一部が表示されています。
フューチャー・オブ・プライバシー・フォーラムの政策顧問ステイシー・グレイ氏は、MACアドレスと人物の移動を関連付けると「非常に機密性の高い」情報が明らかになる、とPCWorldに語った。
「携帯電話からのMAC信号を分析することは、小売業者などにとって、待ち時間を計算したり、ピーク時と閑散時の状況を把握したり、スタッフを割り当てたりするのに有益です」とグレイ氏は述べた。「しかし、位置情報データは、時間の経過とともに、また複数の店舗にまたがって個人に関連付けられると、非常に機密性が高くなるのです。」
Euclid社もZenreach社も、PCWorldに対し、収集しているデータ数の正確な数字を明らかにしていない。しかし、Euclid社は世界中で月間アクティブデバイス数が1億2000万台を超え、その大半は米国にあると主張している。
Zenreach は PCWorld に対し、同社のホットスポットのほとんどは米国にあると語った。また、Crunchbase によると、同社は 2017 年 3 月時点で 8,000 万ドルを調達し、評価額は 2 億 1,000 万ドルに達しており、全米の Wi-Fi スタートアップの中で最も資金が潤沢である。
Wi-Fi による位置情報の追跡が侵入的だと感じる人々への回答を求められたとき、Zenreach の共同設立者である Kai Umezawa 氏は、同社のサービスがいかに簡単にオンラインに接続できるかを指摘し、その利便性を強調した。
「お客様が加盟店のWi-Fiにログインすると、Zenreachネットワークのどの拠点でもそのデバイスを認識できるようになります」と梅澤氏は述べた。「ユーザーにとってのメリットは、これらの拠点のどこでもワンクリックでWi-Fiにアクセスできることです。」
ゼンリーチZenreach を使用すると、企業は顧客の訪問回数に基づいて自動メールを送信できます。
PCWorldが調査したホットスポットプロバイダーはすべて、データセキュリティを真剣に受け止めていると述べている。Euclidの広報担当者は、収集した位置情報データは保存時に「非個人化」または「ハッシュ化」することで、人間が判読できない形式に即座に匿名化していると述べた。とはいえ、Euclidは依然として、ユーザーが自社の拠点間を移動した際の個人を特定できるデータを処理して企業に提供している。
Zenreach は、Wi-Fi 経由で収集された個人データを匿名化しているかどうかを尋ねる複数の電子メールに返答せず、同社のプライバシー ポリシーにもそのことについては何も言及されていない。
データの利用方法はプロバイダーによって異なり、最終的にどこに保存されるかは全く別の問題です。多くのプロバイダーはデータを共有しないと約束しています。一方、より不透明なポリシーを持つプロバイダーや、Zenreachのように、クライアント、関連会社、その他の第三者とデータを共有する場合もあります。Euclidも広告主とデータを共有する場合がありますが、それは「ハッシュ化」された形式のみです。
「無料」Wi-Fiによる追跡から身を守る方法
無料の Wi-Fi ホットスポットでデータが収集されることを心配している場合は、個人情報を保護するために実行できる簡単な手順がいくつかあります。
「無料」Wi-Fiは使わない:無料Wi-Fiネットワークからデータを守る最も明白な解決策は、それらを一切使わないことです。代替案としては、携帯電話会社のデータサービスを利用したり、Boingoのようなより安全なホットスポットサービスに登録したりすることが挙げられます。
使用していないときはWi-Fiを無効にしましょう。Wi -Fiを有効にすると、これらのホットスポットがあなたの位置情報を追跡できるようになります(また、バッテリーの消耗も早くなります)。接続する必要がない限り、Wi-Fiをオンにしておく必要はありません。
プライバシーポリシーを読む: プライバシーポリシーを読むのを省略したくなるかもしれませんが、数分かけて読むことで、Wi-Fiサービスがどのようにデータを収集し、どこに保存される可能性があるかを知ることができます。「MACアドレス」「位置情報」「収集」「共有」といったキーワードに注目しましょう。
位置情報の追跡をオプトアウトし、データを削除する:位置情報分析サービスを提供する企業では、位置情報の追跡をオプトアウトし、データを削除することができますが、オプトアウトの方法は企業によって異なります。オプトアウトの方法はプライバシーポリシーに記載されています。キャプティブポータルにサインインする前に、ポリシーを確認する機会が与えられます。また、ホットスポットプロバイダーのウェブサイトでも確認できます。
位置情報の追跡をオプトアウトするには、MACアドレスを取得する必要があります。iPhoneでは、「設定」> 「一般」> 「情報」でWi-Fiアドレスとして確認できます。Androidでは、メニューキーをタップし、「設定」> 「無線とネットワーク」または「デバイス情報」に進みます。もう一度メニューキーを押し、 「詳細設定」をタップすると、デバイスのMACアドレスが表示されます。
その後、MACアドレスを入力することで、Future of Privacy ForumのSmart Placesウェブポータルから多くの位置情報追跡サービス(すべてではない)をオプトアウトできます。これは、多くの位置情報分析企業が自主的に提携しているワンストップショップです。(Future of Privacy Forumと提携している企業は、プライバシーポリシーにその旨を明記する必要があります。)
Zenreachを含め、すべての位置情報分析会社がSmart Placesウェブポータルと提携しているわけではありません。提携している場合は、Wi-Fiホットスポットプロバイダーのプライバシーポリシーに記載されているメールアドレスを見つけ、MACアドレスを控えて直接連絡する必要があります。オプトアウトをリクエストし、プロバイダーが保有するデータの受け取りと削除を依頼できるはずです。以下のZenreachのポリシーのスクリーンショットをご覧ください。
ゼンリーチZenreach のプライバシー ポリシーの場合と同様に、通常、位置データの収集をオプトアウトするためのメール アドレスは、企業のプライバシー ポリシーの最後に記載されています。
AndroidでMACアドレスをランダム化: AndroidバージョンP以降、プライバシー向上のため、スマートフォンのMACアドレスをランダム化する機能が追加されました。これにより、接続するWi-Fiホットスポットごとに新しいMACアドレスが生成され、これらの企業による追跡を効果的に阻止できます。MACアドレスのランダム化は、開発者向けオプションでオンにできます。
iOS 11 以降を実行している iPhone や iPad では、Wi-Fi をスキャンするときに MAC アドレスが自動的にランダム化されるため、同様のプロセスを実行する必要はありません。
Apple の iOS セキュリティ ガイドには、「デバイスの MAC アドレスは Wi-Fi ネットワークから切断されると変更されるようになったため、デバイスがセルラー ネットワークに接続されている場合でも、Wi-Fi トラフィックの受動的な監視者がそのアドレスを使用してデバイスを永続的に追跡することはできません」と記載されています。
しかし、Apple は「優先 Wi-Fi ネットワークへの接続を試行する際に行われる Wi-Fi スキャンはランダム化されません」とも述べており、つまりデバイスが以前接続したホットスポットはデバイスの実際の MAC アドレスを検出できることになります。
ソーシャルメディアでサインインしない: Facebook、Twitter、LinkedInでサインインするのは便利で早いかもしれませんが、データ収集業者にとっては格好の標的です。あなたのソーシャルプロフィール、特にFacebookの「いいね!」は、あなたに関する豊富な情報を明らかにしてしまいます。
米国科学アカデミーが2015年に発表した研究によると、コンピューターモデルが同僚よりも正確に人の性格を理解するには、Facebookの「いいね!」がわずか10個必要だという。同じ研究者による2013年の以前の研究(これもNASが発表)では、科学者たちはFacebookの「いいね!」を使って、黒人か白人か95%、男性か女性か93%、同性愛者か異性愛者か88%、民主党員か共和党員か88%の精度で予測した。
Wi-Fi 規制が近づいている?
米国とは異なり、欧州連合は、2018 年 5 月に施行された一般データ保護規則 (GDPR) に基づき、Wi-Fi ホットスポットを介した個人のプロファイルベースの位置追跡を制限しています。
GDPR では、MAC アドレスなどのデバイス識別子を「個人を特定できる情報」とみなし、個人に個人データを安全に処理および削除する権利を与え、位置追跡のキャプティブ ポータルでユーザーの明示的な同意を求めています。
「正確な位置情報は、欧州全域で非常にデリケートな情報とみなされています。ユーザーの位置を追跡する企業は、とりわけ、分かりやすい通知を提供し、ユーザーから明確な同意を得る必要があります」と、EUを拠点とする法律事務所モリソン・フォースターのプライバシー・データ弁護士、アルヤ・ポーラー・デ・ズワルト氏はPCWorldに語った。
「これらの規則を遵守しない企業は、GDPRのような罰金を含む規制執行措置を受けるリスクがある」とポラー・デ・ズワルト氏は付け加えた。
デスクリエ/Flickr2018年以降、EU加盟28カ国はデータとプライバシーに関する法律を強化してきました。
オランダに拠点を置くSpotOn Wi-Fiは主に欧州で事業を展開し、米国でも一部事業を展開するホットスポットプロバイダーで、GDPRに準拠するため、個人情報に関連付けられたMACアドレスを直ちに匿名化します。
SpotOn Wi-Fiの創設ディレクター、Niek Giavedoni氏はPCWorldに次のように語った。「MACアドレスをソーシャルプロファイルに関連付けなければ、クラウドベースのアクセスポイント間でシームレスなローミングを提供したり、X回以上訪問したゲストを対象とした電子メールキャンペーンを作成したりすることはできません。」
ジャベドーニ氏は、SpotOn Wi-Fiのシステムや他のWi-Fiネットワークには、特定されたユーザーをデバイス経由で追跡する機能があることを認めたが、EU内でWi-Fiを通じて個人プロファイルの位置を追跡することはプライバシーの侵害になると述べた。
「我々は技術的な可能性、それを利用する競合他社、そしてそれに伴うプライバシーの懸念を十分認識している」と彼は語った。
同様の制限が米国にも導入される可能性がある。
Facebookのケンブリッジ・アナリティカ事件を受け、政府当局は個人データの保護策に苦慮しており、Wi-Fi位置情報追跡に対するEUのような規制を法制化する機会が生まれている。リチャード・ブルーメンソール上院議員(コネチカット州民主党)とエドワード・マーキー上院議員(マサチューセッツ州民主党)は、ウェブ上で提供されるデータに対する保護と制御を強化する連邦「プライバシー権利法案」の策定に取り組んでいる。両議員の事務所は、Wi-Fi位置情報追跡に関する立場についての質問に対し、記事の掲載までに回答しなかった。
各州も対策を講じています。カリフォルニア州は6月に包括的なプライバシー法案を可決し、2020年に完全施行されます。この法案は、カリフォルニア州民に対し、自分に関するデータがどのような形で収集されているか、そのデータが販売または開示されているかどうかを知る権利、そして個人情報の販売を拒否する権利を保障しています。
この法案が対象とするデータの種類には「固有の個人識別子」があり、MACアドレスもこれに含まれます。しかし、この法案がカリフォルニア州民に保証する権利は、多くの場合、企業が既に自主的に提供しており、この法案は依然として、ZenreachやEuclidのような企業が行っている位置情報追跡を制限していません。
プレイトノ/Flickrカリフォルニア州は独自のデータプライバシー法案を可決した最初の州であり、この法案は2020年に完全施行される予定だ。
元連邦通信委員会(FCC)職員のマーク・S・マーティン氏は PCWorld に、ドナルド・トランプ大統領の選出以来、Wi-Fi のプライバシー規制は連邦レベルでは実際は後退していると語った。
「大統領就任直後、共和党が多数を占める議会とトランプ政権が最初に行った行動の一つは、議会審査法を利用してFCCのブロードバンドプライバシー規則を撤廃することだった」と、法律事務所パーキンス・コイのパートナーであるマーティン氏は述べた。
「その後、トランプ政権のFCCはFCCの2015年のネット中立性規則を廃止した」と彼は付け加えた。
マーティン氏は、これら2つの廃止により、現在「米国のWi-Fiサービスプロバイダーを規制する明確な連邦プライバシー規則や規制は存在しない」と述べた。
「公共Wi-Fiサービスプロバイダーを規制する新たな連邦プライバシー規則を採択するには、大統領が署名した議会の新たな法案が必要になる」とマーティン氏は述べた。
