EU域内の数百万人分に及ぶスマートフォンの位置情報が、広告目的で収集されたはずにもかかわらずデータブローカー経由で販売され、精密な移動履歴として第三者が取得できる実態が明らかになりました。ブリュッセルの欧州委員会や欧州議会といった中枢機関でも多数の端末が特定され、勤務先・自宅・日常の行動パターンまで推測可能なレベルで露出していました。欧州委員会は懸念を表明し、職員端末の広告トラッキング設定に関する新たなガイダンスを出すなど火消しに動いていますが、問題は個人のプライバシーを超え、国家・同盟の安全保障リスクに直結する段階に達しています。
概要
調査チームが入手した試供データだけでも、ベルギーの位置情報レコードは約2億7,800万件に達し、欧州委員会本部では264台の端末から約2,000回の位置ピン、欧州議会では756台から約5,800回の位置ピンが観測されました。
NATO本部敷地内の記録も543台から約9,600回確認され、政府・軍・重要インフラの所在や動線の推定に十分な粒度です。
サンプル検証の段階で、上級職員を含む複数名の自宅と職場が実データに基づいて同定可能でした。こうした漏えいは、病院・宗教施設・労組本部・性的少数者向け施設など、特にセンシティブな訪問先の推測にも及びます。
原因と背景
根本原因は、オンライン広告エコシステムにおけるデータブローカーの位置情報収集と転売の常態化にあります。スマホアプリは広告ID(AndroidのAAIDやiOSのIDFA)を端末ごとに付与し、これと位置情報を関連付けて広告配信の最適化に利用します。
本来は利用者の同意が前提ですが、実務ではダークパターンによる形骸化、下流の再共有の不透明さ、目的外利用の横行が常態化しています。広告IDは氏名を含まないものの、夜間の滞在地点から自宅、平日の反復移動から勤務先が容易に特定でき、複数の位置ピンを束ねれば高精度の個人プロファイルが再構成されます。監督当局は苦情処理に追われ、技術的な立ち入りや系統的な取り締まりの体制が追いついていません。
脅威評価
今回の問題は「ADINT(Advertising-based Intelligence)」として知られる分野に該当し、広告由来データを諜報に転用する手口そのものです。
要人・外交官・軍関係者・規制当局職員・ジャーナリストの行動追跡、会合の参加者特定、通勤経路や保育園・病院など家族の動線把握、基地や原子力施設の活動推定など、サイバーと物理の境界を越える甚大なリスクが生じます。
国境を越える取引とAPI提供により、十分な資金と技術を持つ主体であれば、試供データをはるかに上回る連続的・網羅的な監視が成立します。
「広告IDは匿名だから安全」という理解は成立しません。自宅と職場のクラスタリングだけで個人同定は現実的です。「同意しているから合法」という主張も、実態としては情報非対称と目的外利用により検証不能になりがちです。
また、「社内では機微データを扱っていないから問題ない」という油断も危険です。来訪・出入り・会議参加の時刻や頻度が読み取られれば、組織の計画や関係性の推測が可能になります。
出典






、インドBPO企業の内部犯行による情報漏洩か-200x200.png)

