ほとんどのデータブローカーは、削除リクエストがどうなったかを教えてくれない

データブローカーは米国の成人の大半に関する個人情報を収集し、雇用主、賃貸業者、保険会社、政府機関を含む買い手に販売しています。カリフォルニア州は、住民がこれに対抗する手段を用意しています。ブローカーに対して自分の記録の削除を求めたり、データの販売・共有の停止を求めたりすることができるのです。UCアーバインの研究チームは、こうしたリクエストをカリフォルニア州の登録リスト全体に送ったらどうなるかを調べることにしました。その結果は、消費者にとってほとんど慰めにならないものでした。

Image

研究者たちは2025年秋、カリフォルニア州の公開リストに載っている連絡可能なすべてのブローカーに対し、削除リクエストとオプトアウトリクエストを送付しました。その結果、削除リクエストは322件、オプトアウトリクエストは360件近くに上りました。実在の人物を巻き込まないよう、リクエストの種類ごとに架空の人物像を2つ作成し、それぞれに実際に使えるメールアドレスと、もっともらしいカリフォルニア州の住所を用意しました。

沈黙が最も多い回答

ブローカーには、削除リクエストに対してどう対応したかを消費者に伝えるまでに45日間の猶予が与えられています。これはかなり余裕のある期間です。それにもかかわらず、大半のブローカーは結果について何も告げないままこの期間を経過させています。約70%は消費者への結果報告を一切行わなかったため、記録が実際に処理されたのか、そもそもリクエストが人間の手元に届いたのかさえ、消費者は推測するしかありません。

オプトアウトのほうは多少ましで、4件に1件近くが何らかの形で確認の連絡を受け取っていました。こちらのルールは削除リクエストとは異なります。ブローカーはデータの販売・共有を15営業日以内に停止しなければならず、オプトアウトが確かに実施されたことを消費者が確認できる手段を提供する義務があります。それでも、回答したブローカーの3分の1近くがこの期限を守っていませんでした。

両方のリクエスト種別を通じて、回答率は26%から38%程度と低い水準にとどまりました。しかも、これらは消費者が圧倒的に多く利用しているリクエストなのです。
同じ研究チームは、実在の人物の情報を使ったデータアクセスリクエストについても並行して調査を行っており、そちらの回答率は57%でした。つまり、消費者が最も頻繁に利用するリクエストほど、対応の反応が薄いという結果になっています。

法律で禁じられている本人確認

オプトアウトには一つ明確なルールがあります。ブローカーはオプトアウトの処理にあたって本人確認を求めることができません。誰もが最小限の手間でオプトアウトできるようにすることこそが、このルールの狙いだからです。ところが、このルールは頻繁に破られています。ブローカーの約22%がオプトアウトに際して本人確認を要求しており、これはCCPAで明確に禁止されている行為です。さらに多くのブローカーが、記録の照合に必要な範囲を超えた個人情報を要求しており、これも同様の問題領域に踏み込んでいます。

この件の金銭的な側面は、2026年初頭に現実のものとなりました。カリフォルニア州プライバシー保護局(California Privacy Protection Agency)は、フォード・モーター・カンパニー(Ford Motor Company)と和解し、同社はオプトアウトの手続きをめぐって375,703ドルを支払うことになりました。同局はこの制裁について「オプトアウトの手続きに不要な摩擦を加えたこと」を理由に挙げています。単純なオプトアウトに対して身分証明やメール確認を要求するブローカーは、これと同じ一線を踏み越えていることになります。

事態を悪化させたリクエスト

一部のブローカーは、単に沈黙するよりもさらに不穏な対応を取りました。3社は、架空の人物像に紐づけたメールアドレス宛てに、まさにそのアドレスからプライバシー関連のリクエストを受け取った直後、マーケティングメールを送り始めたのです。CCPAでは、リクエストの際に共有された情報は、そのリクエストを履行する目的にのみ利用できると定められています。

あるブローカーは削除を確認する返信に、消費者記録のサンプルを添付していました。その記録には実在の人物に関する情報が含まれていました。プライバシーリクエストが、ちょっとしたデータ流出に転じてしまったわけです。

別のブローカーは、オプトアウトのリクエストに対して「You have already chosen to opt-in(既にオプトインを選択済みです)」と表示するウェブページで応答し、消費者にはオプトアウトする手段も、説明も一切与えられませんでした。

架空の人物像を使うことの落とし穴

ここで一つ、じっくり考える価値のある落とし穴があります。今回使われた人物像は架空のものだったため、実際にはどのブローカーもそれに関する記録を持っていませんでした。そして、削除すべきものが何もないブローカーには、確認すべきものも何もありません。この調査が本当に捉えているのは、あくまで手続き面です。すなわち、ブローカーが返信をしたか、期限内に返信をしたか、そして法律で許された範囲内の情報しか求めなかったか、という点です。実在するデータが実際に消去されていたかどうかは別の問題であり、研究者たちもその点には答えていないと率直に認めています。

データブローカーを一種の攻撃対象領域(アタックサーフェス)として捉えるなら、このギャップは重要な意味を持ちます。ブローカーの記録はオープンソースインテリジェンスやソーシャルエンジニアリング、ドキシングの材料となり、さらに連邦機関を含む買い手に対して大量の位置情報や身元データを引き渡しています。つまり、この攻撃対象領域を縮小するために私たちが持つ唯一の法的手段は、実在しない人物に対する確認ページを返すだけに終わっているのです。これでは、実際のデータが今もそこに存在し続けているかどうかについて、セキュリティチームにはほとんど何もわからないままです。

8月に変わること

カリフォルニア州には、こうした数字を動かす可能性のある新しい仕組みがあります。「Deletion Request and Opt-out Platform」、通称DROPと呼ばれるこの仕組みは、2026年初頭に消費者向けポータルを開設し、住民が一度のリクエストで登録済みの全ブローカーをまとめてカバーできるようにするものです。ブローカー側は2026年8月から、このプラットフォームを確認し、蓄積されたリクエストに対応することが義務付けられます。カリフォルニア州外の人々は、依然としてブローカーを一社ずつ相手にするか、削除代行サービスに料金を払って任せるしかない状況が続きます。

翻訳元: https://www.helpnetsecurity.com/2026/07/10/trouble-with-data-broker-deletion-requests/

ソース: helpnetsecurity.com