健康保険の見積もりを提供するリード生成ウェブサイトは、ユーザーが送信をクリックしてから数秒以内に、機密性の高い個人情報を収集し、複数の購入者に販売しています。UC デービス校、スタンフォード大学、マーストリヒト大学の研究者による研究では、105 の健康保険リード生成サイトでこのプロセスを調査し、60 日間でデータに何が起こったかを監視しました。
研究者は 210 個の合成ユーザー プロファイルを作成し、各プロファイルに一意の電話番号とメール アドレスを割り当てて、すべての 105 サイトにフォームを送信しました。その後、これらのプロファイルが受け取ったすべての着信、テキスト メッセージ、メールを追跡しました。
データはフォーム送信前にサイトから流出
ほとんどのサイトに組み込まれたサードパーティ スクリプトは、JavaScript イベント リスナーを使用して、フォーム フィールド入力をリアルタイムで、キーストローク単位で捕捉します。最も頻繁に表示された 2 つのベンダーはいずれも、ユーザーが送信ボタンをクリックする前に、名前、電話番号、メール アドレス、および健康状態データを受け取りました。不完全に記入したフォームを放棄したユーザーでも、データはこれらのベンダーに捕捉して送信されます。
別のデータ漏洩経路は、フォーム設計の不備から生じています。サイトの 70% は、送信された PII をページ URL に直接追加していました。これらのページで広告ネットワークやアナリティクス プロバイダーから追跡スクリプトが読み込まれると、PII はリファラー ヘッダーを通じてそれらを伴います。
105 サイト全体で、PII は 73 の異なるサード パーティに到達しました。
消費者データの購入に検証は不要
研究者は、エコシステム内の異なる役割を表す 3 つのリード プラットフォームに購入者として登録しました:直接リード生成事業者、リード集約・交換事業者、古いリード専門のリード ブローカーです。この 3 つのいずれもが、特に医学的状態、妊娠状態、および処方情報を含むレコードの場合でも、正当なビジネス目的、業界ライセンス、またはデータの意図された使用を確認するドキュメントは必要としていません。
購入されたレコードには、捏造されたプレースホルダー値が含まれていることがよくありました。直接リード生成事業者は、自身のフォームでそれらのフィールドを収集しなかったにもかかわらず、すべてのリードの身長と体重フィールドを販売していました。リードの約 80% は、65 インチと 175 ポンドの同じ値がリストされていました。古いリード ブローカーは、研究で購入した 200 すべてのリードに同じ身長、体重、および婚姻状態を割り当てていました。
保険引受人がそのような属性を使用して保険料またはリスク スコアを計算する可能性があるため、研究者はこれを下流の意思決定のリスクとして指摘しました。
1 人の研究者は、直接リード生成事業者の郵便番号ターゲティング機能を使用して、自分自身のテスト プロファイルのデータをリアルタイムで 4 ドルで購入しました。
電話は数分以内に始まる
メイン研究の 105 個の合成プロファイル全体で、研究者は 1,240 の異なる電話番号からの 8,214 着信を記録しました。プロファイルの 78% は少なくとも 1 つの電話を受け取りました。すべての最初の電話の半分がフォーム送信の 2 分以内に到着し、5 分の 4 が 24 分以内に到着しました。
電話の 80% 以上は VoIP インフラストラクチャから発信されました。従来のモバイル キャリアは、研究期間全体を通じて各キャリア当たり 16 未満の電話を占めていました。
発信者 ID 分析により、電話の 59% が受信者の番号と一致する市外局番を使用していることが示されました。これは応答率を高めるために設計されたネイバー スプーフィングとして知られている技術です。一部のプロファイルは、自分の番号の最初の 6 桁または 8 桁と一致する番号から電話を受け取りました。
個別のプロファイルは、60 日間で 1,676 個の電話を受け取りました。これは、研究全体で単一のプロファイルに記録された最大ボリュームです。別に、1 つのプロファイルは 60 日間のウィンドウ内に 251 分の累積呼び出し音時間を蓄積し、アクティブな通話期間中は電話が使用できなくなるほどの量でした。フロリダでは、発信者・受信者ペアの 22% が、電気通信マーケティングに対する州の 1 日 3 件の通話制限を超過しました。
研究プロファイルに送信された SMS メッセージの 14% のみが、2026 年 4 月に発効する更新された FCC ルールに基づいて要件となるオプトアウト言語を含んでいました。
オプトアウトはボリュームを減らしますが、連絡を停止しません
研究者は、プロファイルを 3 つのグループに分けました:電話ベースのオプトアウト、メール ベースのオプトアウト、およびオプトアウトなしのコントロール グループです。電話ベースのオプトアウトは、時間経過に伴う通話ボリュームの統計的に有意な減少をもたらしました。メール ベースのオプトアウトとコントロール グループは、電話に対する意味のあるトレンドを示していませんでしたが、メール オプトアウトは SMS ボリュームの控えめな減少をもたらしました。
メール オプトアウトはメール についても同様のパターンを示しました。オプトアウト リクエスト後、いくつかのメール ボリュームが減少しましたが、コントロール グループのメール ボリュームも同等の速度で減少し、削減がコンプライアンスではなく自然なリード エイジングを追跡することを示しています。メールはオプトアウト リクエストが送信されてから 10 日以上後に到着し続けており、これにより送信者は CAN-SPAM 法の 10 日間の廃止要件に違反しています。
研究者は、連絡の継続をリード マーケットプレイス自体の構造に帰属させました。リードが一度販売されると、上流で生成されたオプトアウト信号を可視化できない追加の購入者に再販される可能性があります。ブロックが適用された後、発信者は新しい番号をローテーションし、番号レベルのブロッキングを無効にしました。
研究サイトに関連する 7,432 件の BBB 苦情の分析により、実験的結果が確認されました。消費者レポートの 20% は、1 時間に 14 回以上の電話を受け取ることについて説明していました。苦情は、DNC 登録後の継続的な連絡、繰り返された言語削除要求、および機能しないリンク解除リンクをよく引用していました。
翻訳元: https://www.helpnetsecurity.com/2026/04/10/health-insurance-lead-generation-privacy/
