Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

この論文は、Google と Meta のトラッカーがウェブフォームから個人識別情報（PII）を収集するよう設定される仕組みを分析し、両社がプライバシー保護に関する不正確な記述を含みつつも設定を推奨している実態と、特に Meta のトラッカーがフォームデータ収集に頻繁に設定されているという大規模測定結果を明らかにしたものである。

要約

🕵️‍♂️ 物語の舞台：「デジタルの街」と「見えないカメラ」

インターネット上には、Google や Meta（Facebook の親会社）が提供する**「見えないカメラ（トラッカー）」**が、あちこちに設置されています。
ウェブサイト運営者は、自分の店の人気を測ったり、広告を打ったりするために、このカメラを店（ウェブサイト）に設置します。

しかし、このカメラには**「顧客が記入するアンケート用紙（フォーム）」の中身まで読み取れる機能があります。
この機能は、「フォームデータ収集」**と呼ばれます。

🔍 この研究が明らかにした「3 つの大きな問題」

研究者たちは、このカメラの設置マニュアル（ドキュメント）と、実際に 4 万サイト以上を調査して、以下のような驚くべき事実を見つけました。

1. マニュアルが「誘導」している（悪い魔法使いの嘘）

Google と Meta は、ウェブサイト運営者にマニュアルを渡しています。

• 嘘の魔法： 「個人情報をハッシュ化（暗号化）すれば、プライバシーは守られますよ」と書いてあります。
  • 現実： これは**「魔法の粉をまけば怪獣が消える」と言っているような嘘**です。実際には、ハッシュ化されても、Google や Meta が「あ、この人はあの広告を見ていた人だ！」と特定できてしまいます。アメリカの政府機関（FTC）も「ハッシュ化はプライバシー保護にならない」と何度も警告しています。
• 悪いデフォルト設定： Meta のカメラの設置マニュアルは、「すべての個人情報（名前、電話、住所など）を自動的に集める設定」が最初からオンになっています。
  • 運営者が「いや、それはやめとこう」と自分でオフにしない限り、カメラは勝手に全部集め続けます。まるで、スーパーのレジで「お菓子も全部買いますか？」と聞かれ、何も言わなければ自動的にカートに詰め込まれてしまうようなものです。

2. 「病院」や「銀行」でも盗み見られている

法律で守られている**「病院（医療）」や「銀行（金融）」のウェブサイト**では、このカメラによる個人情報収集は禁止されています。

• しかし、現実は： 多くの病院や銀行のサイトでは、このカメラが**「集める設定」のまま稼働していました。**
  • 運営者が「これは医療サイトだから」と正しく登録していないか、あるいはマニュアルの「悪い魔法」に騙されて、知らないうちに患者や顧客の情報を第三者に渡してしまっていたのです。
  • 統計： Meta のカメラがあるサイトでは、**62.3%が個人情報を収集する設定になっていました。一方、Google のカメラでは11.6%**でした。Meta の方が、運営者を「集める設定」に誘導する仕組みが巧妙だったのです。

3. 運営者は「悪気なく」やってしまっている

ウェブサイトを作っている人たちは、悪意を持って情報を盗もうとしているわけではありません。

• 彼らは「広告を効果的にしたい」という目的でカメラを設置します。
• しかし、「集める設定」が最初からオンになっていること、「ハッシュ化すれば安全」という嘘に騙され、「医療サイトだから収集禁止」というルールを知らずに設置してしまっているのです。
• これは、「自動運転の車」を運転しているつもりが、実は「全自動で隣人の家の鍵を盗むモード」がオンになっていたようなものです。

📊 具体的な数字で見る現実

• Meta（Facebook）のカメラ： 設置されているサイトの**62.3%**が、個人情報を収集する設定でした。
• Google のカメラ： 設置されているサイトの**11.6%**が収集設定でした。
• 収集される情報： 名前、電話番号、メールアドレス、住所、性別、生年月日など。特に「名前」「電話」「メール」の 3 つは、90% 以上のサイトで収集されていました。これらが揃えば、あなたの正体がバレバレです。

💡 私たちができることと、今後の課題

この研究は、**「カメラの設置マニュアルや説明書が、ユーザーのプライバシーを危険にさらしている」**と警鐘を鳴らしています。

• 運営者へのアドバイス： 外部の業者に頼む際も、「本当に個人情報を集める設定になっていないか？」を必ず確認してください。
• 利用者へのアドバイス： 広告ブロッカーを使うことで、ある程度防げますが、サイトが動かなくなることがあります。
• 社会への提言： Google や Meta には、「集める設定」を最初からオフにすること、そして**「ハッシュ化は安全ではない」という真実**を伝える必要があります。また、政府は、医療や金融サイトでの違反に対して、もっと厳しく取り締まるべきです。

🎭 まとめ

この論文は、**「テクノロジーの便利さの裏側で、私たちの大切な個人情報が、うっかり（あるいは悪意あるマニュアルによって）盗み見られている」**という現実を浮き彫りにしました。

まるで、「無料のカメラを置きますよ」と言われて店に設置したら、実は「客の財布の中身まで記録する機能」が最初からオンになっていたようなものです。私たちは、その「見えないカメラ」の正体を知り、慎重に扱わなければなりません。

技術概要

論文「Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection」の技術的サマリー

この論文は、Google と Meta が提供するウェブトラッカー（Google Tag および Meta Pixel）が、ウェブフォームから個人を特定できる情報（PII: Personally Identifying Information）を収集するように設定される仕組み、およびその実態を調査した研究です。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義 (Problem)

ターゲット広告の基盤となるオンライン追跡は、ユーザーの行動履歴を包括的にプロファイリングするために機能しています。広告会社（Google, Meta）は、ウェブサイトの管理者に対し、単にトラッカーをインストールするだけでなく、ユーザーがウェブフォームに入力する PII（メールアドレス、氏名、電話番号など）を自動的に収集するように設定することを推奨しています。

しかし、既存の研究は「トラッカーがインストールされているか否か」という二項対立の視点に留まっており、以下の重要な点が見落とされていました。

• 設定の多様性: トラッカーのインストールは均一ではなく、PII 収集を有効にするかどうかの「設定」がプライバシーに直結する。
• ドキュメントと UI の影響: 第三者（Google/Meta）が提供するドキュメントや設定 UI が、管理者の意思決定にどのように影響し、結果として PII 収集が促進されているか。
• 規制分野での違反: 医療や金融など、法的に保護されたデータ（HIPAA や Gramm-Leach-Bliley Act の対象）を扱うサイトにおいて、ポリシー違反の形で PII 収集が設定されている実態。

2. 手法 (Methodology)

本研究は、定性的分析と定量的測定を組み合わせたアプローチを採用しています。

A. 定性的分析（ドキュメントと UI の分析）

• 対象: Meta Pixel と Google Tag の公式ドキュメント（計 77 ページ）および設定 UI。
• 手法: 研究者が実際にテストサイトを作成し、トラッカーのインストールフローを再現。その後、リバースエンジニアリングを行い、収集されるデータとロードされる JavaScript コードを比較分析しました。
• 評価基準: 「ダークパターン」や混乱を招く言語使用を特定するためのコードブックを作成し、以下の 5 つのコードで分析しました。
  1. Hidden risk（隠されたリスク）: 重要なプライバシーリスクを隠蔽する表現。
  2. Least private defaults（最もプライバシーを侵害するデフォルト）: デフォルト設定で最大限のデータ収集を有効にする。
  3. Least private recommendations（最もプライバシーを侵害する推奨）: 収集を最大化するベストプラクティスの推奨。
  4. Loss aversion（損失回避）: 収集をしないことで機会を失うという認識を煽る表現。
  5. Contradictory language（矛盾する表現）: 実際のメカニズムと矛盾するガイドライン。

B. 定量的測定（大規模スキャン）

• 対象: Tranco ランキング上位 100 万サイトと SimilarWeb のカテゴリ分類を組み合わせ、40,150 サイト（うち医療 3,406 サイト、金融 1,633 サイト）をスキャン。
• データ収集パイプライン:
  1. フォーム注入: 各サイトのランディングページに、架空の PII（メール、電話、氏名など）を含む HTML フォームを動的に注入し、送信ボタンをクリック。
  2. トラフィックキャプチャ: 注入されたフォーム送信時に、Google/Meta へ送信されるネットワークリクエスト（ハッシュ化された PII）を監視。
  3. 静的解析: 読み込まれた JavaScript 設定ファイル（特に Meta Pixel）を解析し、どの PII フィールドが収集設定されているかを確認。
• 検証: コーヒー同意バナーへの対応なしでのスキャンがバイアスとならないよう、手動検証（Cookie 許可/拒否時の比較）や誤検知（False Negative）の分析を実施。

3. 主要な貢献 (Key Contributions)

1. 設定分析の手法確立: トラッカーのドキュメントを定性的に分析し、大規模な設定測定を行うためのパイプラインを構築。
2. プライバシー侵害の推奨の暴露: Google と Meta が、米国 FTC（連邦取引委員会）によって繰り返し否定されている「ハッシュ化はプライバシー保護に十分である」という誤った主張をドキュメントで推奨し、管理者を誘導している実態を明らかにした。
3. 設定頻度の差異の解明: 人気サイトにおいて、Meta Pixel が Google Tag よりもはるかに頻繁にフォームデータ収集を設定されていることを実証。
4. 規制違反サイトの特定: 医療・金融分野の特定のサイトが、ポリシー違反の形で PII 収集を有効にしている事例を特定し、関係者に開示（Disclosure）を行った。

4. 主要な結果 (Key Results)

A. ドキュメントと UI の分析結果

• Meta Pixel: 設定フローに「自動データ収集」のオン/オフを促すウィザードが含まれており、デフォルトですべての 11 種類の PII フィールドが選択済み（Least Private Default）。管理者がプライバシーを考慮して手動で無効化しない限り、収集が有効になる。
• Google Tag: 設定フローが複雑で、フォームデータ収集のオプションがセットアップの初期段階に明示されていないため、管理者は自分で探して有効化する必要がある。しかし、ドキュメントには「ハッシュ化すればプライバシーは守られる」という誤解を招く記述が含まれている。
• 矛盾: 両社とも「PII を Google/Meta に送ってはならない」というポリシーを明記しつつも、UI やドキュメントでは PII 収集を推奨する矛盾したメッセージを発信している。

B. 測定結果（実態調査）

• 設置率: Google Tag は 72.6% のサイトに設置されているが、Meta Pixel は 28.2%。
• 収集設定率:
  • Meta Pixel: 設置されているサイトの**62.3%**がフォームデータ収集を有効にしている。
  • Google Tag: 設置されているサイトの**11.6%**のみが収集を有効にしている。
  • 相関: Meta Pixel が設置されているサイトは、Google Tag もフォームデータ収集を有効にする確率が約 4.8 倍高い（Logistic 回帰分析による）。
• 収集される PII の種類（Meta Pixel）:
  • 収集設定されているサイトの 99.5% が「メールアドレス」、93.7% が「氏名」、93.5% が「電話番号」を収集設定。
  • 51.3% のサイトがデフォルト設定（全フィールド収集）のまま変更していない。
• 医療・金融サイトにおける差異:
  • Meta Pixel の場合、非敏感分野（68.0%）に比べ、医療（30.8%）や金融（20.3%）サイトでは収集設定率が有意に低い（プラットフォーム側の制限が一部機能しているため）。
  • しかし、Google Tagでは、医療・金融サイトでも非敏感サイトと同様に収集設定率（約 11-13%）が高く、制限が機能していない。
  • 違反事例: 薬物リハビリセンター、精神保健団体（NAMI）、銀行、クレジットカード会社など、明らかに規制対象であるにもかかわらず、フォームデータ収集を有効にしているサイトが多数発見された。

5. 意義と示唆 (Significance)

• プライバシー保護の新たな視点: 単なるトラッカーの「存在」ではなく、「設定」がプライバシー侵害の鍵であることを示した。
• 規制とガバナンスへの提言:
  • 企業（Google/Meta）は、プライバシーリスクを隠蔽する UI や、誤った「ハッシュ化は安全」という主張を改める必要がある。
  • 規制当局（FTC など）は、ハッシュ化をプライバシー保護手段として認めるのではなく、より強力な保護を義務付けるべき。
  • 医療・金融サイトなどの管理者は、外部委託先の設定を監視し、デフォルト設定のリスクを理解する必要がある。
• 技術的防御: 研究者は、Meta Pixel の設定を解析し、ユーザーに「どの PII が収集されるか」を通知する Chrome 拡張機能のプロトタイプを開発・公開した。

この研究は、プラットフォーム企業が提供する「設定ガイド」が、いかにしてユーザーのプライバシーを侵害する方向に管理者を誘導しているかを体系的に実証した点で画期的です。