テキサス州司法長官、ネットフリックスを秘密裏なユーザーデータ収集で提訴

テキサス州がネットフリックスに対して主張していること

テキサス州司法長官ケン・パクストンは、ストリーミング大手ネットフリックスが加入者（子どもを含む）の知識や同意なしに秘密裏にユーザーデータを収集・販売しているとして訴訟を提起した。このネットフリックスのユーザーデータ収集に関する訴訟では、ネットフリックスが数十億件のユーザー情報を記録し収益化していたと主張しており、州はこの行為をテキサス州民への「スパイ行為」と表現している。

訴状の核心は、テキサス州の消費者プライバシー法にある。同法は、企業が個人情報の収集方法について透明性を持つとともに、第三者へのデータの販売または移転を行う前に実質的な同意を得ることを義務付けている。これらの主張が認められれば、ネットフリックスは多額の財政的ペナルティに直面し、データ取り扱い方針を全面的に変更することを余儀なくされる可能性がある。ネットフリックスはいかなる不正行為も公式に認めておらず、本件は今後司法手続きへと進むことになる。

この訴訟は、近年大手ストリーミングプラットフォームに対して取られた州レベルのプライバシー執行措置の中でも特に積極的なものの一つであり、州の司法長官たちが、かつては無料または定額制サービスを利用するためのコストとして静かに受け入れられていたデータ慣行を巡り、著名なテクノロジー企業を追及する姿勢をますます強めていることを示している。

ネットフリックスが収集・販売したとされるデータ

訴状の主張によれば、ネットフリックスは基本的なアカウント情報の収集にとどまらなかった。訴状は、詳細な視聴習慣、行動パターン、そして潜在的にセンシティブなユーザー活動の追跡を指摘しており、これらのデータポイントは加入者の日常生活、好み、習慣を細粒度で描き出すものである。

そのレベルの詳細情報は明らかな商業的価値を持つ。広告主、データブローカー、分析企業は、ストリーミング活動から構築された行動プロファイルに多額の対価を支払う。ある人物が何を視聴するか、いつ視聴するか、特定のコンテンツにどれだけ時間を費やすか、また途中で視聴をやめるものは何かといった情報は、その人のライフスタイル、健康への関心、さらには政治的傾向について驚くほど多くのことを明らかにしうる。

訴状に子どもが含まれていることで、事態はより深刻になる。連邦法はすでに「児童オンラインプライバシー保護法（COPPA）」を通じて13歳未満のユーザーからのデータ収集に厳しい制限を設けており、多くの州がその上にさらなる保護措置を重ねている。ネットフリックスが未成年者に関連するデータを適切な保護措置なしに収集・販売していた場合、それは連邦と州の双方の枠組みに対する重大な違反を意味することになる。

ストリーミングプラットフォームがユーザーに知られずに視聴データを収益化する仕組み

ネットフリックスはここで孤立して行動しているわけではない。ストリーミング業界全体が、受動的な視聴を収益化可能な資産へと変換する、ますます高度化したデータパイプラインを構築している。プラットフォームが広告支援型のプランを導入した際、それは長年にわたる非公式な慣行を公式化したものに過ぎなかった。すなわち、広告の効果をターゲティングし測定するために行動データを活用するという慣行である。

しかし、ストリーミングを取り巻くデータエコノミーは、プラットフォーム内の広告にとどまらない。加入者データは、明白な識別子が取り除かれていても行動シグナルを豊富に含んでおり、コンテンツスタジオ、市場調査会社、データブローカーなどの第三者パートナーと共有または販売されることがある。これらの企業はそれを他のデータセットと組み合わせ、個人を再識別する。ユーザーが利用規約においてこうした内容を明確に開示されることはほとんどなく、長大なプライバシーポリシーの奥深くに埋もれた同意メカニズムは、十分な情報に基づいた実質的な同意とは同一ではない。

このような企業によるデータの不正取り扱いのパターンはエンターテインメント業界に固有のものではない。大量データ収集が負債となった場合の結果は深刻かつ広範に及ぶことがある。コンデュエントの情報漏洩で2,500万人のアメリカ人の政府関連機密記録が流出した事例に見られるように、一度データが収集・共有されると、その行き先を管理することはほぼ不可能になるという厳しい現実を思い知らされる。

規制当局もまた、オンラインデータ収集の他の領域における関連する緊張関係に取り組んでいる。世界各国の年齢確認法を巡る議論は、ユーザー保護と、人々を守るために設計された仕組みそのものがもたらすプライバシーリスクとのバランスを取ることがいかに難しいかを浮き彫りにしている。

企業のプライバシーの約束が十分でない理由、そしてあなたにできること

ネットフリックスに対するテキサス州の訴訟は、プライバシーポリシーや企業のコミットメントが保証ではないことを改めて示している。企業はデータ慣行を変更することがあり、多くの場合、ユーザーが読むことのない利用規約の静かな更新を通じて行われる。法執行は事後にのみ行われるため、法的措置が始まる前に、あなたのデータはすでに収集・販売され、数十の第三者プロファイルに組み込まれている可能性がある。

コンデュエントの健康情報漏洩で1,000万件の記録が流出した事例はまさにこの点を裏付けている。一度データが企業の手を離れると、販売、漏洩、あるいはパートナーシップを通じてであれ、加入者がそれを取り戻す手段はほぼ存在しない。

では、実際に何ができるのか？以下に実践的な手順を挙げる：

• 利用しているすべてのストリーミングプラットフォームのアカウントプライバシー設定を確認する。 現在は多くのプラットフォームが広告トラッキングの制限やデータ共有のオプトアウト機能を提供しているが、これらの設定がデフォルトで有効になっていることはほとんどない。
• エンターテインメントの定額サービスには別のメールアドレスを使用する。 これにより、クロスプラットフォームでのデータ連携を制限できる。
• あなたの州にプライバシーのオプトアウト権があるかどうかを確認する。 カリフォルニア州、テキサス州、バージニア州など複数の州では、居住者が企業に個人情報の販売停止を要求する権利を持っている。
• データ削除リクエストを実際の選択肢として認識する。 複数の州法のもとで、あなたは企業があなたについて保持しているデータの削除を要求することができる。
• 広告支援型プランには懐疑的になる。 低コストの広告支援型定額プランは、より積極的なデータ収集を可能にするからこそ補助されていることが多い。

ネットフリックスに対するテキサス州の訴訟の行方は、注視する価値がある。重要な判決や和解が成立すれば、ストリーミングプラットフォームが全国で加入者データをどのように取り扱うかについての先例となりうる。それまでの間、最も信頼できるプライバシー保護は企業の約束ではなく、自分がどのようなデータを誰と共有するかについての、あなた自身の十分な情報に基づいた選択にある。