2024年、Metaは米国・カナダのユーザー1人あたり約233ドルの収益を上げました。サブスクリプション収入ではありません。「無料」サービスを使う中で入力・クリック・ホバー・スルーしたすべての行動から構築された行動プロファイルへのアクセスを販売することで得た収益です。
この数字はMeta自身の四半期決算報告から引用したものです。プライバシー活動家の推測ではありません。広告市場があなたの注目と行動データに対してつけた価格であり、毎年上昇し続けています。
つまり、サービスが無料のとき、あなたはお得な取引をしているのではありません。あなた自身が取引の商品なのです。
アカウント登録時に実際に収集されるもの
メールアドレスは、収集されるものの中でもっとも軽微な部分です。アカウントを作成した瞬間から——多くの場合、トラッキングピクセルやサードパーティスクリプトを通じてそれ以前から——企業はプロファイルの構築を始めています。
明示的に収集される情報は分かりやすいでしょう。名前、メールアドレス、生年月日、所在地などです。しかし、本当の価値は行動データにあります。スクロールするたびに、立ち止まるたびに、検索するたびに、コンテンツを眺めるたびに、そのデータが記録されモデルに投入されます。そのモデルは、あなたが誰にも話したことのないことを推測します——不安を抱えているか、妊娠しているか、車を買おうとしているか。
こうしたすべての土台には、技術的なフィンガープリンティングが走っています。ブラウザの種類、画面解像度、インストールされたフォント、グラフィックカードの挙動——これらを組み合わせると、ログインしていなくてもCookieを削除しても、サイトをまたいであなたを追跡できるほぼ一意な識別子が生成されます。EFFのCover Your Tracks(ログイン不要で利用可能)を使えば、訪問先のサイトからあなたのブラウザがどれほど特定されやすいかを確認できます。多くの方が驚くはずです。
さらに厄介なのは、クロスサイトトラッキングです。サードパーティサイトに設置された「Googleでログイン」「Facebookでログイン」ボタンは、クリックしなくてもGoogleやMetaに情報を送信しています。ログインウィジェットが読み込まれるだけで、トラッキングが発生するのです。そのサイトに何も登録していなくても、あなたの訪問は記録されています。
ページが読み込まれるたびに行われるリアルタイムオークション
プログラマティック広告を掲載しているウェブページを開くと、約100ミリ秒の間にオークションが行われています。推定されたデモグラフィック、購買意欲のシグナル、閲覧履歴——あなたのプロファイルが何百もの広告主候補にブロードキャストされます。各社が入札し、落札した広告主が広告を表示します。この一連のプロセスはユーザーの目には見えませんが、落札者だけでなくオークションに参加したすべての入札者にあなたのデータが共有されています。
これがリアルタイム入札(RTB)と呼ばれる仕組みであり、広告エコノミーの根幹をなしています。プライバシーへの影響は副次的なものではなく、構造的なものです。あなたのデータを何百もの企業と同時に共有することが、システムの動作原理そのものなのです。
Googleの広告部門は2024年に約2,370億ドルを売り上げました。Alphabetが知名度だけで広告を販売しているわけではありません。Search、Gmail、YouTube、Maps、Android、そしてChromeブラウザで同時に行動を追跡するからこそ可能な精度の高いターゲティングを販売しているのです。2022年のバンダービルト大学の研究では、待機状態のAndroid端末が1時間あたり約14回、Googleのサーバーにデータを送信していることが推定されています。
想像以上に大きな情報漏えいの問題
無料アカウントは積み重なっていきます。時が経つにつれ、多くの方がフォーラムの登録、試用期間のサインアップ、使わなくなったアプリなど、数十のアカウントを抱えることになります。それぞれが潜在的な情報漏えいのリスクです。
Troy HuntのHave I Been Pwnedデータベース(ログイン不要でアクセス可能)は、2025年初頭の時点で140億件以上の侵害されたアカウントを追跡していました。この数字は、小規模なフォーラムから大手プラットフォームまで、数千件の個別の情報漏えいを反映しています。あなたのメールアドレスも、複数回含まれている可能性が高いでしょう。
本当の深刻さは個々の漏えいではなく、その後に起きることにあります。データブローカーは異なるソースからレコードを収集・統合し、包括的なプロファイルを販売します。2024年のNational Public Dataの情報漏えいでは、社会保障番号や住所を含む約29億件のレコードが流出しました。この企業はデータブローカーでした。無料サービスからデータが常に漏れ出し、それを買い取り、整理し、再販売する市場が存在するがゆえに、そうした情報をわざわざ収集していたのです。
IBMの2024年「Cost of a Data Breach Report」によると、世界平均の漏えいコストは1件あたり488万ドルに上ります。ただし、これは企業側のコストです。データを流出させられた個人が負担するコストは別の形で現れます——フィッシング詐欺、他のアカウントへの不正ログイン試行、そして数年後の本人確認詐欺として。
「漏えい後もデータは消えません。流通し続けます。2016年に流出した認証情報が、2026年でも不正ログイン攻撃に使われ続けているのです。」
「大したことない」と思っていたデータの使われ方
もっとも深刻な文書化された悪用事例は、仮定の話ではありません。調査され、制裁を受け、場合によっては当事者が認めていることです。
Metaの広告ピクセルが、米国トップ100の病院ウェブサイトの少なくとも33サイトに埋め込まれていることが判明しました。特定の症状の検索や診察予約の操作など、患者の健康に関する情報がFacebookの広告ターゲティングシステムに送信されていたのです。2022年にThe Markupが報じたこの問題で、本来そのデータは病院のシステム外に出るべきではありませんでした。
メンタルヘルスのオンラインカウンセリングサービスBetterHelpは、明示的に健康情報を共有しないと約束していたにもかかわらず、ユーザーの繊細なメンタルヘルス情報をFacebookとSnapchatの広告ターゲティングに利用したとして、2023年にFTCから780万ドルの和解金支払いを命じられました。
Twitter(買収前)は、二要素認証のために収集した電話番号を広告ターゲティングに流用したとして、2023年に1億5,000万ドルの和解に応じました。セキュリティのために提供した電話番号が、収益目的に使われていたのです。
Googleは2022年、「位置情報の履歴」を無効にしていたユーザーの正確な位置情報を追跡し続けていたことをAP通信の調査で明らかにされ、3億9,100万ドルの複数州合同和解を支払いました。設定には一つのことが書かれ、実際の動作は別のことをしていたのです。
これらは例外的なケースではありません。世界最大級のテクノロジー企業に対する、連邦規制当局による文書化された制裁措置です。
GDPRが効果的な点と限界
EUの一般データ保護規則(GDPR)は、欧州のユーザーに実質的な権利を与えています。データへのアクセス、削除、ポータビリティ、そして企業が個人データを処理する法的根拠を示す義務です。GDPRの制裁金は年間グローバル売上高の4%に達することがあり、Metaが2018年以降に支払ったGDPR制裁金は12億ユーロを超えています。
カリフォルニア州のCCPAも、カリフォルニア州民に同様の権利を付与しています。カリフォルニア州民であれば、技術的にはデータブローカーにレコードの削除を要求できます。ただし、Consumer Reportsの調査では、削除後数ヶ月以内に他のソースを通じてデータが再収集されることが多いと分かっています。削除要求は一度は機能しますが、データエコノミーは自動的にギャップを埋め直します。
2026年時点で、米国にはまだ包括的な連邦プライバシー法がありません。保護の水準は州、業種、企業の姿勢によって異なります。カリフォルニア州とEU以外のほとんどのユーザーにとって、法的保護は十分ではないと言えるでしょう。
本当に比べるべきこと
| ツール | アカウント必要 | 収集されるデータ | 収益モデル |
|---|---|---|---|
| Google Docs | 必要 | ドキュメントの内容、行動、メタデータ | 広告ターゲティング |
| Microsoft 365 Free | 必要 | 使用状況テレメトリ、コンテンツスキャン | アップセル+データ |
| Photopea(ログイン不要) | 不要 | 最小限のセッションデータ | 表示広告(非ターゲティング) |
| Excalidraw(ログイン不要) | 不要 | サーバー側に何も保存しない | オープンソース/寄付 |
| PDF24 Tools(ログイン不要) | 不要 | ファイルの内容(処理後は保持しない) | 広告 |
Photopeaはデスクトップアプリ水準でPSDファイルを扱えます。Excalidrawは本格的なコラボレーションホワイトボードです。どちらもアカウントが不要で、行動プロファイルを構築しません。アカウント必須のツールとの機能差は急速に縮まっています。
常にログイン不要のツールが有利とは限りません——Google DocsにはPhotopeasにない機能もあります。しかし、日常的なタスクの多くにおいて、機能の差はごくわずかか存在しないに等しく、そうなるとトレードオフの天秤は大きく傾きます。
実際にできること
永続的な保存が不要なタスクにはログイン不要のツールを使うことが、もっとも直接的なアプローチです。画像の簡単な編集、フォーマット変換、PDFツール、ホワイトボードスケッチ、文法チェックなど、サインアップなしで使えるツールが数多く存在し、実用的です。nologin.toolsでは、検証済みのツールを厳選してディレクトリにまとめています。
どうしてもアカウントが必要な場合は、一時メールサービスを使って使い捨てのメールアドレスを作成できます。本当のメールアドレスが数十のサービスにまたがるデータポイントになることを防げます。ログイン後の行動追跡には効果がありませんが、本来の個人情報を複数サービスで紐付けられるリスクを抑えられます。
ブラウザの使い方も重要です。用途ごとに別々のブラウザを使う、積極的なコンテンツブロッキング、自分のブラウザが何を公開しているかを把握すること——これらはすべて意味のある対策です。BrowserLeaksでは、現在の環境からどのようなフィンガープリント情報が見えるかを確認できます。
最近Hacker Newsで話題になったツール「Ichinichi」——1日1メモのエンドツーエンド暗号化・ローカルファーストのメモアプリ——は、注目に値するより大きなアーキテクチャの方向性を示しています。データをクラウドではなくデバイス上で処理するローカルファーストのアプリケーションは、サーバー側のデータ蓄積問題を根本から回避できます。ローカルファースト、ゼロ知識、プライバシーバイデザインのツールへの流れは加速しています。道徳的な勝利からではなく、それを求めるユーザーが増えて市場が生まれたからです。
すでに始まっている変化
規制当局の圧力は強まっています。制裁の規模は大きくなり、GDPRの制裁金は10億ユーロの大台を超えました。FTCも近年、データ慣行に関して過去10年よりも積極的に動いています。州レベルの法律も増え続けています。データ悪用の法的コストが上昇し、ユーザーデータを純粋な利益と見なしてきた企業の計算式が変わりつつあります。
技術的な代替手段はかつてないほど充実しています。ほぼすべての一般的なワークフローに対応したプライバシー重視のツールが、多くの場合オープンソースの基盤の上に構築されており、独自サービスには難しい形での信頼性を担保しています。
ただし、デフォルトはまだ監視です。多くの方が引き続きアカウントを作り、読まずに利用規約に同意し、日々のデジタルライフの記録で行動広告のエコシステムを支え続けるでしょう。そのデフォルトを変えていくこと——1つのツールを置き換えることから始めるのは完璧な解決策ではありませんが、確かな一歩です。
問題は、完全にアカウントなしで生活できるかどうかではありません。おそらくそれは難しいでしょう。問題は、どのアカウントが本当に必要で、どのアカウントは代替手段を探すより速いからと登録しただけなのか、見極めることです。