クレジットカードの国際ブランドであるMastercardは、加盟店の手数料や利息などで利益を上げているだけでなく、世界中のユーザーから収集した膨大な決済情報の販売も行っています。そんなMastercardに対し、消費者団体の公益研究グループ(PIRG)は「Mastercardはクレジットカードユーザーのデータ販売をやめるべきだ」と訴えており、非営利組織の電子フロンティア財団もこれに賛同する声明を発表しました。

Mastercard, don't sell my data

https://pirg.org/edfund/articles/mastercard-dont-sell-my-data/



How Mastercard sells its ‘gold mine’ of transaction data

https://pirg.org/edfund/resources/how-mastercard-sells-data/

Consumer group says Mastercard is selling cardholders' data without their knowledge - CBS News

https://www.cbsnews.com/news/mastercard-credit-card-customer-data-sold/

PIRGは2023年9月に発表したレポートで、「今日私たちが日常的にやり取りする企業の多くは、顧客のデータを販売するという新しい収益源を見いだしています」と述べ、国際的な決済企業となっているMastercardが収集したユーザーデータを販売していると指摘しています。

世界中で日々膨大なクレジットカード決済を処理するMastercardは、カード所有者がいつ、どこで、何を、いくらで購入したかといったデータを収集します。もちろん、これらのデータは取引を正確に実行し、不正利用を防ぐといったクレジットカード本来の機能を担うためにも必要です。しかし、Mastercardはこれらのデータをクレジットカードの機能とは関係なく、データブローカーや広告主、その他のサードパーティーに販売して利益を上げているとのこと。



PIRGのレポートによると、Mastercardは社内のデータ&サービス部門を通じて合計1250億件超もの取引データベースを販売しており、購入したサードパーティーがユーザーの好みに合わせたターゲティング広告を配信したり、消費者行動を予測するモデルを作ったり、収益性の高い潜在的な顧客にリーチしたりすることを可能にしているそうです。実際、2014年の時点でMastercardはユーザーの消費パターンをビッグデータとして販売し、収益を上げていることが報じられています。

データセット販売プラットフォームであるAWS Data Exchangeのページを見ると、Mastercardのデータセットは消費者支出パターンを集約・匿名化したものであり、購入すると取引頻度や場所、時刻などのデータに基づいてユーザーを分類可能だとのこと。販売データが集約・匿名化されているため、サードパーティーが顧客の個人情報を手にするリスクは軽減されていますが、サードパーティーのデータに基づいた広告配信を妨げるものではありません。

Mastercardが販売するデータセットは、「ファストファッションを頻繁に購入する人」「高額チケットをオンラインでよく購入する人」「実店舗で買い物する人」といったユーザーカテゴリを地域ごとに抽出可能で、AIが割り当てたスコアに基づいて今後3カ月以内の消費行動を予測することもできるとPIRGは報告しています。



このように、収集したユーザーデータをサードパーティーへ販売するのはMastercardに限ったことではなく、その他のクレジットカード企業やスマートフォンメーカー、通信キャリア、自動車メーカーなどもデータ販売に従事しています。しかし、グローバルな決済企業としての地位を築いているMastercardの収益化戦略は、行き過ぎたデータ経済について知るよい事例だとのこと。

PIRGはMastercardなどの大企業によるユーザーデータの販売が、消費者に以下のような害をもたらす可能性があると述べています。

◆1:セキュリティと詐欺

企業がデータ収集と販売に従事すると、その分だけユーザーデータが侵害やハッキングにさらされるリスクが高まるとPIRGは指摘。Mastercardの場合は販売するデータを集約・匿名化しているものの、こうした対策を取っていない企業からデータが流出した場合、詐欺師がだまされやすい高齢者や認知症患者を特定するために悪用される可能性もあるとのこと。

◆2:迷惑で侵襲的なターゲティング広告

1970年代に平均的なアメリカ人が1日に見る広告の数は500〜1600件でしたが、従来の広告に加えてウェブサイト上やSNSにも広告があふれる現代では、1日に推定5000件もの広告が表示されているそうです。ただでさえ広告の数が増えたところに、企業が収集したユーザーデータを用いたターゲティング広告が増えれば、消費者が本来は不要なものに支出する可能性が高まります。

◆3:集約・匿名化されたデータからの個人特定

企業がプライバシーを保護するために用いる集約や匿名化は、実はそれほど有効ではないこともわかっています。マサチューセッツ工科大学が2015年に発表した研究では、3カ月間にわたる100万人分の匿名化されたデータセットを用いて、わずか4回の購入データから90%の精度で個人を識別できることが示されました。これに地理的データが組み合わされば、住所を特定できるほどの精度になる可能性もあるとのこと。



PIRGは、「企業のデータ収集と販売は行き過ぎています。データ収集と販売はほとんど規制されておらず、事実上すべての大手企業が、人々が予期しない方法で顧客データの収益化を始めています」と述べ、Mastercardに対してユーザーデータの販売をやめるよう呼びかけました。

そして10月10日、こうしたPIRGのキャンペーンに電子フロンティア財団も賛同を表明。声明の中で、「電子フロンティア財団はPIRGが主導するキャンペーンに参加し、Mastercardに対してデータ収集の制限とカード会員情報の販売停止を求めています。Mastercardは、企業を信頼する人々から収集した個人データの販売で利益を得ている企業のひとつに過ぎません。私たちは消費者擁護団体として同社に対し、データ販売を停止することにコミットして、カード会員からの信頼を尊重するよう求めています」と述べました。

Mastercard Should Stop Selling Our Data | Electronic Frontier Foundation

https://www.eff.org/deeplinks/2023/10/mastercard-should-stop-selling-our-data