非営利のウェブサイトは訪問者を追跡しており、キーストロークを追跡するところまで行っているものもあります

公開: 2021-10-22

昨年、2億人近くの人々が、性教育、避妊薬へのアクセス、中絶へのアクセスなどの非常に個人的な問題のために多くの人々が頼る非営利団体であるPlannedParenthoodのウェブサイトにアクセスしました。 それらの訪問者が知らなかったかもしれないことは、plannedparenthood.orgを開くとすぐに、サイトに埋め込まれた約20の広告トラッカーが、ビジネスが生殖の自由ではなく、閲覧データの収集、販売、使用である多数の企業に警告したことです。

マークアップは、ブラックライトツールを介してPlanned ParenthoodのWebサイトを実行し、訪問者を追跡する28の広告トラッカーと40のサードパーティCookieに加えて、検索でホームページにアクセスする人々のマウスの動きとキーストロークをキャプチャできるいわゆる「セッションレコーダー」を見つけました。避妊薬や中絶に関する情報のようなものの。 このサイトには、ユーザーがサイトにアクセスしたかどうかをFacebookとGoogleに通知するトラッカーも含まれていました。

Markupのスキャンにより、Planned Parenthoodのサイトは、Oracle、Verizon、LiveRamp、TowerData、Quantcastなどの企業と通信していることがわかりました。これらの企業の一部は、人々の習慣に関する大量のデジタルデータへのアクセスを組み立てて販売するビジネスを行っています。

PlannedParenthoodのデジタル製品担当バイスプレジデントであるKatieSkibinski氏は、同社のWebサイトで収集されたデータは、「Planned Parenthoodおよびその関連会社による内部目的でのみ使用され」、同社はデータを第三者に「販売」しないと述べました。

「私たちはデータを使用して最も影響力のある方法を学ぶことを目指していますが、Planned Parenthoodでは、データ駆動型の学習は常に患者とユーザーのプライバシーを尊重して慎重に実行されます」とSkibinski氏は述べています。 「これは、分析プラットフォームを使用して集合データを収集し、洞察を収集し、デジタルプログラムの改善に役立つ傾向を特定することを意味します。」

スキビンスキーは、組織がデータブローカーを含む第三者とデータを共有していることに異議を唱えませんでした。

プランドペアレントフッドガルフコーストのブラックライトスキャン(中絶が本質的に禁止されているテキサスを含む湾岸地域の人々のために特別にローカライズされたウェブサイト)は、同様の結果を生み出しました。

非営利団体に関しては、Planned Parenthoodだけではありません。メンタルヘルスや依存症などのデリケートな分野で活動し、ウェブサイトの訪問者に関するデータを収集して共有しているところもあります。

The Markupは、Blacklightツールを使用して、中絶プロバイダーや非営利依存症治療センターに所属する組織を含む、非営利組織の23,000を超えるWebサイトをスキャンしました。 マークアップは、IRSの非営利マスターファイルを使用して、2019年以降に納税申告書を提出し、政府機関がメンタルヘルスと危機介入、市民権、医学研究などの分野に焦点を当てていると分類している非営利団体を特定しました。 次に、GuideStarに公開されている各非営利団体のウェブサイトを調べました。 それらの約86%がサードパーティのCookieまたは追跡ネットワーク要求を持っていることがわかりました。 比較すると、2020年にマークアップが上位80,000のWebサイトを調査したところ、87%が何らかのサードパーティの追跡を使用していることがわかりました。

スキャンした23,856の非営利ウェブサイトの約11%にFacebookピクセルが埋め込まれ、18%がGoogleAnalyticsの「リマーケティングオーディエンス」機能を使用していました。

マークアップは、439の非営利Webサイトが、訪問者のクリックとキーストロークを監視できるセッションレコーダーと呼ばれるスクリプトをロードしていることを発見しました。 それらの89は、IRSが主にメンタルヘルスと危機介入の問題に焦点を当てていると分類する非営利団体に属するWebサイト用でした。

「このウェブサイトのユーザーとして、あなたの情報を彼らと共有することによって、あなたはおそらくこの機密情報が第三者と共有されているとは思いませんし、あなたのキーストロークが記録されているとは絶対に思いません」とプライバシー研究者のGunes Acarセッションレコーダーに関する2017年の研究を共同発表したと述べた。 「ウェブサイトの機密性が高いほど、私は心配します。」

サイトにセッションレコーダーを設置している非営利団体の1つであるGatewayRehabの開発およびコミュニティリレーション担当副社長であるTracyPlevelは、非営利団体はより大規模な営利団体との競争力を維持する必要があるため、トラッカーとセッションレコーダーを使用していると述べました。

「私たち自身が非営利団体である私たちは、広告予算が​​大きい営利目的のプロバイダーや、同様のオンライン広告戦略でケアを求めている人々をつかみ、最大の「販売」報酬を提供しているプロバイダーと結び付ける依存症治療ブローカーに反対しています。 」とPlevelは言った。 「さらに、ユーザーエクスペリエンスが治療のフォロースルーに大きな影響を与えることを私たちは知っています。 誰かが治療に取り組む準備ができたら、プロセスにイライラしたり脅迫されたりする前に、可能な限り簡単に治療できるようにする必要があります。」

他の非営利団体にも、かなりの数のトラッカーがサイトに埋め込まれていました。 マークアップは、国外追放に直面している低所得者を代表するカンザスシティの法律クリニックであるSharma-Crawford Attorneys atLawのクリニックで26の広告トラッカーと50のサードパーティCookieを見つけました。

TheClinicの取締役社長であるRekhaSharma-Crawfordは、電子メールでの声明の中で、「私たちはプライバシーとセキュリティの懸念を非常に深刻に受け止めており、お客様が特定した問題に対処するために引き続きWebプロバイダーと協力していきます」と述べています。

100年以上前に設立された人道支援組織であるセーブザチルドレンには、26の広告トラッカーと49のサードパーティCookieがありました。 フランクリンD.ルーズベルト大統領が母子ケアに焦点を当てて始めた非営利団体であるマーチオブダイムズは、サイトに29を超える広告トラッカーと58のサードパーティCookieを持っていました。 カリフォルニアの癌治療および研究センターであるCityof Hopeには、25の広告トラッカーと47のサードパーティCookieがありました。

セーブ・ザ・チルドレンのグローバルデジタル戦略担当副社長であるポール・ブッチャーは、電子メールでの声明の中で、組織は「データ保護を非常に真剣に受け止めている」と述べました。 ブッチャー氏はまた、セーブ・ザ・チルドレンは「ユーザーエクスペリエンスを向上させるために」広告トラッカーを介して一部のデータを収集し、組織はデータ保持ポリシーを刷新している最中であり、最近新しいデータ責任者を採用したと書いています。

マーチ・オブ・ダイムズとシティ・オブ・ホープはコメントの要請に応じなかった。↩✧リンク

州レベルのプライバシー法ミス非営利団体

健康データはHIPAAによって管理され、FERPAは教育記録を規制しますが、Webサイトが訪問者を追跡する方法を管理する連邦法はありません。 最近、いくつかの州(カリフォルニア、バージニア、コロラド)が消費者プライバシー法を制定し、企業が追跡慣行を開示し、訪問者がデータ収集をオプトアウトできるようにすることを義務付けています。

しかし、カリフォルニア州とバージニア州の2つの州の非営利団体は、規制を遵守する必要はありません。

独自の連邦プライバシー法を提案したロンワイデン上院議員(D-OR)は、非営利団体は潜在的に機密性の高いデータを大量に蓄積すると述べました。

「非営利団体は、私たちが関心を持っている政治的原因や社会的見解から、私たちが関心を持っていることについての信じられないほど個人的な情報を保存しています」とワイデンは電子メールで述べた。 「データ侵害により、誰かが家庭内暴力支援グループ、LGBTQの権利団体、または彼らのモスクの名前に寄付していることが明らかになった場合、その情報はどれも信じられないほど非公開になる可能性があります。」

ただし、非営利団体のリーダーは、プライバシー法の要件に準拠するためのインフラストラクチャと資金が不足しており、生き残るためにはドナーに関する情報を収集して共有する必要があると主張しています。

「非営利団体によるデータの最も実質的で影響力のある使用法の1つは、資金調達です」と、非営利団体と企業で構成される擁護団体であるThe NonprofitAllianceのCEOであるShannonMcCrackenは述べています。 「将来の新しいドナーや現在のドナーに費用対効果の高い方法で到達する能力がなければ、非営利団体は今日ほど影響力を持ち続けることはできません。」

しかし、目的があるかどうかにかかわらず、プライバシーの専門家は、非営利団体が個人情報をデータブローカーやFacebookやGoogleなどの大手テクノロジー企業に提供していると述べています。

「非営利団体があなたの電話番号と名前をLiveRampと共有する場合があります。 明日、営利事業体は同じデータを再利用してあなたをターゲットにすることができます」と、プライバシーの専門家であり、連邦取引委員会の元チーフテクノロジストであるアシュカンソルタニは述べています。 「これらのサードパーティのアグリゲーターやデータブローカーに送られるデータフローは、多くの場合、非営利団体からも提供されます。」

10月4日にカリフォルニアプライバシー保護庁の常務取締役に任命されたソルタニは、もともと非営利の免除で導入されたカリフォルニア消費者プライバシー法の起草を支援しました。

カリフォルニア州非営利団体のCEOであるJanMasaoka氏は、多くの主要な非営利団体がデータブローカーと協力してデータの整理と分析を支援していると述べています。

「大きなドナーリストを持っている人はそれらを広範囲に使用します、それらのほとんどすべてがサービスの1つを使用します」とマサオカは言いました。 「彼らはそれを社内に保管していません。ほとんどの人がこれらのサービスの1つでそれを保管しています。」

彼女は、Blackbaudは非営利団体がしばしば頼る会社であると述べました。 登録されたデータブローカーのマーケティング資料は、550を超える非営利団体からのドナーデータと数百万の世帯に関する公開情報を組み合わせた協同組合データベースを宣伝しています。

Blackbaudはコメントの要求に応答しませんでした。

McCracken氏によると、資金が不足しているため、非営利団体はデータのセキュリティとプライバシーを管理するためにサードパーティのプラットフォーム(データブローカーでもある)にも依存しています。 しかし、これらの種類の企業もサイバー攻撃の影響を受けません。証券取引委員会の提出書類によると、Blackbaudは、ハッカーがパスワード、社会保障番号、銀行情報を盗んだランサムウェア攻撃を2020年に開示しました。 Identity Theft Resource Centerによると、数百の慈善団体、学校、病院が影響を受け、1,300万人以上が影響を受けました。

「彼らは仕事を遂行するためにこの種の問題のあるエコシステムに依存しており、その結果、サードパーティの広告会社と番号リスト、電子メールアドレス、または閲覧行動を共有し、メンバーを危険にさらしています」とSoltani氏は述べています。

例外

カリフォルニアやバージニアの前任者とは異なり、コロラドのプライバシー法案には非営利団体の免税はありません。

カリフォルニア州とバージニア州の両方で、法案の主な支持者は非営利団体に政治的策略として免税を与えました。 カリフォルニア州消費者プライバシー法の原動力となった不動産開発者であり、カリフォルニア州消費者プライバシー法の創設者であるアラステア・マクタグガルト氏は、彼の提案はすでにハイテク巨人からの反対に直面しており、非営利団体との政治的対決も望んでいないと述べた。

「あなたは最初の一歩を踏み出さなければならないので、これが最も跳ね​​返るのが最も簡単なものであると私たちは考えました」とMactaggartは言いました。 「最終的には、大きな非営利団体も含まれることを願っています。」

バージニア州消費者データ保護法を導入した州上院議員のDavidMarsdenは、法律が完全ではなかったが、それでも良いスタートを切ったことを反映して、その感情を繰り返した。

「これは、必要なすべての人をピックアップしますか、それとも免税を必要とするすべての人を免除しますか? おそらくそうではありませんが、かなり近づいています」とマースデン氏は述べています。 「この法案により、人々が立ち上がって私たちがやろうとしていることに反対することなく、法案を通過させることができました。」

州のプライバシー法案を共同で後援したコロラド州上院議員のロバート・ロドリゲス氏は、10万人以上のデータを持っている事業体はプライバシー保護に従う必要があると感じたため、非営利団体の免税は含めなかったと述べた。 彼はまた、他の州が免除されている理由も理解していませんでした。

「10万件を超えるレコードを持っている人は適切なサイズです」と彼は電子メールで述べました。 「彼らは従うべきいくつかの保護または要件を持っている必要があります。」

編集者注:この記事は元々、AlfredNGとMaddyVarnerによってTheMarkupに公開され、Creative Commons Attribution-NonCommercial-NoDerivativesライセンスの下で再公開されました。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • 同意なしにデータを収集するサードパーティのトラッカーが含まれている場合、Appleはアプリを拒否します
  • Androidがサードパーティのトラッカーに一意の識別子を与えないようにする方法
  • iPhoneがサードパーティのトラッカーに一意の識別子を与えないようにする方法
  • Mozilla Firefoxは、トラッカーと戦うために設計された新機能を提供するようになりました