30兆円のデータブローカー産業 — 個人情報売買の5つの断面と規制の最前線

概要

「あなたの住所・年収・健康状態・宗教・政治的傾向・日々の移動経路」——これらはデータブローカーと呼ばれる企業によって収集・整理・売買されている。あなたの同意を経ることなく、多くの場合。

データブローカー（data broker）とは、消費者データを収集・分析し、マーケター・保険会社・金融機関・政府機関などに販売することを主業とする企業群だ。大手のAcxiom（現Liveramp）、LexisNexis Risk Solutions、Experian、Equifaxなどが知られるが、業界全体では数百〜数千の事業者が存在するとされる。市場規模は2024年時点で2,780億ドルに達し [5]、2033年には5,124億ドルまで拡大すると予測されている（CAGR 7.3%）。

AI著作権と学習データを巡る法的課題やデータのクロスボーダー移転と主権をめぐる議論とも深く連動するこの産業の実態と、規制の最前線を5つの断面から整理する。

1. 業界の規模と構造 ——30兆円産業の内訳

データブローカー市場の規模は一見すると誇張に思えるが、市場の定義が広い点を念頭に置く必要がある。狭義の「個人データ売買」に加え、信用調査・マーケティングデータ・位置情報分析・詐欺検知・本人確認サービス・採用調査など、データを基盤としたサービス全般が含まれる。

業界は大きく三層に分類できる。第一層は「マーケティングデータ」分野で、消費者の購買行動・デモグラフィック情報・オンライン行動データをターゲット広告向けに提供する。Acxiom・Oracle Data Cloud・LiveRampがこの領域の主要プレイヤーだ。第二層は「リスク・コンプライアンス」分野で、LexisNexis・Veriskが信用評価・保険引受・詐欺防止向けデータを提供する。第三層は「情報サービス」で、Thomson Reuters・Bloomberg・Factsetなどの法人向けデータプラットフォームが含まれる。

このうち最も規制議論が集中しているのが、消費者が意識しないままデータが流通する「マーケティング・ロケーション」セクターだ。各個人のスマートフォンGPSデータ・アプリ使用履歴・閲覧行動から生成されたプロファイルは、1人当たり数百ドルの価値で取引される。

2. 主要ビジネスモデル ——ロケーションデータ・身元照合・スコアリング

データブローカーの具体的なビジネスモデルは多様だが、最も問題視されるのがロケーションデータの売買だ。スマートフォンに搭載された無数のアプリは、利用者の許可（多くは利用規約の深部に埋め込まれた同意）を取得し、位置情報を継続的に収集する。これが集約・販売されることで、特定個人の「どこに住み、どこに通い、誰を訪問したか」が第三者に筒抜けとなる。

連邦取引委員会（FTC）が2024年に取締り対象としたX-Mode Social・InMarket・Gravy Analytics（Venntel）・Mobilewalla は、いずれも位置情報の売買を主業としていた [6]。これら企業が収集した位置データは、生殖医療クリニック・礼拝所・移民支援施設などの「センシティブな場所」への訪問情報を含んでおり、差別や報復に悪用されるリスクが指摘された。FTCはこれらの企業に対し、センシティブな場所に関する位置データの販売を永続的に禁じる命令を下した。

身元照合・スコアリングの領域では、消費者の社会保障番号・電話番号・銀行口座情報を中心としたプロファイルが、ローン審査・採用判断・賃貸審査などで利用されている。金融庁に相当する米国の消費者金融保護局（CFPB）は2024年12月、データブローカーが一定の個人財務情報を提供する場合に「消費者信用調査機関」としてFCRA（公正信用報告法）の規制対象とする規則案を提案した [2]。これが成立すれば、情報精度の確保・消費者による情報へのアクセス権・不正利用に対する保護が義務化される。

3. AI学習データ需要との接点 ——新たな成長ドライバー

データブローカー市場の新たな成長ドライバーとして浮上しているのが、AI学習データへの需要だ。大規模言語モデル（LLM）をはじめとするAIシステムの訓練には、膨大な量の多様なテキスト・行動・画像データが必要とされる。大手AI企業がWebスクレイピングや提携データ購入を通じてデータ調達を続ける中で、既にデータを大量保有するデータブローカーは「AIデータサプライヤー」としての新たな役割を帯びつつある。

2025年には、フランスのデータ保護当局（CNIL）が「一般公開されているWebページであっても、個人情報が含まれる場合はGDPRの保護対象となる」とのガイドラインを発表した [7]。同年、Anthropicが著作権クラス訴訟で15億ドルの和解に応じたことも、AI学習データの法的・倫理的議論に一石を投じた。

欧州の規制強化は、データブローカー業界のAIデータ提供事業に直接的なハードルをもたらす。一方で米国では、CCPA（カリフォルニア州消費者プライバシー法）の適用範囲拡大が進んでいるものの、連邦レベルの包括的プライバシー法は未成立であり、法的空白が続く。AI学習データへの需要と規制強化のはざまで、データブローカーは「価値あるデータ」と「違法なデータ収集」の境界線を見極めながら事業を組み替えている。

4. 規制の現在地 ——FTC・CFPB・カリフォルニア州DELETEアクト

規制の進捗は連邦・州・国際の三層で進んでいる。

連邦レベルでは、FTCが2026年2月に「外国の敵対者からアメリカ人を守るためのデータブローカー規制（PADFAA）」の遵守義務を13のデータブローカーに改めて通告した [1]。PADFAAは、データブローカーが北朝鮮・中国・ロシア・イランまたはそれらの関連企業に対し、米国市民のセンシティブ個人情報を販売・開示・提供することを禁止する法律だ。安全保障と個人情報の交差点で生じるリスクを直接規制するアプローチとして注目される。

州レベルで最も進んでいるのはカリフォルニア州だ。2026年1月からDELETE Act（SB 362）による「削除要求・オプトアウト・プラットフォーム（DROP）」が運用開始され、消費者は一度の申請で登録された全データブローカーに対して個人情報の削除を要求できるようになった [3]。データブローカーは毎年1月31日までにカリフォルニア州プライバシー保護機関（CalPrivacy）に登録し、年間手数料を支払う義務がある。DROPの施行は、データブローカー業界に対する規制強化の象徴的な一歩だ。

2025年に新たなプライバシー法を制定したのは、デラウェア・アイオワ・メリーランド・ミネソタ・ネブラスカ・ニューハンプシャー・ニュージャージー・テネシーの8州だ [4]。これにより20以上の州が独自のプライバシー法を持つ状況となり、企業にとってのコンプライアンスコストは増大している。

5. 消費者リスクの実態 ——4.7兆円の被害と詐欺連鎖

データブローカーから流出・転用された個人情報は、詐欺・なりすまし犯罪の主要な原料となっている。Javelin Strategyの2025年レポートによれば、米国の成人が2024年に詐欺・なりすまし犯罪で被った損害は470億ドル（前年比85億ドル増）に達した。FTCの2025年3月データでは、消費者が2024年に報告した消費者詐欺被害は125億ドル以上と、前年比25%増加している。

データブローカーの問題点は、個人が自分のデータがどこにあるかを知ることがほぼ不可能な点にある。一人の個人のデータは複数のブローカーに転売・再転売され、最終的にどの企業が保持しているかの追跡はほぼ不可能だ。「自分のデータを知る権利」「削除を要求する権利」は規制によって保障されつつあるが、実際のデータ削除が完全に行われるかは依然として疑問が残る。

さらに懸念されるのが「センシティブ属性」の推論問題だ。データブローカーは直接的な個人情報だけでなく、購買パターン・ソーシャルメディア行動・移動データから「健康状態・性的指向・妊娠状態・政治的傾向」などを統計的に推論する。こうした推論プロファイルが差別的な保険引受・採用判断・融資審査に使われる可能性は排除できない。

共通点と相違点

5つの断面から見えてくる本質は、データブローカー産業が「情報の非対称性」を商業モデルの中核に置いているという点だ。消費者が自分のデータの価値を知らない（または気付いていない）うちに、企業はそれを収益化する。GDPRのようなオプトイン型の同意規制と、米国のオプトアウト型の現状規制という根本的なアプローチの相違は、デジタル経済の構造を大きく左右する。

規制の向かう方向は明確だ——より強い消費者権利、より高い透明性義務、より重い罰則だ。しかし規制の国際的な分断（米国・EU・中国で異なるルール）は、「規制裁定」の余地を残す。コンプライアンスコストが低い法域でデータを保持し、高い法域の消費者には最低限の権利だけを与えるという戦略は、グローバル規制の整合が進まない限り可能であり続ける。

注意点・展望

2026〜2027年にかけて最大の注目点は、CFPB規則案の最終決定とその適用範囲だ。データブローカーが「消費者信用調査機関」として位置付けられれば、業界に対する法的義務と消費者保護の水準が劇的に変化する。一方でトランプ政権下でのFTC・CFPB の執行方針変化が規制実効性に影響する点は、見通しを不確実にする要素だ。

AIと個人データの交差点では、デジタル貿易とデータガバナンスの国際規範の行方が業界の中長期的な在り方を左右する。個人データの国際移転規制が強まれば、グローバルなデータ統合ビジネスモデルの変容を迫られる可能性がある。

Newscoda の見方

本サイトとして注目するのは、データブローカー業界とAIインフラの「利益共同体」が形成されつつあるという論点だ。AI学習データへの旺盛な需要は、データブローカーに新たな収益機会を提供する一方で、これまで「広告業界の裏方」として規制の外縁に置かれてきた業界を、AIガバナンスの論争の中心に引きずり込む。

多くの解説が「どの州で何の法律が施行された」という事実の列挙に終始しがちだが、Newscoda としては「規制の網が業界モデルの本質に届いているか」という視点を重視する。DROPのような消費者権利強化は重要な一歩だが、推論による属性付与・AIデータサプライチェーン・二次的・三次的な転売構造を射程に入れた規制設計は、現行の法制度ではまだ不十分だと考える。

今後6〜12か月で観察すべき変数：

• CFPB「Regulation V」（データブローカー規制案）の最終規則化の有無と適用範囲
• カリフォルニア州DROPの実際の運用状況（消費者申請数・ブローカーの対応履行率）
• 米国連邦プライバシー法立法の動向（ADPPA復活の可能性）
• 大手AI企業による「データブローカー買収・提携」のM&A動向
• EUのAI法とGDPRが交差するAI学習データ規制の執行事例

まとめ

データブローカー産業は2024年に2,780億ドルに達し、AI学習データ需要を新たなドライバーとして拡大を続けている。FTCによる位置情報ブローカーへの取締り強化、CFPBの規則案、カリフォルニア州DROPの開始、そして8州による新たなプライバシー法制定という一連の動きは、業界に対する規制圧力の高まりを示している。しかし、推論によるセンシティブ属性の生成・AI学習データへの転用・グローバルな規制裁定という問題は、現行規制の射程外に置かれたままだ。消費者が「自分のデータ」を取り戻す権利と、産業が「データ」を収益化する自由のバランスをどう引くか——この問いはデジタル経済の根幹に関わる。