1月14日、Flux Research Groupが「The Empire Strikes Back (at Your Privacy): An Archaeology of Tracking on Government Websites : Flux Research Group」と題した記事を公開した。この記事では、世界各国の政府ウェブサイトにおけるトラッカーの導入とその進化について、ユタ大学の研究チームが実施した大規模な調査結果が詳しく紹介されている。

以下に、その内容を紹介する。

本報告は、ユタ大学のFlux Research Groupが、プライバシー保護技術の権威ある国際学会「PoPETS 2026」で発表した研究成果に基づいている。30年間に及ぶウェブの変遷をデータサイエンスの手法で解析した、極めて精緻な「ウェブ考古学」的調査である。

特筆すべきは、政府が市民に気づかれないよう情報を盗んでいるという話ではなく、「良かれと思って導入した便利な外部ツールが、結果として国家のデータ主権を脅かす構造を作り上げている」という警鐘である。

論文へのリンク

エンジニアリングの現場では、アクセス解析やフォント表示のためにサードパーティ（外部企業）のツールを導入することは一般的だ。しかし、これが「政府サイト」で行われると、以下のような深刻な構造的問題が発生する。

• 無意識のデータ流出: 政府がサイト改善のために「Google Analytics」等のツールを一行のコードで導入した瞬間、そのページを訪れた市民の行動データは、政府の手を離れ、外部企業のサーバーへと送信される。
• 「逃げ場のない」追跡: 民間サービスと異なり、納税や社会保障などの行政サービスは利用を拒否できない。市民は、自分の行動ログが民間企業に渡ることを承諾せざるを得ない「強制的なトラッキング」状態に置かれる。
• データ主権の喪失: 一度外部企業の手に渡ったデータは、その企業の拠点が置かれる国の法律の影響を受ける。日本の政府サイトのデータであっても、実質的な管理権が他国の企業や政府に移ってしまうリスクを孕んでいる。
• 名寄せによる個人特定: 単体では匿名に見えるデータも、外部企業が持つ他のサービス（検索履歴やSNS等）のデータと照合されることで、特定の個人が「どの行政支援を求めているか」まで可視化される危険性がある。

調査によれば、こうしたサードパーティ・トラッカーは2025年までに政府サイトの約50%にまで浸透しており、その多くは米国の大手プラットフォーム企業に集中している。

本研究は、利便性の代償として「公的な情報基盤」が特定の民間企業に依存しすぎている現状をデータで証明した。これは単なる技術選定の問題ではなく、国家レベルでのプライバシー保護とデータ主権をどう再構築すべきかという、極めて重要な問いを突きつけている。

詳細はThe Empire Strikes Back (at Your Privacy): An Archaeology of Tracking on Government Websites : Flux Research Groupを参照していただきたい。