家計簿アプリは、あなたの取引データをこっそり転売している
要約:「無料」の家計簿アプリの多くは、集約・匿名化した取引明細レベルのデータを第三者——金融機関、データブローカー、調査会社——に売ることで収益を上げています。その間に立つ連携サービス(Plaid、Yodlee、MX)は、この流れの上に数十億ドル規模のビジネスを築いてきました。主要な家計簿アプリのプライバシーポリシーを読めばそれが確認でき、注意深く読めば「匿名化」がいかに広い意味を持ちうるかが見えてきます。
データのサプライチェーン
家計簿アプリが銀行口座の連携をうたうとき、たいていあなたとアプリの間には3つの会社が立っています:
- あなたの銀行とやり取りする連携サービス(米国では Plaid が支配的。MX、Yodlee、Finicity などが競合)
- 家計簿アプリそのもの
- 下流のデータの買い手——金融機関、オルタナティブデータを調査するヘッジファンド、モデルを学習させるフィンテック企業、金融商品のアフィリエイト
データの流れは単純です。あなたの銀行 → 連携サービス → アプリ → 下流の買い手。どの段階も、あなたが読んでいないプライバシーポリシーに書かれています。連携サービスのポリシーには「匿名化したデータをアプリと共有することがある」と。アプリのポリシーには「匿名化したデータをパートナーと共有することがある」と。下流になるほど、追跡は難しくなります。
「匿名化」が実際に意味すること
プライバシーポリシーはしばしば、共有データは「匿名化」されている——名前と口座番号は取り除かれている——と約束します。しかし、日時・金額・店名を含む取引明細レベルのデータを本当に匿名化するのは、極めて難しいことで知られています。2015年の MIT の研究では、名前を取り除いた数百万人規模のデータセットでも、任意の4件のクレジットカード取引があれば90%の人を一意に特定できることが示されました。
データが価値を持つのに、あなた個人と結びついている必要すらありません。集約された取引データは、「今四半期、ある都市の外食支出が12%増えている」「ある動画サービスの解約が増えている」「ある層の消費者はローンを延滞しやすい」といったことを示します。どれもあなたの名前は不要ですが、どれもあなたの取引を必要とするのです。
「無料」の家計簿アプリは、どうやって無料を保ってきたか
全盛期の Mint は、このデータ販売の収益に加えて広告も配信していました。どちらもプライバシーポリシーに明記されていました。暗黙の取引はこうです——あなたは無料の家計簿を手にし、アプリはあなたの取引データと、売るための広告枠を手にする。14年間、この取引は双方にとって成り立っていました——Intuit が事業を統合し、損得勘定が変わるまでは。
Mint 以降の後継たちは、このモデルを分けました。データの流れは残したままサブスクを上乗せしたもの(Monarch、Copilot、Empower)。データの流れを拒み、きれいなサブスクだけにしたもの(YNAB)。そして、この仕組みそのものを丸ごと拒み、買い切りにしたもの(Penno、Buddy、Actual Budget)。
連携サービスこそが「要」
家計簿アプリが下すもっとも重大な決定は、Plaid(やその同等品)と連携するかどうかです。一度連携すれば、あなたの取引データは更新のたびに Plaid のインフラを流れます。Plaid のプライバシーポリシーは広範です——処理するデータを「サービス改善のために」使うことがある、とあり、その中には金融商品の開発や調査が含まれうると説明されています。
Plaid はいまや130億ドル規模の企業です(2021年時点の評価額)。この評価額は連携サービスの手数料では説明がつきません——説明するのはデータの流れです。Plaid は、ある見方によれば、主要な銀行そのものを除けば米国最大の消費者取引データの保管者なのです。
実際に検証できること
家計簿アプリのマーケティングが「あなたのデータは売りません」とうたっているなら、3つのことを確認してください:
- プライバシーポリシー。「サービスプロバイダー」「集約されたインサイト」「パートナーとの調査」といった文言を探します。これらは嘘ではなく——実際の流れの開示です。
- 連携サービスのポリシー。そのアプリが Plaid を使っているなら、アプリのポリシーが何と言おうと、あなたのデータは Plaid の規約に沿って流れます。
- Apple の App Store プライバシー表示。Apple はアプリに、どんなデータを収集しユーザーの身元に結びつけるかの開示を義務づけています。典型的な銀行連携の家計簿アプリの表示を見れば、取引データが収集され、身元に結びつけられうることがわかります。
構造的な代替案
これらが一切起きていないと確信できる唯一の方法は、連携サービスとの統合そのものがないアプリを使うことです。それが Penno の設計判断です。バイナリには Plaid の SDK も、MX も、Yodlee も、Finicity も入っていません。たとえこちらが望んだとしても、取引データを送信できるインフラが存在しないのです。データの通り道そのものがありません。
引き換えは本物です——取引をすべて自分で入力することになります。便利さは失われます。その代わりに得られるのは、「構造がマーケティングと一致している」という確かさです。
実際にどうすればいいか
銀行連携の家計簿アプリを使い続けたいなら、それで構いません——何百万人もがそうしていますし、データ販売のリスクは現実ではあっても、個人にとって破滅的というわけではありません。こう軽減できます:
- アプリと連携サービス、両方のプライバシーポリシーを読む
- 連携する口座を絞る(普通預金だけで家計管理するなら、証券口座はつながない)
- 銀行側で連携を解除する(多くの銀行はセキュリティ設定で連携サービスとの接続を確認・解除できます)
- 使うのをやめたら家計簿アプリのアカウントを削除する——アンインストールだけでなく、アプリのデータ削除設定で確認する
引き換えに見合わないと判断したなら、手入力という選択肢があります。1件あたりは遅くなりますが、データの流れそのものをなくせます。
この記事について
私(Penno の開発者)は、この主張に明らかな利害があります。それでも記事は事実に基づくよう努めました——上記の主張はすべて、名前を挙げた各社のプライバシーポリシーで検証できます。もし誇張や不公平に感じる部分があれば、メールをください。訂正します。
The Quiet Finance Letter を購読する
3〜4週に1本のエッセイ。プライバシー、インディーソフトウェア、家計簿アプリ業界について。トラッキングピクセルなし。返信一通で配信停止。
メールで購読 →メールアプリが開きます。アドレスは手作業で登録します——トラッキングなし、ダブルオプトインのスパムもなし。