タグ: データ漏洩（用語）

Facebookの2021年4月初旬の大規模な情報漏えいに対し、規制当局が同社に制裁を加えるかどうかは未だ明らかではない。しかし、この事件の時間的経緯が明らかになるにつれ、Facebookの立場は危ういものになりつつある。

Business Insiderが米国時間4月3日発表したこのデータ侵害について、Facebook は当初、ユーザーの生年月日や電話番号などの情報は「古い」ものだと示唆して問題を小さく見せかけようとした。しかし、最終的に同社は、米国時間4月7日遅くに公開されたブログ投稿で、問題のデータが「2019年9月以前に」悪意のある者によってプラットフォームからスクレイピング（ウェブサイトからの情報抽出）されたことを明らかにした。

情報漏えいの時期が新たに公表されたが、それによりこの情報漏えいが2018年5月に発効したEUにおけるGDPR（一般データ保護規則）に抵触するのではないか、という疑問が持ち上がっている。

EUの規制では、データ管理者は情報漏えいの開示を怠った場合、全世界での年間売上高の最大2％、より深刻なコンプライアンス違反の場合は年間売上高の最大4％の罰金を科せられる。

Facebookは過去のプライバシー侵害に対し、2019年7月にFTC（米国連邦取引委員会）と50億ドル（約5400億円）を支払うことで問題を解決したが、2019年6月～9月はこの合意に含まれていない。この点から見ても、EUフレームワークは重要だ。

Not only is @Facebook past the indemnification period of the FTC settlement (June 12 2019), they also may have violated the terms of the settlement requiring them to report breaches of covered information (ht @JustinBrookman ) https://t.co/182LEf4rNO pic.twitter.com/utCnQ4USHI

— ashkan soltani (@ashk4n) April 7, 2021

米国時間4月7日、Facebookの監督機関であるアイルランドデータ保護委員会（DPC）は、今回の情報漏えいに対応する声明を出し、新たに公開されたデータセットの実態は完全には明らかではなく「オリジナルの2018年（GDPR以前）のデータセットから構成されているようだ」として、2017年6月～2018年4月の間に発生したとされる電話番号検索機能の脆弱性に関連する過去のデータ漏えい（2018年に開示済み）に言及した。しかしその中には、新たに公開されたデータセットは「それよりも新しい時点のものかもしれない記録と組み合わされている可能性がある」と書かれている。

関連記事：近頃起こったデータ漏洩についてFacebookからの回答が待たれる

FacebookはDPCの声明を受け、2019年、同年9月までのデータがプラットフォームから抽出されていたことを認めた。

4月7日のFacebookのブログ記事では、ユーザーのデータが、前述の電話番号検索機能の脆弱性ではなく、まったく別の手口でスクレイピングされていたという事実も新たに明らかになった。連絡先インポートツールの脆弱性を突いた手口である。

この手口では、未知数の「攻撃者」は、Facebookのアプリを模倣したソフトウェアを使って、大量の電話番号をアップロードしてプラットフォームのユーザーと一致する電話番号を検出する。

例えばスパム送信者は、大量の電話番号データベースをアップロードして、名前だけでなく、生年月日、メールアドレス、所在地などのデータとリンクさせて、フィッシング攻撃を行う。

今回のデータ侵害に対し、Facebookは即座に、2019年8月にこの脆弱性を修正したと主張したが、8月であればGDPRはすでに発効している。

EUにおけるデータ保護フレームワークにはデータ違反通知制度が組み込まれている。データ管理者は、個人データの漏えいがユーザーの権利と自由に対するリスクとなる可能性が高いと考えられる場合、不当に遅延することなく（理想的には漏えいの認識から72時間以内に）関連する監督機関に通知することが求められる。

しかし、Facebookは未だに今回の事件についてDPCに一切の開示をしていない。これはEUの議会が意図した規制の在り方に反する行為であり、規制当局はBusiness Insiderの報告書を受けて、米国時間4月6日、Facebookに対し情報開示を積極的に求めることを明らかにした。

一方、GDPRではデータ侵害が広く定義されている。データ侵害とは、個人データの紛失や盗難、権限のない第三者によるアクセス、また、データ管理者による意図的または偶発的な行動や不作為による個人データの漏えいを意味する。

Facebookは、5億人以上のユーザーの個人情報がオンラインフォーラムで自由にダウンロードできる状態であったという今回のデータ漏えいについて「違反」と表現することを慎重に避けている。これは、この違反に付随する法的リスクによるものだと考えられる。

ユーザーの個人情報を「古いデータ」と呼んで、ことの重大性を小さく見せかけようとしているのも法的リスクを考慮したうえでのことだろう（携帯電話番号、メールアドレス、氏名、経歴などを定期的に変更する人はほとんどいないし、法的に生年月日が変更されるケースは考えられないのだが）。

一方で、Facebookのブログ投稿はデータがスクレイピングされたことに言及し、スクレイピングとは「自動化されたソフトウェアを使ってインターネット上の公開情報を取り出し、オンラインフォーラムで配布する一般的な手口」であると説明している。つまり、Facebookの連絡先インポートツールを通じて流出した個人情報が何らかの形で公開されていたことを暗に示している。

ブログ投稿でFacebookが展開しているのは、何億人ものユーザーが携帯電話番号などの機密情報をプラットフォームのプロフィールに公開し、アカウントのデフォルト設定を変更しなかったので、これらの個人情報が「スクレイピング可能な状態で公開されている／プライベートではなくなっている／データ保護法でカバーされていない」という論法だ。

これはユーザーの権利やプライバシーを著しく侵害する、明らかにばかげた論法であり、EUのデータ保護規制当局は迅速かつ決定的に拒否しなければならない。さもなければ、Facebookがその市場力を悪用して、規制当局が保護すべき唯一の目的である基本的な権利を侵害することに加担することになる。

今回の情報漏えいの影響を受けた一部のFacebookユーザーは、Facebookのプライバシーを侵害するデフォルト設定を変更していなかったために、連絡先インポートツールを通じて情報が流出したのかもしれない。その場合でも、GPDRの遵守にかかる重要な問題が生じる。なぜなら、GPDRはデータ管理者に対して、個人データを適切に保護し、プライバシーを設計段階からデフォルトで適用することも要求しているからだ。

Facebookは何億件ものアカウント情報が無防備にスパマー（あるいは誰でも）に奪われてしまった。これは優れたセキュリティやプライバシーのデフォルト適用とは言い難い。

Cambridge Analyticaのスキャンダル再び、である。

関連記事：フェイスブックが隠しておきたかった電子メールをひっそり公開

過去にあまりにもプライバシーやデータ保護を疎かにしていたFacebookは、今回も逃げ切ろうとしているようだ。これまでデータスキャンダルの連続であっても、規制当局の制裁を受けることが比較的少なかったため、逃げ続けることに自信を持っているのかもしれない。年間売上高が850億ドル（約9兆3000億円）を超える企業にとって、1回限りの50億ドル（約5400億円）のFTCの罰金は単なるビジネス経費に過ぎない。

Facebookに、ユーザーの情報が再び悪意を持って自社のプラットフォームから抜き取られていることを認識した時点（2019年）でなぜDPCに報告しなかったのか、また、影響を受けた個別のFacebookユーザーになぜ連絡しなかったのかを問い合わせたが、同社はブログ投稿以上のコメントを拒否した。

また、同社と規制当局とのやり取りについてもコメントしないとのことだった。

GDPRは、情報漏えいがユーザーの権利と自由に高いリスクをもたらす場合、データ管理者は影響を受ける個人に通知することを義務付けている。それには、ユーザーに脅威を迅速に知らせることで、詐欺やID盗難など、データが漏えいした場合のリスクから自らを守るための手段を講じることができるという合理的な理由がある。

Facebookのブログ投稿にはユーザーに通知する予定はないとも記されていた。

Facebookの「親指を立てる」というトレードマークは、ユーザーに中指を立てている（ユーザーを侮辱する表現）と見た方が適切かもしれない。

カテゴリー：ネットサービス

タグ：Facebook、データ漏洩、プライバシー、GDPR、EU

画像クレジット：JOSH EDELSON / Contributor / Getty Images

［原文へ］

（文：Natasha Lomas、翻訳：Dragonfly）

Facebookの欧州連合（EU）のデータ保護規制当局は、2021年4月第1週末に報告された大規模なデータ侵害について、この大手企業に回答を求めている。

この問題は、米国時間4月2日に Business Insiderが報じたもので、5億件以上のFacebookアカウントの個人情報（メールアドレスや携帯電話番号を含む）が低レベルのハッキングフォーラムに投稿され、数億人のFacebookユーザーのアカウントの個人情報が自由に利用できる状態になっていた。

ビジネスインサイダーによると「今回公開されたデータには、106カ国の5億3300万人以上のFacebookユーザーの個人情報が含まれており、その中には、米国のユーザーに関する3200万人以上の記録、英国のユーザーに関する1100万人以上の記録、インドのユーザーに関する600万人以上の記録が含まれる」。さらにその中には、電話番号、FacebookのID、氏名、所在地、生年月日、経歴、一部のメールアドレスなどが含まれていることを明らかにした。

Facebookは、データ漏洩の報告に対して、2019年8月に「発見して修正した」自社プラットフォームの脆弱性に関連するものだとし、その情報を2019年にも報告された「古いデータ」と呼ぶ。しかし、セキュリティ専門家がすぐに指摘したように、ほとんどの人は携帯電話の番号を頻繁に変更することはない。そのため、この侵害をそれほど重大でないものに見せようとするFacebookの反応は、責任逃れのための思慮の浅い試みのように思われる。

また、 Facebookの最初の回答が示しているように、すべてのデータが「古い」ものであるかどうかも明らかではない。

This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019. https://t.co/mPCttLkjzE

— Liz Bourgeois (@Liz_Shepherd) April 3, 2021

Facebookがまたしても起こったこのデータスキャンダルを、それほど重大でないものに見せようとする理由は山ほどある。欧州連合のデータ保護規則では、重大なデータ漏洩を関連当局に速やかに報告しなかった企業に対して厳しい罰則が設けられていることもその理由の1つだ。また、欧州連合の一般データ保護規則（GDPR）では、設計上およびデフォルトでのセキュリティが期待されているため、違反自体にも厳しい罰則が課せられる。

Facebookは、流出したデータが「古い」という主張を推し進めることで、それがGDPRの適用開始（2018年5月）よりも前であるという考えを宣伝したいのかもしれない。

しかし、欧州連合におけるFacebookの主なデータ監督機関であるアイルランドのデータ保護委員会（DPC）は、TechCrunchに対し、現時点ではそれが本当に古いと言えるのかどうかは十分に明らかではないと述べる。

DPCのGraham Doyle（グラハム・ドイル）副委員長は「新たに公開されたデータセットは、オリジナルの2018年（GDPR以前）のデータセットと、それより後の時期のものと思われるデータ接セットで構成されているようだ」との声明を出している。

ドイル氏はまた「情報が公開されたユーザーの多くはEUユーザーだ。データの多くは、Facebookの公開プロフィールからしばらく前に取得されたデータのようだ」とも述べている。

「以前のデータセットは2019年と2018年に公開されたが、これはFacebookのウェブサイトの大規模なスクレイピングに関連するものだ（当時Facebookは、Facebookが電話検索機能の脆弱性を閉鎖した2017年6月から2018年4月の間にこれが発生したと報告していた）。このスクレイピングはGDPR発効以前に行われたため、FacebookはこれをGDPRに基づく個人データ侵害として通知しないことに決めたのだ」。

ドイル氏によると、規制当局は週末にFacebookから情報漏洩に関する「すべての事実」を取得しようとしており、現在もそれは「続いている」。つまり、Facebookが情報漏洩自体を「古い」と主張しているにもかかわらず、この問題については現在も明らかになっていないということだ。

GDPRでは、重要なデータ保護問題について規制当局に積極的に知らせる義務が企業に課せられているにもかかわらず、この問題についてFacebookから積極的な連絡がなかったことがDPCによって明らかになった。それどころか、規制当局がFacebookに働きかけ、さまざまなチャネルを使って回答を得なければならなかった。

こうした働きかけによりDPCは、Facebookとしては、情報のスクレイピングは、Cambridge Analyticaのデータ不正利用スキャンダルを受けて確認された脆弱性を考慮して2018年と2019年にプラットフォームに加えた変更の前に発生したと考えていることが分かったと述べている。

2019年9月、オンライン上で、Facebookの電話番号の膨大なデータベースが保護されていない状態で発見された。

関連記事：Facebookユーザーの電話番号が掲載された大量データベースが流出

また、Facebookは以前、自社が提供する検索ツールに脆弱性があることを認めていた。2018年4月には、電話番号やメールアドレスを入力することでユーザーを調べられる機能を介して、10億から20億人のFacebookユーザーの公開情報が抽出されていたことを明らかにしているが、これが個人情報の貯蔵庫となっている可能性もある。

Facebookは2020年、国際的なデータスクレイピングに関与したとして、2社を提訴している。

関連記事：Facebookがデータスクレイピングを実行する2社を提訴

しかし、セキュリティ設計の不備による影響は「修正」から数年経った今でもFacebookの悩みの種となっている。

さらに重要なのは、大規模な個人情報の流出による影響は、インターネット上で今や自分の情報が公然とダウンロードにさらされるようになったFacebookユーザーにも及んでおり、スパムやフィッシング攻撃、その他の形態のソーシャルエンジニアリング（個人情報の窃盗を試みるものなど）のリスクにさらされていることだ。

この「古い」Facebookデータが、ハッカーフォーラムで無料で公開されるに至った経緯については、謎に包まれている部分が多い。

DPCは、Facebookから「問題となっているデータは、第三者によって照合されたものであり、複数のソースから得られたものである可能性がある」との説明を受けたと述べている。

Facebookはまた「十分な信頼性をもってその出所を特定し、貴局および当社のユーザーに追加情報を提供するには、広範な調査が必要である」と主張しているが、これは遠回しに、Facebookにも出所の見当がつかないということを示唆している。

「Facebookは、DPCに対し、確実な回答の提供に鋭意努めることを保証している」とドイル氏は述べている。ハッカーサイトで公開された記録の中には、ユーザーの電話番号やメールアドレスが含まれているものもある。

「ユーザーには、マーケティングを目的としたスパムメールが送られてくる可能性がある。また電話番号やメールアドレスを使った認証が必要なサービスを自ら利用している場合も、第三者がアクセスを試みる危険性があるため注意が必要だ」

「DPCは、Facebookから報告を受け次第、さらなる事実を公表する」と彼は付け加えた。

本稿執筆時点で、Facebookにこの違反行為についてのコメントを求めたが、同社はこれに応じなかった。

自分の情報が公表されていないか心配なFacebookユーザーは、データ漏洩について助言を行うサイト「haveibeenpwned」で、自分の電話番号やメールアドレスを検索することができる。

haveibeenpwnedのTroy Hunt（トロイ・ハント）氏によると、今回のFacebookのデータ漏洩には、メールアドレスよりも携帯電話番号の方がはるかに多く含まれている。

彼によると、数週間前にデータが送られてきた。最初に3億7000万件の記録が送られてきたが、その後「現在、非常に広く流通しているより大規模なデータ」が送られてきたという。

「多くは同じものですが、同時に多くが異なってもいます」とハント氏は述べ、次のように付け加えた。「このデータには1つとして明確なソースはありません」。

【更新1】Facebookは今回のデータ流出についてブログ記事を公開し、問題のデータは2019年9月以前に「悪意のある者」が連絡先インポート機能を使ってユーザーのFacebookプロフィールからスクレイピングしたものと考えていることを明らかにした。またその際、ツールに修正を行い、大量の電話番号をアップロードしてプロフィールに一致する番号を見つける機能をブロックすることで悪用を防ぐ変更を施している。

「修正前の機能では、（Facebookの連絡先インポートツールのユーザーは）利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができました」とFacebookは説明し、これらの情報には利用者の金融情報や医療情報、パスワードは含まれていないと付け加えた。

ただし、悪意のある者がツールを転用することでどのようなデータを取得できたかについて、あるいは当該行為者を特定し、訴追しようとしたかどうかという点については明記されていない。

その代わりに同社の広報は、そのような行為は同社の規約に違反しているとし「このデータセットの削除に取り組んでいる」ことを強調した。同社はまた「機能を悪用する人々を可能な限り積極的に追跡していきます」と述べているが、ここでも悪用者を特定して確実に排除した実例は示していない。

（例えば、Facebookが2018年にCambridge Analyticaのスキャンダルを受けて実施すると述べたアプリ内部監査の最終報告書はどこにあるのだろうか。英国のデータ保護規制当局は最近、Facebookとの法的取り決めにより、アプリ監査について公の場で議論することはできないと述べている。つまりFacebookは、自社ツールの不正使用にどう取り組むかについての透明性を回避することに関しては、積極的なアプローチをとっているようだ……）

「過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります」とFacebookは広報の中で述べており、ユーザーのデータが同社のサービス上で安全であることを一切保証していない。

同社はユーザーに対し、アカウントに提供しているプライバシー設定をチェックすることを推奨している。その設定には、同社のサービス上で他人があなたを検索する方法を制御する機能も含まれている。これではデータセキュリティの責任はFacebook自身ではなくFacebookユーザーの手中にあると言っているようなもので、Facebookデータ漏洩の事実から逸脱し、責任転換をしようとしているだけである。

もちろん、実際はユーザー次第ではない。FacebookユーザーがFacebookから提供されるのはデータの部分的なコントロールだけであり、Facebookの設計と仕組み（プライバシーに配慮したデフォルト設定を含む）が全面的に関与するものだ。

さらに、少なくとも欧州では、製品の設計にセキュリティを組み込む法的責任がある。個人データに対して適切なレベルの保護を提供できない場合、大きな規制上の制裁を受ける可能性があるが、企業は依然としてGDPRの施行上のボトルネックから恩恵を享受している。

Facebookの広報はまた、ユーザーが二段階認証を有効にしてアカウントのセキュリティを向上させることを提案している。

それは確かに名案だが、二段階認証に関しては、Facebookが二段階認証用のセキュリティキーとサードパーティ認証アプリのサポートを提供していることは注目に値する。つまり、Facebookに携帯番号を与えるリスクを冒すことなく、この付加的なセキュリティ層を追加することができる。ユーザーの電話番号を大量にリークしていた過去もあり、ターゲティング広告に二段階認証の数字を使うことも認めているため、Facebookに自分の電話番号を託すべきではないといえるだろう。

【更新2】Facebookは追加の背景説明で、規制当局との通信内容についてはコメントしないことを明らかにした。

同社はまた、侵害についてユーザーに個別に通知する計画はないと述べ、さらに、データが取得された方法（スクレイピング）の性質上、通知が必要なユーザーを完全に特定することはできないとしている。

カテゴリー：ネットサービス

タグ：Facebook、データ漏洩、GDPR、EU、ヨーロッパ、プライバシー、個人情報

画像クレジット：Jakub Porzycki/NurPhoto / Getty Images

［原文へ］

（文：Natasha Lomas、翻訳：Dragonfly）