FacebookやInstagram(インスタグラム)の信頼を得ていた広告パートナーであるHyp3rは、これらのソーシャルネットワークのポリシーに反して何百万人というユーザーの位置情報やその他の情報を密かに収集・保存してきたとBusiness Insiderが米国時間8月7日に報じた。FacebookやInstagramが無知だったか、あるいは共謀していたかでなければ、なぜこうした事態が何年も続いたのか理解に苦しむ。
Business InsiderがInstagramにただしたところ、同社はHyp3rがポリシーに違反していた事実とプラットフォームから除外されたことを認めた。TechCrunchへの文書で、Facebookの広報は報道を認め、次のように述べた。
Hyp3rの行いは容認されるものではなく、我々のポリシーに反している。その結果、我々はHyp3rをプラットフォームから除外した。我々はまた、他の企業がパブリックロケーションのページを台無しにすることがないよう、プロダクトの変更を行なった。
Hyp3rは数年前に、広告主が野球の試合やコンサートといった特定のイベントに参加するユーザーをターゲットとできるプラットフォームとして設立された。同社はもともとはデータを吸い取るためにInstagramのオフィシャルAPIを使用した。この手のデータ収集手法は芳しくないテック企業(最も悪名高いのがCambridge Analyticaだ)が何年も展開してきたものだ。
野球の試合を観戦したから広告がくるようになるというのはさほど恐ろしいことではない。しかしもし、あなたの正確な位置情報だけでなくあなたの写真に写っているものや、訪れた場所のタイプなどを絶えず記録し続け、それらの情報を他の人口統計学と組み合わせて詳細なシャドープロフィールを作るとしたら、それはなかなか怖い。そうやってHyp3rのビジネスモデルは発展してきた。
残念ながら、APIは2018年はじめにかなり厳しく制限され、Hyp3rが位置情報やユーザーデータにアクセスするのは困難になった。これは、当時同社での解雇につながったという未確認情報があるが、同社はビジネスモデルを改めるのではなく、Instagram位置情報データの悪用を防ぐために設けられた見るからにかなり最小限のバリアをこっそり回避することで生き残ったようだ(そしてほどなくして数百万ドルの資金を調達した)。
こうした行いの一部はInstagramのロケーションページを利用していた。この機能では、相手がログインしているかどうかにかかわらずパブリックアカウントがリクエストした人に位置情報を提供できるようになる(これはInstagramによって使用不可とされた機能の1つだ)。
Business Insiderの報道によると、Hyp3rは位置情報の収集と個人アカウントのストーリーズ(コンテンツが24時間で消える)の保存にかかる制限を巧みに回避するツールを構築した。もしユーザーがHyp3rにモニターされている数千もの場所や地域のどこかで何かを投稿したら、ユーザーのデータは盗み取られ、彼らのシャドープロフィールに加えられる。
はっきりさせておくと、Hyp3rはパブリックのストーリーズとアカウントからの情報のみを集めた。当然のことながら対象となった人々はパブリックアカウントを選ぶことで一定のプライバシーをオプトアウトした。しかしCambridge Analyticaや他のケースが示したように、ユーザーが聞いたこともないような企業によってデータが密かに、そして体系的にパーソナルプロフィールに組み込まれるということがあるとは思いもよらないだろうし、あってはならないことだ。
しかしながらFacebookとInstagramは当然のことながらHyp3rを知っている。実際、Hyp3rはオフィシャルのFacebookマーケティングパートナー一覧に載っていた。
そしてHyp3rは、彼らがとっているメソッドのことだけでなく、何をしているのかを極めて明確に認識していた。同社がロケーションやブランドの追跡に基づいてプロフィールを作成していることは秘密でもなんでもなかった。今回、Hyp3rがFacebookのマーケティングパートナーから外されたことで明るみに出ただけだ。
Hyp3rは「消費者プライバシー規則とソーシャルネットワークの使用規則を遵守している」と主張し、パブリックデータにアクセスしただけだ、と声明文で強調した。
Hyp3rがどのようにFacebookマーケティングパートナーとして存在し続け、と同時にどうやってそうした規則を露骨に破ってきたのかは不明だ。もしこうしたパートナー企業が彼らのプロダクトやメソッドについて芳しくないレビューを受け取れば、情報に通じた監査担当者の目に、Hyp3rが収集していた位置情報や他のデータの正当なソースがないことが明らかにならないだろうか。Facebookの許可がない限り特に禁止されているAutomated Data Collection(自動データ収集)を行なっていると明らかにならないだろうか。
どのように、そしていつマーケティングパートナーがレビューされたのか、そして自動データ収集禁止の基礎的な違反がなぜこんなにも長い間見過ごされていたのか、私はFacebookに詳細を問い合わせている。このニュースはまだ現在進行形で、今後アップデートされるかもしれない。
イメージクレジット: Bryce Durbin/TechCrunch
[原文へ]
(翻訳:Mizoguchi)