Facebookの2021年4月初旬の大規模な情報漏えいに対し、規制当局が同社に制裁を加えるかどうかは未だ明らかではない。しかし、この事件の時間的経緯が明らかになるにつれ、Facebookの立場は危ういものになりつつある。
Business Insiderが米国時間4月3日発表したこのデータ侵害について、Facebook は当初、ユーザーの生年月日や電話番号などの情報は「古い」ものだと示唆して問題を小さく見せかけようとした。しかし、最終的に同社は、米国時間4月7日遅くに公開されたブログ投稿で、問題のデータが「2019年9月以前に」悪意のある者によってプラットフォームからスクレイピング(ウェブサイトからの情報抽出)されたことを明らかにした。
情報漏えいの時期が新たに公表されたが、それによりこの情報漏えいが2018年5月に発効したEUにおけるGDPR(一般データ保護規則)に抵触するのではないか、という疑問が持ち上がっている。
EUの規制では、データ管理者は情報漏えいの開示を怠った場合、全世界での年間売上高の最大2%、より深刻なコンプライアンス違反の場合は年間売上高の最大4%の罰金を科せられる。
Facebookは過去のプライバシー侵害に対し、2019年7月にFTC(米国連邦取引委員会)と50億ドル(約5400億円)を支払うことで問題を解決したが、2019年6月~9月はこの合意に含まれていない。この点から見ても、EUフレームワークは重要だ。
Not only is @Facebook past the indemnification period of the FTC settlement (June 12 2019), they also may have violated the terms of the settlement requiring them to report breaches of covered information (ht @JustinBrookman ) https://t.co/182LEf4rNO pic.twitter.com/utCnQ4USHI
— ashkan soltani (@ashk4n) April 7, 2021
米国時間4月7日、Facebookの監督機関であるアイルランドデータ保護委員会(DPC)は、今回の情報漏えいに対応する声明を出し、新たに公開されたデータセットの実態は完全には明らかではなく「オリジナルの2018年(GDPR以前)のデータセットから構成されているようだ」として、2017年6月~2018年4月の間に発生したとされる電話番号検索機能の脆弱性に関連する過去のデータ漏えい(2018年に開示済み)に言及した。しかしその中には、新たに公開されたデータセットは「それよりも新しい時点のものかもしれない記録と組み合わされている可能性がある」と書かれている。
関連記事:近頃起こったデータ漏洩についてFacebookからの回答が待たれる
FacebookはDPCの声明を受け、2019年、同年9月までのデータがプラットフォームから抽出されていたことを認めた。
4月7日のFacebookのブログ記事では、ユーザーのデータが、前述の電話番号検索機能の脆弱性ではなく、まったく別の手口でスクレイピングされていたという事実も新たに明らかになった。連絡先インポートツールの脆弱性を突いた手口である。
この手口では、未知数の「攻撃者」は、Facebookのアプリを模倣したソフトウェアを使って、大量の電話番号をアップロードしてプラットフォームのユーザーと一致する電話番号を検出する。
例えばスパム送信者は、大量の電話番号データベースをアップロードして、名前だけでなく、生年月日、メールアドレス、所在地などのデータとリンクさせて、フィッシング攻撃を行う。
今回のデータ侵害に対し、Facebookは即座に、2019年8月にこの脆弱性を修正したと主張したが、8月であればGDPRはすでに発効している。
EUにおけるデータ保護フレームワークにはデータ違反通知制度が組み込まれている。データ管理者は、個人データの漏えいがユーザーの権利と自由に対するリスクとなる可能性が高いと考えられる場合、不当に遅延することなく(理想的には漏えいの認識から72時間以内に)関連する監督機関に通知することが求められる。
しかし、Facebookは未だに今回の事件についてDPCに一切の開示をしていない。これはEUの議会が意図した規制の在り方に反する行為であり、規制当局はBusiness Insiderの報告書を受けて、米国時間4月6日、Facebookに対し情報開示を積極的に求めることを明らかにした。
一方、GDPRではデータ侵害が広く定義されている。データ侵害とは、個人データの紛失や盗難、権限のない第三者によるアクセス、また、データ管理者による意図的または偶発的な行動や不作為による個人データの漏えいを意味する。
Facebookは、5億人以上のユーザーの個人情報がオンラインフォーラムで自由にダウンロードできる状態であったという今回のデータ漏えいについて「違反」と表現することを慎重に避けている。これは、この違反に付随する法的リスクによるものだと考えられる。
ユーザーの個人情報を「古いデータ」と呼んで、ことの重大性を小さく見せかけようとしているのも法的リスクを考慮したうえでのことだろう(携帯電話番号、メールアドレス、氏名、経歴などを定期的に変更する人はほとんどいないし、法的に生年月日が変更されるケースは考えられないのだが)。
一方で、Facebookのブログ投稿はデータがスクレイピングされたことに言及し、スクレイピングとは「自動化されたソフトウェアを使ってインターネット上の公開情報を取り出し、オンラインフォーラムで配布する一般的な手口」であると説明している。つまり、Facebookの連絡先インポートツールを通じて流出した個人情報が何らかの形で公開されていたことを暗に示している。
ブログ投稿でFacebookが展開しているのは、何億人ものユーザーが携帯電話番号などの機密情報をプラットフォームのプロフィールに公開し、アカウントのデフォルト設定を変更しなかったので、これらの個人情報が「スクレイピング可能な状態で公開されている/プライベートではなくなっている/データ保護法でカバーされていない」という論法だ。
これはユーザーの権利やプライバシーを著しく侵害する、明らかにばかげた論法であり、EUのデータ保護規制当局は迅速かつ決定的に拒否しなければならない。さもなければ、Facebookがその市場力を悪用して、規制当局が保護すべき唯一の目的である基本的な権利を侵害することに加担することになる。
今回の情報漏えいの影響を受けた一部のFacebookユーザーは、Facebookのプライバシーを侵害するデフォルト設定を変更していなかったために、連絡先インポートツールを通じて情報が流出したのかもしれない。その場合でも、GPDRの遵守にかかる重要な問題が生じる。なぜなら、GPDRはデータ管理者に対して、個人データを適切に保護し、プライバシーを設計段階からデフォルトで適用することも要求しているからだ。
Facebookは何億件ものアカウント情報が無防備にスパマー(あるいは誰でも)に奪われてしまった。これは優れたセキュリティやプライバシーのデフォルト適用とは言い難い。
Cambridge Analyticaのスキャンダル再び、である。
関連記事:フェイスブックが隠しておきたかった電子メールをひっそり公開
過去にあまりにもプライバシーやデータ保護を疎かにしていたFacebookは、今回も逃げ切ろうとしているようだ。これまでデータスキャンダルの連続であっても、規制当局の制裁を受けることが比較的少なかったため、逃げ続けることに自信を持っているのかもしれない。年間売上高が850億ドル(約9兆3000億円)を超える企業にとって、1回限りの50億ドル(約5400億円)のFTCの罰金は単なるビジネス経費に過ぎない。
Facebookに、ユーザーの情報が再び悪意を持って自社のプラットフォームから抜き取られていることを認識した時点(2019年)でなぜDPCに報告しなかったのか、また、影響を受けた個別のFacebookユーザーになぜ連絡しなかったのかを問い合わせたが、同社はブログ投稿以上のコメントを拒否した。
また、同社と規制当局とのやり取りについてもコメントしないとのことだった。
GDPRは、情報漏えいがユーザーの権利と自由に高いリスクをもたらす場合、データ管理者は影響を受ける個人に通知することを義務付けている。それには、ユーザーに脅威を迅速に知らせることで、詐欺やID盗難など、データが漏えいした場合のリスクから自らを守るための手段を講じることができるという合理的な理由がある。
Facebookのブログ投稿にはユーザーに通知する予定はないとも記されていた。
Facebookの「親指を立てる」というトレードマークは、ユーザーに中指を立てている(ユーザーを侮辱する表現)と見た方が適切かもしれない。
カテゴリー:ネットサービス
タグ:Facebook、データ漏洩、プライバシー、GDPR、EU
画像クレジット:JOSH EDELSON / Contributor / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)