Facebook(フェイスブック)は、およそ5000本のアプリにおいて、すでに利用を止めているにもかかわらず、開発者がユーザーの個人情報にアクセスできる状態になっていたと話した。米国時間7月1日、使わなくなって90日が経過したアプリから、本来ならユーザーがアプリの使用を再開しアクセスを再び許可するまでアクセスできないはずのユーザー情報に、その期間を超えてもアプリ開発者がアクセスできてしまうという問題を最近になって発見したと説明(Facebookリリース)した。
2018年、8700万人のFacebookユーザーの個人情報が不正に渡っていたCambridge Analytica(ケンブリッジ・アナリティカ)事件の煽りを受け、Facebookは、アプリ開発者がユーザーの個人情報へアクセスする際の決まりを変更すると発表(未訳記事)した。そのとき数多くの規制がFacebookのAPIプラットフォームに加えられたが、その中に「Facebookでログイン」の使用における審査プロセスを厳格化するものがあった。アプリが3カ月間使用されなかったとき、アプリからのユーザーの個人情報へのアクセスをブロックするというものだ。
今回のデータ共有問題に関しては、その規制がしっかり実行されていなかったということになる。
「Facebookでログイン」は、Facebookのサインイン認証をバックグラウンドで利用することで、ユーザーが簡単にアプリにサインインできる手段をアプリ開発者に提供するものだ。だがこれは同時に、対象ユーザーの電子メール、好み、性別、位置、誕生日、年齢層などFacebook上の個人情報サブセットへのアクセス要求を開発者に許すものでもあった。5000本のアプリから、ユーザーの個人情報を詳細に特定するアクセスがどれほどあったかは不明だ。Facebookによれば「あるアプリは言語や性別にアクセスしていた」と話しているが、「Facebookでログイン」で要求できるユーザー情報は、その2つの属性に限定されているわけではない。
Facebookの発表によれば、この問題は「Facebookでログイン」を使っているすべてのアプリに影響するものではなく、一部の状況でのみ発生(Facebookレポート)していたという。例えば「フィットネスアプリのユーザーが、そのアプリを使って友人を運動に誘ったとき、誘われた友人がアプリを何カ月も使っていなかったこと、つまり利用を止めてから90日以上経過していることを、Facebookは認識できなかった」と同社は話している。
この5000本のアプリは、過去数カ月ぶんのデータを精査した結果判明した。どれだけのユーザーが関わっているかFacebookは示していない。正確を期するなら、関係するユーザーは、そのアプリを使い始めるときにアクセスを許可した人たちなのだが、その許可は期限切れになっていた。
この新たに発見された問題は、アプリのユーザーが、アプリのアクセス許可を不正利用したことで、その「友達」ネットワークのすべてのユーザー情報へのアクセス権を提供してしまったCambridge Analytica事件のものとは違う。しかしこれは、Facebookの「友達」ネットワークを通じて、ユーザーの個人的なつながりから個人情報が漏れてしまう新たな実例となってしまった。この場合、ユーザーの個人情報は、意図せず開発者に共有されたわけだが、その原因には、ユーザーと、そのアプリの利用者で、それを試すよう招待した「友達」とのつながりもある。
Facebookでは、この問題はすでに修正され、現在も調査を続けている話している。
これに関連して同社は、データマイニングを、法的に言えば、開発者の手に委ねるための新しいプラットフォームポリシーと開発者向けポリシーを導入した。それにより、ユーザーの明示的な同意なくして開発者が第三者に個人情報を提供できる権利の制限、データのセキュリティー要件の厳格化、個人情報を削除すべき場合の明確化がなされた。
この規約によって開発者は「合法的な業務上の目的に必要とされなくなったとき、具体的には、アプリが閉じられたとき、Facebookから指示されたとき、または誤って個人情報を取得したときに、Facebookは個人情報の削除を要求できるようになった」と発表には明記されている。
この最後の2つの条項は興味深い。将来的にFacebookは、今回のようなデータアクセス問題を察知した場合に開発者に連絡をとり、開発者がユーザーの個人情報を誤って取得していると通報できることを意味するからだ。またFacebookの規約では、規約に従ってサードパーティーのシステムにリモート、あるいは物理的なアクセスを要求し、アプリがFacebookのポリシーに準拠しているかを確認するための監査ができるようになっている。ポリシーに反するデータがある場合は、新規約に則り、その削除を開発者に要請できる。
今後新たな問題が発生したとき、今回ブログ記事で公表したように、どこまで世界に告知されるかは、Facebook次第だ。
開発者向けのポリシーは、今回改定が加えられたうちの一部に過ぎない。Facebook SDK、Facebookでログイン、およびソーシャルプラグインの一部の利用に関連する個人情報の取り扱いをここでも厳格化するため、Facebookは、ビジネスツール利用規約を含む商用利用規約も改定した。商用利用規約の変更は「内容をより明確にするためでもある」と同社は話している。
こうした総合的な規約の改定で、Facebookはどの抜け穴を繕うのか、そしてそれが今後データアクセス問題が発生したときに、ユーザーの個人情報と透明性にどう影響するのかが完全に分析されるには、時間がかかる。
新しいポリシーと規約は、2020年8月31日に発効されるとのことだ。開発者は、この更新の同意に関して、特に何かをする必要はない。
関連記事:Twitterがビジネスユーザーの個人データ漏洩を発表
カテゴリー:セキュリティ
画像クレジット:Justin Sullivan / Getty Images
[原文へ]
(翻訳:金井哲夫)