Facebookデータ流出の対象EUユーザーは最大500万人、罰金は最大16.3億ドル

先日のFacebookのデータ流出で影響を受けた5000万人のうち、EU圏内の居住者は10%以下だったことを、同地域のプライバシーを管轄するIrish Data Protection Commission(IDPC、アイルランドデータ保護委員会)がツイートした。それでもFacebookは、最大16.3億ドルの罰金を課される可能性がある。これは前会計年度の全世界売上である407億ドルの4%に相当し、Facebookがユーザーのセキュリティーを十分に保護していなかったとEUが判断した場合に適用される。

Facebookは、IDPCのツイートへの 返信で、「当社はIrish Data Protection Commissionを含む諸機関と協力して、金曜日(米国時間9/28)に起きたセキュリティー問題の基礎データを調査している。影響を受けた可能性のあるユーザーの地域が確定でき次第、詳細情報を公表する予定である」と言った。

金曜日午前、Facebookは関係機関および一般大衆に向けて同社が火曜日の午後に発見したデータ漏洩を通知した。ここで重要なのは、アタックから通知までが72時間以内である点で、これを過ぎると全世界売上の2%の罰金が追加される。

今回の事件で、高度な技術をもつアタッカーらは、Facebookのプロフィール、プライバシー、およびビデオアップローダーに存在した3つのバグを組み合わせて5000万ユーザーのアクセストークンを盗み出した。このアクセストークンを使うとアタッカーはユーザーアカウントを乗っ取り、Facebook、Instagram、OculusのほかにもFacebookのログインシステムに依存する他のサービスでも本人になりすまして行動することができる。EUのGDPR法は不適切なセキュリティー対策行為に対して重い罰金を課すと脅しており、米国法よりも厳しいことで知られている。このため本捜査で発見される内容には重みがある。

大きな疑問は、盗まれたデータは何であり、どのように悪用された可能性があるかだ。捜査当局あるいは報道機関が、データの悪質な利用、例えばCambridge Analyticaが不正入手したデータがドナルド・トランプの選挙戦略に利用されたような証拠を見つけないかぎり、一般大衆がこれをFacebookのいつものプライバシースキャンダル以上のものとして見る可能性は低い。それでも、規制のきっかけになったり、Facebookログインシステムを使うパートナーの離脱につながるかもしれないが、世界は日常的にインターネットを蝕むサイバーセキュリティー問題に鈍感になっているようだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。