仕事のためのネットワークで6億人近いメンバーをもつLinkedInは、不気味なほど立ち入った人とのつながりを推奨してくることで、数々批判を受けてきた。なぜ、どうやってLinkedInがそんな推奨情報を知り得たのかは未だ明らかになっていない。
このたび欧州当局とのやりとりの結果、欧州におけるLinkedInのGDPR(一般データ保護規則)の実施状況は、不気味なだけでなく明確なデータ保護規則違反だったことかわかった。LinkedInは1800万件のメールアドレスを不正利用していた。
アイルランドのデータ保護委員会(DPC)が11月23日に発行した報告書には、Microsoft傘下のLinkedInによる自社ソーシャルネットワークのメンバー以外の人々の情報取扱いについて書かれている。
要約すると、LinkedInは登録者を増やすために、不当な方法で1800万人のメールアドレスを使用したことを認めた。その後LinkedInはそのような慣行を中止した。
まず、DPCは、米国のLinkedInがメンバー以外の1800万人のメールアドレスを取得し、これを使ってFacebookでターゲット広告を配信した。その際に必要となるデータ管理者であるLinkedIn Irelandの指示を受けていなかった。
これには経緯がある。LinkedInやFacebookらはGDPRの発効に際してそれまでアイルランドで実施されていたデータ処理を米国に移管した。
同社はこれを運用を「効率化」するためだと主張したが、非EUユーザーのデータ利用に関するGDPR責任をすこしでも回避するためだという批判を浴びた。
結局問題は解決し、「LinkedInは問題を起こしたユーザーデータ処理を直ちに中止した」とDPCは言った。、
次にDPCは、追加調査を行い、LinkedInはデータにソーシャルグラフ作成アルゴリズムを適用することで、ユーザーにネットワークのつながりを推奨したり、「事前計算」に使っていたことがわかった。
これは、ユーザーがネットワークを一から構築する苦労を軽減するために、ネットワークのつながりを推奨するために利用されていた。。
「監視の結果LinkedIn CorpはEUユーザーデータ管理者であるLinkedIn Irelandの指示によって、事前計算処理を中止し、2018年5月25日以前の処理に関わる個人データをすべて消去した」とDPCは書いた。5月25日はGDPRが発効された日付だ。
LinkedInは今回の調査全体について以下の声明を本誌に提供した:
「当社は2017年のDPCによる広告キャンペーン問題に関する調査の趣旨を理解し全面的に協力した」とLinkedInの欧州・中東・アフリカ地区プライバシー責任者のDenis Kelleherが言った。「遺憾ながら当社で制定した厳格な手続きが守られなかったことをお詫びする。当社は適切な処置を行い、再発しないよう作業方法を改善した。監査に伴い、追加分野における非メンバーデータのプライバシーについても、改善するよう自発的に作業方法を変更した」
(「追加分野」というのは事前計算のことである)
LinkedInの言葉を額面通りよ受け取るなら、同社はDPCが発見した問題点の修正だけでなく、指摘を受ける前に、自発的に行動規範を変更していることを示している。
LinkedInに限らないが、これは「許可を得るのではなく、許しを請う」タイプのやり方だ。。
ちなみになぜLinkedInが罰金を課せれないのか不思議に思っている人へ。それは、5月末時点では、GDPRに罰金を強制する権限がなかったからだ。
もうひとつわからない——DPCは明確に指摘していない——のは、LinkedInがどこで1800万件のメールアドレスなどの関連データを収集したかだ。
これも報告書に書かれているFacebookによる顔認識の利用、WhatsAppとFacebookの相互間におけるユーザーデータの共有などの案件は現在も調査が継続している。ユーザー5億人に影響を与えたYahooのセキュリティー侵害は、さまざまな会社での作業慣行の変更へとつながっている。
[原文へ]
(翻訳:Nob Takahashi / facebook )