Twitterが一部のユーザーの位置情報がパートナーに共有されたバグを公表

米国時間5月13日、Twitterは特定の条件下でアカウントの位置情報が同社のパートナーに共有されたバグについて明らかにした。ユーザーが位置情報の共有に同意していない場合でも共有されていた。同社によれば、このバグはiOSでTwitterを利用している一部のユーザーに影響し、対象となるユーザーにはすでに通知したという。

影響を受けたのはiOS上で複数のTwitterアカウントを利用し、いずれかのアカウントでオプションの機能を使って正確な位置情報を共有することを選択していたユーザー。位置情報の共有に同意していないアカウントについても、同一のモバイルデバイス上の1つまたは複数のアカウントから誤って位置情報のデータが収集されたとみられると、Twitterは説明している。

誤って収集された情報はリアルタイムの入札プロセスにおいてTwitterのパートナー(非公表)に共有された。つまりパートナーは許可を得られていない位置情報データを受け取ったということだ。Twitterは、位置情報は郵便番号または市単位(5km四方)に「ぼかされた」もので「精密」ではないとしている。つまり「住所を特定したり行動を正確に追跡したりすることはできない」データだったと同社は述べている。

この問題の影響を受けて位置情報が知られてしまったのではないか、あるいは身元がわかってしまったのではないかという懸念に対し、位置情報データを受け取ったパートナーにTwitterのハンドルネームや固有のアカウント識別子は渡っていないことをTwitterは保証している。パートナーは影響を受けたユーザーの身元を特定することはできず、位置情報データを保持してもいないと同社は述べている。

Twitterは以下のように説明している。

弊社はパートナーに対し、位置情報のデータを保持していないことと、データはパートナーのシステムに短時間存在しただけでその後は通常のプロセスの一部として削除されたことを確認している。

弊社はこの問題を修正し、再発防止に取り組んでいる。影響を受けたアカウントのお客様にはバグがすでに修正されたことを伝えた。ユーザーの皆様には、プライバシーの設定で弊社と共有するデータを確認することをおすすめする。

位置情報がいつ、どの程度の間共有されていたかは現時点では不明で、Twitterはこの点についてバグを公表した記事の中で明らかにしていない。データを受け取ったパートナーの名前や、最初にどのようにバグが発生したかも説明していない。位置情報データの削除に失敗したとだけ述べている。

コメントを求めたが、TwitterはTechCrunchに対し、これらの情報はいずれも開示しない予定であると語った。

Twitterは、影響を受けたユーザーには通知済みで、疑問があればフォームから同社のデータ保護担当に問い合わせるように呼びかけている。詳細が不明であるため、このバグによってGDPRの罰金がどうなるかは現時点ではわからない。

[原文へ]

(翻訳:Kaori Koyama)