セキュリティ

Facebookユーザー300万人の個人属性を分析可能なデータセットが4年間も誰でもアクセスできる状態だったことが判明

By Stock Catalog

Cambridge Analytica(ケンブリッジ・アナリティカ)経由でユーザーデータが大量流出したスキャンダルによって大ダメージを受けているFacebookですが、新たに300万人以上のユーザー属性を詳細に示すデータセットが4年間にわたって誰でも簡単にアクセスできる状態で放置されていたことが判明しました。Facebookはこの件に関して調査を開始していますが、個人情報の利用ポリシーの機能不全について責任を免れそうにはありません。

Huge new Facebook data leak exposed intimate details of 3m users | New Scientist
https://www.newscientist.com/article/2168713-huge-new-facebook-data-leak-exposed-intimate-details-of-3m-users/

Anyone could download Cambridge researchers’ 4-million-user Facebook data set for years | TechCrunch
https://techcrunch.com/2018/05/14/anyone-could-download-cambridge-researchers-4-million-user-facebook-dataset-for-years/

New Scientistの調査によると、ケンブリッジ大学の研究者が開発した「myPersonality」と呼ばれるアプリによって600万人のユーザーから個人情報が収集されました。myPersonalityアプリは心理テストへの回答からユーザーの属性を分析するものでした。そして、600万人のアプリ利用者のうち約半数にあたる310万人のユーザーが、FacebookプロフィールのデータをmyPersonalityプロジェクトとのデータ共有に同意していたとのこと。こうして、「開放的か」「まじめか」「外向性はあるか」「同調性はあるか」「神経質の程度」など「Big Five」と呼ばれる指標から個性を総合的に判断する心理学的な手法を活用して得られた、個人の趣向・嗜好を示す大量の個人情報が収集されることになりました。

By Adriano Gasparri

データ共有に同意したユーザーの個人データは、ユーザー名を削除した匿名データという形に体裁を整えた上で、データ分析に適する一つのデータセットとしてまとめられました。そして、このデータセットは研究目的で利用できるように、「myPersonalityプロジェクトの協力者として登録し、利用規約に従う」という条件で広く一般に提供されていたとのこと。なお、このデータセットを管理していた研究者には、ケンブリッジ・アナリティカによるデータ活用テクニックの着想を与えることになったミハエル・コジンスキー博士が含まれています。

問題は、データセットを利用すべく規約に同意したのが研究者だけでなく、Google、Microsoft、Yahoo!などのIT企業を含めて150組織の280人以上に及んでいたこと。そして、個人名は削除されていたものの、Facebookデータから収集された他のデータに照らし合わせることで個人を特定することが可能だったデータは、ターゲット広告などとして商業利用された可能性が高いことです。なお、当時のFacebook利用ポリシーでは、収集したユーザーデータを他者に頒布する行為は禁止されており、myPersonalityによって収集したデータの活用は利用規約違反でしたが、なぜかFacebook関係者からもmyPersonalityプロジェクトへの登録申請があったそうです。

なお、ケンブリッジ・アナリティカも2013年にmyPersonalityプロジェクトへの協力者としての参加申請を行っていましたが、政治利用への疑念から申請は却下されたとのこと。しかし、ケンブリッジ・アナリティカのためにデータ分析手法を授けたアレクサンダー・コーガン博士は2014年に参加申請が認められていたことがわかっています。


研究目的での利用が求められ一定のスクリーニングが行われていたmyPersonalityプロジェクトでしたが、プロジェクトへ参加登録したある研究者が、学生にデータを使用させるためにGitHubに資格情報を公開していました。New Scientistによると、「4年間にわたって1回の検索でこの資格情報にたどり着くことが可能な状態だった」そうで、誰でも容易に資格情報を入手してmyPersonalityデータセットにアクセスできる状態だったことが判明しています。

Facebookはポリシー違反を理由にmyPersonalityアプリの利用停止をしたことを明らかにしていますが、利用停止にしたのは1カ月前だとのこと。それまでFacebookで収集された大量のユーザーデータが利用できる状態で放置していたことに対しては批判が集まりそうです。

・関連記事
SNS情報から個人の趣向を丸裸にし投票行動を自在に操作する影のネット戦略がトランプ大統領を誕生させた - GIGAZINE

Facebookの個人データ5000万人分が流出した一件を告発したクリストファー・ワイリー氏とは? - GIGAZINE

5000万人のユーザーデータを不正利用されたFacebookのザッカーバーグCEOが間違いを犯したと認める - GIGAZINE

5000万人分のユーザー情報を「不正利用」されたFacebookの時価総額が10日間で7兆円も下落、広告も減少 - GIGAZINE

Facebookから流出した情報にはプライベート・メッセージが含まれる可能性が報じられる、ケンブリッジ・アナリティカは否定 - GIGAZINE

5000万人分の個人情報を不正利用されたFacebookはユーザーだけでなく従業員への対応にも四苦八苦 - GIGAZINE

Facebookのエンジニアが女性をストーカーするために権限を乱用したという疑惑が浮上 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by logv_to