Facebookが150以上の企業にユーザーの個人情報へのアクセスを特別に許可していたことが判明

ユーザーの個人情報の不正利用や流出問題で揺れるFacebookが、AppleやMicrosoft、Amazon、Netflixなど150社以上の企業に個人情報へのアクセス権限を特別に与えていたことをThe New York Timesが報じています。この問題は、2018年12月5日にイギリス議会が公開した、数百ページにわたるFacebookの内部文書から発覚したということです。

As Facebook Raised a Privacy Wall, It Carved an Opening for Tech Giants - The New York Times
https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

Facebook gave Spotify and Netflix access to users’ private messages - The Verge
https://www.theverge.com/2018/12/18/18147616/facebook-user-data-giveaway-nyt-apple-amazon-spotify-netflix

Facebook's data-sharing deals exposed - BBC News
https://www.bbc.com/news/technology-46618582

Facebookが個人情報の取り扱いについて問題になるのはこれが初めてではなく、2018年3月にCambridge Analyticaがユーザーの個人情報を悪用していた問題が発覚しています。また、2018年9月にはシステムの脆弱性を突かれて5000万人分のアクセストークンをアタッカーに盗まれるという問題も起こっています。

Facebookでユーザー5000万人に影響するセキュリティ漏えいが発覚、ユーザーのアクセストークンが盗まれる - GIGAZINE

The New York Timesによると、Facebookがユーザーの個人情報へのアクセス権限を与える「データ共有パートナーシップ」を複数の企業と結んでいたことが内部文書に示されていたそうです。この契約は2017年時点では有効で、一部には2018年夏時点で有効だったものも存在するとのこと。契約を結んだ企業はオンライン小売店やエンターテインメントサイトを含むテクノロジー企業が大半で、他には自動車メーカーやメディア企業などもあったそうで、合計で150社以上も契約していたとのこと。

例えば、Microsoftの検索エンジン「Bing」は2017年までFacebookユーザーのプロフィール情報や友人の名前へのアクセスを許可されていたとのこと。ただし、あくまでもプロフィール情報を「公開」に設定しているユーザーに限られていたそうです。これは「インスタントパーソナライゼーション」と呼ばれるプログラムの一部で、Facebookでつながる友人の誰がどのサイトを使ったかを訪問者に示すという機能がありました。インスタントパーソナライゼーションは2010年に導入されましたが、当初から大きな批判を浴び、2014年に廃止されました。Microsoftにはプログラム廃止以後もアクセス権限が与えられっぱなしになっていたそうですが、Microsoftは既にこれらのデータを削除済みと述べています。

また、Appleは、たとえユーザーがプロフィール情報公開を無効にしていたとしても、連絡先とカレンダーへのアクセスが許可されていたとのこと。The New York Timesの取材に対してAppleは「私たちもFacebookも、特別なアクセス権を与えられていたことには気づいていなかった。ユーザーデータはユーザーのデバイスから失われることはありません」と語っています。

Spotify、Netflix、Royal Bank of Canadaは、Facebookユーザーのプライベートメッセージの閲覧・編集・削除ができる権限を与えられていたことがわかりました。これはFacebookメッセンジャーのシステムを構築する初期段階の一環として、2010年に始まったAPIによるものだとのこと。Spotifyは特別な権限が与えられていたことを認識していないとコメントしています。

NetflixはThe Vergeの取材に対して「Netflixをより社会に普及させるため、何年にもわたってさまざまな方法を試みました。これはNetflixの会員がFacebookメッセンジャーを通じて友人にテレビ番組や映画を推薦できるようにするための機能で、2014年に開始したものです。しかし、2015年にはもうその機能を廃止してしまう程度には人気がでませんでした。私たちはFacebookユーザーのプライベートメッセージにはアクセスしませんでしたし、Facebookユーザーはプライベートメッセージに他サイトへのアクセスを求めてはいなかったのです」と語っています。

ユーザーの個人情報や連絡先にアクセスを許可されていたAmazonは、「私たちのプライバシーポリシーに従って使用しています」というコメントを述べています。

Facebookは2011年に、「明示的な同意なしにユーザーのデータを共有しない」と連邦取引委員会(FTC)に誓約していて、Facebookはこれに違反するものではないと主張しているものの、今回のデータ共有問題は明らかに誓約を破っているという批判を浴びています。個人情報保護を推進するNGO「プライバシー・インターナショナル」は、「Facebookはユーザーに対して、個人情報を収集・保存・共有・保持する方法を明確かつ完結に説明できなかった。2018年のFacebookのスキャンダルは驚異的なものであり、データの搾取が全体的に横行しているということを示しています」とコメントしています。