ネットサービス

Facebookが150以上の企業にユーザーの個人情報へのアクセスを特別に許可していたことが判明


ユーザーの個人情報の不正利用や流出問題で揺れるFacebookが、AppleやMicrosoft、Amazon、Netflixなど150社以上の企業に個人情報へのアクセス権限を特別に与えていたことをThe New York Timesが報じています。この問題は、2018年12月5日にイギリス議会が公開した、数百ページにわたるFacebookの内部文書から発覚したということです。

As Facebook Raised a Privacy Wall, It Carved an Opening for Tech Giants - The New York Times
https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html


Facebook gave Spotify and Netflix access to users’ private messages - The Verge
https://www.theverge.com/2018/12/18/18147616/facebook-user-data-giveaway-nyt-apple-amazon-spotify-netflix


Facebook's data-sharing deals exposed - BBC News
https://www.bbc.com/news/technology-46618582


Facebookが個人情報の取り扱いについて問題になるのはこれが初めてではなく、2018年3月にCambridge Analyticaがユーザーの個人情報を悪用していた問題が発覚しています。また、2018年9月にはシステムの脆弱性を突かれて5000万人分のアクセストークンをアタッカーに盗まれるという問題も起こっています。

Facebookでユーザー5000万人に影響するセキュリティ漏えいが発覚、ユーザーのアクセストークンが盗まれる - GIGAZINE


The New York Timesによると、Facebookがユーザーの個人情報へのアクセス権限を与える「データ共有パートナーシップ」を複数の企業と結んでいたことが内部文書に示されていたそうです。この契約は2017年時点では有効で、一部には2018年夏時点で有効だったものも存在するとのこと。契約を結んだ企業はオンライン小売店やエンターテインメントサイトを含むテクノロジー企業が大半で、他には自動車メーカーやメディア企業などもあったそうで、合計で150社以上も契約していたとのこと。

例えば、Microsoftの検索エンジン「Bing」は2017年までFacebookユーザーのプロフィール情報や友人の名前へのアクセスを許可されていたとのこと。ただし、あくまでもプロフィール情報を「公開」に設定しているユーザーに限られていたそうです。これは「インスタントパーソナライゼーション」と呼ばれるプログラムの一部で、Facebookでつながる友人の誰がどのサイトを使ったかを訪問者に示すという機能がありました。インスタントパーソナライゼーションは2010年に導入されましたが、当初から大きな批判を浴び、2014年に廃止されました。Microsoftにはプログラム廃止以後もアクセス権限が与えられっぱなしになっていたそうですが、Microsoftは既にこれらのデータを削除済みと述べています。

また、Appleは、たとえユーザーがプロフィール情報公開を無効にしていたとしても、連絡先とカレンダーへのアクセスが許可されていたとのこと。The New York Timesの取材に対してAppleは「私たちもFacebookも、特別なアクセス権を与えられていたことには気づいていなかった。ユーザーデータはユーザーのデバイスから失われることはありません」と語っています。


Spotify、Netflix、Royal Bank of Canadaは、Facebookユーザーのプライベートメッセージの閲覧・編集・削除ができる権限を与えられていたことがわかりました。これはFacebookメッセンジャーのシステムを構築する初期段階の一環として、2010年に始まったAPIによるものだとのこと。Spotifyは特別な権限が与えられていたことを認識していないとコメントしています。

NetflixはThe Vergeの取材に対して「Netflixをより社会に普及させるため、何年にもわたってさまざまな方法を試みました。これはNetflixの会員がFacebookメッセンジャーを通じて友人にテレビ番組や映画を推薦できるようにするための機能で、2014年に開始したものです。しかし、2015年にはもうその機能を廃止してしまう程度には人気がでませんでした。私たちはFacebookユーザーのプライベートメッセージにはアクセスしませんでしたし、Facebookユーザーはプライベートメッセージに他サイトへのアクセスを求めてはいなかったのです」と語っています。


ユーザーの個人情報や連絡先にアクセスを許可されていたAmazonは、「私たちのプライバシーポリシーに従って使用しています」というコメントを述べています。

Facebookは2011年に、「明示的な同意なしにユーザーのデータを共有しない」と連邦取引委員会(FTC)に誓約していて、Facebookはこれに違反するものではないと主張しているものの、今回のデータ共有問題は明らかに誓約を破っているという批判を浴びています。個人情報保護を推進するNGO「プライバシー・インターナショナル」は、「Facebookはユーザーに対して、個人情報を収集・保存・共有・保持する方法を明確かつ完結に説明できなかった。2018年のFacebookのスキャンダルは驚異的なものであり、データの搾取が全体的に横行しているということを示しています」とコメントしています。

この記事のタイトルとURLをコピーする

・関連記事
Facebookは位置情報サービスをオフにしているユーザーの位置情報も入手している - GIGAZINE

Facebookで680万人のユーザーの未公開写真が流出した可能性が発覚 - GIGAZINE

Facebookが「広告再生時間」を最大で900%も水増しする粉飾を行っていたとして訴えられる - GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

Facebookでユーザー5000万人に影響するセキュリティ漏えいが発覚、ユーザーのアクセストークンが盗まれる - GIGAZINE

Facebookはユーザーに公開されない「影の連絡帳」を広告主に提供している - GIGAZINE

Facebookのクイズアプリから1億2000万人分ものユーザー個人情報が流出していた可能性 - GIGAZINE

「転職のためにFacebookの広告を使ってRedditのCEOを狙い撃ちした」という告白 - GIGAZINE

Facebookユーザー300万人の個人属性を分析可能なデータセットが4年間も誰でもアクセスできる状態だったことが判明 - GIGAZINE

データ流出スキャンダルでFacebookは月間13億回ものアクセスを喪失 - GIGAZINE

5000万人のユーザーデータを不正利用されたFacebookのザッカーバーグCEOが間違いを犯したと認める - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.