5日間沈黙していたFacebookのCEO、マーク・ザッカーバーグ氏は、5000万人のアメリカ人に影響を与え、そのデータが政治利用されるに至ったデータ漏洩をめぐる同社の最近の論争について、最新情報を発表しました。ザッカーバーグ氏はまた、Facebookとユーザー間の「信頼関係の破壊」について改めて謝罪しました。この信頼関係の破壊は、今ではほぼ年に1回発生しているようです。
ザッカーバーグ氏、(再び)謝罪
ザッカーバーグ氏は一般向けの書簡の中で、Facebookが2014年以前に第三者とデータを共有する仕組みが原因で、 Strategic Communication Laboratories(SCL)やCambridge Analyticaといった企業が、ユーザーの許可が必要だったユーザー自身のデータだけでなく、友人のデータも入手できたことを認めました。友人のデータを本人の同意なしに共有することは、おそらく決して良い考えではありません。これは、欧州連合(EU)が一般データ保護規則(今年5月に発効)を策定した際に、それほど昔のことではないと認識したことです。
Facebookは、ケンブリッジ大学の研究者アレクサンダー・コーガン氏がユーザーのデータを収集していたことを知った後(これもFacebookが明示的に許可し、作成したルールとAPIを通じて)、第三者が友人の同意なしにデータを収集できるようにするのは得策ではないと認識したようです。同社は2014年に変更を加え、友人が同じサードパーティ開発者とデータを共有する許可を与えない限り、第三者が友人のデータを取得できないようにしました。
しかし、この場合でも、例えばFacebookでクイズに参加する際、ユーザーは自分が何にサインアップしているのかを完全に理解していない可能性があります。クイズアプリが写真、コメント、いいね、シェア、プロフィール情報など、タイムラインのあらゆるデータを要求する場合、ほとんどの人はクイズに参加したいという理由だけで「OK」をクリックし、同意することの意味を理解していない可能性があります。単純なクイズでもゲームでも、どんなアプリでも、自分や友人のあらゆるデータをこれほど簡単に入手できてしまう可能性があります。
ユーザーにも責任の一端はあるかもしれませんが、ほとんどの人はプライバシーポリシーを無視します。通常は正当な理由があります。プライバシーポリシーは意図的に読みにくく、理解しにくいように作られているからです。企業もまた、ユーザーにとってオプションや設定がどれだけ分かりやすいか、あるいは分かりにくいかについて責任を負う必要があります。
ザッカーバーグ氏は、2015年にメディアからクローガン氏がケンブリッジ・アナリティカにデータへのアクセスを与えていたことを知り、その後フェイスブックはクローガン氏とケンブリッジ・アナリティカに対し、不当に取得されたデータをすべて削除したことを証明するよう求めたと述べた。
しかし、当時Facebookは監査を一切行っていませんでした。ケンブリッジ・アナリティカの事件が明るみに出た後、ようやく監査人をアナリティカのオフィスに派遣しました。しかし、英国情報コミッショナー事務局(ICO)が令状を持って現れ、政府の捜査を妨害しないよう監査人に辞任を命じたため、監査人は調査を行う時間がありませんでした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
「信頼の破壊」
ザッカーバーグ氏はまた、ケンブリッジ・アナリティカの件はフェイスブックとユーザーの間の「信頼関係の崩壊」を示していると認めた。
これはコーガン氏、ケンブリッジ・アナリティカ、そしてFacebookの間の信頼関係を裏切る行為でした。しかし同時に、Facebookと、データを共有し、Facebookにその保護を期待している人々との間の信頼関係を裏切る行為でもありました。私たちはこれを正さなければなりません。
ザッカーバーグ氏は、2014年の規則変更以前に大量の情報を要求したすべてのアプリを調査することを約束しました。疑わしいアクティビティが見られるアプリには徹底的な監査を実施し、監査を拒否する開発者はプラットフォームから直ちに排除されます。監査の結果、個人を特定できる情報を悪用するアプリが見つかった場合、同社はそれらのアプリを禁止し、調査結果を全ユーザーに通知します。
FacebookのCEOは、プラットフォームにさらなるAPI制限が追加され、過去3ヶ月間アプリが使用されなかった場合、開発者はユーザーのデータにアクセスできなくなると述べた。おそらくFacebookは、ケンブリッジ・アナリティカのように、開発者がアクセスできなくなる前に、データを別の場所に保存していないかどうかも確認するだろう。
おそらく最初から存在すべきだったもう一つの制限は、Facebookログインでサインインした際に、サードパーティの開発者が取得できるのは名前、プロフィール写真、メールアドレスのみという点です。それ以上のデータを取得するには、開発者はFacebookと契約を結ぶ必要があります。
最後に、ザッカーバーグ氏はFacebookに新たなツールを導入し、ユーザーがアプリの権限をより簡単に取り消せるようにすると約束しました。この機能は来月から利用可能になります。
より厳しい規則は永続的なものですか?
Facebookはプライバシーポリシーに関して、長年にわたり方針を転換してきた実績があります。過去には、ユーザーのプライバシー重視の設定を無効にし、デフォルトでデータをより公開する設定を頻繁に採用していました。Facebookが最終的に、ユーザーがデータをよりプライベートに設定し、閲覧できるユーザーを制限できるようにするまでには、多くの抗議と長い年月を要しました。
SCLやケンブリッジ・アナリティカといった企業、そしておそらくは他の企業も、Facebookがサードパーティ製アプリケーションとのデータ共有に関して設けた緩いルールを著しく悪用するようになりました。これは、メッセージングサービス企業WhatsAppを買収した後、FacebookがユーザーのWhatsAppデータを取得する際にも利用しようとしていたルールと同じようなものでした。EUデータ保護当局が介入し、Facebookがデータをどのように取得し、どのように活用するかについて厳格な規制を求めるようになって初めて、Facebookはよりプライバシー重視のアプローチをとるようになりました。
EUでは、GDPRが施行されればFacebookに選択肢はほとんど残されないだろう。特に、ケンブリッジ・アナリティカ事件を受けて、プライバシー保護当局はFacebookをこれまで以上に厳しく監視するだろう。しかし、今回の件が、ザッカーバーグによる長々と続く謝罪の1つに過ぎないのかどうかは、まだ分からない。人々に怒りを鎮め、アカウント削除など忘れ去らせるためのものだったのかもしれない。
米国でも強力なプライバシー規制がなければ、同社には数年後に考えを変え、利益を増やして株主を満足させるために再び規則を緩和し始める動機はほとんどないだろう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
