ケンブリッジ・アナリティカのスキャンダルが勃発して以来、Facebookは、APIを悪用し、ユーザーに関するデータを可能な限り収集する者を取り締まるよう、国民と各国政府の両方から大きな圧力を受けている。
ケンブリッジ・アナリティカ、最大8700万アカウントを収集
Facebookはブログ投稿で、ケンブリッジ・アナリティカが5000万件以上のアカウント情報を収集した可能性があることを認め、次のように述べた。
合計で最大8,700万人(主に米国在住)のFacebook情報がケンブリッジ・アナリティカと不適切に共有された可能性があると考えています。
Facebookはこの数字を、ケンブリッジ大学教授のアレクサンダー・コーガン氏が開発したクイズアプリをインストールした人と繋がっている友達の数に基づいて算出した。コーガン氏は、SCLエレクションズの米国子会社であるケンブリッジ・アナリティカと提携していた。8700万人のうち、大半はアメリカ人だった。
ケンブリッジ・アナリティカはFacebookの主張を否定し、同社が保有しているのは3,000万アカウントのデータのみだと述べた。Facebookとケンブリッジ・アナリティカは共に、2014年におけるこのアプリの使用状況について具体的に言及しているようだ。ケンブリッジ・アナリティカが2014年以降に別の方法で取得した可能性のある他のデータについては、どちらも言及していないようだ。
フェイスブックのCEOマーク・ザッカーバーグ氏は、ケンブリッジ・アナリティカのスキャンダルをめぐっては誰も解雇していないと述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Facebookの公開プロフィールのほとんどがスクレイピングされている
Facebook社はまた、悪意のある人物が同社の検索機能やアカウント回復機能を悪用し、大半のFacebookユーザー(現在約20億人)のプロフィールデータを盗み取ったことも認めた。
電話番号やメールアドレスが分かれば、Facebookであなたを見つけることができるかもしれません。ここ数年で発生したデータ侵害の件数を考えれば、Yahoo!だけでも30億件のメールアカウントが流出したことを考えると、ハッキングされたデータベースに潜むすべてのユーザーのFacebookプロフィールを、犯罪者が検索できたのも不思議ではありません。
驚くべきことに、Facebookはボットやスクリプトが自社のデータベースを何十億回も検索するのを一切ブロックしなかった。こうした緩いルールこそが、同社を何度もトラブルに巻き込み、ユーザーのデータがこれほどまでに脆弱な状態に陥らせてきた原因なのだ。
新しいデータアクセス制限
Facebook は、サードパーティの開発者が望むすべてのデータを自由に収集できないようにするために、API に一連の制限を追加しました。
これらの制限は、イベント、グループ、ページ、InstagramプラットフォームAPI、そしてFacebookログインに適用されます。Facebookは、Facebookログインを統合し、チェックイン、いいね!、写真、投稿、動画、イベント、グループなどの情報へのアクセスを要求するすべてのアプリを承認する必要があると述べています。
同社はまた、宗教や政治観、関係のステータスや詳細、カスタムの友達リスト、学歴や職歴、フィットネス活動、読書活動、音楽鑑賞活動、ニュース閲覧、ビデオ視聴活動、ゲーム活動などの個人情報へのアクセスをアプリが要求することを今後許可しないと付け加えた。
ユーザーが 3 か月以上アプリを使用していない場合には、開発者もそのユーザーのデータを要求できなくなります。
最近、一部のユーザーが、自分の携帯電話の通話履歴とテキストメッセージが、同意した覚えがないにもかかわらずFacebookアカウントに保存されていることを知り、憤慨していました。Facebookは、この機能は既にオプトインされているものの、サーバー上のデータの保存期間を1年に制限すると発表しました。通話時間もアップロードされなくなります。
Facebookは、4月9日から、ニュースフィード上部に、現在アカウントにアクセスできるアプリの一覧を表示するリンクが表示されるようになると発表しました。また、Facebookユーザーは、リストから任意のアプリを削除することで、データへのアクセスを停止できるようになります。
API制限はすでに一部のアプリケーションに影響を与えており、その中にはTinderも含まれています。Tinderはユーザーとの連携にFacebookログインを利用していました。しかし、これは企業が何年も前から警告されていたことの一つです。つまり、Facebookログインのような独自プラットフォームに頼ってユーザー基盤を構築することはできないということです。なぜなら、いつかFacebookがすべてを奪ってしまう可能性があるからです。
データ制限によってTinderが完全に機能しなくなることはないようです。ユーザーは追加の許可に同意するだけで済むかもしれません。両社は協力して解決策を探ると述べています。
Facebookはこれまで、Messenger、WhatsApp、Instagram、Oculusといった他の製品やサービスもユーザーのデータを共有していることを明確にしていませんでした。今後は、この点をより明確にするでしょう。昨年12月、フランスのデータ保護機関(DPA)であるCNILは、WhatsAppとFacebookのデータ共有を禁止しました。一方、英国のDPAは最近、GDPRの規則に従う限り、WhatsAppはデータを共有できると発表しました。
ザッカーバーグ氏は最近、FacebookがGDPRで義務付けられたすべての変更とプライバシー管理を世界中で実施することを確認しました。ただし、一部の国では、現地の法律に応じて異なる形式で実施される可能性があります。
同社はまた、Facebook Messengerを通じて送信されたすべてのプライベートチャットメッセージをパブリックメッセージとして扱うことも明らかにしました。つまり、エンドツーエンドで暗号化された「シークレット会話」モードを使用しない限り、これらのメッセージは全くプライベートではありません。しかし、真にプライベートなコミュニケーションを求めるなら、Facebook以外のサービスを検討した方が良いかもしれません。
Facebookだけでなく、あらゆるオンラインサービスが自分自身の行動を追跡し、データを収集することを許可することの意味を、人々は今こそもっと認識すべきです。オンラインサービスが自分のデータをどのように利用しているのかを理解するのは、必ずしも容易ではありません。最近のGrindrの件で見られたように、人々はサイトに送信するデータが特定の状況で利用されることを期待していますが、実際には企業は全く異なる目的でそのデータを使用しています。
Facebook を巡る一連のスキャンダルは、ケンブリッジ・アナリティカとこれらのデータ制限だけではおそらく終わらないだろう。企業や政府が、ユーザーが自分のデータが後々どのように使用されるかについてあまり驚くような心配をしなくて済むようにデータアクセスを規制する方法を見つけ出すまでは。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
