WSJの報道によると、GoogleのソーシャルメディアサービスであるGoogle+は、過去3年間で約50万人のユーザーの個人プロフィールデータを公開したが、同社は評判の失墜と新たな規制の両方に直面することを恐れ、このことを誰にも言わないことを選択した。
未公開のユーザーデータの漏洩
Googleは3月、2015年からGoogle+サービスに存在していたソフトウェアの脆弱性により、悪意のあるサードパーティのアプリ開発者がユーザーのプライベートプロフィール情報にアクセスできる可能性があることを知った。
同社がこの問題を発見したのは、Facebookとケンブリッジ・アナリティカのプライバシースキャンダルがまだ記憶に新しい頃でした。当時、複数の政府がFacebookのデータ運用について精査しており、ウォール・ストリート・ジャーナルの報道によると、Googleがセキュリティ問題を公表しなかったのは、このことが原因のようです。
ウォール・ストリート・ジャーナルが入手した、グーグルの法務・ポリシーチームが上級幹部に送ったメモには、この件を公表すれば「直ちに規制当局の関心」が集まり、フェイスブックのスキャンダルと比較される可能性があると記されていた。社内委員会は既にプライバシーとセキュリティの問題を公表しないという決定を下していたが、グーグルのCEOであるサンダー・ピチャイにも通知された。
GoogleはWSJに対し、影響を受けたユーザーを正確に特定できたかどうか、不正使用の証拠があったかどうか、ユーザーが取るべき対策があったかどうかなど、複数の要素を考慮した結果、この問題を公表しないという結論に至ったと述べた。同社は「これらの基準はいずれも満たされていない」と述べている。法務・ポリシー担当者からの内部メモには、この脆弱性を悪用した攻撃の証拠はないと記されているが、確実に知る方法もない。
公開された個人プロフィールデータには、氏名、メールアドレス、生年月日、性別、プロフィール写真、居住地、職業、関係ステータスなどが含まれていた。
WSJの報道によると、Google+のプライバシー問題は、たとえ非公開設定であっても、サードパーティの開発者がユーザーの友達データを収集できるAPIに起因していました。ユーザーが開発者にプロフィールへのアクセスを許可すると、そのプロフィールに関連するあらゆるデータが開発者によって収集される可能性があります。これは、ケンブリッジ・アナリティカが数百万人のユーザーデータを収集できた方法と非常に似ています。アプリがユーザーデータを不正に使用したかどうかは不明ですが、Googleは最大438のアプリがGoogle+のデータに不正にアクセスしていたと述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Google+が終了
Google+は既に何年もゴーストタウン状態にあると考えられてきたことを考えると、閉鎖されたのもそれほど驚くことではありません。しかし、プライバシー問題が公になった今、Googleがこのような決断を下したことは、やはり興味深い点です。
同社はWSJに対し、Google+の閉鎖は、Gmailアドオン開発者やAndroidアプリ開発者を含むサードパーティ開発者によるユーザーデータへのアクセスを制限する最近の取り組みの一環だと語った。
Googleは、セキュリティ監査に合格したGmailアドオン開発者のみが引き続きユーザーのGmailアカウントにアクセスできるようになる一方、「ほとんどの」サードパーティ製Android開発者は、Androidデバイス上のユーザーのSMSメッセージ、通話履歴、その他の連絡先データにアクセスできなくなると述べた。以前の報道では、一部のサードパーティ製Gmailアドオン開発者が、アルゴリズムの改善を目的としてユーザーのメールを読んでいたことが明らかになっている。
Google CEOが議会で証言へ
Googleの弁護士は、CEOを含む同社幹部に対し、このプライバシー問題の公表は「法的義務ではない」ため避けるよう助言した。EUでは、最近可決されたGDPRなどの法律により、データ侵害発生後3日以内にデータ侵害通知を行うことが義務付けられているが、米国にはデータ侵害通知を規制する連邦法がまだ存在しない。
Googleは、Google+のプライバシー問題を公表すれば、マーク・ザッカーバーグ氏と同様に、CEOのサンダー・ピチャイ氏が議会で証言台に立たざるを得なくなることを懸念していた。実際、一部の上院議員は今春、データプライバシーに関する公聴会にGoogleのCEOが出席するよう求めていた。ピチャイ氏はその後、何度も証言を拒否してきたが、最近、数週間以内に米国下院で証言することに同意した。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
