叩かれてほこりがどんどんと出てきてます。
「世界で最も重大なデータ漏えい事件のひとつ」と呼ばれ、アメリカ議会で公聴会も開かれたFacebookのデータ流出事件。ケンブリッジ・アナリティカによる規約違反のデータ流用とFacebookの個人情報管理と問題対応の杜撰さ、そしてアメリカ大統領選挙という世界最大規模の政治イベントにもデータが利用されていたことと合わさって、問題は複雑になっています。経緯を確認したい方はこちらの記事「Facebookがゴタゴタしてる問題をいったん整理して、今起きていることを知ろう」をお読み下さい。
Facebook、200個のアプリを停止
そんな中、なんとかこのデータ流出問題を解決しようとするFacebookは、Facebook上における第三者パーティによるアプリを対象とした大規模な調査を行なっています。そして先日公式ブログで発表されたのは「200個のアプリを一時停止しました」というもの。個人情報の誤用を行なっているどうかの調査に協力するか、それを拒んだ場合はアプリはFacebookから削除・禁止されるとのことです。
この声明によると、現時点で「何千もの」アプリをFacebookは調査済みとのこと。その結果この200個のアプリが更に詳しい調査が必要と判断されたわけですね。調査は継続されているので今後も停止されるアプリの数は増えそうです。
個人情報の誤用が発覚し、アプリが禁止された時はこちらのページで随時報告をしていくそうです。現在のところはケンブリッジ・アナリティカによるアプリ「This is Your Digital Life」のみがリストに載っています。
そんな中、ケンブリッジ大学の研究者によるプロジェクトがアプリを使って収集した個人情報が数年間にわたり、ネットで誰でも見られる状態になっていた、とNew Scientistが報じています。
新しい流出問題
ケンブリッジ大学計量心理学センターのDavid Stillwell氏による学術プロジェクト「myPersonality」が、Facebook上での同名のアプリ(性格判断テスト)を使って300万人以上の個人情報を取得し、資格を持つ研究施設や企業に対して研究目的でデータをシェアしていたようです。
データは匿名化され、そしてアクセスできる研究者もStillwell氏のチームが一人ひとり審査していたようですが、審査を通った研究者の一人が自分が教える授業のためにそのパスワードをGitHub上で公開してしまっていたことから、検索すれば誰でも300万人のデータを入手できる状態が数年間続いていたとのこと。どれだけ審査を厳しくしても、パスワードをシェアされてしまったらどうしようも無いですよね...。
名前といった個人を特定できるデータを削除した上でデータベース化されたようですが、「いいね!」の数やアップデートの内容といったデータを組み合わせて「個人特定をすることは可能な内容である」と海外メディアは指摘しています。
テストを受けたユーザー数は約600万人ほど、Facebookプロフィール情報をシェアすることに承認したユーザー数は310万人ほどに及ぶようです。
「ケンブリッジ」と「データ流出」という単語が並んでいるものの、ケンブリッジ・アナリティカは関与していません。2014年の夏までは、ケンブリッジ・アナリティカの悪名高いアプリを開発したAlexandr Koganの名前がコラボレーターとして載せられていたようですが、何も関連性は無いとのこと。これはDavid Stillwell氏がケンブリッジ大学の生徒だった時にKogan氏が教えていたことからコラボレーターとして参加しただけであり、「myPersonality」を通じて得られた個人情報がケンブリッジ・アナリティカに回されたことはない、とKogan氏は証言しているようです。
myPersonalityからのユーザー情報を入手した企業にはGoogleやFacebook、Microsoft、Yahoo!、といった大企業も含まれているようです。学術目的だとしても、Facebookで得たデータを第三者パーティにシェアすることは規約違反だ、とメディアは指摘しています。
myPersonalityの主張
この報道と同時に、myPersonalityはデータのシェアを停止し、公式ページでは今回の報道に関する見解が述べられています。要点の一部は下記のようになっています。
・ユーザーたちはFacebookのデータを研究目的のために寄付を承認することができた。(承認を強制したわけではない)
・我々の研究は何十もの査読された論文を生み出すことに貢献した。その多くはトップクラスの科学誌に掲載され、人間心理、健康や行動についての理解を深める助けとなった。
・我々の研究の大部分はプライバシー関連のリスクを明らかにすることが目的であった。我々の調査結果はEUや米国のプライバシー関連の法律(例はこちら)やFacebookのプライバシー関連のポリシーに貢献した。
・オープンな科学と再現可能性の原則に従って、データの一部を、非商用の、学術的な研究目的に限って研究者にシェアした。
・myPersonalityユーザーのデータが商用目的にシェアされたことはない。
そして第三者パーティにデータをシェアすること自体が規約違反だったのではないか、という質問に対しては「Facebookはリサーチの初期から深く関わっており、我々の研究をサポートしてきた」という内容が述べられています。シリコンバレーにStillwell氏が招待され、「Facebookデータの学術的な活用」というテーマでワークショップを主催したこともあるようです。
FacebookはmyPersonalityの学術的活動を理解し、支援してきました。しかし学術目的だったら第三者とデータを共有しても良いのか、という点はポリシー上は不明瞭だった、ということでしょう。そんな中、学術目的でデータを入手した研究者がネット上にアクセス権限のパスワードを公開してしまったため世界中の誰でもデータを見られるようになってしまったわけです。匿名化の処理が施されていたものの、データの内容から個人の特定も可能であったと。うーん、サイバーセキュリティ、プライバシーの要素が詰め込まれた事例になっていますね。
データ流出に関して厳しい姿勢を見せたいFacebookにとってはまたもやダメージの大きい事件となりました。どういった対応を見せてくるか、注目です。
Image: AlexandraPopova / Shutterstock.com
Source: myPersonality, New Scientist, Motherboard, TechCrunch
(塚本 紺)