Facebookはユーザーの意図しない形で電話番号を悪用している

by rawpixel

Facebookは5000万人分のユーザーデータを不正利用された一件以降、個人情報の取り扱いについてたびたび批判を受けてきました。そんなFacebookは「ユーザーの電話番号をターゲット広告に利用している」と批判されていたのですが、新たに「ユーザーの意図しない形でも悪用している」と追加の批判を受けています。

Facebook Doubles Down On Misusing Your Phone Number | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2019/03/facebook-doubles-down-misusing-your-phone-number

Facebookで2要素認証を用いてアカウントのセキュリティを向上させたり、自身のアカウントに対する新規ログイン情報を警告してもらったりするには、ユーザーが自身の電話番号をアカウント情報と紐付ける必要があります。Facebookはこの電話番号をターゲット広告に利用していることが明らかになっており、これに対して多くの批判が集まっていました。

電子フロンティア財団(EFF)は、大手IT企業の提供する9つのサービスに対して消費者のプライバシー保護やセキュリティ強化を求める「Fix It Already」というプロジェクトをスタートさせており、この中で「Facebookはユーザーの電話番号を元ある場所に戻すべき」という要求を2019年2月末から行っています。

Facebook should leave your phone number where you put it - Fix It Already

これらの批判に加え、Facebookは別の方法でもユーザーの電話番号情報を悪用しているとEFFは指摘しています。Facebookがどのように電話番号情報を悪用しているのかというと、「ユーザーが2要素認証用に提供した電話番号」を、サービス上で「他ユーザーを検索するための情報」として使用できるように設計しているとのこと。つまり、ユーザーが自分のアカウントのセキュリティを向上させるために登録した電話番号が、別の用途で使用されているとEFFは主張しているわけです。

Facebookの「プライバシー設定」では、「検索と連絡に関する設定」→「電話番号を使って私を検索できる人」から、電話番号で自身のアカウントを検索できる範囲を「全員」「友達の友達」「友達」の3つから選択することが可能となっています。しかし、「電話番号でアカウントを検索するというオプションを完全に除外することはできない」とEFFは指摘しました。

「長年にわたり、Facebookは2要素認証で電話番号を追加することはセキュリティのためだけであると主張していました。しかし現在も、電話番号からユーザーを検索することが可能で、それを無効にする方法はありません」と指摘するユーザーも現れています。

Facebookが電話番号による検索機能に問題を抱えていることは、何も今になって指摘されたことではありません。Cambridge Analyticaのスキャンダルをきっかけに、Facebookは2018年4月に個人情報の利用について修正を行う方針を示しています。

20億人のFacebookユーザーの大部分は何らかの個人情報を取得されていた可能性があるとザッカーバーグ氏が示唆 - GIGAZINE

その成果として、記事作成時点ではFacebook上で他のユーザーが特定の個人のプロフィールを探すために検索バーに電話番号を直接入力することはできません。しかし、代わりに「他の方法、例えば誰かがあなたの連絡先情報を自分の携帯電話からFacebookにアップロードした時など」に、電話番号からユーザーを探すことが可能になるとFacebookの広報担当者は話しています。これについてEFFは、「『Facebookの検索バーに直接電話番号を入力する』という方法でも、『連絡先から電話番号をアップロードしてユーザーを検索する』という方法でも、『他の人が電話番号から特定のアカウントを見つけることが可能である』という結果に変わりはありません」と記しています。

Facebookがユーザーに2要素認証を有効にするよう求めるようになったのは2018年夏のこと。より多くの人々が新しいセキュリティ機能を使うようになり、同時にFacebookの電話番号の取り扱い方に疑問を抱くユーザーの数も増加しています。Facebookは2018年5月に2要素認証を有効にするために電話番号の登録を求めることをやめていますが、依然として2要素認証は多くのユーザーにとって最も手軽に使用できる選択肢のままであるという指摘もあります。

Facebookによるユーザーの電話番号の使い方は広範囲にわたっており、ユーザーの期待とセキュリティのベストプラクティスに反し、ユーザーが2要素認証のために登録した電話番号を広告主やあらゆるFacebookユーザーに公開しているといえるとのこと。EFFは「より多くの人々が危険にさらされる前に、Facebookはこれを修正しなければなりません」と指摘しています。