680万人の写真が流出。Facebookの個人情報管理を巡る多くの問題点

680万人の写真が流出。Facebookの個人情報管理を巡る多くの問題点

2018年12月14日(日本時間12月15日)SNS大手Facebookは、680万人分の未投稿写真が流出したと報道しました。ソフトウェア上のバグが原因と言われる今回の不祥事。今年になってから、同社の情報流出関連のニュースを何度聞いたことでしょうか? 今回発覚した個人写真の流出に関する問題と、それを誘引するFacebook社の個人情報管理の実態を調査してみました。

Facebook加入者680万人の写真情報が流出

事実関係

今回の流出は、Facebookアプリを開発する複数のサードパーティーベンダーの、2018年9月13~9月25日の12日間に渡るトラフィック異常から発覚しました。彼らによる写真へのアクセスが増大していたのです。Facebook社技術部門による調査の結果、下記の事実が認められたようです。

アプリ開発会社が、Facebookに投稿していない個人の写真にまでアクセスできた!?

具体的に言えば、

  1. まだ執筆中でアップロードしていないもの
  2. Facebook上のストーリーやマーケットプレイス(日本未対応)
  3. 非公開または投稿予約に設定した投稿内の写真

などが流失した模様です。

但し、「Messenger」に関連する写真には、影響がないとしています、

原因は、写真関連のAPIの不具合

原因は、同社が9月に写真関連APIのコードを更新した際に発生したバグの様です。ただし、対象となったユーザーに関する詳しい情報(地域を含む)は公開していませんが、流出が気になる方のために専用のページを設置しました。ご心配な方は、下記リンクでご確認ください。

情報流出に関する専用ページ

Facebookは、対象となる約1500アプリの開発会社に影響を受けたユーザーの写真を消すようにと働きかけている様ですが、その具体的な内容と進展に関しては確認できておりません。

欧州の規制当局による調査と制裁の可能性

Facebook社によれば、

9月にはこの問題を発見していた。しかし、原因が明確化してから公表するという社内合意があった

としています。しかし、これに対しアイルランドのデータ保護規制当局(以下アイルランド当局)が意義を唱えました。

欧州連合の一般データ保護規則(GDPR)に対する違反

アイルランド当局が問題視したのは、Facebookが事故の発覚を3ヶ月間公表しなかった事です。欧州連合(EU)の一般データ保護規則(GDPR)では、個人情報に関する重大な事故または過失があった際は、72時間以内に届け出るとしています。今回は、この法文に関する重大な違反として早速12月14日に、調査委員会を立ち上げています。

GDPRとか何か?そして何故、アイルランド当局が動いたのか?

Facebookは米国企業なのに何故、アイルランド当局が動き出したのか?と疑問に思われることでしょう。それは、Facebookが欧州の拠点をアイルランドにおいているからです。そして、GDPR(一般データ保護規則)とは、アイルランドも加盟するEUが定めた個人情報取り扱いに関する法律で2018年5月に公布されました。その内容を掻い摘んで言えば以下の様になります。

個人情報を取り扱う会社が、それを厳重に管理するための設備投資をしているか否か?を問う規制。

そして、欧州域外で起きた問題であっても管轄下の企業であれば、法律が適用されるとしています。今回の場合、公表された680万人の全部または一部が欧州居住民と特定されてはいません。しかし、同法に則り、アイルランド当局が調査する権利はあるのです。

最大16億ドル(約1800億円)の制裁金が課される可能性も?

調査の結果、今回の情報流失に関する情報開示の遅延が悪質と判断された場合は制裁金が課されます。GDPRの規定によれば、下記の通りとなります。

2300万ドル、もしくは同社の全世界売上の4%のどちらか高い方を支払わなければならない。

Facebookの2017年の売上高は約400億ドルだったので、最大16億ドル(約1800億円)の支払いリスクを負ったことになります。同社は、先頃5000万人の個人情報を流出される重大事故を起こしたばかり。当局の心象は、かなり悪いと予想します。

Facebookの個人情報管理とガバナンスの問題点

出典:The Wall Street Journal

Facebookの開発者カンファレンス「F8」の前後に行われたインタビュー。CEOのマーク・ザッカーバーク氏の言葉の中にFacebookの問題点が、垣間見えます。プラットファーマーとしての姿勢に疑問が持たれます。

身勝手さ

「情報管理の厳格化のため、2018年3月にサードパーティーアプリの新規審査を停止」

突然の審査中止。開発中のベンダーが開発に要したコストと時間はどうなるのでしょう?十分な告知期間を作るべきだったのではないでしょうか?

完璧主義による開発遅延

「有害コンテンツを排除するシステムを構築するには、3年がかかる」

完璧さを求めるザッカーバーク氏らしい発言ですが、この間にもっと大きな情報事故が起こる可能性は十分あります。前記の欧州委員会などが、このリードタイムを容認するとは、到底思えません。

中央集権型

「米国議会での公聴会で、自分が、サービスの細かい部分を理解していなかったことに気付いた。そこで、帰りのフライトで社内ミーティングを設定しました。みんなで話し合って、知らなかったことはすべて理解しようと決意した。」

巨大組織となったFacebook。そのCEOが、全てのサービスを知らないのは、当然です。どんな大企業のトップもそうでしょう。問題なのは、全てを個人で解決しようとする姿勢。よくも悪くもザッカーバーグのタレントで大きくなったFacebookですが、その社会的影響力は今や絶大です。風通しの良い強固な組織を構築すると回答すべきではないでしょうか?

醒めてきたFacebookユーザー

2018年に入ってから、たび重なり報道されるFacebookの不祥事。筆者の周りにも、Facebook退会しますとのメッセージが送られてくるようになりました。また、ピーク時には3000人程度いた友達の数も、約4分の1減少して2300人。新規投稿を4年間全くしていないなど、自分のメンテナンス不足も多大にあるでしょう。しかし、世間のFacebook離れは着実に進んでいると感じます。

「SNSに個人情報を開示するなんて、自分を丸裸にするものだ。」

Facebookを薦めた際に、高名な情報技術者に言われた言葉が身に沁みるこのごろです。

この記事のライター

Kariyazaki

30代女性。仕事と恋愛に邁進中の中堅ライター。グローバル企業で勤務した経験を生かし、最新のビジネス情報や海外情報にも挑戦中です。

この記事に関するキーワード

キーワードから記事を探す