情報流出やデータ不正利用で揺らぐ「Facebook」の信頼--プライバシー部門 副責任者が取り組みを説明

 フェイスブックジャパンは10月17日、報道陣向けに、個人情報保護やプライバシー保護に関する取り組みを説明するビデオカンファレンスを開催した。Facebook プライバシー部門 副責任者(Global Deputy Chief Privacy Officer)のロブ・シャーマン氏がビデオ会議を通じて、3月に発生したケンブリッジ・アナリティカ問題後の同社の取り組みを語った。

Facebook プライバシー部門 副責任者(Global Deputy Chief Privacy Officer)のロブ・シャーマン氏
Facebook プライバシー部門 副責任者(Global Deputy Chief Privacy Officer)のロブ・シャーマン氏

 発表の冒頭には、3週間ほど前に報じられた3000万件もの情報漏えいの対策についても言及があった。その内容は、Facebookの「View as」機能の脆弱性を突かれ、40万人の友人リストから3000万人分(当初は約5000万人と見られていた)のアクセストークンが流出したというもの。これに対し同社は、該当ユーザーにどんな情報が漏れた可能性があるのか、どんな対策をとればいいのかといった案内を個別に送付しているという。

 ただし、これは既報の内容と大きく変わっていない。FBIに情報提供し、現在捜査中であることから、犯人による証拠隠滅などの対策としてやむを得ない面はあるが、質疑応答で記者から出た「通知や案内はどれくらい進んだのか」という質問に、具体的な数字は示さず、「案内の送付は進行中。自分が該当するか、何をすればいいかはヘルプセンターなどを利用してほしい」と回答するに留めた。

データを不正利用を防ぐための6つの対策

 本題であるケンブリッジ・アナリティカ問題(選挙関連のデータ分析会社がFacebookのデータを不正利用していた)を受けての対策については、次の6つを説明した。

◇プライバシー&データチームの統合体制

 プライバシー、データ、プロダクトのエンジニア、部門を統合的管理するチームを作り、ツールや機能の強化のほか、ユーザーにFacebookがデータをどう利用しているかを周知する活動も含む。

◇データ保護に関するポリシーと設定メニューの変更

 プライバシー関連情報を「プライバシーセンター」(メニューリストを表示させると現れる)に集約し、情報の公開範囲など一括管理をしやすくした。

◇プライバシー関連ツールの更新

 プライバシーセンターでは、ユーザーはAccess Your Information(AYI)という機能で自分の情報を管理できる。また、Download Your Information(DYI)では、必要な個人情報や履歴をダウンロードできる。広告表示のフォーカス項目の設定機能も強化された。AYI、DYI、広告制御は5月からEUで施行されたGDPRへの対応の意味もある。GDPRでは、ユーザーに個人情報のフル制御を与え、ポータビリティ(保存された履歴を含めて移動できる)を保証しなければならない。

キャプション
キャプション

◇オンライン/オフラインでのプライバシー保護の啓発活動

 設定メニューやプライバシーセンターで、自分の情報の状態、Facebookがどんなデータを利用しているかをわかるように、啓発動画やプライバシー設定の確認(Privacy Checkup)活動をする。また、Facebook外でも同様の啓発活動をする。

◇ケンブリッジ・アナリティカのような問題の防止

 パートナー企業やクライアントに対してはアプリ審査の厳格化、データアクセスの制限強化などを実施。違法行為については積極的に当局(法執行機関)と連携する。ユーザーに対しては、連携アプリの削除をしやすくしたり、長期間使っていないアプリの通知、削除を支援する機能を提供する。

◇外部との連携

 Design Jam(FacebookのTechイベント)やジョージ・ワシントン大学ダン・ソログ教授との共同研究、Trust Transparency Control Labs(TTCラボ:60以上の企業・団体によるデータ管理に関するワークショップ)、外部エキスパートとの定期的なコンサルテーション、HackeOneやアプリ開発者へのトレーニングなどによって、自社、パートナー、製品のセキュリティを強化する。

情報管理の一部をユーザーに委ねる?

 シャーマン氏は、カンファレンスの全般にわたって、プライバシー保護の重要性をFacebookは認識しており、保護、改善は終わりのない作業だと述べる。また、データ利用の透明性を高めるため、ユーザーの情報がどうなっているかを理解してもらう仕組みを用意することも強調した。広告についても、広告体験はユーザーが制御できるようにしていくと、プライバシーの制御権はあくまでユーザーにあると主張した。

 プライバシーセンターは、その一環として評価できる機能だ。しかし、ケンブリッジ・アナリティカの問題を受けての施策で、アプリ審査強化やパートナー企業へのペナルティ強化を示す一方、ユーザーへの啓発・周知と、プライバシーセンターによる情報管理をユーザーに委ねる項目も少なからず含まれている。

 データプラットフォームでビジネスを展開するFacebook(SNS)は、プライバシーや個人情報の完全な保護はできない、というメッセージと捉えることもできる。これを、企業の責任放棄ととるか、GDPR的にデータの制御は本人がイニシアティブをとる意味で正しいととるかは意見が分かれるところだ。いずれにせよ、プライバシー保護はユーザーの積極的な関与によってもたらされるという認識が、今後はさらに重要となるだろう。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]