Facebookではすみとしこさんに「いいね!」した人の個人情報433人分をネットに晒して炎上~F-Secure社マネージャか
はすみとしこさんのイラストに「いいね!」した人の個人情報を収集して晒しあげ
ことの起こりは11月1日に、「反安倍 闇のあざらし隊」を名乗るTwitterアカウント(@MetalGodTokyo)が、「『はすみとしこ』のFBページで下衆な絵をはやし立てている下衆な連中のプロフィールから、居住地、出身校、勤務先をリスト化するドイヒー『はすみしばき』プロジェクト、密かに進行中。320人以上のものが名前と共にまもなく公開されます。」とツイートしたこと(現在、「反安倍 闇のあざらし隊」のアカウントは削除されています)。
「反安倍 闇のあざらし隊」は、続いて「『はすみとしこの世界』で、はすみの下衆イラストを持て囃している人たち337人の名前、プロフィールURL、居住地、出身校、勤務先のリストが公開されました。」とツイートし、Google スプレッドシートのURLを公開。337人とツイートしていますが、その後追加されたためか、記者が確認した時点で公開されていたスプレッドシートには433人分の個人情報がまとめられていました。
スプレッドシートには「#はすみリスト」というタイトルが付けられ、Facebookの登録名とURL、公開されている住所、学歴、現在の職業が一覧になっています。
一覧に載せられた人はFacebookで、はすみとしこさんが公開したイラストにコメントを付けたり、「いいね!」した人だと推測されています。はすみとしこさんは、シリア難民の少女の写真をもとに「そうだ、難民しよう!」というイラストを描いて海外メディアでも報道されるなど話題になったイラストレーター。
とはいえ、Facebookには「いいね!」しかないので、「手術することになりました」といった話題にも「いいね!」が多数付くなど、「いいね!」が必ずしも賛同・歓迎しているとは限らない面があります。
個人情報晒し行為に対して、Twitterユーザーが「個人情報保護法違反ではないのか」と指摘すると、「反安倍 闇のあざらし隊」は、「FacebookのTLで自分が公開している情報をまとめただけのもので、それ以上でも以下でもありません。」と返信。
なお、個人情報保護法は、5,000件以上の名簿を持つ企業や組織のみが適用対象となるため、この場合は個人情報保護法違反には当たりません。とはいえ、イラストに「いいね!」しただけのアカウントを一覧リストとしてまとめ、あたかもモラルや思想に問題のある人であるかのように晒したのであれば、名誉毀損や侮辱罪などの罪に問われる可能性はあると思われます。
「反安倍 闇のあざらし隊」の身元が掘られる
個人の情報をリストにまとめて晒したことで、「反安倍 闇のあざらし隊」を名乗る人物は誰なのか身元を洗い出す作業がネットユーザーによって進められました。その結果、過去ツイートが掘られ、千葉麗子さんのアカウントから「反安倍 闇のあざらし隊」のアカウントへ「@MetalGodTokyo 〇〇〇さん、お疲れちん? スピーチ、凄く面白かった(^ー^)ノ?」など、本名と思われる苗字で呼びかけているツイートが複数発掘されることに。
並行して、「MetalGodTokyo」というIDと自己紹介文が同一であるKlout.comのアカウントが発見され、そこには欧文表記の氏名があり、千葉麗子さんがつぶやいた氏名と一致。
TwitterとKlout.comの自己紹介文は、「旧しばき隊、現C.R.A.C.ですが、すべてのツイート及び行動は個人的見解に基づいております。反ファシズム、反レイシズム。あざらし革命防衛隊・闇の遊撃班。」で一字一句同一の文面となっています。
また、FacebookやLinked.inのアカウントも掘られ、「反安倍 闇のあざらし隊」が「本職は某外資系でのマーケティング・マネージャ」であり、セキュリティ企業に勤務しているとツイートしていた職業・職種や、学歴、卒業年度、顔写真の輪郭や髭がすべて一致すること、出張先の“本社 ヘルシンキ”といった情報も一致することなどから、「F-SecureのマーケティングマネージャのK氏」でほぼ間違いない、と推定されるに至りました。
F-Secureの名前が上がってからも「反安倍 闇のあざらし隊」アカウントでは、リストを公開したことへの擁護ツイート、たとえば「既に中年で仕事も家族も他人との社会的つながりもある人が、『公開前提』のSNSで差別扇動をお手軽に楽しみ、いざ自分が直接的な批判を浴びたら途端に気を病みコソコソ隠れ始めるという。この幼稚さと馬鹿さ加減はなんなんだろう。想像力や共感性の欠如だけで片付くものなんかな。 #はすみリスト」といったツイートをリツイートするなどしていました。
F-Secure日本代表のTwitterアカウントに直訴される
余裕の姿勢だった「反安倍 闇のあざらし隊」ですが、11月3日の夕方になって、F-Secureの日本代表Keith Martin氏のTwitterアカウントに、「Was this tweet that spread personal data made by Mr. Nxxxx Kxxxxx, Manager, Marketing, F-Secure Japan?」(この個人情報を拡散するリストとツイートはF-SecureのマーケティングマネージャN.K氏によるものですか?)と直接確認する人が登場。(氏名の伏せ字は本誌)
Keith Martin代表はこれに素早く「Thank you for your note. We are looking into this and will address as soon as we can.」(お知らせありがとうございます。できるかぎり速やかにこの件について調査して回答します)と返信。
Keith Martin代表の返信からまもなく、「反安倍 闇のあざらし隊」のアカウントは削除されました。また、「反安倍 闇のあざらし隊」がGoogle スプレッドシートで公開した個人情報のリストも非公開となりました。
「F-Secureのマネージャ」が事実なら、企業としてリスクマネジメントとガバナンスが問われる事態にも
セキュリティ企業は、TwitterやFacebook、掲示板などの発言に端を発する“炎上”も含めたサイバーリスクを啓蒙する立場。ネットで特定された、F-Secureのマーケティングマネージャーだという情報が事実であれば、リスクマネジメントとコーポレートガバナンスが問われることにもなりかねません。
しかも、Facebookはユーザーにマルウェアの無料スキャンを提供していますが、この無料スキャンでF-Secureと提携しています。自社ソフトウェアを採用した提携企業であるFacebookの利用者個人情報を、公開情報とはいえ収集して悪意をもって晒したとすると、その点でも問題になりそうです。
すでにネットでは情報が拡散し、Amazon.co.jpで販売しているF-Secureの個人向けセキュリティソフトのレビュー欄も炎上しています。
F-Secure日本代表の回答が待たれるところです。