この記事は日経 xTECH登録会員限定ですが、2018年4月6日9時まではどなたでもご覧いただけます。
米フェイスブック(Facebook)は2018年4月4日(米国時間)、データ分析会社の英ケンブリッジアナリティカ(Cambridge Analytica)が不正に入手したユーザーデータの件数が8700万人分に及ぶことや、再発防止策としてAPI(Application Programming Interface)の仕様変更を追加すると発表した。
ケンブリッジアナリティカは、英ケンブリッジ大学の研究者が収集したフェイスブックユーザー5000万人分のプライバシー情報を不正に入手し、2016年の米大統領選挙でトランプ陣営が有利になるような選挙工作に利用していたと報じられていた。しかしフェイスブックが改めて調査したところ、ケンブリッジアナリティカが入手していたデータの量が8700万人分に及ぶことが分かった。
データの81.6%は米国人が占め、その件数は7063万人分に達する。それ以外に多かったのは、フィリピン人が117万人分、インドネシア人が109万人分、英国人が107万人分などで、フェイスブックが公開したデータには日本人の集計は含まれていなかった。
ケンブリッジアナリティカが入手したデータは、ケンブリッジ大学の研究者であるアレクサンドル・コーガン氏が2013年にフェイスブック上に公開した性格診断アプリケーション「thisisyourdigitallyife」が収集したものだった。同氏の性格診断アプリはフェイスブックが公開する「Graph API」を使ってユーザーデータを収集した。
ユーザーの知らぬ間にデータ収集
フェイスブックが2010年に公開したGraph APIには、ユーザーが外部アプリに対して自身のユーザーの利用を許可すると、そのユーザーの友人のデータまで収集できてしまう仕様になっていた。つまりユーザーは気付かぬ間に、自分のデータを外部アプリに収集されていた。
フェイスブックは2014年にGraph APIの仕様を変更し、友人のデータは収集できないようにしていたほか、ケンブリッジアナリティカに関する報道があった後の2018年3月21日には、ユーザーが3カ月以上利用していないアプリにユーザーのデータ収集を禁じる措置などを発表していた。そして今回、Graph API以外に関しても仕様変更の措置を追加した。
具体的には、イベントに関する「Events API」やフェイスブック上に設けられたグループに関する「Groups API」、フェイスブック上の「ページ」に関する「Pages API」の仕様を変更し、外部アプリによるデータ収集範囲を狭めるほか、電話番号や電子メールアドレスを使ったユーザー検索を廃止する。
イベント参加者リストなどを収集不可能に
例えばEvents APIはこれまで、ユーザーが外部アプリに許可を与えると、そのユーザーが参加するイベントが「公開」「非公開」のいずれであっても、参加者のリストやイベントの「ウォール」に書き込まれたユーザー投稿などを外部アプリが取り出せる仕様になっていた。この仕様を変更し、参加者リストや投稿の取得を不可能にした。
Groups APIはこれまで、グループの管理者やメンバーが外部アプリに許可を与えると、そのグループが「非公開」や「秘密」のものであっても、グループの投稿やメンバーリストを外部アプリが読み出せる仕様になっていた。この仕様を変更し、Groups APIを利用できる外部アプリを審査制にするほか、投稿やメンバーリストを読み出せないようにする。
データ収集状況をユーザーに通知
フェイスブックは2018年4月9日から全ユーザーに対して、外部アプリがこれまでどのようなデータをユーザーから収集していたか通知する。同社は2014年の時点でGraph APIの仕様に問題があることに気付いていたが、ユーザーに対して警告することを怠っていた。外部アプリによる情報利用の実態が明らかになるにつれ、フェイスブックに対するユーザーの批判は、ますます大きくなる可能性がある。
