グーグルは､なぜバグを公表しなかったのか

グーグルがGoogle+のバグを発見したのは3月。しかし、これまで公表を避けていた（写真：REUTERS/Beck Diefenbach）

個人情報漏洩の可能性を示すバグを理由に、アルファベットは傘下のグーグルが運営するソーシャルネットワークサービス「Google+（グーグルプラス）」の個人向けサービスを来年8月で終了すると発表した。

グーグルプラス関連のサービス・アプリケーション開発者は、このセキュリティホールを利用し、約2年にわたって50万人分のグーグルプラス会員の本名や電子メールのアドレス、職業、性別、年齢などに自由にアクセスできる状態にあったためだという。

実際にはこうした情報を開発者が引き出した形跡はないとグーグルが発表していることや、個人向けグーグルプラスの存在感の低さを考えれば影響は低いともいえるが、「問題の本質」はそこではない。

バグを発見したのは3月だった

いちばんの問題は、このシステム上の問題（バグ）を発見したのが2018年3月だったのに、これまで公表を避けていたことだ。グーグルは2018年5月25日にEUが新たに施行する一般データ保護規則（GDPR）を控え、個人情報の扱いに関して慎重にならねばならない時期だった。

GDPRでは欧州在住者の個人情報を欧州経済地域（EEA）外の企業がオンライン広告やオンライン測定に利用する際の厳密な運用規則を、罰則を伴う形で規定していた。

問題を発見した後、グーグルはすぐさま問題点を修正したと主張している。しかし、一方で問題を利用者に報告しないまま放置したことは同社も認めている。たとえ個人情報を盗まれる実害がなかったとしても、利用者に報告しなかったことは大きな問題だ。「GDPR施行前の微妙なタイミングだったため、個人情報の扱いに関する同社の姿勢を疑われないようにしようと、情報公開を遅らせた」と思われても仕方のない、誠実さを欠く対応だったと言わざるを得ない。