Instagram「信頼済み広告業者」が不正な情報収集。数百万人の位置情報、ストーリー情報などを保存

7月の終わり、Facebookは一連のユーザー情報の取り扱い問題に関して、50億ドル(約5400億円)の制裁金を支払うことで米連邦取引委員会(FTC)と合意に達したばかりですが、そのFacebookの子会社であるInstagramで、また個人情報漏れの疑いがみつかりました。

Business Insiderが報じたところによると、Instagramの「preferred marketing partners(優先マーケティングパートナー)」に登録されたHyp3rと称する会社が、広告プラットフォームへのInstagram側の設定ミスと、管理体制の緩さを利用して、通常なら24時間で消滅するはずの、ストーリー機能におけるユーザーの居所や履歴、写真などを詳細にかつ無期限に記録していたとのこと。Instagramは8月7日、Business Insiderからの調査結果の提示をうけてHyp3rが規定を違反していることを認め、このマーケティング会社の登録を中止。他の企業が同様に公開のページから情報をスクレープするのを防止するため、ユーザーの位置情報へのアクセスにログイン処理を加え、セキュリティが維持されるよう変更を加えています。

Hyp3rの動作は、ジオフェンスと呼ばれる技術を用いて、特定の場所にタグ付けされたユーザーの公開投稿をすべて収拾するツールを構築したとされます。特定の場所とはホテルやカジノ、空港、ジム、バー、スタジアム、病院など人々が集まる場所で、Hyp3rは数千ものジオフェンスをデータベース化し、これらの場所に関連する公開投稿をまるで掃除機で吸い上げるかのように収集、無期限に保存可能にしたとされます。そうして集めた場所ごとの投稿を体系化することで、膨大なユーザーそれぞれが頻繁に訪れる場所から趣味や習慣、ビジネス、健康状態など詳細なプロファイリングを可能としていたとのこと。

こうした情報収集の仕方の一部は、かつてのInstagramでは認められていました。しかし、Cambridge Analyticaによるスキャンダル以降、Instagramはロケーションツールを含むAPIの機能の多くを廃止しています。

Hyp3rの役員Carlos Garcia氏はHyp3rが「ユーザーのプライバシー規制とFacebookの利用規約に準拠している」と述べ、ユーザーの個人的な情報を24時間以上経過したあともわかるように得たことはないと主張しています。

Facebookは、定期的に信頼できるマーケティングパートナーをレビューして、ルールやポリシーを遵守しているかを確認しており、Instagramのマーケティング担当者もそれを公に宣伝していました。にもかかわらずの今回の問題発覚は、Facebook/InstagramがHyp3rの振る舞いに注意を向けていなかった可能性が考えられ、レビューが"ざる"だった可能性もあるかもしれません。