[画像] パンドラの箱を開いたFacebook、閉めるのに悪戦苦闘:「問題のユーザーデータは消えたわけではない」

Facebookではその昔、ユーザーが外部企業への共有に直接同意しているかどうかに関係なく、ケンブリッジ・アナリティカ(Cambridge Analytica)のような企業が、ユーザーのフルネーム、誕生日、信仰している宗教、政治観、職歴などの情報を入手できていた。ケンブリッジ・アナリティカが不正に入手した5000万人を超えるFacebookユーザーデータの山に、こうしたデータが何種類含まれているのかは、はっきりしない。その件について、Facebookにコメントを求めたが、締め切りまでに回答はなかった。しかし、Facebookが開発者に提供していた、ケンブリッジ・アナリティカが入手したデータの収集に使われた各ツールのドキュメントによると、Facebookを通じて企業がそうした個人情報を簡単に集められたことは、はっきりしている。Facebookは外部からのユーザー情報へのアクセスを禁止することにしたが、これまで提供されていたデータはまだ存在している可能性があり、その価値はむしろ禁止によって高まっている。「データの大半をまだそのままにしている人たちがいる」と、コロンビア大学のトウ・センター・フォー・デジタルジャーナリズム(Tow Center for Digital Journalism)のリサーチディレクター、ジョナサン・オルブライト氏はいう。「データが消えたわけではないのだ」

いかにFacebookのユーザーデータにアクセスできたか

2010年4月、Facebookのマーク・ザッカーバーグCEOが発表した「Graph API(グラフAPI)」。開発者がFacebookからデータを受け取り、自分のアプリやサイトに組み込むためのツールだ。たとえば、音楽レコメンデーションサービスのパンドラ(Pandora)では、Facebookのアカウントを使ってサインインすることで、友達たちの音楽の関心にもとづいたおすすめを受け取ることができた。しかし、Facebookは、パンドラなどにユーザーデータを開放することで、人々の個人情報というパンドラの箱も開いていた。コーディングのノウハウが少しあれば、アプリやサイトを運営することで、誰もがユーザー本人とその友達のFacebookプロフィールからのデータを収集できる状態が、約5年にわたり続いていた。アプリまたはサイトにFacebookアカウントでサインインをした人の、本人のフルネームや性別といった個人情報に加えて、Facebook上の友達のフルネームと性別がアプリまたはサイトの手にわたるように、デフォルト設定されていた。さらに、本人のメールアドレスや関係性の詳細のほか、その友達たちの誕生日や政治観といった情報も、アプリやサイトは要求できた。この情報提供に同意しなければ、アプリやサイトのログインや利用はできなかった。これでは、バーに入るのに運転免許証を見せる際に、友達全員の名前と性別のリストがそのバーに渡るようなものだ。さらに、友達の誕生日、職場、政治観、出生地といった情報をバーは要求できる。こうした情報共有を断ることはできるが、そうするとバーに入る許可が出ない。

Facebookがアクセス可能にしていたデータ

次のふたつの画像には、開発者がアカウントにサインインする人に要求できた、名前や性別といった公開プロフィール情報以外のFacebook情報が並んでいる。最初の画像は、YouTubeのFacebook Developersチャンネルへ2013年6月にアップロードされた動画、ふたつ目の画像は、オライリー・メディア(O’Reilly Media)が2013年10月に発行した書籍『Mining the Social Web, 2nd Edition』(邦訳『入門 ソーシャルデータ 第2版』)から引用している。

Source: YouTube/Facebook Developers

Source: Safari Books Onlin

Facebookが開発者にアクセスを許可していたこうしたデータは、信用調査会社などが収集して広告ターゲティングに使えるようにしているデータと、さまざまな点で似ている。たとえば、データプロバイダであるエクスペリアン(Experian)のマーケティング部門は、政治観、年齢層、教育レベルなどでグループ化したオーディエンスセグメントをブランドに提供している。ただ、ひとつ大きな違いがある。こうした会社が提供するデータは、ブランドがアクセスする前の段階で集計され匿名化されているのだ。一方、FacebookがGraph APIでアクセス可能にしていたデータは、そうはなっていなかった。あるエージェンシー幹部は、「個人に直結するレベル(の個人情報)のアクセスは、エージェンシー内でも求めない」と語った。Facebookは2013年6月までに、本人の友達の情報を外部の者がとても簡単に入手できるようにした。開発者が情報を入手できるのは本人の友達までで、友達の友達はできないということが、制限として挙げられたほどだ。Facebook開発者向けYouTubeチャンネルに2013年6月にアップロードされた動画では、プロダクトマネージャーだったサイモン・クロス氏が、「アクセス可能な、現行ユーザーの友達に関するデータはとても限られている。たとえば、友達の友達までは行けない」と語っている。この動画では、開発者のアプリやサイトにFacebookアカウントを使ってサインインした本人だけでなく、その友達についても、Graph APIを使えばFacebookのプロフィールの情報を引き出せることが説明されている。
Facebookは、この動画のアップロードから1年足らずで、ユーザーの友達に関するアクセス可能な情報の量を制限することに決めた。ユーザーのプライバシー保護の不履行を巡る連邦取引委員会(FTC)との和解から3年後だ。2015年4月30日からは、アプリやサイトにFacebookでサインインしても、本人の友達のリストがデフォルトで開発者に渡ることがないようになった。サインインした当人が友達リストへのアクセス許可をアプリやサイトに与えることに同意した場合も、アプリが収集できるのは、名前や性別といった友達の公開プロフィール情報のみになった。

データは出回っている

ときすでに遅しだった。データはすでに出回っていたのだ。そして、開発者がFacebookの方針に従い収集したデータを、アクセスを許可されていない外部に渡さないようにするかどうかは、開発者の自主管理に依存している部分が大きかった。その自主管理システムに穴があることは、ケンブリッジ・アナリティカのスキャンダルが証明している。インターセプト(The Intercept)、ガーディアン(The Guardian)、ニューヨーク・タイムズ(The New York Times)などが報じたように、アレクサンドル・コーガンという名の研究者が、緩かった当初のGraph APIを使って本人とその友達のFacebook情報を収集し、それをケンブリッジ・アナリティカに提供して報酬を得た。ケンブリッジ・アナリティカはそれを、ドナルド・トランプ大統領の2016年の選挙キャンペーンに使った。こうして企業が簡単にデータにアクセスできたことと同じくらい警戒が必要なのは、このデータの持続的な価値だ。その価値はいまだに失われていない。匿名化が行われなかったことと、フルネーム、誕生日、性別が含まれている可能性があることから、このデータはまだ、Facebookにおける広告のターゲティングに使われる可能性がある。Facebookの「カスタムオーディエンス(Custom Audience)」では、ファーストネーム、ラストネーム、生年月日、性別などに基づいて広告の対象を決めることができる。これらの識別子は組み合わせて使えるので、FacebookのGraph APIでアクセスできた名前、誕生日、性別を利用できるなら、それを使ってカスタムオーディエンスで広告ターゲティングできるし、Facebookの「類似オーディエンス(Lookalike Audience)」で似た人に広告を出すこともできる。もうひとつ問題がある。データにはFacebookの社会保障番号にあたる、Facebookの実際のユーザーIDが含まれていた。ユーザーIDによるカスタムオーディエンスのターゲティングは2014年にできなくなったが、いまでもユーザーIDはカスタムオーディエンスによるターゲティングに役立つ。たとえば、Facebookの実際のユーザーIDのリストだけがある場合も、Graph APIを使えばユーザーIDに結びついた各ユーザーのフルネームを集められる。その名前をカスタムオーディエンスや類似オーディエンスによるターゲティングに利用できるのだ。さらに、一時は、このデータを使うことで電話番号も入手できていた。ワイアード(Wired)がこの1月に公開した記事によると、Facebookが提供しているツールを広告主が使えば、広告主がメールアドレスや電話番号などのさまざまな情報リストの重複を比較し、電話番号を提供されていない人の電話番号を確定できる期間が、2年近く続いていたという。Facebookはこの問題を2017年12月に修正しており、これを使った情報の引き出しは確認されていないと説明した。しかし、ケンブリッジ・アナリティカがデータにアクセスしたことにFacebookは一時、気づいていなかったし、ケンブリッジ・アナリティカがまだ保有しているデータがどれくらいあるのかもFacebookはまだ確定できていない。

データ論争

Facebookはこの過去のデータ問題に対する取り組みを開始している。3月21日には、2014年に発表したGraph APIの変更以前に大量のユーザーデータにアクセスしたことのあるアプリを精査し、情報を悪用したと疑いがあるアプリを監査し、悪用していたアプリを締め出す計画を発表した。ケンブリッジ・アナリティカの議論で渦中にあるアプリなどが情報を収集し、悪用した人には、Facebookが通知をする。過去3カ月使われていないアプリは、データにアクセスできないようにする。さらに、Facebookアカウントを使ったログイン時にフルネーム、プロフィール写真、メールアドレスを要求できるのは、追加情報の要求のためにレビューを申請し、Facebookに許可されたアプリだけにする。しかし、データにアクセスできなくすることと、行われたアクセスを取り消すことは同じではない。現に、コーガン氏のアプリが入手したデータはケンブリッジ・アナリティカに渡った。Facebookによる監査で取引を追跡できるかもしれない。できない可能性もある。外部アプリが収集したユーザーIDをFacebookが捨てれば、問題のデータはある程度、無力化できる。すべてのユーザーID、あるいは、少なくとも情報を収集され悪用された人のユーザーIDを、Facebookが更新する方法もあるだろう。情報にアクセスしたアプリをユーザーが調べる時に、たとえデータを悪用したアプリが見つからなくても一人ひとりがFacebookユーザーIDのリセットを要求できるようにすることもできる。こうしたユーザーIDのリセットを可能にするかについて、この記事の締め切りまでにFacebook広報担当者の発言はなかった。Tim Peterson (原文 / 訳:ガリレオ)