Facebookがデータアクセスを許可していた52社が米国議会で明らかに

次の記事

この新しいマルウェアはWindowsのクリップボードを乗っ取り、暗号通貨アドレスを書き換える

Facebookは4月に米国議会の上院と下院の2つの委員会の議員から受けていた2000余りの質問に答える750ページに及ぶ書類を議会に提出した。

この書類はおそらく、幼い子どもを眠らせる必要があるときには非常に有効なものとなる。というのも、これまで何回も繰り返してきた内容だからだ。

TextMechanicを使ってみたところ、この書類では重複している表記が3434カ所もあった。そこには、Facebookが最近、政治家に対してよく使うお気に入りの文言も含まれる。それは「Facebookは一般に規則には反対しない。しかし正しい規則である必要がある」というものだ。Facebookは、議会のような規則に携わる人々と正しい規則をつくるために共同作業を行うことを提案している。

この書類にあるFacebookのポリシーの多くが、間違った方向性と曖昧な言葉で盛られていて(うたた寝の繰り返しとともに)、唯一新たな情報は、Facebookが特別にデータアクセスを許可していた長いパートナーのリストだろう。インテグレーションパートナーシップと呼ぶAPI合意を介して。

リストにあるいくつかの社名はNew York Timesが以前報じたものだ。New York Timesが先月指摘したように、Facebookを襲ったスキャンダルの核心は、プライバシーを尊重するとしていた主張を傷つけることになったデータ共有にある。というのも、ユーザーは明らかにデータ共有に同意していなかったからだ。

下記に、Facebookが今回議会に対して明らかにした52社のフルリストを案内する。ただし、Facebookは「我々がいくつかのインテグレーションを確認できないというのはあり得ることだ。特に記録が集約されていない、社が立ち上がったばかりのころはそうした事態が想定される」と記し、このリストは完全なものではないかもしれないと認めている。

リストに挙げられている会社名はデバイスメーカーだけではないーモバイル通信会社やソフトウェアメーカー、セキュリティ会社、そしてチップメーカーのQualcommすら含まれている。これは、Facebookがモバイルウェブのサービスに入り込むためにいかに動いてきたかを物語っている。そして、そんなにたくさんのサードパーティにユーザーデータを提供できたという事実を示している。

下記にある会社名で、*マークが付いているのはFacebookが言うところの最終確定作業中で(TobiiとApple、Amazonの3社は例外、2018年10月以降も続行する)、一方、**マークの企業はデータパートナーシップとなり、今後も続行するがフレンドのデータへのアクセスはない)。

  1. Accedo
  2. Acer
  3. Airtel
  4. Alcatel/TCL
  5. Alibaba**
  6. Amazon*
  7. Apple*
  8. AT&T
  9. Blackberry
  10. Dell
  11. DNP
  12. Docomo
  13. Garmin
  14. Gemalto*
  15. HP/Palm
  16. HTC
  17. Huawei
  18. INQ
  19. Kodak
  20. LG
  21. MediaTek/ Mstar
  22. Microsoft
  23. Miyowa /Hape Esia
  24. Motorola/Lenovo
  25. Mozilla**
  26. Myriad*
  27. Nexian
  28. Nokia*
  29. Nuance
  30. O2
  31. Opentech ENG
  32. Opera Software**
  33. OPPO
  34. Orange
  35. Pantech
  36. PocketNet
  37. Qualcomm
  38. Samsung*
  39. Sony
  40. Sprint
  41. T-Mobile
  42. TIM
  43. Tobii*
  44. U2topia*
  45. Verisign
  46. Verizon
  47. Virgin Mobile
  48. Vodafone*
  49. Warner Bros
  50. Western Digital
  51. Yahoo*
  52. Zing Mobile*

【注記】リストの46番目のVerizonはTechCrunchを運営するOathの親会社だ。

先月New York Times の報道によると、FacebookはデバイスメーカーがAPIをインテグレートしたデバイスを通じてFacebookユーザーとそのフレンドの情報に十分にアクセスできるようにしていた。

このパートナーシップの数と範囲は、Facebookがいかにユーザーデータを扱っていたかという、プライバシーについての疑念を巻き起こした。そこには、他のデベロッパーがKoganのような行いをしたり(日本語版編集部注:KoganはCambridge Analyticaに個人情報を流していた)、フレンドAPIを通じて大量のデータを入手したりするのを防ぐためにAPIを変更したとき、Facebookが繰り返しプラットフォームをロックダウンしたとしていた主張に対しても何らかの疑いを持たざるを得ないものだ。

3月に表面化したCambridge Analyticaの一件以来、雪だるま式に膨れ上がったプライバシースキャンダルに対するFacebookの対応はまったく無残なものだったが、フレンズのデータAPIを閉鎖した2015年には、ユーザーデータへのアクセス制限を補強したと主張していた。

しかし、他企業とデータ共有する取り決めの範囲をみると、人々のデータ(フレンドデータを含む)を彼らが選んだ多くの企業に静かに渡していたという事実を意味する。ユーザーの許可なしでだ。

これは、FacebookがFTC(米連邦取引委員会)と合意に至った2011年の審決に直接関係する。この審決では、Facebookは、プライバシーやユーザーデータのセキュリティについて誤解を招く表現を避ける、Facebookでの情報はプライベートに保存でき、それからシェアしたり公開したりもできると言いながら顧客を欺いた点を改めることに同意している。

にもかかわらずそれから数年後、Facebookは50社とデータ共有APIインテグレーションを行い、そうした企業がFacebookのユーザーのデータにアクセスできるようにしていた。Cambridge Analyticaの件が国際的スキャンダルになった4月以降、明らかにこうしたパートナーシップは下火になりつつある。

書類ではFacebookは52社のうち38社とはすでにデータ共有していないとしている。しかしながらデータ共有の終了がいつだったのか明記しておらず、7社とのデータ共有を7月末までに、もう1社は10月末までに終わらせるとしている。

「3社とのパートナーシップは継続する。(1)Tobii(ALSを患うユーザーがFacebookにアクセスできるようにするアプリ)、(2)Amazon、(3)Apple、2018年10月以降も継続することで合意している」とのこと。ただ、AmazonがFacebookのデータで実際に何をするのかは省略している(おそらく、モバイル端末Fireシリーズとのインテグレーションだろう)。

「また Mozilla、Alibaba、そしてOperaとのパートナーシップも継続する見込みだ。これによりユーザーはそうしたウェブブラウザでFacebookのノーティフィケーションを受信できるようになる。しかし、このインテグレーションではフレンドデータへのアクセスはない」。この表現から思うに、この3社は以前はフレンドデータへのアクセスが可能だったのだろう。

こうしたインテグレーションのパートナーシップは、サードパーティのアプリデベロッパーがアプリをつくるために公開されたAPIを使用するのとは全く異なるものとFacebookは主張する。というのも、パートナー企業がつくるアプリケーションの場合はFacebookスタッフが承認しているからだ。

さらに、パートナーは認可されたインテグレーションに関係のない目的のためにFacebookのAPIを通じて得た情報をユーザーの同意なしに使うことは禁じられているとしている。これに関し、こうしたパートナーシップに関わるスタッフやエンジニアリングチームは、認可されたAPIがパートナーの商品にどのように統合されたのか確かめたり、承認したりとパートナーシップを管理できると述べている。

「これとは対照的に、我々のデベロッパーオペレーション(Dev Ops)はサードパーティのデベロッパーを監督するが、このサードパーティのデベロッパーはどのようにアプリを作るかは自分たちで決めるーFacebookのプラットフォームポリシーと公開APIを使うための許可についてのDev Opsの承認に従わなければならない」としている。つまり、ユーザーデータへのアクセスに関して、Facebookは二重構造システムをとっていることになる。サードパーティデベロッパーは、Facebookがパートナー企業のインテグレーションをレビューするのと同じような扱いにはならない。

ケンブリッジ大学の教員Aleksandr Koganはクイズアプリをつくり、2014年にFacebookユーザーのデータをCambridge Analyticaに売る目的で集めていた。Koganは、Facebookが条件を適用しておらず、有効なデベロッパーポリシーを持っていなかったと主張している。

もちろんFacebookは、ユーザーデータを使ってデベロッパーが何をしているのかというチェックが、パートナー関係の企業に対するチェックに比べて少なかったことを認めている。

Facebookにインテグレートするということが何を意味するのか説明するよう求めた米国議員への対応としてのこの書類は、2016年のデータポリシーに対峙するものだ。そこでは「サードパーティのアプリやウェブサイト、その他サービスを使うとき、また我々のサービスと統合されたものを使うとき、サードパーティーやインテグレーションを行なっている企業は、あなたの投稿や共有したものについての情報を入手するかもしれない」と記されている。Facebookはまた、インテグレーションパートナーシップについても一般に、Facebookに認可された特別なインテグレーションを行うためのAPIを使用する権限を付与するという、特別な合意に基づくものと表記している。

ここで使用されている一般にという言葉には要注意だ。こうしたパートナーシップのいくつかではその範疇を超えていることをうかがわせる。しかしながらこれについてFacebookは詳細を明らかにしていない。

我々はFacebookに対し、さらなる情報を求めている。例えば、これらのインテグレーションパートナーシップの目的がリスト化される予定があるのかどうか、といったことだ。これには、パートナー企業が受け取ったユーザーそしてフレンドデータの種類、各パートナーシップの締結の日時や期間も含まれる。これに対し、Facebookのスポークスマンは、今のところ追加で出す情報はないとしている。

書類では、Facebookはユーザー情報の使用法4つをリストに挙げている。ここにはインテグレーションパートナーシップを結んでいる企業のデータ使用目的も含まれる。すなわち、いくつかのパートナー企業は自社のデバイスやOS、製品のためのアプリバージョンを作っているということになる。このバージョンでは私たちがFacebookのウェブサイトやモバイルアプリでつくった重要なFacebookの機能を模倣している。

複数のソーシャルサービスからのメッセージを集めるソーシャルネットワーキングハブだったり、Facebook機能をデバイスに搭載する(Facebookに写真をアップロードしたり、Facebookにある写真を端末にダウンロードしたり、あるいはFacebookにある連絡先をアドレスブックに統合したりといったもの)ために、Facebookデータ情報をシンクさせられるようにするというものだ。また、モバイルからインターネットアクセスがないフィーチャーフォンユーザーのための、Facebookのノーティフィケーションやコンテンツがテキスト経由で届けられるUSSDサービスも開発された。

ゆえに我々は、このパートナーシップにより、Facebookが承認するインテグレーションでどんなものがそのほかにつくられたのだろう、と思案している。加えて、いつからインテグレーションパートナーシップが始まったのかFacebookが明らかにしていないのは特記に値する。それを明らかにする代わりに、彼らはこのように記している。

世界中の人々が携帯電話でインターネットにアクセスするのにiOSやAndroidを活用するようになる以前にインテグレーションは始まった。人々はテキストのみの電話やフィーチャーフォン、能力差のある初期のスマートフォンなどを使ってネットに接続できるようになった。そうした中で、FacebookやTwitter、YouTubeといったインターネットサービスに対する需要は、どの電話やOSでも使えるサービスのバージョンを作るという我々の能力を超えるものだった。解決策として、インターネット企業はデバイスの製造に注力するようになり、他のパートナーは人々が幅広いデバイスや商品でアクセスできる手法を作り出した。

データ共有がなぜ始まったのか、かなりもっともらしい説明に聞こえる。しかし、なぜほんの数週間前までデータ共有の多くが続けられていたのかについては不透明だ。

Facebookは他社とのデータ共有について、別のルール違反のリスクに直面している。というのも、EUと米国には法的枠組みPrivacy Shieldの調印があるからだ。この枠組みでは、何百万というEUユーザーの情報を処理するために米国へ移すことを許容している。

しかしながら、このメカニズムには法的重圧が加えられつつある。先月、欧州議会委員会は、Facebook、Cambridge Analyticaスキャンダルについて明確に懸念を表し、EU市民のデータを保護できなかった企業はPrivacy Shieldから除外されるべきなどとして、このメカニズムを一時停止するよう要求した。

現在のところFacebookはまだPrivacy Shieldに含まれているが、EU市民のデータを保護するための責任を果たさなかったとみなされた場合、米国の監督機関により除外される可能性がある。

3月に FTCはプライバシーの運用に関する新たな調査を開始したことを認めた。この調査は、何千万人というFacebookユーザーのデータが、ユーザーの認知しないところで、あるいは承認なしにサードパーティーに提供されていた事実が明らかになったことに続くものだ。

もし、Facebookが人々のデータを誤操作し、審決に反すると FTCが認めた場合、Privacy Shieldから除外されるようFacebookに重圧がかかることになるだろうー除外されるとなるとFacebookはEUユーザーのデータを移送するのに他の合法的な方法を模索しなければならない。または、EUが施行した新データ保護法GDPRに基づく巨額の罰金のリスクを負うことになる。

Facebookが現在活用している、もう一つのデータ移送の手法は、すでに法的に難しい状況に陥っている。これは標準契約条項と呼ばれている。

すべてのアプリでデータ流用の延長

書類には、2015年5月にフレンズデータAPIを終了させたのちデータアクセス延長が認められた61のデベロッパー(下記の通り)のリストも記されている。こうしたデベロッパーは2015年5月以降、1度限りの6カ月未満の延長が与えられた。ただし、例外が一つある。アクセシビリティのアプリSerotekには2016年1月までの8カ月の延長が与えられた。

Facebookフレンドデータを流用するための期間延長が認められたデベロッパーが展開するものには、デートアプリ、チャットアプリ、ゲーム、音楽ストリーミングアプリ、データ分析アプリ、ニュースまとめアプリなどがある。

  1. ABCSocial, ABC Television Network
  2. Actiance
  3. Adium
  4. Anschutz Entertainment Group
  5. AOL
  6. Arktan / Janrain
  7. Audi
  8. biNu
  9. Cerulean Studios
  10. Coffee Meets Bagel
  11. DataSift
  12. Dingtone
  13. Double Down Interactive
  14. Endomondo
  15. Flowics, Zauber Labs
  16. Garena
  17. Global Relay Communications
  18. Hearsay Systems
  19. Hinge
  20. HiQ International AB
  21. Hootsuite
  22. Krush Technologies
  23. LiveFyre / Adobe Systems
  24. Mail.ru
  25. MiggoChat
  26. Monterosa Productions Limited
  27. never.no AS
  28. NIKE
  29. Nimbuzz
  30. NISSAN MOTOR CO / Airbiquity Inc.
  31. Oracle
  32. Panasonic
  33. Playtika
  34. Postano, TigerLogic Corporation
  35. Raidcall
  36. RealNetworks, Inc.
  37. RegED / Stoneriver RegED
  38. Reliance/Saavn
  39. Rovi
  40. Salesforce/Radian6
  41. SeaChange International
  42. Serotek Corp.
  43. Shape Services
  44. Smarsh
  45. Snap
  46. Social SafeGuard
  47. Socialeyes LLC
  48. SocialNewsdesk
  49. Socialware / Proofpoint
  50. SoundayMusic
  51. Spotify
  52. Spredfast
  53. Sprinklr / Sprinklr Japan
  54. Storyful Limited / News Corp
  55. Tagboard
  56. Telescope
  57. Tradable Bits, TradableBits Media Inc.
  58. UPS
  59. Vidpresso
  60. Vizrt Group AS
  61. Wayin

【注】リスト5番目にあるAOLは、TechCrunchの親会社Oathの前身だ。

Facebookはまた、Cambridge Analyticaスキャンダルをきっかけに現在も行われているアプリ監査についても述べている。それによると、ベータテストの中でのAPIアクセスによる、限定されたフレンズデータに理論上アクセスが可能だった企業の数はかなり少ないという。

その企業名は以下の通りだ。

  1. Activision / Bizarre Creations
  2. Fun2Shoot
  3. Golden Union Co.
  4. IQ Zone / PicDial
  5. PeekSocial

「我々はこうした企業がアクセスを活用したのかは認知していない。こうした企業がフレンズデータにアクセスできないような措置はすでにとられている」と付け加えている。

アップデート:フェイスブックはユーザーデータをより保護するためさらなるAPIの利用制限を発表した。変更については、ここで詳細を見ることができる。

Facebookは好ましくないAPIを閉鎖したり変更したりするのに、デベロッパーと共同で取り組むとしている。

[原文へ]

(翻訳:Mizoguchi)