Facebook Graph API と Instagram API での個人情報取得が正式により厳しくなった件

ケンブリッジ・アナリティカが目的外利用していた属性情報が 5,000 万件ではなく 8,700 万件という話が出ている (Facebook、ユーザー情報の不正取得は最大8700万人分に–数々の対策を発表 – ZDNet Japan)が、一方で、前回少し触れた Facebook app のレビューが厳しくなる件で続報が出ていた。

何が変わったか

今回は Facebook CTO の Mike Schroepfer 氏の記事と Developer News の記事の 2 本が出ているが、内容的にはほぼ変わらない。

今回の問題はもちろん「いいね」が不正利用されたところが出発点だが、その中でも

どこに行ったのか
どのイベントに参加したのか (おそらくは選挙に関するイベントだろう)

が不正利用されたのだろう。これらの情報の取得についてかなり厳しくなった印象がある。

Facebook Login

開発者としては、やはり Facebook Login でのパーミッション審査がどうなるかが気になるところだろう。ここはかなり厳密になった。

審査のスタンス

前回

年々緩くなってきていた審査を再度厳しくするのではあろう

と書いたとおり、公式に審査を厳しくすると発表があった。

In 2014, we introduced extensive, granular controls that empowered people to decide for themselves what information they shared with their apps. Today, we’re continuing that process by announcing a more robust app review process and more data protections for the people who use our products.

現状、新規の審査はペンディングになっているが、Facebook 側での新しい審査プロセスの検証をかねて徐々に再開していくらしい。だが、完全に受け入れが開始するまでには数週間かかるとのことだった。

また、Facebook Page、イベント、グループにアクセスする Pages API, Events API, Groups API の新規利用については、既存の app review プロセスの Facebook 側での見直しが終わるまで待つ必要がある。また、既存の Facebook app に関しても過去の審査に関わらず即日許可が取り消され、再審査が必要となる。Facebook 関連の既存サービスにとっては、ここのインパクトが一番大きいだろう。

即日廃止されたもの

今回で一番大きな変更点は、やはり Facebook Login で取得できるパーミッションについて、即日廃止されるパーミッションが出てきたところだろう。具体的には以下が即日廃止となった。

宗教・信仰
政治観
家族と交際ステータス
自己紹介
学歴
職歴
ウェブサイト
読書
フィットネス
音楽
動画
ニュース
ゲーム

また、友達のタグ付け、友達一覧の取得 API も即日廃止となった。

審査が必要となったもの

これまでは同一の Facebook app を使っている友達の一覧取得が審査なしで可能だったが、前回の発表でこれが要審査となっていた。それに加え、以下のパーミッションについてはすべての Facebook app において審査が必要となる。

チェックイン
いいね
写真
投稿
ビデオ
イベント
グループ

原文で

Starting today, Facebook will need to approve all apps that request access to information such as check-ins, likes, photos, posts, videos, events and groups. We started approving these permissions in 2014, but now we’re tightening our review process — requiring these apps to agree to strict requirements before they can access this data.

とあるので、おそらく既存の Facebook app も再審査が必要になると思われる。

パーミッションの期限

これまでの Facebook Login では一度パーミッションを取得すると、アクセストークンそのものには 60 日の期限があるにしても、広告関係のパーミッションが含まれていると無期限に情報を取得できるようになっていた。

今後、その Facebook app を 90 日以上使わない場合は各属性情報にアクセスできなくなる。そのため、Facebook 広告関連のサービスを提供している場合、広告運用に関するアクセストークンはシステムユーザを使うように仕様を変更する必要がある。

Events API

Facebook イベントを扱う Events API では、イベント参加者一覧およびイベントウォールの情報を取得できなくなった。将来的には、Facebook が認めたものだけが Events API にアクセスできるようになる。

Groups API

Facebook グループを扱う Groups API では、グループメンバー一覧を取得できなくなった。また、グループへの投稿またはコメントの投稿者名およびプロフィール写真を取得できなくなった。

Pages API

Facebook Page を扱う Pages API については、すべて審査が必要となる。Facebook Page 管理ツールまたは Facebook Page への投稿を広告として配信するようなサービスに影響が大きいと思われる。

Instagram API

すでに段階的廃止が告知されている Instagram API だが、廃止が前倒しとなった。

特に以下が即日廃止になったのが大きい。

フォロワー、フォロー先の取得
一般公開された写真へのコメント
いいね
ユーザ検索

一般ユーザ向け機能の変更

Facebook でメールアドレスや電話番号を検索すると該当するユーザを検索できたが、これが廃止となった。

以前からこの機能をヘッドレスブラウザで悪用したり、または Facebook Pixel やカスタムオーディエンスなどでも CRM との突き合わせに使われていたりしたので今回の問題とは直接関係はないものの、自社 CRM には存在しないより詳細な属性情報を Facebook より不正取得するために使われていたので納得がいく変更ではある。

電話・SMS 履歴の取得

一部 Android 端末で電話履歴と SMS の履歴が収集されていた問題は、調査の上で Facebook 側に蓄積された情報を削除する対応が取られた模様。

まとめ

そもそもの問題点として、今回の不正利用騒ぎは 2014 年の Graph API v2.0 導入以前に野放しにされていた Facebook app が原因だろう。Facebook としては、そもそも「2014 年にある程度対応した」ものに対して若干話を蒸し返された感はあると思うし、取れる対応は限られてくる。

その結果、今回の変更は個人的にはある程度予想がつく範囲に収まったと。だが、Instagram や Facebook でのマーケティングツールを提供する多くのベンダーにとってはかなりのインパクトがあるだろう。

また、Facebook app の審査はまだテスト再開のみで正式再開されていないのでどの程度厳しくなるかはまだ未知数だが、ここは相当厳しくなると思われる。
かつて 2014 年に初めて審査が導入された際、多分私が日本で一番最初に審査を通したと自負しているが、あのときは 2 〜 3 回差し戻された。ここ最近は動画を投稿したりする必要はあるものの全体に審査が緩くなっていたが、ここはおそらく導入当初かそれ以上に厳しくなるのだろう。

今回の問題の対応として、全体的にこれ以上厳しくなることはなかなか想像しづらいが、今後、

Facebook 属性情報取得が目的で Facebook ログインを提供する
Facebook 属性情報をもとにマーケティング

というパターンは再考を迫られるだろう。

一方で、文字通りユーザエクスペリエンスを向上させる意味で Facebook ログインを利用する、属性情報を利用するというところまで Facebook は否定していない。それを踏まえて、Facebook でのマーケティングソリューションを提供するベンダーはもちろん、広告主でもあるオウンドメディア側も考え方を変える必要がありそうである。

2018 年 5 月 2 日追記

F8 にタイミングをあわせて発表された Graph API v3.0 で、正式に審査が再開された。これにともない、以前に審査を通過している場合でも 2018 年 8 月 1 日までに再度審査に出す必要がある。詳細は「Facebook Graph API v3.0 リリースと同時にログイン審査がリニューアルされた件」も参照。