Facebookから取得した個人情報の不正利用を防ぐポリシー変更は本当に有効なのかという疑問


少し前になるが、3 月 21 日に Facebook のポリシーが変更となり、個人情報の不正利用に対してより厳しくなった。

これは、選挙コンサルティング会社のケンブリッジ・アナリティカが 5,000 万人分の「いいね」および友達関係を中心とする属性情報を不正利用していた事件に関連してのポリシー変更となる。


変更点

3/22 (日本時間) に Facebook newsroom で公開された "Cracking Down on Platform Abuse" によると、主な変更点は以下の通り。

  1. 2014 年のレビュー導入以前から存在していたすべての Facebook app に対して怪しい動きがないか調査。個人識別可能情報の不正利用があれば削除する。
  2. 不正利用されたユーザに対する説明の強化。今回、不正利用に使われた Facebook app " thisisyourdigitallife" の利用ユーザに対しては説明を実施する。今後、上記理由で削除された Facebook app の利用ユーザについては app についても説明する。
  3. 過去 3 ヶ月で使われていないアプリはユーザの属性情報へのアクセスを停止。
  4. Facebook ログインで取得できる情報の制限。名前、プロフィール写真、メールアドレス以外の個人情報にアクセスするには事前審査が必須となる。
  5. Facebook app 利用者への app 利用状況の確認の奨励。
  6. 脆弱性発見者への報奨制度実施。Facebook app 開発者がデータを不正利用しているのを見つけた場合、脆弱性報告できるように。

インパクト

色々変わったのは事実ではあるし、今時点で不正利用している Facebook app に対してはある程度有効ではあろう。ただ、今回の事件で不正利用されたデータは 2014 年にポリシーが厳格化される前に作成された Facebook app で収集されたものであった。

一方で、今時点で出回っている、または今後出回るであろう有象無象の情報収集システムについては

  • 2014 年以降、すでに Facebook app で属性情報を取得しようとすると事前審査が必須になっている。
  • 2016 年以降、作成時期にかかわらず Facebook app は原則として友達一覧は取得できない。取得できるのは、Facebook app を利用している友達一覧。
  • 審査なしでもメールアドレスは取得できる。

から、イマイチ決め手に欠けると言ってもよい。

Facebook ログイン経由で取得できる情報について、取得する側のサービスの外での利用価値を 3 つに分けるとすると、

  1. Facebook app based User ID – Facebook 広告ターゲティングに利用。
  2. 名前・メールアドレス – 名寄せ用または名簿再販用。
  3. その他属性情報 – セグメント用情報

ではあるが、Facebook 広告の現時点での刺さり具合を考えると、不正利用という観点では 1 と 2 だけで十分不正利用できると思われる。

あえて言えば、3. も含めて取得するケースに対して年々緩くなってきていた審査を再度厳しくするのではあろうが、属性情報を収集するための隠れ蓑である有象無象のサービスが巧妙化すれば事態はあまり変わらない可能性があるのではないだろうか。

Facebook から属性情報を取得しようとする動きの活発化

実は 2014 年以降、厳しくなった Facebook からの属性情報をいかに取得するかという動きが非常に巧妙化している。

誰でも思いつきそうなのは、いわゆるヘッドレスブラウザ、ブラウザのエンジン部を切り出して実際には表示させずにレンダリング結果を評価できる仕組みを使って Facebook の情報を抜くことだが、これは一定時間内に一定数以上のプロフィール情報にアクセスすると、しばらくは自動ブロックされるようになっている。

EC サイトなら自社 CRM が持っている個人情報を Facebook のものと付き合わるといったことも考えられるだろう。これに関連した機能が Advanced Matching in Pixel だったが、これについてもどうも不正利用されたらしく、かなり制限されてしまった。


このように、Facebook は個人情報の宝庫であり、常に不正利用の危険性に晒されている。例えばユーザの利便性のため、または Facebook 広告配信のために「正しく」利用している側からすると振り回されている感が出てしまうのは否めない。