Facebook(フェイスブック)不正アクセス問題、日本の個人情報保護委員会から行政指導

公開日:
10月22日、Facebookは「日本の利用者のプライバシーを保護するための取り組みについて」と題したコメントを発表した。また同日、個人情報保護委員会はFacebook.incに対し行政指導を行ったことを発表した。9月にセキリティのぜい弱性を利用し、約5,000万のアカウントに不正アクセスがあったことを発表したFacebook。その後の調査により、当初より少ない約3,000万アカウントであったことや、攻撃の経緯なども発表されている。
Facebook(フェイスブック)不正アクセス問題、日本の個人情報保護委員会から行政指導

約3,000万アカウントへの不正アクセス

9月25日、Facebookのエンジニアリングチームが、約5,000万のアカウントに影響があるFacebookのセキュリティぜい弱性を発見したと発表。大きな話題となった。

また10月13日、攻撃に関する内部調査の結果を公表。これによれば、攻撃者は2017年7月から2018年9月までの間、Facebookのコードぜい弱性を利用し、Facebookのアクセストークンの情報を不正に入手。アカウント乗っ取りを行ったという。

アクセストークンとは、利用者がログインし続けるために、毎回パスワードを入力しなくてすむデジタル暗号であり、利用者にとって便利なものであるが、これを悪用された形だ。

また発覚当初は約5,000万のアカウントに影響とされていたが、10月13日の時点では実際にアクセストークンを盗まれたのは約3,000万であることが明らかとなっている。

自身のアカウントが影響を受けたかどうかについては、フェイスブックのヘルプセンターで「セキュリティに関する問題」と検索し、確認できる。

また日本の個人情報保護委員会は10月17日、 フェイスブックに対して事実関係の確認などを行っているところあり、引き続き個人情報保護法に基づき適切に対処していくとコメント。

10月22日付で、個人情報保護法に基づき行政指導を行ったことを発表した。

出典:個人情報保護委員会

また同日、Facebook側は具体的な対策、今後についてを発表した。

22日Facebook発表「日本での取り組みについて」

10月22日、Facebookは「日本の利用者のプライバシーを保護するための取り組みについて」というタイトルで、同社HPにリリースを掲載した。

これによれば、個人情報保護はFacebookの重要課題としたうえで、個人情報保護委員会の指導をふまえ、今後もこの課題へ注力する旨が書かれている。以下に、具体的な取り組みをまとめる。

プラットフォームの変更とデータアクセスを制限する対策

プラットフォームの変更とデータアクセスを制限する対策として、以下の点をあげている。

●2014年に行ったアクセスできるデータを大幅に制限する変更を、この数か月でさらに加速させる。

●ログインで共有される情報についても制限する。レビューを受けずにアプリがリクエストできるデータを、利用者が許可した場合のみに限り、名前・プロフィール写真・Eメールアドレスに制限する。

●過去3か月以内にアクセスのないアプリにおいては、アプリ利用者の情報をリクエストする機能についても無効とする。

サービス規約・データに関するポリシーの更新

利用者のどのデータを取得し、どのように使用しているかを明確に説明するために、7月にFacebookのすべての利用者向けに、Facebookとしての公約を含んだサービス規約を更新。

また、あわせてFacebook、Instagram、Messengerや他のアプリや製品でどのようなデータを取得し、利用しているのかより明確にするために、データに関するポリシーの更新も行ったという。

プライバシー関連ツールを更新

プライバシー管理機能や他の重要なプライバシー関連ツールが見つけにくいという利用者の声を受け、今年の5月にモバイル上の「設定」メニュー全体のデザインを更新。これまでは約20の異なるスクリーンに分散していたのが、1つの画面からすべての設定ができるようになった。

●プライバシーセンターの設立

プライバシー、セキュリティ、広告についても管理をより簡単にしてほしいという利用者の要望をうけ、5月にプライバシーセンターを新設。

数回タップするだけでデータを管理できるメニュー画面で、どのように管理されるのかか説明したという。

●「個人データ管理ツール」導入
投稿、リアクション、コメント、検索した情報など、利用者が自分の過去の情報にアクセスし、管理できるようにするためのツール。

この「個人データ管理ツール」から、タイムラインとプロフィールに表示されている情報を削除でき、Facebookでシェアしたデータを簡単にダウンロードできるようになったという。

●「履歴のクリア」機能は現在開発中
「履歴のクリア」を使うと、利用者がウェブサイトやアプリを利用した際に、Facebookに共有している情報を確認、共有された情報を自身のアカウントから消去できる。

また、 Facebookが今後その情報を利用者のアカウントに紐づけて保持できなくするオプションを選択できるという。

●新しいプライバシー管理機能
ヨーロッパの一般データ保護規則(GDPR)への対応として、新しいプライバシー管理機能も拡充。これはヨーロッパ在住の人だけではなく、すべての利用者が使用できるという。

今後についてのコメント

Facebookは、今後について以下のようにコメントしている。

「これまで、政府機関やプライバシーの専門家とともにプライバシーの製品機能の発表や更新を行ってまいりました。これからもアプリの調査を続け、プラットフォームの安全性を高めるために必要な変更を加え、利用者の皆様の情報を保護するための製品・機能開発に全力で取り組みます。」