米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた

FTC fines Twitter $150M for using 2FA info for targeted advertising

2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。

それは、FTC 法だけではなく、2011年の委員会行政命令に違反するものであり、同社がセキュリティとプライバシーの慣行を偽って説明し、収集したデータから欺瞞的に利益を得ていたことを示している。この命令は、2009年1月〜5月にかけて、ハッカーが Twitter の管理権を得たことで、ユーザーの個人情報の保護に失敗したときに、和解として成立したものでもある。

FTC の Lina M. Khan 委員長は、「訴状にあるように、Twitter はセキュリティのために利用するという口実で、ユーザーからデータを取得したが、そのデータを使ってユーザーに広告を配信していた。この行為は、Twitter の主要な収益源を強化する一方で、1億4000万人以上の Twitter ユーザーに悪影響を与えた」と述べている。

連邦検事である Stephanie M. Hinds は、「この $150 million の罰金は、Twitter に対する申し立ての深刻さを反映している。本日の和解案の結果、新たに課される実質的なコンプライアンス措置は、ユーザーのプライバシーを脅かすような、誤解を招きかねない戦術の防止に役立つ」と付け加えた。

DOJ Twitter fine


FTC が提案した命令の追加条項は、以下の通りである。

  • Twitter が欺瞞的に収集したデータから利益を得ることを禁止する。
  • 電話番号の提供を必要としないモバイル認証アプリやセキュリティ・キーなど、他の多要素認証方法の利用をユーザーに許可する。
  • アカウント・セキュリティのために収集した電話番号やメールアドレスを、広告のターゲットとして悪用したことをユーザーに通知し、Twitter のプライバシーおよびセキュリティ管理に関する情報を提供すること。
  • 包括的なプライバシーおよび情報セキュリティ・プログラムを導入し、維持する。このプログラムでは、新製品に潜在するプライバシーおよびセキュリティのリスクを、厳重に検証/対処することを義務付けている。
  • 従業員による、ユーザー個人情報へのアクセスを制限すること。
  • データ侵害が発生した場合は、FTC に通知すること。

Twitter は、連邦裁判所の和解案が承認された後に、 $150 million の民事罰金を支払い、データ・プライバシー慣行を改善するための、重要な新しいコンプライアンス措置を実施することで、FTC の申し立て内容を実施することに同意した。

Twitter は、「2019年10月に 2FA 認証などのアカウント・セキュリティのために提供された、電話番号やメールアドレスを広告に使用した。それらのデータが、誤って広告ターゲティングに使用された可能性がある。安全やセキュリティのために、たとえば 2FA 認証などのために、メールアドレスや電話番号が提供されたが、このデータが広告を目的として、特に当社の Tailored Audiences と Partner Audiences の広告システムにおいて、誤って使用された可能性があることが、最近になって判明した」と謝罪している。

Twitter の Tailored Audiences とは、広告主がメールアドレスや電話番号などの情報に基づき、マーケティング・リスト上の顧客に対して、ターゲット広告を送信できる広告製品である。また、Partner Audiences は、サードパーティーのパートナーから提供されたリストから、広告主がターゲティング広告を実施できるシステムである。Twitter は一連のミスについて謝罪し、同様のミスが二度と起きないよう対策を講じると述べた。

2018年には Facebook が、ユーザーの 2FA 電話番号から、友人のプロフィールにいたる情報を採取し、すべてのユーザーに対して複雑な広告プロフィールを構築した際に、今回と似たようなことが生じた。その後に Facebook は、ユーザーの 2FA 電話番号を、ターゲット広告を配信するための追加のベクトルとして使用していた。

事の真相は分かりませんが、Twitter が、やらかしてしまいましたね。罰金の $150 million ですが、日本円に換算すると 200億円ほどの規模となります。この種の問題だと、EU での GDPR 違反が先に騒がれがちですが、今回は FTC から始まりました。今後、ヨーロッパにも飛び火しそうですね。2FA の重要性ですが、2021年9月の「加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因」に記されている内容を考えると、今回の Twtter の行為は悪質だと思います。絶対に、やってはいけないことです。

%d bloggers like this: