Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力

Meta fined €265M for not protecting Facebook users’ data from scrapers

2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。

このインシデントにより公開されたデータには、Facebook ID/電話番号/氏名/性別/所在地/交際ステータス/職業/生年月日/電子メールアドレスなどの個人情報が含まれていた。 


これらの全てのデータは、著名なハッキング・フォーラムで共有され、また、脅威アクターによる標的型攻撃で悪用され得る状態にあった。

その当時における Facebook の発表は、「Contact Importer ツールの欠陥を悪用した脅威アクターが、電話番号と Facebook ID を関連付け、残りの情報をスクレイピングし、ユーザー・プロフィールを構築することでデータを収集した」というものだった。

この Facebook のバグは 2019年に修正されたというが、それ以前の時点でデータは不正に収集されていた。

DPC の調査では、Meta (当時は Facebook) が GDPR の 25条1項と 25条2項に抵触したと結論づけられ、以下のように要約された。

25(1):データ管理者は、仮名化などの技術的/組織的な措置を適切に実施するものとする。この要件を満たし、データ主体の権利を保護するために必要な、保護措置を統合するものとする。

25(2):管理者は、技術的/組織的な措置を適切に講じ、各処理目的に必要な個人データのみが処理されることをディフォルトとする。特に、このようなデータに関する措置は、所有者である個人の許可がない場合には、不特定多数の自然人からのアクセスを、ディフォルトで不可にする必要がある。

DPC の発表によると、「EU 域内の、すべてのデータ保護監督当局との協力も含めて、包括的な照会プロセスが実施された。それらの監督官庁は、DPC の決定に同意した」とのことだ。

データ・スクレイピング

データ・スクレイパーとは、ユーザー・プロファイルの巨大なデータベースを作成する、自動化ボットのことである。たとえば、Facebook などのユーザー・データを保有するプラットフォームの、オープン・ネットワーク API を悪用することで、公開されている情報を不正に抽出していく。

ハッキングは行われていないが、スクレイパーが収集したデータセットを複数のポイント (サイト) のデータと組み合わせることで、それぞれのユーザーに関する、完全なプロフィールを作成することが可能となる。

しかし、今回の Meta のケースでは、Facebook と Instagram の Contact Importer の欠陥が悪用されたことで、公開されたスクレイピング情報に対して電話番号がリンクされ、個人情報と公開情報を含むプロファイルの作成が可能になってしまった。

スクレイピングという行為は、大半のオンライン・プラットフォームのポリシーに反しているが、最近の TikTok と WeChat で浮き彫りになったように、これらのルールを施行することは技術的に困難である。

LinkedIn は、プラットフォーム上でのデータ・スクレイピングを防ぐため、合法的なスクレイパー事業者に対する差止命令を確保した。そして、すでに収集されていたデータが、この手法で使用されることを防ぐために、法廷での係争を選んだ。

アイルランドの DPC は、数多くのハイテク企業が同国内で活動していることから、EU における GDPR 遵守の急先鋒と考えられている。今回の決定は、他の大手データ管理者に波乱をもたらし、また、スクレイピング防止メカニズムに対しても、再評価が迫られるに違いない。

かなりの高額罰金を科された Meta (Facebook) ですが、最近のデータ流出問題として Meta Pixel の問題も抱えています。最初の記事は、7月30日の「Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?」であり、その後も、8月22日の「Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出」、10月20日の「Meta Pixel トラッカーの問題が再発:医療情報 300万件が流出という深刻な状況」というふうに、報道が続いています。風当たりが強いですね。よろしければ、Facebook で検索も、ご利用ください。

%d bloggers like this: