もっと身近にセキュリティ

「正しいこと」をしよう

日本の個人情報保護委員会Facebookに対して行政指導を行ったと発表しました。

かつてベネッセの個人情報流出事件に関連して、経済産業省が行政指導を行ったことはありましたが、過去のリリースなどを見る限り、特定の企業や団体に対して個人情報保護委員会が行政指導を行うというのは、おそらく史上初ではないでしょうか。
まだ歴史が浅いこともあり、どのような活動をしているのかわかりづらい個人情報保護委員会ですが、今回の対応を通して理解を深められればと思います。

今回のリリースや報道を見ると、Facebookの「いいね!」ボタンの実装やアプリ連携について、ユーザに対するわかりやすい説明や同意の取得がなされていないという点はわかりますが、具体的にどのような法令違反があったのかという点が明らかではない印象があります。
Facebookが不正アクセスを受けてアクセストークンが窃取された問題も絡めてということのようではありますが、法律や委員会の運用の仕方に鑑みると、この辺りはもう少し詳しく明らかにしていいように思います。
一方でFacebook側は「今後、もしプラットフォームの不正使用が起こった場合には、利用者の皆様へのご報告を適切に実施し、個人情報保護委員会および各国の規制機関と協力致します。」との声明を発表して、一連の問題に「引き続き注力し、取り組んでまいります。」と宣言しています。

勝手な印象かもしれませんが、Facebookはどちらかというと他サービスとの連携やユーザビリティの向上を重視する傾向があるような気はしますし、他のSNSと比べて良くも悪くも「プライバシーを共有すること」にその価値があるように感じられ、Facebookのヘビーユーザであればあるほど、プライバシー意識にシビアではないように思います。そのせいもあってか、この9月の不正アクセスについて、そこまで大きな話題になっていなかったり、「またか」という印象さえある、というのは言いすぎでしょうか…。

Facebookにとってセキュリティ向上は最重要課題のひとつと認識されているのは間違いなさそうではありますが、常にユーザビリティへの影響とのにらみ合いをしていて、後手に回ることも少なからずあるのではないかと感じざるにはいられません。

一方、Googleは時を前後して10月8日にGoogle+に不具合があり、最大50万人の個人情報が外部に流出する恐れがあるとして、2019年8月末でのサービス終了を発表しました。
こちらも好評の遅れなどが指摘されており、Googleが風評や当局の調査を恐れて意図的に公表を伏せていたとの報道が一部でされています。
Googleのかつての行動規範は「Don’t Be Evil」で、現在は「Do the Right Thing」になったというのは有名な話ですが、元々他のSNSに比べてユーザ数などが伸び悩んでいたと言われているGoogle+を「個人情報流出の恐れ」をきっかけとしてサービスの終了まで踏み切ったというのは驚きます。
採算性もセキュリティに対する姿勢も含めてこれを「正しいこと」と判断するのが、Googleの企業文化なのかと思うと、それはそれで興味深いものです。
さらにもう一方で、アップルのティム・クックCEOは「個人データを収集する企業の間で『軍隊のように効率的に』取り引きされている」と述べています。
EUのGDPRを称賛しながら、アメリカも同様の規制をするべきだという主張の中で、暗にFacebookやGoogleを批判している格好です。

何を「正しい」と判断するかはこの3社ですらここまで違うわけですが、殊に個人情報についてはその本人が正しく取り扱われていると感じられなければならず、最大公約数を探ることすら難しいということでしょうか。