KADOKAWA Technology Review
×

ニューズラインエマージング・テクノロジーの最新情報をお届け。

グーグルプラスが50万人の情報流出を受け閉鎖へ、GDPRはセーフ Google Plus is to be shut down after private data of half a million users was exposed

グーグルプラスが50万人の情報流出を受け閉鎖へ、GDPRはセーフ

サードパーティ製アプリからグーグルプラスの個人情報にアクセスできる状態になっていたセキュリティ上の問題について、グーグルは数カ月間に渡って口を閉ざしていた。

ウォール・ストリート・ジャーナル(WSJ)紙の記事によると、グーグルはグーグルプラスのコード上のバグを3月に発見し、すぐに修正した。しかし、この欠陥の存在を公表しないと決定した。記事が引用したグーグルの内部メモによると、同社幹部らは、当時フェイスブックがケンブリッジ・アナリティカ事件でユーザーの個人情報管理に関して非難の渦中にあった中で、欠陥を公表することでグーグルの評判を落とすことを懸念していたという。

フェイスブックの失態は、グーグルを含む他の大手テクノロジー企業のプライバシー慣行への疑義も投げかけた。そうした背景もあり、グーグルの幹部らは自社のプライバシー上の欠陥について黙秘すべきという判断を下したのだ。伝えられるところによると、決定は同社のサンダー・ピチャイCEO(最高経営責任者)にも報告されていたという。

問題のバグは2015年から存在しており、ユーザーが接続許可を与えた場合、サードパーティ製アプリの開発者がユーザーのプロフィール・データや人間関係などに公然とアクセスできる状態になっていることがコード上で発見された。すなわち、開発者はグーグルプラスのユーザーの友人やメール・アドレス、誕生日、プロフィール写真、職業、交際状況といった情報を閲覧できる状態だったのだ。

グーグルは同社の情報隠し記事が出回った後に投稿したブログ記事で、個人情報が悪用された証拠はなかったと述べ、一般利用者向けのグーグルプラスを閉鎖する意向を示した(企業向けバージョンのサービスはおそらく継続するつもりだ)。しかし、個人情報が悪用され、グーグルがその事実をまだ把握できていないだけだという可能性もある。グーグルの見立てでは、ソフトウェアのバグにより最大438件のアプリにおいて非公開のプロフィール情報が自由に見られる状態になっていた。WSJによると、グーグル社内で分析した結果、49万6951人ものユーザーの個人情報に対して不正アクセスされた可能性があるという。

グーグルによる事実隠しにより、プライバシー保護を求める活動家らは、データ漏洩の事実(またはその恐れ)を公表するよう企業に義務付けるより厳しい法令の制定に奔走するだろう。グーグルは欠陥を認識したのが3月であったため、欧州の新たなデータ保護体制である「一般データ保護規則 (GDPR)」には従わなかった。GDPRは5月に発効されたからだ。GDPRは現在、企業に対し、データ漏洩の可能性を認識した場合、72時間以内にユーザーにその事実を伝達することを義務付けている。

米国はまだ連邦レベルのデータ漏洩に関する法律を有していない。そのため、グーグルがいずれかの州法において、問題となったバグを公表する義務を負っていたのかどうかははっきりしない。カリフォルニア州は最近、GDPRに似た義務を複数設けた厳格なプライバシー新法を成立させた。連邦法も成立させるべきだとの声も非常に強くなってきている。フェイスブックでの情報流出と同様、グーグルの今回の個人データ騒動により、情報隠蔽を厳重に取り締まるように求める米政治家に対するプレッシャーは、さらに高まるだろう。

マーティン ジャイルズ [Martin Giles] 2018.10.10, 9:28
MITテクノロジーレビューは有料会員制サイトです
有料会員になると、毎月150本以上更新されるオリジナル記事が読み放題!
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る