フェイスブックの情報漏洩公表の遅れはGDPR違反の問題を招く

今回は「フェイスブックの情報漏洩公表の遅れはGDPR違反の問題を招く」についてご紹介します。

関連ワード （EU、Facebook、GDPR、データ漏洩、プライバシー等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Facebookの2021年4月初旬の大規模な情報漏えいに対し、規制当局が同社に制裁を加えるかどうかは未だ明らかではない。しかし、この事件の時間的経緯が明らかになるにつれ、Facebookの立場は危ういものになりつつある。

Business Insiderが米国時間4月3日発表したこのデータ侵害について、Facebook は当初、ユーザーの生年月日や電話番号などの情報は「古い」ものだと示唆して問題を小さく見せかけようとした。しかし、最終的に同社は、米国時間4月7日遅くに公開されたブログ投稿で、問題のデータが「2019年9月以前に」悪意のある者によってプラットフォームからスクレイピング（ウェブサイトからの情報抽出）されたことを明らかにした。

情報漏えいの時期が新たに公表されたが、それによりこの情報漏えいが2018年5月に発効したEUにおけるGDPR（一般データ保護規則）に抵触するのではないか、という疑問が持ち上がっている。

EUの規制では、データ管理者は情報漏えいの開示を怠った場合、全世界での年間売上高の最大2％、より深刻なコンプライアンス違反の場合は年間売上高の最大4％の罰金を科せられる。

Facebookは過去のプライバシー侵害に対し、2019年7月にFTC（米国連邦取引委員会）と50億ドル（約5400億円）を支払うことで問題を解決したが、2019年6月～9月はこの合意に含まれていない。この点から見ても、EUフレームワークは重要だ。

Not only is @Facebook past the indemnification period of the FTC settlement (June 12 2019), they also may have violated the terms of the settlement requiring them to report breaches of covered information (ht @JustinBrookman ) https://t.co/182LEf4rNO pic.twitter.com/utCnQ4USHI

— ashkan soltani (@ashk4n) April 7, 2021

米国時間4月7日、Facebookの監督機関であるアイルランドデータ保護委員会（DPC）は、今回の情報漏えいに対応する声明を出し、新たに公開されたデータセットの実態は完全には明らかではなく「オリジナルの2018年（GDPR以前）のデータセットから構成されているようだ」として、2017年6月～2018年4月の間に発生したとされる電話番号検索機能の脆弱性に関連する過去のデータ漏えい（2018年に開示済み）に言及した。しかしその中には、新たに公開されたデータセットは「それよりも新しい時点のものかもしれない記録と組み合わされている可能性がある」と書かれている。

関連記事：近頃起こったデータ漏洩についてFacebookからの回答が待たれる

FacebookはDPCの声明を受け、2019年、同年9月までのデータがプラットフォームから抽出されていたことを認めた。

4月7日のFacebookのブログ記事では、ユーザーのデータが、前述の電話番号検索機能の脆弱性ではなく、まったく別の手口でスクレイピングされていたという事実も新たに明らかになった。連絡先インポートツールの脆弱性を突いた手口である。

この手口では、未知数の「攻撃者」は、Facebookのアプリを模倣したソフトウェアを使って、大量の電話番号をアップロードしてプラットフォームのユーザーと一致する電話番号を検出する。

例えばスパム送信者は、大量の電話番号データベースをアップロードして、名前だけでなく、生年月日、メールアドレス、所在地などのデータとリンクさせて、フィッシング攻撃を行う。

今回のデータ侵害に対し、Facebookは即座に、2019年8月にこの脆弱性を修正したと主張したが、8月であればGDPRはすでに発効している。

EUにおけるデータ保護フレームワークにはデータ違反通知制度が組み込まれている。データ管理者は、個人データの漏えいがユーザーの権利と自由に対するリスクとなる可能性が高いと考えられる場合、不当に遅延することなく（理想的には漏えいの認識から72時間以内に）関連する監督機関に通知することが求められる。

しかし、Facebookは未だに今回の事件についてDPCに一切の開示をしていない。これはEUの議会が意図した規制の在り方に反する行為であり、規制当局はBusiness Insiderの報告書を受けて、米国時間4月6日、Facebookに対し情報開示を積極的に求めることを明らかにした。

一方、GDPRではデータ侵害が広く定義されている。データ侵害とは、個人データの紛失や盗難、権限のない第三者によるアクセス、また、データ管理者による意図的または偶発的な行動や不作為による個人データの漏えいを意味する。

Facebookは、5億人以上のユーザーの個人情報がオンラインフォーラムで自由にダウンロードできる状態であったという今回のデータ漏えいについて「違反」と表現することを慎重に避けている。これは、この違反に付随する法的リスクによるものだと考えられる。

ユーザーの個人情報を「古いデータ」と呼んで、ことの重大性を小さく見せかけようとしているのも法的リスクを考慮したうえでのことだろう（携帯電話番号、メールアドレス、氏名、経歴などを定期的に変更する人はほとんどいないし、法的に生年月日が変更されるケースは考えられないのだが）。

一方で、Facebookのブログ投稿はデータがスクレイピングされたことに言及し、スクレイピングとは「自動化されたソフトウェアを使ってインターネット上の公開情報を取り出し、オンラインフォーラムで配布する一般的な手口」であると説明している。つまり、Facebookの連絡先インポートツールを通じて流出した個人情報が何らかの形で公開されていたことを暗に示している。

ブログ投稿でFacebookが展開しているのは、何億人ものユーザーが携帯電話番号などの機密情報をプラットフォームのプロフィールに公開し、アカウントのデフォルト設定を変更しなかったので、これらの個人情報が「スクレイピング可能な状態で公開されている／プライベートではなくなっている／データ保護法でカバーされていない」という論法だ。

これはユーザーの権利やプライバシーを著しく侵害する、明らかにばかげた論法であり、EUのデータ保護規制当局は迅速かつ決定的に拒否しなければならない。さもなければ、Facebookがその市場力を悪用して、規制当局が保護すべき唯一の目的である基本的な権利を侵害することに加担することになる。

今回の情報漏えいの影響を受けた一部のFacebookユーザーは、Facebookのプライバシーを侵害するデフォルト設定を変更していなかったために、連絡先インポートツールを通じて情報が流出したのかもしれない。その場合でも、GPDRの遵守にかかる重要な問題が生じる。なぜなら、GPDRはデータ管理者に対して、個人データを適切に保護し、プライバシーを設計段階からデフォルトで適用することも要求しているからだ。

Facebookは何億件ものアカウント情報が無防備にスパマー（あるいは誰でも）に奪われてしまった。これは優れたセキュリティやプライバシーのデフォルト適用とは言い難い。

Cambridge Analyticaのスキャンダル再び、である。

関連記事：フェイスブックが隠しておきたかった電子メールをひっそり公開

過去にあまりにもプライバシーやデータ保護を疎かにしていたFacebookは、今回も逃げ切ろうとしているようだ。これまでデータスキャンダルの連続であっても、規制当局の制裁を受けることが比較的少なかったため、逃げ続けることに自信を持っているのかもしれない。年間売上高が850億ドル（約9兆3000億円）を超える企業にとって、1回限りの50億ドル（約5400億円）のFTCの罰金は単なるビジネス経費に過ぎない。

Facebookに、ユーザーの情報が再び悪意を持って自社のプラットフォームから抜き取られていることを認識した時点（2019年）でなぜDPCに報告しなかったのか、また、影響を受けた個別のFacebookユーザーになぜ連絡しなかったのかを問い合わせたが、同社はブログ投稿以上のコメントを拒否した。

また、同社と規制当局とのやり取りについてもコメントしないとのことだった。

GDPRは、情報漏えいがユーザーの権利と自由に高いリスクをもたらす場合、データ管理者は影響を受ける個人に通知することを義務付けている。それには、ユーザーに脅威を迅速に知らせることで、詐欺やID盗難など、データが漏えいした場合のリスクから自らを守るための手段を講じることができるという合理的な理由がある。

Facebookのブログ投稿にはユーザーに通知する予定はないとも記されていた。

Facebookの「親指を立てる」というトレードマークは、ユーザーに中指を立てている（ユーザーを侮辱する表現）と見た方が適切かもしれない。

画像クレジット：JOSH EDELSON / Contributor / Getty Images

【原文】

The question of whether Facebook will face any regulatory sanction over the latest massive historical platform privacy fail to come to light remains unclear. But the timeline of the incident looks increasingly awkward for the tech giant.

While it initially sought to play down the data breach revelations published by Business Insider at the weekend by suggesting that information like people’s birth dates and phone numbers was “old”, in a blog post late yesterday the tech giant finally revealed that the data in question had in fact been scraped from its platform by malicious actors “in 2019” and “prior to September 2019”.

That new detail about the timing of this incident raises the issue of compliance with Europe’s General Data Protection Regulation (GDPR) — which came into application in May 2018.

Under the EU regulation data controllers can face fines of up to 2% of their global annual turnover for failures to notify breaches, and up to 4% of annual turnover for more serious compliance violations.

The European framework looks important because Facebook indemnified itself against historical privacy issues in the US when it settled with the FTC for $5BN back in July 2019 — although that does still mean there’s a period of several months (June to September 2019) which could fall outside that settlement.

Yesterday, in its own statement responding to the breach revelations, Facebook’s lead data supervisor in the EU said the provenance of the newly published dataset wasn’t entirely clear, writing that it “seems to comprise the original 2018 (pre-GDPR) dataset” — referring to an earlier breach incident Facebook disclosed in 2018 which related to a vulnerability in its phone lookup functionality that it had said occurred between June 2017 and April 2018 — but also writing that the newly published dataset also looked to have been “combined with additional records, which may be from a later period”.

Facebook followed up the Irish Data Protection Commission (DPC)’s statement by confirming that suspicion — admitting that the data had been extracted from its platform in 2019, up until September of that year.

Another new detail that emerged in Facebook’s blog post yesterday was the fact users’ data was scraped not via the aforementioned phone lookup vulnerability — but via another method altogether: A contact importer tool vulnerability.

This route allowed an unknown number of “malicious actors” to use software to imitate Facebook’s app and upload large sets of phone numbers to see which ones matched Facebook users.

In this way a spammer (for example), could upload a database of potential phone numbers and link them to not only names but other data like birth date, email address, location — all the better to phish you with.

In its PR response to the breach, Facebook quickly claimed it had fixed this vulnerability in August 2019. But, again, that timing places the incident squarely in the period of GDPR being active.

As a reminder, Europe’s data protection framework bakes in a data breach notification regime that requires data controllers to notify a relevant supervisory authority if they believe a loss of personal data is likely to constitute a risk to users’ rights and freedoms — and to do so without undue delay (ideally within 72 hours of becoming aware of it).

Yet Facebook made no disclosure at all of this incident to the DPC. Indeed, the regulator made it clear yesterday that it had to proactively seek information from Facebook in the wake of BI’s report. That’s the opposite of how EU lawmakers intended the regulation to function.

Data breaches, meanwhile, are broadly defined under the GDPR. It could mean personal data being lost or stolen and/or accessed by unauthorized third parties. It can also relate to deliberate or accidental action or inaction by a data controller which exposes personal data.

Legal risk attached to the breach likely explains why Facebook has studiously avoided describing this latest data protection failure, in which the personal information of more than half a billion users was posted for free download on an online forum, as a ‘breach’.

And, indeed, why it’s sought to downplay the significance of the leaked information — dubbing people’s personal information “old data”. (Even as few people regularly change their mobile numbers, email address, full names and biographical information and so on, and no one (legally) gets a new birth date… )

Its blog post instead refers to data being scraped; and to scraping being “a common tactic that often relies on automated software to lift public information from the internet that can end up being distributed in online forums” — tacitly implying that the personal information leaked via its contact importer tool was somehow public.

The self-serving suggestion being peddled here by Facebook is that hundreds of millions of users had both published sensitive stuff like their mobile phone numbers on their Facebook profiles and left default settings on their accounts — thereby making this personal information ‘publicly available for scraping/no longer private/uncovered by data protection legislation’.

This is an argument as obviously absurd as it is viciously hostile to people’s rights and privacy. It’s also an argument that EU data protection regulators must quickly and definitively reject or be complicit in allowing Facebook (ab)use its market power to torch the very fundamental rights that regulators’ sole purpose is to defend and uphold.

Even if some Facebook users affected by this breach had their information exposed via the contact importer tool because they had not changed Facebook’s privacy-hostile defaults that still raises key questions of GPDR compliance — because the regulation also requires data controllers to adequately secure personal data and apply privacy by design and default.

Facebook allowing hundreds of millions of accounts to have their info freely pillaged by spammers (or whoever) doesn’t sound like good security or default privacy.

In short, it’s the Cambridge Analytica scandal all over again.

Facebook is trying to get away with continuing to be terrible at privacy and data protection because it’s been so terrible at it in the past — and likely feels confident in keeping on with this tactic because it’s faced relatively little regulatory sanction for an endless parade of data scandals. (A one-time $5BN FTC fine for a company than turns over $85BN+ in annual revenue is just another business expense.)

We asked Facebook why it failed to notify the DPC about this 2019 breach back in 2019, when it realized people’s information was once again being maliciously extracted from its platform — or, indeed, why it hasn’t bothered to tell affected Facebook users themselves — but the company declined to comment beyond what it said yesterday.

Then it told us it would not be commenting on its communications with regulators.

Under the GDPR, if a breach poses a high risk to users’ rights and freedoms a data controller is required to notify affected individuals — with the rational being that prompt notification of a threat can help people take steps to protect themselves from the risks of their data being breached, such as fraud and ID theft.

Yesterday Facebook also said it does not have plans to notify users either.

Perhaps the company’s trademark ‘thumbs up’ symbol would be more aptly expressed as a middle finger raised at everyone else.

（文：Natasha Lomas、翻訳：Dragonfly）