「外部アプリの個人情報、ログインなしでフェイスブックに筒抜け?」

WSJの2/23の記事、どうも要領を得ないんですが、どうなんですかね。見出しからはあたかもFacebookのSDKがスパイウェアだったみたいな感じですが。

外部アプリの個人情報、フェイスブックに筒抜け ログインなし
こうした情報はフェイスブックとの間で共有されている
(出所)「外部アプリの個人情報、フェイスブックに筒抜け ログインなし」WSJ日本語版 (2019-02-23)

これを再報道しているITメディアの記事とかもありました。

(出所) ITメディア iOSAndroidの体重や月経管理アプリがFacebookに個人情報を提供──Wall Street Journal報道

これを見て、各国のプライバシーコミッショナー激怒の案件ではないかという意見も散見されます。実際、記事の論調を見るとそういう方向に持っていこうとしていますが、どうなんでしょうか?

記事からはどうも要領を得ませんが、どうもアプリがFacebook SDKを使って、AppEvent Optimization1という、Event駆動での広告取得を行うときの話のようです。

建付けをどう考えるかですが、これは、アプリ側がFacebookプラットフォーム上であるイベントがアプリで起きたときにはどういう広告を配信するかと言うことを設定しておいて、それを惹起するイベントをアプリが起こしてFacebookに送信すると、Facebookは 先程設定されたカテゴリの広告を当該アプリインスタンスに配信するというモデルに見えます。

実際に送られるのは、以下のパラメータのようです。

  1. name – イベントを説明する必須の文字列です。アプリイベントがAnalyticsに送信されると、この名前がイベントログに表示されます。
  2. valueToSum – Analyticsが同じ名前の他のアプリイベントのValueToSum値に追加する任意の値です。
  3. parameters – アプリイベントに含める任意の値です。

“Parameters”に生データを突っ込んだんですかね2

アプリは結局広告配信アプリであると考えるならば、FacebookはData Processor であるように見えます。3

一方、アプリの側をFacebook のプロセッサと見るならば、Facebookの違法性を問えるでしょう。ですが、他のFacebook広告と違ってこの場合はその解釈は厳しくないですかね。

また、ITメディアの記事の中には「同社は開発者に対し、アプリが提供するユーザーデータはFacebook上の広告やコンテンツのパーソナライズや市場調査のために利用すると説明している。 」と、あたかもFacebookが自己利用するように書いてありますが、英語を見ると

Facebook App Events allows you to track these events to view analytics, measure ad performance, and build audiences for ad targeting.

(出所) https://developers.facebook.com/docs/app-events/

でして、主語がアプリ開発者側なんですね。なので、FacebookはあくまでData Processorです。WSJの問い合わせに対してFacebookは

フェイスブックはアプリ開発者に対し、「健康や金融などに関するセンシティブな情報」を送らないよう取引契約に記しており、同社はWSJの調査結果について、この契約に違反しているようだと指摘した。その上で、WSJに指摘された問題のアプリに、ユーザーがセンシティブと見なすような情報を送るのを止めるよう要請していると説明した。さらに、アプリ側が対応しなければ、追加措置を講じる可能性があると述べた。

(出所)WSJ日本版 「外部アプリの個人情報、フェイスブックに筒抜け ログインなし
こうした情報はフェイスブックとの間で共有されている」2019-02-23

と述べていますが、これは、委託元(Data Controller)と委託先(Data Processor)の契約で委託先が「機微なデータは送るな」と言っているのに委託元が送って来ているので契約違反であり、是正を求めると言っているのであって、GDPRや個人情報保護法的にどうのという話では無いように見えます。Facebookからすれば、生データを送るのではなくて、イベントを示すトークンにして送れということでしょうが、データ最小化の原則からしてもそうあるべきだと思います。

実際、日本の個人情報保護法にはData Processorという概念が独立して存在せず、第三者の中の委託先という位置づけになってしまっていて、しばしばこの手の混乱を産んでおりますが、アメリカでもやはり混乱しているんだなという感じです。その点、GDPRやISO/IEC 29100:2011/AMD1:2018 が管理者(Controller), 処理者(Processor), 第三者(Third Party)をきちんと分けて混乱を排除しているのは大変な先見の明であったと思います。

しかし、最近この手のAnti-GAFAの記事が多いですね。この風潮が続くと、
AWSに送ったら「Amazonが個人情報を取得」、GCPに送ったら「Googleが個人情報を取得」みたいなことになりかねず、大変憂慮しております。

脚注

  1. AppEvent Optimization詳細 https://developers.facebook.com/docs/app-ads/optimization/
  2. このように、のぞみもしないのにPIIを送りつけられてしまうのをUnsolicited PIIと言って、ISO/IEC 29100 では、4.4.6節で取り扱っています
  3. このあたりは、実際に契約書がどうなっているかも見なければいけないのですが、見れていません。もし、立て付けが、FacebookがControllerで、Apps提供者がProcessorのような書き方になっていたら、Facebookはもちろんアウトですが、この立て付けだと何が送ってくるかわからない、つまり、何をFacebookが取得するのかわからないので、そういう馬鹿なことはしないんじゃないかなと思うんですよね。ちなみに、Web広告の場合は、Platform側が何を取得するか決められて、逆にWebサイト側はコントロールできないので、Webサイト側がProcessorになっています。Googleの場合しかチェックしてないですけど。

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください