Cambridge AnalyticaがFacebookの開発者らがユーザー情報を不正に利用していたことを報告したことは記憶に新しいだろう。以降、Facebookはユーザー情報を外部の企業や開発者と共有する方法を一新して、一部のAPIを制限したり完全に削除した。だがその中で一部の開発者が不適切にユーザー情報にアクセスできてしまっていた形跡が見つかったとして、Facebookが公式ブログの中で発表を行った。APIとはApplication Programing Interfaceの略で簡単にいうとアプリケーションとソフトウェアを繋ぐ為のプログラムだ。

Facebookはアプリで利用可能なさまざまなAPIを提供しており、その中でもFacebookユーザーのグループデータを読み込んだり新しいグループを作成するのに用いるのがグループAPIだ。グループAPIを用いれば、アプリをグループにインストールすることが可能となり、グループ管理者がグループコンテンツへのアクセス権限が付与される。

2018年4月まではグループAPIのアクセス権限が幅広く、グループ管理者がグループ内のアプリを承認すると、アプリ開発者がグループ内のさまざまな情報にアクセス可能となっていた。しかし、2018年4月に情報共有の方法が見直されたため、グループAPIは管理者がアクセスを許可した場合であっても、グループ名・ユーザー数・投稿コンテンツといった情報にしかアクセス出来ない様にしたのだ。グループAPIの機能が制限された後は、アプリ開発者がユーザー名やプロフィール写真などの追加情報にアクセスするには、各グループメンバーがユーザー情報の共有を「許可」しなければならなかった。

ところがFacebookが調査を継続的に行った結果、一部のFacebookアプリがグループAPI経由で、グループ内ユーザーの名前・プロフィール写真などのユーザー情報に不適切にアクセス可能となっていたことが発覚したのだ。この不正アクセスを検知したと同時に、Facebookはサーバをダウンさせたとしている。Facebookは不適切にユーザー情報に不正アクセスした可能性のある100人もの開発者に対して連絡を取り、データの削除を要請した。なお、Facebookによると不適切にユーザー情報にアクセスした形跡のあった開発者の数は時間を追うごとに減少してはいるが、直近の60日間でも11人の開発者がアクセスを行っているとのことだ。

Facebookは「ユーザー情報は不正利用されていない」としているが、不正アクセスを行った開発者に対して削除要請を出しており、削除されたかどうかも監査を実施していくとのことだ。

Facebookの内部での情報管理の甘さが露呈されたにも関わらず、未だにアプリ開発者らが不正アクセスを行っているなど前代未聞の出来事だ。早急に改善、対策を行っていかなければ信用は失われていくに違いない。