by Tim Bennett

Cambridge AnalyticaがFacebookのユーザー情報を不正に利用していた問題以降、Facebookはユーザー情報を外部の企業や開発者と共有する方法について見直しを進めており、一部のAPIを制限したり完全に削除したりしてきました。しかし、一部の開発者が不適切にユーザー情報にアクセスできてしまっていた形跡が見つかったとして、Facebookが公式ブログの中で説明しています。

Facebookはアプリで利用可能なさまざまなAPIを提供しており、その中でもFacebookユーザーのグループデータを読み込んだり新しいグループを作成したりが可能になるのが「グループAPI」です。グループAPIを用いれば、アプリをグループにインストールすることが可能となり、グループ管理者がグループコンテンツ(投稿、写真、動画など)へのアプリアクセス許可を付与することもできます。

2018年4月まではグループAPIが利用可能なユーザー情報は幅広く、グループ管理者がグループ内のアプリを承認すると、アプリ開発者がグループ内のさまざまな情報にアクセス可能となっていました。しかし、2018年4月に情報共有の方法が見直されたため、グループAPIは管理者がアクセスを許可した場合であっても、グループ名・ユーザー数・投稿コンテンツといった情報にしかアクセスできなくなっていました。グループAPIの機能が制限された後は、アプリ開発者がユーザー名やプロフィール写真などの追加情報にアクセスするには、各グループメンバーがユーザー情報の共有を「許可」する必要がありました。

by NeONBRAND

しかし、Facebookが継続的に進めてきた調査の結果、一部のFacebookアプリがグループAPI経由で、グループ内ユーザーの名前・プロフィール写真などのユーザー情報に不適切にアクセス可能となっていたことが発覚しています。このアクセスを検知したのち、Facebookは「すぐさまアクセスを切った」としています。さらに、Facebookは不適切にユーザー情報にアクセスした痕跡のあった約100もの開発者に対して連絡を取り、データの削除を要請しました。なお、Facebookによると不適切にユーザー情報にアクセスした形跡のあった開発者の数は時間を追うごとに減少しており、直近の60日間ではわずか11の開発者のみがアクセスを行っていたそうです。

Facebookは「(不適切にアクセスされた形跡のある)ユーザー情報の不正利用は確認されていない」としていますが、開発者が不適切なアクセスから取得した可能性のあるユーザー情報については、開発者に対して削除要請を出しており、削除されたかどうかを確認する監査を実施予定としています。

なお、不適切にユーザー情報にアクセスした可能性のあるFacebookアプリは、ソーシャルメディア管理系のアプリとビデオストリーミング系のアプリだそうです。

by Kon Karampelas

FacebookはCambridge Analyticaのユーザー情報不正利用問題以降、データ共有に関する取り締まりの一環としてグループAPIの機能を制限していました。さらに、サードパーティーの開発者がグループAPIを利用するにはFacebookの承認が必要となるルールも追加しています。その後、2018年7月になってFacebook向けのグループアプリを再度利用可能としていたのですが、これだけ厳重にグループAPI周りのセキュリティ面を強化していたにもかかわらず、不適切なユーザー情報へのアクセスが発見されたことについて、海外テクノロジーメディアのThe Vergeは「少し驚くべきこと」と記しています。