Facebook が Web スクレイピングによる情報漏洩で380億円の制裁金を科される
ジェフリー・エドワーズ
|サイバー犯罪 | 2022年12月02日
Facebook の親会社で SNS 大手のメタ社が、EU 一般データ保護規則(GDPR)を遵守しなかったとして、2億6500万ユーロ(約380億円※)の制裁金を科されたことが明らかになりました。この違反金はメタ社に科されたものとしては過去最大で、GDPR が科した制裁金としては史上2番目に大きいものです。
2022年11月28日、アイルランドのデータプライバシー規制機関であるデータ保護委員会(DPC / Data Protection Commission)は、Facebook のユーザーデータのスクレイピングに関する調査に関する決定を下し、上述の制裁金とともに、さまざまな是正措置を要求しました。
データ保護委員会は、メタ社、Apple 社、Google 社、TikTok 社などの EU 本部がアイルランドに所在しているため、知名度の高い IT 企業の規制を行っています。メタ社はこれまでデータ保護委員会から4回、総額10億ユーロ(約1430億円)近くの違反金を科されています。データ保護委員会は現在、GDPR 違反に関する未解決の調査を40件抱えており、そのうち12件はメタ社が関与しているものです。
Facebook が違反金を科された理由
今回の違反金は、2021年4月に、5億3000万人以上の Facebook ユーザーの個人情報がハッキングフォーラムで公開されていたという報道を受けて始まった調査によるものです。公開されていたデータセットには、106カ国の Facebook ユーザーの個人識別情報(PII)が含まれており、そのうち3200万件以上は米国のユーザー、1100万件は英国のユーザー、130万件はアイルランドのユーザーのものでした。流出したデータには、E メールアドレス、電話番号、氏名、誕生日などの個人情報が含まれていました。
Facebook はこのニュースに対し、2019年9月に同社が提供した連絡先インポート機能を悪用した悪質業者が Facebook のプロフィールからデータを収集したと主張し、その後、悪用を防ぐためのアップデートを行いました。
データ保護委員会は、GDPR の施行日からデータ流出が判明するまでの間に Facebook がリリースした複数の Facebook、Messenger、Instagram の連絡先インポート機能や検索機能を調査し、Facebook がスクレイピング攻撃対策をせずに製品を構築したため、同法第25条に定める「データ保護バイデザイン及びデータ保護バイデフォルト」という要件を満たしていなかったと判断しています。
データ保護委員会は「この調査における焦点は、『データ保護バイデザイン及びデータ保護バイデフォルト』という GDPR の要件に Facebook が準拠していたかどうかである」と述べ、GDPR 第25条における「技術的措置及び組織的措置」を調査したことを明らかにしています。
具体的には、データ保護委員会は「取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する」ことを要求する GDPR 第25条1項および2項の侵害を確認し、同義務は「収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される」と述べました。
データ保護委員会は、Facebook に対する是正措置も科しています。「この決定により、MPIL [Meta Platforms Ireland Limited] に対して、特定の期間内に是正措置を講じるよう求める戒告および命令が下されました。」
Facebook は、是正処置への対応のため3ヶ月間の猶予期間を与えられています。
スクレイパーとは
スクレイパーとは、Web サイトからコンテンツやデータを抜き出すボットのことで、通常は、Web サイトにおいて特定のデータを認識、抽出するようプログラムされています。検索エンジン、価格比較ツール、市場調査会社などは、合法的な目的でスクレイパーを使用していますが、スクレイパーはデータセットを構築して、販売したり、攻撃に利用したりする悪質業者にも人気があります。
スクレイパーボットは、Web サイトの HTML や接続された API、データベースからデータを抽出するようにプログラムされていますが、サイト運営者がボットを検知できないようにするため、実際のユーザーと同じように Web サイトを操作するようにプログラムすることもできます。
スクレイパーとメタ社の継続的な闘い
許可なくデータを自動収集する行為は、Facebook の利用規約違反であり、同社はこの行為を取り締まる試みを何度も行っています。
メタ社は、「合法的な」Web スクレイピング企業に対して、大規模な法的措置を取ってきました。2020年10月、同社は2社の Web スクレイピング企業を訴え、2022年には「相当額」で和解しています。同社はまた、2022年7月に2社のスクレイピング請負企業に対して法的措置を取っています。
Facebook はデータのスクレイピングに対抗するため、大幅なセキュリティ対策を実施したと主張しています。100人以上で構成される外部データ不正利用(EDM)チームを立ち上げ、スクレイピングをより困難にするために、レート制限とデータ制限を適用したとされます。これらの防御策は、Facebook 製品とのインタラクションの速度と頻度を制限することで、オートメーションツールが大量の情報を素早く収集することを防ぎます。 また、Facebook のアナリストは、トラフィックや行動のパターンを調査することで、自動化された活動を検知、ブロックしています。
しかし、これらの対策だけでは十分ではないかもしれません。というのも、メタ社が運営する SNS から盗まれたデータセットはダークウェブに出回り続けているからです。2022年11月16日、人気のハッキングフォーラムに掲載された広告で、メタ社が運営する WhatsApp のユーザーの携帯電話番号4億8700万件を含む2022年版データベースが販売されていることが判明しました。
広告によると、このデータセットには、3200万人の米国のユーザー、3500万人のイタリアのユーザー、2000万人のフランスのユーザーを含む、84カ国のユーザーのデータが含まれているとのことです。
巨額の違反金により高まる
ビッグテックへのプライバシー圧力
今回の制裁金は、2018年の GDPR 施行以来、メタ社をはじめとする大手テック企業に科された一連の多額の制裁金の中のひとつにすぎません。
昨年だけでも、データ保護委員会はメタ社に約10億ユーロの制裁金を科しました。 まず、2021年9月に、個人データの処理に関する不適切な情報をユーザーに与えたとして WhatsApp に2億2500万ユーロ(約3217億円)の制裁金を課し、その後、データ侵害通知の対応が不十分であるとして Facebook に1700万ユーロ(約24億円)の制裁金を科しました。
さらに、2022年9月には、データ保護委員会はメタ社が運営する Instagram に対して、13~17歳のユーザーが投稿したデータをデフォルトで公開設定にしたため、児童データ保護違反で、4億500万ユーロ(約579億円)の違反金を科しました。
他の EU 執行当局も Facebook を標的にしています。2022年1月、フランスのデータ保護機関は、Facebook、Google、YouTube のフランス版サイトが、ワンボタンでクッキーを「すべて受け入れる」オプションを提供しているにもかかわらず、訪問者にトラッキングを簡単に拒否するオプションを与えなかったとして、合わせて2億1000万ユーロ(約300億円)の違反金を科しました。
規制対象は Facebook 以外にも広がっています。規制当局は毎月平均50件の制裁金を科しており、2022年11月現在で合計1345件、Amazon や Google といった企業に巨額の制裁金を科しています。例えば、Amazon は2021年7月、ユーザー同意の不適切な収集のため7億4600万ユーロ(約1066億円)の違反金を科され、GDPR が科した違反金としては史上最大となっています。
また、Amazon、Google、Facebookといった知名度の高い多国籍企業が多額の違反金に直面している一方で、中小企業に対する強制措置も増加しています。
元の記事:Facebook Hit with $277M GDPR Fine for Web Scraping Leak – What You Need to Know
※1ユーロ=143円にて換算(2022年11月現在)
筆者
ジェフリー・エドワーズ
コンテンツマーケティング マネージャー
CHEQ 常駐のコンテンツマーケティングの専門家です。数年間のジャーナリストとしての勤務経験を糧に、サイバーセキュリティにおける難解なトピックを丁寧に親しみやすく伝えることを心がけています。
