契約に関する事例・判例・解説

フェイスブック&ケンブリッジ・アナリティカ事件の問題点と教訓


フェイスブックが収集するユーザーデータの一部が英国企業ケンブリッジ・アナリティカ(CA)社を通じ政治的利用をされていた件が、米国と英国を震源地として、日に日に大きな問題となってきています。

CA社の元幹部であり、今回の内部通報者であるクリストファー・ワイリー氏が、ニューヨークタイムスをはじめ、複数のメディアに詳細をリークしています。

▼ How Trump Consultants Exploited the Facebook Data of Millions(The New York Times)
https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html

何が起こっているのか

それらによれば、2014年ごろに、ケンブリッジ大学(名前は「ケンブリッジ」だがCA社とケンブリッジ大学は無関係)に在籍するロシア系アメリカ人学者 アレクサンダー・コーガン氏が、心理クイズアプリを作成。約30万ダウンロードされたそのアプリに仕組まれたフェイスブックAPIを経由し、ダウンロードユーザーとその友人ら約5000万人分のユーザー情報をコーガン氏が取得。コーガン氏からCA社(内部通報者ワイリー氏が当時在籍)へと売却され、CA社がそれを利用してスティーブ・バノン率いるトランプ陣営をはじめ複数の選挙活動をサポートした、というストーリーです。

ちなみに、ダウンロードした約30万ユーザー以外の5000万人ものユーザー情報がなぜ取得できたのかというと、当時のフェイスブックAPIでは、ダウンロードしたユーザーのみならずそのフレンドリストに掲載された友人たちのデータにもアクセスが許されたから。

フェイスブックCEOマーク・ザッカーバークがCNNのインタビューでこれを大筋で認め謝罪広告を打つに至っています。

fbca_2

米国外の外国人・外国企業が選挙活動に加担したという状況でもあり、公職選挙法にも触れるとあって、今後FTCや議会がフェイスブック幹部に対するヒアリングを行うことで調整が進んでおり、フェイスブックもこれに応じる構えとのこと。また別の報道では、株主代表訴訟・集団訴訟が複数件提起されたという情報もあります。

さらには、英国のBrexitの国民投票においても同社のデータが悪用されたと証言する内部告発者も現れており、問題は収束しそうにありません。

フェイスブックとユーザー/デベロッパーの契約はどうなっているのか

マーク・ザッカーバーグによる釈明等を見ると、フェイスブックとしては、謝罪しながらも、「ユーザーからの情報取得は同意を得ていた」「デベロッパーがフェイスブックが定めるプラットフォーム規約に違反し、不正にユーザー情報を利用(横流し)した」というスタンスも維持している様子が伺えます。

こうなると、

  • フェイスブック登録ユーザーは、フェイスブックアプリのAPIを通じて自分の友人から第三者に自分の趣味嗜好情報が横流しされることを知り得たか
  • フェイスブックは、アプリデベロッパーに対し、どの程度の厳しさでAPI経由取得情報の横流し禁止義務を課していたのか

という点に注目が集まります。

ここで利用規約を確認してみると、問題が発生した2014年ごろの利用規約には現在アクセスできないようなのですが(情報収集中)、2016年に変更された現行ユーザー向けデータポリシー/デベロッパー向けプラットフォームポリシーには、以下のような記載がありました。

Facebookデータポリシー

外部パートナーや顧客との共有

弊社は系列企業を運営し世界中の人々に無料でサービスを提供するため、Facebookサービスの提供や向上を委託したり、弊社の広告製品や関連製品を利用したりしてくれる外部企業と提携しています。
弊社は以下に該当する外部企業に対し、利用者に関する情報を共有する場合があります。
広告、測定、分析のサービス(個人を特定できない情報のみ)。 弊社は利用者に配信する広告を、サービスが提供する他の情報と同じくらい関連性が高く有益なものにしたいと考えています。そのために、弊社は利用者に関して保有するすべての情報を、その人に関連性が高い広告を表示するために使用します。ただし、個人を特定できる情報(氏名やメールアドレスなど、それ自体が当人への連絡または身元の特定に利用できる情報)は、利用者本人の許可がない限り、広告、測定、分析のパートナー企業とは共有しません。弊社はこれらパートナー企業に広告のリーチや効果に関する情報を提供しますが、その場合も個人を特定できる情報は提供せず、個人を特定できないように集約した情報があればそれを提供します。たとえば、弊社は広告がどれくらい効果をあげたか、何人に見られたか、その広告を見た後何人がアプリをインストールしたかといった情報や、個人を特定しない範囲での属性情報(「25歳女性、マドリッド在住、ソフトウェア工学に関心あり」など)を、ターゲット層や顧客層を理解するための参考として広告主に提供します。しかしその際には事前に必ず弊社の広告ガイドラインを順守することに同意を求めます。
Facebookで特定の広告が表示される理由については、広告の設定を確認してください。広告の設定からは、Facebookに表示される広告のコントロールや管理を行うことができます。
ベンダー、サービスプロバイダ、その他のパートナー。弊社は、Facebook事業をグローバルにサポートするベンダーやサービスプロバイダなどのパートナーに情報を委託します。これらのパートナーは、技術インフラストラクチャの提供、Facebookサービスの利用状況の分析、広告やサービスの効果測定、カスタマーサービスの提供、決済代行、学術的研究や調査などを行っています。これらのパートナーには、このデータポリシーおよび弊社と取り交わした契約に基づき、厳格な守秘義務が課せられています。

Facebookプラットフォームポリシー

データを保護する

(中略)
9.FacebookまたはFacebookのサービスから取得したいかなるデータも、販売、ライセンス供与、または購入してはなりません。
10.Facebookから受け取ったいかなるデータ(匿名、総計、派生データを含む)も、アドネットワーク、データブローカー、その他広告また収益化に関連したサービスに譲渡してはなりません。
(後略)

確かに、ユーザーからは個人が特定できない範囲において第三者への提供を可とする広い「同意」を取得し、一方デベロッパーにはさらなる第三者への提供を禁止していた、それは事実なのでしょう。

しかし、デベロッパー(今回で言えばコーガン氏)がこの規約に違反しないよう管理監督し、時に監査し、違反が発見されれば適切に対処をすべき責任はフェイスブックにあったはず。この点の甘さが、今回のフェイスブックへの批判を大きなものにしています。

2015年にはこうした疑いを認知していたにもかかわらず、フェイスブックが適切な行動をしなかった疑いがある、という報道も出始めています。これが本当であれば、フェイスブック社がユーザーに対し負担すべき注意義務違反の誹りは免れず、同社にはかなりのダメージになることが予想されます。

ユーザーやデベロッパーが今できること・これからすべきこと

すでに、一部の広告主が(自社が加害者になることを回避するためなのか)フェイスブックから撤退するなどの動きもでている中、ユーザーとしてできることは、冷静な現状の把握に尽きると思います。

フェイスブックにどのような情報が把握され、第三者へ提供される・または漏洩される可能性があるのか。フェイスブックの一般データ設定の画面の「Facebookデータをダウンロード」のリンクから、確認することができます。

fbca_1

私も早速DLしてみました。私の場合は全400MBのデータとなり、ある程度覚悟はしていたものの、その中身は戦慄の一言です。私が登録した2008年5月以降の、フェイスブック上で交わしたコミュニケーションやUPした画像、自分が踏んだ広告の履歴までもがきっちりと記録されていました。10年もの長い歳月の蓄積には迫力があり、これは確かに趣味嗜好を超え思想信条を推測するに十分なデータベースだなと感じました。

あわせて、「他の人が使用しているアプリ」の設定画面も要チェックです。「Facebookであなたの情報を見ることができる人は、アプリを利用する際にもその情報にアクセスできます(中略)下の設定を使って、アプリやゲーム、外部サイトで友達に公開する情報の種類を選択できます。」との記載があり、公開情報を絞りこむ検討も必要でしょう。会ったこともない人をフェイスブック上で友達承認することのリスクについて、改めて考えさせられます。

fbca_3

APIを通じて情報を第三者に提供するプラットフォームビジネス事業者、そしてそれを利用するデベロッパーにとっても、本件でフェイスブックが問われることになる責任をしっかりと分析し、自社のセキュリティ対策に反映させる必要が出てくることは間違いなさそうです。

(橋詰 2018.3.27追記)

契約のデジタル化に関するお役立ち資料はこちら

こちらも合わせて読む

電子契約の国内標準
クラウドサイン

日本の法律に特化した弁護士監修の電子契約サービスです。
さまざまな外部サービスと連携でき、取引先も使いやすく、多くの企業や自治体に活用されています。