サード パーティのアプリにユーザー データの保存を許可してきたという Facebook の暗い歴史は、2018 年に大規模なグローバル プライバシー スキャンダル (ケンブリッジ アナリティカとも呼ばれる) に発展し、同社の株価を押し上げ、創業者が世間の前に引きずり出されました。議会は、そして 2019 年半ばに、「プライバシーの失効」として婉曲的に報告されることもあったものについて、FTC との 50 億ドルの和解に至るまで、封印されていない法的証拠開示を通じて、連邦取引委員会を悩ませようとして戻ってきたようです。
先月末に明らかになった関連するプライバシー訴訟の内部文書は、米国上院諜報特別委員会の委員長であるマーク・ワーナーとマルコ・ルビオを刺激し、次のように書いた。 手紙 Meta の Mark Zuckerberg に、プラットフォームが当時どれだけのユーザー データを漏らしていたかについて、彼と彼の会社が知っていたことについて新鮮な質問をしました。 そして、上記のリークに付随する可能性のあるセキュリティへの影響.
封印されていない文書によると、現在 Meta として知られている会社は、北朝鮮、ロシア、中国、およびイラン — ケンブリッジ・アナリティカのデータセットが契約開発者の GSR によって抽出されたのと同じ種類の友人のデータ許可ルートを介して、Facebook ユーザーの個人データにアクセスしている数千人の中にも含まれていました。
「これらの文書から、Facebook は、少なくとも 2018 年 9 月以降、中華人民共和国 (PRC) を含む、Facebook が「高リスク」と見なした国の何十万人もの開発者が、大量の機密性の高いユーザー データ」と彼らは書いています。
「上院情報特別委員会の委員長および副委員長として、私たちは、このアクセスが、外国の悪意のある影響から標的および対諜報活動に至るまで、外国の諜報活動を可能にする程度について深刻な懸念を抱いています。内部監査でリスクの高い場所にいる何千人もの開発者がユーザーデータにアクセスした可能性があると警告した後、どのように行動したかについての一連の質問に回答するよう Meta に求めました。
Meta は、創設者が議会でブースター クッションに座り、怒り狂った米国議員から質問を受けることになったデータ アクセス/ポリシー施行の失敗スキャンダルにこだわるのを好まないと言っても過言ではありません。 おそらく、スキャンダル全体をなくすために FTC に 50 億ドルを支払ったためです。
しかし、Meta がエピソード全体を「永久に解決済み」の下に保管することを望んでいることの問題は、当時の議員が尋ねたすべての質問に実際に回答したことがないことです。 追加の詳細が明らかになったため、次の年でもありません。
ザッカーバーグ氏が2018年に実施すると公約した第三者アプリ監査の結果すら公表していない。 (2021年に、間接的に、英国のプライバシー監視機関との和解に達した和解には、コミッショナーが調査について公に話すことを妨げるギャグ条項が含まれていたことがわかりました. )
しかし、このまだ公開されていないサードパーティのアプリ監査は、当時の Facebook の危機 PR 対応の要であり、ザッカーバーグと彼の会社をより深い精査から保護することに成功した、約束された包括的な会計処理でした。 何百万ものユーザーに関する情報が、開発者によってプラットフォームからどのように持ち出されたかを説明するというプレッシャーが最も大きかったのはまさにそのときです。 本物の 実際の Facebook ユーザーの知識や同意なしにツールにアクセスする。
このシールドの代償は、おそらく実際にはかなり高かったでしょう。Meta に対する評判の面でも (結局、Meta は、費用のかかる企業のブランド変更を行い、VR の新しい分野でビジネスを再構築しようとする必要性を感じていました)。 また、スキャンダル以降、プラットフォームに新たな運用上の制限を課そうとする多くの法律が起草されているため、将来のコンプライアンス費用(明らかにMetaだけに影響するわけではありません). 多くの場合、ビッグテックの説明責任の欠如の認識を前景にするフレーミングによって正当化される制限。 (たとえば、最近追加された英国のオンライン安全法案には、要件に違反した CEO に対する刑事制裁も含まれています。または、EU のデジタル サービス法とデジタル マーケット法を参照してください。)
それでもメタは、ケンブリッジ・アナリティカがザッカーバーグの監視の下で行われる道を開いた内部プロセス、ポリシー、意思決定の種類の綿密な精査を回避することに成功し続けており、同様のデータ強盗の可能性もある。 、少なくとも法的証拠開示によって明らかになった詳細について。
これが、Facebook の失敗した説明責任が再び現れるという亡霊が注目を集めている理由です。 (参照: Meta が最終的に和解に動いたプライバシー訴訟は、昨年、Zuckerberg と元 COO の Sheryl Sandberg が証言のために追放された後、直接出頭する必要がないように見えるタイミングで、和解の値札のために)公表されていませんでした。)
未解決の Facebook プライバシー スキャンダルの幽霊の最近の訪問から実質的な何かが得られるかどうかは、まだ分からない. しかし、メタは現在、議員からの厄介な質問の新しい長いリストを持っています. そして、実質的な回答を隠そうとすれば、その幹部は、公開委員会の厳しい尋問への新たな召喚に直面する可能性があります。 (決して犯罪ではなく、隠蔽などです。)
内部調査の結果について、委員会がメタに回答を求めているのは次のとおりです。
1) 封印されていない文書には、Facebook が中国に拠点を置く開発者に対して個別のレビューを実施したことが記載されています。 [People’s Republic of China] そしてロシアは「これらの国に関連するリスクを考慮して」。
- これらの開発者に対してどのような追加レビューが行われましたか?
- この追加のレビューはいつ完了し、主な結論は何でしたか?
- 中国とロシアに所在する開発者のうち、Facebook が明確に特定できたのは何パーセントですか?
- Facebookが最初に特定されて以来、これらの開発者とどのような連絡を取りましたか?
- Facebookは、中国とロシアでの「関連するリスク」を評価するためにどのような基準を使用していますか?
2) 中国とロシアに所在していると特定された開発者については、これらの開発者がアクセスした情報の種類と、そのようなアクセスに関連する時間枠の完全なリストを提供してください。
3) Facebook は、リスクの高い法域の開発者が API にアクセスした頻度と、アクセスしたデータの形式に関する包括的なログを持っていますか?
4) 「リスクの高い法域」として特定された各国に所在する開発者とデータが共有された、米国内の個別の Facebook ユーザーの推定数を提供してください (国別に分類)。
5) 内部文書は、Facebook が「潜在的に最も危険であると判断された開発者とアプリ」を特定するためのフレームワークを確立することを示しています。[.]」
- Facebook はどのようにしてこのルーブリックを確立しましたか?
- 中国とロシアを拠点とする開発者とアプリの数は、この基準を満たしていますか? 他のリスクの高い法域で、このしきい値を満たした開発者とアプリの数は?
- この決定をもたらしたこれらの開発者の特定の特徴は何でしたか?
- Facebook は、リスクが高すぎて安全に運用できないと判断した開発者を特定しましたか? もしそうなら、どれ?
6) 内部文書は、「疑わしいアクティビティを含むすべてのアプリの完全な監査を実施する」という公約に言及しています。
- Facebook は「疑わしいアクティビティ」をどのように特徴付けており、この完全な監査プロセスをトリガーしたアプリはいくつありますか?
7) Facebook は、開発者のアクセスによって、組織的な不正行為、ターゲットを絞った活動、または外国政府によるその他の悪意のある行為が可能になったという兆候を持っていますか?
8) Facebook は、開発者のアクセスが外国のアクターによる悪意のある広告やその他の詐欺行為を可能にしたという兆候を持っていますか?
議員の懸念への回答を求められたメタの広報担当者であるアンディ・ストーンは、具体的な質問には答えなかった。 そして、開発者プラットフォームの機能の結果として情報が侵害されたユーザーに通知することを約束するかどうか (おそらく、それは「いいえ」と「いいえ」です) — 代わりに、この短い声明を送信することを選択します:
これらのドキュメントは、別の時点での別の製品のアーティファクトです。 何年も前に、当社はプラットフォームに大幅な変更を加え、開発者による Facebook 上の主要な種類のデータへのアクセスを停止し、機密情報へのアクセスを要求するすべてのアプリを確認して承認しました。