米フェイスブックは2019年7月24日(現地時間)、個人データを無断に利用させていた問題で50億ドル(約5400億円)の制裁金を支払うことなどで連邦取引委員会(FTC)と合意した。FTCが同日発表した。米国政府が科した制裁金としては過去最大規模という。

フェイスブックへの制裁金額
出所:米連邦取引委員会
[画像のクリックで拡大表示]

 FTCによると、フェイスブックは米国の政治キャンペーンに関わるデータ分析会社ケンブリッジアナリティカ(破産申請済み)の「性格診断アプリ」(GSRApp)をダウンロードした利用者や「友達」を含む利用者のプロフィルデータ、「いいね」ボタンの履歴データなどについて、ケンブリッジアナリティカに無断で収集させていた。

 ケンブリッジアナリティカの前CEO(最高経営責任者)とアプリ開発者は、消費者に個人を識別できるデータは収集していないと虚偽の説明をしたうえで、収集した個人データを基にパーソナリティスコアを生成するアルゴリズムを生成し、このスコアを選挙の有権者データと照合してターゲティング広告に利用していた。

 FTCによると、性格診断アプリによって米国に居住する25万~27万人の利用者や米消費者の3000万人を含む、5000万~6500万人もの友達のプロフィルデータを収集できた。前CEO(最高経営責任者)とアプリ開発者は同アプリに関連した事業活動への制限や収集したデータの破棄を求めた命令に同意したという。

 フェイスブックは2014年4月にアプリ開発者に対してフェイスブック利用者の友達のデータへのアクセスを許可しないと発表したものの、プラットフォーム上にある既存アプリの開発者がその後もデータにアクセスできるようにしていたという。

 また、ケンブリッジアナリティカは欧州連合(EU)の欧州データ保護規則(GDPR)施行後の少なくとも2018年11月まで、米企業が欧州域外に個人データを持ち出せる法的枠組みである「プライバシーシールド」に加わっていると虚偽の説明していたという。

 FTCは「何十億人もの利用者に対して個人情報の共有方法を制御できると繰り返し約束していたにもかかわらず、フェイスブックは消費者の選択を阻んだ」(ジョー・ シモンズ委員長)という。

 フェイスブックは和解によって今後20年間にわたって同社が運営するフェイスブックやインスタグラムなどでプライバシー保護策を要求される。取締役会の独立委員会は第三者機関の基で消費者プライバシーに関する意思決定を行うほか、マーク・ザッカーバーグCEOは同社のプライバシー保護に関する意思決定から外されて四半期ごとに法令順守やプライバシー保護プログラムについて報告を求められる。違反行為は民事や刑事の罰則対象になる。

米連邦取引委員会がフェイスブックに求めたプライバシー保護策
出所:米連邦取引委員会
[画像のクリックで拡大表示]

 さらにFTCはフェイスブックに対して、二要素認証のために収集した電話番号を広告目的に利用する行為の禁止や、顔認識の利用には従来よりも明確な説明や同意を求めた。利用者のパスワードの暗号化といった包括的なセキュリティ対策なども要求している。

 フェイスブックは2019年6月に日本の個人情報保護委員会が開催した20カ国・地域(G20)のサイドイベント「個人データ国際セミナー」で、同社プライバシーポリシーディレクターであるローラ・J・ミカス氏が、GDPR施行後に「プライバシー&データチーム」を発足したほか、利用者データの設定メニューを1つにまとめるなどの改善策を行ったと説明した。