Facebook流出データ再拡散 保存・複製に中長期リスク
作成者:
ソース: https://www.nikkei.com/article/DGXZQOUC051X50V00C21A4000000/
保存日:2021/4/5 15:30 [有料会員限定]
新規の情報流出ではないため専門家の多くは「フェイスブックの法的責任を問うのは難しい」と見る(米カリフォルニア州メンロパーク市の本社)
米フェイスブックの利用者5億人以上の個人情報がインターネット上で閲覧可能となっていたことが5日までに分かった。同社は2019年に大規模な情報流出を起こしており、これらデータが再拡散したとみられる。新規の情報流出ではないため、専門家の多くは「フェイスブックの法的責任を問うのは難しい」とみる。保存や複製が容易なデータが中長期で悪用されるリスクがあらわになっている。
フェイスブックは「(今回ネット上で閲覧可能になった)当該データは19年に報道された古いものであり、19年8月に既に問題は修復済みだ」と説明している。フェイスブックとしては情報が漏れないよう穴は塞いだとの立場。米連邦取引委員会(FTC)にも個人情報の管理不備で50億㌦(約5400億円)の制裁金を支払った。今回は漏れたあとのデータを同社の関与が及ばないハッカーがネットに上げたとの主張だ。
とはいえデータ再拡散により、メールアドレスなどがサイバー犯罪に悪用されるなど被害が広がる可能性がある。セキュリティー対策に詳しいS&J(東京・港)の三輪信雄社長によると、日本のユーザーとみられるデータは約43万件が流出しているもようだ。利用者のIDや氏名、所属先のほか、一部には住所情報も含まれているという。
一方で今回の問題でフェイスブックの責任を問うのは容易ではない。個人データに詳しい弁護士は「一度漏れてしまったものについて、食い止めるのは現実的に難しい。再拡散を理由に(フェイスブック)の責任を問うのは困難だ」と話す。
15年に発覚した利用者の同意がないまま顔写真などの生体データを利用した問題では、米国で約160万人の利用者を対象とした集団訴訟に発展した。21年2月に、約6億5千万㌦を支払うことで和解が成立した。ユーザー1人あたり345ドルを受け取ることになる計算だ。
ただ今回について海外の個人情報保護ルールに詳しい杉本武重弁護士は「生体データのような重要な個人情報を含んでいないため、同様の高額賠償を伴う集団訴訟になる可能性は低い」とみる。訴えが起こされた場合も、「データ流出によって具体的にいくらの損害が発生したか」という因果関係の証明が難しい。米国はカリフォルニア州などで厳しい個人情報保護ルールはあるものの、連邦法で個人情報保護を包括的に定める法令がなく、データ漏洩そのものの責任を問うハードルが高い。
裁判などで賠償を求める道が険しい以上、利用者はデータ漏洩の被害を最小限に防ぐ自衛を余儀なくされる。
フェイスブックは過去のデータ流出のたびに、利用者にパスワードの変更などを呼びかけてきた。万が一、本人が変更しなかったために自分のパソコンなどに侵入され、サイバー犯罪の被害に遭った場合について、プライバシー問題が専門の大井哲也弁護士は「全てが利用者の自己責任になるわけではなく、フェイスブックの損害賠償責任と利用者の過失が相殺されるのが法律上の考え方だ」と話す。ただ、そもそもフェイスブックの損害賠償責任が裁判所などで認められなければ、利用者は被害にあっても泣き寝入りしなければならないのが実情だ。
一方で当局が動いた場合はフェイスブックが再び責任を問われるとの見方もある。杉本弁護士は「(今回の再拡散で)被害が拡大したとしてFTCの追加調査が始まれば、19年よりも高額の制裁金が命じられる可能性がある」と指摘する。
日本の場合、個人情報保護法で個人情報を扱う事業者に安全管理の義務を定めている。今回の問題でフェイスブックが義務違反に問われる可能性があるが、罰金は軽微だ。日本の被害者が、自分のデータ流出に伴う損害賠償を求めて同社を訴えることもできるが、米国での裁判同様、因果関係の立証が大きな壁となる。「必要な資料を集めるなどの作業を、利用者一人ひとりの力で行うのは相当難しい」(杉本弁護士)。
今回の問題は、容易に複製可能でいったん流出したら被害が終わらないデータ流出特有の問題を改めて印象づけた。日本プルーフポイントの増田幸美氏は「一度やられると何度でもやられる。 IDやパスワードは使いまわされることが多いため、こういったデータのリークが他の情報窃取事件へとつながることがある」と指摘する。「パスワード管理ツールを使うなどして使い回しを避け、セキュリティーを維持しながらネットサービスを使うことが重要だ」と強調している。
(渋谷江里子)
