今週発表された調査研究によると、MetaのFacebook子会社は、米国政府の財政援助を求める学生からハッシュ化された個人データを収集していた。これにはFacebookアカウントを持たない学生や、学生援助ウェブサイトにログインしていない学生も含まれていた。
非営利団体ニュースサイト「The Markup」は、Rallyデータ監視拡張機能を通じてMozillaと協力し、Metaピクセルコードが、米国教育省のStudentAid.govウェブサイトで連邦学生援助無料申請書(FAFSA)に記入する学生の氏名、電話番号、郵便番号、電子メールアドレスを表すデジタル指紋を収集していることを発見した。
このデータはMetaに送信される前にハッシュ化(SHA-256アルゴリズムを用いた一方向暗号化)されるため、Facebookは氏名やメールアドレスといった情報の実際の内容を取得できません。情報は長い数字にスクランブル化され、各人のフォーム送信のデジタル指紋として機能します。Facebookは入力された内容を正確に把握することはできませんが、これらのハッシュを使用して追跡したり、送信内容をFacebookプロフィールにリンクさせたりする可能性があります。もしハッシュがFacebookにとって無用なものであれば、そもそもなぜ収集されるのか疑問に思うでしょう。
「連邦学生援助局は、StudentAid.govウェブサイトを訪問するお客様のプライバシーと顧客データのセキュリティ保護に尽力しています」と、連邦学生援助局の最高執行責任者であるリチャード・コードレイ氏はThe Register紙に語った。「今回の件で、この問題について改めて徹底的に調査する必要があると判断しました。調査を行い、情報が入り次第、より詳しい情報を提供していきます。」
メタピクセルは、広告コンバージョンの追跡、利用状況分析、その他のデータ収集のためにパブリッシャーがウェブページに追加するJavaScriptコードです。The Markupによると、2020年時点では、上位10万ウェブサイトのうち30%でメタピクセルが使用されている可能性があります。
Metaのトラッカーは、既存のCookieに基づいて、誰がページを訪問したかをFacebookに伝えることができます。また、IPアドレス、ピクセルID、Facebook Cookie、クリックされたボタンとそのラベルを含むHTTPヘッダー、開発者やマーケティング担当者が設定したデータ、ウェブフォームのフィールド名(例:「メールアドレス」)などの情報もFacebookに伝えることができます。前述の通り、フォームフィールドの内容はハッシュ化されています。
Metaピクセルは、「Advanced Matching(アドバンスドマッチング)」と呼ばれる機能と組み合わせて使用することで、Facebookがフォームフィールドに入力された値(メールアドレスなど)を取得できるようにします。ユーザーがFacebookのCookieをブロックしている場合でも同様です。これにより、Metaはサードパーティサイトへの訪問者がFacebookアカウントを持っているかどうかを判断でき、過去のサイト訪問に基づいて広告をターゲティングできます。
教育省は当初、この件について質問された際には追跡行為を否定したとされているが、その後The Markupに対し、3月22日の広告キャンペーンに関連した設定変更により、StudentAid.govのユーザー情報(氏名など)の一部が誤って追跡されたと述べた。しかし、The Markupは、ユーザーの氏名、国名、電話番号、メールアドレスなどの個人情報が1月初旬からFacebookに送信されていたことを確認済みだと報告している。
StudentAid.govのプライバシーポリシーには、「StudentAid.govまたはmyStudentAidアプリで提供された情報は、提供された目的にのみ使用されます」と記載されています。Facebookによる個人データの収集を許可することは、この規定に違反しているように思われます。
私たちが望んでいた現実ではない
データ収集のその他の分野では、カリフォルニア大学アーバイン校の研究者と無関係の同僚が、MetaのOculus VRプラットフォームのプライバシー慣行を調査し、関連するVRアプリも不適切な開示で大量のデータを収集していることを発見した。
カリフォルニア大学アーバイン校の Rahmadi Trimananda、Hieu Le、Hao Cui、Janice Tran Ho、Athina Markopoulou と独立研究者の Anastasia Shuba は、8 月に開催される Usenix セキュリティ シンポジウムで発表される予定の「OVRseen: Oculus VR のネットワーク トラフィックとプライバシー ポリシーの監査」と題する論文で調査結果を説明しています。
研究者らは、140の無料および有料のVRアプリにネットワークトラフィック分析を適用し、データフローの70%がプライバシーポリシーに適切に記載されていないことを発見した。
また、Oculus および SideQuest アプリストアで入手できる VR アプリに適用されるプライバシーポリシーを調べたところ、収集されたデータの 69% がアプリの主要機能とは無関係の目的で使用されていたことが判明しました。
問題となっているデータフローには、個人情報(識別子、氏名、メールアドレス、位置情報)、フィンガープリンティング(SDKバージョン、ハードウェア、情報システムバージョン、Cookieなど)、VR感覚データ(VRプレイエリア、VRの動き、VR瞳孔間距離、VR視野)が含まれます。広告関連のアクティビティ(Facebookは2021年6月にOculus向けデバイス内広告のテストを開始しました)は、本調査には含まれていません。
Metaは、47.5%のMetaverse通行料を課すことで、30%の「App Store税」に打撃を与える
続きを読む
カリフォルニア大学アーバイン校の博士研究員であるトリマナンダ氏は、2021年9月にグループが発見した内容をOculusのサポートに報告したが、間違ったアドレスにメールを送信したと言われた。
「しかし、その人物が提供してくれたウェブリソースを使ってMeta(当時はまだFacebook)に連絡を取ろうとしたにもかかわらず、いまだに同社から何の返答も得られていない」と彼はThe Registerへの電子メールで説明した。
そのため、私たちの調査結果に対する彼らの真の立場、コメント、意見がどのようなものなのか、完全には把握できていません。それどころか、Oculusアプリ開発者からは、はるかに肯定的なフィードバックをいただきました。
トリマナンダ氏は、主な問題は、これらのアプリの多くにおけるデータ収集方法がアプリのプライバシーポリシーでカバーされていないことだと述べた。
「多くのアプリ開発者が、そもそもプライバシーポリシーの提供を怠っていたように思います。また、プライバシーポリシーを作成したとしても、Unityなどのサードパーティ製ライブラリをアプリで使用していたという事実を無視していたのです」と同氏は述べた。
「Meta/Facebookはこれらのアプリのプライバシーポリシーを慎重に確認していなかったため、公式Oculusストアのアプリの一部でも同様のことが起こりました。」
この乖離は、Oculus、VRアプリ、そしてそれらを開発するために使用されたUnityなどのゲームエンジンのプライバシーポリシーを連携させることで、ある程度解消できる可能性があると論文は示唆している。研究者らがこれらをすべてまとめて検証したところ、データの取り扱いはポリシーの記述により適合していた。
「OculusとUnityのプライバシーポリシーは適切に作成されており、収集されるデータの種類が明確に開示されている」と論文は説明している。「…開発者は、サードパーティによるデータ収集を開示する責任を認識していないか、アプリ内のサードパーティSDKがユーザーからどのようにデータを収集しているかを正確に把握していない可能性がある。」
Meta/Facebookはコメント要請に応じなかった。®
