KOBITブログ

Instagramのインフルエンサー個人情報流出騒動から考える責任の所在

この記事は約 5分 で読めます。


Instagramから取得された35万件の個人情報が公開された状態にあった

プライバシー保護に対する意識が高まり、個人情報をビジネスに使う大手テック企業への風当たりが強くなっています。特に、個人の興味・関心に基づいて広告を提示し収入を得ているFacebook、及びその配下にあるInstagramの動向は注視されています。GDPR(欧州データ一般保護規則)が導入されてから、個人情報の不正な利用には巨額の罰金が科されるようになり、どの企業も法的リスクに晒されています。

2019年5月にはInstagramのユーザーに関連し、個人情報保護に関する違反が報じられました。インドのソーシャルメディア・マーケティング企業Chtrboxが、Instagramのインフルエンサーに関する個人情報を取得し、それを誰でも取得できる状態で保存していたというものです。米メディアTechCrunchの報道では、35万件のユーザーに関してEメールアドレス・電話番号等が対象だったとされています。

Chtrboxは商品の販売促進を行いたい顧客企業に対し、Instagramから取得したデータに従い、インフルエンサーを紹介するというビジネスを行っていました。個人情報は社内のみで使用し、他社に売却するといった形跡はないと言われています。ただし、個人情報がAmazon Web Servicesのデータベースにパスワード不要な状態で保存されていたため、誰でもアクセスできるという結果に陥りました。Chtrboxは、個人情報が公開されているという指摘を受けてから速やかに対応し、72時間で個人情報を非公開にしたとされます。しかし、取得の同意を得ていない個人情報を公開するのは、データ保護の観点から違反と考えられます。

Chtrboxは本人の同意を得ていない個人情報を公開したことがGDPR違反とされる可能性がある

個人情報が意図されていない状態で取得・利用されてしまった、この事案に対し、その責任の所在はどこにあるのでしょうか。Instagramが保有していたインフルエンサーの個人情報は、ユーザーによって誰でも取得できるようになったとされています。Instagramは適切にプライバシー保護の取り組みを行っており、ユーザーに対して個人情報の公開設定を確認するよう促しています。ユーザーが公開と設定した個人情報においてInstagramの責任を問うのは難しいかもしれません。

Chtrboxが取得した個人情報を誰でも取得可能な状態にしてしまったのは問題があります。個人が特定し得る情報に対し、本人の同意を得ないで第三者が取得できるようにしたのは、データ保護違反と考えられます。35万人のインフルエンサーの中にはEU市民が含まれていた可能性が高いため、GDPRの罰金が適用される可能性も高いと言えます。GDPRでは、その違反の重大性や過失の度合いに応じて処罰が検討されますが、最も重い罰則が適用される場合は、2000万ユーロか、全世界における売上高の4%の内、いずれか大きい方が上限となります。Chtrboxにとっては経営を揺るがす大きな打撃となるでしょう。

外部の業者を含め、プライバシー保護の取り組みを徹底されるのが企業の責任

現代のビジネス環境では、データを中心に様々な企業が関連し合い、事業を行っています。どこで取得したデータが、誰に利用され、どのように共有設定がなされているかを明らかにし、必要以上にデータを利用しない取り組みが求められます。データの台帳を作成し、それらのリスクを評価する作業がGDPRからの要求です。

InstagramとChtrboxには直接的な協業関係はありませんが、企業によっては協業関係にある外部の業者に情報システムへのアクセスを許可している場合もあるでしょう。その場合でも、データ保護の責任は、データを取得し、業者を管理する会社にあります。

米スーパーマーケット大手のターゲット社は2013年に1億1000万件の顧客情報の漏えいをしています。この件では、空調業者のアカウントが不正に取得され、ターゲット社の情報システムがハッキングされた結果、顧客情報が盗まれてしまいました。多段階認証で本人確認を行えば防げる可能性があったと言われています。外注業者を含め、情報システムのセキュリティを徹底するのは、データを取得・管理する企業の責任となるのです。

まとめ

Instagramから取得された個人情報が、インドのソーシャルメディア・マーケティング会社によって誰でもアクセスできる状態にされた事案で、その責任の所在が議論される結果となりました。現在のビジネス環境では、ある企業で取得された個人情報が他社で使用される場面も多々あります。ユーザーの公開設定を確認するよう促したり、多段階認証などのセキュリティ対策を進めたりして、慎重を期する必要があります。


CATEGORY:
まずは無料ユーザー登録。
すぐに始められます。