ギズモードジャパン

そろそろちゃんとしてくれないと、ですよね。

今やほとんどの人が使っているFacebookですが、ユーザーのプライバシーの取扱いに関しては、ちょっとあぶなっかしいところがありました。でも、これからは変わっていきそうです。FTC（連邦取引委員会）とFacebookの間で、プライバシーの扱い方に関し合意が行われたのです。これからは、すべてのプライバシー関連の設定は、従来のようにFacebookが自動で（勝手に）するのではなく、ユーザーのオプトインによって行われるようになります。

Facebookのマーク・ザッカーバーグCEOとFTCが、ともに両者の合意内容について声明を発表しています。その合意では、Facebookのサービスにおけるユーザーのプライバシーの扱いを大きく変更するようにFacebookに義務付けられました。

いちばん大きな変更は、Facebookに対して「ユーザーが決めたプライバシー設定範囲を超えてユーザー情報が共有される前に明確な通知を行い、ユーザーの明示的な同意を得ること」が求められる点です。今回、FTCと取り決めをすることになった発端は2009年、本来非公開であるべき情報がFacebook側のポリシー変更によってユーザーの意図と関係なく公開されてしまった一件にありました。当時「プライベート」と言う言葉は、Facebookにとっては「僕らが変更しない限りにおいては、プライベート」という意味なんじゃないかと思われるくらいでした。

また、FTCはFacebookのVerified Appプログラムについても問題を指摘しました。Facebookでは、Verified Appではアプリの安全性を確認しているとしていましたが、実際はしていませんでした。またユーザーの個人情報を広告主と共有しないと約束していながら、実際は共有していたりもしました。...といった問題点が計7件ほどあってFacebookはFTCから提訴されていたのですが、今回FTCから和解案が提示され、Facebookはそれを受け入れたのです。

以下、Facebookに課せられた改善点です。

・この取り決めにより、今後Facebookがプライバシーに関する欺まん的主張を行うことを禁ずる。また同社がユーザーのデータを共有する方法を変更する際には、事前にユーザーの合意を得ることを必要とする。また今後20年間にわたり、同社のプライバシーへの取り組みについて独立した第三者監査機関による定期的な評価を受ける必要がある。

すなわち、Facebookはこの取り決めによって

・ユーザーの個人情報のプライバシーまたはセキュリティに関して不実表示の実施を禁じられる。
・ユーザーのプライバシー設定に抵触する変更を有効にする前に、ユーザーの積極的かつ明白な同意を得ることが求められる。
・ユーザーが自分のアカウントを削除してから30日以上後には、誰もそのユーザーのデータに対しアクセスできないようにすることが求められる。
・新規ないし既存の製品・サービスの開発と管理に関連するプライバシーリスクに取り組むための包括的なプライバシープログラムを作り運用していくこと、ならびにユーザーの情報のプライバシーと機密性を保持することが求められる。
・180日以内に、それ以降20年間は2年ごとに、FTCの指示に見合うかそれ以上のプライバシープログラムが維持されていることについて独立した第三者による監査を受けること、ならびにユーザー情報のプライバシーが保持されていることを保証することが求められる。

このゴールを達成するため、Facebookでは新たにChief Privacy Officerとしてエリン・イーガン氏とマイケル・リヒター氏のふたりを任命しました。ザッカーバーグCEOは「この取り決めの実現にFTCとともに取り組むのを楽しみにしている」とコメントしています。本当に、我々ユーザーとしても期待したいところですね。

[Facebook、FTC via TechCrunch]

Roberto Baldwin（原文／miho）