Photo By Shutterstock
Googleは10月8日、「Google+」の個人向けサービスを2019年8月末で終了すると発表した。その背景には、サービスの利用が低調だったことに加え、サードパーティ製アプリ向けAPIに見つかった脆弱性による、最大50万人分の個人情報の漏洩があったためとされる。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。
「Google+」個人向けサービス終了の経緯
Google+とは、2011年6月にサービスが開始されたGoogleのソーシャル・ネットワーキング・サービス。当時台頭しつつあったFacebookやTwitterなどのソーシャル・ネットワーキング・サービスに対抗すべく開発され、日本では「ぐぐたす」とも呼ばれていた。
筆者も一時は頻繁に利用していたものの、FacebookやTwitterと併用する必要性を感じなくなって、次第に利用しなくなっていった。サービス終了の報を受け、写真関連や電子書籍関連のコミュニティに参加していたことを思い出してGoogle+アプリを開いてみたところ、細々とではあるがまだ利用されていて驚いた。
気になるのはサービス終了に至った経緯だ。サービスの利用が低調だったことに加え、脆弱性による個人情報の漏洩が発覚したためとされる。しかも、同社は個人情報の漏洩を半年ほど前から把握していたにもかかわらず、隠蔽していたという情報もある。
最大50万人分の個人情報が漏洩
今回問題となった脆弱性は、サードパーティ製アプリから行われる、Googleアカウントの個人情報へのアクセスを見直すために実施された「Project Strobe」で見つかったという。
Google+が用意していた、サードパーティ製アプリがユーザープロフィールなどにアクセスするための「Google People API」にバグがあり、ユーザーが自分の情報を非公開設定にしていても情報を取り出せる状態になっていたようだ。
漏洩した疑いがあるのは、名前、メールアドレス、職業、性別、年齢などで、認証のためのアカウント情報は含まれなかったとされる。
この脆弱性は2018年3月に発見され、直ちに修復されているが、なぜか公表されなかった。その背景には、GDPR(EU一般データ保護規則)の施行による個人情報保護への関心の高まりや、Facebookからの個人情報漏洩問題などがあったと思われる。
Googleによると、Google People APIを利用していたアプリは最大438件で、悪用された証拠は見つからなかったものの、最大50万人分の個人情報が漏洩した恐れがあるようだ。
なぜ、プライバシー保護を軽視しがちなのか
これまでもGoogleは、幾度となく「プライバシー保護を軽視している」と批判されてきた。しかし、同社の収益構造を考えると、やむを得ない面もある。
Gmailをはじめ、検索、マップ、翻訳、ブラウザ(Chrome)、フォト、カレンダー、ドキュメント、ドライブ、YouTubeなど、同社が様々なサービスを無料で提供できるのは、広告収入だけでなく、それらから得られた情報を活用・販売しているためだ。同社が開発したAndroid OSを搭載した端末を安く販売できるのも、ユーザーの個人情報を収集・活用しているからだと言われる。
Googleはもともと、「ユーザーのあらゆるデータを収集したい」というビジネス面における強い欲求を抱えているのだ。
これは、「製品やサービスを販売することで利益を得ているAppleの製品やサービスは高価だが、ユーザーの個人データから利益を得る必要性が低いためプライバシー保護に力を注ぐことができる」というビジネス戦略と対照的に見える。
個人情報の漏洩を隠蔽してはいけない
しかし、どんなにユーザーの個人情報を収集・活用することがビジネス戦略上重要だと言っても、個人情報の漏洩を隠蔽することは許されるべきではない。今回の隠蔽で、Googleに対するユーザーの信頼は大きく損なわれ、同社を見る目はますます厳しさを増すことだろう。
また、収集した個人情報の活用法についても、もっと情報を開示していくことが望ましい。さもないと、人々はGDPR以上に厳密な個人情報保護法制の必要性を感じてしまうに違いない。