パスワードを忘れた? アカウント作成
1031023 story
Facebook

Facebook が収集した個人情報、1 人分で 1,222 ページに 15

ストーリー by reo
どこまでが個人情報か 部門より

headless 曰く、

数ヶ月前、ウィーン大学の学生 Max Schrems 氏が Facebook に対し、同社が収集・保持する自分の個人情報の開示を請求したところ、1,222 ページの PDF ファイルを収録した CD が送られてきたそうだ (Facebook’s Data Poolthreatpost の記事本家 /. 記事より) 。

これは EU のデータ保護に関する指令 (95/46/EC) に基づくもので、企業は保有する個人情報を本人の請求に応じて開示する必要があるとのこと。北米域を除く Facebook の事業はアイルランド・ダブリンの欧州本社が担当しているため、EU 法の適用を受ける。PDF ファイルにはプロフィールや友達情報のほか、ログイン日時や投稿したメッセージ、ウォールのポストなど数年間の利用履歴が収められており、本人が削除したデータも含めて保存されていた。また、Schrems 氏のグループ「Europe vs. Facebook」には、iPhone で位置情報を有効にして撮影した写真を投稿していたメンバーがおり、このメンバーのデータには投稿場所も記録されていたという。

現在、Europe vs. Facebook ではアイルランドのデータ保護当局に対し、Facebook による個人情報の取り扱いが適切かどうかの監査を請求しているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「いいね!」とかコメント欄とか、ソーシャルプラグインのついた外部サイトの閲覧履歴も取れる気がしてならないのだけど、それは含まれていないのかな?

    --
    1を聞いて0を知れ!
  • by Anonymous Coward on 2011年12月15日 13時19分 (#2066841)

    こういう請求にちゃんと応えてくれるというだけでも、たいしたもんだと思うんですけど。
    不備だらけでもなく、応じないとかの妙なことするところはそれこそ五万といるとおもいますよ。

    • by Anonymous Coward on 2011年12月15日 14時23分 (#2066870)

      法律に従うのは当然、応じなかったらえらいとかえらくないとかいう以前に犯罪。

      親コメント
      • by Anonymous Coward

        今回の1000ページ超のデータは、facebookのシステム上で保管され確認できる状態の部分があって照合できる&送ったのが思い当たるもので、しかもその分量から手を抜かずにほぼ全部送ってきてるんだなと納得できるんじゃないかなと思います。

        かつて退会したアカウントであるとか、登録することなく同意のみで収集されていたトラッキングのようなものとかで、「今もどこかで情報が使われている感があって怪しい」と思って開示を請求したとします。照合する先がない場合どうやって開示されたものが全てだと確認できるのです?
        「全部破棄されたか元々取得しておらず見つかりませんでした」とか「少量ですがこれで全てです」とか言われた場合に、前者が「応じない」後者が「不備だらけ」の方便である可能性も、本当に保管されていたのはそれだけの可能性もありますよ。

    • by Anonymous Coward on 2011年12月15日 15時37分 (#2066899)

      Facebookはログイン日時を個人情報として
      明確に規定している、という証左ですよね。

      正直日本企業の多くは、個人情報開示要求をしても
      自発的にログイン日時まで開示するとは思えません。

      少し気になるのは、下記の記述でしょうか。

      >本人が削除したデータも含めて保存されていた。

      本人から個人情報削除依頼があった場合、情報を
      破棄しなければならない義務があったと思います。

      Web上での操作が「個人情報削除依頼」に含まれるかどうかは分かりませんが、
      ユーザ側の意識としては、サーバ上から綺麗になくなっていると認識しているのでは。

      親コメント
      • by hityuru (44600) on 2011年12月15日 21時26分 (#2067011)

        >本人が削除したデータも含めて保存されていた。

        googleでも「ウェブ履歴の削除」をした後も、システムに残るようですね。

        http://support.google.com/accounts/bin/answer.py?hl=ja&answer=54067 [google.com]

        親コメント
      • by Anonymous Coward on 2011年12月15日 16時08分 (#2066910)

        >本人から個人情報削除依頼があった場合、情報を
        >破棄しなければならない義務があったと思います。

        これは、EU のデータ保護に関する指令 (95/46/EC) あるいはその他の指令に、そのような記載があるということでしょうか?

        日本の個人情報保護法(26条, 27条)においても、
        ・保有個人データの内容が事実でない
        ・個人情報の目的外の利用を行っている
        ・個人情報を不正に取得したこと
        などの理由がない限り、個人からの要望に応じて削除しなくていいようにも見えますが。

        親コメント
    • by Anonymous Coward

      ごまんとの「ごまん」は「巨万」じゃないの?

    • 自分のPCに蓄積されたデータは自分の管理上にあるが、
      クラウドサーバー上に蓄積された個人情報データが漏洩するリスクも考えないとな。
      SNSにむやみやたらに個人情報をアップする行為は危険だよな。
      SNSのセキュリティを過信すると危ないぜ!

  • by Anonymous Coward on 2011年12月15日 16時00分 (#2066906)

    本家で話題になっていましたが「俺が削除しろと指示したデータは全部消せ」と
    依頼されたら、バックアップテープのデータも消さないといけませんか?

    個人情報管理の絡みからすると消さないといけないように思えますが、
    拒否するとすれば、どんな根拠を持ち出して拒否すればいいんでしょう。

    • by Anonymous Coward on 2011年12月15日 16時15分 (#2066912)

      >拒否するとすれば、どんな根拠を持ち出して拒否すればいいんでしょう。

      サイバー犯罪条約あたりかねえ

      # サイバー犯罪条約で規定しているのはログの保存期間のはずだけど、
      # 無理やり理屈を作ればってことで。

      親コメント
    • by Anonymous Coward
      現実的な話、無理だろうね。
    • by Anonymous Coward

      こうやって開示を請求された際にかつて収集していた全てのデータとして開示するために取っていて、利活用や公開の目的はありません。...とポリシーで明言したらどうでしょうね。そういう目的ですので復活依頼は基本受けないって方針で。
      消してしまった場合に開示することになると、全部開示したことを信用してくれない場合があるので削除請求があったものを全部保管します。法的根拠に基づく、開示請求の上で削除依頼(UI上の消去機能ではない)であれば全部消します。...でどうですか?

  • by Anonymous Coward on 2011年12月16日 14時48分 (#2067361)

    > 投稿したメッセージ、ウォールのポストなど数年間の利用履歴が収められており

    自分のGmailアカウントの全データ送ってくれるんだろうか?
    バックアップとして便利だ。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...