SNSの意図しない“個人情報漏れ”で、ブラウジング追跡も可能

　SNSがユーザーID番号などを広告配信ネットワークなどに通知しているため、繊細な個人情報が実質的に漏えいしているとの危険を、米国の研究者が警告している。

　これは、米Worcester Polytechnic InstituteのCraig E.Wills氏と、AT&T LabsのBalachander Krishnamurthy氏が発表した査読論文によるものだ。両氏は、この問題はSNSに悪意があるわけではないものの、それゆえに十分な対策が必要だと警告を発している。

　問題となっているのは、SNSのユーザーIDなどの識別子だ。これらは主にSNSのプロフィールページと関係付けられており、リファラーヘッダー、リクエストURI、Cookieに含まれてしまっている。この情報は、サードパーティの広告配信ネットワークや、アクセス解析サービスなどに提供されている。

　SNSのプロフィールページには、氏名、年齢、性別、住所、個人の行動、写真、友人関係など、さまざまな個人情報が含まれているため、ここだけでも多くの情報が入手できてしまう。さらにプロフィールページから友人関係の識別子を入手して関係付けることも可能になる。

　それだけでなく、この識別子とサードパーティのトラッキングCookieを組み合わせて利用し、特定のユーザーのブラウジング行動を追跡することも可能になってしまう。

　仮にこうした情報が流用されれば、複雑な問題が生じかねない。例えば、癌について書かれたページを検索・閲覧した場合、個人情報ネットワークの分析が間違った結果を導き出すことも考えられる。単に好奇心で癌の情報を見たにすぎないのに、ユーザーが癌にかかっていると誤認されてしまい、就職や医療保険の加入などに悪影響を与える可能性もないとは言えない。

　論文では、11の大手SNSを対象に調査が行われた。この中にはTwitter、Facebook、MySpace、Diggなどの大手サイトが含まれている。Wills氏は、これらのSNSに対して、プライバシーが漏えいしているとの情報を伝えたものの、現時点では公式な回答は返ってきていないという。

　Wills氏は、「我々は、彼らがプライベートな情報を漏えいしようとしていると必ずしも言っているわけではない。しかし、誰かがあなたの個人識別子を入手したとすれば、あなたについてあまりにも多くのことが知られてしまう。そして、トラッキングサイトがその情報を自分では使わないとしても、誰かの手に決して渡らないと補償できるだろうか。こうした理由のために、我々はこの問題は注意が喚起されてしかるべきだと考えている」とコメントしている。