Instagramでマーケティングパートナー がユーザー位置情報を不正収集！

7月末、Facebookは一連のユーザー情報の取り扱い問題に関して、50億ドル（約5400億円）の制裁金を支払うことで米連邦取引委員会と合意したばかりですが、そのFacebookの子会社であるInstagramで、また個人情報漏れの疑いが見つかりました。

米現地時間8月7日に、Business InsiderはInstagramのマーケティングパートナーである「Hyp3r」がソーシャルネットワークのポリシーに反して何百万人というユーザーの位置情報等を不正に収集し保存してきたことを報じました。

「Hyp3r」は、広告プラットフォームへのInstagram側の設定ミスと管理体制の緩さを利用して、通常なら24時間で消滅するはずのストーリー機能におけるユーザーの居所や履歴、写真などを詳細にかつ無期限に記録していたと言います。

Instagramは8月7日、Business Insiderからの調査結果の提示をうけて「Hyp3r」が規定を違反していることを認め、このマーケティングパートナーの登録を中止しました。

他の企業が同様に公開のページから情報収集するのを防止するため、ユーザーの位置情報へのアクセスにログイン処理を加えセキュリティが維持されるよう変更を加えています。

Hyp3rは数年前に、広告主が野球の試合やコンサートといった特定のイベントに参加するユーザーをターゲットとできるプラットフォームとして設立されました。Hyp3rは元々個人情報収集のためにInstagramのオフィシャルAPIを使用したと言います。

こうした情報収集の仕方の一部は、かつてのInstagramでは認められていましたがテック企業「Cambridge Analytica」によるスキャンダル以降、Instagramはロケーションツールを含むAPIの機能の多くを廃止しています。

APIは2018年はじめにかなり厳しく制限され、Hyp3rが位置情報やユーザーデータにアクセスするのは困難になりました。

そしてBusiness Insiderの報道によると、Hyp3rは位置情報の収集と個人アカウントのストーリーズ（コンテンツが24時間で消える）の保存にかかる制限を巧みに回避するツールを構築したと言います。

もしユーザーがHyp3rにモニターされている数千もの場所や地域のどこかで何かをストーリーに投稿した場合は、ユーザーのデータは盗み取られ彼らのシャドープロフィールに加えられるというわけです。

Hyp3rの役員であるCarlos Garcia氏は「Hyp3rはユーザーのプライバシー規制とFacebookの利用規約に準拠している」と述べていて、ただ公開情報にアクセスしただけでユーザーの個人的な情報を不正に得たことはないと主張しています。

Facebookは定期的に信頼できるマーケティングパートナーをレビューして、ルールやポリシーを遵守しているかを確認していて、Instagramのマーケティング担当者もそれを公に宣伝していました。

Hyp3rがどのようにFacebookやInstagramのマーケティングパートナーとして存在し続け、同時にどうやってそうした規則を露骨に破ってきたのかは不明です。今回の問題発覚は、Hyp3rの振る舞いに注意を向けていなかった可能性が考えられています。