Twitterが2要素認証用の電話番号を誤って広告に使用！謝罪/停止済！

Twitterは米現地時間10月8日、2要素認証のために提供された一部のユーザーのメールアドレスと携帯電話番号が、不注意によって広告目的で利用された可能性があることが発覚したと発表しました。すでに問題は停止済済みであるとし、謝罪しています。

この発表によるとTwitterの「テーラードオーディエンス」および「パートナーオーディエンス」という2つの広告システムに顧客の個人情報が使われた可能性があるとしています。

どちらのシステムもTwitterが広告主に提供しているターゲティング広告ツールで、広告主がマーケティングリストをアップロードすると、Twitterユーザーがアカウントの2要素認証のために設定した電話番号やメールアドレスと一致することが発覚しました。

Twittterの2要素認証とは、アカウントへの不正ログイン防止のためのセキュリティ強化の仕組みです。Twitterではメールアドレスと携帯電話番号を組み合わせることでこれを実現しています。

この問題は昨年「Facebook」がセキュリティのためにユーザーが提出した電話番号とメールアドレスをターゲット広告に利用していたことが発覚しましたが、今回Twitterは同じ状況にあります。

Twitterは発表文で9月17日時点で広告ターゲティングの設定に対処し停止済みであることを説明しています。それ以降問題は発生していないとし、この設定は不注意だったと謝罪しています。

「これにより何人の人々が影響を受けたのかを確実に言うことはできないが、透明性を保つために、すべてのユーザーに注意を喚起したかった」と述べています。

そして「このようなことが起きてしまい、大変申し訳ありません。今後同じような誤りが起きないよう力を尽くしてまいります。」と謝罪しました。

今回の問題は、電話番号やメールアドレスなどの企業がマーケティングリストに基づいて広告を展開できる、Twitterの「テーラードオーディエンス」および「パートナーオーディエンス」という2つの広告システムに端を発しています。

「テーラードオーディエンス」とは、広告主の会社が保有する顧客リストやウェブサイトの訪問履歴などを利用してターゲティングを行う機能のことを言います。

「パートナーオーディエンス」もほぼ同様でTwitterパートナーの提供するリストを利用してターゲティングを行う機能です。

広告主がこれらのデータをアップロードした際に、Twitter側の集めたユーザーのメールアドレスまたは電話番号のリストとマッチングさせた可能性があるとしています。

つまりは広告主やTwitterパートナー企業に渡した覚えがない個人情報が、不注意でターゲティング広告に使われた可能性があるわけです。

Twitter公式発表を見ると、あくまでTwitterのサービス内で完結した手違いということで、外部からの攻撃があったり、個人情報が外部に流出したわけではないようですが、SNSはプライバシー保護が重要なだけに、個人情報の慎重な扱いが望まれます。