約50万人のユーザー情報が流出したSNS「Google＋」がサービス終了になることが明らかになりました。サービス終了は「サービスの利用が低調」と、かねてからの不振が理由とされていますが、Googleが抱えるより大きなプライバシー問題が指摘されています。

Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+
https://www.blog.google/technology/safety-security/project-strobe/

Google＋では「Google People API」にバグがあり、公開許可されているユーザーデータだけでなく、非公開設定されているユーザーデータについてもサードパーティ製アプリにアクセスされる脆弱性を抱えており、最大で50万人のGoogle＋ユーザーの非公開情報が流出したことを公式ブログで認めました。

問題は、情報流出が明らかになった時期で、Googleによると「バグは2018年3月に発見され、直ちに修正された」とのこと。当時、GoogleはGoogle＋のユーザー情報流出の可能性について公表していませんでした。なお、影響を受けた可能性がある情報は、氏名・メールアドレス・生年月日・性別で、電話番号やメッセージ内容などコミュニケーションデータは含まれていないとのこと。GoogleによるとAPIを使っていたアプリは最大438件で、APIのログデータの保存期間は2週間であるためバグの被害を受けたユーザーを特定できないと述べています。

情報流出の疑いが明るみに出たことがきっかけで、Googleはコンシューマー向けのGoogle＋サービスを終了すると発表しました。なお、データ移行などユーザーが対応できるように、サービスの完全閉鎖は2019年8月末になるとのこと。

あくまでGoogle＋の終了はサービス利用状況が低調が理由だとするGoogleに対して、より大きなプライバシー問題を抱えているとWall Street Journal(WSJ)が報じています。

Google Exposed User Data, Feared Repercussions of Disclosing to Public - WSJ
https://www.wsj.com/articles/google-exposed-user-data-feared-repercussions-of-disclosing-to-public-1539017194

WSJが入手したGoogle社内の文書から、「Googleはユーザー情報が流出した可能性があることを把握したが、そのことを公開しないことにした」ことが判明したとのこと。その理由は、Cambridge Analyticaによる情報流出問題がきっかけでプライバシー問題が大きく取りざたされていたFacebookの問題だとのこと。情報流出の可能性を公表すれば、規制当局からの厳しい追及があるのは確実で、Facebookの二の舞になることを懸念したというわけです。なお、サンダー・ピチャイCEOは、情報非公開の決定について説明を受けていたとWSJは述べています。

Google社内では問題を公表すべきだという意見もあったようですが、「プライバシー問題の公表についてGoogleは法的には要求されていない」という法律論から最終的に非公開決定が行われたようです。GDPRが施行されたEU諸国と違って、「企業が抱える潜在的なデータ侵害をユーザーに通知する義務」について定める連邦法はアメリカには存在しないものの、Googleは集団訴訟に直面するリスクを抱えています。