FacebookのMike Vernal氏が開発者ブログを通じて、一部のFacebookアプリ開発者がUser ID (UID)をデータプローカーに販売していたことを認めた。
UIDはFacebook Platformにおいて個々のユーザーを識別するためのID番号で、様々なFacebookアプリによって収集されている。米Wall Street Journal紙が10月に、UIDを収集するアプリ開発者が個人情報を抜き出してアプリの外部で共有していると報じたため、Facebookが調査に乗り出していた。
Vernal氏によると、FacebookはUIDの共有および不正利用の実態を浮き彫りにするためにデータブローカーのRapleafと契約、共同調査を通じて少数のアプリ開発者がデータブローカーとUIDを取引している事実を把握した。いずれも小規模な開発者で、トップ10アプリは含まれていない。UID以外に個人情報が取引された事実はなく、販売されたUIDがプライベートデータへのアクセスに用いられていないことも確認したという。
FacebookはUIDを不正に共有した開発者に対してFacebookコミュニケーションチャンネルへのアクセスを6ヶ月間禁止し、さらに再開の条件としてデータ利用状況の監査を課した。同社はまた、アプリ開発者のユーザーデータの利用に関するポリシーを改訂する。Facebookから受信したデータについては、これまでもUIDを含めてデータブローカーや広告ネットワークとの共有が禁止されていたが、データ保護をさらに押し進めて、一部のサービス(Akamai、Amazon Web Servicesなど)を除いてUIDのアプリケーション外への持ち出しを禁じる。
一部の開発者はFacebookのポリシー強化によって、Facebook Platformにおける提供サービスの幅が狭まると危惧している。こうした声に対してVernal氏は、「コンテンツパートナーや広告、サービスプロバイダーなど認可されたサードパーティと、開発者がアプリケーションの外側でユニークな識別子を共有する必要があるのはわれわれも承知している。こうした目的のために、匿名の識別子の共有を開発者に課すメカニズムの追加を進めている」と述べている。例えば、signed_requestパラメータを土台に、パラメータを暗号化する仕組みを検討している。秘密鍵を持つアプリケーションのみで情報を読み取れるようにし、データ漏洩や不正な共有を防ぐ。