2011年に入り、日本でも急激にユーザ数を増やしている「Facebook」。「いいね!」ボタンに代表されるように、最近では多くのウェブサイトやウェブサービスが、Facebookと連携しはじめています。
米国のソフトウェア開発者でライターのDave Winer氏は、「Scripting.com」の寄稿記事(英文)で、Facebookはユーザがログアウトした後も、同意なくウェブ上でユーザを追跡していると指摘。オーストラリア出身の技術者Nik Cubrilovic氏は、このテーマをさらに掘り下げ、Facebookがユーザがログアウトした後もオンライン行動を追跡しうることを発見しました。
Facebookはこの指摘を否定。「これを信じるか信じないかはアナタ次第」ですが、こちらではこの説について詳しく見ていきながら、Facebookから自分のプライバシーを守る方法についてご紹介したいと思います。
■Facebookのソーシャルアプリは、いつもアナタを監視している
Facebookのユーザ追跡は、サイトにいる時間だけに限りません。Facebookと連携している第三者のサイトやウェブサービス、「いいね!」ボタンを使っているサイトは、ユーザへの明示的な許諾なくユーザ情報を送信します。
また、Winer氏は、最近のFacebookの改変で見落とされているポイントを指摘。Facebookのオープングラフを有効化したソーシャルウェブアプリは、Facebookにすべてのユーザ情報を送信し、ユーザが好むと好まざるとにかかわらず、プロフィールに投稿したり、友達に共有したりできるとのこと。
つまり、これらのソーシャルアプリを使って記事を読んだり音楽や動画を視聴しているだけで、Facebookに自分の情報が送られ、友達に自動的に共有させたり、プロフィールに書き込ませたりする可能性があります。しかも、Facebookがこれらについてユーザに許諾を求めることはありません。
では、これにどう対処すればいいのでしょうか?
Winer氏によると、使用していないときはFacebookからログアウトし、「いいね!」ボタンをクリックしたり、他のウェブサービスとFacebookのアカウントとの接続を避けたりすべきとのこと。また、現時点ではそうなっていませんが、Winer氏は「Facebookはクッキー(Cookie)を消去すべきだ」と主張しています。
■ログアウトだけでは、十分でないNik Cubrilovic氏がWiner氏の指摘を精査したところ、Facebookをログアウトすれば、Facebookやそのウェブアプリからブラウザを非認証できるかもしれませんが、「ユーザがオンライン上のどこで何をしているか?」に関する情報をFacebookのクッキーが送ることは、止めさせられないそう。「AppSpot」の記事(英文)で、「ログアウト後もFacebookの追跡クッキーは消去せず、ユーザがログアウトしたら追跡手段がこれに変わるだけだということがわかった」と述べています。
つまり、Facebookの追跡クッキーは、ユーザのアカウントナンバーを保持しつづけ、ログアウトした後もユーザを特定できるわけです。また、「いいね!」ボタンやオープングラフアプリなど、Facebookを有効化したソーシャルアプリケーションが搭載されたウェブサイトに移動すると、Facebookはユーザの位置を知り、匿名のFacebookユーザではなく、そのユーザのアカウントからの操作であることがわかります。
Cubrilovic氏によると、Facebookのこのような追跡をやめさせる唯一の方法は、Facebookからログアウトし、すべてのFacebookのクッキーをシステムから削除することだそうです。
■「そんなの気にしない」という人も、少しは気にすべきなのはなぜか?自分のオンライン上の行動が筒抜けになってしまうかもしれない前提で、Facebookを使うことにさほど抵抗のない人もいるかもしれませんが、少しは気にした方がいいかもしれません。
Cubrilovic氏やWiner氏の指摘が真実だとすると、Facebookと連携しているウェブサイトやウェブサービスに移動することは、Facebookのサイトにいることと同じ。最悪の場合、自分の預かり知らないところで、Facebookに勝手に投稿されるおそれもあります。
Facebookは、「追跡には関係しておらず、ユーザがオンライン上のどこで何をしているかについての情報を集める意図はない」と主張。ユーザが、Facebookにいつでも、シームレスにログインでき、他のウェブサイトやウェブサービスと連携して、何をしているか? を友達に共有しやすくしたいだけだと述べています。
実際、Facebookのエンジニア数人が、Winer氏の寄稿記事やCubrilovic氏の分析にコメントを投稿。また、オンライン掲示板「Hacker News」(英文)でも、議論が交わされています。ちなみにFacebookのエンジニアたちは、「これはあくまでも機能であって、問題ではない」と主張しています。
■Facebookからプライバシーを守るための方法とは?Facebookが、ユーザのログアウト後もユーザを追跡しているかどうかはともかく、第三者のウェブサイトやウェブサービスからFacebookに自分の情報を送られないための方法は、いくつかあります。
原始的な方法としては、Facebookを使うたびに「Facebook.com」のクッキーをシステムから消去するというのがあります。また、Facebookを第三者サイトからブロックできる、以下のような拡張機能(アドオン)を使うのも一法です。
この拡張機能は、ユーザが特定のサイトに訪問する際でもサービスを止めることはありません。ただ、Googleで検索したりGoogle+を利用することはできますが、Googleの「+1」ボタンは第三者サイトでは使えなくなるかもしれません。
また、この拡張機能がどれだけのリクエストをブロックしたかを見ることができ、ユーザ側でブロックを解除することもできます。たとえば、ブロックを解除すれば、「いいね!」ボタンや「+1」を使って、友達に共有することも可能になります。
これらのツールは、「Facebookやその他のソーシャルサービスで何を共有するか?」や「プロフィールに何を投稿するか?」をユーザがコントロールできるようにしてくれるもの。しかし根本的には、「Facebookがどれだけ深くユーザ情報に手を伸ばしているか?」とか「送信されたり、通信される情報が、ユーザにとってどれだけコントロールしづらいものとなっているか?」が問題です。
Cubrilovic氏は後日談として、Facebookのエンジニアとのディスカッションについて、記事を投稿しています(英文)。エンジニアたちも、ユーザがFacebookをログアウトしたら、アカウント情報は存在しないようにFacebookのクッキーの保存や扱い方法について変更すべきであることに同意したとか。
しかしながら、Facebookがクッキーの取り扱いプロセスを変更したとしても、クッキーは保持されまま、ログアウトした後も削除されません。ユーザのログアウト時にアカウント情報は削除しても、利用しているブラウザやシステムについての情報は含まれたままです。Cubrilovic氏は前述のとおり、セッションごとにFacebookのクッキーを消去することを勧めています。こちらでご紹介した拡張機能のいずれかを利用するのも、一法です。
オンライントラッキングの潜在的リスクについては、ライフハッカーアーカイブ記事「なぜオンライントラッキング拒否機能は重要なのか?」でも、詳しく採りあげています。あわせてご参考まで。
Alan Henry(原文/訳:松岡由希子)
