130万件のClubhouseユーザデータがリーク ー 個人情報について思うこと
TL;DR
・130万件のClubhouseユーザデータが公開APIを通して取得できる状態(流出?)
・意味のあるユーザデータか?
・他のSNSと繋がる外部キー(FOREIGN KEY)を公開して良いか?
はじめに
130万件のClubhouseユーザデータが流出したという主張があり、Clubhouse側はいや、それ公開APIで取れる情報で害は無い情報だよとアナウンスしたようです。
詳しくは以下 辻氏 のブログでどうぞ
取得できる情報は以下です。
・ユーザID(user_id)
・名前(name)
・プロフ画像のURL(photo_url)
・Clubhouse ID(username)
・Twitter ID(twitter)
・Instagram ID(instagram)
・フォロワー数(num_followrs)
・フォロー数(num_following)
・アカウント作成日時(time_create)
・招待されたユーザID(invited_by_user_profile)
確かにこの情報だけだと即個人情報とは言えないかなと思います。
他のSNSとつながると増える情報
気になるのは
・Twitter ID(twitter)
・Instagram ID(instagram)
です。
twitter ID, Instagram IDはClubhouseの外の世界をつなぐ、DB(データベース)で言う外部キー(Foreign Key)です。
つまりClubhouseをbridgeにして、twitterとInstagramとの関係が明らかになります。
SNSサービス単体で得られる情報では個人情報になり得ないかもしれません。
・Clubhouseのみで得られる情報
・Twitterのみで得られる情報
・Instagramのみで得られる情報
でもSNSサービスを組み合わせて得られる情報で個人情報にならない保証はありません。
・ClubhouseとTwitterを組み合わせて得られる情報
・ClubhouseとInstagramを組み合わせて得られる情報
・TwitterとInstagramを組み合わせて得られる情報
・ClubhouseとTwitterとInstagramを組み合わせて得られる情報
もちろん、TwitterやInstagramからさらに繋がるSNSやBlog、人的つながりがわかれば情報はもっと増えます。
ソーシャルグラフ
このような情報を人間が分析して意味のある情報を抽出するにはインテリジェンスの特別なトレーニングが必要でしょう。
でもそれを補完するソフトウェアもあります。ソーシャルグラフです。
ソーシャルグラフで統計的な分析ができますが、ミクロ的な分析、特定の人を深掘りするような分析もできます。
私もこのようなソフトを社内内部不正調査で使ったことがありますが、データを眺めただけではわからない、人のつながりが可視化され、非常に分析がしやすくなった経験があります。
個人情報評価の難しさ
個人情報はそのデータを見ただけでは怖さがわからないと言う特徴があります。
ある人が健康食品を買ったという購買データが氏名、メールアドレス、性別、年代とともにあります。一般的な健康食品で他人に知られたところで別に嫌な思いをするようなものではないです。
しかしこれをSpam業者からみると視点が異なります。
「健康食品をネット通販で購入する20代女性は詐欺に引っかかりやすい可能性が30%ある」(※←近しい情報はありますが、適当に書いてます)
という情報があればSpam業者から見るとこの購買情報は宝の山です。早速Spamメールを送ります。
怖いのは「情報の組み合わせ」と結果としてその情報は「どう活用されるか」の視点です。
情報がどのように活用されるか、そしてその結果が自分にとって害があるのか無害なのかはわかりませんし、自分には無害であっても他人にとっては大問題なのかもしれません。自分では評価できないのです。
サイバーセキュリティの世界ではOSINT(オシント, オープン・ソース・インテリジェンス, open source intelligence)と言う、個人情報に限りませんが、公開情報を組み合わせて攻撃者にとって有意な情報を得ようという手法もあります。
大事なことは漏れる情報を最小にすべきだと言うことだと思います。
少なくとも公開APIで大量取得できることは要検討でしょうね。
でも自分で評価できないのだからAPIで取れる情報も最小せざるを得ず、それによってサービスが使いづらくなる可能性があります。痛し痒しですね。
結論
個人情報って難しいといつも思います。。
この記事が気に入ったらサポートをしてみませんか?