人々のWi-Fiトラフィックデータの取得をめぐって数カ月にわたり非難されてきたGoogleは、将来同様の失策を防ぐためのいくつかの措置を発表した。
同時に、Google は、不注意による Wi-Fi スヌーピングによって、データ断片だけでなく、電子メール メッセージ全体、Web サイトのアドレス、パスワードが収集されたことを認めています。
グーグルは、2007年以来、ストリートビュー撮影車がマップ製品用の写真撮影に加え、暗号化されていないネットワークからWi-Fi伝送データも収集していたことを5月に明らかにして以来、プライバシー擁護団体や政府機関、関係者から非難を浴びている。
米国および海外の政府機関や議員らがこの問題を調査しており、多くのユーザーが同社に対してプライバシー侵害訴訟を起こしている。
キャプチャされたデータ
Googleは、ストリートビュー撮影車がGoogleの位置情報サービスで使用するために、オープンなWi-Fiネットワークの名前(SSID)と固有のルーター番号(MACアドレス)のみを取得して保存することを意図していた。
ソフトウェアの不具合により、Google の車両はウェブ トラフィック データを傍受して保存した。同社は当初、このデータは極めて断片化されていると説明していたが、現在では電子メール メッセージの全文やパスワードも含まれていることを認めている。
「これらの検査から、データの大半は断片的である一方、場合によっては電子メール全体やURL、パスワードが取得されたことが明らかです」と、エンジニアリング・リサーチ担当上級副社長のアラン・ユースタス氏は金曜日のブログ投稿に記した。
「このデータはできるだけ早く削除したいと思っています。そもそもこのデータを収集してしまったことについて、改めてお詫び申し上げます。今回の出来事を大変残念に思っておりますが、プロセスと組織体制のこれらの変更により、社内のプライバシーとセキュリティ対策が大幅に改善され、すべてのユーザーの利益につながると確信しています」と彼は述べた。
Googleが金曜日に発表する施策には、エンジニアリングとプロダクトマネジメントの両方を統括するプライバシーディレクターとして、アルマ・ウィッテン氏を任命することが含まれています。彼女は過去2年間、Googleのエンジニアリングチームにおいてプライバシー責任者を務めてきました。Googleは彼女のスタッフを増強し、より多くのエンジニアとプロダクトマネージャーがプライバシー保護の取り組みに関与できるようにします。
Googleはプライバシー関連の研修を強化し、エンジニア、製品マネージャー、法務スタッフ向けの研修を充実させ、12月から全従業員に新しい情報セキュリティプログラムの受講を義務付けている。
さらに、コンプライアンスも強化され、すべてのエンジニアリングプロジェクトリーダーは、担当するプロジェクトごとにプライバシー設計書を保管することが義務付けられます。「この文書にはユーザーデータの取り扱い方法が記録され、マネージャーと独立した内部監査チームによって定期的にレビューされます」とユースタス氏は記しています。
もう一つの違反
Wi-Fi問題に加え、Googleが10代のGmailユーザーのデータにアクセスしていた従業員を解雇したことも最近明らかになった。
民主主義技術センター(CDT)の上級研究員ジャスティン・ブルックマン氏は、新たな対策はグーグル社内で「プライバシー・バイ・デザイン」の原則を強固なものにし、プライバシー保護が全従業員の心の中心となり、常に警戒が払われるようになるはずだと述べた。
「グーグルは社内のあらゆるレベルでプライバシー保護の文化を築く必要がある」と彼は述べた。
Google は一般的にユーザーのプライバシー保護に努めていますが、非常に多くの消費者データを扱っているため、この点に関する同社の手続きは可能な限り強力かつ体系的かつ効果的である必要があります。
「グーグルはここで賢明な措置を講じているようで、それは役に立つと思う」と彼は語った。
