Skip to content
プライバシーに関する取り組みの進捗

2019年以来、Metaは、プライバシーリスクを早期に特定して対処するとともに製品に最初からプライバシー保護を組み込めるよう、社員教育、プロセス、テクノロジーに55億ドルを投じ、プライバシーに関する取り組みを全面的に刷新してきました。

01.プライバシー保護体制

社内各所でのプライバシー保護を主な業務とする製品チーム、エンジニアリングチーム、オペレーションチームの規模を、2019年末の数百人から3,000人以上に拡大しました(2023年末時点)。

Photo of Chief Privacy Officer of Product Michel Protti on Meta’s Menlo Park campus

「プライバシー保護への投資をもう一段階上げる必要に気づいたのです。それが2019年の夏のことでした。Metaでの改革は、それはもう大手術でした。人とプロセスと技術の基盤、監督体制、説明責任を根本から変える必要があったわけですから。Metaでは、システムやテクノロジー、社会からの期待の変化に合わせて、利用者のデータ保護への投資を続けています。」


—製品担当CPO (最高プライバシー責任者)、Michel Protti

ガバナンス

Metaのプライバシー保護の取り組みは、企業運営全体にプライバシー保護とデータ使用基準を組み込む、社内のガバナンス構造によって支えられています。

プライバシー保護の全社への浸透に引き続き取り組むなかで、Metaでは製品グループ内にプライバシーチームを組み込み、そのチームが各製品グループの中で専門知識を提供することでプライバシーへの配慮についての理解を深めています。プライバシーを担当するこのチームにより、Meta製品のプライバシー保護の責任を最前線で実現しています。

製品担当CPO (最高プライバシー責任者)のMichel Prottiが率いるMetaプライバシー&データプラクティスチームは、技術部門と非技術部門の多数のチームから成り、プライバシー戦略の策定と管理、および全社での戦略の履行徹底を主な業務としています。

プライバシー&データプラクティスチームは、包括的なプライバシープログラムの維持にあたって中心的な役割を果たしています。このチームは、データの責任ある取り扱いをMeta全体に浸透させるというミッションを指針とし、Metaによる利用者データの使用方法を利用者に理解してもらい、Meta製品における利用者データの使用が責任を持って行われていると信頼してもらえるよう取り組んでいます。

プライバシー&データプラクティスチームはプライバシーに関する責任を担う数多くの組織の1つに過ぎません。Metaでは、公共政策や法務など、組織や役割の異なる何千人もの社員が、企業運営のあらゆる側面にプライバシー保護を浸透させようと取り組んでいます。プライバシーを適切に取り扱うには、部門を越えた深いレベルでの連携が必要です。私たちは、Metaの全社員がその責任を担っていると考えています。

バイスプレジデント兼ポリシー担当CPO (最高プライバシー責任者)のErin Eganが率いるプライバシー&データポリシーチームは、新しい規制のフレームワークなど、プライバシーに関するグローバルな議論に先陣を切って参加しています。また、世界各国の政府や専門家から受けた指摘が、Metaの製品デザインやデータ使用で考慮されるように取り組んでいます。

そのために、プライバシー&データポリシーチームでは、以下のようなさまざまな諮問体制を通じて関係各所の意見を聞いています。

  • 特定の地域に精通している、あるいは広告やエクステンデッドリアリティ(XR)などのトピックの専門知識を持つプライバシー諮問グループ
  • プライバシーに関する複雑な疑問について話し合うワークショップ(例えばデータ関連の意見交換会)などの会議
  • 製品開発プロセスの一環として、またプライバシーに対するMetaの長期的なアプローチの参考とするために行う、専門家との継続的な相談
  • 専門家によるプライバシー関連の研究およびアドボカシーに対する資金提供(プライバシー研究およびXRの責任に関する助成金など)
  • Metaのプライバシープログラムのさまざまな側面を改善する方法について、Metaと深く掘り下げて協議する専門家への資金提供
  • Metaなど企業各社の責任あるテクノロジー開発を可能にする革新的なソリューションを開発している、業界横断的な組織(Trust, Transparency and Control Labs (TTC Labs)Open Loopなど)への支援

加えて、プライバシーポリシーに関する喫緊のトピックについて話し合うため、第一線で活躍する世界中のプライバシー専門家との定期的な会議およびプライバシー専門家年次総会を主催しています。

プライバシー関連の法務チームは、プライバシープログラムの設計および継続的な実施への関与のほか、プライバシー審査プロセスで法的要件について助言を行っています。

プライバシー委員会は、Metaの取締役会から独立した委員会です。プライバシーに関するMetaの約束が守られていることを確認するため、四半期に1回以上、会合を開いています。類似分野の監督職の経験が豊富な社外取締役で構成されるこの委員会は、世界的な政策の状況やMetaのプライバシープログラムの状態、独立した第三者によるプライバシープログラムの評価ステータスなどについて、四半期に1回以上ブリーフィングを受けています。

内部監査は、プライバシープログラムとそれを支えるコントロールフレームワークの全体的な健全性を、独立した立場から保証するものです。

プライバシー教育

Metaの全員がプライバシー保護の役割を理解できるようにするため、トレーニングや社内のプライバシー啓発キャンペーンを通じて、プライバシーに関する学習と教育を継続的に推進しています。

Metaのプライバシー教育の根幹を成すのは、プライバシートレーニングです。このトレーニングはプライバシーの基本的な要素を扱うもので、Metaの全員がプライバシーリスクを認識および考慮する能力を身に付けられるように設計されています。eラーニング形式で提供される年次プライバシートレーニングコースと、新規採用の社員・非正規社員向けのプライバシートレーニングコースでは、Metaの業務に沿ってプライバシーについて考えることができるシナリオ仕立ての具体例が示され、関連するプライバシーの概念についての理解度を確認する評価テストも行われます。どちらのトレーニングも、基本的な概念と合わせてその時々で重要な情報を学べるように、毎年更新した上で実施されます。

こうした基本的な必須のプライバシートレーニングに加え、個々の役割に関連したトピックを扱うすべてのプライバシートレーニングについてもリスト化して管理しています。

プライバシー教育には、そのほかにも社員向けの定期的な情報発信があります。Metaでは、プライバシートレーニングコースに加え、社内のコミュニケーションチャネル、プライバシー責任者からの最新情報の提供、社内向けのQ&Aセッション、そしてプライバシー週間を通じて、プライバシー関連のコンテンツを継続的に提供しています。

プライバシー週間では、全社でプライバシー保護に集中して取り組み、社内外からスピーカーを招くとともに、興味を引くコンテンツやイベントを提供してプライバシーの重要な概念や優先事項を重点的に紹介します。

データプライバシーデーやプライバシー専門家年次総会のような社外のプライバシー関連イベントにMetaが参加する際は、誰でも参加してプライバシーについて学べるように、社内向けのチャネルを使って認知向上と積極的な関与を促しています。

規制遵守プロセス

Metaは、企業として世界各国のプライバシーおよびデータ規制を遵守するため、専任チームを設けています。プライバシーの要件を全体として満たすことができるよう、規制遵守プロセスは、重要な「プライバシー領域」(若年層、機密性の高いデータ、同意など)のくくりで構成されています。

プライバシーリスクの特定と評価

Metaでは、利用者データの取得、使用、共有、保存に関連したプライバシーリスクを特定および評価するプライバシーリスク管理プログラムを策定し、これをもとにリスクテーマの特定、プライバシープログラムの改善、将来のコンプライアンスの取り組みに向けた準備を行っています。

安全策と管理

プライバシーリスクに対処するため、Metaは、プロセスや技術的なコントロールなどの安全策を敷いています。その中では、プライバシーリスク軽減策の設計と有効性について内部評価を実施しています。

イシュー管理

Metaは、プライバシーイシューの自主的な特定と修正を円滑に行えるよう、イシュー管理機能を一元化しました。このプロセスは、プライバシーイシュー管理のライフサイクル全体(受理、トリアージ、修正立案、エビデンスに基づく終了)をカバーしています。

プライバシーレッドチーム

Metaは、潜在的なプライバシーリスクを特定するプロセスやテクノロジーを能動的にテストするためにプライバシーレッドチームを立ち上げました。プライバシーレッドチームは、社内外の人間になりきってMetaのプライバシーコントロールや安全策をかいくぐることを試みます。これは、Metaのコントロール環境の改善余地を能動的に特定するのに役立っています。

インシデント管理

いくら強固な緩和策と安全策を敷いたとしても、それだけでは十分ではありません。Metaが責任を負っているデータの機密性、完全性、可用性を損ないかねない事象がいつ発生したのかを特定し、そうした状況を調査し、特定された課題への対策を実施するためのプロセスも必要です。

Metaがグローバルに運用しているインシデントの管理プログラムは、Metaがプライバシー関連のインシデントを特定、評価、緩和、修正するプロセスを監視しています。インシデント管理プロセスはプライバシーチームの指揮のもとで行われますが、プライバシー関連のインシデントはMetaの全員の責任です。法務チームや製品チームを含め、すべての部門が重要な役割を担います。Metaはこれからも重層的なプログラムの構築に時間とリソースと労力を投じ、プログラムを継続的に進化させ、改善していきます。以下に、当社の3つのアプローチを紹介します。

Metaは、問題に発展する前に未然に不具合を検知する安全策を敷くなどして、利用者とその情報の保護に重層的に取り組んでいます。事業規模の大きさを踏まえ、多大な投資によって幅広い自動化ツールを開発・導入することで、潜在的なプライバシーインシデントを可能な限り早期かつ迅速に特定および緩和することを目指しています。こうした自動化システムは、インシデントをリアルタイムに検知して速やかな対応を円滑に行うことを目的としたものです。

もちろん、自動化システムがどれだけ高性能になったとしても、インシデントを先回りして特定し、対処するには、社員による監視と不断の努力が欠かせません。Metaのエンジニアリングチームでは、利用者に影響が出る前にインシデントを特定し修正できるよう、定期的にシステムをレビューしています。

Metaでは、2011年よりバグ報奨金制度を導入しています。これは、当社の製品やシステムのセキュリティおよびプライバシー保護の強化に向けて、潜在的なセキュリティ上の脆弱性について外部から報告してもらう制度です。この制度は、コミュニティの保護を強化するために、より広い範囲から不具合を検知し、より迅速に修復することに役立っています。また、要件を満たす参加者に報酬を提供することで、セキュリティ調査の質を高めることができます。

過去10年間で5万人以上が参加し、報奨金を受け取った方は、107か国の約1,500人にのぼります。

Metaは、データへの不正アクセスなどのプライバシー関連のインシデントに対してさまざまな防御策を講じていますが、万が一、問題が発生した場合、Metaの製品、サービス、プロセスへの信頼回復には透明性が重要だと考えています。そのため、Metaのインシデント管理プログラムには過ちを正してそこから学ぶだけでなく、必要に応じて利用者に通知する手順が組み込まれています。例えば、ニュースルーム「プライバシーの尊重」ブログの投稿を通じて、コミュニティに影響が出ている問題や、特定された問題の対応に向けて法執行機関やその他の公的機関と連携していることをお知らせします。

サードパーティの監督

サードパーティとは、Metaが所有または運営はしていないが、Metaと協力関係にある外部パートナーのことを指し、通常は主に2つのカテゴリに分類されます。Metaにサービスを提供しているサードパーティ(ウェブサイトのデザインをサポートするベンダーなど)と、Metaのプラットフォームを利用してビジネスを構築しているサードパーティ(アプリ開発者やAPI開発者など)です。サードパーティが個人情報へのアクセス権を入手することで生じるプライバシーリスクを軽減するため、Metaでは、サードパーティのリスクの監督と適切なプライバシー保護策の実施を担うサードパーティ監視・管理専用プログラムを開発しました。

Metaでは、プライバシーリスクを評価、軽減するために、サードパーティ用のプライバシー評価プロセスも定めています。このプロセスの下では、サードパーティのサービスプロバイダーもプライバシー保護条項を含む契約に拘束されます。こうしたサービスプロバイダーについては、リスクプロファイルに基づいてモニタリングと評価の方法を決定し、必要な場合には違反時の措置(提携解消など)も定めています。

Metaでは、プライバシーやセキュリティ関連の義務に違反したサードパーティに対する措置や登録解除について、正式なプロセスを定めています。これには、Metaのプラットフォーム上での秩序を保つための規定や技術的なメカニズムが含まれます。

  • データの使用状況の確認(DUC): サードパーティ開発者が毎年「データの使用状況の確認(DUC)」(アクセスを継続または新規にリクエストする個人情報の種別ごとに、その目的と用途を開発者が証明するプロセス)を実施すること、またそれぞれの目的と用途が該当の規約とポリシーに準拠していることを徹底するための手続きとインフラです。Metaでは、開発者からより正確な回答を得られるよう、また開発者にとってより分かりやすいものになるよう、新たな質問を追加し、ロジックを改善しました。開発者とのコミュニケーションおよび追加情報の提供依頼を1か所に集約するツールも新たに作成しました。
  • 開発者の遵守状況のモニタリング: Metaプラットフォーム利用規約の遵守状況を継続的・定期的にモニタリングするための技術面および管理面のしくみも設けています。規約違反を検知した場合、Metaは標準化された措置を実施します。その際は、違反の重大度、性質、影響のほか、その開発者による悪意の有無や違反履歴、さらには適用法などを考慮して適切な措置を決定します。
  • データのセキュリティ基準: Metaのプラットフォーム、ひいては広く開発者エコシステムにおけるセキュリティ対策の強化を推進するため、業界基準に基づくデータセキュリティの原則を開発者向けに定めています。
  • Developer Trust Center: Metaは、Meta for Developersサイト上にDeveloper Trust Centerを立ち上げました。このハブには、データプライバシー、データセキュリティ、プラットフォーム利用規約、さらにはサードパーティ開発者に関係するモニタリングメカニズム(アプリレビュー、アプリ再審査、DUC、新たに設定されたデータ保護評価(DPA))についてのサードパーティ開発者向け資料がすべてまとめられています。

サードパーティによるデータの不正使用

Metaには、スクレイピングに関連した行動パターンの検知、調査、ブロックに特化した「社外のデータ不正使用」チームがいます。スクレイピングとはウェブサイトやアプリからデータを自動的に取得する行為のことで、許可されたものもあれば無許可のものもあります。Metaから許可を得ずにMetaのプラットフォーム上のデータに自動的にアクセスすること、またはデータを自動的に取得することは、Metaの規約に違反する行為です。

Metaでは、スクレイピングによるMetaのサーバーからのデータ取得および取得データの活用をよりいっそう困難にするためのインフラとツールに継続的に投資しています。この取り組みには、例えばレート制限とデータ制限があります。レート制限は、時間当たりのMeta製品との通信回数に上限を設けるもので、データ制限は、Meta製品の通常利用の範囲を超えてデータを取得できないようにするものです。

不正なスクレイピングでは、Metaの内部で生成された利用者識別子やコンテンツ識別子を推測または購入するケースが多く見られるため、Metaはそうした識別子を利用して対応しています。また、データの推測、データへの接続や反復的なアクセスをより困難にして不正なデータスクレイピングを抑止するため、新たに仮名加工識別子を使用しています。

Metaは、不正なスクレイピングが疑われる行為をFacebookとInstagramで1日に数十億件ブロックしているほか、不正なスクレイパーに対する措置として、アカウントの無効化や、スクレイピングしたデータをホスティングしている企業に対する削除依頼などを行っています。

プライバシー審査

プライバシー審査は、Metaの製品、サービス、業務の新規開発およびアップデートの核を成すプロセスです。このプロセスでは、新規またはアップデート後の製品、サービス、業務におけるデータの使用方法と保護方法を評価します。プライバシーリスクを評価して軽減するために、Meta全体で1か月に平均1,200件の製品、機能、データ取り扱いを、導入前に審査しています。

このプロセスの中では、プライバシーのエキスパートからなる部門横断的なチームが、プロジェクトに関連する潜在的なプライバシーリスクを評価し、そのリスクを軽減するために導入前に変更が必要な項目がないか判断します。該当するリスクの評価や製品側でのリスク軽減策の案について意見が一致しない場合には、製品やポリシーの統括責任者、そして最終的にはCEOにエスカレーションして評価と判断を仰ぐことが義務付けられています。

プライバシー審査プロセスを通じて製品、サービス、業務の新規開発または変更を行う際には、プライバシーについて社員に期待される次のような項目が指針となります。

  1. 目的の制限: 利用者にとって有益で、明確に定められた限定的な目的のためだけにデータを処理する。
  2. 最小限のデータ: 明確に定められた目的を果たすために必要となる最小限のデータのみを収集または作成する。
  3. データの保持: 明確に定められた目的を果たすために実際に必要となる期間だけデータを保持する。
  4. サードパーティによるデータの不正使用: 許可されていないサードパーティによる不正使用、偶発的な喪失、不正アクセスからデータを保護する。
  5. 透明性と管理: 製品の動作やデータの取り扱いについて前もって明確に、包み隠さず伝える。可能かつ適切な場合は、Metaによるデータの利用方法を自分で管理できる手段を利用者に提供する。
  6. データへのアクセスと管理: Metaが収集または作成した利用者のデータに利用者自身がアクセスして管理するための手段を提供する。
  7. 公平性: 被害に遭いやすい利用者層が負うリスクを特定し、軽減するための製品を開発し、価値を提供する。
  8. 説明責任: Metaの意思決定、製品、業務全般にわたって社内プロセスと技術的なコントロールを確保する。

Metaでは、プライバシー審査プロセスを広く運用するための検証審査と一元的なプラットフォームにも資金を投じています。

  • 一元的なプラットフォーム: Metaは一元的なプラットフォームに資金を投じ、プライバシー審査ライフサイクル全体を通じて、審査、要件、プライバシーに関する決定のあらゆる側面を管理できるようにしています。この中央リポジトリにより、Metaが会社として外部に表明しているプライバシー関連の誓約の検索と管理を含め、プライバシー審査プロセスのあらゆる面を管理できるようになっています。
  • 検証審査: プライバシー審査プロセスには、プライバシー関連の要件と軽減策のほか、個々に該当する誓約事項が技術的に実装されていることを検証して文書化する、技術審査フェーズがあります。これは、プライバシー関連の軽減策と誓約事項が技術的に実装されているかどうかを分析、検証、文書化するためにMetaが設計した技術実装審査です。Metaのソフトウェア開発ツールにも統合されているこのプロセスにより、プライバシー審査で合意した内容が実装されていることを確認できるようになっています。
02.プライバシーに配慮した製品開発

Metaは、利用者のためになるプライバシー保護とコントロールを実現する製品イノベーションに、継続的に注力しています。

Komal Lahiri, VP Privacy Review

「Metaは毎日、何十億人もの利用者のプライバシーを預かっています。プライバシー審査は、その信頼に応え、責任あるイノベーションを実現するための要です。プライバシーの義務を満たし、適切に対処していることを利用者の皆さまと規制当局に示すこと、それが最大の目標です。」


—プライバシー審査担当VP、Komal Lahiri

プライバシー保護は、Metaの製品開発や継続的な製品アップデートの中核を成すものです。そのため、自分が一番安心できるプライバシー保護レベルを利用者が簡単に設定できるように、デフォルトの設定やコントロールを開発しています。また、新製品を開発する際もプライバシーを中心に考えています。

Metaは2016年に、エンドツーエンド暗号化をオンにするオプションをMessengerに導入し、2023年には、MessengerとFacebookのすべての個人的なチャットと通話でエンドツーエンド暗号化をデフォルトとすることを段階的に開始しました

これほどの年数を要したのは、適切に対処するために慎重を喫したからです。Messengerの機能を一から作り直すことができたのは、エンジニア、暗号化担当、デザイナー、ポリシーエキスパート、製品マネージャのたゆまぬ努力の結果です。Messengerでエンドツーエンド暗号化を実現するには、Messengerのプロトコルを多くの面で根本から作り直し、Messengerが人気であるゆえんの機能群はそのままに、プライバシー、セキュリティ、安全性を向上させる必要がありました。そこで、WhatsAppMessengerの秘密のスレッドでの学びを生かし、異機種間での実現、機能サポート、メッセージ履歴、ウェブサポートというきわめて難しい課題を乗り越えて同じことを実現することを目指しました。その一環でMetaは、アプリロックや配信コントロール(誰からのメッセージを受け取るか選択できる機能)など、プライバシー、安全性、コントロールに関する新しい機能をリリースしたほか、報告、ブロック、メッセージリクエストなどの既存の安全性機能にも改善を施しました。

エンドツーエンド暗号化において最も重要なことは、利用者が友達や大切な人に対して安心して自分を出せるように、利用者のコミュニケーションを守ることです。プライバシーと安全性のどちらも欠けることがないよう、Metaは、社外の専門家、学術研究者、権利擁護者、行政機関と密に協力してリスクの特定とリスク軽減策の策定に取り組みました。MessengerとInstagram DMのより安全な個人間メッセージ交換に対するMetaの取り組みについては、独立した人権影響評価を依頼し、詳細なホワイトペーパーを発行しています。

Ray-Ban Metaスマートグラスでは、自分の視点から見えるものを写真や動画に収め、音楽を聴き、通話に出ることができるほか、さまざまなスマート機能が段階的にリリースされており、これらすべてをスマートフォンを介さずに使用できます。デザインの刷新を経て、より高品質のカメラ、改良されたオーディオシステムとマイクシステム、ライブストリーミングや内蔵のMeta AIなどの新機能が搭載されたことで、瞬間瞬間を体験すると同時に記録にも残せるようになりました。

Ray-Ban Metaスマートグラスは、プライバシー保護を基本理念として開発され、責任あるイノベーションとプライバシー保護設計というMetaの約束を明確に体現した製品です。Ray-Ban Storiesの発売後まもなく各所から届いたフィードバックが、意味のある形で具体的に取り入れられています。

  • 動画撮影やライブストリーミングなど、撮影時間が長くなる場合のLEDの発光パターンを差別化することで(「点灯後に点滅」)、より気づきやすく、より目立つ撮影LEDにしました。
  • 撮影LEDを完全に覆った状態で撮影することができないように、不正な改造を検知する機能を搭載しました。撮影LEDが完全に覆われている場合はカメラを使うことができず、装着者に、障害物を取り除いてから撮影するよう伝えるしくみになっています。
  • 引き続き、Meta Viewコンパニオンアプリから、Metaとの情報共有やその他のデータ共有を管理するプライバシー設定に簡単にアクセスすることができます。

Metaは新たな生成AI機能として、AIスタンプ、AIによる画像編集、AIアシスタント「Meta AI」をMetaの各アプリに導入し、文化を代表する人物やインフルエンサーが演じる28の新しいAIキャラクターを公開しました。これらの機能のリリースでは、MetaにおけるAIモデルの開発プロセス、AI機能のしくみ、利用者側のコントロール機能とデータプライバシー権を伝えるために、生成AIプライバシーガイドとその他の透明性リソースを併せて紹介しました。

FacebookやInstagramのフィードで自分の見ている広告が表示された理由を確認することができるツール「この広告が表示される理由」が、昨年アップデートされました。大きな変更点の1つは、広告の作成・配信用の機械学習モデルが利用した可能性のあるMetaのテクノロジー内外でのアクティビティ(友達のFacebookページの投稿に「いいね!」した、スポーツのウェブサイトにアクセスしたなど)についての情報が、トピックの形で要約されて表示されるようになった点です。また、Metaの機械学習モデルがさまざまなトピックをつなぎ合わせて関連性の高い広告を表示するしくみについて、具体的な例と説明を新たに公開しました。加えて、Metaの広告コントロールを開く方法を増やし、「この広告が表示される理由」ツールのその他のページからも[広告表示の設定]にアクセスできるようにしました。

Metaは、新たにMetaコンテンツライブラリ(MCL)とMetaコンテンツライブラリAPIを開発しました。これは、利用資格を満たす研究者が、FacebookとInstagram上の公開コンテンツに、プライバシーを侵害せずに追加でアクセスすることができる研究ツールです。

これらのツールを利用することで、研究者は、Facebookのページ、グループ、イベントからのコンテンツや、Instagramのクリエイターアカウントとビジネスアカウントからのコンテンツなど、ほぼリアルタイムの公開データにアクセスすることができます。そのほか、リアクション、シェア、コメントの件数、投稿の閲覧回数(初登場)といったコンテンツの詳細情報にもアクセス可能です。コンテンツの検索、閲覧、フィルタリングは、GUIとプログラマティックAPIのどちらでも行えます。

Metaは、ミシガン大学Social Media Archive (SOMAR)イニシアチブのInter-University Consortium for Political and Social Research (ICPSR)とパートナーシップを締結し、Metaのプラットフォーム上の公開データを共有しています。制限対象データへのアクセスは厳密に管理され、権限のあるユーザーには、アクセスするにあたって厳しいデータ利用規約と機密保持規約への同意を求めています。

Metaでは、コミュニケーションの透明性を確保するため、Metaでの対策についてよりよく理解し認知してもらうための社外への情報発信や、情報を入手しやすく見つけやすくする取り組みなどを行っています。

  • プライバシーポリシーでは、Metaによる情報の取得、使用、共有、保存、および転送の方法のほか、利用者のプライバシー関連の権利とコントロールについて説明しています。
  • プライバシーセンターでは、Metaでのデータの取り扱いを詳しく理解することで、プライバシーに関して、十分な情報に基づいて自分に適した選択ができるようになっています。Metaは、プライバシーやセキュリティに関するコントロールの情報を提供し、それらにアクセスできるようにすることで、Metaを毎日利用する数十億人の利用者がプライバシーに対して抱く一般的な懸念に応えています。Metaのアプリやサービスには、何年にもわたって築かれてきたプライバシーコントロールやセキュリティコントロールがあります。プライバシーセンターのさまざまなモジュール(シェア、取得、用途、セキュリティ、青少年、生成AI、広告など)で問題や懸念を選択することで、そうしたコントロールに直接アクセスできます。
  • ニュースルームのプライバシーセクションでは、特定の機能や問題に関連するプライバシー対策について詳しい情報を提供しています。

透明性を高め、利用者によるコントロールを強化するため、Metaでは、自分が共有する情報と自分の情報の使われ方を把握できる以下のようなプライバシーツールを開発しました。

  • プライバシー設定の確認: ガイドに沿ってFacebook上の重要なプライバシー設定とセキュリティ設定を確認できるツールです。アカウントのセキュリティを強化したり、自分がシェアしたコンテンツの公開範囲や自分の情報の使われ方を管理したりするのに役立ちます。5つに分かれたそれぞれのトピックで、自分がシェアしたコンテンツの公開範囲、自分の情報の使われ方、アカウントのセキュリティ強化の方法をコントロールすることができます。
    • コンテンツのプライバシー設定: 自分のプロフィール情報(電話番号やメールアドレスなど)や投稿を見ることができる人を確認できます。
    • アカウントの安全確保: パスワードの強化や二段階認証の有効化によってアカウントのセキュリティを強化できます。
    • Facebookでのあなたの検索: Facebook上での自分の見つけ方と自分に友達リクエストを送信できる人を確認できます。
    • Facebookのデータ設定: Facebookでログインしているアプリに共有する情報を確認できます。使用をやめたアプリの削除も可能です。
    • Facebookでの広告表示の設定: Metaの製品上での広告のしくみを確認し、広告の表示にあたって広告主に使用を許可するプロフィール情報を選択し、広告と一緒に自分のソーシャルインタラクション(「いいね!」など)を見ることができる人をコントロールできます。
  • Metaのテクノロジー外のアクティビティ: アプリの使用やウェブサイトの訪問などの自分のインタラクションについて、ビジネスや組織がMetaに送信したアクティビティの概要を確認できます。自分の過去のアクティビティと自分のアカウントとの紐付けを解除することもできます。
  • アクティビティの管理: 投稿を一括管理できる機能です。フィルターでコンテンツを整理して、特定の人が含まれる投稿や特定の期間の投稿といった目的のコンテンツを見つけることができます。加えて、完全に削除するオプションも用意されており、過去の投稿をまとめてゴミ箱に移動できます。ゴミ箱に移動した投稿は、手動で削除または復元しない限り、移動の30日後に削除されます。
03.プライバシー技術への投資

Metaは、利用者にプライバシー保護のメリットをもたらす革新的な技術に投資しています。

「インフラへの投資は、Metaの一つひとつの製品にプライバシー保護を組み込むことにつながります。こうした投資によって、革新的で価値ある製品を、プライバシーに配慮しながら作り続けることが可能になります。」


—製品担当CPO (最高プライバシー責任者)、Michel Protti

Photo of two people collaborating

Metaが開発を継続しているプライバシー対応型インフラストラクチャとは、プライバシー要件を満たしながら製品開発を進めることをさらに容易にする、スケーラブルで革新的なインフラストラクチャソリューションのことです。このインフラにより、人力や手作業ばかりに頼らず自動化できる部分を増やすとともに、プライバシー保護の責任を果たしていることを確認することができています。

Metaでは、革新的なツールやテクノロジーを全社的に導入することで、取得・使用する利用者データの量を積極的に減らしています。Metaは、取得、処理、使用するデータを最小限に抑えるのに有効な、先端的な暗号化技術と統計技術に基づくテクノロジー群「プライバシー強化技術(PET)」への投資を継続しており、AI向けPETのPyTorchプロジェクトのように、広くエコシステムにおいて有用な場合にはPETをオープンソース化しています。PETへの投資は、Key Transparencyに基づいてつながりとスレッドのセキュリティを検証する、WhatsAppの新しい暗号化セキュリティ機能の実現にもつながりました。これは、自分がつながって暗号化メッセージを送信しようとしている相手(個人またはビジネス)が、第三者のなりすましである可能性を低減する機能です。しくみとしては、スレッドで使用する公開鍵の正当性を、利用者情報とともに公開鍵を保存しているサーバーサイドのディレクトリと照合することで確認し、その後、プライバシーが保護された公開の監査レコードを提供します。これにより、ディレクトリ内のデータが削除も改ざんもされていないことを誰もが確認することができます。

同様の取り組みとして、Metaは、製品を安全かつ効率よく廃止するのに役立つコード・アセット削除フレームワークをエンジニア向けに開発しました。製品の廃止は、削除対象になっていない他のMeta製品との依存関係も含めて製品内外の依存関係がからんでくる、複雑な大仕事です。この課題に対処するため、MetaのSystematic Code and Asset Removal Framework (SCARF)には、依存関係を特定し、製品の廃止に向けた正しい作業手順を示して時間短縮を実現するワークフロー管理ツールが含まれています。また、デッドコード未使用のデータ型を安全に削除するためのサブシステムもあります。

SCARFは、人間が担う数千件の製品廃止プロジェクトに加え、数百万件に及ぶコードやデータアセットの自動消去を支えるフレームワークです。プライバシーチームにおいても、進行中の製品廃止プロジェクトの状況をモニタリングし、期限内に完了したことを確認するために活用されています。

04.プライバシー保護への継続的な取り組み

Metaはプライバシーの保護に注力し、これからも改善への取り組みを続けていきます。

「プライバシーに正しく取り組むには、全社一丸となって継続的に力を注ぐ必要があり、企業としてのミッションを推進するためにMetaの全員がその責任を担っています。」—製品担当CPO (最高プライバシー責任者)、Michel Protti

利用者のデータとプライバシーの保護は、Metaのビジネス、そして将来へのビジョンの根幹にあります。Metaはその実現のために、期待の変化や技術開発に対応しつつ、今までにない課題に対しては政策決定者やデータ保護の専門家と協力して解決策を探り、その都度進捗をお知らせしながら、プライバシープログラムと製品の改良および改善を継続していきます。