Meta従業員追跡プログラムから社内データ流出
原題: Meta Exposed Data Internally From Its Controversial Employee-Tracking Program
なぜ重要か
大規模テック企業による従業員監視プログラムのセキュリティ脆弱性が露呈。プライバシー保護責任とAI訓練データ収集の緊張関係が顕在化し、企業のデータガバナンス体制が問われている。
Metaが従業員のキーストロークデータを収集するAI訓練プログラムで、約45,000個のテーブルの従業員データが社内で誰でもアクセス可能な状態に置かれていたことが判明。6月22日、内部セキュリティ通知により発覚し、同日にMetaはこのデータ収集プログラムを無期限停止すると発表した。
Metaは4月から従業員の企業用ノートパソコンを追跡する「Model Capability Initiative」というプログラムを実施していた。このプログラムはAIモデル訓練のためキーストローク、マウスクリック、コンピュータ画面表示内容などの米国従業員データを収集していた。
内部セキュリティ通知によると、約45,000個のhiveテーブルに格納されたデータが不正にアクセス可能な状態にあった。これらのテーブルには「完全なプロンプトと文字起こし、プライベート会話、人事・評価データ」が含まれていた。
Meta報道官Tracy Claytonは当初セキュリティ問題の調査中であることを確認し、記事公開時にプログラム無期限停止を発表した。「プログラムはプライバシー保護措置とともに注意深く設計され、現在のところ従業員による不正アクセスの兆候はないが、調査中のため一時停止する」とコメントした。
同プログラム開始時から多くの従業員が懸念を表明していた。今回の事態により、社内フォーラムではプライバシーレビュープロセスの失敗や、データ漏洩の可能性がある全従業員の会議参加許可について質問が相次いだ。
Metaの最高技術責任者Andrew Bosworthは従業員の質問への回答で、プログラム実装がプライバシーレビューで定められた水準に達していなかったこと、アクセス制御リスト(ACL)の設定ミスが原因であることを認めた。調査から得られた知見を従業員と共有するとした。