ニュース, Privacy

Meta、セキュリティ審査を経て、物議を醸していた従業員追跡プログラムを一時停止

ピーター・アルンツ| 2026年6月23日
メタロゴ
Googleで優先ソースとして追加する

Metaは、社内のセキュリティ調査の結果、従業員のノートパソコンから収集された極めて詳細なキー入力データやスクリーンショットデータが、意図していたよりもはるかに広範囲に社内でアクセス可能になっていたことが判明したため、物議を醸していた従業員追跡プログラムを一時停止した。

このプログラムは、Metaの「Model Capability Initiative(MCI)」の一環であり、従業員の業務用ノートパソコンからマウスの動き、クリック位置、キー入力、画面上のコンテンツを収集し、社内のAIシステムの学習に役立てていた。

このプログラムには、明らかなリスクも伴っていました。従業員の活動に関する極めて機密性の高いデータを収集することと、それを適切に保護し続けることは、別問題なのです。

内部文書や従業員の証言に基づく報道によると、データは単に収集されただけにとどまらなかった。AIのプロンプト、文字起こし、非公開の会話、業績関連情報など、数千もの内部データテーブルにわたり、誰でもアクセスできる状態で放置されていたという。

この問題の報道を受けて、Metaは、社内で反発が続き、プライバシー保護が単なるメモ上の「安心材料」に過ぎなかったのではないかという疑問が投げかけられる中、同イニシアチブを縮小し、その後一時停止した。

Metaの観点から見れば、「Model Capability Initiative」は効率化を図るための取り組みだった。その目的は、従業員がGmail、GChat、Metamate、VS Codeといった日常的なツールをどのように操作しているかを受動的に記録することで、AIモデルに「人々が実際にコンピュータをどのように使用しているかという実例」を提供することにあった。これにより、エージェントは合成ベンチマークではなく、実際のワークフローから学習できるようになる。

従業員には、データ収集は業務用アプリに限定され、個人のスマートフォンには及ばないことが約束されていました。しかし、それがどのように受け止められたかは想像に難くないでしょう:

  • MetaのCTOが社内で認めたところによると、キーストロークやマウスの動きを追跡するソフトウェアが米国の従業員のノートパソコンに導入され、社用端末ではこのソフトウェアの利用を拒否する選択肢は設けられていなかった。
  • このソフトウェアは、入力内容とそれに関連する画面上の情報を記録し、行動データセットを作成しました。具体的には、ユーザーが何をタイプしたか、どこをクリックしたか、その操作中に画面に何が表示されていたかといった情報です。

このプログラムは社内で大きな批判を招いた。「ノートパソコンの監視」や画面のモニタリングに抗議するあるエンジニアの社内投稿がMeta内で拡散し、プログラムの完全廃止を求める請願運動が巻き起こった。

コンプライアンスの観点から見ると、この規模の従業員監視プログラムは、特に職場での監視やデータ収集に関する透明性が求められる法域において、法的な問題や規制上の課題を引き起こす可能性があります。

評判への影響は、おそらくそれ以上に深刻だ。企業がユーザーの追跡について常に厳しい監視の目にさらされている状況下で、従業員との信頼関係を損なうことは、データに対する同社の基本的な姿勢について強いメッセージを送ることになる。

その一方で、キーストロークやスクリーンショットのデータは、その性質上、リスクが高いものであることは周知の事実です。こうしたデータは情報量が豊富で、行動パターンを反映しており、多くの場合、機密情報が含まれています。これを大規模に収集することは、セキュリティ上の負担となります。新しいデータポイントが追加されるたびに、アクセス制御、データ最小化、保存期間、監査に関する義務が生じ、組織はデータが存在する限り、これらを積極的に管理しなければなりません。

  • アクセス制御は正確でなければならず、定期的に監査を行う必要があります。なぜなら、わずかな設定ミスが重大な結果を招く可能性があるからです。
  • データの最小化と保存期間の制限は不可欠です。なぜなら、長期保存は、万が一のデータ漏洩が発生した場合の影響を倍増させるからです。
  • 今後、社内外を問わずデータ漏洩が発生した場合、電子メールだけでなく、認証フローや下書きの内容を含め、従業員が入力した正確な文字列までが流出する恐れがあります。こうした情報が悪用されれば、企業はセキュリティ上の脅威にさらされる可能性があります。

今回のエピソードは、新しいデータセットが作成されるたびに新たな責任が生じることを改めて思い起こさせてくれます。情報が詳細で機密性が高いほど、アクセス制御が機能しなくなった場合の深刻な影響も大きくなります。

詐欺師はあなたの端末をハッキングする必要はありません。あなたが一度クリックするだけでいいのです。 

Malwarebytes Identity Theft 、不審な動きが問題となる前に検知します。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

バグ
D-Linkネットワーク

AryStingerボットネットの支配下にある数千台のD-Link製ルーター

6月22, 2026

何千台もの旧式のD-Link製ルーターがAryStingerボットネットに組み込まれており、これらを保護するための今後のセキュリティアップデートは提供されない見込みです。

詐欺
ボイスメールに関する注意

文献送付詐欺:その実態と目的とは?

6月22, 2026

一見公式のものに見える留守電メッセージが、実は詐欺だったことが判明しました。書類配送詐欺の手口や、そのような連絡を受けた場合の対処法についてご紹介します。

ニュース
安全保障週間

セキュリティの1週間(6月15~6月21)

6月22, 2026

2026年6月15日から6月21日までの1週間に取り上げたトピックの一覧

Googleで優先ソースとして追加する

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺