高木浩光＠自宅の日記

■ 今週のグーグル私有地進入事例 東芝家族アパート、JR西日本大谷町アパート

東芝天神町家族アパートの事例

東芝のロゴが見える。誰が見ても公道ではない。グーグルはここから入って中を一周しながら住宅を至近距離から撮影している。

JR西日本大谷町アパートの事例

■ 今週のグーグル交通規制無視事例(3)

今週も、ブログ「気になる現場」がグーグルの交通規制無視事例を次々と列挙していた。

• 神田神保町一丁目の現場, 気になる現場, 2008年11月1日
• 内神田三丁目の現場, 気になる現場, 2008年11月1日
• 神田淡路町一丁目の現場, 気になる現場, 2008年11月1日
• 新宿二丁目の現場, 気になる現場, 2008年10月26日
• 西早稲田一丁目、都電停留所の近く, 気になる現場, 2008年10月26日
• 下落合二丁目の現場, 気になる現場, 2008年10月26日
• 富久町の現場, 気になる現場, 2008年10月26日
• 愛住町の現場, 気になる現場, 2008年10月26日
• 矢来町の現場、新潮社の裏辺り, 気になる現場, 2008年10月26日
• 神楽坂から程近い矢来町の現場, 気になる現場, 2008年10月26日
• 神楽坂六丁目の現場再び, 気になる現場, 2008年10月26日
• 新宿区にもあった、広大な現場, 気になる現場, 2008年10月26日
• 西早稲田三丁目の現場, 気になる現場, 2008年10月26日

ところで、今週から、Googleマップでルート検索ができるようになり、ストリートビュー付きで印刷できるようになった。これを活用してグーグルの交通規制無視現場の資料を作成できる。

• 西早稲田一丁目の居住者用以外の車両通行止め区域を通るルート案内の例

■ ストリートビュー採用の不動産屋に塀の中が見える件について訊いた

このところ新聞各紙やNHKでストリートビューの実態を周知する報道が相次いでいる。この段階では両論併記の形となるわけだが、ストリートビューが何のために使われるのかについては、たいてい不動産屋の活用例が出てくる。不動産屋の活用とは、売り出し中の物件とその周辺環境をストリートビューで見られるようにするというものだ。

具体的にはたとえば次のサイトがある。

• 札幌市北区新川（略） | ４LDK | （略）万円｜札幌及び札幌近郊の中古・新築住宅物件情報, ファインドホーム株式会社

このサイトは、利用者に対し、ストリートビューがどういうものなのかについて「通りに立った目の高さで移動しながら周辺の景色を見ることができます」と説明している（図1）。

図1: 不動産屋によるストリートビューとは何かについての説明

そこで、次のように質問してみた。

この物件の塀の低さについてお尋ねします。

画面のストリートビューを拝見すると、塀の中が見えてしまっているようです。ストリートビューを南西に1ステップ進めて正面から物件を表示させてみますと、やはり塀の中が見えてしまうようです。

この物件の塀はこれほどまでに低いものなのでしょうか？

その下に書かれている「Googleストリートビューの使い方」によれば、「通りに立った目の高さで移動しながら周辺の景色を見ることができます」とのことですから、やはり目の高さから塀の中が見えてしまうのでしょうか。

図2: 物件を正面からストリートビューで表示させた様子

すると次の回答がきた。

高木 浩光　様

物件No：k023（略）

塀の高さは一般的な高さですよ。ストリートビューは車の屋根に広角レンズのカメラを付けて撮影しているので、低く見えるのではないでしょうか？

しかし塀の高さは一般的ではあるものの高い訳ではありませんので、外から見られるような状況はあるとは思います。完全なる目隠しの塀ではありません。（以下略）

そこで再び次のように質問した。

ご回答ありがとうございます。

広角レンズだからといって塀の上で光が曲がるわけではないでしょうから、塀が低いのか、そうでないなら、高いところから見ているのではないでしょうか。

そちらのサイトに書かれている「通りに立った目の高さで移動しながら周辺の景色を見ることができます」という説明は間違っているのではありませんか？

そうしたところ、

高木　様へ

ファインドホームと申します。お世話になります。

弊社のホームページ上で不適切な表現がありました事を深くお詫び申し上げます。

という返事だった。

とりあえず、「通りに立った目の高さで周辺の景色を見ることができます」という嘘はやめたほうがよいのではないか。売り出し中の物件（人の住んでいない）ならまだしも、「移動しながら周辺の景色を見る」ということでご近所を見て廻ったときに、現住建造物についても塀の上から見えてしまうというのは不動産屋としてどうなのか。

図3: 「移動しながら周辺の景色を見る」でご近所を徘徊した例

なお、不動産屋にまで「通りに立った目の高さで」という嘘が広がっているのは、グーグル株式会社がそのような虚偽の説明をしてきたからだろう。不動産屋に悪意があるわけではないと思いたい。

図4: 未だ訂正されないグーグル社の虚偽説明

関連:

• グーグル株式会社の3つの虚偽（まとめ）2008年8月31日の日記

■ 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥

Googleマップの「マイマップ」機能で、秘密にしなければならない情報を利用者が誤って登録していた事故が立て続けに発覚しており、各地でマップ作成者の割り出しと作成者による削除の作業が行われているところと思われるが、Googleのシステムには不具合（バグ、欠陥）があり、削除不能に陥ってしまう場合が少なくない頻度で発生していることがわかった。削除作業を行う場合には注意が必要である。

背景

Googleマップは図1の構成になっている。図1は、「test_test」という文字列を含む地図を検索したときの様子で、検索結果の「A」をクリックしたときに、地図中の対応する位置に、当該登録地点の情報が「吹き出し」として表示されている様子を示している。登録地点にはテキストを書き込むことができるようになっており、ここでは「秘密の情報」と書かれている場合を示している。ここで「test_test」は、作成者が付けたマップの名前である。

図1: Googleマップで検索を行った様子

ここで、左側の検索結果リストから緑色で表示された「test_test」の部分をクリックすると、図2の画面となる。図2は、この「test_test」という名前のマップに登録された地点の一覧である。「目印1」をクリックしたときに、その地点の内容が地図上で「吹き出し」で表示されている様子を示している。

図2: Googleマップで指定のマップを表示した様子

問題点

ここで、このマップの作成者が、ログイン中のマップ管理画面で「test_test」の削除を実行したとする。本来ならば、図2に一覧表示されている「目印1」〜「目印31」の地点の全部が削除されるはずである。つまり、図3のように、この領域で「test_test」で検索しても「このエリアでtest_testに一致する情報は見つかりませんでした」となるはずである。

図3: 正常に削除できた後の検索結果の様子

ところが、マップごと削除したはずなのに一部の登録地点が残存し、残骸となってしまう現象が、少なくない頻度で発生しているようだ。

図4: マップごと削除したのに一部が残存している様子*1

ここで、「test_test」の部分をクリックしてマップを表示しようとしても、そのマップ自体は消えているため、存在しないマップとして図5の表示となる。

図5: 残骸の地点から「test_test」をクリックしたときの様子*2
（存在しないマップを表示しようとしたときの画面）

登録地点はマップからしか編集できないのにマップ自体は消去済みとなっているため、この登録地点は宙ぶらりんとなっており、削除したり書き換えたりすることができない。こうなると、「秘密の情報」の部分などを消すことができなくなってしまう。

対策

このような事態の発生に備えて、マップを削除する前に、そのマップに登録した地点の情報を編集して「秘密の情報」などの部分を書き換え、意味のない文字列に変更しておくことが対策となるかもしれない。（必ずその変更が反映されるかどうかは確認できていない。）

つまり、図6のように、ログインしてマップに登録の各地点の内容を編集し、テキスト部分を削除したり意味のない文字列に変更し、また、地点のタイトル自体が秘密にすべき情報である場合には、ここも書き換えて意味のない文字列に変更する。さらに、マップの名前自体に問題がある場合には、マップの名前も意味のない文字列に変更しておく。

図6: 登録地点の情報を削除する様子

すべての地点を変更したら、変更が反映されているか確認するために、別のブラウザでこのマップを表示してみるとよいだろう。

変更の反映が確認できたら、念のためそれぞれの地点をひとつひとつ削除（図6の編集画面の吹き出し部分の左下の「削除」のリンクをクリック）した上で、最後にマップ全体を削除する。

もしマップの削除で残骸が生じたとしても、このようにしておくことで、単に場所が指されているだけで、その意味はわからない状態とすることができ、被害を小さくできると考えられる。

グーグル社の対応

この残骸が生ずる現象のことを指していると思われる記述が、6日の朝日新聞朝刊に記載されていた。

• グーグルマップ「非公開」でも注意 地図 検索すれば表示も, 朝日新聞2008年11月6日朝刊

  同社によると、ほかにも、利用者が情報を削除した場合も、ネットの検索結果から消えるまで時間がかかり、公開状態になることがあるという。不適切な情報が公開されていた場合、利用者に削除申請などを勧めている。

グーグル株式会社は、「消えるまで時間がかかり」などとさも当然の現象であるかのように言っているが、口から出任せだ。Webの検索とは話が違う。

たしかに、Webの検索においては、元のWebサイトで内容を書き換えても、Googleの検索結果に反映されるまでには時間がかかるのが普通である。なぜそうなるかと言えば、世界中のWebサイトを徘徊しているGooglebot（Webクローラ）が当該Webページに再来するまで変更内容は反映されないのであり、それは技術的にやむを得ないこととして了解されている。

それに対し、Googleマップのマイマップは、Googleのサーバで管理しているデータなのだから、即座に消去可能であって、そうするのが当然である。仮に何らかの技術的理由（効率化のためなど）で、検索への反映が遅れる実装であるなら、マップ全体が一括して削除が遅れるはずではないか。また、作成時には作業内容が一瞬で反映されるのに、削除の処理だけ遅れるというのも解せない。

実際、現時点で残存している残骸の事例を見てみると、マップ自体はもう30時間以上前に削除されたものであり、技術的都合で遅れているというレベルではない。グーグル株式会社の「消えるまで時間がかかり」という説明は出鱈目であり、この現象はシステムの不具合、バグ、欠陥によって生じているものであろう。

また、朝日新聞の記事で、グーグル株式会社は「削除申請などを勧めている」とされているが、私が、5日の18:30に削除申請した個人情報の含まれた残骸地点は、29時間以上が経過した現在も、ひとつも消えていない。これだけ問題が大きくなっているこの時に、なぜこの程度の作業が迅速にできないのか。

削除要請フォームはあてにならないようなので、電話で要求するしかないと思われる。

グーグル株式会社
TEL: 03-6415-5200
FAX: 03-6415-5201

追記（7日）

5日の18:30に削除申請した個人情報の含まれた残骸地点は、51時間が経過した現在も消えていない。

■ 残骸ではなく復活している模様（7日追記）

上では残骸が生じていると書いたが、一旦全部の地点が消えた（検索でヒットしない）のが確認された後に再び検索にヒットする状態になったというケースが多数発生しているようだ。

私は、4日から6日にかけて（時間の許す限り自宅から個人的に）、秘密にするべき情報が公開状態となっているマップについて、作成者の勤務先と思われるところに電話で連絡して、事実を伝える作業を行っていた。6日の夜には、あるキーワードのものについて、連絡した事案はほぼ消えた状態となっていたのを確認していた。ところが、7日の朝に再び検索してみると、何か所もの地域で、一部が残骸として残っていたり、全部が残っているものがヒットするようになり、これは残骸ではなく、消えたものが復活しているのだと認識した。

復活しているといっても、マップ自体は消えているため、復活した登録地点は宙ぶらりんであり、作成者による削除操作は不可能になっている。

復活してしまっている地域の何か所かについて、再び電話連絡をして事実を伝える作業を始めたところ、「昨日は完全に消えていたのに」という現場の証言も得られた。また、前日までに連絡していたところからこちらに電話があり、「復活しているようなんです。どうしたらいいのでしょうか」と問い合わせを頂いた事例も複数ある。

いったいGoogleはどうなっているのか。もう私の手には負えない。どうしようもない。最悪だ。

■ Googleマイマップで「限定公開」「非公開」設定にしても検索にヒットするシステム障害

Googleマップの「マイマップ」機能で、秘密にすべき情報を誤って登録してしまう事故が多発し、報道が続いているところであるが、ほとんどの報道で、「非公開設定にしていなかったのが原因」とされており、あたかも非公開設定に設定変更すれば大丈夫であるかのような印象を与えている。

• 生徒の情報、ネットで閲覧状態に　「グーグルマップ」, 共同通信, 2008年11月7日

  「限定公開」ではなく初期設定の「一般公開」にしていたのが原因とみられる。（略）名古屋市教委も（略）、非公開の設定をしないままにしていたことを確認。

グーグル株式会社自身も、4日にGoogleマップのトップに掲載した「マイマップの公開設定をご確認ください」で次のように推奨している。

• マイマップの公開設定をご確認ください, Google Japan Blog, 2008年11月4日

  これまで、公開設定については、「公開」「非公開」と設定していましたが、ユーザーの皆さまから「非公開」だとわかりづらいというご指摘をいただき、「限定公開」と文言を変更しました。

  すでにマイマップをご利用のユーザーの皆さまは、いま一度、ご自身の公開設定状況をご確認いただき、もし公開したくない情報を誤って公開している場合は、限定公開とするか、情報ごと削除されることをお勧めします。

しかし、私が3日から9日かけて経験したところでは、「非公開」設定や「限定公開」設定*1になっているマイマップが、普通にGoogleマップで検索するだけで検索結果に出てくる事例がある。

図1: 「非公開」設定のマイマップがGoogleマップの検索でヒットした事例 その1

このマップは現在は消えているが、11月3日の時点で図1のように「非公開」設定であるにもかかわらず普通に検索しただけで検索結果に現れていた。

肝心な部分が色が薄くされていて読み難いので、色の濃さを変更したものを図2に示す。

図2: 「非公開」設定のマイマップがGoogleマップの検索でヒットした事例 その1

「10月23日更新」とある。Googleのマイマップは、一般公開/限定公開（公開/非公開）の設定を変更しただけでもこの「更新」時刻が変更されるので、10日以上経っても検索できるままになっていたことを意味する。

同様の事例を他にも2件目撃した。

また、Googleが提供する機能であるところの、最近更新されたマイマップをスライドショー的に表示する「Recent My Maps」を使用していたところ、「非公開」設定のマイマップもそこに現れる状態だった。

図3: 「Recent My Maps」に「非公開」設定のマイマップが現れた様子
（読み難い部分の色を補正）

こうした状況は現在も続いており*2、今、適当なキーワードで検索してみても、そこそこの確率で「限定公開」設定のマイマップが検索結果に現れる。

図4: 11月9日の時点で検索結果に「限定公開」のマイマップが現れた様子
（読み難い部分の色を補正）

図4の事例では、検索結果画面の矢印で示した2つの検索結果が「限定公開」設定のものであった。

グーグル社は「検索結果からの情報の削除には、多少の時間がかかりますので」などと言っているが、こんなバカな仕様があるか。これは不具合であり、システム障害だ。

前回の日記にも書いたように、マイマップを削除した場合でも、一旦検索結果から消えた後に数日後に復活してしまうという障害がたくさんの人によって確認されており、「非公開」「限定公開」設定に変更して検索結果に現れないのを確認したとしても、数日後にはどうなっているかわからない状況だ。

今回の騒動で、「非公開」「限定公開」設定に変更して急場をしのいだ心当たりのある方は、今一度確認されたほうがよい。

ただ、削除してしまうと、前回の日記にも書いたように、宙ぶらりんになって復活し、どうしようもなくなる恐れがあるので、削除するよりもマイマップの内容をダミーデータに変更した方がよいと思われる。ただし、ダミーデータに変更しても、数日後に元に戻ってしまう現象が起きないとも限らないので（今のところ私は目撃していないが）、しばらくは監視する必要があるかもしれない。

こうした不具合は、1年以上前から存在していたようで、Google公式のヘルプ掲示板で次の記録が公開されていたことがわかった。ここだけでも10件の苦情があがっている。

• ベータ版時に登録した枚マップが削除できません, Googleヘルプグループ

  kimi_san, 2007年7月26日, 午前5:35
  件名: ベータ版時に登録した枚マップが削除できません

  個人情報を含む枚マップが公開されおり、削除したいのですが、マイマップのリストからは消えたものの、地図上から消えてくれません。大変困っています。

  おそらく登録したのがベータ版の時だったので、今のシステムでは削除できないのではないかという推測でいます。

  返答おねがいします。

  ---

  Google マップガイド Google の従業員, 2007年7月30日, 午後5:08
  件名: Re: ベータ版時に登録した枚マップが削除できません

  kimi_san

  問題のマイマップのURL と登録の際に使用したアドレスが必要なので、 kimi_san に個人的にメールを送ります。そのメールに返信してください。よろしくお願いいたします。

• リスト削除しても消えません。, Googleヘルプグループ

  ニコ, 2007年11月3日, 午前11:04
  件名: リスト削除しても消えません。

  マイマップで個人情報を含むものを作成していて
  非公開にしたのですが非公開にならなかったので
  マイマップのリストから全て削除したのですが
  削除した後もデータが消えていません。
  どのようにしたら 削除できますでしょうか？
  ご返答宜しくお願いします。

  ---

  peco, 2007年11月5日, 午後10:30
  件名: Re: リスト削除しても消えません。

  僕もまったく同じ状況ですので、便乗させていただきます。
  どなたか回答お願いいたします。

  ---

  Google マップガイド Google の従業員, 2007年11月6日, 午前12:57
  件名: Re: リスト削除しても消えません。

  こちらで確認をするため、お二人にメールを送ります。そちらを確認してください。

  ---

  ベガ, 2007年11月7日, 午後7:18
  件名: Re: リスト削除しても消えません。

  わたしも同じ状況です。
  

  できるだけ早くデータを消したいのですが・・。
  ご返答よろしくお願いいたします。

  ---

  keru, 2007年11月10日, 午前4:56
  件名: Re: リスト削除しても消えません。

  私も同様です。
  返答お待ちしています。

  ---

  Google マップガイド Google の従業員, 2007年11月12日, 午後6:46
  件名: Re: リスト削除しても消えません。

  お二人にはメールを送りました。

  ---

  a7531821, 2007年12月5日, 午前5:37
  件名: Re: リスト削除しても消えません。

  私も同様です。 ご助力おねがいできないでしょうか。

  ---

  Google マップ ガイド Google の従業員, 2007年12月6日, 午後5:49
  件名: Re: リスト削除しても消えません。

  メールを送るので確認してください。

• マイマップの削除, Googleヘルプグループ

  matsuR32, 6月5日, 午前7:17 件名: マイマップの削除

  個人情報を含むマイマップが公開されおり、
  削除したいのですが、マイマップのリストは削除できたものの、
  地図上から消えてくれません。
  大変困っています。個人情報故、大至急削除しなければなりません。

  なお、筋違いとは存じますが、ヘルプメールにて相談申しあげました。
  メールタイトル「RE: [#290599045] マイマップの削除をお願いします」の返信が届いています。

  大至急、ご回答の程、お願い申し上げます。

  ---

  matsuR32, 6月5日, 午後8:32
  件名: Re: マイマップの削除

  ご担当者様へ
  勝手を言って申し訳ありません。本当に困っています。
  大至急、対応してください。
  自分のアカウント含めてすべてを削除してもらって構いません。
  即刻対応を求めます。

  ---

  Roshi, 6月12日, 午前4:10
  件名: Re: マイマップの削除

  先ず、私は担当者ではありません。期待させてすみません。

  質問ですが、本件は解決済みなのでしょうか？
  もし解決されていましたら、どのように依頼されたか、教えて頂けないでしょうか？
  

  実は私も知り合いが個人登録したマイマップに中傷内容があり、早急に削除の依頼をグーグルにお願いしているのですが、一向に対応してもらえていません。

  グーグルのいろいろな部署へ電話をしても電話対応者はおらず、「WEBサイトを見ろ」だけで終わりです。
  サイトをみても、中傷削除依頼の項目がありません。
  メールをしても一切返答が無く、私も本当に困っています。

  ---

  Google マップガイド Google の従業員, 6月13日, 午前11:23
  件名: Re: マイマップの削除

  マイマップのポリシー違反については次のコンタクトフォームからご連絡ください。

  http://maps.google.com/support/bin/request.py

  ---

  takeshi, 7月7日, 午後10:00
  件名: Re: マイマップの削除

  はじめまして、浦崎といいますが似たようなケースのトラブルで
  私も大変困っておりますＲｏｓｈｉさんのトラブルは解決したのでしょうか？

  何かアドバイス有りませんか？

  ---

  takeshi , 7月7日, 午後11:22
  件名: マイマップの削除

  個人情報を含むマイマップが公開されており、
  削除したいのですが、マイマップのリストは削除できましたが
  地図上から消えてくれません。
  非常に困っています。個人情報故、大至急削除したいのですが
  どなたか教えていただけないでしょうか？

  先日よりヘルプメールもしておりますが一切返答がありません

  Ｇｏｏｇｌｅマップガイドさんも是非　返信宜しくお願い致します。

• マイマップ削除後の表示について, Googleヘルプグループ

  コム, 6月6日, 午前1:15
  件名: マイマップ削除後の表示について

  マイマップを削除しましたが検索結果に削除したデータが表示されます。
  個人情報が含まれますので、至急データの削除を依頼したいのですがどうすればよいのでしょうか。アカウントも削除しており対処方法がわかりません。どなたか教えてください。

• 削除しても消えません。, Googleヘルプグループ

  XYZ, 7月7日, 午前9:34
  件名: 削除しても消えません。

  マイマップで個人情報を含むものを作成していて
  マイマップのリストから全て削除したのですが
  削除した後もデータが消えていません。
  googleマップ上の検索をすると
  削除したデータが表示されます。
  どのようにしたら 削除できますでしょうか？
  自分が登録したデータをすべて削除したいです。
  ご返答宜しくお願いします。

  ---

  Yay, 7月7日, 午後9:59
  件名: Re: 削除しても消えません。

  http://groups.google.com/group/Google-Maps-JP-How-Do-I/browse_thread/...

グーグル社はこの欠陥の存在を認識しながら放置してきたのではないか。

■ 業務用途でGoogleマイマップを使ってはいけない

仮に上記のシステム障害が今後解消したとしても、Googleマイマップに秘密情報を書き込んではいけない。

「非公開」「限定公開」の仕様についてGoogleは「ヘルプ」で以下のように説明している。

公開マップと非公開マップ

地図は公開にも非公開にもできます。

公開マップはインターネットに公開された地図で、誰でも見ることができます。また今後、公開マップは Google マップおよび Google Earth の検索対象に含まれるようになります。

非公開マップとは、選択した一部の人とだけ共有する地図のことです。非公開マップは検索結果に含まれないので、このマップへのアクセスは非公開の電話番号のようになります。つまり、非公開マップを検索できるディレクトリサービスや検索サイトはなく、地図固有の URL をあらかじめ知っている人だけがアクセスできます。

この設定はいつでも変更できます。ただし、すべての地図には公開用 URL があることに注意してください。原則として、誰にも見られたくない地図はここで作成しないことをお勧めします。

Google Maps 地図の作成方法, Google

これではたして一般の人たちに意味が通じるだろうか。「誰にも見られたくない地図はここで作成しないことをお勧めします」と言っているが、これは誤解を招く。社内で共有する目的なら、論理的には「誰にも見られたくない」には該当しないので、使ってもよいことを意味してしまう。

そうではなく、「関係者以外に絶対に見られては困る地図は」と説明すべきだろう。

実際、MSN Liveサーチなどで「○○ site:maps.google.co.jp」で検索すれば、「限定公開」設定のマイマップがたくさんヒットする。

「MSN Liveサーチが対策していない」とかそういう問題でもない。たとえば、「Googleマイマップは何が問題か（tokix.net）」の中で指摘されているように、サイボウズラボの「Pathtraq（パストラック）」のツールバーを導入している場合、見たことのあるWebページのURLはパストラックのWebサイトに掲載されてしまう。自分がPathtraqのツールバーを導入していなくても、限定公開先の相手がPathtraqの導入者だったら、自分の限定公開マップが表にさらされてしまう。「はてなブックマーク - http://192.168.」のように、相手がソーシャルブックマークに登録してしまう可能性だってある。

そういう仕様なのだ。

だから、マスコミは「非公開設定にするのを怠ったのが原因」といった報道をしてはいけない。これは「初期設定がどちらか」という問題ですらない。「Googleマイマップを使ったのが原因」と報道するべきものだ。

• 情報公開されてますけど? - Googleマイマップ問題でグーグルが呼びかけ, マイコミジャーナル, 2008年11月7日

  今回のGoogleマイマップにおける個人情報流出問題を受け、個人情報を入力・検索可能なネットサービスにおいて、公開範囲のデフォルト設定(初期設定)をどうするかという議論が、再びクローズアップされてきたと言える。

今回の問題は、Amazonの「ほしい物リスト」問題とは異なる。Amazonでは本当に非公開にすることができた。Amazonではアクセス制御がされているのだ。Googleはアクセス制御をしていない。

問題はどこにあるのかというと、Googleが様々な種類のサービスを提供し始めたことで、どのサービスが公開前提で、どのサービスはそうでもないのか、その区別がわかりにくくなっていることだろう。Googleは「わかっている人」が使うのを前提にユーザーインターフェイスが作られており、一般人向けにデザインされていない。

昔はそれでも許された。しかし、今年の夏から積極的に一般向けに「Googleで、できること」の広告を打ち始めたグーグル株式会社にとって、それで済まされることなのか。

今回の報道等で明らかになったように、相当な数の人たちがこのサービスの趣旨を勘違いして、秘密にすべき情報をGoogleマップに書き込んでしまっていた。何が原因でそれほどまでに誤解させているのか。

このビデオは、冒頭で「Googleマップを自由にカスタマイズできる。それがGoogleマイマップ。早速、自分だけのオリジナルマップを作ってみましょう。」と説明している。「自分だけの」とは日本語でどういう意味になるのか？

私は、先週、学校の先生が誤って作成したとみられる30件ほどの事例について、学校に電話して状況を伝え削除を促すとともに、誤って作ってしまった先生へのインタビューを試みた。関係の皆様のご協力もあり、二人の先生から生の声を聞くことができた。

一人目の先生からは次のような証言を得た。

登録したものが誰でも見られるなどということはあり得ないという思い込みがあった。「詳細」をクリックしたら英文が出てきて読まずに使ったのは記憶にある。雑誌や記事等でGoogleマップのことを知ったのではなく、Googleを元々知っていて「マイマップ」を見かけて「使ってみよう」という思いで使った。

二人目の先生からは次のような証言を得た。

家庭訪問のために訪問先を住所で確認するのにWebの地図サービスを使ったが、1つ1つバラバラで表示するのではなく、まとめて1つに表示したかったところ、Googleマップのマイマップがそれに使えた。場所にマークを付けて印刷するのが目的だった。印刷してウィンドウを閉じたとき、それで消えるものだと思った（つまり、保存する機能だとは思わなかった）。公開/非公開の設定が下にあるのには気付かなかった。

（Q. Googleマップのことはどこで知ったか？）とくに何かを見て使ったわけではない。IDも持っていたわけではない。必要があってマイマップを使おうとしたらIDが必要と出たのでその場でIDを作って使用しただけ。それ以外にも使っておらず、パスワードも忘れていた。

なるほどと思った。印刷が目的となっていて、1回使ったらそれで終わりなのだ。だから、学校の先生が作った地図はどれもこれも、作成日と更新日が違わず、放置されていたわけだ。

たしかに、Googleマイマップのインターフェイスは、「保存」「完了」というボタンは存在するものの、それによって何が起きるのかは予見し難い。我々Webアプリケーション技術者なら、裏でAjaxが働いてどんなことが起きているかに想像が及ぶが、一般の人には無理ではないか。

パソコン上にローカルにインストールしたソフトと同様に考えて、ウィンドウを閉じたら消えると予見する感覚、あるいは、Ajaxを使わない通常のWebサイトと同様に考えて、ページが切り替わらなければ送信されていないと予見する感覚というのもわからなくもない。

今後Webアプリケーションがますます非同期型となり、ローカルとシームレスなインターフェイスとして進化し続けていけば、利用者にとって、やってよいこととやっていけないことの区別はますます難しくなっていくだろう。

印刷用途の場合に、「作って印刷してすぐ消す」という使い方ならオーケーかというと、そうでもない。Googleマイマップは、「保存」「完了」ボタンを押さないと印刷に反映されないので、一旦公開状態にせざるを得ない。確率的に低いけれども、削除するまでの何十秒間かは公開状態になるわけで、その間に何者かにアクセスされる可能性はゼロではない*3のだから、業務データでそういうことをやってはいけない。

業務用としてGoogle Appsを導入した会社の社員は、Googleマップもその一部だと勘違いすることだってあるかもしれない。それをどうやって防げばいいのか。

■ 本当はもっと怖いGoogleマイマップ

適当に検索して見つけたブログで（既に消えているようだが）こんな発言があったようだ。

Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ...

Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日

しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか（パブリッシュされるのか）、そのタイミングを理解している人はどれだけいるだろうか。

Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。

図1: 「新しい地図を作成」をクリックした直後

カーソルがタイトル入力欄にあり、まずタイトルを決めよと迫られている。そんなことを言われても、まだ中身を作っていないのによい名前など浮かばない。とりあえず適当なことを書いておくとしよう。

図2: 仮のタイトルを書き込んだ様子

ところで、ここで、「完了」と「保存済み」というボタンがあることを確認しておこう。「保存済み」ボタンはまだ押せない状態（inactive状態）になっている（図2）。まだマップを作っていないからだろう。

ここでタブキーを押して「説明」入力欄にカーソルを移動。さて、何を書こうか……。

図3: 「説明」入力欄に移動した直後の様子

ここでよく見てみると、押せない「保存済み」ボタンが「保存」という押せるボタンに変わっている（図3）。タイトルを入力したので押せるようになったのだろう。まだ押していないのだから、保存はされていないわけだ。

「説明」の入力は後にして、とりあえず地図に何か書き込もう。一般公開とするかも後で決めることにしよう。

図4: とりあえず目印を一つ置いた直後

さて、目印のタイトルを何にしようかな……。うーんと……、うーん。

図5: 目印を置いて数十秒経過後

あれれ？ いつの間にかボタンが「保存済み」になってる。押してないのに……。げっ、ま、まさか……。

別のブラウザで検索してみると……。

図6: 既に公開されていることを確かめた様子

ぎゃー、もう公開されてる!!

なんと、自動保存されるようになっているのだ。図5で「OK」すら押していない段階で、もう登録されて公開されている。

しかも、図5のところで、目印のタイトル欄を書き換えて「OK」ボタンを押さずに数十秒待つと、自動保存が働いて「保存」ボタンが「保存済み」になる（図7）。

図7: 目印のタイトル欄を書き換えて「OK」を押していない状態

ここで検索してみると、しっかりと反映されている。

図8: 「OK」を押す前から書きかけのタイトルが検索結果に反映される

ありえん!!!! なんじゃそら。

さらに言うと、実は図3の状態でも、うだうだしている間に自動保存されてしまう。この段階では地点の登録が1件もないため、検索にはヒットしないものの、作成者のマイマップ一覧には登録され、「タイトル」と「説明」が閲覧される状態になる。

図9: 「タイトル」と「説明」欄に記入しただけでマップリストに表示される

つまり、Googleマイマップの編集中に暇を持て余してヘタなことでも書こうものなら、容赦なく自動公開されてしまうのだ。

普通にマップを作っているときも、作成過程がそのまま実況中継のごとく公開され続ける。そんなこと誰が予見できようか？

たまたま Ctrl-V （Command-V）でクリップボード内の文字列をペーストしたら、前にコピーしていた機密情報がペーストされてしまい、慌てて消すなんてことがよくあるが、そのタイミングで自動保存されると、それが他人から閲覧可能になってしまう。

たったそれだけの操作ミスで情報流出が起き得る。Googleマイマップはそういうサービスだ。

そうすると、「新しい地図を作成」をクリックしたらまず真っ先にやらないといけないのは、「限定公開」設定に変更することだ。「タイトル」や「説明」を入力するより前に「限定公開」設定に変更しないと、ボヤボヤしているうちに「タイトル」や「説明」がマップリストに出てしまう。

このことをグーグル社はちゃんと説明しているだろうか。ここで前回の日記にも貼付けた、グーグルの説明ビデオを確認してみる。

おいおい、「タイトル」と「説明」を入力した後に「一般公開」か「限定公開」か決めるように説明しているじゃないか。それじゃ手遅れなんだよ。グーグル社さえ動作を理解してない。

いくらご自慢のAjaxだつっても、こんなアホな設計はありえないだろ常識的に。

Ajaxなんて、インターフェイス的にはべつに何も新しくない。1995年にJavaアプレットが登場したときにだって、Webの画面内で自由にコンテンツを作るアプレットは様々なものが沢山作られた。図を描いて保存して公開するアプレットもあった。JavaアプレットではURLConnectionを使ってサーバとの非同期通信を実現していた。AjaxはそれをJavaScriptとXMLHttpRequestでやり直したにすぎない。Javaアプレットは様々な原因があって広くは普及しなかったところ、JavaScriptベースのAjaxは様々な技術的理由で成功した。しかしその違いは所詮実装手段の違いでしかなく、新しいことが可能になったわけじゃない。Ajaxだからといってこんなインターフェイスにするのがcoolだなんてことにはならない。「保存」や「OK」ボタンの押下で一時保存し、「公開」ボタンの押下でパブリッシュするというのが伝統的な自然なインターフェイスだ。

知ったかぶって「ネットに入力した時点で終わりなんだよ」などとうそぶく輩も目につくが、こんな設計は他にない。ブログだって、書き終えた後にパブリッシュ用のボタンを押したタイミングで公開になる。書いてる途中から逐一実況公開されるブログなんてない。

はっきり言おう。Googleマイマップは使ってはいけない。作ってる奴は頭おかしい。

■ ASCII.jp曰く「情報共有の加速はGoogle製ツールで」

先週から今週にかけて、Googleマイマップで秘密情報の掲載が相次いで発覚し、削除しても宙ぶらりんになって消せなくなるシステム障害が騒動となるなか、それとちょうどぴったり同時進行する形で、ASCII.jp「ビジネス」のサイトに「オフィスでGoogleアプリ活用」という特集が掲載されていた。

図1: 4日から11日にかけて掲載されたASCII.jpの特集「オフィスでGoogleアプリ活用」

この特集記事の趣旨は、オフィスの業務でGoogleの無料で無保証のBETAサービスを使うことの推奨であるが、この中に、そのまま真に受けて真似する人が出ると危険な記述がある。

• 情報共有の加速はGoogle製ツールで, オフィスでGoogleアプリ活用第5回, ASCII.jp ビジネス, 2008年11月11日

  さらにGoogleマップは「マイマップ」という機能を備え、自分自身の目印やコメントを追加することができる。またマイマップ内で、他のユーザーが作成したコンテンツを追加していくことも可能だ。たとえばグーグルから提供されている「距離測定ツール」は、出発地から目的地までの間の概算距離を求めることができる。

「距離測定ツール」はマイマップではない。「距離測定ツール」はマイマップに登録しなくても使えるし、それどころか、ログインしなくても利用できるものである。

ところがこの記事は、出発地から目的地までの距離を求める用途を想定して「マイマップ」の利用を勧めているように読める。そのため、この記事を読んだ人は次のように使う話だと誤解する恐れがある。

図2: マイマップを作成して距離を求めた様子

これは「マイマップ」を使って出発地から目的地までの概算距離を求めた様子である。「総距離: 3.01 km」と表示されている。

距離を求めるためだけにこの作業をやったとしても、この時点でこのマイマップは公開されてしまっている。

「すぐに削除するんだからいいじゃないか」と釈明する人もいるかもしれないが、（削除しても3日後に復活して宙ぶらりんになるかもしれないし、ならないとしても、）作業しているその数分間に第三者に閲覧されることは十分にあり得る。実際、図3の画面は、11月11日に私が自分のマイマップを検索する目的で「test_test」で検索した際に、偶然にもその直前（1分前）に作られた他人のマイマップがヒットした瞬間である。

図3: 「1分前更新」の他人のマイマップが検索にヒットした様子

こういうことも起こり得るのだから、「すぐに削除すればかまわない」という問題ではないと言える。

「距離測定ツール」は、図4のように、ログインしていなくても使えるツールなのだから、ASCII.jpの記事は、人々を無用にマイマップを使わせる、誤解させる記事である。

図4: 「距離測定ツール」がログインしなくても使えている様子

こういった雑誌記事の影響があったのかどうかは定かでないが、学校の先生たちが誤って作成してしまった家庭訪問先のマイマップの事例には、訪問する家々の経路に線をひいて最短経路を求めようとした形跡のあるものもあった。

ASCII.jpの記事は、マイマップについて「自分自身の目印やコメントを追加することができる」と説明しているが、オフィスでの活用として、いったいどんなところに目印を付け、どんなコメントを書くというのだろう？

先週の騒動の際に見かけたところで多かったパターンは（学校の先生の家庭訪問用地図の他には）ガスや水道の検針、保険外交員のお得意先など、外回り営業用地図のケースが多いようだった。中には、お得意先との会話で得た相手の印象や聞き出した家庭環境などを詳細に記述したメモを、Googleマイマップの「コメント」に掲載していたという最悪の事例もあった。

ASCIIの編集部ではどんなコメントを書き込んでいるのだろうか。

次に、この特集記事は、GoogleカレンダーBETAについてもオフィスの業務で使うことを推奨しているのだが、ここでも、誤った設定に誘導する危険な記述がある。

• カレンダーでスケジュールを管理, オフィスでGoogleアプリ活用第3回, ASCII.jp ビジネス, 2008年11月7日

  また、Googleカレンダーでは「このカレンダーを共有」というメニューで、共有するユーザーやアクセス権を指定できる。そのため、複数のユーザーでグループウェア的に使う場合は、閲覧や変更などのアクセス権と合わせてユーザーを追加しておく。手順としてはメンバーのメールアドレスを入力し、権限を設定すればユーザーを追加できる。一方、閲覧や変更などの権限を与えられた側のユーザーは、他のカレンダーメニューから追加する。

ここで、「Googleカレンダーの共有設定。自分のカレンダーを必要な人に公開するという形をとる」というキャプションで示されている図に問題がある。

図5: ASCII.jpの記事に示されているGoogleカレンダーの共有設定の画面

ここで、「このカレンダーを公開」にチェックが入っている。この記事の趣旨からすれば、カレンダーを公開するのではなく、限定された人にだけ閲覧（や変更）を許す共有設定を想定しているはずであり、その目的であれば、「このカレンダーを公開」にチェックを入れる必要はない。そして、「このカレンダーを公開」にチェックを入れてしまうと、世界中の全ての人がこのカレンダーを閲覧できる状態になってしまう。

「特定のユーザーと共有」を設定するために「このカレンダーを公開」とする必要があるかのように誤解する人が少なくないようだ。

なぜそうなるのかを考えてみるに、日本語の「公開」という言葉の乱れに原因があるのではないかと思う。公開とは本来、「公」「開」というくらいなのだから、限定なく全てに許すことを意味したはずだが、なぜか、特定少数の人に見せることも「公開」と言う人をしばしば見かける*1。実際、図5に示したASCII.jpの記事のキャプションにも、「必要な人に公開する」という奇妙な日本語が書かれている。

どうも、「公開」と「共有」の概念がぐちゃぐちゃになっていて、図5の設定画面を見ても、どうすればいいのか直感的にわからなくなっており、「特定のユーザと共有」するためにはまず「このカレンダーを公開」しないといけないような気がしてしまうのではないだろうか。

この記事を書いた人も（あるいは図を作成した人、あるいはこれを編集した人も）同じ誤解をしているのではないかと心配になるが、記事には、「業務で用いられるカレンダーなどは公開しないように注意しよう」と書かれていて、心得はあるようだ。

ちょっと心配になったので、12日に、Googleカレンダーで公開カレンダーを「ascii.jp」で検索してみたところ、図6のようにヒットした。

図6: 「ascii.jp」で検索してヒットした公開カレンダー

カレンダーのタイトルが氏名になっていたので、サクって調べたところ、比較的知られたIT専門のフリーライターの方のようだった。

カレンダーには取材先のIT系企業名が書き連ねられており、情報セキュリティの会社も複数掲載されていた。そしてこんな記述もあった（図7）。

図7: 産総研を対象とした予定が掲載されていた様子

こういったものを公開する主義というのも存在するかもしれないが、企業によっては取材された事実を公開されるのが嫌なところもあるのではないだろうか。

心配になったので、カレンダーのIDのメールアドレスに「Googleカレンダーを公開に設定されたのはいつからですか？」とメールを送ってみたが返事がなかったので、本人に連絡が行くよう知り合いに手配していただいた。今は非公開に設定変更されている。

この事例では、2002年からの予定がすべて掲載されているようだった。Googleカレンダーのサービスが始まったのはそんな前ではないので、これは、同期ソフトを使って、iCal か Outlook から自動コピーされたものではないかと考えられる。

ちなみに、Googleカレンダーは、公開設定にしようとするとちゃんと図8のように警告を出すようになっている。（いつからこうだったかは知らないが。）

図8: Googleカレンダーで公開に設定する際に出る警告

それでも公開にしてしまうというのがどうにも解せないのだが、「共有のためにはまず公開」という思い込みがこの警告も目に入らなくしてしまうのか、そうでないとすれば、次のパターンがあり得るのではないだろうか。

1. Googleカレンダーを何となく試用。
2. 公開設定にしてみる。このとき警告に「はい」ボタンを押した。
3. 用途がなく、しばらく使わなかった。
4. Googleカレンダーが CalDAV をサポートしたと聞いて、喜び勇んで既存のGoogle IDで iCalに登録、同期開始。
5. 設定は公開のまま。すべてが公開状態に。

怖すぎる。

私も少しGoogleカレンダーを試してみたが、自分用の各カレンダーが、公開状態なのかそうでないのかが、なかなか見分けがつかず、不安で使う気がしない。

まず第一に、カレンダーの画面を見ても、それが公開なのか否かはどこにも表示されていない（図9）。

図9: カレンダー画面では公開なのか否かがどこにも表示されない

公開・共有の設定状況は「マイカレンダー」の「設定」というリンクをクリックしたときの画面で確認できるのだが、マイカレンダーの一覧画面は図10のようになっていて、ここでも公開状態なのかが不明なのだ。

図10: カレンダー設定の画面

これを見て、3つのうちどれが公開状態なのかわかるだろうか？

このうち公開なのは3番目の「……のテストその2」だけなのだが、図10の表示からはそれが読み取れない。これら3つはこの時点で次の設定であった。

1. 「公開」なし、「特定のユーザと共有」なし
2. 「公開」なし、「特定のユーザと共有」あり
3. 「公開」あり、「特定のユーザと共有」なし

まず、「このカレンダーを共有」という表記が、現在の状態を表しているのか、それとも、クリックすると行われる動作を表しているのかが不明だ。見出しには「共有」とあるので、状態を示していると理解して、「このカレンダーを共有」という表示を見てギョッとした人も少なくないのではないか。その一方で、「共有: 設定を編集」の「共有:」は状態表示となっていて、ちぐはぐだ。

そして、「共有」という状態表示だが、3つ目のカレンダーは「特定のユーザとの共有」は「なし」であり、その意味ではそれを「共有」と状態表示するのは食い違っている。3つ目は「公開」はしているが「共有」はしていない。この画面での「共有」という表示は「公開」を含む意味のようだ。

上の3つのうち区別が重要となるのは普通、「1.2.」と「3.」であり、「1.」と「2.3.」ではないはずだ。

こういうのを正しく使いこなせというのは無理がある。業務でのGoogleカレンダーの使用を禁止する企業があっても不思議でないと思う。

こういった使い難さを指摘したり、利用者に注意とアドバイスをすることこそ、IT系メディアの役割ではないのか。それなのに、出てくるのは「彼氏がGoogle使ってなかった。別れたい…」的な記事ばかりで嘆かわしい。

日経パソコンの以下の記事も、誤った使い方に導いている。

• マイマップを作ってみる（前編）, 深川岳志, Google探検隊 第51回, 日経パソコン, 2008年8月22日

  マイマップは1つだけでなく、テーマを設定していくつでも作ることができるので、完全に個人の備忘録を作ることも可能だし、家族で旅の記録を作ってみることもできる。また、地域の人たちと便利な案内マップのようなものを作成することもできるだろう。

  地図上にどんどん個人的なデータを乗せていくイメージである。思えばWebは個人的な情報の集積地のような趣があり、それを地図上でも実現できるわけだ。

この手のIT系ライターから取材の申し込みがあっても、自宅の場所は教えないように注意したい。

■ 衆議院でストリートビューについて質疑、政府参考人の答弁に事実誤認

13日の衆議院総務委員会でストリートビューに関する質疑が行われていたことを、トラックバックを頂いて知った*1。

会議録はまだ公開されていないようだが、「衆議院TV」でその様子を視聴できる。

• 平成20年11月13日総務委員会, 衆議院TV

最初の質問者である松本文明議員（自由民主党）により、12分間ほどストリートビューについて質疑が行われている。

2.5mの高さから撮影されて塀の中が庭先まで写っている件や、ラブホテル街が撮影されている件、米国では道路が広い件などを挙げ、よく質問されている。

しかし、それに対する政府参考人の総務省総合通信基盤局長の答弁には、明らかな事実誤認がある。

松本文明委員（自由民主党）

（略）こういうようなことというのは、この国のプライバシーの考え方というのは、どういうことになっているのか、総務省のご見解をちょっとうかがいたい。

桜井俊政府参考人（総務省総合通信基盤局長）

お答えいたします。ストリートビューとプライバシーとの関係でございますけれども、グーグル側では、人の顔、あるいは自動車のナンバープレート、こういったものを解析いたしまして自動的にぼかしを入れるという技術、システムを導入しております。ぼかし漏れ等の事例があるようでございまして、利用者からの申告がありますと、それに応じて削除をするという対応をしているというふうに聞いているところでございますけれども、先生ご指摘の通り、プライバシーの問題、懸念する声というのはあるということも事実でございます。

プライバシー権、大変幅広い概念でございますので、国民各界各層の十分なご議論というのも必要かと思いますけども、総務省といたしましても、インターネット上の情報流通を所管するという立場から、引き続きグーグル社等からヒアリングするなど、このサービスについて注視して参りたいというふうに考えております。

衆議院平成20年11月13日総務委員会

自動車ナンバープレートについて自動的にぼかしを入れるシステムをグーグルが導入していると断定的に答弁されているが、それは米国や欧州での話*2であって、日本のストリートビューには導入されていない。このことはグーグル株式会社の担当社員が8月にそう説明しているし、実際それを否定する事実は一度も発見されていない。

グーグルで地図製品担当のプロダクトマネージャーを務める河合敬一氏は（略）また、映っている人の顔については自動認識によりぼかし処理を行っており、米国では車のナンバープレートなどについても一部処理を行っているが、日本では解像度の問題でほとんど識別できないと思われるため、現時点では顔以外には自動的な処理は行っていないとした。

「ストリートビュー」のプライバシー問題、グーグルが方針説明, NTERNET Watch, 2008年8月5日

8月31日の日記にもまとめたように、実際にストリートビューを見てみればすぐにわかることなのに、どうしてこんな誤った答弁が出てしまうのだろう。これまでに一部の新聞や雑誌等が誤ってそう書いた*3ことがあったが、そういったものが鵜呑みにされているのだろうか。

この答弁に対して議員も疑問を挟んでいないことから、議員にも事実誤認があるのではないか。議員から直接グーグル社の河合敬一担当社員に問い質したらいいのにと思う。

追記（19日）

自動車ナンバープレートのぼかし処理が行われていないことを示す実例として、グーグルの撮影車（別の車両）が写っている写真を挙げておく。前後に移動させてもどの写真も処理されていないことがわかる。

一方、フランスでは次のようにぼかし処理が施されている。

■ 今週のグーグル私有地進入事例 UR都市機構団地の42%で進入

ストリートビューを見ていると、UR都市機構の団地で敷地内通路に進入している事例が目につく。そこで、11月22日現在で以下に掲載されていた、東京の23区外エリアのUR都市機構の賃貸住宅の団地を対象に、何パーセントが進入されているかを調べてみた。

• UR賃貸住宅 東京エリア 多摩北地区
• UR賃貸住宅 東京エリア 多摩南地区

赤で示したところは私有地進入が確認された団地で、緑で示したところは進入が確認されなかった団地、青は団地でないなど対象外としたところを示す。

「（赤 + 緑）/ 赤」で求めた団地進入率は以下の通りだった。

8月にグーグル株式会社が「私道や敷地内に入っての撮影はしていない」と述べていたのは丸っきり大嘘なわけだが、未だどこのメディアもこのことに対するグーグル株式会社の見解を引き出せていない。

グーグルで地図製品担当のプロダクトマネージャーを務める河合敬一氏は（略）「撮影する道路は公道からに限っており、私道や敷地内に入っての撮影はしていない」と説明。

「ストリートビュー」のプライバシー問題、グーグルが方針説明, INTERNET Watch, 2008年8月5日

■ 今週のグーグル交通規制無視事例(4)

ブログ「気になる現場」が引き続きグーグルの交通規制無視事例を列挙している。ロケーションビューも車両通行止めや歩行者専用の標識を無視しまくっているのだそうだ。

• 西麻布四丁目の現場, 気になる現場, 2008年11月2日
• 西麻布三丁目の現場, 気になる現場, 2008年11月2日（警察官に不審がられている事例）
• 西麻布三丁目の現場はもう一件ある, 気になる現場, 2008年11月2日（広いエリアを走破した事例）
• 元麻布二丁目の現場, 気になる現場, 2008年11月2日
• 六本木一丁目、虎ノ門五丁目、麻布台一丁目の現場, 気になる現場, 2008年11月2日
• 南青山一丁目の現場, 気になる現場, 2008年11月2日
• 南青山四丁目、西麻布二丁目の現場, 気になる現場, 2008年11月2日
• 三田三丁目、三田四丁目の現場, 気になる現場, 2008年11月2日
• 神宮前二丁目の都営アパートの現場, 気になる現場, 2008年11月5日（ロケーションビューも進入とのこと）
• 千駄ヶ谷一丁目の現場, 気になる現場, 2008年11月5日（ロケーションビューも進入とのこと）
• 神宮前一丁目、竹下通りの現場, 気になる現場, 2008年11月8日
• 千駄ヶ谷三丁目の現場, 気になる現場, 2008年11月8日
• 広尾二丁目の現場, 気になる現場, 2008年11月8日（ロケーションビューも進入とのこと）
• 東一丁目の現場, 気になる現場, 2008年11月8日（広いエリアを走破した事例）（ロケーションビューも入りまくりとのこと）
• 富ヶ谷二丁目、高さ制限のある現場, 気になる現場, 2008年11月8日（2.2mの高さ制限のためにロケーションビューは進入したがストリートビューは入れなかったと見られる事例）
• ぶらっと、川崎市川崎区の現場, 気になる現場, 2008年11月15日
• 東五反田四丁目の現場, 気になる現場, 2008年11月15日
• 東五反田五丁目の現場その１, 気になる現場, 2008年11月15日
• 東五反田五丁目の現場その２, 気になる現場, 2008年11月15日

ロケーションビューも結局は同じ穴の狢ということか。

10月28日にASCII.jpに「ロケーションビューの車に乗ってきた」という記事が出ていた。

日本の事情をあまり考慮していないあの会社と比べると……（略）

ちなみにカメラの外観は撮影NGだったが、位置的には一般的な人の目よりも少しだけ高いくらい？　もちろんこれはプライバシーなどに配慮した結果とのこと。（略）

よく考えれば当たり前の話だとはいえ、走行速度は常に一定ではなく（もちろん法定速度内！）、普通に赤信号にも止まります（そりゃそうだ！）。

ロケーションビューの車に乗ってきた, ASCII.jp, 2008年10月28日

などと調子のいいことが書かれているが、「車両通行止め」「歩行者専用」無視の実態はどうなのか。

この記事にロケーションビューの撮影車両の写真が掲載されているのだが、車両に貼られたステッカーには「道路調査車」「道路調査中」と書かれている。

図3: ASCII.jpに掲載されたロケーションビュー撮影車（一部を拡大）

「道路調査中」とあるのを見て、まさか自分が撮影されているとは誰も思わないだろう。どうしてこういう嘘をつくのか。やっているのは住宅等の撮影だ。「住宅街撮影中」とは書けない何か理由があるのか？

■ Googleカレンダーでやってはいけないこと

Googleカレンダーで公開前提ではないカレンダー（非公開を前提としたカレンダー）を作っている場合、以下の操作をしないよう注意する必要がある。

図1: Googleカレンダーの設定画面

「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。

図2: 図1の「HTML」の部分をクリックしたときの様子

ここで、表示されているURLのリンクをクリックしてはいけない。

マップとカレンダーでちぐはぐな設計

これがいったい何なのかは、「ヘルプ」に書かれている。（「非公開URL」なのか「個人用URL」なのか名称すらちぐはぐだが、同じものを指していると思われる。）

"個人用 URL" について教えてください。

カレンダーのXMLかiCalフォーマットの"個人用 URL"では、Googleカレンダーにログインすることなく、他のアプリケーションを使って読み取り専用のカレンダーが表示できます。このURL を使用すると、フィードリーダー（例: Google Reader）やiCalフォーマットに対応した他の製品（例: iCal for Mac）から、カレンダーを簡単に表示できます。カレンダーのHTMLフォーマットの"個人用 URL"では、Googleカレンダーにログインすることなく、読み取り専用のカレンダーを表示できます。

（略）

注: 個人用URLはご自身のみがご利用になるアドレスですので、他のユーザーと共有しないでください。お使いのカレンダーを他のユーザーに公開する場合は、カレンダーの公開URL（または [カレンダー URL]）を共有してください。誤って個人用URLを共有した場合には、[非公開 URL をリセット]リンクをクリックして個人用アドレスを再生成してください。

"個人用 URL" について教えてください。 - カレンダー ヘルプ センター, Google

この説明文では明確には書かれていないが、これは、非公開設定のカレンダーであってもこのURLさえあれば誰でも閲覧できるという意味である。「ログインすることなく他のアプリケーションを使って」表示できるとはそういう意味だ。何のために必要となる機能かは、フィードリーダの例がわかりやすい。非公開のカレンダーの更新状況を（認証機能を持たない）フィードリーダで確認したい場合にはこれを使うしかないというわけだ。*1

このURLの取り扱いに注意が必要であることは、去年の8月に話題になっていた。

• 「非公開URL」によるアクセス・コントロールについて考える, 技術者視点のユーザビリティ考, 水野貴明, 日経ソフトウェア, 2007年8月22日

  今回この話題を取り上げたのは，「Googleカレンダー」に用意されている「非公開URL」という機能を見たからです。Googleカレンダーでは，標準ではカレンダーは「非公開」，つまり自分以外は内容を見られないように設定されます。しかし，この「非公開URL」にアクセスすると，特に認証が無くても，つまり誰でも，カレンダーの内容を閲覧できるようになっています。

  なぜこんなものが用意されているのでしょうか。

  理由の一つは，他のスケジュール管理ソフトや携帯電話やPDAなど（略）

  もう一つの理由は，知り合いにだけデータを見せたい，といった場合に便利だからでしょう。非公開URLさえ知らせれば，パスワードなどを知らせなくても見てもらうことが可能だからです。

• Google Calendarの非公開URLは文字通り他人と共有するものじゃないどすえ〜, My Little Hip By MyPROFILE, 2007年8月24日

  Google Calendarの非公開URLは設定画面のヘルプの飛び先にも書いてある通り本当に自身が利用するためのURLで、他人との共有目的で使う前提で議論するのがそもそもおかしい。

ツッコミが入っている通り、Googleカレンダーの「非公開URL」（別名「個人用URL」）は、少人数であっても他人に知らせて使うものとして想定されていない。これは、Googleマイマップの「限定公開」（旧称「非公開」）設定のマイマップにおけるURLとは、設計趣旨が異なっている。

GoogleマイマップとGoogleカレンダーとでこのように設計が異なっていることが人々を混乱させるのか、実際には、Googleカレンダーのこの「非公開URL」（別名「個人用URL」）を他人に知らせて使っている人もいるようだ。Web検索で「pvttk」などで検索すると、そのような事例がたくさんヒットする。

そのような誤った使い方は、Googleマイマップで「限定公開」（旧称「非公開」）設定で秘密情報を登録するのと同じ理由で誤った行為である。

では、他人に知らせることなくこの「非公開URL」（別名「個人用URL」）機能を使うのは間違っていないのかというと、先に書いたように、図2のURLをクリックしてはいけない。

クリックしてはいけないのは、このURLがどこかに漏れて公開されたら終わりだからだ。漏れる原因としてよく言われるのは、ブラウザのReferer機能であるが、他にもいろいろがあり得る。URLは基本的に公開情報として捉えるべきで、Webの仕組みはそれを前提に設計されている。Webアプリケーション側はURLに秘密情報を含める設計を避けるべきである。

Pathtraqと共存しえない

特に、サイボウズラボの「Pathtraq（パストラック）」サービスを利用している場合は、ほぼ確実にURLが漏洩し、公開状態に持って行かれてしまうので、図2の画面でURLを絶対にクリックしないようにしなければならない。

「Pathtraq」とは、「あなたのブラウザのサイドバーからいつでも今人気のページを追跡OK! [今すぐ参加する]」と説明されたツールバーを導入すると、ブラウザがアクセスする各URLをそのままPathtraqサイトに送信するようになるもので、これを用いて、Pathtraqサイト側が送られてくる利用者のアクセス先URLを集計して、「注目」「人気」「定番」といったアクセスランキングを提供するサービスである。

• みんなが見ている人気ページや話題ニュースをランキング化する [パストラック(Pathtraq)], サイボウズラボ
• パストラック(Pathtraq)とは | どうして話題のサイトやニュース速報、口コミ情報をランキングに出来るの？ , サイボウズラボ

  パストラック (Pathtraq) は、みんなで作る話題のサイトやブログ、ニュース速報や口コミ情報などが含まれるページのランキングサイトです。みなさんがお使いのウェブブラウザに専用の拡張ソフトをインストールし、アクセスログを送信していただくことで、以下のようなことが可能になります。

当然、このようなツールバーを導入するとプライバシーが損なわれるわけで、万人が導入するものではないと思うが、サイボウズラボとしては、利用者の同意があればやってよいサービスだというスタンスなのだろう。*2

そして、このPathtraqツールバーを導入している人が、図2のリンクをクリックすると、そのURLがPathtraqサイトに掲載されてしまう。図3は、Pathtraqの「定番」検索で、GoogleカレンダーのURLを検索した際の様子である。

図3: Pathraqで特定のURLを検索した様子

この検索結果を適当にクリックしてみたところ、URLに「pvttk=」を含むものがあった。特に、WIDE幹部の予定表がこれによって公開状態となっていたのには驚いた。WIDE幹部関係者でさえ、この程度のITリテラシーだということを意味する。

図4: WIDE幹部の非公開設定カレンダーが公開状態になっていた様子

ここに「2 hits」とあるのは、2回しかクリックしていない（Pathtraqのツールバーを導入している人が図2のリンクを2回クリックした）という意味である。2回クリックしただけで、公開され、内容まで閲覧可能になってしまう。

こうなると、PathtraqのページがWebクローラに捕捉されてどこかの検索エンジンに登録されることも起こり得るわけで、通常のWeb検索でも見つかるようになってしまう。

これはまずいと思ったので、すぐにサイボウズラボに通報して、「pvttk=」を含むURLは検索に出ないようにして頂いた。11月17日以降は出なくなっている。この通報は、Pathtraqヘルプの次の記述に基づくものである。

URLとセキュリティについて

パストラックが取り扱うURLはhttp://で始まるもののみです。以下のようなサイトは、パストラックのログサーバに送信・保存され、パストラックサイトにて公開されることはありません。

• HTTPS(SSL)プロトコルによって暗号化されたページ
• ブラックリストに登録された認証トークンを含むページ
• DNSで引く事の出来ないホストが提供するページ

このHTTP URLに認証目的のトークンが含まれる場合につきましては、パストラックのサーバ上にて、ブラックリストによる消去処理を行っています。

ブラックリストの詳細につきましては、こちらをご覧ください。

ヘルプ - [パストラック(Pathtraq)], サイボウズラボ

ブラックリストで除去しているというのだが、不完全なものとならざるを得ないことは容易に想像されるところである。この「ブラックリスト」とはいったいどういう仕組みなのか。ヘルプには「ブラックリストの詳細につきましては、こちらをご覧ください」とあるが、そのリンク先を見てもそれらしきことはどこにも書かれていない。

このような事態の大元の原因は、URL中に秘密情報を含めてしまうWebアプリケーションにあるわけだが、それをほぼ確実に公開状態に持って行くPathtraqツールバーがその危険を加速させていて、かつ、Pathtraqのブラックリストは不完全で、どういうものなのかも説明されていない。RefererはWebの標準機能だからしかたがないと言えるが、後から導入させるツールバーでこの状況というのはどうなのか。

Googleマイマップの「限定公開」は全く限定されていない

こうした事態は、Googleマイマップの「限定公開」（旧称「非公開」）設定でも同様に起きる。Pathtraqで「http://maps.google.co.jp/」で検索すると、ごく普通に「限定公開」設定のマイマップもぞろぞろと出てくる。

図5: PathtraqでGoogleマイマップを検索した様子

これは、Googleマイマップの仕様であるから、Pathtraq側がブラックリストで排除するべきものとは言えない。また、URLで見分けがつかないため排除することもできない。

自分がPathtraqツールバーを導入していなくても、「限定公開」先として特定少数の誰かにURLを伝えたときに、その誰かの一人がPathtraqツールバーを利用していたら、このように公開されてしまう。

Googleマイマップを非公開用途に使えるかのように宣伝していたのはグーグル社員だった

このことからもわかるように、Googleマイマップは全く秘密に使うことのできないサービスである。にもかかわらず、マイマップが発表された当初、まるで非公開目的に使えるかのように宣伝されていた。

• Google マップを使って地図が簡単に作れるようになりました。, Google Japan Blog, 2007年4月4日

  2007年4月4日
  Posted by 徳生 健太郎 ( プロダクトマネージャー )

  今日から Google マップで、お絵かきをする感覚で、自分だけの地図を作成し、公開することができるようになりました。「マイマップ」という機能です。（略）

  Google の社員が作った地図をいくつかご紹介。
  （略）
  待ち合わせ地図の例: 友達との待ち合わせなどに使ってみてください。初めての方でも、数分でこんな地図が作れます。

ここに紹介されている「待ち合わせ地図の例」では、作者が携帯電話の番号を書いており、あたかも、非公開用途で使えるかのように思わせている。

図6: グーグル社員が推奨するマイマップ利用例で携帯電話番号が記載されいる様子

もちろん、Webで携帯電話番号が検索できるようになってもかまわないという主義の人もいるだろうが、そうでない人は、これに惑わされて誤解しないようにしなくてはならない。

Googleカレンダーを使い続けるなら

もし図2のリンクをクリックした覚えがあるなら、図1の「非公開URLをリセット」というリンクをクリックして、そのURLを新しいものに置き換える操作をした方がよい。これにより、古いURL（の「pvttk=」）は無効になり、流出してURLが公開状態にあるとしても、古いURLではアクセスできなくなる。

それにしても、たったこれだけの操作でカレンダーが公開状態になるのは、怖くて非公開用途で使う気がしない。たとえば、Googleにログインしたままの状態で席を離れた隙に、何者かにここをクリックされ（あるいはどこかに貼付けられ）たら、数日後にはWeb検索で見つかる状態になってしまう。

そもそもこの機能を存在しない状態にしたいわけだが、これは、Google Apps版のGoogleカレンダーでなら可能なようだ。

図7: Google Appsの「サービスの設定」「カレンダーの設定」

管理者ユーザで「サービスの設定」から「カレンダー設定」の画面に行くと、図7のように「共有オプション」として、「ドメイン外部」（ドメイン関係者以外の）利用者からのアクセスに対するアクセス権限の最大値（一般ユーザが設定できるカレンダーの公開レベルの範囲）を設定できるようになっており、デフォルト設定では「空き状況のみ」となっている。

この設定の場合、ユーザが各カレンダーの設定画面に行っても、図8のように、「非公開URL」（別名「個人用URL」）を使うことができないようにされている。

図8: Google Apps版のGoogleカレンダーのデフォルト設定では「非公開URL」機能が出てこない様子

Googleは「非公開URL」（別名「個人用URL」）にセキュリティ上の問題が存在することの認識はあるようだ。

■ Googleマイマップの削除残骸は半月放置された

半月間の経緯

• 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥, 残骸ではなく復活している模様, 2008年11月6日の日記

この件がその後どうなったかというと、今月始めの騒動で削除されたマイマップ2つ（学校関係以外のもの）の復活事案について継続的に見ていたところ、18日か19日の午前にようやく消えた。

改めて事態を振り返ってみる。

今月始めの騒動により2日から4日にかけていくつものマイマップが（おそらく作成者によって）削除された。見ているだけだった私は、4日の夕方になって、「家庭訪問」のキーワードで検索すると全国各地に同様の事案が数十件あることに気づき、学校または教育委員会に電話して削除を促した。6日の夜の時点ではそれらのほぼ全部が削除され、検索しても出てこないことを確認していた。そのとき、ごく一部に残骸が残っているのを発見し、6日の日記を書いた。ところが、7日の朝になってもう一度検索してみると、大半の「家庭訪問」地点が復活してしまっていることに気づき、日記に「残骸ではなく復活している模様」の追記を書いた。7日の夕方、私の手には負えないと考え、文部科学省に知らせて後の処理はお願いした。

その後、2日から4日にかけて削除されていたマイマップ（学校関係以外のもの）も復活していることに気付いた。それらがいつ消えるのか観察していたところ、責任主体が大きな企業のものは早めに消えた（おそらく、グーグル社に電話で削除要請をしたのだろう）が、個人が作成したものはずっと消えなかった。そして、17日の24時に検索に出るのを確認したのを最後に、19日の昼前には検索に出なくなった。その後もときどき確認しているが、検索に現れることはない。

グーグル株式会社はこのシステム障害について、「数万というサーバ」「全サーバから情報を削除するのに時間がかかり」などと弁明していた。

• Google「マイマップ」、削除しても情報が残る問題　「早急に対応する」, ITmedia News, 2008年11月10日

  一般公開されたマイマップの情報は「Googleの数千、数万というサーバに格納されている」（グーグルの広報担当者）ため、限定公開に変更したり、情報を削除した場合も、全サーバから情報を削除するのに時間がかかり、検索結果に表示され続けることがあるという。同社は「時間がたてば表示されなくなる。タイムラグがなくなるよう今、必死でトライしている。なるべく早く対応していく」としている。

• グーグルマップに名前や住所、うっかり公開３７校９８０人, 読売新聞2008年11月17日朝刊

  登録した情報は「削除」ボタンをクリックすれば消える仕組みになっているが、「削除したはずなのに、まだ情報が閲覧できる状態になっている」との苦情も相次いでいる。（略）

  グーグル広報の説明によると、利用者が登録した情報はグーグルの持つ複数のサーバーに複製される仕組みのため、一時記録が消えきらないケースがあるという。「要請があったものはできるだけ早く削除する」と釈明している。

グーグル社広報は、やむを得ない現象であるかのように言っていたが、「全サーバから情報を削除するのに時間がかかり」というのは大嘘だろう。全国のどこで誰が見ても同じように観測されていた（消えているときは誰が見ても消えており、復活しているときは誰が見ても復活しているのが観測されており、人によって違って見えるという事態の発生は確認されていない）し、徐々に消えていく様子も観測されておらず、放置されていた残骸は同じ時期まで継続して常に検索に現れる状態にあった。サーバ台数が多いからという問題ではない。

自発的に削除が可能なのにグーグル社はそれをしなかった

「要請があったものはできるだけ早く削除する」というグーグル社の対応もおかしい。

たしかに、ストリートビューの場合ならば、どれを削除するべきかがグーグル社側で判断できないということで、要請があれば削除するという対応も理解できなくもない。

しかし、マイマップの件はそれとは異なる。「残骸」と表現しているように、この復活事案は、マイマップ本体は消えていて、マップ名をクリックするとマップが出てこない状態になっていたものであり、検索結果に出てくるデータが「宙ぶらりん」になっていたものだ。各データが「宙ぶらりんか」否かは機械的に判別できる。

つまり、グーグル社は、プログラムを作って自動的に宙ぶらりんデータを消去することが可能だったはずだ。それなのに、言われたら消すという姿勢で通した。

私はこの件で、複数の報道メディアから自宅に問い合わせを受けたが、あるメディアからは、グーグル社が、「そのうち消える。」というようなことを言っているそうだと聞いた。過去にも同様のことが起きていたからだろう。

ようするに、そのうち消えるのだから放置しておいてかまわないということか。これだけ社会的に問題となる事案となっていても、半月くらいで消えるんだから放置でかまわないと。

そして、現時点でも何が原因だったのかの発表はなく、どういう対処をしたかの発表もない。今後も同じことが繰り返されるのか否かは不明だ。

■ 来年も年度始めに再び起きるかもしれない

グーグル社の広報は、「利用規約を無視している」「規約を守ってほしい」などとも言っていた。

相次ぐ個人情報公開について、グーグルの広報担当者は、「無意識になされたものか、意図的なものかは分かりません。しかし、利用規約にかなりこまかく違反事項が書かれており、それを無視したことになります。利用者には、規約を守ってほしいとお願いしたい」と話している。

児童名、「倒産確実」社名ゾロゾロ　グーグルマップで情報漏れ騒動, J-CASTニュース, 2008年11月4日

しかし、このような「誤った」使い方が、いかに「普通に」起きたことか、以下に確認しておきたい。

家庭訪問を前に先生は、クラス名簿を手に、その家がどこなのか調べようと、まず1番目の児童生徒の住所をグーグルマップで検索してみたのだろう。そうすると図1のような画面となる。

図1: 住所で検索した様子
（この例示に用いた住所は「UR賃貸住宅多摩北地区」のリストから選んだもので他意はない）

これはごく普通の使い方だ。

ここで、次の住所を入れて検索すると前の地点が消えてしまうことが予想されるから、図1の位置を保存しておきたいと思うのは普通だろう。

都合のよいことに、図1の画面には「マイマップに保存」というリンクがある。「マイマップ」が何かわからなくても「保存」とあるので、保存できるんだろうと思ってクリックしてみるのは普通だ。

ここをクリックすると図2の画面となる。

図2: ログインしていない状態で「マイマップに保存」をクリックした後の様子

ここで、アカウントを持っていなければ、「アカウントを作成」をクリックするのかもしれない。

実際に家庭訪問先地図を作ってしまった先生へのインタビューで、「IDも持っていたわけではない。必要があってマイマップを使おうとしたらIDが必要と出たのでその場でIDを作って使用しただけ」という内容の証言があった（11月9日の日記）。それはこういうことなのかもしれない。

そうすると図3の画面となる。

図3: マイマップからアカウント作成に進んだ様子

ここには、これといった注意書きや説明は見当たらない。「利用規約」があるが、ごく一般的なことが書かれているだけで、マイマップについて書かれてはいない。

アカウントの作成ができると、図1の画面に戻るようになっている。ここで再び「マイマップに保存」をクリックすると、図4の画面となる。

図4: 再度「マイマップに保存」をクリックした様子

ログインが促されているので、登録したパスワードでログインすると、図5の画面となる。

図5: ログイン後に「マイマップに保存」をクリックした場合

ここで「保存」ボタンを押してしまうのは、責められるほど迂闊な行為と言えるだろうか？

この時点で既に「保存した場所」というマイマップが用意されており、マイマップの新規作成の操作すらしていない。

「保存」ボタンを押すと図6の画面となる。

図6: 「保存」ボタンを押した後の様子

もう、この状態で数十秒経てば自動的に「保存」ボタンが押され、公開状態になる。

ここで、名簿から2人目の住所を入れて検索してみると、図7のようになり、「マイマップで保存」をクリックすれば、それも同様に保存できることに気付くだろう。

図7: 別の住所を検索してさらに保存する様子

図8: 2人目の登録で区別のために名前を入れようとした様子

図8のように、名前を入れられることにも気付くのも普通かもしれない。

こうして、次々と全員の住所を検索しては「マイマップに保存」し、家庭訪問先のクラス名簿が作られていったのではないだろうか。

もちろん、図8の画面で「一般公開」（旧称「公開」）「限定公開」（旧称「非公開」）という設定項目は見えている。しかし、ここは最近改善されてこのように濃い色で表示されるようになった*1が、つい先日までは、薄いグレーで表示されていて読み難いものだった（図9）。

図9: 以前は肝心な部分が薄いグレーで表示されていた様子（原寸大）

また、たとえここで「限定公開」を選択したとしても、公開は公開であり、誰でもアクセスできる*2のであるから、家庭訪問先のような情報をここに登録してはいけない。

このように、最初の検索から、ユーザ登録、ログイン、保存までのプロセスに一度も「公開されます」といった警告文は出てこない。

こういうシステムが提供され続ければ、来年度も再び同じことが繰り返されるのではないか。

なお、「Googleノートブック」の場合は、公開しようと「はい」を選択した時点で、図10のようにちゃんと「重要」と題した警告が出るようになっている。（わかりやすい日本語かはともかく。）

図10: Googleノートブックでノートを公開しようとしたときの様子

■ 新はてなブックマークの登録ブックマークレットは使ってはいけない

使ってはいけない

はてなブックマーク（以下「はてブ」）がリニューアルされ、ブラウザからブックマークレットでブックマーク登録（以下「ブクマ登録」）しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。（この指示には従わなくてもブクマ登録はできる。）

図1: ブックマークレットの更新を促される画面

新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト（通常、はてな以外のサイト）上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。（ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。）

図2: はてなログイン中に新型ブックマークレットを使用した様子

同じことを、はてなにログインしていない状態で行うと、図3の画面となる。

図3: はてなログアウト中に新型ブックマークレットを使用した様子

「はてなへのログインが必要です」をクリックすると、図4の画面となる。ここでパスワードを入力してはいけない。

図4: 画面を進めた様子

このウィンドウは、元ページ（図4では背後にある緑色のページ）のコントロール下にある。つまり、図4の「ページ内JavaScriptウィンドウ」の内容は、元ページのJavaScriptによって差し替え等が可能な状態にある。見た目が同一でも、偽のパスワード入力画面となっている可能性があるので、ここにパスワードを入力してはいけない。

図5のようにして、このウィンドウをブラウザのタブに移動させるなどして、図6のように、アドレスバーのURLのドメイン名が hatena.ne.jp であることが確認できれば入力してよい。また、（特に外出先で公衆無線LANを使うときなど回線を信用できない状況では）SSLでの接続になっていることをアドレスバーで確認してから入力する。

図5: このフレームをタブとして分離させる様子

図6: ブラウザのアドレスバーのURLとSSL使用状況を確認する

Ajax時代の安全なWebサイト利用の鉄則

フィッシングや盗聴の危険を回避するという意味で「安全にWebサイトを使う」正しい手順は、

• 安全なWebサイト利用の鉄則, 産業技術総合研究所情報セキュリティ研究センター

にまとめた通りであるが、ここに示されている単純な鉄則は、Ajax時代の「ページ内JavaScriptウィンドウ」が多用される状況においても同じである。

つまり、いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである。

この鉄則に従うと、図7の画面では、アドレスバーに表示されたドメイン名は「takagi-hiromitsu.jp」であり、意図した送信先でない（意図した送信先と確認できない）と判断するべきである。また、SSLは使用されていない（使用されていると確認できない*1）と判断するべきである。

図7: これはどこのサイトか？

過去にポップアップウィンドウの使用が流行した際、フィッシングの脅威が問題となった。つまり、悪意あるサイトにアクセスしたとき、偽の入力画面のポップアップウィンドウが現れ、背後の元のウィンドウが本物サイトにリダイレクトされると、本物サイト上のウィンドウであるかのように誤認されるという問題（図8）があった。

図8: 過去のポップアップウィンドウによる偽装の説明図
（2003年6月14日の日記で実演した際の画面より*2）

その問題は、その後、Internet Explorer 7と、Firefox 3での改善で、ポップアップウィンドウでもアドレスバーが常に表示されるようになったことで、解決した。つまり、ユーザの心得は、「いかなる場合でも、入力の直前にブラウザウィンドウのガワ部分（「chrome領域」と呼ばれる）のアドレスバーを確認する」という単純なルールでよい。このルールはようやく確立したと言える。

ポップアップウィンドウが嫌われるようになり、代わってよく使われるようになったのが、Ajax的な技法を駆使した「ページ内JavaScriptウィンドウ」であるわけだが、これにはアドレスバーは現れない。しかし、入力時に確認すべきはブラウザのアドレスバーでよい。（入力欄が所属するブラウザウィンドウのアドレスバーを確認する。）

なぜなら、「ページ内JavaScriptウィンドウ」は、それが所属するブラウザウィンドウが表示中のWebページのコントロール下にあるので、そのWebサイトを信用するときは、その中にある「ページ内JavaScriptウィンドウ」も信用してよいことになるし、また逆に、そのWebサイトを信用できないときは、その中にある「ページ内JavaScriptウィンドウ」も信用してはいけないことになるからだ。

（ある人が信用しているWebサイトが、危険な「ページ内JavaScriptウィンドウ」を表示させることがあるかもしれないが、それが悪意あるサイトならば信用するのが誤りであるし、悪意あるサイトでないならば、それはそのWebサイトのセキュリティ脆弱性であって、修正されるべきものである。修正されないようなサイトならば、信用するのが誤りということになる。）

このようなやり方のブックマークレットを普及させてはいけない

今回のはてブの新型ブックマークレットは、攻撃手段に対して何らかの対策が打たれるかもしれない。しかし、偽サイトに差し替えられる攻撃を防ごうとしても、元ページのコントロール下にある限りどうやっても攻撃手段は残るわけで、いたちごっこになるのは目に見えている。

どうにか対策として成立し得るように思われるのは、ログインしていないときのログイン画面は「ページ内JavaScriptウィンドウ」ではなく、ブラウザの新規タブ（や新規ウィンドウ）に表示するように仕様変更した上で、「ユーザはアドレスバーの確認できる画面でしかログインしないように」と周知徹底するという案であるが、そのようなやり方もやめるべきである。

なぜなら、信用してよいか不明なサイトでブックマークレットから出現させた「ページ内JavaScriptウィンドウ」において、入力する情報によって、入力してよいか入力してはいけないかを区別するというルールは、一般の人たちにとって理解するのに無理があるからだ。図2の画面は、偽装されているかもしれないが、入力してよいのか、それとも入力してはいけないのか、また、別のケースならどうか、一般の人に判断せよというのは無理がある。

信用してよいか不明なサイトで、そのサイト自身が出現させた「ページ内JavaScriptウィンドウ」であれば、それは通常の入力欄と同じに扱うだけのことである。しかし、ブックマークレットで自分で出したウィンドウとなると、元ページの信用性を忘れて、過度に信用してしまう危険がある。

そのようなUI操作に一般の人たちを慣れさせてはいけない。「ページ内JavaScriptウィンドウ」はそのページのコンテンツであるという単純なルールを破壊してはいけない。

そもそも、ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものであることを忘れてはならない。上に述べたような状況というのは、通常のWeb利用だけならば生じ得ないことであり、「ブックマークレット」というソフトウェアのローカルコンピュータへのインストールによって初めて生じ得る問題である。

はてなが公式に提供しているものであるから皆、信用して使用するわけだが、本来はどこの馬の骨かわからない者が提供しているブックマークレットを易々と使用してはいけないものだ。

はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。

もちろん、ギークの人が内容を理解して自己責任で様々なブックマークレットを使うのはかまわない。だが、一般の人を巻き込まないで欲しい。はてなが、はてブの公式機能として「こちらから再設定をお願いします」と促せば、沢山の人々が、理解しないまま、否応無しにこのようなやり方に引きずり込まれていく。

Webの安全な利用手順を破壊する*3このようなブックマークレットを普及させるのは、やめていただきたい。

（ベータテストの段階から提供されていたようなので、もっと早く気付くべきだった*4。ちょうどそのころ他に様々な事が起きていたので、ベータ版を試す時間がなかった。）

■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる

Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。

図1: 自分で作成したマイマップを管理する画面

実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面（図2上）の「マイサービス」という部分の「編集」というリンクの先（図2下）にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。

図2: Googleアカウント管理画面

「アカウントを削除」のところには、ちゃんと「アカウントを閉鎖し、そのアカウントに関連するすべてのサービスと情報を削除します」と書かれている。

これをクリックすると図3の画面となる。

図3: 「Googleアカウントを削除」の画面

ここに注意書きが出ている。削除すると元に戻せないため同意確認のためチェックボックスにチェックを入れて、パスワードと共に削除ボタンを押すようになっている。ただ、ここで気がかりなのは、なぜかここには「ウェブ履歴」と「iGoogle」しかチェックボックスがなく、マイマップやカレンダーについての項目がないことだ。このチェックボックスがどういう意味なのかよくわからない。

削除を実行すると、「アカウントは削除されました。」というシンプルな画面が出るだけで、何が削除されたかは表示されない（図4）。

図4: アカウント削除実行後の画面

ところで、この状態では、アカウントは削除したのにログイン状態は維持されるようで、マップの画面に移動すると、まだマイマップの編集などができる。この時点で嫌な予感がしたのだが、ログアウトしてみた。

さて、マイマップはちゃんと削除されているだろうか。検索して確認してみる。

図5: アカウント削除後にログアウトして検索した様子

なんと、アカウントを削除したのに、マイマップはそのまま残っている。しかも、作成者を示す「投稿」の項目をクリックすると、このアカウントで作成したマイマップの一覧も出てくる。*1

しかし、アカウントは既に削除してしまったので、ログインができない。ログインができないのだから、このマイマップを削除することも編集することもできない。

これはどういう設計なのか？

まさか、カレンダーも消えてないなんてことはないだろうなと心配になり、公開設定にしていたカレンダーを表示させてみたところ、なんと、これも消えないことがわかった。

図6: 公開カレンダーも削除されなかった様子

「書いたら自分では消せない」というのは、掲示板では昔からそういう設計のところが少なくない。ログインせずに使うサービスはたいていそうだし、ログインして使うものでも、Slashdotなどは消す機能が用意されていないし、ブログでもコメント欄などには消す機能が用意されていないところが多い。（一方、ブログや日記の本体では消す機能のあるものが多い。）

「マイマップも掲示板と同じだ」ということだろうか？ それはいくらなんでも無理があるだろう。ログイン中にマイマップ一覧が出て、編集したり削除する機能が用意されている。

これが、アカウント削除すると消せなくなるなんて誰に予見できようか？*2 ましてや、公開カレンダーまで、掲示板と同様だなんて普通では思いもよらない。

では、アカウントを削除した後に、同じID（メールアドレス）で再度アカウントを作成するとどうなるだろうか。

実際にやってみたところ、同じIDでアカウントを作っても別のユーザとして識別されるようで、マイマップ一覧には何も出てこない（図7）。

図7: マイマップが初期状態である様子

この状態で、図5の検索をもう一度やってみると、マイマップは消えておらず、引き続き閲覧される状態であることがわかる。

このように、マイマップは、アカウントを削除してしまうとどうしようもなくなる。

一方、カレンダー（メインのカレンダー）については、同じID（メールアドレス）で再度アカウントを作成した直後に、アクセスできなくなった（図8）。

図8: 同じIDを再取得した時点でメインカレンダーにアクセスできなくなった様子

これは、URLに含まれているカレンダーIDがメールアドレスであるため、同じメールアドレスでアカウントが作成されたことにより、設定が上書きされたためだろう。

では、カレンダーIDがメールアドレスでないカレンダー（サブのカレンダー）の場合はどうなるだろうか。（Googleカレンダーでは、メールアドレスをIDとするメインカレンダーの他に、「新しいカレンダーの作成」でサブカレンダーを作成することができ、サブカレンダーのカレンダーIDは図9のアドレスバーのURLに出ているように、ランダムに生成された文字列を含むものとなる。）

図9: サブカレンダーはアカウントを削除しても消えない

この場合、カレンダーは消えなかった。

つまり、Googleカレンダーでは、サブカレンダーについては、アカウントを削除するとどうしようもなくなる。メインカレンダーについては、同じIDでアカウントを取得することで削除できる。

先日、「GoogleカレンダーのHTMLソースに氏名とメールアドレス」という指摘があったが、匿名のつもりで公開カレンダーを公開していた人*3が、ヤバいと思ってGoogleアカウントごと削除してしまうと、カレンダーは公開されたままどうしようもなくなるという悲惨なことになる。アカウント削除の前に個別の削除をするよう注意が必要だ。

いったいGoogleのサービスはどういう設計なのか？

図3の画面で、マイマップやカレンダーのチェックボックスがなかったのは「削除対象ではない」という意味なのだろうか？ しかし、ノートブックについては、図3にチェックボックスはないのに、アカウントを削除した直後に「サーバー エラー」となってアクセスできないようになった（図10）。データごと削除されているのだろう。

図10: ノートブックはアカウント削除と同時に削除された

こんな出鱈目なサイトは見たことがない。

GoogleドキュメントやGoogle Apps版のカレンダーがどうなっているかは調べていない。

■ 追記（30日） 非公開設定のカレンダーも削除されない

アカウントを削除してもコンテンツは残るというのは、ひょっとして、掲示板やブログのコメント欄と同様の趣旨で、公開したものは残さないとそれを参照している人が困るからとか、そういう積極的な方針に基づくものかもしれない？ と、気になったので、ならばということで、非公開設定のカレンダーがアカウント削除でどうなるかを調べた。

23日の日記「Googleカレンダーでやってはいけないこと」に書いたように、Googleカレンダーには、非公開設定であっても、認証なしでフィードリーダなどからアクセスできるようにするための、「非公開URL」（別名「個人用URL」）という裏機能がある。（これは通常のWebアクセスには使用しないものとして用意されている。）

非公開設定のカレンダーを作成して、この「非公開URL」をメモし、アカウント削除後にこれにアクセスできるかを確認した。

その結果、アクセスできることが判明した。

実験に用いたのは以下のURLである。（「pvttk=」の部分が非公開設定のカレンダーに認証なしでアクセスするためのトークンである。）

http://www.google.com/calendar/embed?src=bb947drak0anjp0gvmfla969fc%40group.calendar.google.com&ctz=Asia/Tokyo&pvttk=f834ae84d9aec55933116ef997829b90

つまり、アカウント削除でカレンダーが消えないのは、公開だから残しているというわけではなく、非公開のものも含めて全部のカレンダーを削除せず、単に放置しているということだ。

アカウントを削除してしまうと「非公開URL」のリセット（23日の日記参照）をすることもできなくなるので、注意が必要だ。

Google Appsを導入する企業らは、こうした、データを自社のコントロールの下で消せるかという点について、ちゃんと確認しているだろうか。