最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 904   昨日: 992

2012年08月18日

Tポイント曰く「あらかじめご了承ください」

「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。

その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。

この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。

騙す気満々の誘導

刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際して(略)その意図に反する動作をさせる」かつ「不正な」プログラムを、他人のコンピュータにおいてそのような実行の用に供する行為を犯罪と規定したものであるわけだが、ここで言う、「人が電子計算機を使用するに際してその意図に反する動作をさせるような実行」というのが、どのような意味なのか改めて確認しておきたい。

仮にこれの意味が、使用者の誰かが「俺の意図に反した」と言い出したら犯罪だ!というものであるとしたら、プログラマはいつ犯罪者にされてしまうかわからないわけで堪ったものではない。しかし、この点ははじめから杞憂である。「その意図に反する」というのは、個々の使用者の意図ではなく社会一般の認識において判断されるという客観説がとられている。

あるプログラムが、使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものであるか否かが問題となる場合におけるその「意図」とは、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断することとなる。

吉田雅之, 特集・情報処理の高度化等に対処するための刑事法の改正 法改正の経緯及び概要, ジュリスト, No.1431, pp.58-65 (2011)*1

では次に、プログラマの意思としては「その機能につき一般に認識すべきと考えられる」動作(客観的に期待される動作)に一致するプログラムとして開発・配布したつもりであるにもかかわらず、現実には、それと一致せず、社会の一般の人々にとっては意図に反する動作そのものなのが実態だった場合はどうだろうか。

これがまさに、昨年の国会審議で焦点となった「バグ」のケースをどう扱うかの問題である。衆議院での一部の参考人意見と一時期の大臣答弁では、バグも重大なものは該当し得るとされていた。その後、法務省はそれらの考え方を否定している*2のだが、その一方で、衆議院の参考人質疑でバグも重大なものは該当し得ると述べた今井猛嘉教授は、さらにその後、法律雑誌ジュリストの特集記事において同様の考え方を示しており*3、参考人意見のときと考え方を変えていない様子が窺える。

普通の善良なプログラマは当然、自分のプログラムの使用者を騙そうなどというつもりはないだろう。善かれと思ってプログラムを作っているわけで、プログラマの認識における当該プログラムの主観的な動作は、客観的に期待される動作と一致しているはずである。それなのに、バグなど、プログラマの何らかの考慮不足によって、結果として、客観的に期待される動作と異なった「意図に反する動作」をさせる事態となり、それが「不正な」と言えるような重大な害をもたらしたときに、民事上の責任を負わされ得るのはしかたないとしても、刑事上の犯罪とされるなどというのは、情報技術業界にとっては堪え難いことである。だから、昨年の国会審議に対しても情報処理学会が声明文*4を発表したわけである。故意がなければ不可罰なのだとしても、このような考え方では不作為の罪に問われかねない危険が残ってしまう。

犯罪とすべきはその逆である。つまり、開発・配布者が意図するところのプログラムの動作が、客観的に期待される動作と異なる場合(かつ「不正な」指令を与える場合)である。この考え方は、法務省の見解と一致していると思う。

では、ここで言う「客観的に期待される」動作、つまり、「当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところ」というのは、具体的にはどういうものだろうか。

利用規約はどうか。利用規約に書かれていればその記述が「その機能につき一般に認識すべきと考えられるところ」と言えるのだろうか。

技術者としては、自分に責任が降り掛かってくるのを避けたいので、利用規約に書いておけば免責されることにしたい傾向があるようだ。技術者はこう言うだろう。「利用者の誤解が一定数生じることはサービス提供者としてはどうしようもないわけで、利用規約に書いておけば免責されるのでないと困る」と。

しかしその点については、冒頭に書いたように杞憂であり、規約に何も書いていなくても*5、その状態で「客観的に期待される動作」が、開発・配布者の認識における動作と一致していれば犯罪ではない。なので、「利用規約に書いておけば免責されるのでないと、怖くてプログラムを配布できない」などと心配する必要はない。

むしろ逆に、「利用規約に書いておけば免責されるはず」との考えで、利用者を騙すつもりでスパイウェアを配布するような連中を処罰できないようではまずいだろう。実際、利用規約に書いてあっても犯罪とされた事件は既にあり、有罪判決も出ている。

  • 4クリック詐欺事件 共犯の男ら猶予判決, 産経新聞, 2012年7月6日

    アダルト画像をパソコンに表示させたままにするウイルスを使った「4クリック詐欺事件」で、詐欺と不正指令電磁的記録供用の罪に問われた会社員(略)懲役2年6月、執行猶予4年(求刑懲役3年)を言い渡した。

  • スマホアプリにウイルス、全国初の立件 警視庁 (リンク切れ), 日本経済新聞, 2012年6月14日

    スマートフォン(高機能携帯電話=スマホ)のアプリ(ソフト)にウイルスを組み込み、架空請求により料金をだまし取ったとして、警視庁サイバー犯罪対策課は14日までに、元IT関連会社社長(略)ら6人を不正指令電磁的記録供用と詐欺の疑いで逮捕した。(略)

    容疑者は「利用規約を書いていたので違法とは思わなかった」と容疑を一部否認。同課は、同容疑者らが架空請求や個人情報の抜き取りを目的にウイルスを作成した疑いもあるとみて調べている。

    (略)無料のアダルト動画が見られるアプリを公開。このアプリはインストールと同時に、スマホ利用者の電話番号やメールアドレスを抜き取る仕組みとなっており、約9200人分の個人情報が流出していた。(略)

規約に書いてあっても犯罪とされる場合があるとなると、善良な技術者は自分の身が心配になるかもしれないが、それも杞憂だと考える。なぜなら、不正指令電磁的記録の罪の構成要件には、客観的に期待される動作が実際の動作(開発・配布者の認識における動作)と異なるものとなることを、開発・配布者が認識しているという要件が含まれるとするべきである*6からだ。

つまり、利用規約がどうであれ、結果として、社会一般の者に「客観的に期待される動作」がどのようなものとなるかを、開発・配布者がどのように認識しているかである。

例えば、利用規約に書いてあっても利用者はその意味を理解しないだろうとの認識の下、「客観的に期待される動作」が実際の動作とは異なるものとなり得ることを(つまり、利用者は誤解して利用するだろうと)認識しながらそれを認容し、開発・配布する行為は(それが「不正な」指令を与えるプログラムであるなら)犯罪とされるべきである。善良なプログラマーにとっては無縁なことであろう。

その点、「Tポイントツールバー」はどうであろうか。

以下の図1は、CCC(カルチュア・コンビニエンス・クラブ)が8月10日に、Tポイントツールバーのインストールを誘うためにT会員に送ったHTMLメール(一部抜粋)である。

画面キャプチャ
図1: Tポイントツールバーのダウンロードページへアクセスを誘う「T会員メルマガ」
(赤の下線は引用時に付加したもの)

当時、Tポイントツールバーのダウンロードページは以下の図2のようになっていた。

画面キャプチャ
図2: Tポイントツールバーのダウンロードページ(2011年8月9日の時点)

上の方に書かれているように、「ウェブ検索するとTポイントが貯まる」というのが、Tポイントツールバーが提供する機能の趣旨として説明されている。しかし、その説明とは異なる別の「隠された」機能があり、それが提供者側が狙う本来の機能なのだ。

よーく見ると、巨大な「ダウンロードする(無料)」ボタンの下に、小さく「Tポイントツールバーをご利用頂くには、お客様のWEB閲覧履歴を取得・利用することについて同意いただく必要がございます。詳しくは、Tポイントツールバー利用規約を必ずご確認ください。」と書かれている。

このTポイントツールバーは、8月8日からスパイウェア紛いだとしてTwitterで非難され始めるのだが、そのように非難の嵐が吹き荒れる中でも、抜き取られるのは検索の履歴のみだと理解した人が何人もいた。「お客様のWEB閲覧履歴」という記述が、あらゆるWebページの全履歴であることまでは、予見して理解されない実態があった。*7

この「ダウンロードする(無料)」ボタンを押すと、「T-SITEログイン」の画面になり、T会員としてログインすることを促される。ログインすると同時に「TPointToolBar.exe」のダウンロードが開始される。これを開くと、以下の順に画面が出るようになっていた。

画面キャプチャ
図3: Tポイントツールバーのインストーラの画面(その1)

ここでも、あくまで「毎日のウェブ検索でTポイントが貯まる」という趣旨のプログラムであると説明されている。なぜここに「全てのWebページのアクセス履歴をCCCが収集します」という事実を書かないのか。

「次へ」ボタンを押すと以下の画面が出てくる。

画面キャプチャ
図4: Tポイントツールバーのインストーラの画面(その2)

利用規約が出てくるわけだけども、「Tポイントツールバー利用規約」の前に、特出しして、「こちらのサービスをインストールすると、以下の情報を取得、利用させて頂きます*8。あらかじめご了承ください。」との記述がある。「一応やりましたよ」ということなのだろう*9

ここで「あらかじめご了承ください」という表現を使うセンス。真っ当な企業がすることとは思えない。要するに「悪く思うな」ということだ。ここを見落として先に進めたら終わりである。この後には説明が出てこない。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図5: Tポイントツールバーのインストーラの画面(その3)

「閉じる」ボタンを押すと以下の図6のページが開く。

画面キャプチャ
図6: インストール直後に表示されるWebページ

ここでもあくまで、「ログインして検索すると、Tポイントが貯まる!」と説明され、本当の機能は説明されない。

この時点で、以下の情報送信が行われる。

画面キャプチャ
図7: インストール直後の通信内容

ここで送信されている「mid=」の値は、私の端末(バーチャルマシン)のMACアドレスのハッシュ値(SHA-256)である。これを「tlsc_l=」の値(ログイン中のT会員番号と一対一対応したID)と合わせて、tsearch.tsite.jp/install.php に送信している。端末IDと会員番号を紐付けているのだろう。

そして、この時点で既にアクセスURLの送信は開始されている。どこかのWebサイトを訪れると、そのページのURLが全部そのまま、log.opt.ne.jp のサーバへ以下のように送信される。

画面キャプチャ
図8: TポイントツールバーがアクセスURLを送信する様子

このように、私の端末のMACアドレスのハッシュ値「mid=」と、私のT会員番号と一対一対応したID「tlsc_l=」と同時に、アクセスしたURL「u=」が送信されている。

T会員番号と一対一対応したIDで個人を識別しながらアクセスURLの送信をすることは、上記図4の特出し部分には書かれていない*10。また、MACアドレスを送信することについては、「Tポイントツールバー利用規約」にさえ全く書かれておらず、これは無断送信である。

このようなやり方でこのようなプログラムを実行の用に供する行為は許されるのか。

ところで、こういった、例外なく全てのURLをそのまま送信するプログラムは、後述するように、海外の事例を含めて、2003年以降では見かけないようになっていた。スパイウェア又は情報漏洩プログラムとして忌避されてきたからだ。

類似のツールバーとして「楽天ツールバー」などがあるが、これらには、全アクセスURLを送信する機能はないようだ。

ただ、日本では、一つだけ、全てのURLをそのまま送信するプログラムがあった。私はこれまで存在に気付かなかったのだが、「永久不滅プラス」がそれである。調べてみると、昨年4月に登場していたようだ。

  • 永久不滅.comのツールバー「永久不滅プラス」, 株式会社クレディセゾン
  • 永久不滅.comを日本一のアフィリエイト・モールに育てたクレディセゾン 「ネットビジネスの両輪は、良いビジネスモデルと優良な会員」, ダイヤモンド・オンライン, 2011年8月22日

    もう1つ、今後力を入れようとしているのが、マーケティングデータ事業です。リアルの店舗でクレジットカードを使った場合は、いつどこで使ったかはわかりますが、何を買ったかまではわかりません。それがネットだと、何を買ったかまでわかります。

    今年4月からは、「永久不滅プラス」というツールバー(ブラウザに付加機能を追加するプログラム)の提供も始め、既に12万人が利用しています。このツールバーを使ってショッピングすれば、その都度ログインしなくても永久不滅.comを経由したことになります。会員にとって面倒な手間が省けて便利なだけでなく、もちろん会員の許可を取った上でですが、行動履歴の情報も蓄積することができます。

    こうした購買履歴や行動履歴と会員の属性情報が紐つけられると、日本で最も精緻なマーケティングデータになります。マーケティングデータ販売、オーディエンス・ターゲティングネット広告などの事業も、大きな可能性があると考えています。

「永久不滅プラス」をインストールして調べてみたところ、「全てのURLをそのまま送信する」という点は、Tポイントツールバーと同じであった。しかし、その機能についての利用者への説明が、その態度が、Tポイントとは全く違うものであった。

以下は、「永久不滅プラス」をインストールするまでの手順である。「永久不滅.com」に会員登録するとき、以下の図9が現れて、「永久不滅プラス」のインストールを勧められる。

画面キャプチャ
図9: 「永久不滅.com」会員登録で「永久不滅プラス」を勧められる様子

この段階では、「全てのURLをそのまま送信する」機能について説明されていない。「詳しくはこちら」をクリックすると、以下の画面が現れ、便利機能の説明だけが並んでいる。

画面キャプチャ
図10: 「永久不滅プラス」の機能の説明

そしてこの「次へ」ボタンを押すと、以下の画面が現れる。

画面キャプチャ
図11: 「永久不滅プラス」のオプション機能についての説明(赤枠部分)
(赤枠は引用時に加えたもの)

赤枠で示した部分に書かれているように、「全てのURLをそのまま送信する」機能は、「モニタ登録」したときのオプション機能なのだ。「モニタ登録とは」のリンク先は以下のように書かれている。

画面キャプチャ
図12: 「永久不滅プラス」の「モニタ登録とは」のリンク先画面
(赤枠は引用時に加えたもの)

このように、何が行われるのか、わりとわかり易く説明されている。しかも、インストーラを起動したとき、以下の図13のように、「永久不滅プラス」というツールバーの利用規約に同意した後、さらに、「永久不滅プラス利用者限定モニターサービス」の利用規約が示されて、モニタ登録を選択せずに利用することも可能になっている。(「モニタ登録する」のチェックボックスを外せばよい。)

画面キャプチャ 画面キャプチャ 画面キャプチャ
図13: 「永久不滅プラス」が「モニタ登録」をしない選択肢を与えている様子

「モニター登録」という表現も、それで何が行われるのか直感的に予見し易いように工夫されていると言えるだろう。「モニター」とは従来からだいたいその手のものを指している。

このように、不正指令電磁的記録供用罪該当性の観点から、プログラムの開発・配布者が、どのような意図をもっているかについて、「Tポイントツールバー」と「永久不滅プラス」とでは、全く異なる趣であることがわかる。*11

「永久不滅プラス」について犯意を問うことはできないだろう。利用者達が「全てのURLをそのまま送信する」機能の存在を知らないままインストールしてしまうことを、「永久不滅プラス」の開発・配布者らが待望しているようには見えない。可能な説明の限りを尽くしたかと言えば、まだ改善の余地はある*12にしても、まあ、利用者に誤解されないように説明しようという意思は見て取れるだろう。

同様に、アクセスURLの送信機能を持つ、Googleツールバーや、はてなツールバーにおいても、利用者に重要事項を説明している例があり、これについては2006年2月5日の日記「閲覧しているページのURLを送信するツールバー類のリスクとその機能説明」に書いている。

それらに比べて「Tポイントツールバー」はどうか。どこにもそういった努力が見られない。「このくらいで逃げられますか」という態度で、インストーラの利用規約の上に特出しした説明を粗雑な日本語で付け加えたにすぎない。このような「このくらいで逃げられますか」というやり方は、昨年9月のミログ社の「AppLog」騒動のときと共通している。

しかし、不正指令電磁的記録供用罪の構成要件であるべきところの、「利用規約に書いてあっても利用者はその意味を理解しないだろうとの認識の下、客観的に期待される動作が実際の動作とは異なるものとなり得ることを(つまり、利用者は誤解して利用するだろうと)認識しながら、それを認容していたか」という、開発・配布者の内心の問題は、どうやって立証するかという困難がある。

例えば、これは一般論であるが、開発・配布者に「なぜ、全てのURLをそのまま送信する事実について、もっと、ここやここにはっきりと書かなかったのか?」と問い質したときに「そんなことを書いたら、利用者が怖がって敬遠してしまうので書かなかった。」と供述するとか、あるいは、社内文書や電子メールで、一部の善良社員が、「こういうふうに書かないと利用者がこの機能を知らないままインストールしてしまいます。」と指摘していて、それに対して他の社員が「そんなことをしたら利用者が怖がって敬遠してしまうからだめだ。」といった返事をしているのが見つかれば、不正指令電磁的記録作成・供用罪を立証できるのではないだろうか。

このように、プログラムの開発・配布者は、利用者が誤解して実行してしまうプログラムを、積極的に実行させようとする場合(例えば「100万ポイント山分け」などの宣伝文句で誘う場合)には、利用者が誤解することを待望するような意識自体を持たないようにしないと、罪に問われかねない点に注意したい。*13

そもそも、Tポイントツールバーに限らず、Tポイント自体が「このくらいで逃げられますか」というやり口になっている。7月17日の朝日新聞朝刊の記事で指摘された、ドラッグストアが客の医薬品購入事実をCCCに提供しているのが刑法134条の秘密漏示罪*14に当たり得るという件でも、同様の構造がある。私があるドラッグストアで、薬剤師の店員に、刑法134条の秘密漏示罪に当たるのではないかという話をしたときに、私が薬剤師に「そうと知ったからには、この後、客に医薬品を販売する際には、Tポイントカードの提示を求めるときに、『これによりこの医薬品を購入した事実がCCCに提供されることになりますが、よろしいですか』と個別の同意を求めればよい。そうすれば秘密ではなくなる。」と告げたとき、その薬剤師は「そうするとお客さんは商品を買わなくなるかもしれない。」と言った。そういう認識の下でやっているわけだ。(この件については、日を改めて詳しく書く予定。)

こういう状況であるにもかかわらず、一流の技術者が、今回の件で以下のようにツイートしたことは、誠に嘆かわしい。企業向けの監視ソフトは、誰にとってもその目的でURL送信するのが明らかであり(それ以外の用途に流用していないのなら)「意図に反する動作」となりようがない*15。(利用規約で免責されるのでないと開発者としては怖いという気持ちはわかるけれども。)

もっとも、Tポイントツールバーについては、不正指令電磁的記録供用罪に該当するには、それが「不正な」プログラムと言える必要がある。「不正な」との要件は、規範的構成要件要素と呼ばれるもので、裁判所が決めるものであるから、明確な基準が現時点であるわけではない。しかし、少なくとも次のことは言えるだろう。

もし仮に、ツールバーが送信する情報が、コンピュータのハードディスク内のファイルの中身(ワード文書や、表計算ファイル等)だったとしたらどうだろう。いくら利用規約にそのことが一応書かれていたとしても、このようなやり口でインストールさせ、かつ、利用目的がこのようなものであるなら、明らかに不正指令電磁的記録供用罪として断罪されるべきものだろう。

ならば、URLなら良いのか?ということになる。URLは公開情報だから盗んでも構わないのか。いやそうではないだろう。この点について以下で検討する。

セキュリティ上の問題

Tポイントツールバーが、HTTPSで保護されたページを閲覧したときも、そのURLをHTTPで(暗号化せずに)送信してしまうことが、セキュリティ上の欠陥である旨が、徳丸氏により指摘された。

これを受けてか、Tポイントツールバーは、8月13日に新バージョンを出し、何と、URLをHTTPSで送信するようにカイゼンした。いや、そういう問題じゃあない。

画面キャプチャ
図14: Tポイントツールバー「バージョンアップのお知らせ」(8月13日時点)

URLを盗み出すのがなぜセキュリティ侵害となるのか、いくつもの類型があるが、その一つは、社内の秘密が漏れるという問題である。

以下の図15のように、Tポイントツールバーは、プライベートアドレスのサーバへのアクセスについても、そのURLを送信する。

画面キャプチャ 画面キャプチャ
図15: Tポイントツールバーが192.168.0.1のURLも送信する様子

もう一つのセキュリティ侵害の類型は、近ごろ利用が進んでいるという、いわゆる「クラウド」に社内文書等を置くようにしている場合である。

例えば、Google Docsの場合。以下は、Google Docsで「リンクを知っている人」設定にした表計算ファイルの例である。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図16: Google Docsで秘密のファイルをURLで共有しようとした様子

上の図16は、Macで作成したスプレッドシートを、WindowsのIEユーザにURLを渡したときを想定した様子である。このIEユーザはTポイントツールバーを使っているため、以下のようにして、このURLはオプト社とカルチュア・コンビニエンス・クラブ社の手に渡る*16のである。

画面キャプチャ
図17: 秘密のスプレッドシートのURLがオプトとCCCの手に渡る様子

このURLに他人からアクセスされると、以下の図ように共有状態となってしまう。

画面キャプチャ
図18: 秘密のスプレッドシートが何者かにアクセスされた様子

こうした、秘密のURLが漏れたことによる致命的な事故が、一昨年、実際に起きている。

この事件は、エロゲーのネット通販の店が使用していたショッピングカートシステムが、あまりにも杜撰な作りになっていて、管理者画面のパスワードがURL上に載っていたために起きたと考えられる。以下の図19は、この事件が発覚した当時、私がGoogleで見つけたURLである。

画面キャプチャ
図19: URLに管理者画面のパスワードが載っていた様子

このように、検索結果の一つ目のリンク先URLには、「pass=num*******」という管理者パスワードが載っていた。ここから辿って、芋づる式に全てのURLがGooglebotに拾われたようで、利用者の氏名でググっただけで、その人の登録情報(ID・パスワード含む)と注文履歴までもが検索結果に現れる事態となってしまったのであった。

画面キャプチャ
図20: 利用者の登録情報がGoogleに転載されていた様子(2010年4月3日時点)

画面キャプチャ
図21: 「Pathtraq」に注文履歴が転載されていた様子(2010年4月3日時点)

当時、どのようにしてこのURLがGooglebotの手に漏れたのかが謎となったわけだが、私が疑ったのは、Pathtraqであった。

Pathtraqは、専用のツールバーをインストールすることで、Webブラウザで閲覧するURLをサーバに送信して、それを皆で共有し合うという趣旨のサービスであった。動作としては、Tポイントツールバーに近いわけだが、これが、スパイウェアとして騒がれることがなかったのは、URLを送信して皆で共有し合うという趣旨が、画面を見れば一目瞭然であったからである。また、利用者の識別もしていなかっただろうし、収集したURLを行動ターゲティング広告などに流用してはいなかっただろう。少なくとも、開発者の顔が見えていたため、そのように信頼されていた。

しかし、セキュリティの面では、Pathtraqは危ういものであった。これについては、過去に何度か書いていてる。

  • Googleカレンダーでやってはいけないこと, 2008年11月23日の日記

    Pathtraqと共存しえない

    特に、サイボウズラボの「Pathtraq(パストラック)」サービスを利用している場合は、ほぼ確実にURLが漏洩し、公開状態に持って行かれてしまうので、図2の画面でURLを絶対にクリックしないようにしなければならない。(略)

    この検索結果を適当にクリックしてみたところ、URLに「pvttk=」を含むものがあった。特に、WIDE幹部の予定表がこれによって公開状態となっていたのには驚いた。WIDE幹部関係者でさえ、この程度のITリテラシーだということを意味する。(略)

    ここに「2 hits」とあるのは、2回しかクリックしていない(Pathtraqのツールバーを導入している人が図2のリンクを2回クリックした)という意味である。2回クリックしただけで、公開され、内容まで閲覧可能になってしまう。(略)

    これはまずいと思ったので、すぐにサイボウズラボに通報して、「pvttk=」を含むURLは検索に出ないようにして頂いた。11月17日以降は出なくなっている。この通報は、Pathtraqヘルプの次の記述に基づくものである。

    URLとセキュリティについて

    パストラックが取り扱うURLはhttp://で始まるもののみです。以下のようなサイトは、パストラックのログサーバに送信・保存され、パストラックサイトにて公開されることはありません。

    • HTTPS(SSL)プロトコルによって暗号化されたページ
    • ブラックリストに登録された認証トークンを含むページ
    • DNSで引く事の出来ないホストが提供するページ

    このHTTP URLに認証目的のトークンが含まれる場合につきましては、パストラックのサーバ上にて、ブラックリストによる消去処理を行っています。

    ブラックリストの詳細につきましては、こちらをご覧ください。

    ブラックリストで除去しているというのだが、不完全なものとならざるを得ないことは容易に想像されるところである。この「ブラックリスト」とはいったいどういう仕組みなのか。ヘルプには「ブラックリストの詳細につきましては、こちらをご覧ください」とあるが、そのリンク先を見てもそれらしきことはどこにも書かれていない。

    このような事態の大元の原因は、URL中に秘密情報を含めてしまうWebアプリケーションにあるわけだが、それをほぼ確実に公開状態に持って行くPathtraqツールバーがその危険を加速させていて、かつ、Pathtraqのブラックリストは不完全で、どういうものなのかも説明されていない。RefererはWebの標準機能だからしかたがないと言えるが、後から導入させるツールバーでこの状況というのはどうなのか。

  • Googleドキュメントの「招待メール」の危険, 2009年2月1日の日記

    これはまずいと思い、まず、Pathtraqを運営するサイボウズ・ラボに通報した。その結果、検索でヒットしないよう対策がとられた。

当時、正直「いつまでこんな泥縄の対策を続けるつもりなの?」と疑問に思っていた。Pathtraqの開発者は一流のIT技術者なのだから、そんなことは言われなくても自分でわかるだろうにと思ったものだった。ただ、Pathtraqは企業がサービスしていたとはいえ、顔の見える開発者個人によるものという雰囲気もあったので、強く非難することはできなかった。その後、2010年10月にPathtraqはサービス終了となったようで、現在ではこうした危険は解消している。

さて、上に述べた、メッセサンオー事件における秘密URLの流出元がPathtraqだったのかについて。Pathtraqは「HTTPS(SSL)プロトコルによって暗号化されたページ」は収集していないとされていたが、図19に出てくる管理者画面のURLは図にあるようにHTTPのページである。これが拾われたのではないかと疑った。しかし、当時Pathtraqに掲載されていた範囲では、当該URLは掲載されておらず(図21は、騒動になった後に野次馬達が見に行ったときのURLが記録されたもの)、確証は得られなかった。

ところで、Pathtraqの他にも、利用者のアクセスURLを送信するものがいくつかある。Googleツールバーもその一つである。はてなツールバーもそれに該当する。これらについては、2006年に以下のように書いた。

はてなツールバーは、2006年1月27日のアップデートで、「URLがhttpsの場合、含むアンテナ、言及日記のために、はてなにURLを自動送信しないようにしました」と仕様変更している。

Tポイントツールバーは、こうした過去の事例を知らずに、ああいうことをやってきたわけである。

さて、Googleツールバーは、現在もそのような仕様なのだろうか。永らくそれを確認していなかったので、今回、最新バージョンで確かめてみた。すると、現在では仕様が変わっており、以下の動作をするようになっていることがわかった。

  • HTTPのページについては、「?」以降「#」以降も含めてURLの全部を送信する。
  • HTTPSのページについては、ホスト名だけ送信する。

画面キャプチャ
図22: Googleツールバーの送信内容

この仕様変更がいつ行われたのかわからないが、今になって思えば、メッセサンオーの管理者画面のHTTPのURLが漏れたのは、Googleツールバーのこのような仕様変更の直後だったのかもしれない。

Googleツールバーがこのように仕様変更された理由は、ここ数年で、Google自身が、Google Docsなどの重要なサービスの全部をHTTPSのページに変更してきたことと関係があるかもしれない。Googleとしては、もはや、HTTPSのページは秘密を守る必要があるが、HTTPのページは秘密を守る必要がないと、割り切った立場をとっているようだ。

このことは、歴史的なスパイウェアとして悪名高い「Alexaツールバー」においても同様であった。インストールして調べてみたところ、Alexaツールバーは以下のように動作した。

  • HTTPのページについては、「?」以降「#」以降も含めてURLの全部を送信する。
  • HTTPSのページについては、ホスト名と、パス名部分以降を何か変換したものを送信する。

画面キャプチャ 画面キャプチャ
図23: Alexaツールバーの送信内容

パス名以降の部分を変換したデータで送信するのは、セキュリティ侵害を避けつつ、各URLを別々のものとして識別するためであろうか。

このように、他のツールバーが何らかの対策を打って、落とし所を探ってきている中で、Tポイントツールバーは、何の対策をすることもなく土足でこの領域に踏み込んできたわけだ。

なお、この点においては「永久不滅プラス」も同じである。インストールした直後から(ユーザ登録していないのに)、以下のようにアクセスURLの送信が始まっていた。HTTPSであってもURLの全部(「#」以降まで含む)を、HTTPで aqfts.naver.com に送信している。

画面キャプチャ 画面キャプチャ
図24: 「永久不滅プラス」の送信内容

「Tポイントツールバー」や「永久不滅プラス」をインストールしている人は、重要なファイルをURLで共有しないように注意しなければならない。

Google Appsの現状について調べたところ、2009年2月1日の日記「Googleドキュメントの「招待メール」の危険」で書いた問題は、その後「招待メール」機能が廃止されて解決されていた。また、2008年11月23日の日記「Googleカレンダーでやってはいけないこと」で書いた問題も、「非公開URL」なるものを取得する機能が廃止されていた。それにより、安全性は向上したと言えるだろう。

しかし、依然として、「リンクを知っている人」で共有する機能はあちこちに残っている。例えば、Googleマイマップにもそれはあるし、Picasaにもそれがある。

画面キャプチャ
図25: Picasaでアルバムを「リンクを知っている人全員」設定にした様子

このURLを、「Tポイントツールバー」や「永久不滅プラス」を使っているIEユーザに渡せば、以下の図26のように、「authkey=」で示された鍵が、オプトとCCCや、naver等へと渡されてしまう。

画面キャプチャ
図26: Picasaの秘密の写真の鍵付きURLがオプトとCCCへ渡されている様子

こうした、URLを鍵とした共有方式は、Google以外にも広がりつつあるようで、Evernoteにも、Flickerにも、そういう機能があるようだ。

今後、そういったURLが漏れることによる情報漏洩事故が起きる予感がしてならない。

奇しくも、図書館をCCCにすると決めた武雄市は、facebookに加えて、Google Appsも市役所の業務に使い始めているという。その武雄市の市長も、パワーユーザーらしく、最近こんなツイートをなさっている。大丈夫だろうか。

*1 法務省Webサイトの「いわゆるコンピュータ・ウイルスに関する罪について」にも同一の文あり。

*2 2011年7月16日の日記の「バグの件はどうなったか」及び同26日の日記「法務省担当官コンピュータウイルス罪等説明会で質問してきた」参照。

*3 

バグとは、一般に、コンピュータ・プログラミングの過程で、その作成者にも気づかれずに発生したプログラムの誤りや不具合を指す概念として用いられている。この意味でのバグが、電子計算機の使用者に与える害悪の程度が低い場合(例えば、プログラムの実行中に、キー入力後の文字変換が、一瞬、遅くなる場合)には、当該バグが含まれているプログラムから生ずる社会的な(消極的な)影響はなお小さいので、当該バグ(を含むプログラム)をコンピュータ・ウイルスと解することはできない12)。他方で、バグが使用者に与える害悪の程度が高い場合(例えば、バグにより電子計算機の機能が麻痺させられ、通常の動作への復旧が容易にはなしえない状態が生ぜしめられた場合)には、当該バグは、電磁的記録に「不正な」指令を与えたと解することになる13)。もっとも、こうしたバグに由来する不具合も、電子計算機の使用者が予想し、承諾している範囲内であれば、「不正な」指令を与えたことにはならない14)。以上の点に加えて、フリー・ソフト等を作成・提供している者には、本罪の主観的要件が欠如することも多いであろう。すなわち、フリー・ソフト等は、ユーザーからのバグの報告を受けて、その除去等、改善を繰り返すことで、より良いプログラムに仕上げていくという暗黙の了解の下で使用されている。そこで、作成者が、こうした環境を認識してプログラムを作成等している場合には、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」目的が欠けることになろう。あるいは、プログラマにおいて、バグを除去したいと思い、その作成を終え、これを一般に提供等する場合には、本罪の故意が否定されることも、十分に考えられる。

今井猛嘉, 特集・情報処理の高度化等に対処するための刑事法の改正 実体法の視点から, ジュリスト, No.1431, pp.66-77 (2011)

*4 情報処理学会セキュリティ委員会, 「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」に対する要望, 2011年6月17日

*5 法務省Webサイトの「いわゆるコンピュータ・ウイルスに関する罪について」には、「したがって、例えば、プログラムを配布する際に説明書を付していなかったとしても、それだけで、使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものに当たることとなるわけではない。」と書かれている。

*6 バグの問題もこの考え方で整理できる。バグの場合は、プログラムの実際の動作が開発・配布者における主観的な動作と食い違っている場合であり、プログラムの実際の動作が、客観的に期待される動作と異なる「意図に反する動作」をさせるものであったとしても、プログラマにおける主観的な動作が客観的に期待される動作と一致さえしていれば犯罪ではないと整理できる。

*7 この画面の下の方には「【注意事項】」が列挙されていたが、ここに書かれている内容は、IEしか対応していないこととか、ポイントの貯め方とか、ポイントの付与日についてであり、肝心の、あらゆるWebページの全履歴を収集するプログラムである旨は書かれていなかった。

*8 どういうわけか(わざとなのか)主語が省かれて書かれているので、どういうことかわからない人も少なくないだろう。「取得、利用」といっても、サーバに送信するとは限らないわけで、クライアント側で使うだけと理解する人もいるだろう。

*9 6月30日に総務省が案を公表していた「スマートフォン プライバシー イニシアティブ −利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション−」で提言されていたことに対応したつもりなのだろう。

*10 「Tポイントツールバー利用規約」には、「本ツールバーには固有の利用番号が登録されています。当該利用番号は、本ツールバーが機能するために必要な情報であり、無効化あるいは削除することはできません。」とあり、この表現がそれを説明したつもりなのかもしれないが、その番号をどう使うかは書かれていない。わざと書かないようにしているのか。

*11 なお、この「永久不滅プラス」が、個人情報保護法上、適法かどうかはまだ調べていない。

*12 例えば、「モニタ登録する」のチェックボックスは、デフォルトでオフとするのが望ましいのではないか。

*13 他方、積極的に実行させようとする意思がない場合には、説明が十分でなくて誤解する人が現れる可能性があっても、開発・配布者に説明を尽くさないことの責任はないと、私は考える。法務省の解説にある以下の記述は、このようなケースを指していると思う。

あるプログラムが、使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものであるか否かが問題となる場合におけるその「意図」とは、個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断することとなる。

したがって、例えば、プログラムを配布する際に説明書を付していなかったとしても、それだけで、使用者の「意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」ものに当たることとなるわけではない

いわゆるコンピュータ・ウイルスに関する罪について, 法務省, 2011年7月

*14 刑法134条には、「医師、薬剤師医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。」とある。

*15 ただし、セキュリティ用途であっても、消費者向けのソフトで、無断でURLの全送信をするのはスパイウェアだとされた事案がある。2005年11月25日の日記「ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである」参照。

*16 URLデータの直接の送信先は opt.ne.jp となっているが、Tポイントツールバーの利用規約では、カルチュア・コンビニエンス・クラブ社が取得するとなっている。

2012年08月22日

やはり欠陥だった武雄市の個人情報保護条例

5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。

対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。

照合可能型
「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例)
(行政機関個人情報保護法と同等のもの)(多数派)
容易照合型
「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなるものを含む。)をいう。」(千葉市の例)
(民間と同等としたもの)
照合除外型
「個人を対象とする情報であって、特定の個人が識別することができるものをいう。(武雄市の例)
(照合性の括弧書きが欠如している)(少数派)

武雄市の定義は、照合によって「特定の個人を識別することができることとなる」場合を含むとの括弧書きが欠けているため、民間向けの「個人情報」定義よりもさらに狭く、民間よりもフリーダムなものになっている。この定義を採用している地方公共団体は他にもあるが、全国でもかなりの少数派のようである。

「個人情報」定義の弊害、とうとう地方公共団体にまで, 2012年5月8日の日記

当時、これに対して市長が以下のように言っていた。

まず、こんな類型聞いたことないぞ。個人情報保護法案の手前の段階で、僕、官房総務課の法令審査係長だったんですが、私寡聞でしょうか、そんなこと聞いたことないし、高木さんの脚注*1を期待していたら、(略)

そして、最大の問題点は、この人、法律や条例の読み方を知らないこと。武雄市の例を出してなかったら放っておいたんだけど、しかも、これを前提にして図書館履歴のことを持ち出しているのであえて書きますね。

個人情報保護法の「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」については、法令用語の通例として、括弧書きにより定義がなされたものであり上記は範囲の明示をしたもの。

括弧書きがない場合も、括弧書きの対象である「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものが機械的に除かれるわけではなく、「「民間向けの「個人情報」定義よりもさらに狭い」と断ずることはできない。これもまた、法制の世界では当たり前のこと。(略)

こんな高木さんのようなわざわざ特定の自治体の名を出して欠陥扱いするような人が出てくるので困る。(略)

そこで、高木さんのような説が出ないように、うちの個人情報保護条例の定義の分を改正しようかって一応、個人情報保護審議会及び議会に相談してみますが、相手にされんだろうな。条文を改正するには、改正する具体的な「利益」(これは霞ヶ関用語ですね。理由と言い換えてもいいかも。)、改正せねばならない喫緊の課題が必要なので。

ちなみに、僕はこの条例が制定されたときは、6年以上前、まだ市長ではなかったので、当時の担当職員に聞いてみたところ、やっぱり、個人情報は国が扱う範囲と同一、なるべく、分かりやすくするために、そして、括弧書きは内包されているので、あえて書かなかったとのこと。

高木浩光先生、間違ってます。, 武雄市長物語, 2012年5月10日

ところが、先週公表された、7月10日の武雄市教育委員会臨時会の会議録によると、Tポイントカードの会員番号*1が個人情報に該当しないと、武雄市の職員によって説明されている。

○文化・学習課長

7月6日に開催されました個人情報保護審議会ですが、教育長から3つ諮問されました。(略)

二番目は、Tカードを利用してポイントが付くようにしてほしいと希望された方ですが、ポイントが付くためには図書館のデータを管理したシステムの中から、CCCのポイントシステムに情報を提供しなければなりません。これも個人が特定できる情報ではなくて、Tカードを使うと会員番号と何月何日何ポイント付いたという情報がCCCのポイントシステムにいくということですが、こういうふうに情報が提供されますが、いいですねと規約をお見せして同意をいただきます。同意があれば、情報提供してもいいというのが諮問です。(略)

武雄市教育委員会臨時会(H24.7.10)会議録, 武雄市, 2012年8月17日

そらみろ、条例でちゃんと明文化しないからこういうことになる。

これは市長も同じ認識のようで、7月23日の以下のニコニコ生放送の中でも、「会員番号の何とかさん(略)これ個人情報じゃないんですよ」という発言があった。

  • デジタルアーカイブ研究所・研究会「図書館の今後を考える」, ニコニコ生放送, 2012年7月23日

    (1:50:50)

    たとえばね、図書館で樋渡啓祐っていう人が42歳で武雄市在住の人が楽園のカンバス借りたっていうのは行きません。じゃどういう情報がそのポイントシステムに行くかっていうと、会員番号の何とかさんが図書館で何時何分何点借りましたって、うん、いうのだけ行くんですね。ですので、そういう意味じゃこれ個人情報じゃないんですよ。個人情報っていうのは、紐付けして個人っていうのが特定されるのが個人情報ですよね。

    映像1: デジタルアーカイブ研究所・研究会「図書館の今後を考える」より批評に必要な範囲で引用

図書館の利用事実だけで立派な個人情報であるし、ましてや「何時何分何点借りました」という情報までも含むのだから、プライバシーと感じる人もいるだろう。

どうしてこうも個人情報でないことにしたいのか謎と言わざるを得ない。一般に、個人情報であってもちゃんと同意があれば利用できるのだから、まずは個人情報であるとした上で、同意の手順を定めるべきなのにだ。

なお、この「同意」を得るというのはそうそう簡単なことではないわけで、このところの、Tポイントの医薬品販売情報の件や、Tポイントツールバーの件を見れば、CCCは、利用規約に書くだけの「形だけのドーイ」で逃げられるという態度の会社ということが確認されつつある。

武雄市教育委員会臨時会でも、上で引用した部分にあるように、「こういうふうに情報が提供されますが、いいですねと規約をお見せして同意をいただきます。同意があれば、情報提供してもいいというのが諮問です。」と、現状のTポイント加盟ドラッグストアと同程度のことしかしないつもりのようだ。こういうことを自治体がする場合には、重要となるのは「こういうふうに情報が提供されます」だけでなく、「こういうふうに利用されます」という説明なのに、それをしないつもりなのか。

実は、「こういうふうに利用されます」というのは、誰も説明できないかもしれない。なぜなら、CCCがそれを企業秘密として明かさない*2からだ。以下は、毎日新聞社とスポーツニッポン新聞社が提供するTポイント対応サービスについて、当事者に質問したときの様子である。

このように、Tポイント加盟社も、CCCに吸い上げられた情報がどのように利用されるのかわからないまま、契約しているわけである。(これは、ドラッグストアに取材したときも同様の様子だった。)

ひとつのやり方は、ポイントの払い出し以外の目的(マーケティングその他のため個人を分析する目的を含む)での利用を禁止する契約をCCCと締結することだろう。そうすれば、Tポイントの図書館での利用についての利用者の同意をとることは容易となる*3

その他にも、武雄市の個人情報保護条例は、2003年に地方自治法が改正されて指定管理者制度ができたときに総務省が出した通達「総務省自治行政局長通知(通知平成15年7月17日総行行第87号)」に従っていないという話を、専門家から教えて頂いた。ただ、これについてはまだ私はよくわからないので、後日、理解できたら書こうと思う。

なお、上記の「図書館の今後を考える」のニコニコ生放送では、以下のシーンもあった。

映像2: 「図書館の今後を考える」より、
「個人情報っていうのはすごいイデオロギーみたいになっているじゃないすか」とのシーン

映像3: 「図書館の今後を考える」より、「Tポイントカードを住基カードと置き換えろ」のシーン

*1 これは「他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの」に該当する。(この行政機関向けの個人情報定義は、民間向けの個人情報定義と違って、「容易に」がないので。)

*2 この点についてもCCCに取材してある。日を改めて書く予定。

*3 もっとも、Tポイントがいかなるものか、図書館以外で使用したときに何が起きるか、十分に知らせないまま、T会員になることを自治体が勧めるという行為の問題点は残る。

2012年08月26日

日本フェイスブック学会総会1118聖誕祭

前回の日記に学会長から答礼を頂いた。

  • 高木浩光先生、やっぱり間違っています。もっと勉強してください。, 武雄市長物語, 2012年8月23日

    あの高木浩光先生が、不思議なことに、「武雄市個人情報保護条例はやはり欠陥だった」と、ブログを書いておられる。

    その中に、

    「そらみろ、条例でちゃんと明文化しないからこういうことになる。」

    と言われても、どういう論理展開であるか不明だが、以前に指摘したとおり、括弧書きがない場合も、括弧書きの対象である「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものが機械的に除かれるわけではなく、「民間向けの「個人情報」定義よりもさらに狭い」わけではない。これは以前、書きました。良かったらご覧ください。高木さん、あなた、完全に間違っています。

    また、毎日新聞+スポニチが、Tポイント付与を希望される利用者のTカード番号をCCCに提供するのと同じく、武雄市立図書館もTカードを利用してTポイントが付くようにしてほしいと希望された利用者に関して同意に基づき、CCCにTカード番号と何月何日何ポイント付いたという情報を提供する。つまり、民間と同じレベルの運用で、民間よりもフリーダムになっていることはない。

    ● ただまあ、私以外にもこの御仁のおかしさについては縷々指摘してあって、以前ほどの影響力はもう無いなって思う。(略)

あれ? 民間と同じレベルではなく「国が扱う範囲と同一」*1とのことだったはずだが?

加えて、facebookで以下のように「シェア」が呼びかけられていた。

どんな人が「いいね!」を押しているのか見てみると、全国各地の自治体職員や地方議会議員の方々、会社社長の方々がけっこう多いようだ。「シェア」の様子も右端の「58」のところのアイコンを押すことで一部見ることができる。

ところで、この数日前のエントリによると、「日本フェイスブック学会」(日本学術会議非認定)が、11月18日までの3日間お祭を開くそうな。

  • 誤解を恐れずに言えば、武雄市外ではプレス…, 樋渡 啓祐, 2012年8月20日

    誤解を恐れずに言えば、武雄市外ではプレスを含め、僕の扱い方は新興宗教の教祖様扱い、バブルです。でも、武雄市ではランニング好きのフツーの42歳のおっさん。もちろん、実像は後者なんだけど、まあ、風が吹いている、しかも、仕事人生で初めての順風なので、踊るだけ踊ろうと思っています。風はいつか止みます。

    Dancing in the wind on the street.

    まだ、Facebook学会総会の細かい段取りは全然決めていませんが、みんな、11月16日(金)から18日(日)だけは押さえておいてください。(略)

    画面キャプチャ

的屋の屋台とかあれば楽しまれるのでは。

*1 前回の日記で引用したように、5月の市長の説明で、「当時の担当職員に聞いてみたところ、やっぱり、個人情報は国が扱う範囲と同一、なるべく、分かりやすくするために、そして、括弧書きは内包されているので、あえて書かなかったとのこと。」と述べられている。

2012年08月28日

クレディセゾンへの信頼、明日、正念場

クレディセゾンといえば、信頼のおけるクレジットカード会社という印象があり、「永久不滅.com」のサービスが現れたとき(2006年)も、きわどいなあと思いつつも、そういうサービスとわかってて使う人向けの構成になっていたので、まあいいかと思った記憶がある。

しかし、昨年8月の「永久不滅プラス」なるツールバーの出現には気付かなかった。「永久不滅プラス」については、先日、8月18日の日記の中で書いたように、Tポイントツールバーと同様に、閲覧する全てのWebサイトのURLを全部送信するというきわどいもの*1ではあるものの、Tポイントツールバーとは違って、「モニター登録」という追加サービス(毎月100ポイント貰える)の導入を受け入れた人だけに対する機能として説明されているので、欺瞞的要素は見られず、きわどいサービスだけに誠意を尽くしているのだなと思った。

ところが、8月18日の日記の翌日、Twitterで、「モニター登録」を拒否して当該ツールバーをインストールした場合でも、閲覧する全てのWebサイトのURLが aqfts.naver.com に送信されているとの指摘が出た。私はその場合のテストをしていなかったので、改めてそのテストをしたところ、確かに送信されていた。

これはバグによる結果ではないかと思い、21日にサポートデスクに電話で問い合わせた。

最初に電話したのは、クレディセゾンの「個人情報保護について」に書かれている「インフォメーションセンター」。ここでは以下のやりとりとなった。

私:「永久不滅プラス」の説明ページを見ると、「モニター登録」をするかしないかが選べるようになっており、「モニタ登録とは」の説明を見ると、「ご提供頂く情報について」として「インターネット行動履歴情報」とあり、「利用者がアクセスしたウェブサイトのURL」云々を提供頂くと書かれているが、これは、モニター登録をしたときだけと理解したが、モニター登録をしてなくてもこういう情報を収集しているのではないかとの話があって、実際のところはどうなのかをお尋ねしたい。

イ:どうなっているかということですね。確認いたしますので少々お待ちくださいませ。

(保留メロディ:1分)

イ:大変お待たせしました。こちらはやはり、モニタ登録をして頂いた場合のみとなっております。

私:なるほど、つまりモニタ登録をしなければこのURLを提供することにはならないと。

イ:はい、さようでございます。

この後、「しかし実際には送信されている。バグではないか?」と尋ねたところ、ある程度検討して頂いた後、結局のところ「インフォメーションセンター」では「永久不滅プラス」については詳しくわからないため、「永久不滅.comサポートデスク」の方へ再度問い合わせてほしいとのことだった。

そこで、続けて「永久不滅.comサポートデスク」に電話し、同様に問い合わせたところ、概ね以下のようになった。

私:「永久不滅プラス」のツールバーをインストールするときに「モニター登録」というのがあって、モニター登録をすると100ポイント付くとあるが、「モニター登録とは」というところを見に行くと、「ご提供頂く情報について」というのがあって「インターネット行動履歴情報」というのがあるわけですが、「利用者がアクセスしたウェブサイトのURL」書かれており、こちら側から言えば、自分のアクセスしているURLをそちらに渡すということになると思うが、このような機能がツールバーにあるのは、これは「モニター登録」をしたときだけなんでしょうかね。

サ:確認いたします。少々お待ち頂いてよろしいでしょうか。

(保留メロディ:1分)

サ:お待たせしました。インターネット行動履歴情報というのは、限定モニターに登録された場合のみでございます。

ここで先ほどと同様に、「しかし実際には送信されている。バグではないか?」と尋ねたところ、OSやIEのバージョンなどを尋ねられた。調べて折り返し回答するとのことだった。

3時間後、サポートデスクの別の方(上役らしき方)から電話があった。

その方といろいろお話をしたが、「永久不滅プラス利用規約」(モニター登録の規約とは別のツールバー全体についての利用規約)に以下の記述があり、これが何を意味してるのかを確認することになった。

  • 永久不滅プラス利用規約, 永久不滅.com

    個人情報の取扱い(収集・保有・利用・提供)に関する同意条項(永久不滅プラス)

    申込者(以下契約成立により申込者が会員となった場合を総称して「会員」といいます)は、本同意条項及び今回お申込される取引の規約等に同意の上、申込みをします。本同意条項は、永久不滅プラス利用規約(以下「利用規約」といいます)の一部を構成するものとします。

    第1条(個人情報の収集・保有・利用、預託)

    (1)株式会社クレディセゾン(以下「当社」といいます)は、会員が利用規約第1条1.の本サービス(以下「本サービス」といいます)の会員(利用規約第1条1.の会員をいいます)資格を維持する期間中、利用規約第2条1.の本ソフトウェア(以下「本ソフトウェア」といいます)の利用を通じて、当社所定の保護措置を講じた上で、以下の個人情報(以下これらを総称して単に「履歴情報」といいます)を収集し、本サービス以外の取引または(2)により収集した会員の性別および生年月日(以下「基本情報」といいます)および第4条(1)③の情報とあわせ保有します。

    ①本ソフトウェアを利用したオンライン上の行動履歴等のうち、下記の情報

    (イ)本ソフトウェアを利用し会員がアクセスしたウェブサイトのURL(ファイル名、リファラー(参照元URL)、タイトルタグ(閲覧ページのタイトル)、検索キーワードを含みます)、アクセス日時(秒)
    (ロ)本ソフトウェアを識別するための情報

この部分について電話で尋ねた際、概ね以下のやりとりとなった。

私:「本ソフトウェアを利用し会員がアクセスしたウェブサイトのURL」というのはどういうことを意味しているのですか?

デ:本ソフトウェアというのは、プラスを利用して頂いてアクセスしたWebサイトのURLです。

私:そうですよね。つまり具体的にはどういうもののことですか。

デ:具体的には、ドットコムに入ってお買い物をしたりとか。

私:ツールバーを使ってですか? 「本ソフトウェアを利用し会員がアクセスした」というのはどういう状況を指しているのですか。

デ:ツールバーを使って「かんたん経由」などでアクセスをして頂いた場合とか。

そう。そもそも、「永久不滅.com」というサービスは、それ自体が、広告を自ら辿って買い物をすることによりポイント還元を得るものであり、「永久不滅プラス」ツールバーのメインの機能は、「広告を辿って買い物をする」作業をツールバーから簡単にできるようにするものなのだ。「かんたん経由」とはツールバーの以下のボタンのことである。

画面キャプチャ
図1:「永久不滅プラス」ツールバーの「かんたん経由」機能

「かんたん経由」の説明が以下にある。

画面キャプチャ
図2:「「かんたん経由」で、面倒なサイト経由を省略しよう」との説明

永久不滅プラス利用規約の「本ソフトウェアを利用し会員がアクセスしたウェブサイトのURL」というのは、ここからアクセスしたURLのことを指しているというわけだ。

私も「永久不滅プラス利用規約」を読んだときはそういう意味だと思った。なぜなら、「永久不滅.com」自体がそういうサービスであり、そのために必要な情報取得だからだ。

永久不滅プラス利用規約」と、「永久不滅プラス利用者限定モニタサービス利用規約」とでは、取得する情報についての記述が以下のように区別して書かれている。

永久不滅プラス利用規約
本ソフトウェアを利用したオンライン上の行動履歴等のうち、下記の情報
(イ)本ソフトウェアを利用し会員がアクセスしたウェブサイトのURL(ファイル名、リファラー(参照元URL)、タイトルタグ(閲覧ページのタイトル)、検索キーワードを含みます)、アクセス日時(秒)
永久不滅プラス利用者限定モニタサービス利用規約
インターネット行動履歴情報
永久不滅プラスの利用者がアクセスしたウェブサイトのURL(ファイル名、リファラー(参照元URL)、 タイトルタグ(閲覧ページのタイトル)、検索キーワードを含みます)、及びアクセス日時(秒)、永久不滅プラスを識別するための情報

それなのに、実際には、「モニター登録」を拒否してインストールした場合でも、閲覧する全てのWebサイトのURLを送信しているわけで、バグではないかと。この点を、その3人目の担当者にお伝えしたところ、「検討してもう一度お電話する」とのことであった。

そして一時間半後、かかってきた電話での回答は以下であった。

デ:確認したところ、先ほどの私の答えが間違っており、「本ソフトウェアを利用して」頂く情報の意味について、私は「ツールバーを利用して検索とか『かんたん経由』とかを使って」というふうに答えましたが、これは間違いでした。

私:はあ。

デ:本ソフトウェアをダウンロードしているブラウザでのご利用に対して情報を取得するということであり、私が規約の言葉の意味を単純に捉えてしまったことが、間違ったご案内をすることになってしまったが、実際には、ツールバーをインストールしているIEについての情報を頂くという、広い意味の解釈です。

私:そういうふうには読めませんよ。だって、「本ソフトウェアを利用し会員がアクセスした」ですからね。「本ソフトウェアを利用し」というのはどこに係るのですか?

デ:それ自体がツールバーをインストールしている状態を指すという解釈になります。

この後いろいろお話ししたが、いずれにせよ、サポートデスクの対応者の3人ともが、同様に「モニター登録した場合のみである」と答えているわけだから、そんな釈明は通らないだろう。

確かに、「バグでした」ということになると、これまでに収集したデータを削除するなどの対応が必要となるだろうから、不具合と認めたくない気持ちはわかる。規約の解釈を変更することでその場の辻褄を併せようとしているように見受けられた。

セゾンのような会社がそんな不誠実な対応をするはずがないと思い、「サポートデスクで処理するのではなく、会社としてしっかり検討してください」とお伝えし、検討結果を待つことになった。

選択肢は2つである。

(a) バグだったことにし、過去のデータを削除する。
(b) 規約の解釈で乗り切る。

一週間経って回答が来なかったので、今日、問い合わせてみたところ、明日決定するので明日回答するとのことだった。

(a)の選択は、大変なこととは思うが、クレディセゾンへの信頼を損なうのを回避できる道であろう。(b)の選択なら、Tポイントツールバーよりもさらに悪質ということになり、そういうのがアリだということになれば社会問題となってしまう。

*1 ところで、Tポイントツールバーと同様に、HTTPSのページをアクセスした場合にもURLの全部を送信してしまう問題が、永久不滅プラスにもある。さらに、HTTPSのページにアクセスしたときのURLが、暗号化されずにHTTPで送信されてしまう問題も同様にある。これらの点にも対処が必要なのではないか。また、永久不滅プラスはTポイントツールバーとは違って、URLの他に、ページのタイトル要素(HTMLの中身の一部)まで送信するものである。これは、いくら利用者の真の同意があるのだとしても、危ういことだろう。会社や学校など、イントラネットのある組織内で利用するする者がいれば、イントラネット内の非公開情報(ページタイトルに書かれた文字列)が漏れることになる。これをインストールするのはTポイントツールバーよりも深刻なセキュリティ事故となり得る。8月10日に、ネットエージェント社が、Tポイントツールバーについて、通信を遮断する機能を製品に組み込むことを予告していたが、永久不滅プラスこそ、遮断することが急務と思われる。

2012年08月30日

企業秘密を含み得るメールの件名がNAVERへ送信されている

前回の日記の件、あのようなサービス形態(サービス内容の説明の構造を含む)が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は「モニタ登録」した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、(サポートデスクへの伝言では心許ないので)前回の日記を書いたのであった。

しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に「必ずご確認ください」という注意書きが加えられていた。

画面キャプチャ
図1: 8月28日に書き加えられた「必ずご確認ください」(下端)

この対応について、Twitterでは、当該事業者(NHN Japan)の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように出ていた。

なお、29日の電話回答では、対応は以下であるとのことだった。

  1. 利用規約の表現を修正する。
  2. 「必ずご確認ください」を注記する(実施済み)。
  3. インストーラのダウンロードの過程で説明を表示するようにする。
  4. 9月中旬を目処に、ツールバーのプログラムを改修し、URLの naver.com への送信をSSLで送信するようにする。(それ以外の変更はなし。)
  5. 「モニタ登録」していなかった利用者の、これまでに収集した「インターネット行動履歴」を削除する。
  6. 登録利用者へメールで通知する。

登録利用者への通知はするが、一般公表はしないとのことだった。

ところで、じつは、サポートデスクからの電話回答のあった日の夜、クレディセゾンの部長役の方から電話があった。詳しく話を聞きたいとのことだったので、そのまま電話で1時間ほど説明をした。再度検討するとのことだったので、その結果を待ちたい。

さて、結果が出るまでの間に、これまであえてあまり触れてこなかった点について、明確にしておきたい。

永久不滅プラスの「インターネット行動履歴」送信機能は、Tポイントツールバーとは違って、URLだけでなく、HTMLの中身であるところのタイトル要素の文字列まで naver.com に送信するものである。これは、Googleツールバーも、Alexaツールバーもやっていないことで、おそらく、他にやっていて許されているものはないのではないか*5と思う。

タイトル要素が抜き取られることのヤバさはどのくらいのものか。

永久不滅プラスのツールバーは、Webブラウザが表示したページの全てについてそれを送信するので、会社や学校などの内部ネットワーク(イントラネット)上のWebページについても、タイトル情報を抜き取られることになる。

企業であれば、研究開発中の未公表の新製品の名称や特徴がWebページのタイトルに含まれていることがあるだろうし、学校では教員向けのWebアプリに児童生徒の情報が含まれている場合があるかもしれない。

それらは可能性でしかないが、明らかに言える具体例は、GmailなどのWebメールがタイトルにメールのSubject:(件名)を表示している場合、それを naver.com へ持って行かれるという事実である。

画面キャプチャ
図2: Gmailにおけるタイトル表示の様子

図2のように、Gmailでは、Webページのタイトルに、表示中のメールのSubject:と、利用者のメールアドレスが表示されるようになっている。

このとき、永久不滅プラスをインストールしていると、これらの文字列が、以下のように「sb=」の部分で送信されることになる。

画面キャプチャ 画面キャプチャ
図3: 永久不滅プラスがメールのSubject:と利用者アドレスを送信する様子

sb=%E2%98%85%E3%82%AB%E3%83%AC%E3%83%AD%E3%82%B0%E9%80%9A%E4%BF%A1%EF%BC %BB2012%2E3%2E23%E5%8F%B7%EF%BC%BD%E2%98%85%E3%80%8E+%E3%82%AB%E3%83%AC %E3%83%AD%E3%82%B0%E3%81%A3%E3%81%A6%E3%81%A9%E3%81%86%E3%81%AA%E3%81%AE %EF%BC%9F%EF%BC%9F+%E3%80%8F+%2D+takagi%2Ehiromitsu%40gmail%2Ecom+%2D+Gmail

これをURLデコードすると、以下となる。

sb=★カレログ通信[2012.3.23号]★『 カレログってどうなの?? 』 - takagi.hiromitsu@gmail.com - Gmail

この例ではメールマガジンを用いているが、一般的に言って、当然ながら、メールのSubject:(件名)には、秘密情報が含まれることが少なくない。

しかも、企業が社内でWebメールを運用している場合は、社内に閉じたメール環境ということで、重要な社外秘情報をメールでやりとりすることがあると考えられるが、誰か永久不滅プラスをインストールしている社員がいれば、そのような秘密を含むメールの件名が naver.com に持って行かれることになる。

そもそも、何のためにNAVER(NHN Corporation)がタイトルの内容を必要としているのかわからない。どのように使っているのだろうか。利用規約では以下のように書かれている。

第4条(クレディセゾンからNHNに対する情報の提供等)

(1)当社は、会員が本サービスの会員資格を維持する期間中、下記の情報(それらを総称して以下「提供情報」といいます)を、NHN コーポレーション(本店所在地:16FL, NHN Green Factory, 178-1, Jeongja-dong, Bundang-gu, Seongnam-si, Gyeonggi-do, 463-844, Korea、会社URL: http://www.nhncorp.com/ 。以下「NHN」といいます)に提供します。NHNは、インターネット検索及びオンラインゲームを含むインターネット事業に関する新サービスの開発、並びに自らの完全子会社であるNHN Japan株式会社(本店所在地:東京都品川区大崎二丁目1番1号、会社URL: http://www.nhncorp.jp/。)、及び自らの孫会社であるネイバージャパン株式会社(本店所在地:東京都品川区大崎二丁目1番1号、会社URL: http://corp.naver.jp/。)が提供する、インターネット検索及びオンラインゲームを含むインターネット事業に関する既存サービスの改善のため、提供情報を所定の保護措置を講じた上で保有・利用します。

①履歴情報(属性情報を除きます)
②基本情報
③会員ごとに当社が割り当てる会員の識別記号

永久不滅プラス利用規約, 永久不滅.com

そして、一昨日付け加えられた「必ずご確認ください」との注記(図1)を見ると、なぜか、Webページのタイトルが送信されることは書かれていない。

必ずご確認ください インターネット行動履歴情報の収集について

永久不滅プラス(ツールバー)がインストールされた状態にあるインターネットブラウザを利用してアクセスしたすべてのウェブサイトのURL、アクセス日時(秒)、永久不滅プラスを識別するための情報が、株式会社クレディセゾンおよびNHNコーポレーションにより収集・保有・利用される仕組みになっています(詳しくはこちらをご覧ください)。そのため永久不滅プラスをご利用いただくにはこの点に同意いただく必要がございます。

クレディセゾン側は、NHN Corporationによって何が行われているのかまだ把握できていないのではないか。

*1 「永久不滅プラス」全体の説明と「永久不滅プラス利用者限定モニタ」の説明とでは、取得するURL情報について、「本ソフトウェアを利用したオンライン上の行動履歴」という記述(前者)と「インターネットブラウザ上でのインターネット行動履歴情報」という記述(後者)で書き分けられていて、8月18日の日記でも示したように「モニタ登録」によって「インターネット行動履歴情報」を「ご提供頂く」というサービス形態になっているように見える。そのようなサービス形態は一つの自然な形であるのに対し、「モニタ登録」しなかった場合にも同じ「インターネット行動履歴情報」が送信される(現状における実際の動作)にもかかわらず「インターネット行動履歴情報」を「ご提供頂く」という同等の説明が「永久不滅プラス」全体の機能として書かれていないというのは不自然である。そのため、反対解釈として、「モニタ登録」しなかった場合は「インターネット行動履歴情報」は送信されないのだろうとの直感が働くことになる。

*2 その場合、報道されるに至って批判の声が集中してから、結局中止せざるをえなくなるという展開になると予想される。それを避ける機会はまだあるのではないか。

*3 例えば、憶測に過ぎないが、合点の行く経緯の推測として、クレディセゾンとその提携先であるNHN Corporationとの間で、機能の理解に齟齬が生じていたという可能性はないだろうか。つまり、クレディセゾンは、企画段階では「インターネット行動履歴情報」が送信されるのは「モニタ登録」した場合だけと理解していた。そのためこのようなサービス説明の画面構成になったし、その構成を納得していた。加えてサポートデスクもそのように答えていた。しかし、企画段階から、提携先のNAVER(NHN Corporation)では、URLを全部頂くツールバーとして理解していて、そのように実装し運用してきた。そうだとすると辻褄が合う。

*4 サポートデスクからの電話回答の際に、これがいつ書き加えられたのか尋ねたところ、28日の午後とのことだった。

*5 例えば、韓国ローカルに配布されているツールバーがどうなっているかは調べるべきかもしれないが、調べていない。

最新 追記

最近のタイトル

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|04|07|11|12|
2025|01|02|03|04|05|06|10|11|
最新 追記
Generated by tDiary version 2.0.2' + patch-2
Powered by Ruby version 1.8.7