はてなが、「はてブボタン」で取得した、行動情報の第三者送信を中止

• 公式
  • はてなブックマークボタンから収集した行動情報の第三者提供をやめます - はてなの日記 - 機能変更、お知らせなど
  • はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました - はてなブックマーク日記 - 機能変更、お知らせなど
• 報道
  • はてな、「はてブ」ボタンから取得した行動情報の第三者提供取りやめ　近藤社長「間違った情報の使い方」と謝罪 - ITmedia ニュース
  • はてな、ブックマークボタンで周知せず行動情報取得を行なっていたことを謝罪 -INTERNET Watch

はてなブックマークボタンで収集される行動情報の外部企業への提供をやめます。

　2012年3月13日、株式会社はてなの近藤淳也社長が、「はてなブックマークボタン」における、行動情報の第三者送信の中止を表明しました。

そもそも、何が問題だったのか？

　しかし、そもそも何が問題だったのでしょうか？　セキュリティ関連の専門家である高木浩光氏がコメントしているので、一部を引用します。

第三者cookieを用いたアドネットワークがオプトアウト方式で許容されたのは、当該アドネットワークに参加する（広告を貼る）Webサイトが、その事実を利用者にプライバシーポリシーで示してオプトアウト手段を案内していることが要件。その前提がないと全てのURLを盗むスパイウェアと等価。

https://twitter.com/#!/HiromitsuTakagi/status/177935707602550785

特に悪質なのは、仕掛けなしの当該ボタンが広範に普及した頃合いを見計らって、後からトラッキングの仕掛けを注入してきたこと。まさに騙し討ち。悪質極まりない。 .js 埋め込みパーツが突如マルウェア化する危険性を体現している。

https://twitter.com/#!/HiromitsuTakagi/status/178146151344783360

　これは、後に近藤社長が、見解で同じ話題に触れました。両者の認識が共通しています。というより、批判と釈明という感じですが。

　当初はこうした行動情報の提供を行わない仕組みで提供開始したボタンを、途中から仕様を変更した点や、仕様変更の際に、事前に十分な告知を行わなかった点も間違っていました。ウェブサイトの閲覧者が、はてなブックマークボタンが設置されたページを訪問した際に、行動情報を取得されないよう設定が簡単にできるオプトアウト機能を準備しなかった点も誤りでした。

http://hatena.g.hatena.ne.jp/hatena/20120313/1331629384

　よって、これが今回の最大の問題点だと考えます。しかし、ITやWebが人工的な環境のため、なぜそれが問題なのかということすら、専門家や技術者以外には、とても分かりにくい。私自身も、リサーチしたことで、認識を改めた部分がかなりありました。

　ネットでの反応を見るに、一般的なユーザとの間で、何が悪いかのイメージが食い違っています。そこで、図解と比喩を使って、分かりやすく説明しましょう。資料をあさっていて出遅れたので、すでに飽きられていて、読者の興味がなくなっているかもしれませんが……。

まとめのミニまとめ

• はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ - NAVER まとめ
• はてなブックマークボタンの行動履歴追跡クッキー問題まとめ【私家版】 - NAVER まとめ
• 有識者のはてな離れが進む「はてなブックマークボタン」問題の動向まとめ - NAVER まとめ
• 【はてブ問題】公式に「間違っていた」と謝罪　行動情報の送信を停止 - NAVER まとめ
• 残る不信感「はてなブックマークボタン問題」はてなの対応に対する指摘まとめ - NAVER まとめ

　断っておきますと、私の個々の論点自体は、たいてい上のまとめの中で既出です。しかも、それらの論点も、たいてい初出ではなく、過去の資料を読むと出てきます。が、広く共有されてはいないので、分かりやすく説明することには意味があると思います。

「はてなブックマークボタン」とは

▲上画像の赤枠部の青いボタンが「はてなブックマークボタン」

　まず、問題となった「はてなブックマークボタン」（以下、「はてブボタン」）を確認します。はてなが運営している、URLやコメントをアーカイブするためのWebサービスです。ニュースサイトなどで設置されるのを見たことがあるかと思います。冒頭の記事にあるように、すでに第三者への送信を中止しています。

　ちなみに、このブログにも設置している緑枠のボタンは、今回の件とは関係ありません。また、運営のコメントによると、アドオンやツールバーのブックマークボタンは、アクセスログのみで、その情報が第三者に提供されることはないとのことです。

クリティカルな問題はなにか

▲問題の中心は「事後問題」

　いろいろな論点はあるでしょうが、問題の重要度を整理します。最大の問題は「明示的な再同意を得ない、仕様の実質的な事後的変更と、規約の遡及的適用」（以下、「事後問題」）でしょう。問題色の濃さを示すと、個人的な主観が入っていますが、クロ、もしくは濃いグレーです。

　なぜ、それが最も問題なのかが、非常に分かりにくいと思いますが、追って説明します。ここではさしあたり、冒頭のようにセキュリティの専門家が指摘しているから、という説明に留めておきましょう。

　ソーシャルボタンでトラッキングする、というのは薄いグレーです。ソーシャルボタン本来の目的から、かけ離れている仕様ではあります。グーグル（+1）やフェイスブック（いいね！）のボタンのように、アクセスログのみ取得するならシロになります。

　なぜ、トラッキングよりアクセスログのほうが、セキュリティ的に問題が少ないのでしょうか。それは、前者が継続的な情報の取得で、後者が一時的なものだからです。つまり、アクセスは一回の接触ですが、トラッキングは一定のあいだ追跡されるのです。これは大ざっぱな話で、技術的な補足はたくさんありますが、本筋から脱線するので、細かいことは注に飛ばします*1。

　はてなドメイン下でのサービスについてはシロになります。はてなだけでなく第三者のトラッキングも、プライバシーポリシーに記載されているので問題ありません*2。これはユーザの感覚に反すると思いますが、少なくとも制度上の問題はありません。

　ただし、ユーザがプライバシーを求めることが、間違っているというわけでもありません（そういう誘導も散見しますが）。ユーザにはサービスを選ぶ自由があります（他のメジャーサービスでもやっていますが）。セキュアな環境を自力で構築する道もあります（大変でしょうが）。行政に規制の強化を求めることもできます（それが望ましいとは限りませんが）。

　セキュリティはデリケートな問題で、発言する立場によって、バイアスが入りやすいので、慎重な言い方になっています。消費者と事業者との間で、自由と秩序のバランスを取る必要があります。しかし、一般的なセキュリティの議論が目的ではありません。一般的な行動情報の取り扱いの問題については、次回の記事にゆずりましょう。

どこで問題になったのか

▲はてなの外にあるサイトで問題となる

　別の視点で見ますと、はてなのプライバシーポリシーが適用されるサービスについては、この記事で問題にしません。はてブボタンを設置する外部サイトが舞台になります。

　こうして問題を少しずつ絞り込んでいきます。今回の問題に詳しい方には「いまさら感」があるかもしれません。また、そうでない方は「問題に対する重大感」のズレを感じるかと思います。しかし、ズレを埋めることが目的ですから、あえて前提や過程を飛ばさずに説明したいと思います。

本来の処理はなにか

▲本来必要な処理の通信は問題ない

　問題ない時点の動作も押さえておきます。たとえば、ブックマークするときには記録するため、はてなが用意したサーバと、ユーザのPC間で通信します。どんな実装なのかは知りませんが、たとえば記事のURLやタグを含めたコメントなどを、おそらくやり取りしているでしょう*3。また、ボタンを表示するときは、画像を呼んでいます。

　このレベルでの通信は、どんなサービスでも行なっていることですし、完全に正当な処理です。ふつうにWebサイトを見るだけでも、必ず通信しているのです。当たり前ですが、通信していなければ、そもそも見られません。それはたとえれば、手紙を出せば相手に届くとか、電話を掛ければ相手に聞こえるとか、そのレベルの話です。

問題が起きる境界

▲トラッキングや第三者送信そのものは問題ない

　それに加えて、今までのはてブボタンでは、販売契約を結んだ第三者（具体的には、マイクロアド社）へ、トラッキングした行動情報を送信していました。

　というと、「情報流出」的なイメージがあるかと思います。しかしじつは、プライバシーポリシーの提示と、オプトアウト版の提供、といった主な要件を満たせば、制度上は問題ありません*4。

　問題ない、というのが直感に反すると思います。さしあたり、個人情報と行動情報は別で、行動情報だから認められている、とカンタンに説明しておきます。前者は個人が特定される情報で、「個人情報保護法」で保護されます。後者はそうではありません*5。

　今回の件は、個人情報の漏洩が問題になっているのではありません。行動情報にもいろいろリスクはあるのですが、少なくとも、個人情報そのものが流出したと、問題視されているのではありません。この区別は確認しておきます。

　また、「ソーシャルボタンでトラッキングすること」の是非はあると思いますが、ここでそれを議論するつもりはありません。コマ送りで少しずつズラして、どこの時点で問題が発生するのか、普通の人に分かるように確認することが目的です。そして、次が最も問題です。

問題となる事後的な仕様変更

▲送信先の第三者の存在がユーザから隠されている

　冒頭の指摘にあったように、今回の件では、事後的な仕様変更をしていて、このことが問題なのです。パーツを配布して広まってから、「javascript」ファイルの動作を変えて、情報送信していたというのが大問題なのです。

　なぜかといえば、情報を送信している事実が、ユーザから確認できないからです。それに、はてブボタンを設置している、外部サイトのプライバシーポリシーとも矛盾をきたしてしまいます。

　意図しない送信が行われるのだから、送信がどのような内容であれ、結果的にスパイウェア化してしまいます。個人情報の漏洩がなくても、「スパイウェア」と呼ばれるのは仕方ありません。

　そして、外部サイトに配布するというのは、スパイウェアをバラまく、ということになってしまいます。外部サイトだから、はてなのアクセスを超えて情報を取得でき、そのことが収益性につながるのだと思いますが、大きな問題を抱えています。

　ここで、広くバラまいた後から、オプトアウト版を提供するのでは遅いのです。なぜなら、ユーザ側からは、どのサイトがオプトアウト版に変えたのか、ひとつひとつ判断することなど、現実的に不可能でしょう。ひとたび事後問題で汚染されると、すべてのはてブボタンが、信用できなくなってしまいます。

　だから、近藤社長が、収益源のひとつを絶つことになっても、根本から送信を止める、という判断を下したことは支持します。もちろん、もともと問題が起きないことが望ましいし、すでに送信した情報の扱いなど、まだ課題も残っています。いろいろ批判はできますが、それでも送信を中止したこと自体は支持します。送信の中止なくして、信頼の回復はありえませんから。これは、たんにはてなだけの問題でなく、ほかのITサービスも含めた話です。

スパイウェア化

　さて、ここまで読んでも、まだボンヤリとしか、話が見えてこないかもしれません。そこで、ここから対話形式でたとえ話をして、さらに問題を分かりやすくしましょう。

　――事後問題がいけないことは、なんとなく分かる。けど、どうしてそれが大問題なのか、いまいちピンと来ないな。なんだか、はぐらかされている気がする。情報の取得や、第三者への送信、いわゆる情報流出が最大の問題であって、あとはオマケみたいなものだと感じるんだけど？　ようするに、スパイウェアを作っていたから、悪いんじゃないの？

　いや、事後の仕様変化、規約の遡及適用によって、スパイウェア「化」したのです。たとえ、通信内容そのものが無害であろうとも。

　――言っていることの意味が、サッパリ分からない。何がどう違うの？

　……これはたとえ話ですが、たとえば、フリーソフトやフリーゲームを利用していて、とつぜん料金を請求したらダメですよね？

　――そりゃもちろん、サギだと思うよ。事前に価格を表示しないと。「基本プレイ無料」だとか、途中からの有料化にしろ、ここからが無料で、ここからが有料と示して、選べる形でなければダメだろう。でも、今回の件で請求は関係ないよね。

　では、オフラインで動作するはずのソフトウェアが、ある日とつぜんパソコンの情報を収集して、送信し始めたらどうですか？　それを収益にしているという。

　――それは、スパイウェアそのものだよ。有害な通信をしているんだから。そんなソフトがアンチウィルスやアンチスパイ、ファイアーウォールに引っ掛かったら、危なくて使えないに決まっている。それが、今回の件と同じということかな？　それってやっぱり、情報の流出が問題じゃないの？

　それならたとえば、ゲームで修正パッチを適用したら、情報を送信するように変わっていたらどうですか。その修正に関する告知は全くなくて。その通信内容が、ゲームのスコアだとか無害な情報なんだけど、結果的にゲームが面白くなり、売れて収益が増えるだとか。

　――そんなの、ユーザからは通信内容が分からないのだから、スパイウェアとして扱われても仕様がないよ。そんな危なっかしいことでは、安心して使えない。かりに、提供側がイヤな理由があるのだとしても、コソコソせず正々堂々と告知しないと。

　……それが、ここまで説明してきた「スパイウェア化」の問題です。

　――なるほど……、そうか……！

　より正確に言うと、今回の件で言えば、はてなはゲームメーカの立場ではなく、各メーカに開発素材・部品を提供する、外注的な立場になります。ゲームメーカに相当するのは外部サイトです。はてなから知らされず、ユーザに仕様変更を告知できないため、自分のサイトが強制的にスパイウェア化させられます。結果的に、外部サイトは「加害者『化』の被害者」になってしまいました。*6

信用問題

　――事後に変えると問題だということが、はっきり分かったよ。

　少なくとも、信用問題、企業倫理上の問題があると思います。これが個人レベルなら、そういうやり方が通るかもしれませんが、少なくとも法人のサービスであれば、問題視されるのは当然だと思います。これがもし上場企業なら、株主への責任も生じるし。ただ、直接に金銭的な被害が生じず、Webサービスが通信から切り離せないため、一般の人に分かりにくい形になっています。

　――じゃあ、全く実害はなくて、純粋な信用問題だけだと言いたいの？　べつに行動情報くらい気にしない、という人もいるけど。

　いや……、そこは微妙なところです。いろいろな問題が、潜在的に発生してしまいました。しかし、それらを断定することは難しいので、コメントを控えておきます。

　――なんだか、思ったほど大したことないのに騒いでいた、という気もしてくる。……というか、批判の目をそらす工作をしようとするために、そう思わせているんじゃないの？

　いいえ。むしろ、事後問題が、思ったより大したことだったのです。これが妥当な比喩かどうかは分かりませんが、食品や建築などにたとえれば、「偽装問題」と言えるかもしれません。一般層へのこの問題提起が目的です。

　――ああー。たしかに、毒ではなくても、偽装していたら問題になるよね。IT界の偽装問題だったんだ。

　通信が見えないものだから、分かりにくいけれど、信用という点では通じると思います。

問題の対策

　――こういう問題に対して、専門知識がない普通の人は何もできないの？

　ユーザレベルの視点で言えば、プライバシーポリシーの提示と、オプトアウト（拒否の手段）の提供、という二点は確保される必要があります。そうした情報と選択の権利を求めることに、意味はあると思います。

　――今回みたいな問題が起きないようなルールはないの？

　「JIAA（インターネット広告推進協議会）」のガイドラインがあります。はてな運営は、そのガイドラインを「遵守」していると説明していました。しかし、冒頭で紹介した高木氏は、抵触する可能性があると指摘しています。また、通るようなら抜け穴なので、ガイドライン自体が見直されるべきだ、とも主張しています。私もガイドラインをいちおう読みましたが、専門家に任せて、ここでは触れないことにします。

　――ちょっと待てよ。じつは逆に、ルールやそれを変えるほうが間違っている、という可能性はないの？

　日本での話に直接は関係ないのですが、JIAAもガイドラインを作成するにあたり参考にしていた「FTC（米連邦取引委員会）」が、行動ターゲティング広告に関するガイドラインを示しています。そこで、プライバシーポリシーが遡及的に変更される、実質的な運用の変更が生じた場合は、再同意を得るべきだという原則を示しています。ガイドラインには、運用上の補足的な意見もあるのですが、脱線するので省きます。

　――なんか、また分かりにくいな。

　ええと……、話がやや飛躍しますが、近代刑法に事後法の禁止があるので、普遍的な規則なのだと思います。要するに、後から変えられるルールには意味がないのです。

　――ようは「後出しジャンケン」の禁止なんだな。