1月18日、「エンジニアサポートCROSS 2013」が開催された。その中から、NHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。
1月18日、Web技術について横断的に語り合うイベント「エンジニアサポートCROSS 2013」が開催された。その中からNHN Japanのmala氏による「体系的に学ぶ安全な利用規約の作り方」をレポートする。
mala氏は、サービスを作る側と使う側の両方の立場から、「安全な利用規約の作り方」を語った。昨今、アプリケーションの実行環境の多様化や、ビジネスモデルの複雑化、大規模なログデータや個人情報の利活用など、サービス自体の複雑化が原因となった利用規約に関する炎上が多々見受けられる。このような炎上の原因はどこにあるのか。エンジニアとして何ができ、どのような解決策があるのか。
mala氏は、Webサービスの運営に携わる場合に最低限理解しておくべき法律を5つ挙げた。
取得する個人情報の種類や利用目的を明らかにし、共同利用や第三者提供する場合にはそのことを明示し、その都度許諾を取らなければいけないというもの。
宣伝メールを送る場合は、オプトイン形式で許可をとって送らなければいけないというもの。取り引きに必要なメールや重要なお知らせはその場限りで送ることは可能だが、継続して送るメルマガなどでは許諾が必要となる。
名誉棄損や著作権侵害情報があった場合、プロバイダは送信防止措置を取らなければいけない。対応しない場合は、サービス提供者が責任を負うことになる。
法律でいう「不正アクセス」とは、アクセス制限を突破する行為のことである。また、この法律では、不正アクセス行為禁止以外にも、不正アクセスからの防御を努力義務として定めている。例えば、預かったパスワードを別の目的で使った場合、不正アクセスとされる。加えて、最近ではフィッシングサイトの開設禁止も加わった。
最近作られた法律で、いわゆる「ウイルス作成罪」に関わるもの。ユーザーの意図に反する動作を行うプログラムを規制する法律。
「これらの法律にはいくつかの抜け穴がある」と、同氏は指摘する。
例えば、「5.不正指令電磁的記録に関する罪」は、「意図に反する動作を行うプログラム」が罪に問われるとある。ここで示されている「意図に反する動作」とは、「故意にだまして実行させるもの」を指している。つまり、「だます」という意思を持っている場合にのみ処罰されるものであり、そうでなければ処罰の対象にはならない。したがって、ソフトウェアの「バグ」は処罰に値しない。バグは、「制作者も意図しない動作」のため、「だます意図がない」とみなされるそうだ。
しかし、次のような場合はどうか。例えば、ユーザーがサービス提供側に対して「こんな動作をするとは思わなかった」と強く主張する。一方で、スパイウェア作成者が、ユーザーの情報収集ができてしまっていたことを「バグ」だという。前者の場合、エンジニアが無理やり逮捕されてしまう可能性が想定される。また、後者の場合は、あくまで「バグ」だという言い逃れができてしまう。この問題に関しては、結局のところそれが本当にバグだったのか、意図したものだったのかは本人にしか分からない。意地の悪いユーザーが主張すれば開発者が追い詰められ、意地の悪い開発者が主張すればユーザーの主張は何事もなく片付けられてしまう。
また、これらの法規定は近年のプログラム実行環境の変化とも合致していない。スマホアプリの多くは、実質的にWebアプリケーションのフロントエンドであり、ほとんどのデータは今やサーバ側にある。スマホアプリは、今や特定のサービス向けの専用ブラウザに過ぎず、ローカルとサーバのセットで動き、サービスが提供されている。例えば、サーバで受信して動的に実行するような処理が入っていれば、手元では再現不可能であり解析もできなくなる。つまり、サーバ側で何をやっているのかは分からないのだという。
こうしたことを踏まえると、不正指令電磁的記録の罪を実証することは非常に難しい。ユーザーに害を及ぼすコードの多くはサーバ側にあり、どちらにせよ検証はできない。つい最近話題になった遠隔操作事件からも分かるように、プロのマルウェア作者は法律を作ったところで捕まらないのが現実だという。なぜなら、完全に匿名で配布する手段が存在するからだ。さらに、トロイの木馬のように、「リモート管理ツール」として正当な利用方法があるものは、犯罪に使われることもあるが堂々と配布できてしまうといった問題もある。
mala氏は「法による制約は、犯罪者や法律をどうでもいいと思っているような人にとっては効かない。例えば、悪用することで得られる利益よりも不利益の方が大きくなるような構造的規制の方が効き目がある」とし、「実際のサービスの信頼というものは、『法的に問題ない』だけでは意味がなく、サーバ側でのデータの取り扱いや社員の信頼性、バグ、事故などといった細かな点への配慮が必要となる」と述べた。アメリカの法学者ローレンス・レッシグ氏もまた、「人間の行動を制約するものは『法律』『規範』『市場』『構造』である」と、自らの著書『CODE―インターネットの合法・違法・プライバシー』につづっている。
炎上を防ぐといった意味で、mala氏は4つの観点とそれぞれの領域を示した。
「バグ」を作らない
誤解を生じさせない
人間は仕様どおりに動かない
高度なセンス、経験、おもてなし、心理学に関わる問題
これらを踏まえて、どのように対策をすればいいのだろうか。ポイントは2つある。
近年、サービス提供者側とユーザー側の認識のギャップによって、安心してサービスが作れない、使えない時代になってしまっているという。その原因は、双方の解釈の「誤解」によるものだ。
その「誤解」に対し、エンジニアができることは意外とある。例えば、利用規約やプライバシーポリシーの話を「法務の話」として敬遠していないだろうか。しかし、実はサービスの内容や取得する情報、利用目的などは、実際に作っているエンジニアが一番よく知っている。「エンジニア視点でなければ分からないことをエンジニア以外の人にも伝える必要があるのではないか」と、mala氏は指摘する。
エンジニア視点で伝えるための1つの方法として、Tumblrの事例が挙げられる。画像や動画、テキストなどを共有できるWebサービス「Tumblr」では、利用規約やプライバシーポリシーをGitHubに置いている。このように、GitHubで管理することで、変更履歴などが確認できるだけでなく、コミットログには変更理由が記されており、Pull Requestsもできるという。こうした事例は、参考になるだろう。
続けて、同氏はいくつかの実例を出し、利用規約の留意点を紹介した。
2013年1月10日スクウェア・エニックスの会員制サービスの利用規約「第10条 禁止行為及び処分について」の5項に「本サービスに対する不満を流布する行為」という項目が付け加えられた。
第10条 禁止行為及び処分について
会員は、本サービスの利用にあたって、以下の各号の行為又はそのおそれがある行為を行ってはならないものとします。
(略)
5.本サービスに対する不満を流布する行為
一般的な利用規約では、禁止事項として「その他当社が不適切と判断する行為」と間接的に書く場合が多いが、スクウェア・エニックスはあえてこの1文を明示したということが話題になった。
2012年3月から個人情報保護指針(プライバシーポリシー)を変更すると告知したグーグルに対して、ネット上で大きな波紋が起きた。「グーグル側としては、収集する情報は今までと変化せず、Google Voiceのプライバシーポリシーが統合されるという意味であったが、収集する情報に『電話ログ情報』が加わったため、Android端末の通話履歴のことだと勘違いされてしまったというのがこの事件」とmala氏は分析する。同氏の見解によれば、「バックアップなどでAndroid端末のデータが丸ごと含まれることがあっても、それを『ログ情報』とは書かないだろう。この場合、Google Voiceというサービスの内容を知っているかどうかで解釈が変わってしまう。そもそも通常の電話はGoogleのサーバを経由しないので、そういった知識もあるかないかで解釈が変わってしまう。つまり、『ログ情報』ではない」という。
同じような例で、ローカルストレージを「HDD」と書くと誤解されることがあるそうだ。最初は誤りを指摘する人もいるが、徐々に放置され、2chまとめやブログなどに拡散される。繰り返し語られるうちに、「まさかそんなことがあるわけないだろう」という話が、「ひょっとするとあり得るかもしれない」に変わり、集団催眠状態に陥ってしまう危険性があるそうだ。
2012年12月17日、写真加工・共有サービスInstagramは、プライバシーポリシーと利用規約の変更を発表した。この変更に対し、「自分が撮影した写真が売られてしまうのではないか」などの憶測が飛び交った。利用規約には「あなたの写真が売られる」という文言は一切書かれていなかったが、「『display/use/sell(表示できます/使用できます/販売できます)』という表現の区別が理解されていないことが原因だったのではないか」とmala氏は指摘する。
もともと、サービス提供側はユーザーの情報を売ることはできないし、やってはいけない。そして、mala氏が「最も重要視すべきこと」として挙げるのは、ビジネスモデルへの無理解だ。Instagramは売り上げがないままFacebookに買収され、収益を上げる方法を公表していなかった。そのため、謎に包まれたビジネスモデルが憶測を呼び、ユーザー側の「個人情報を売っているのではないか」「コンテンツを売っているのではないか」といった憶測を生んだと推測できる。事前にできた対策としては、誤解されるような表現を使わないことと、メディアとの良好なコミュニケーションだったのではないかという(同氏)。
典型的な間違いの例として、「サービス事業者一般が広告主に個人情報を売っている」という解釈があるが、これは違う。正確には、「広告主に広告を表示する権利を売っている」のである。ビジネス面からみても、コンテンツや個人情報を売ってしまったら継続的に収益を上げることができなくなるため美味しい商売とはいえない。このようなビジネスの仕組みについて、サービス提供者側は知っていてもユーザーには分かりづらいということを、サービス提供者側はよく認識しておく必要がある。
プラットフォームには、それぞれ文化や作法がある。ユーザーはそれらを考慮したうえで、現状限りのルールなのか将来にわたってルールなのかといった本来あるべき姿を考えたうえで、取得する情報の性質を元に判断すべきとしている。
一方、サービス提供側は、ユーザーにどんなリスクが発生しうるのかを基準に許諾や規約を記載していくことを考える。こうしたお互いの歩み寄りによって、サービス提供者側と利用者側の認識のギャップが埋まっていくのではないかとmala氏はいう。
例えば、実際に自分が利用者として困るのはどんなことかを考えてみるのもいい。「何の情報収集がされているか分からない」「どんな情報が第三者提供されるのか分からない」「非公開だと思ったら公開されていた」など、誰しも思い付くことがあるのではないだろうか。利用規約を作る際には、こうした自分自身の気持ちとも向き合うことが大切で、「責任回避」ではなく「実際の利用者の不便を解消したい」という気持ちが「認識のギャップ」を埋めるための第一歩になるのではないかと同氏は述べる。
mala氏は、「ユーザーの知識によって解釈が変わってしまう今、いかにデザインを誤解させないものにするか、いかに実際の挙動とユーザーの認識の差異をなくすか、透明性をどう確保するかを優先していきたい」と語る。最後にもうひと言、「バレるな、目立つな、こっそりやれ」――これもリスクマネジメントの大事な極意だという。
Copyright © ITmedia, Inc. All Rights Reserved.