雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|
2024|06|
2025|01|

2008-03-01 [長年日記]

tDiary アップデートミス

tDiaryを最新版にアップデート。と思ったら手順をミスしてツッコミSPAM弾幕の餌食に。RSS経由で見ている方にはゴミが大量に届いたかも。

ごめんなさい。


2008-03-12 [長年日記]

[個人情報保護] Amazonのほしい物リスト騒動

詳細はまとめサイトを見てもらうとして、すごく大雑把にまとめると、3月8日に「ウィッシュリスト」から「ほしい物リスト」に名称変更したサービスに検索機能があり、

  • 相手の名前で検索すると、その人のほしい物リスト(デフォルトで公開)が閲覧できる。
  • 相手のメールアドレスで検索すると、その人の名前(登録されているもの)を知ることが出来る

という状態であり、さらにほしい物リストが

  • 標準の設定では公開(誰でも検索可能な)状態
  • 登録される作成者名がデフォルトではリストを作成したアカウントの登録名(本名の場合が多い)になる

という条件が重なったため、

  • 他所でメールアドレスを公開してネットで活動している一部の人々の本名と思しき情報がさらされた
  • 人には言えない商品をほしい物リストに登録していた人々の本名と思しき情報が(検索などを利用して)さらされた
  • ブラウザの別画面でAmazonにサインインした状態で悪意あるページを訪れると、その人の名前とほしい物リストのデータを収集できるという悪用法が公開された

というもの。

これを書いている時点では、ほしい物リストサーチを実行すると「申し訳ありません。」という見出しで始まるメッセージが表示されて検索に失敗するようになっている。一方で、Googleの検索結果は生き続けており、エグい検索の結果は個人の本名と思しき情報を提示し、そのリンクからは相変わらずかわいそうな被害者のほしい物リストを開くことが出来る。今、日本のどこかでは「いまAmazonのほしい物リストってやつ見てんだけど、これ(リンク)ってお前?」とか、「○○へ、お前のほしい物リスト見ました。ちょうど春休みだし話を聞きたいので一度実家に戻ってきなさい」というメールが飛び回っているかもしれない。

さておき、今回の騒動の発端となったAmazonの変更だが、リリースにも、

3月8日より、「ウィッシュリスト」の名称が「ほしい物リスト」に変更されます。
名称のみの変更になりますので、機能上の変更はありません。今までと同じ方法でご利用いただけます。また、サイトの表記については、3月8日より順次変更されます。

とある通り、名称だけの変更で少なくとも2003年の4月には今と同様の検索機能込みで実装されていたもの(当時のヘルプ)。そうした歴史ある機能がなぜいまさら騒動の種になったかというと、名称変更で変に注目を集めちゃったとか、ネットで本名を隠して活動されてた方々の実名と思しき情報が実際にいくつも判明したこととか、5年前はまだおおらかだったとか、5年の間にAmazonの意図とは違う使われ方をされるようになったとか、欧米と日本の文化の違いだとか、カートの後で買う機能がいまいち使いづらいとか、みんなヘルプ読まないとか、サービス名は「くれくれリスト」の方が良かったんじゃないかとか、どんどんずれてきてますが、まあいろいろと考えさせられます。

さて、自分なりに今回の教訓をまとめると、エンドユーザーとしては

  • ネット活動と私生活でメールアドレスを使い分けよう
  • 何かのサービスを新たに使うときはヘルプをちゃんと読もう
  • そこに馬鹿正直に本名を入力する必要が本当にあるのかどうか良く考えよう

サービス提供側としては

  • 既にある機能の名前だけ変えて注目を集めようなんて考えない
  • こちらの意図した使い方と実際の使われ方の乖離に注意する
  • 最終的に不特定多数に公開される可能性があるデータの入力箇所には、エンドユーザの個人情報を自動入力しない

といった感じでしょうか。

追記:不幸にもエグい検索の結果で本名が晒されてしまった方々へ。

Googleは個人情報の入ったページについては、サイト管理者でなくても検索結果からの削除希望を出すことができ、認められれば通常より早いタイミングで検索結果から表示を削除することが出来ます。一刻も早く証拠隠滅したい場合、まずはAmazonでほしい物リストを非公開化または削除しておいて、Googleにもウェブページ削除リクエスト ツール経由で削除希望を出しておくと良いでしょう。本来ならAmazonの仕事ですが…