パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ」記事へのコメント

  • iモードIDの提供によって、ドコモの端末もGoogle Adsense(アフィリエイト)で対応されることになるのが、個人的には重要かな。
    googleと提携した影響のひとつかもしれませんね。

    参考リンク
    iモード ID がモバイルコマースに与える効果を読み解いてみる [internet.com]
    • by Anonymous Coward
      アフィリエイトとの関係がよくわかりませんが、つまり、
      誰がどこで何を買ったかが iモードID で全部把握されるようになるということ?

      あと、誰がどのページを見たかも全部広告会社に把握されるようになるということ?
      • >誰がどこで何を買ったかが iモードID で全部把握されるようになるということ?

        どんな広告をクリックしたかはgoogle側で全部把握されます。
        広告主側はどんなiモードIDで何を買ったかが全部把握されますので、iモードIDを含むデータベースを複数の広告主で共有されることは想像できますね。これは個人情報保護法で定めるルールに従って利用(共有)してほしいと思います。
        誰がという点はドコモが契約者(閲覧者)の情報を開示するとか、閲覧者がフォームで個人情報を入力したりするとかで把握できますが、それはiモードIDがない現状でも同じです。

        >誰がどのペ
        • by Anonymous Coward
          質問です。
          個人情報保護法のルール従って欲しいとのことですが、
          個人情報保護法では何が規制されていてどんなふうに私たちを守ってくれるのでしょうか?
          例えば業者のどんな行為を防止できますか?
          • 日経のネット上での記事 [nikkei.co.jp]によれば、DoCoMoの見解は「電話番号とは異なる英数字の組み合わせで構成。「氏名やメールアドレスは含まれておらず、個人情報開示には当たらない」(ドコモ)」ということなので、iモードIDは個人情報保護法による制約は受けないということのようです。とするとあるサイトが利用規約で非開示を謳っていない限り「うちのサイトにアクセスした人のiモードIDを発表します!ジャジャーン」と開示することもできるのでは?という懸念ではないでしょうか。

            このとき、サイトごとに異なるIDではないiモードIDだと、「ああ、うちのユーザhogeはあのサイトにアクセスしているのか」ということが分かることになります。そういう紐づけがいろんなところでなされていって個人情報の特定につながりはしないか、という懸念ではないでしょうか。

            もっともこういうソーシャルエンジニアリングを完全に防ぐなんてことはできないので、気にしだすときりがないという意見もあるでしょうが。
            --
            屍体メモ [windy.cx]
            親コメント
            • DoCoMoの見解は「個人情報開示には当たらない」ですか。面白いことを言いますね。

              個人情報の保護に関する法律
              第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) [cao.go.jp]

              今回のは個人を識別するためのIDですよね。だから、個人情報。

              氏名やメールアドレスは含まれていないから個人情報じゃないというのは、個人情報保護法のド素人。
              親コメント
              • >今回のは個人を識別するためのIDですよね。だから、個人情報。

                違う、携帯電話(もしくはFOMAカード)を識別する為のIDでしかない。
                個人の特定まではこのIDだけでは不可能。
                DoCoMoの持っている契約者情報と照らし合わせて初めて個人の特定が出来る。
                しかし、その情報は容易に照会できるものではないので、個人情報とは言えない。
                親コメント
              • 違う、携帯電話(もしくはFOMAカード)を識別する為のIDでしかない。 個人の特定まではこのIDだけでは不可能。
                不可能ってことはないでしょ。他ならぬ通信事業者自身がこう言ってるわけで。

                「次世代移動体通信システム上のビジネスモデルに関する研究会」 報告書(案)に対する意見書 [soumu.go.jp]より

                ジェイフォン東日本株式会社
                2. ユーザIDについて
                ユーザIDに関しては報告書(案)にも述べられているとおり、ユーザのプライバシーと密接な繋がりがあるため、その取り扱いについては十分慎重であるべき。現在、ドコモやJ-フォンが公式サイトに限ってユーザIDを提供しているのもそのためである。ユーザIDに強いセキュリティをかけることはキャリアとして今後も更に検討して行くべき事項だが、現在のシステムを改善することによってサービス全体のコストが高くなりすぎるのも、小額コンテンツを取り扱うと言う点からは現実的ではない。
                コンテンツ提供者自身はユーザIDを直接不当に利用するものではなくても、獲得したユーザIDを他者に転売するなどして利益を稼ごうとするものは存在しうるし、社員管理の徹底がなされていない企業では不心得な社員による情報の流失も十分想定される
                報告書案というのはこれ [soumu.go.jp]かな。

                アンケート等の簡単な方法で個人情報をデータベース化し、インターネット上の行動とそのデータベースを結びつけるのにユーザIDを用いれば、本人の知らないうちにプライバシーに立ち入ることができる。電話番号から生成されるいわゆるソフトIDに関しては、専門知識のある人ならID から電話番号を簡単に解析できる。ハードIDは電話番号とは無縁なので、電話番号が解析されることはないが、追跡等を受けるリスクは、ソフトIDと替わらない。
                「個人情報の保護に関する法律案」の下では、ユーザの個人情報を、その「同意」を得ずに通信キャリアがコンテンツプロバイダ等に提供することは原則違法である。ユーザIDは、同法律案の個人情報に該当することから、ユーザの「同意」なしにはコンテンツプロバイダ等に提供できない性格の情報である。一方で、ユーザIDは、ユーザが便利なサービスを受けようとすると、コンテンツプロバイダ等に提供を要する情報である。したがって、一律の提供禁止や、煩わしいだけの「同意」取付けは、ユーザの利益に反することから、ユーザにとって分かりやすく信頼に足りる「同意」に関するルール作りとその実践が求められている。
                ユーザの「同意」は、当該ユーザが提供に伴うリスク等を理解、承知した上で行われる必要がある。少なくともそうみなし得るのに十分な手続き等が措置されていなければならない。このような手続き等を現実の利用シーンに単純に反映させると、煩雑で面倒な操作が必要になり、サービス価値を著しく減殺し、単にユーザを遠ざけるだけに終始しかねない。ユーザの「同意」に関するルールは、ユーザが被るリスクをできるだけ小さくしながらも、手続きが煩わしかったり余計なコストが生じたりしてユーザの利益に反するようなことのないようにすることが望ましい。
                個人情報の保護と利用をバランスさせるルールの下で、ユーザIDに限って提供を可能とし、先の評価システムの構築を通じてルールが遵守される仕組みを迅速に構築することを目指すべきであろう。ユーザの「同意」を約款で取り付けるために評価システムをうまく使えば、対策拡大に伴うユーザ保護はもちろんのこと、今日通信キャリアが抱えているリスクを軽減することができるはずである。
                この研究会の人たちは Liberty とかの活動を知らないのかな。「ユーザID」を直接送信しようとするからやっかいなことになるわけで。こういう方式は絶対欧米には拒否されるのは歴史から学べるるところなのに。技術を知らない人が指針を決めると国がダメになる典型だな。
                親コメント
              • by Anonymous Coward
                >> 違う、携帯電話(もしくはFOMAカード)を識別する為のIDでしかない。個人の特定まではこのIDだけでは不可能。

                > 不可能ってことはないでしょ。

                > コンテンツ提供者自身はユーザIDを直接不当に利用するものではなくても、獲得したユーザID
                > を他者に転売するなどして利益を稼ごうとするものは存在しうるし、社員管理の徹底がなされ
                > ていない企業では不心得な社員による情報の流失も十分想定される。

                こういう考え方をしていると、クッキーを含め、全部個人を識別するIDになり得る訳です。

                勝手サイトがURL/フォームに埋め込んだセッション管理をする方がよほど危険でしょう。

                セキュリティとプライバシーは相反する関係があるのでバランスを考えると、端末ID送信がされるようにするのは当然の結果でしょう。

                端末IDを送信しないということは犯罪を助長させている、と言って良いからです。

              • by Anonymous Coward
                >クッキーを含め、全部個人を識別するIDになり得る訳です。

                Cookieはサイトごとに独立のID空間になるので、携帯の個体識別番号よりはるかに安全です。

                >勝手サイトがURL/フォームに埋め込んだセッション管理をする方がよほど危険でしょう。

                URLに埋め込んだセッション管理は危険ですが、フォームに埋め込んだセッション管理は危険ではありませんし、Cookieによるセッション管理も危険ではありません。PCの世界では普通に行われていることです。携帯電話ではURLを使うことが多いようで、他人の情報が出たとかいう事故が絶えないようですがCookieを使
              • 固定のIDがプライバシー上の問題を抱えているのは否定しない。
                しかし、それが法律上の「個人情報」なのかは別問題。

                ジェイフォンはプライバシーの問題を指摘しているだけで、個人情報だとは言って無い。

                報告書案で「ユーザIDは、同法律案の個人情報に該当する」と書かれているようだが、その少し前の文章では「ユーザIDそれ単体では個人を特定することはできない」とも書いてある。
                この報告書案内で矛盾している事から、あまり信用しないほうが良いかも。
                親コメント
              • >URLに埋め込んだセッション管理は危険ですが、フォームに埋め込んだセッション管理は危険ではありませんし
                技術を正しく理解していないからそう思うだけでは?
                親コメント
              • by Anonymous Coward
                フォームに埋め込んだセッション管理は危険ではありませんよ?
              • by Anonymous Coward
                携帯電話だから一般的にそうって事なんだろうけど、
                MLソースが見れる端末があったら大して危険性に差はないよね?

                全ての端末いじった事あるわけじゃないからわからんけど。
              • by Anonymous Coward

                携帯電話だから一般的にそうって事なんだろうけど、 MLソースが見れる端末があったら大して危険性に差はないよね?
                意味不明ですが、携帯電話だろうがPCだろうが、フォームに埋め込んだセッション管理は安全ですよ。URL、cookie、フォームのうち最も安全です。(cookieはXSSの影響を受けるという点で。URLは論外。)
              • by Anonymous Coward

                報告書案で「ユーザIDは、同法律案の個人情報に該当する」と書かれているようだが、その少し前の文章では「ユーザIDそれ単体では個人を特定することはできない」とも書いてある。 この報告書案内で矛盾している事から、
                それは非論理的ですね。「単体で個人を特定することはできない」ことと、「個人情報に該当する」ことは両立し得るのだから、「矛盾している」はおかしいでしょ。なぜなら、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」なんだから。
              • えーと、#1322094や#1322147の流れを見てほしい。
                このiモードID単体で、個人の特定ができるという根拠として出された資料なんですよね。

                もし、この報告書のいう「個人情報にあたる」という意味が、「他の情報と容易に照合」によるものなら、iモードIDが個人情報にあたるという根拠にはならないですね。
                親コメント
              • by Anonymous Coward

                「個人情報にあたる」という意味が、「他の情報と容易に照合」によるものなら、iモードIDが個人情報にあたるという根拠にはならないですね。
                ハァ?
                「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」が個人情報保護法における個人情報の定義なんだから、iモードIDが個人情報にあたるという意味でしょ。で、報告書は「他の情報と容易に照合すること」ができることを例を挙げて説明しているわけで。
              • いや、iモードIDは、他の情報と容易に照合は出来ない。
                もし、報告書にあるIDが「他の情報と容易に照合できる」ものであるなら、iモードIDと同等のものではない。

                iモードIDで個人を識別できるのは、DoCoMoだけ。
                したがって、DoCoMoの社内では個人情報として扱わなくてはいけない。
                しかし、社外にiモードIDだけを出す場合は、個人情報としては扱わなくて良い。
                親コメント
              • by Anonymous Coward

                いや、iモードIDは、他の情報と容易に照合は出来ない。
                できるでしょ。普遍のユニークIDなんだから。iモードサイトのショップとかで入力されて蓄積される住所氏名とiモードIDの組、これが他に提供されて照合されたら、「容易に照合できる」でしょ。その報告書にも事例が書いてあるじゃないか。

                どうしてそんな嘘ばかり言うわけ?

              • >iモードサイトのショップとかで入力されて蓄積される住所氏名とiモードIDの組、これが他に提供されて照合されたら

                提供されませんってば。
                個々のiモードサイトが、独自に住所氏名とiモードIDを紐付けしたなら、そのiモードサイト内では個人情報として扱う。
                しかし、やはりそのサイトの外では、容易に照合は出来ない事に変わり無い。
                したがってDoCoMoにとっては、外に対してはiモードID単体ならば個人情報として扱う必要は無い。

                既に個人情報とiモードIDの紐付け済みのiモードサイトに対しては、相手が既に手にしている個人情報なので提供に関して問題は生じません。

                ただし、もしも、本来あってはいけない、容易に照合できるような不祥事が起きたらという事態を心配するのは正しいです。
                ただ、それは、将来「個人情報」になる可能\\\性が無いわけじゃないというだけであって、今現在個人情報だという訳じゃない。
                程度の差はあれ、スラドのIDも、何かの事情で個人情報との紐付けが提供されてしまったら、個人情報になる可能\\\性があるってのと同じもの。
                なので、DoCoMoがiモードIDを個人情報ではないとして扱う事に対して、現状は何も言えない状態。
                親コメント
            • iモードIDは「個人に関する情報」で、「個人情報」ではないですね。
              ご指摘ありがとうございます。
              >「うちのサイトにアクセスした人のiモードIDを発表します!ジャジャーン」
              実務的には、個人情報ではない個人に関する情報であればどのように扱ってもいいということは個人の権利利益を保護するという法の趣旨に沿わないので、事業者は個人情報と同じように注意を払って取り扱いをすることになるかと思います。
              実際にはiモードIDだけ発表されたり漏洩したりということは少なくて、閲覧者の氏名や電話番号も同時に発表されたり漏洩したりということがほとんどだと想像します。

              >紐づけがいろんなところでなされていって個人情報の特定につながりはしないか、という懸念
              こういう懸念はどの程度の現実性があるのでしょうね?
              今の個人情報保護法を見ると、事業者が法に従ったり自主的なルール作ったりすることで、個人の権利利益が保護されるという構造になっているのですが、そういう個人情報保護の対策をしない事業者や、ソーシャルエンジニアリングをするような事業者が多く出てきた場合、それを取り締まる機能はとても弱いので、その懸念が現実になれば今の個人情報保護法では対応できないように思います。

              #専門家でない者が資料に基づかずコメントを書いているとぼろぼろとほころびが出てきますので、ご容赦を。
              親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...