yasuokaの日記: Orarioは「各大学における規則を遵守し」ているのか 29
日記 by
yasuoka
Orarioに関する私(安岡孝一)の一連の日記の読者から、今朝の『読売新聞』(大阪版だと第23044号)の「学生開発の時間割アプリ波紋」(p.29)という記事を読んでほしい、との御連絡をいただいた。読んでみたのだが、Orarioの芳本大樹がまた身勝手な事を口にしていて、正直アタマにきた。
代表取締役の立命館大4年、芳本大樹さん(25)は「開発段階では時間割の表示に必要な情報しか見ていない。アプリの安全性を事前に大学側に説明すべきだった」と話す。今後は機能の追加や課金を計画しているという。
あのね、「アプリの安全性」とかの話じゃないの。Orarioは利用規約で「各種法令および各大学における規則を遵守し」と謳っているのだから、それをOrario自身ちゃんと守れ、っていう話だよ。そもそも芳本大樹は立命館大学の学生なのに、「Orario for 立命館」以外の「開発段階」をどうして知ってるの。「18大学別に、専用のアプリを無料提供」してるとすると、それぞれの「開発段階」は一体どういうやり方でアクセスしてるの。それは、京都大学を含む「各大学における規則を遵守し」たやり方なの? 「事前に大学側に説明すべきだった」のは、むしろそこだと個人的には思う。
それができないなら、Orarioの利用規約から「各種法令および各大学における規則を遵守し」の部分を削ってしまうべきだと思うのだが、さて、Orarioはどうするつもりなんだろう?
単位売買アプリ「ラクタン」 (スコア:2)
私は、Orario問題の根っこは、個人情報やセキュリティを担保できるかといった技術的な内容ではなく、営利企業が民法・商法で規定されている制約条件を無視している――つまり、公平であるべきビジネス競争から逸脱して利益を上げようとしているように感じました。
たとえば、Orario公式が提供している、単位を売買できる「ラクタン」というアプリ
https://twitter.com/Orario_doshisha/status/848091765915525120 [twitter.com]
大学側は、ラクタンの存在を問題視しているのではないでしょうか。ただ取り引き情報が開示されているわけではないので、具体的に糾弾することができない。(京大さんでは何か掴んでいますか?)
また、芳本大樹氏が介護ビジネスに進出しようとしていることを、大変懸念しています。
https://ja-jp.facebook.com/i.Generations/ [facebook.com]
仕事がら、儲からなければ事業撤退するようなベンチャーは、絶対に医療介護業界に入ってきてほしくない。老舗企業にサポートツールとして提供するならいいですよ。でも、元請けは勘弁してほしい。そのアプリを頼りにしているお爺ちゃん・お婆ちゃんが死ぬ前にサービスを止められたら、かなわない。
「i-Generations」「ラクタン」そして「Orario Note」 (スコア:2)
残念ながら、私(安岡孝一)個人としては、あまり情報をつかんでいないのですけど、一応、わかる範囲で。「i-Generations」は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」が4月25日に参議院で可決されたので、これの施行期日をにらみながら仕切り直してるんだろうな、と勝手に妄想してます。「ラクタン」と「Orario Note」に関しては、まあ、ご想像の通り、大学(特に教務関係の人たち)は、かなりピリピリしてます。ただ、少なくとも京都大学に関しては、まだ「実装」が確認されてないので、少なくとも表面的には、動きようがないのです。
Re:単位売買アプリ「ラクタン」 (スコア:1)
午前じゃなくて午後にネタ流すのはどうなんだとか、センス的にどうなんだってのは別として、そのアプリ自体はエープリルフールのネタなので・・・
「ラクタン」と「Orario Note」 (スコア:2)
まあ、4月1日に発表されたのは事実なんですけど、Orarioのこのページ [prtimes.jp]は、どう見ても「ラクタン」と「Orario Note」の宣伝なんですよね。両方とも警戒するのは、大学側としては当然の態度だと、私(安岡孝一)個人は思うのです。
開発段階と利用規約 (スコア:1)
https://srad.jp/comment/3202814 [srad.jp]
orarioを使っていないのですから、利用規約には該当しません。
アプリは技術的には問題なく、開発時においても学生に協力してもらったということですから、不正アクセスでないことも明らかです。
yasuoka氏は不正アクセスがあり、orarioを使った学生には単位を与えないといっています。
少し調べればorarioが安全であり、不正を行っていないことはわかるはずなのに、なぜ嘘までついて使用を禁止するのか、まったく理解できません。
危険をあおるのは無知な者がやることです。
感情論ではなく、客観的かつ論理的に、事実を示すのが大学としてやるべきことではないでしょうか?
私企業としてのOrario (スコア:2)
だからと言って、京都大学のセキュリティーポリシー [kyoto-u.ac.jp]に違反して、京都大学の全学情報システムその他を利用するようなプログラム等を開発運用することは、全く認められません。それはOrarioに限ったことではありません。セキュリティポリシーをしっかり読んでから、出なおして来なさい。
Re:私企業としてのOrario (スコア:1)
これはセキュリティポリシーのどこに違反しているのですか?具体的な条文を示してもらえますか?
また、それは京都大学の学生にも適用されるのですか?
例えば、学生が自分のアカウントを使って履修情報を取得するようなスクリプトプログラムを書いたとします。毎日チェックするのが面倒なので自分宛てにメールするような簡単なプログラムです。それは、「全学情報システムその他を利用するようなプログラム等」に該当すると思うのですが、セキュリティーポリシーに違反しますか?
Re:私企業としてのOrario (スコア:1)
それは、どんなセキュリティを脅かすことにつながるのでしょうか。
禁止しているからには理由があるはずです。
理由を説明できないポリシーには意味がありません。
理由もなく、ダメっていってるんだからダメなんだというのは納得できないし、思考停止です。
大学が思考停止に陥っていていいんでしょうか?納得のいく理由をご説明ください。
Re:私企業としてのOrario (スコア:1)
京都大学の全学情報システムその他を利用するようなプログラム等にはChrome、IE、Firefox等のブラウザも含まれると思うのですが、これらがOKで、orarioがNGなのはなぜですか?
セキュリティポリシーで使用できるブラウザ種類の縛りは見つけられませんでしたが。
Re:私企業としてのOrario (スコア:2)
stkzkさん、私(安岡孝一)は今朝
と申し上げたはずです。まずは、ご自分でセキュリティポリシーをしっかり読んで下さい。具体的な話は、それからです。
Re:私企業としてのOrario (スコア:1)
あらためてお聞きします。
orarioはセキュリティポリシーのどこに違反しているのですか?具体的な条文を示してもらえますか?
Re:私企業としてのOrario (スコア:2)
京都大学のセキュリティポリシーをしっかり「読みました」と言うなら、じゃあ、もう理解してらっしゃるはずですね。
無条件で「これらがOK」では無いですよ。セキュリティポリシーのうち、少なくとも2つの条文に条件が書かれているのですが、どれなのか、ちゃんと理解していますか?
Re:私企業としてのOrario (スコア:1)
orarioはセキュリティポリシーのどこに違反しているのですか?具体的な条文を示してもらえますか?
Re:私企業としてのOrario (スコア:2)
あのですね、stkzkさん。私(安岡孝一)の方は、あなたの#3199961 [srad.jp]のコメントを非常に不快に感じていまして、これ以上、あなたに何かをお教えする気は無いのですよ。でも、他の読者の方々の理解のために、その不快感を我慢して、最低限のヒントだけは、お出ししているのです。そのヒントがわからないからと言って
と逆ギレされても、まあ仕方ないですね、としか申し上げようがありません。
Re:私企業としてのOrario (スコア:1)
それをあなたの言葉で確認しないことには論破できないじゃないですか。
>他の読者の方々の理解のために、その不快感を我慢して、最低限のヒントだけは、お出ししている
これは意外でした。他の方のことを意識されているのですね?もしかして学生さん?
学生にしっかり考えてもらいたいから答えをいわないのですね。敢えて反面教師になって、自分の間違いを学生に見つけてもらいたいのですね。さすが、いい先生じゃあないですか。
KYで申しわけありませんでした。わたしも協力します。
あとは学生さんにお任せします。論破するぐらい、優秀な京都大学の学生さんならきっとできるでしょう。
あぶなく、私がするところでした。
これまで、不正アクセスや著作権侵害にあたらないことを証明してきましたが、これも余計なことしちゃったかもしれないと反省しています。
あとは皆さん、わかりますよね?しっかり考えてください。
Re:私企業としてのOrario (スコア:1)
そっくりそのままお返ししますよ。
別に私が不快に感じているわけではないですが、orarioは感じているでしょうね。証拠もなく嘘つき呼ばわりしたのだから。まあ、不快に感じる程度ですませてもらえればまだラッキーでしょうけど、下手したらあなたクビですよ。自覚あります?
Re:私企業としてのOrario (スコア:1)
orarioはセキュリティポリシーのどこにも違反していません。
セキュリティポリシーに違反したのならそれは協力した学生の責任になるからです。orarioは関係ありません。
yasuoka氏は私に教えたくないのではなく、orarioがセキュリティポリシーを違反している条項を示すことができなかったのです。
そのことを彼自身がよくご存知のはずです。その証拠に彼はこういっています。
https://srad.jp/~yasuoka/journal/611364/ [srad.jp] において、
「つまるところOrarioは、京都大学のセキュリティーポリシーを学生に破らせ、不適法な形で、非識別加工情報を流出する片棒を担がせているわけだ。しかも、学生の一部は未成年なので、その流出の責めを負うのは京都大学ということになりかねない。」と述べています。
彼は、Orarioがセキュリティポリシーに違反するとはいっておらず、Orarioがそれを学生に破らせるといっています。そして、責めを負うのは京都大学になりかねないと。orarioを直接責められないからこそ、「ならば、京都大学の「関係者様」の一人として、私個人はOrarioの使用を禁止する。」ぐらいしかいえなかったのだと思います。
たしかにorarioのやり方は感心できないかもしれません。道義的責任もあると思います。
しかし、繰り返しですが、orarioがセキュリティポリシーに違反したのではありません。
なので、「Orarioガラミで取得した単位は取り消す場合がある」というのはやりすぎです。セキュリティポリシーに違反した学生に対してではなく、Orarioを使っただけで単位を取り消す理由はどこにあるのでしょうか?
それから、非識別加工情報を「流出」とはどういうことでしょうか。
これじゃあまるで大学のサーバから情報が流出したかのような印象を与えるではありませんか。
大学の情報はorarioのサーバを経由することはないので「流出」はありえません。それは確認されている事実です。
もちろん、orarioが独自に収集した利用者情報(大学名や卒業予定年度、性別など)はあります。しかし、これは学生が自分の責任においてorarioに登録したものであり、大学とは関係ありません。また、個人を特定するものではありませんし、心配であればユーザ名、メールアドレスについて個人が特定されないような適当なものを使えばいいわけです。
宮下紘氏(中央大学総合政策学部准教授)は、「個人情報保護法は、個人情報の保護だけではなく、その活用も重要だ」とおっしゃっています。
個人情報保護法は義務ばかりの内容になっており、企業やその他個人情報を管理する業者が萎縮してしまったと。それで、今度の改正個人情報保護法では一部を利活用できるようにしたということです。
そう考えると、今回の件も何が問題で懸念されることなのかを具体的にして、活用すべきものは活用する、あるいはそれに協力するという姿勢が大事なように思います。
これまでの議論を見ると、事実に基づかない感情的なものが優先しているように見えます。
やみくもに危険を煽るのではなく、事実を正確に把握して、安全を確認できたのなら活用するというように合理的に判断してもらいたいものです。それが今の時代に合った考え方です。
少なくとも、orarioは学生にとって有用であり、それは大学にとってもよいことのはずです。
Re:私企業としてのOrario (スコア:1)
orario側が収集するといっている情報で唯一大学の情報ではないかと指摘されているものがあります。利用者情報の登録時間割情報です。これは大学の時間割をもとに学生が入力した時間割情報のことですね。
これについてyasuoka氏は次のように述べています。
https://srad.jp/~yasuoka/journal/611399/ [srad.jp]
「必修科目については、もしそれが特定の「コマ」に開講される科目であり、それを学生に履修するよう指定しているなら、それは大学側が提示する情報である。そうであれば、Orarioは学生から時間割情報の提供を受けるにあたり、それが大学側の許可を得ているかどうかの確認義務がある。その時間割情報は、学生の個人情報であるとともに、大学側の情報も混じっているからだ。」
つまり、必須科目は履修するよう指定しているのだから大学の情報であると。
これについて皆さん、どう思いますか?
既に、 https://srad.jp/comment/3198222 [srad.jp] によって決着がついているように思いますが、私は2つの点で補足したいと思います。
1つ目は単純です。たとえ必須科目であったとしても学生が必ず履修するとは限らないということ。(その学生は留年してしまうかもしれませんが・・)
つまり、大学の時間割情報とorarioの登録時間割情報は違うものであり、学生の個人情報ではあっても大学の情報ではありません。
2つ目は時間割情報は公開されておりシラバス( http://www.t.kyoto-u.ac.jp/syllabus-s/?mode=subject&lang=ja&ye... [kyoto-u.ac.jp] )で誰でも閲覧できるということです。
全部の情報ではないのかもしれませんが、例えば、「工学序論の特別講義」は「平成29年4月4日(火)京都テルサ・テルサホールにて開催」と書かれていますし、集中講義は「平成29年5月20日(土)・6月3日(土)法経済学部本館 法経第4教室にて開催」と書かれています。
例え大学の情報であっても一般に公開されている情報については活用を制限することはできないと思います。インターネットに公開するということはそういうことです。
Re:私企業としてのOrario (スコア:1)
情報解析のための複製(著作権法第47条の7)
コンピュータを使った情報解析のために、必要と認められる限度において、著作物を複製することができる。
コンピュータにおける著作物利用に伴う複製(著作権法第47条の8)
コンピュータを利用する際、情報処理の過程で行われるデータの蓄積(複製)について、必要と認められる限度で著作物を複製することができる。
インターネットサービスの準備に伴う記録媒体への記録・翻案(著作権法第47条の9)
インターネットサービスで情報を提供する際、より円滑かつ効率的に情報を提供するために、サーバーなどの記録媒体にデータを保存、又は翻案することができる。
特に、情報検索サービスにおける複製では、当該サービスを提供する目的のために必要と認められる限度において、権利者の許諾を得ることなく可能とされています。
インターネット情報検索サービスにおける複製(著作権法第47条の6)
インターネットによる情報検索サービスを行う事業者は、当該サービスを提供するために必要と認められる限度において、著作物を複製・自動公衆送信することができる。但し、著作権者が情報収集されることを拒否している場合は当該情報は収集できず、また、違法著作物であることを知った場合には、その提供を停止しなければならない。
Q. インターネットによる情報検索サービスを行う上で、さまざまな著作物の複製が行われていますが問題はありませんか?
A.かつては、インターネット情報検索サービス事業者による、公開された情報の収集や整理、表示用データの蓄積、情報の提供などの行為が、複製権や公衆送信権の侵害ではないかとの指摘がありました。しかしこのことが将来におけるインターネット情報社会の萎縮要因にもなりかねないとの懸念から、平成21年の法改正により、当該サービスを提供する目的のために必要と認められる限度において、権利者の許諾を得ることなくこれらの行為が自由にできるようになりました。
なお、複製等ができるのは、「送信可能化された著作物」であり、収集を禁止する旨の措置を講じた情報は収集しないこと、及び、送信可能化することで著作権を侵害することが判明した場合は、速やかにその提供を停止すること、等が条件になっています。
ネットに公開されており、「収集を禁止する旨の措置を講じて」いないのは明白ですから、あとは「送信可能化することで著作権を侵害すること」を大学側がクレームするしかないのでしょうが、orarioとしては登録時間割情報は大学の著作物ではないと主張するでしょうね。
これに対して、yasuoka氏の過去の発言( https://srad.jp/~yasuoka/journal/611466/ [srad.jp] )から、
「公開情報なのだから、学生の本人同意(未成年の場合は保護者の同意)さえ取れば、Orarioは匿名加工情報として登録時間割情報を販売できる、という趣旨らしい。反論するのも馬鹿馬鹿しいが、京都大学のシラバスは、京都大学の法人著作物だ。私的複製ならまだしも、Orarioのような私企業が勝手に売っていいものではない。」
私は登録時間割情報は大学の著作物ではないという立場ですが、orarioは著作権を侵害していないと主張しつつも、販売時は念のため何かいってくるんじゃないでしょうかね。
Re:私企業としてのOrario (スコア:1)
https://twitter.com/HiromitsuTakagi/status/858306861895884800 [twitter.com]
「次に、開発に際して各大学の学生の協力者の承諾の下、開発者がID・パスワードを用いてアクセスして、アクセス方法を調べる行為はどうか。
これを不正アクセスだと騒いだ教員もいたようだが、法は、利用権者の承諾を得てするものを不正アクセス行為としていない。 」
「ここで、協力者の真の承諾があると言えるかが論点となり得るが、前記の、アプリにさせる場合とは大きく異なり、協力者は、開発者が何をする必要があって、識別符号を貸して利用を承諾するのか、十分に理解しているはずであるから、そうであれば、利用権者の有効な承諾はあるということになる。」
以上のことから、刑罰法規である不正アクセス禁止法への抵触はないものと考えられる。
「あとは、ID・パスワードについて、大学の内規に違反しているかの問題だが、違反したのは開発段階の協力者のみで、単なるアプリ利用者は、大学の内規に違反していないのではないか。 」
「なぜなら、アプリが単なるビューアならば、ID・パスワードを提供したり他人に使わせたことに当たらないからであり、ビューアの利用を禁止した内規になっている大学は(まだ)ないのではないか。
日経新聞の記事は「レベル1の議論」止まりだった。 」
ひろみちゅ氏はほぼ私と同じことをいっております。
技術的な論点でmala氏、法的な論点でひろみちゅ氏に反論できる人は日本にはいないと思っておりますが、さて、yasuoka氏の起死回生の反論はいかに!?
学生は固唾を飲んで議論の行方を見守ってますぞ。yasuoka先生、頑張れ!
Re:私企業としてのOrario (スコア:1)
その議論をはじめると、高度に法律的な判断が求められるぞ (スコア:2)
ひろみちゅ先生もそこはちゃんと分かってるから、しっかりと予防線張りながら問題な点とそうでない点を指摘されているじゃないか。
ちゃんと読もうよ。
・企業のイントラをスクレイピングするする際は、「どうやってその完成形を開発したのかが問題となる」と指摘しており、社員本人によるスクレイピングの開発は「何ら問題がない [twitter.com]」と明言しているが、社外の第三者による開発については言及していない。
・不正アクセス禁止法 第二条 4項 一号 [e-gov.go.jp]において「当該識別符号に係る利用権者の承諾を得てするものを除く」とはされているが、その承諾行為そのものがアクセス管理者により禁止されていた場合については言及されていない。
・京都大学では「京都大学全学情報システム利用規則 [kyoto-u.ac.jp]」第8条(1)において「自分の全学アカウントを他の者に使用させたり、他の者の全学アカウントを使用したりしてはならない」という事を「全学アカウント利用の遵守すべき事項」として挙げている。
つまり、京都大学の公式のスタンスとしては、そういう開発手法は禁止しますと明言していると言っても良い。
自分は、以前に「違法に入手した捜査資料は証拠能力がないのと同じ文脈 [srad.jp]」という指摘をしたが、
まさに、Orario のアプリは、京都大学に禁止されたアクセス手段を用いて開発されているわけだ。
ただし、それが法律用語としての不正アクセスと言えるかどうかは微妙だけどね。
この状況を、法律に照らして厳密に議論する場合、結論を出せるのは法廷のみであり、裁判所の判断が存在しない状況においては、「可能性がある」という表現以上の指摘は誰にも出来ないはずなのだが?
大学の教授を(匿名で)吊るし上げて楽しむのはさぞや楽しいのだろうな。君たちは。
uxi
Re:その議論をはじめると、高度に法律的な判断が求められるぞ (スコア:2)
「(まだ)ないのではないか」とのことですから、まあ、そんなに自信があるわけじゃないのでしょうけど。少なくとも、私(安岡孝一)のいる京都大学では、「ビューアの利用」すらダメな場合があるのです。今日付けで、公式のお知らせ [kyoto-u.ac.jp]を、京都大学の情報担当理事(北野正雄)名で掲載してもらえたので、よければどうぞ。
Re:その議論をはじめると、高度に法律的な判断が求められるぞ (スコア:1)
「これらのアプリを利用したことで、KULASISに登録されている履修登録や成績、住所などの個人情報が、流出または改ざんされる可能性があります。」
なる程、第8条(1)より(4)が決定的なんですね (スコア:2)
stkzk氏は、相変わらず理解する気が無いみたいですが、
スクレイピング自体は問題なくて
・ユーザーが自分でスクリプトをダウンロード→内容確認する機会→実行
はOKだけど、
・アプリが勝手にスクリプトをダウンロード→実行
だと駄目なんですね。
(1)は、ビューアって認識なら通常のwebブラウザ(のパスワード管理機能)と同格に扱うという判断が可能だったとしても
(4)はせめて、
・アプリが更新されたスクリプトのダウンロードを提案→内容確認する機会→実行
くらいにはなってないとこれはクリアできないですね。
この辺は、第三者に非公開のシステム相手にしてる事でいろいろと揉める原因にもなっているので、
時間割アプリでアプリ内に閉じるのはあきらめて
時間割機能(Orario 本来の機能)
+スクレイピング処理がオープンになってる汎用スクレイピングエンジン
+手動または半自動でダウンロードして使う各大学用のスクレイピング用スクリプト
って構成の方が、
汎用のwebブラウザと同格扱いにも出来て良いんじゃないかって気がしてきました。
透明性も高まるし、
スクレイピング障害の対応についても、
リテラシー高いユーザーからのフィードバックでの対応も可能になりますからね。
まぁ、豚の餌を好き好んで喜んで食べようって人には分からないんでしょうけど。
uxi
iOS版が無かった理由 (スコア:2)
なんで無いのかと不思議に思ってたら、なる程、審査通らないんだwww
「Appleのホットパッチング禁止は間違っていない」と擁護できる理由 [itmedia.co.jp]
uxi
Re:iOS版が無かった理由 (スコア:2)
と思ったら、あれれ?あるし?
Orario Inc. [apple.com]
uxi
第三者のIDとパスワードを利用するリスク (スコア:1)
Re:第三者のIDとパスワードを利用するリスク (スコア:1)
マルウェアが仕込まれたらどうするかだって?想像力が欠けているだって?
じゃあ想像力を働かせて忠告しておきます。
あなたのPCに遠隔操作ウイルスが仕掛けられて冤罪になるリスクをどうやって防ぎますか?
老婆心ながら、ご自分のことを心配された方がいいのでは?