Amazonのすごいアクセス解析サービス(ぼくはまちちゃんより)
Amazonほしい物リスト、個人情報漏れまくりで祭に発展(デジマガネットより)
これはまずい。危険すぎる。ちょっと考えるだけでもいろいろできる。この記事重要なので、タイトルもっとまじめな物に変えたほうがいいのでは。最初見たときあまりアクセス解析に興味ない(0ではないが)のでスルーしてしまった。
一部の人にとっては「今更かよ」と言う話題のようですが、もっと大々的に話題にすべきことですね。
欲しいものが公開されても大して痛くはないですが、メールアドレスから本名が引けるのは嫌ですね。個性的な名前の人や会社なら一発で特定できる、できてる。僕も一発で特定される・・・。さらにこれ設定次第では住所も漏れるんですよね、たぶん。(怖いから設定も検索もしてないので断言はできない)
個人的にはリストと本名はともかく住所漏れるのは勘弁。危険性を知らずに漏らしている人はいそうだ。
世の中にはリスト・本名すら露出が嫌な人もいるとは思います。また漏れることで実際の被害にあう方もいるでしょう。
システム構築の観点からとこういうのはデフォルトでは非公開にすべきですし、公開する際も危険性を告知すべきです。そういえばGoogleカレンダーで同じようなことがありましたね。諸に個人情報なのでこっち方が問題が大きい気がする。
というか、何年も前から言われている話だよね、これ・・・。
Googleカレンダーの情報流出問題について考える(WorkStyle Memoより)
しかも、結構前からこの手の問題はあったらしい、(前はレビュー書くと本名がわかるだけでメアドからの逆引きはなかったのかな?) レビューもウィッシュリストも使用しないから気づかなかったよ。
Amazonでレビューを書くと本名が晒される(本当は痛いテレビ番組より)
2005年って、あなた・・・・・・・・・・・。これをこんなに長期間放置って企業としての姿勢がおかしい。(すみません、この問題を3年放置したわけは無いのかもしれない)問題としては別物のようですが、そもそも本名をいれるレコードを公開する場所に関連づけるような処理を実装するのはおかしい。しかも、同じような問題を繰り返すって・・・こっそり直すことすらしないのか。そもそも個人情報保護法に抵触するような。
確かに過去にもAmazonのサービスでどうかと思うものはあったが、一線を越えたよ。まあ、他の企業も似たり寄ったりなのかも知れないが3年間放置ってたぶんないよね。Amazonレベルでこれなのか。というかAmazonはこのレベルなのか・・・。さて、解約ってどうするんだ。まあ、即解約は過剰反応か。すこしだけ様子を見た方がいいかな。一定時間たっても対応が無いようなら解約するつもりです。
一応解約方法はこちら(Amazonのヘルプ、非常に面倒です・・・)にあります。
というわけで解約しないにしても設定は早めに変更しましょう。変更方法は以下を参照。そもそも非公開でいいかと思いますが。念のためアドレス欄も削除しておいた方がいいですね。住所も削除したいのですが自動で引っ張ってくるので削除できないようです。
Amazonウィッシュリスト、設定変更ガイド(デジマガネットより)
Amazon問題以外にひとつだけ気になることが、一番上に上げた記事(記事間違えてました、すみません)の内容。不正アクセス禁止法にひっかかるような気がしますが・・・大丈夫か?
公開されているから大丈夫と言えるかもしれなけど、システムの欠陥(だよねこれ)を使用して情報を収集している点が気になる。
記事自体は善意の記事(真意はともかく)だと思われるので適用されるのはどうかと思いますが、実際この記事を見るまで気づかなかったし。
まあ、法律的にどうであれ使用しない方がいい機能かと思います。
不正アクセス禁止法の内容
不正アクセス行為の禁止等に関する法律(IPAホームページより)
過去にあった適用例
ACCSの著作権・プライバシー相談室から個人情報流出
ACCS事件でoffice氏逮捕
(どちらもスラッシュドットより)
それにしても、なにかのWeb2.0的サービスを使用するときは過去の事件を徹底的に調べたほうがよいということか・・・にしても3年前の事件なんて普通は解決していると思うだろうけど。
一応、信頼性が不明なサービスにメインのメールアドレスを登録はしないようにしているけど、それだけでも駄目ということか。まあ、企業体を完全に信用すること自体が危険ではあるのですが。
追記1
Amazonとは関係ないけどヤフオクで落札した物が他人に見られるのも気になってるんですよね。取引相手には情報が伝わってますし。まあ、こっちの問題にくらべれば些細なことですが。
追記2
「いまさらかよ」、「説明読め」、「本名使うのが馬鹿」と言う意見もある。まあ「いまさら」というのは確かにそうなのですが、いままで対応なしと言う態度がおかしいと思う。そもそも個人情報保護法の意味が無い。
「説明読め」と言う意見もごもっともなのだが、個人的にウィッシュリストに間違えて登録をしていたので意識して使っていない状態でした。追加する際も注意事項などは表示されなかったです。使っているつもりの無い機能の説明は普通はあまり読まないと思います。誤操作した場合の対策をしてないのはどうかと思います。(デフォルト非公開にするだけでもいいのに)まあ、これはレアケースでしょうが。
→お勧めからボタン一発で登録できます。しかも誤操作対応なし。間違えて押してしまってた・・・
また意識して使っているつもりでもシステム系の職についている人ならシステムの欠陥以外で(仕様として)公開されるとは普通は思いません。いや、システム系ならもっと考慮しとけといわれると立つ瀬がないわけですが・・・(正直、盲点だった・・・予想外すぎた)
システム系以外の人なら公開されても違和感を持たないかもしれませんが、なおさら注意喚起すべきです。
「本名やメインのメアドを使うのが馬鹿」と言うけど、通販では普通本名使うでしょう・・・偽名で取引するのはよほど後ろ暗いところがある場合では?まあ、今回のことで後ろ暗いことがなくても本名を使うのはやめたほうがいいと言う事例が出来たわけですが・・・これからは偽名で住所は私書箱にしたほうがいいのかな・・・。
メインのメアドを使うのはやめたほうがいいかもしれません。僕個人は場所により使い分けてますが、ある程度以上のサイトでは利便性を考えてメインアドレスを使う場合も多いです。まあ、システムの欠陥で本名が漏れるこということもある程度はリスクとして理解した上で、かつメインのアドレスはネット上で不特定多数に公開するようなことはしていませんが。まあ、公開しなくても誰かに漏らされる(故意か過失かは別として)ということも考えられますが。
それにしてもメールアドレスから本名(場合によっては住所)を取得というサービスは史上最凶のサービスなのではないでしょうか。
まぁ、良い教訓にはなりましたね。