1. まとめトップ

はてなブックマークボタンの行動履歴追跡クッキー問題まとめ【私家版】

NAVERまとめ練習用に、はてなブックマークボタンが、事前許諾なしに、行動履歴トラッキングを行うCookieをボタン設置サイトの閲覧者のブラウザに保存させてる問題をまとめ中。

更新日: 2012年03月18日

mametanukiさん

  • このまとめをはてなブックマークに追加
7 お気に入り 49724 view
お気に入り追加

問題点②.5 ボタン設置サイトの中でも一部大手サイトは、例外として行動情報の取得対象外となっている

はてなブックマークボタンでマイクロアド行動ターゲティングCookieが送り込まれる。引用されているソースみると大手サイトは外している(依頼あった?)。(本家のヘルプ)b.hatena.ne.jp/help/bbutton#a… / “M.C.P.C.: …” htn.to/PZaTfN

var domains = 'www.toyokeizai.net member.toyokeizai.net excite.co.jp exblog.jp mainichi.jp jp.msn.com *.jp.msn.com itmedia.co.jp bizmakoto.jp atmarkit.co.jp eetimes.jp ednjapan.cancom-j.com ednjapan.com barks.jp www.asahi.com *.asahi.com jp.techcrunch.com japanese.engadget.com jp.autoblog.com celebrity.aol.jp www.nikkei.com *.nikkeibp.co.jp japan.cnet.com japan.zdnet.com builder.japan.zdnet.com japan.gamespot.com www.re-source.jp www.yomiuri.co.jp groupon.jp';

出典http://b.st-hatena.com/js/bookmark_button.js

除外ドメインを会社単位でまとめると、東洋経済、エキサイト、毎日新聞、マイクロソフト、アイティメディア、朝日新聞、AOL、日経新聞、日経BP、朝日インタラクティブ、読売新聞、グルーポン。

なるほど。これは運用ミスくさい RT @_danwaneji: var domainsにhttp://t.co/rZnRBtfxが有りますが、http://t.co/rZnRBtfxではなくwww.〜が運用ドメイン。Chromeデベロッパツールで見たらmicroadのjsも

行動情報の取得を除外するドメインのリストについて

かつての http://b.st-hatena.com/js/bookmark_button.js が含んでいた、行動情報の取得を除外するドメインのリストについては、当時のはてなブックマークのマーケティング施策によるものです。ボタンの設置をお願いするなどのやりとりの中で、本行動情報の取得除外をご希望されたサイト運営者様については、除外ドメインリストとして実装いたしました。

問題点③ はてなは、個人が特定されうる情報を収集していることを説明していない

はてな曰く…

取得される情報は、ユーザーのみなさまが使用しているブラウザにおいて閲覧したページ履歴情報などで、これらはすべて匿名のものとして収集されます。個人が特定されうる情報(生年月日、メールアドレス、はてなIDなど)は一切収集されません。

はてなと言えば管理画面のURLにユーザーidが入ってることで有名なので、管理画面からリファラがあれば、それがはてなid誰々さんだと分かるわけで、当然このように http://gyazo.com/f4729771f4b6ead8ae5717d27166384a /mala/admin に訪問したからにはid:malaさんに違いないという情報がマイクロアドにも送られてしまう。ただし、マイクロアドは、わざわざこの情報を使わないだろう(行動ターゲティングをやる会社にとって個人を特定可能な情報はリスクでしかないから)

そもそも、外部サイトにおいても、URLやリファラに「生年月日、メールアドレス、はてなIDなど」が含まれないことを誰が保証できんの?
・個人が特定されうる情報は一切収集されません、というが、それは間違いで、収集されることがある。
・「個人を特定することは出来ません」ではなく「個人を特定することをいたしません」と言うべきだ。

はてなにだけ渡るはずだった情報がマイクロアドにも送られるように変更され、設置者はマイクロアドを信用するかどうか追加で判断しなければならないのに、告知されなかった。はてながIPアドレスや訪問先URLを個人情報でない、保護すべき情報でないと考えていても、設置してる側がそうとは限らない

繰り返すけど、個人を特定可能な情報が送られても、マイクロアドはそれを使わないだろうし、あくまで行動履歴を匿名のまま取り扱うだろう。それは彼らの事業の根幹だから。俺は収集方法がおかしいことについては批判するけど、その点については信用をしている。

問題点④ はてなブックマークボタンは、インターネット広告推進協議会(JIAA)のガイドラインを遵守しているのか?

Cookieと行動情報の取得は、広告配信の目的に限定しています。また、この取り組みは「一般社団法人 インターネット広告推進協議会(JIAA)」が定めるガイドラインに遵守しております。

b.hatena.ne.jp/help/bbutton 「この取り組みは「一般社団法人 インターネット広告推進協議会(JIAA)」が定めるガイドラインに遵守しております。」とあるが、そのJIAAのガイドラインが一般人が誰でも閲覧できる状態になっていない。

JIAA「行動ターゲティング広告ガイドライン」を確認した。定義として「行動履歴情報提供媒体社」が「ウェブサイトを開設し行動履歴情報を配信事業社に提供する会員社をいう」とある。はてなブックマークのパーツを貼っている全てのサイトはこれに当てはまるはずのところ、会員社に限定されている。

同4条4項で、「行動履歴情報提供媒体社は、自社サイトのプライバシーポリシーなど分かりやすいページにおいて、行動履歴情報を行動ターゲティング広告に利用していることを明示した上で、告示事項を、自社サイト内に分かり利用者が容易に認識かつ理解できるような態様で表示する、または…」とある。

よって、まず第一に、JIAAガイドラインが総務省第二次提言を逸脱しているというわけではないようだ。

そして第二に、はてなとマイクロアドは、JIAAのガイドラインを遵守していると宣言しているが、これは虚偽に当たる疑いが濃い。なぜなら、はてなブックマークのパーツは、JIAA会員社以外にも貼られることを想定しているから。 (ただし、ガイドライン条文上の解釈の余地が残る。)

条文上の解釈の余地は次の点。「配信事業社」が行動履歴情報を収集するわけだが、その際「行動履歴情報提供媒体社」以外からの提供を受けてはならないとする規定がない。つまり、JIAA会員以外のサイトに行動履歴情報収集装置を貼れば、4条4項を守らなくてよいことになってしまい、抜け穴となる。

ただし、条文上書いてないとはいえ、ガイドラインの趣旨からすれば、当然に「行動履歴情報提供媒体社」からの収集に限っているともとれる。そうか否か、JIAAに質問状を送れば良い。回答が「限っていない」であれば、ガイドラインの不備であり、総務省第二次提言を逸脱しているので、総務省に通報。

回答が「限っている」であるならば、マイクロアドが明らかにガイドラインに違反しているので、JIAAからマイクロアドに是正勧告を出すことを要望。速やかに是正勧告が出ない場合は、総務省に通報。

ボタンにこういう仕掛けを仕込むのが今ごろ登場したのは、技術革新があったからではない。技術上は10年前から可能な状態にあった。.jsでボタンを埋め込むのが広く普及したから可能になったわけだが、それだってもう5年前くらいからだ。やっちゃいけないことだから誰もやらなかった。それがなぜ…

…それがなぜ昨年9月に現れたかというと、b.hatena.ne.jp/help/bbutton 「この取り組みは「一般社団法人 インターネット広告推進協議会(JIAA)」が定めるガイドラインに遵守しております。」というお墨付きを得た(つもりになれた)からだろう。だが、実際のところは、…

…だが、実際のところは、JIAAのガイドラインに違反しているか、又は、JIAAのガイドライン自体に総務省第二次提言を逸脱する不備があるかのどちらかであり、どちらにしても是正されなければならない。

【対処法】ボタン設置サイト閲覧時に、行動情報を収集されないためには

当機能の無効化をご希望のユーザーは、マイクロアドのページより無効化(オプトアウト)することができます。

1 2 3 4 5 6





今日も生暖かい目で見守ってます