高木浩光先生@HiromitsuTakagiの「「実害」か否かは、あなたが決めることではありません。」
-
- いいね!1
株式会社エムティーアイ
@mti_official
◇お詫び:当社運営のiPhoneアプリ『家庭の医学』の取得情報の誤りについて、追加でご報告をさせていただきます。昨日の「お知らせ」の一部に間違いがありましたことを、重ねてお詫びいたします。詳細は当社企業サイトをご覧ください。 http://t.co/7oJFdyuZ
2012-01-26 13:49:53
Hiromitsu Takagi
@HiromitsuTakagi
なんだそら! 「本アプリでは、お客様の端末から、IMEI情報は取得しておりません。しかし、UDID情報は取得しております。」 http://t.co/eSCydCca
2012-01-26 18:47:39
Hiromitsu Takagi
@HiromitsuTakagi
http://t.co/eSCydCca 全体として比較的よく書けた発表文ではあると思うが、何点か良くない点が。
2012-01-26 19:43:48
Hiromitsu Takagi
@HiromitsuTakagi
①昨日の発表では「個人の閲覧履歴の取得は一切行っておりません」としていたが、それは間違いだったということがわかりにくい。「正しくは『ver.2.1より、GoogleAnalyticsの情報を取得しております。』」ではわからない。「閲覧履歴は取得しておりました」と書くべきでは。
2012-01-26 19:46:46
Hiromitsu Takagi
@HiromitsuTakagi
②「GoogleAnalyticsでの情報取得範囲」に書かれている情報取得とUDIDを紐付けていないことを示すのが大事なのに、書いていない。(紐付けていないのだろうと思うが。)
2012-01-26 19:55:13
Hiromitsu Takagi
@HiromitsuTakagi
③「GoogleAnalyticsで取得した情報の利用目的」で、「アプリ内の利用者動向を調べて、マーケティングデータとして活用するため」とあるが、これでは、医療に関わる情報として活用する可能性を否定できていなくて、不安が残ってしまう。そんな目的で使うわけではないのでは?
2012-01-26 19:57:40
Hiromitsu Takagi
@HiromitsuTakagi
④「GoogleAnalyticsでの情報取得範囲」で、取得情報を列挙する最後で「などの情報」と書かれているため、他にも何か取得している含みを残してしまっている。個人を特定することに繋がる情報をGAで取得していないことを示した方がよいのに、やっていない。
2012-01-26 20:00:17
Hiromitsu Takagi
@HiromitsuTakagi
⑤Q&A「個人が特定できるような情報を取得していたのか?」で、UDIDを取得しているのに「いいえ」の断言はよくない。
2012-01-26 20:01:43
Hiromitsu Takagi
@HiromitsuTakagi
⑥「Q : 個人が調べた病気の症状や、病名などの情報を取得していたのか? A : いいえ。上記のような個別の情報は取得しておりません。」とあるが、GAで「どの階層までアクセスされたか」「どのボタンがタップされたか」を取得していることとの矛盾を説明できていない。
2012-01-26 20:02:52
Hiromitsu Takagi
@HiromitsuTakagi
⑦Q&A「取得した情報をマーケティングデータとして活用するとあるが、何に活用するのか?」の回答が、UDIDの利用目的の話になっていて、GAの利用目的について書いていない。GAによる「アプリ内の利用者動向を調べて、マーケティングデータとして活用するため」が不明。
2012-01-26 20:05:20
Hiromitsu Takagi
@HiromitsuTakagi
⑧「当社では、お客様の信頼を損ねるような行為は行っておりませんので、ご安心ください。」とあるが、「信頼を損ねるような行為」が何を指すか示されていない。「信頼を損ねるような行為」か否かは客が判断することなので、事業者側が使う表現ではない。
2012-01-26 20:06:25
Hiromitsu Takagi
@HiromitsuTakagi
一方、良い点。 ①UDIDを使用しない方針に転換した点。 ②取得済みのUDID情報を破棄するとした点。 ③GAの使用について収集内容を示して同意を求めるようにし、収集に同意しなくても使えるようになっている点。
2012-01-26 20:11:31
Hiromitsu Takagi
@HiromitsuTakagi
このケースは限界事例として興味深い。論点①アプリ版GAの使用に際しては、オプトインによる同意が必須か否か。②アプリ版GAの使用に際しては、収集内容の明示が必須か否か。③医療情報を扱うコンテンツの場合、これらの基準が他のコンテンツの場合と異なってくるか否か。
2012-01-26 20:14:05
Hiromitsu Takagi
@HiromitsuTakagi
GA側の利用規約の要請で、使用者は、その使用の事実をプライバシーポリシーに明記するように指示されている。この基準だと、規約に明示していればオプトインでなくてもやっていいことになる。(ただしこの基準は、端末識別番号を用いていないことが前提で、アプリ固有IDで集積されているのが前提)
2012-01-26 20:18:34
Hiromitsu Takagi
@HiromitsuTakagi
アプリ固有IDのみで集積されるGAの情報は、誰の情報なのかGoogleにもアプリ開発者側にもわからない匿名情報であるから、電子書籍等においてもオプトインなしに収集(規約には明示)して良いのか否か。医療情報であってもそうでなくてもか。
2012-01-26 20:22:04
Hiromitsu Takagi
@HiromitsuTakagi
アプリ版GAの用途として、コンテンツ内の各サブコンテンツの利用頻度集計に用いる目的と、コンテンツに関係なく、単にUIの操作状況を把握してシステム改善に用いる用途がある。これら目的の違いによって、オプトインか否かの許容基準に違いをもたらすか否か。
2012-01-26 20:24:10
Hiromitsu Takagi
@HiromitsuTakagi
GAはGoogleへ送信されてしまうという問題を孕む。では、GA同等のものを自社内に設置して同等のことを行った場合、さきほどまでの基準に影響するか。
2012-01-26 20:27:40
Hiromitsu Takagi
@HiromitsuTakagi
それにしてもいったい何があったのだろう? 昨日、アプリの通知内容を全面否定したかと思ったら、今日は今日で昨日の発表を全面否定。昨日の発表では、詳しくは続報予定とされていたが、昨日の時点ではどんな続報を予定していたのだろうか。
2012-01-26 20:30:55
Hiromitsu Takagi
@HiromitsuTakagi
「実害」か否かは、あなたが決めることではありません。 RT @kenz_firespeed 今までGoogleに送られて実害が何もないのでそこまでコストかけられない
2012-01-26 20:35:17