高木浩光先生のTポイントカード情報共有オプトアウト検証まとめ

随所に姑息な部分が見られるCCCのサイトを高木先生に突っ込んでもらいます。
240
Hiromitsu Takagi @HiromitsuTakagi

8月に述べていた togetter.com/li/706471 ように、CCCは良い方向へ舵を切るよう努力をしているとみえ、この pic.twitter.com/bU9Szl5nol レシートの改善も見られる。方向性はよいものの、ちゃんとできていると言えるだろうか。

2014-11-01 22:38:12
拡大
Hiromitsu Takagi @HiromitsuTakagi

順に見て行く。まずメールが来た。8月に「改訂の事前のお知らせ」が来て、改訂4日前に「改訂のお知らせ」が来た。 pic.twitter.com/RCGxsLv4NW

2014-11-01 22:44:27
拡大
Hiromitsu Takagi @HiromitsuTakagi

「停止のお手続きはこちら」にジャンプするとこの画面。「サービス強化事例」として例が2つ。 例2の「ご利用状況に応じたお客様への特典強化」のところ、「月10回ご利用の20代女性に限定…」と、履歴内容を使わない例を示しているのは欺瞞的。 pic.twitter.com/xf6jbAjsEr

2014-11-01 22:51:52
拡大
Hiromitsu Takagi @HiromitsuTakagi

履歴内容に基づいた例を挙げることこそが、CCCが宣言する「取り扱いの透明性をより高め」であるのに、性別属性と回数という無難な例にしたのは、社内でも葛藤があったのではないかと推察。「そんな本当にことを示したらお客様が嫌がる」という主張をした派閥がいたのではなかろうか。

2014-11-01 22:54:03
Hiromitsu Takagi @HiromitsuTakagi

これまでCCCのビジネスは、履歴自体を出さずにクーポン発行を代行するところに、プライバシー上優位点のあるモデルだったのに、提携先に生の購買履歴を提供するモデルに変わったかのように見えている。これは本意なのか?説明を誤っているのでは? pic.twitter.com/FDmh5j9udu

2014-11-01 23:00:01
拡大
Hiromitsu Takagi @HiromitsuTakagi

これはおそらくは、Platform IDやヤフーのように「提携先」の一部に、生の購買履歴を渡している(もしくは渡す予定の)者が含まれるため、このように書かざるを得なかったのかもしれないが、それならば、そういう提携先とそうでない提携先を区別して示した方がよかったのでは。

2014-11-01 23:01:46
Hiromitsu Takagi @HiromitsuTakagi

「システム反映」が「即時反映」なのに「提供の停止までに要する日数」が3日なのが謎。 勝手に推測するに、提携先への提供が3日間隔で行なわれていて次の提供まで最大3日かかる話を、停止までに最大3日かかると法務が勘違いしたとかだったり? pic.twitter.com/1GmHFW5XKa

2014-11-01 23:10:29
拡大
Hiromitsu Takagi @HiromitsuTakagi

「本人確認方法」に「ログイン認証」があるのに、郵送の場合は「本人確認書類」の同封が必要というのが謎。Tカードのコピーや写真で足りるし、その「ログイン認証」のアカウント作成時に、「本人確認書類」を使っておらず、Tカードの番号と生年月日しか使ってないんだから、それで同じことなのに。

2014-11-01 23:14:26
Hiromitsu Takagi @HiromitsuTakagi

本人確認はかなり重い。これは、元々「個人情報の開示等の求め」に必要としていた本人確認書類だろう。その場合は他人に開示してはまずいので当然として、オプトアウトに同レベルの本人確認を要求するというのは、単に無思慮なのか、嫌がらせなのか。 pic.twitter.com/IosrvoxKPi

2014-11-01 23:20:49
拡大
Hiromitsu Takagi @HiromitsuTakagi

「停止手続き」をクリックするとこの画面になる。「Yahoo! JAPAN IDが必要」とだけ説明されている。 pic.twitter.com/eEfZY3Kb2k

2014-11-01 23:25:56
拡大
Hiromitsu Takagi @HiromitsuTakagi

「ログイン」ボタンを押すとヤフーのサイトのログイン画面となり、ヤフーのIDでログインするとこの画面が出る。 「利用規約の同意が必要です」とあるが、利用規約へのリンクもないし、どの利用規約のことを言っているのかすら不明。 pic.twitter.com/IXBWFzSv77

2014-11-01 23:29:17
拡大
Hiromitsu Takagi @HiromitsuTakagi

Tカード番号を入力するとこの画面。「下記の情報を登録します」とあり、あたかも登録される情報がメールアドレスと性別と生年月日だけであるかのような誤解をさせる画面設計。わざとやっているのか。 pic.twitter.com/KT4hQzOsBN

2014-11-01 23:35:41
拡大
Hiromitsu Takagi @HiromitsuTakagi

肝心の、この登録によってヤフーとCCC間で相互の履歴提供を許可することになる旨は、一番したに見えにくい灰色の極小文字で記載。悪質極まりない。 pic.twitter.com/7h87jTe0M7

2014-11-01 23:37:15
拡大
Hiromitsu Takagi @HiromitsuTakagi

しかもその説明文は、「お客様の情報の一部」と、履歴情報のことをだとわからないようにぼかし工作されている。 「本手続きを行われることで、当社が保有するお客様の情報の一部のCCCへの提供、CCCが保有するお客様の情報の一部の当社への提供が、それぞれ行われるようになります。」

2014-11-01 23:39:03
Hiromitsu Takagi @HiromitsuTakagi

「登録」ボタンを押して出てくる画面がこれ。CCC側でT会員規約に同意する画面。 ここで、規約の表示が、スクロールしないと全体を見えないという、典型的な悪質なやり口になっている。 pic.twitter.com/0PupRRGyPR

2014-11-01 23:41:51
拡大
Hiromitsu Takagi @HiromitsuTakagi

そしてやっと出てくるのがオプトアウトの画面。この画面に来るために、ヤフーとの相互履歴提供に同意が必須というのは、オプトアウトに条件を付けたもの。個人情報保護法23条2項のガイドラインは、こうした行為が違法になる旨を明記するべきだ。 pic.twitter.com/uXlPlfq1Kt

2014-11-01 23:46:36
拡大

コメント

ざの人 @zairo21 2014年11月4日
「セキュリティの穴」に関してだけは 専門家だけあって ヒロミチュ無双で容赦無いなと 思うと同時に、やはりそういう分析になるのね。なるほどとは思った。PontaカードのWi-Fiのセキュリティの穴問題 のときもそうだったけど
0