■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険
「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。
一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。
これが、一昨年、白アイコンの新版﹁食べログ﹂アプリが登場し、旧版は使えなくなるから﹁ブックマーク﹂を﹁データ移行﹂手続きせよと強制する画面が出るようになった。当時の不評の様子がITmediaニュースにある。
●﹁食べログ﹂iPhoneアプリのレビューが炎上 リニューアルで使い勝手激変, ITmediaニュース, 2014年2月17日
新アプリでは、ログイン不要で気になる店を記録しておける﹁ブックマーク﹂機能を削除。行きたい店・行った店を記録できる﹁行った、行きたい﹂機能を使うにはログインが必須になった。以前のアプリをログインなしで利用していたユーザーは過去の記録を引き継げず、レビューに不満をぶつけている。
このとき私は、﹁ああ、ログインユーザを増やしたいんだな。ブックマークを吸い上げてビッグデータの肥やしにしたいんだな。﹂と思い、﹁意地でもログインしてやるもんか﹂と、旧版のブックマークを放置して、新版アプリの﹁行った、行きたい﹂を使わず、ログインせずに使っていた。
しかし、ブックマークできない不便さに痺れを切らし、1年後の去年2月、ついに、ログインすることを決意し、アカウントを作成することにした。このとき、旧版のブックマーク移行機能はもう使えなくなっていた︵エラーが出る︶ので、﹁データ移行﹂の手続きは行わなかった。
アカウントの作成は、ID連携による他サービスからのログインができるとなっていたので、取り急ぎ、Facebookアカウント経由でログインした。図2は、その手順を、後になって再現したもの︵2016年3月27日時点︶である。
これらの一連の画面の通り、﹁行った・行きたい﹂を利用しようとしている人に対して、それが公開状態になる旨の説明は一切ない。最初のログインを促す画面には、﹁ログインすると、﹁行ったお店﹂﹁行きたいお店﹂を食べログ上で管理できるようになります。﹁行った・行きたい﹂に登録したお店は、あとからエリアやキーワードで簡単に検索できます。﹂と説明されている。旧版アプリを使っていた利用者にとっては、旧版同様、自分だけのための機能としか見えない。
最後の画面で、﹁……のレストランガイド﹂という画面が出るが、﹁レストランガイド﹂というデフォルトの名称に若干の違和感を持つものの、﹁行った﹂﹁行きたい﹂は、旧版の﹁ブックマーク﹂と同様の機能だろうと思った。
そう信じて、私は、旧版に登録していた店を含め、どんどん﹁行った・行きたい﹂に店を登録していった。﹁行った﹂店も登録しておくのは、休業日・営業時間を確認するために便利だったからだ。
このリニューアルのときのカカクコムのプレスリリースを今になって確認してみても、﹁自分だけのお店リストを作成できます。﹂とあって、当然に非公開の機能と思わせる発表になっている。
●﹃食べログ﹄、iPhoneアプリをフルリニューアル、操作性が大幅向上1タップで﹁現在地周辺のお店探し﹂が可能に! お気に入りや、気になるお店をまとめて自分だけのお店リストも作れます, 株式会社カカクコム, 2014年2月13日
② お気に入りのお店、行きたいお店をリスト化して検索できる
お気に入りのお店や行きたいお店を﹁行った・行きたい﹂に分けて登録して自分だけのお店リストを作成できます。登録したお店は、アプリのトップページからすぐに検索可能です。なお、PCサイトやスマートフォンサイトからも登録可能で、どこからでも同じ情報が閲覧・検索できます。
ところがある日、﹁行った・行きたい﹂に登録しようとしたとき、﹁非公開にする﹂というチェックボックスがあることに激しい違和感を覚えた。どういう意味なんだろうか?と。
この﹁非公開にする﹂というチェックボックスは、見えにくい場所にあるうえに、初めからチェックされているようにも見えるデザインであるため、﹁既に非公開という意味かな?﹂という誤解も与える。︵実際には、チェックすると緑色になるもので、図3の画面の灰色のチェックボックスは、チェックされていない状態にある。︶
しかも、この画面のUIは、この1年の間に何度か変更されている。画面キャプチャをとっていなかったのが悔やまれるが、1年ちょっと前、私がログインして使い始めたころには、﹁非公開にする﹂はなかったような気がするがどうだろうか。
今から数ヶ月前の時点では、﹁行った﹂の登録画面は、図3とは異なり、昼と夜を区別せずにスコアをつける方式︵旧版の﹁ブックマーク﹂と同様の︶だった。これが、最近になって、図3の画面のように、﹁口コミ投稿﹂と同じ、夜と昼に分けてスコアを付ける方式に変わった。このあたりで、﹁ああ、公開レビューと統合されたんだな。﹂とようやく気付いた。つまり、﹁行った・行きたい﹂のブックマーク機能が、いつの間にか、﹁行った﹂については、コメントなしの公開レビューと同等のものになっていたわけだ。
Twitterを検索して探してみたところ、ちょうどこのころに、少ないものの以下の声があった。
食べログの行きたい店リスト、デフォルトで公開設定になっているのか・・・こっそり非公開にしとこう、と思いながら知人のtwitterアカウント名のレビュアーがいないか調べてざっくり調べてみたけれど、めぼしい結果なし。
— だーい(*Д*) (@daaaaaai) 2015年5月3日
@daaaaaai 僕は、食べログは個人のメモ的な感じで使っていて、友達同士の繋がりは重視していないので、そのデフォルト設定はちょっとびっくりですね…
— mollifier (忍者) (@mollifier) 2015年5月3日
なんか食べログが改悪されてる……食べログの「行った/行かない」機能と「秘密メモ」機能が便利で、飲食店のブックマークとして使用していたんだけど、「行った」と「口コミ」が統合されたことで、「行った店の秘密メモ」は「非公開の口コミ」として保存しなきゃ行けなくなった。面倒……
— ベホイミさん@艦食娘完結! (@BehoimiP) 2015年8月26日
え、待ってこれ。
食べログ、過去の秘密メモが勝手に「公開」に仕様変更されてない???
— Daisuke Nakazawa (@diceken) 2016年3月6日
こうした仕様変更の案内は一切目にすることはなかった。スマホアプリ版の﹁食べログ﹂を使っていると、そうした告知が目に入ってくることはない。
ここでようやく、﹁◯◯のレストランガイド﹂でググってみた。﹁食べログ﹂にログインしていないWebブラウザでだ。すると、私の﹁◯◯のレストランガイド﹂が出てきて、﹁行った・行きたい﹂がすべて公開状態になっていた。
幸い、﹁◯◯﹂は、私が﹁食べログ﹂アカウント作成時に付けたIDで、直ちに他人に知られるものではなかったので、私の秘め事が世間にもろバレ!と直ちに慌てふためくことではなかった。
しかし、いずれはバレる可能性があるので、全部非公開にしようと試みたところ、これがどうもよくわからない挙動だった。﹁非公開にする﹂にチェックを入れたのに公開状態のままだった記憶があるが、画面キャプチャをとっていないので定かでない。
設定画面で、丸ごと非公開にできないものかと、設定画面を見に行くと、図4のように、どこにもそういう機能はなかった。﹁公開設定﹂というメニューがあるが、これは、﹁フォロー中・フォロワー一覧﹂を非公開にするものでしかない。
﹁おいおいこれはヤバいぞ﹂と、すわブログネタかと色めき立ったが、自分のアカウントを非公開にできていないうちは書けないし、忙しくてそれどころではないしと、しばらく放置していた。
そこに転機が訪れたのは、今年3月27日のことだった。たまたま、Webの﹁食べログ﹂画面を訪れたとき、ログインしてみようという気になったので、ログインしたところ、図5の画面に、何やらお知らせが出ていることに気付いた。
「Facebook設定のご確認のお願い」……とな? 「ご確認のお願い」という時点で悪い予感しかしない。
これをクリックしたところ、以下の説明が出ていた。
これはアカン。デフォルトが有効やないか。なーにが﹁この機能をご利用になりたい場合、以下で設定してください﹂だ。しかも、﹁Facebookでログインしていない方は、ご利用いただけません﹂ということは、私のように、Facebookアカウントでログインした利用者は、問答無用でFacebookの友達らに私の﹁食べログ﹂アカウントがバレて、﹁行った・行きたい﹂が全バレになってしまうということじゃないか。なーにが、﹁この機能をご利用いただくかどうか事前に設定いただけますので﹂だよボケが。﹁ご注意事項﹂って、ヤバいってこと自覚してるじゃねえか。﹁3月2日﹂付になっているが、27日まで気づかなかったぞ。
﹁食べログ﹂アプリの通知は許可していたが、通知による告知はなかった。いちおう、図7のように、目立たないところにある﹁その他﹂の画面にたどり着くことができれば、﹁食べログからのお知らせ﹂があって、そこに掲載されていたが、こんなところをいちいち見ている人は皆無だろう。
これは大変なことになると思ったが、じっくり書いている暇が全くなかったので、取り急ぎ以下のツイートをした。
食べログのちょっと前からの仕様変更とこれからの仕様変更がヤバい感じ(かつてのfacebookが起こしたのと同種の問題)だが、調べてまとめる時間がない……。EUや米国だったら監督機関による是正措置になりそう。
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年3月27日
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年3月27日
すると、数日後、この﹁Facebook設定のご確認のお願い﹂の﹁お知らせ﹂が消滅していた。その後の状況からすると、どうやら、この時点で、関係者に問題点が理解され、対策が進められたようだ。
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年4月2日
そして、4月14日ごろ、アプリのアップデートと共に、この新機能がリリースされた。
このように、この機能は、本人が自らボタンを押して利用開始しない限り有効にならない仕様に変更され、かつ、ボタンを押したときに、﹁相手からも自分が見つけられるようになりますので、ご注意ください。﹂と警告が出るようになっていた。Facebookでログインしている私のアカウントでも、さらにFacebookで連携しない限りこの機能は有効とならないようになっていた。
これならOKだ。こういうのが﹁プライバシー・バイ・デザイン﹂である。
設定画面も改善されていた。︵この点については私は何もツイートしなかったが、誰かが指導してくれたのか、それとも元々社内でもヤバいと心配している社員さんがいたのであろうか。︶
このように、設定画面直下に﹁プライバシー﹂のメニューが用意され、﹁アカウント公開・非公開﹂の設定が設けられ、﹁行きたい﹂全体を非公開にする設定がここに設置された。最初からこうなっていなければならないところだ。
これで一件落着……かというと、そうではない。ここからが本題である。
Facebook連携でのアカウント・バレは避けられたものの、依然として、自分の﹁行った・行きたい﹂が公開されているとは露知らず、旧版アプリの﹁ブックマーク﹂の延長として使い続けている人たちが、大量にいることだろう。
﹁行った・行きたい﹂が意思に反して公開されると何が問題か。アカウント名が誰だとわからない名前なら、誰だとわからないから問題ないじゃないかと思われるかもしれない。
では、私のアカウントを実際に見ていただきたい。以下は、本アカウントとは別に、このブログを書くためのデモンストレーション用のアカウントを新たに作成し、ダミーの﹁行った・行きたい﹂を登録したものである。
地図からわかるように、東京都、茨城県、新潟県、愛知県、岐阜県、京都府、広島県に登録がある。それぞれを見ていくと、以下の特徴があることがわかる。
●茨城県を見ると、筑波研究学園都市の南部で、ランチばかり利用した記録が多数ある。
●東京都では、溜池山王駅の周辺で、ランチばかり利用した記録が多数ある。
このことから、産総研か環境研、気象研ないしJAXAあたりに勤務していて、溜池山王駅周辺にも勤務しているっぽいことがわかる。日付から、同時期に双方に行っていることもわかる。
●新潟大の隣の店でランチし、夜に寿司屋に行っている。
●名工大の近くの店を登録している。
●岐阜県東濃地方でラーメン店を複数登録している。
●目白駅の近くで昼・夜共に登録がある。
●文京グリーンコートの近くに夜の登録がある。
私が、岐阜県東濃地方出身であること、名工大出身であることはWikipediaに掲載されているし、目白駅の近くに以前住んでいたことは2011年11月26日の日記で明かしているし、新潟大は、夏の集中講義に行ったことが鈴木正朝先生によってツイートされている。文京グリーンコートはJITEC関係として公開事項である。
このことから、私のアカウントを探そうとしている人からすれば、これがひとたび見つかれば、高木であることは相当な確度を持って確信できることだろう。
そして、その他に、墨田区の言問橋近辺に多くの昼と夜の登録がある。これは自宅に違いないという推定ができる。
今回のこれは、デモ用にダミーの登録をしたものであり、自宅は言問橋近辺ではないが、本アカウントがバレていたら、自宅は特定されるところだった。
こうやって、非公表の事項がわかってしまうわけで、その他、京都駅近くのラーメン店、尾道のラーメン店に行ったのだなといったこともバレバレだ。今回は、本アカウントから公表しても平気な店を選んで登録したので問題ないが、本アカウントがバレていたら、いらぬ詮索をされてけっこうつらいところだった。デモ用アカウントでは、登録日はすべて3月27日になっているが、本アカウントでは、実際に行った日などが登録日となっている。
このように、疑いのアカウントが見つかると、確信を持たれてしまうだろうが、では、疑われるアカウントをどうやって見つけるのか、簡単には見つけられないだろうと思うかもしれない。しかし、各アカウントごとに、勤務地と自宅らしき場所を推定するアルゴリズムは作成できるだろう。クローラーで大量に集めたデータから、機械的にそれを分析して、あとは、勤務先等で検索していくことで、疑いのアカウントを絞っていくことはできてしまうのではないか。
むろん、﹁口コミ投稿﹂を書いている利用者の方々は、自ら公表しているのであって、特定され得ることも承知で使っているのだろう。だが、冒頭に示したように、旧版の﹁食べログ﹂アプリから移行組の﹁口コミ﹂無投稿勢にとっては、予期せぬことではないか。
カカクコムは、今月のFacebook連携の新機能リリースで、﹁プライバシー・バイ・デザイン﹂を実践してみせた。それは大変結構だ。しかし、この﹁行った・行きたい﹂がデフォルト公開であることの周知は、未だできていない。現在も、初めて使う利用者が﹁行った・行きたい﹂を使おうとしたときに出てくる画面は、図14のとおりであり、左の画面は、3月時点の図2と変わっていない。
図14の右の画面には、﹁Facebookの友達と行った・行きたいお店を共有できます。﹂とあり、この点は先月と違うが、これがどういう意味かもよくわからない。以前とは違って、アカウント作成時にFacebook連携を選ぶと、Facebookの﹁友達﹂から探される状態になる︵つまり、4月からの新機能が最初から有効になる︶という意味なのだろうか? そうだとすると、これはよけいに誤解を招くものになっている。実際には、Facebookの友達だけでなく、一般公開の状態になるのである。
この類のトラブルは、かつてのFacebookで度々起きていたものと同種である。SNSサービスを提供する側からすれば、せっかく作ったのだから公開設定で使って欲しいという願いがあるのだろうし、作っている開発者は公開で当然という思い込みをしがちなのかもしれない。Facebookは、トラブルを繰り返した結果、米国連邦取引委員会︵FTC︶の厳しい監督下に置かれることになり、これまでにだいぶ改善されてきた。今では、プライバシー設定の画面が用意され、アカウント作成時にまずそこを確認するように促されるようになっている。
●Facebook、プライバシー問題でFTCと和解, ITmediaニュース, 2011年11月30日
米Facebookは11月29日︵現地時間︶、同社サービスのプライバシー設定をめぐる訴訟で、米連邦取引委員会︵FTC︶と和解することで合意したと発表した。
合意の条件は、FTCが米Twitterや米Googleに提示したものとほぼ同じで、包括的プライバシープログラムの実施と、向こう20年間にわたる第三者機関による定期的︵2年に1度︶な査察の受け入れなどが義務付けられる。
﹁食べログ﹂も同様に、利用者への適切な案内が必要であり、誰かにそれを指導して欲しいところだ。しかし、残念ながら、日本にはそういうFTCが存在しない。今年1月、ようやく日本にも﹁個人情報保護委員会﹂が創設され、本来ならばこの委員会が、プライバシーコミッショナーとして、FTCと同様の役割を果たすことが期待されるところであるが、おそらく、そういうことはまだ5年は先のことになると思われる。
追記
地図の図︵図11〜図13︶を追加した。