« Facebookのアカウントをハッキングして実行される詐欺が深刻なレベルに | トップページ | 米国:NISTがスマートGRIDにおけるセキュリティとプライバシー保護のためのガイドラインを公表 »

2010年9月22日 (水曜日)

Flashのcookieによるトラッキングはプライバシーを侵害するものであるとして訴訟が提起

下記の記事が出ている。

 Code That Tracks Users’ Browsing Prompts Lawsuits
 New York Times: September 20, 2010
 http://www.nytimes.com/2010/09/21/technology/21cookie.html

この問題は以前から指摘され議論されてきたものだが,ついに訴訟沙汰となったようだ。

次は,位置情報のトラッキング,センシングWeb,ライフログ等の番ということになるだろう。

被告にされたくない者は,さっさと撤退したほうがよい。

|

« Facebookのアカウントをハッキングして実行される詐欺が深刻なレベルに | トップページ | 米国:NISTがスマートGRIDにおけるセキュリティとプライバシー保護のためのガイドラインを公表 »

コメント

furunosさん

完全な人間など存在しないのと同様,完全な製品(人間の産物)もまた存在しないはずなんですが,社会的に要求されている水準を満たさないと欠陥として法的責任が発生することがあります。「ベストエフォートだから責任なし」というわけにはいなかいことがあるわけです。

正確には,日本の製造物責任法が適用されるのは物品である製造物だけであり,ソフトウェアには適用されません。

しかし,自動車の制御用ソフトウェアに問題があって事故が発生したような場合にソフトウェアの部分だけを切り離して「製造物ではない」と判断するのではなく,一体としての自動車という製造物を考えるのと同様に,ネット上でソフトウェアによってサービスを提供するシステム全体を製造物としてとらえることができる場合があります。

また,製造物責任法が適用されなくても,サービス(役務)の提供が不完全な場合には,不完全履行として債務不履行責任が発生することは当然あるわけで,この場合,「債務の本旨に従った履行の提供をしたこと」を債務者(サービス提供義務を負う事業者)側が主張・証明すべきだとう見解をとるとすれば,製造物責任法によって証明責任の転換がなされたのと同じことになるはずです。

役務提供契約を民法の中に典型契約として組み入れるかどうかについては検討されている最中ですけど,契約自由の原則から,非典型契約としての役務提供契約は現に存在しているわけで,今後は,その不完全履行の際の法的効果だけではなく,どのような事柄について誰が主張・証明責任を負うのかという細かな議論になっていくのでしょうね。

投稿: 夏井高人 | 2010年9月28日 (火曜日) 21時49分

夏井さん、ご返事ありがとうございます。

「一種の製造物責任のような考え方」という捉え方はしていませんでした。良い示唆をお与え頂きありがとうございます。すぐには結論が出せないと思いますし、私だけで解決できる問題ではないと思いますが、検討していきたいと思います。

投稿: furunos | 2010年9月28日 (火曜日) 15時26分

furunosさん

コメントありがとうございます。

ご指摘のとおり,利用者の同意がある場合(要望がある場合を含む。)があれば,もちろんcookieの利用は適法行為です。ただし,「cookieを利用するとどのようなリスクがあるか」という点についての説明義務を免れることはないと理解しているので,約款に定めるだけではなく,リスクについてのわかりやすい説明文書をWeb上の掲示または電子メール等によって提供するのでなければ完全に適法ということにはならないだろうというのが私見です。そして,そのようなリスクの説明を受け,それでも利用するかどうかは利用者の自己責任の範囲内の問題だと考えています(ただし,仮に圧倒的多数の消費者には理解能力が具備されていないとすれば,自己責任という考え方は否定され,一種の製造物責任のような考え方のようなものに傾斜することになります。)。

理想的には,cookieそれ自体がより安全なものとなるように改善されること,cookieのように利用者のリソースを利用しなくてもサービス提供ができるようにもともとのアプリケーションそれ自体を根本から考え直すことなどの努力が継続されることが望ましいと思っています。cookieは便利ですけど,「妙薬口に苦し」とでも申しましょうか,副作用が大きすぎます。

なお,利用者が任意に削除したりして対処することのできないようなcookieの利用方法(ステルス・デプロイメント)は,やはり違法性が高いといわざるを得ないと思います。単に利用者が発見しにくいというだけでなく,Windowsの自動クリーニング機能やセキュリティソフトの駆除機能を含め,ソフトウェアによって自動駆除する場合にも非常に見つけ難いようなcookieの利用は,最も違法性が高いということになる可能性があると考えられます。最悪の場合には,違法なスパイウェアの一種として理解すべきこともあるでしょう。

Flashのcookieについて訴訟が提起されることの背景には,このような考察があるということをご理解の上で,技術的・法的対応を検討していただければ幸いです。

投稿: 夏井高人 | 2010年9月28日 (火曜日) 05時48分

夏井さん、ご返事ありがとうございます。

仰るようにブラウザのcookie(以下cookieと称します)それ自体も確かに、ユーザのリソースを勝手に利用しているという考え方もあります。そのため、利用規約にcookieを利用することを明記しているサービスがあります。法的に利用規約で担保しているつもりです(私を含め)。

なるべくならcookieは使いたくないけれど、cookieを使わずにログイン状況をトレースする方法がなく、使わざるを得ない状況にあるのも現実です。

cookieの保存期間はcookieを作り出すサービス側で設定します。ただ、cookieの使い方がおかしいと思われるサービスも多々あります。例えば、ログアウトしてもcookieを削除せずcookieを保存し続ける、もしくはcookieの有効期限が非常に長いなどです。少なくともブラウザを終了した時点でcookieは破棄されるべきだと思いますが、このように実装しているサービス提供事業者は極少数だと思います。

これは、サービス提供事業者のみに問題があるのではないと考えています。利用者に自動ログインしたいというニーズがあり、それに対処するにはcookieを保存し続けるしか方法がないからです。自動ログインはセキュリティ上問題があるので提供していませんと良い切れるか否かだと思います。私はセキュリティ上の問題となる可能性を1つでも減らすため、自動ログイン機能は提供しないこととしています。が、常にその要望はお客様から寄せられます。

Flashのcookieから話題がそれてしまいましたが、利用者の考え方・使い方に委ねざるを得ないところがあり、すぐに改善できないところだと思います。利用者は、個人情報が洩れたと騒ぐだけでなく、洩れないために何をしなければいけないのかという情報リテラシを高める努力が必要だと思います。また、学校教育の中でも情報リテラシを高めるための教育を積極的に行うべきだと思っています。

投稿: furunos | 2010年9月27日 (月曜日) 23時45分

furunosさん

ご指摘のとおりだと思います。

更に根本的には,cookieそのものの適法性についても考え直すべきかもしれません。

cookieは,PCの利用者のディスクを勝手にリソースとして使用するものですから,素直に考えれば不正アクセスに近い行為です(勝手に他人の家に入り込んで壁に落書きをする行為のようなものです。)。

cookieが違法でないと考えられているのは,HTTPのプロトコルの一部として認められているからです。いわば法令に基づく行為に似たようなものとして違法性阻却が考えられているのだろうと理解しています。

しかし,法令でさえ憲法違反等の場合には無効なわけですし,無効な法令を根拠とする場合には違法性阻却が認められないことは当然です。

このような意味で,国際的な合意に基づくプロトコルであっても無効となることはあり得ると考えてます。

そして,仮にcookieの違法性阻却の根拠となるプロトコルが無効であるとすれば,cookieそれ自体が違法な存在となることになりますね。

考えるポイントは,他人のPCの利用者から許諾を得ることなく勝手にそのリソースを利用することは,原則として違法行為だという当たり前のことを正しく理解することです。

これまでこの問題があまり議論されてこなかったのは,単純に,法律家が不勉強であったか,無知であったか,馬鹿であったか,あるいは,知っていても詐欺的な人間であったかのいずれかによるものだろうと推定しています。

このように書くと「誰もが普通に使っている技術なのに無効とは馬鹿ではないか」との批判が予想されます。素人ならそう思うのは当然かもしれないですが,素人相手なので反論しません。どんなに世間で一般的なことであっても,違法または無効なことは違法または無効です。これは,世間の常識で判断してはならないことであり,あくまでも法の目に照らして違法または無効を判断しなければなりません。世間の常識なるものですべて規律しようとすれば,世界は無秩序な状態か力のあるものだけが支配する状態に突入せざるを得ません。

投稿: 夏井高人 | 2010年9月24日 (金曜日) 05時37分

夏井さん、ご返事ありがとうございます。

Flashは、ブラウザの関知しないところで脆弱性を生み出しています。だから厄介なのです。Flashが便利だからと使っていると、思わぬ落とし穴にはまります。Flashを使わないのが一番良いのですが、Flashを使うことを是とする人が多く困ったものだと思います。

iPadでFlashを採用しなかったのは、脆弱性とプライバシー侵害の面で正解だと思っています。実際、iPadを使っていてFlashがなくて困るケースは少ない(ゼロではありませんが個人的には許容範囲)ですから、Flashがない世界もありだと思います。

投稿: furunos | 2010年9月23日 (木曜日) 22時08分

furunosさん コメントありがとうございます。

Flashのcookieは本当に困りもので,普通の方法では消去できません。イライラしますね。

単にcookieが残っているというだけならまだしも,それが悪用されてプライバシー侵害の結果を招いたり,あるいはcookie詰め込み攻撃に利用されたりとよいことが全然ありません。

現時点でIEに誤作動を発生させる重大な要因になっている可能性もあります。Microsoftは丁寧に調査すべきだと思います。

投稿: 夏井高人 | 2010年9月22日 (水曜日) 23時14分

Flashは脆弱性が問題になっていますが、Flashのcookieによるトラッキングもとても問題で、これが訴訟により一般に知れ渡るのは良いことだと思います。が、Flashのcookieを削除するのが面倒なのです。

Web サイトのプライバシー設定パネル(http://www.macromedia.com/support/documentation/jp/flashplayer/help/settings_manager06.html)にて「すべてのサイトを削除」を定期的に実施するしか自衛手段がないと思います。

投稿: furunos | 2010年9月22日 (水曜日) 20時41分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« Facebookのアカウントをハッキングして実行される詐欺が深刻なレベルに | トップページ | 米国:NISTがスマートGRIDにおけるセキュリティとプライバシー保護のためのガイドラインを公表 »