JR東日本は20日、IC乗車券「Suica（スイカ）」の利用データの販売を検討する方針を発表した。関東1都6県と福島、新潟、山梨、長野、静岡各県の約600駅の利用客の年齢や性別、乗降車駅などの情報を企業や自治体などに販売する考え。買い物の購入履歴などは販売の対象外だという。駅の利用状況のビッグデータを提供し、沿線での事業等に役立ててもらうとしている（NHK、時事ドットコム、テレ東BIZ[動画]）。

提供形態は匿名性を確保するため定期券以外の利用を性別や年代で1時間ごとに集計、1か月平均のデータを提供するというものになるようだ。データ提供を希望しない利用者はホームページなどで要望すれば除外されるとのこと。同社は2013年に利用者の生年月日や性別、乗降駅などの情報を無断で日立製作所に売却したことで批判を受け、提供を中止したことがある（過去記事その1、その2）。

headless 曰く、

Adblock Plus の親会社 eyeo GmbH は 18 日、広告ブロックソフトウェアの使用はWebサイトの著作権を侵害しないとの判断をドイツ・ハンブルクの連邦地裁が示したことを発表した (eyeo のブログ記事 [1]、 [2]、 TorrentFreak の記事)。

この裁判は広告ブロックが違法だと主張するAxel Springerがeyeoを訴えていたものだ。当初Axel Springerは広告ブロックが不当競争行為にあたるとしてeyeoを訴えたが、この主張を否定する判決がドイツ連邦最高裁で2018年に確定している。そのため、Axel Springer側は広告ブロックソフトウェアによるソースコードの改変が著作権侵害にあたるという主張に切り替え、新たな訴訟を提起していた。

これに対し、eyeo側は広告ブロックだけでなく多くのモダンブラウザーが備える追跡防止などのプライバシー機能やWebページの翻訳機能、アクセシビリティー機能なども著作権侵害になってしまうと反論。TorrentFreakによれば、連邦地裁はAdblock Plusが改変するのはブラウザー内で表示するコードのフローのみであり、コード自体は改変していないことから著作権法で定める著作物の「改訂」には当たらないと判断したという。Axel Springer側は判決を不服として控訴する意向を示しているとのことだ。

あるAnonymous Coward 曰く、

いまさらだけれど書籍の『自炊』ってどうだった？で触れられていた絶版本のデジタル公開についての報道が出てきました

国立国会図書館のウェブサイトで5月から、書籍や資料を閲覧できるサービスが開始される。入手困難となっている資料のうち、電子データ化が済んだものが対象となる。漫画や商業雑誌などは閲覧の対象から外されているという。本人確認のため身分証明書を提示し、個人として同艦への利用登録を行うことが必要であるとしている。2023年1月には不正コピー対策をした上で、印刷も可能になる予定とのこと（共同通信、KAI-YOU.net、2021年12月22日 「国立国会図書館のデジタル化資料の個人送信に関する合意文書」の公表について）。

サンリオは18日、同社のキャラクター「マイメロディ」を使ったバレンタイン向け商品の一部の発売を中止した。発売中止になったのは、2005から09年にかけて放映されたアニメ「おねがいマイメロディ」関連のグッズ。劇中のセリフである「女の敵は、いつだって女なのよ」、「男って、プライドを傷つけられるのが一番こたえるのよ」などのセリフがデザインに取り入れられていた（発売元のITS'DEMO公式Twitterによる告知、共同通信、朝日新聞、産経新聞、J-CASTニュース）。

しかしこうした台詞が一部ネット上で「ジェンダーによる偏見を助長する」などの意見が出た。このため商品の発売中止を決めたとしている。サンリオ側は「このたび頂きましたご意見は、今後の商品企画に活かして参ります」と話しているという。

headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

headless 曰く、

EFF は 12 日、米著作権法 1201 条 (DMCA 迂回禁止条項および取引禁止条項) が言論の自由を定めた合衆国憲法修正第 1 条に違反するとして米政府を訴えている裁判で、コロンビア特別区連邦控訴裁判所に控訴した (プレスリリース、 Neowin の記事、 裁判所文書)。

この裁判の原告はジョンズホプキンス大のコンピューターサイエンス教授とシンガポールのエンジニア、およびエンジニアが経営する会社であり、EFF は代理人として 2016 年に訴訟を提起した。

1 審のコロンビア特別区連邦地裁では米政府側の棄却申立を一部認め、1201 条が原告の言論の自由を侵害すると主張する部分を残して棄却。1201 条自体が違憲との主張は認めず、EFF 側が請求した DMCA に対する事前差止は却下されていた。

EFF は控訴にあたり、1201 条が研究やソフトウェアの作成、それらの成果の発表といった言論の自由の権利行使を犯罪行為にし、著作権法の形で修正第 1 条に反する検閲体制を作っているなどと批判している。

headless 曰く、

EU 域内で Google Analytics の使用ができなくなる可能性が出てきている (Neowin の記事、 TechCrunch の記事、 The Register の記事)。

オーストリアのデータ保護機関 (DSB) は Schrems II 事件に関する EU 司法裁判所の判断に照らし、Google Analytics の使用が EU の一般データ保護規則 (GDPR) に違反するとの判断を示している。この判断を受け、オランダのデータ保護機関 (AP) も 13 日、オランダにおける Google Analytics の使用が禁じられる可能性があると発表した。AP は現在 Google Analytics の使用に関する 2 件の苦情を調査しており、調査完了後に引き続き使用できるかどうかの判断を示す計画とのことだ。

headless 曰く、

米国で一部の iPhone ユーザーから iCloud プライベートリレーが機能しなくなったと報告され、キャリアがブロックしたのではないかとの見方が出ていたが、キャリア・Apple ともにこの見方を否定したそうだ (The Verge の記事、 Ars Technica の記事、 Mac Rumors の記事、 9to5Mac の記事)。

iCloud プライベートリレーは本人またはファミリー共有グループの誰かが iCloud+ サブスクリプションに登録している場合に利用可能なプライバシー強化機能で、現在は iOS 15 / iPadOS 15 でベータ版の機能として利用できる。欧州では大手キャリアが連名でプライベートリレーを制限するよう欧州委員会に要請していたことが報じられた直後ということもあり、キャリア側でブロックしたと疑われることになった。

しかし、米 Verizonと米 AT&T はプライベートリレーのブロックを否定。米 T-Mobile はキャリアのフィルタリングサービスを利用している場合はプライベートリレーを有効にできないと説明した。また、iOS 15.2 のバグでアップグレード時に設定がリセットされてオフになったとも説明していたが、その後バグの存在を取り消している。

Apple もアップグレード時の設定リセットを否定したほか、キャリア側でブロックすることもないと明言したとのこと。ただし、米国向け (英語) のサポートドキュメントには、特定のネットワークでプライベートリレーが無効になっている場合の対処方法が追加されている。

2021年3月に発覚したLINE問題（その1、その2）をきっかけにして、総務省が「利用者情報」に関する法改正を進めようとしている。産経新聞によれば、規制強化策を基に電気通信事業法改正案がまとまり、17日に召集される通常国会に提出されることになったそうだ。この改正案では、サイト運営者やアプリ提供者などに対して、インターネットの閲覧履歴を第三者に提供する場合、閲覧者の同意を得ることが義務化されるとのこと（産経新聞）。

各紙の報道によれば、この最終方針がまとまる直前、経済団体などから個人情報の保護範囲について異論が出た。そのため内容が軌道修正されたようだ。具体的には楽天の三木谷浩史氏が代表理事を務める「新経済連盟」が強く反対したとされる（電気通信事業法の改正の方向性に対する懸念について）。一方でこの新経済連盟の意見に対して、一般社団法人MyDataJapanが反論するなど議論が噴出した（新経済連盟の「懸念」に対する懸念）。このため総務省は経済界などと調整のうえで改正案の内容を修正。

産経新聞の報道によれば、第三者提供で同意を得ることに関しては全ての企業に対してではなく、スタートアップ企業など小規模な事業者を例外とすることになったという（読売新聞、朝日新聞、ケータイ Watch）。

headless 曰く、

欧州データ保護監察機関 (EDPS) は 10 日、データ主体がカテゴライズされていない (犯罪との関連が確立されていない) 個人情報を削除するよう 1 月 3 日に欧州刑事警察機構 (Europol) へ命じていたことを発表した (プレスリリース、 The Guardian の記事、 The Verge の記事、 BetaNews の記事)。

EDPS はこの問題を 2019 年から調査しており、2020 年 9 月にはデータ主体がカテゴライズされていない大量のデータを保持し続けることは個人の基本的権利を侵害することになると Europol に勧告していた。Europol は一定の対策を講じたものの、EDPS が求めたデータの選別と個人情報抽出に必要なデータ保持期間の設定は行わなかったという。

Europol の規則はデータの最小化と保存の制限を定めており、Europol がデータを必要以上に長期間保存していることになる。そのため、EDPS が選別・抽出前のデータ保持期間を 6 か月と定め、データ主体のカテゴライズが行われないまま 6 か月以上経過したデータを消去するよう命じた。Europol には命令を順守するための猶予が 12 か月間与えられる。なお、The Guardian によれば、Europol のキャッシュには少なくとも 4 PB のデータが保存されているとのことだ。

オンラインゲーム「原神 (Genshin Impact)」のチートツール「Genshin XYZ」が不正にクラックされ、配布されているとして、チートツール作者が GitHub に DMCA 削除要請を行った (TorrentFreak の記事)。

作者によればチートツール本体は DLL であり、C# で VMProtection を用いて書いた DLL ローダー内で実行する形のソフトウェアとして配布しているという。しかし、クラック版はローダーをクラックして DLL を取り出して独自のローダーに組み込み、「GenshinPublic」という名称で配布されているとのこと。

チートツール自体が DMCA 迂回禁止条項違反で訴えられることも多いが、作者は GenshinPublic がローダーによる技術的保護手段を迂回していると考えているようだ。一方、GitHub では迂回禁止条項違反の主張が有効かどうか確認できないとしつつ、削除要請の著作権に関する主張は有効だと判断し、GenshinPublic を削除している。

フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 6 日、Google と YouTube、Facebook の cookie 保存に関するユーザーインターフェイスがフランスのデータ保護法に違反しているとして 12 月 31 日に制裁金を科したことを発表した (ニュースリリース [1]、 [2]、 [3])。

いずれの場合も cookie を一括して許可するボタンが用意されているのに対し、一括して拒否するボタンが用意されていない点が問題視された。これにより、1 クリックですべての cookie を許可できるのに対し、すべての cookie を拒否するには数クリックが必要となる。そのため、拒否する方の操作を故意に複雑にし、許可する方を選ばせようとしていると判断したとのこと。

制裁金額は Google LLC に 9,000 万ユーロ、Google Ireland Limited に 6,000 万ユーロ、Facebook Ireland Limited に 6,000 万ユーロ。各社が cookie により収集したデータから広告で間接的に得る利益に対して適切な金額だという。各社には修正のための猶予が 3 か月間与えられ、それまでに修正を行わない場合は 1 日遅れるごとに 10 万ユーロの制裁金を科すとのことだ。

あるAnonymous Coward 曰く、

中国当局がゲーム規制に舵を切ったことは既に報じられているが、新作ゲームが2021年7月末から1件も承認されないため、実に約1万4000社ものゲーム関連会社が閉鎖に追い込まれたことを香港のSouth China Morning Postが報じている（South China Morning Post、電ファミニコゲーマー、Engadget）。

影響はゲームの製造元だけでなく、マーチャンダイジングや広告・出版に関わる企業を含む関連企業にも及んでいるとされる。このためTikTokを運営するByteDanceや中国検索大手のBaidu、Tanwan Gamesなどの大手企業は、ゲーム事業に関わる多くの従業員を解雇したそうだ。その一方で業界トップのテンセントなどは海外市場に経営資源を投入しているとしている。

米国では 2022 年 1 月 1 日、1926 年に出版された文学・音楽等の著作物がパブリックドメインとなったほか、1923 年よりも前に出版された推定 40 万点の録音物がパブリックドメインになった (Public Domain Day 2022、 The Verge の記事)。

Public Domain Day 2022 では新たにパブリックドメインになった文学作品として、以下の 13 作品を取り上げている。

• A・A・ミルン「クマのプーさん」
• アーネスト・ヘミングウェイ「日はまた昇る」
• ドロシー・パーカー「イナフ・ロープ」
• ラングストン・ヒューズ「おんぼろブルース」
• T・E・ローレンス「知恵の七柱」
• フェリークス・ザルテン「バンビ」
• ハリール・ジブラーン「Sand and Foam」
• アガサ・クリスティ「アクロイド殺人事件」
• エドナ・ファーバー「ショウボート」
• ウィリアム・フォークナー「兵士の報酬」
• ウィラ・キャザー「私の不倶戴天の敵」
• D・H・ローレンス「翼ある蛇」
• H・L・メンケン「Notes on Democracy」

米国では 1977 年までに出版された著作物の場合について、出版から 95 年の著作権保護期間を定めているため、1926 年に出版された著作物が 1 月 1 日にパブリックドメインとなった。「バンビ」は 1923 年に出版されているが、1926 年の再出版時に米国での著作権表記が行われたため、米国では 1926 年出版扱いとなっている。音楽作品でも同様、1977 年までに公表された作品には 95 年の著作権保護期間が適用されるため、1926 年に初演されたプッチーニのオペラ「トゥーランドット」も今回ようやくパブリックドメインとなった。

日本では著作者の死後 50 年または 70 年の著作権保護期間を定めており、2018 年時点で戦時加算を含めて 50 年の著作権保護期間が満了していなかった作品は 70 年間となる。そのため、「クマのプーさん」などの著作権保護期間が既に満了している一方で今年新たにパブリックドメインとなる作品はなく、「日はまた昇る」など上記作品の半分は著作権保護期間が満了していない。

日本の作家の作品でも今年パブリックドメインとなる作品はないが、青空文庫では著作者自身の希望による3作品(円城塔「鉄道模型の夜」、澤西祐典「くじらようかん」、福永信「三重塔にて」)を1月1日に新規公開しており、2日には尾崎士郎訳の「現代語訳 平家物語 01 第一巻」、3日には鴨長明作・佐藤春夫訳の「現代語訳 方丈記」を新規公開している (そらもよう)。

米国ではこれまで録音物に関しては、1972 年 2 月 15 日以降に録音された著作物のみが連邦法で保護されていたが、2018 年に成立した Music Modernization Act (MMA) で古い録音物にも著作権保護が拡大された。今回の 1923 年以前に出版された録音物のパブリックドメイン化が MMA 適用の第 1 弾であり、パブロ・カザルスが演奏したバッハの無伴奏チェロ組曲第 3 番の第 5 曲や、セルゲイ・ラフマニノフが演奏したクライスラーの「愛の悲しみ」など、多数の録音がパブリックドメインとなった。

2024 年以降は 1923 年 ～ 1972 年の録音物が順次パブリックドメインに加わっていく。保護期間は 1923 年 ～ 1946 年に出版された録音物が 100 年、1947 年 ～ 1956 年に出版された録音物は 110 年となり、1957 年 ～ 1972 年 2 月 15 日までに録音された録音物はすべて 2026 年 2 月 15 日で保護期間が満了する。

headless 曰く、

昔からある電話機型おもちゃに Bluethooth 機能を搭載したフィッシャープライス (マテル) の「Chatter Telephone with Bluetooth」で、盗聴などに悪用可能なセキュリティ上の問題が見つかったそうだ (Pen Test Partners のブログ記事、 The Register の記事)。

Chatter Telephone with Bluetooth はスマートフォンなどに接続して使用する固定電話機型のデバイスで、フックから受話器を上げて電話を受け、受話器を置いて電話を切るほか、ダイヤルを回して電話をかけることも可能だ。しかし、安全なペアリングプロセスが用意されておらず、電源を入れると電波が届く範囲でペアリングを待っている Bluetooth デバイスに接続してしまうという。

同時に接続可能な Bluetooth デバイスは1台のみだが、Chatter Telephone の電源を入れたままでペアリングしたスマートフォンを持って出かけてしまった場合など、近所にいる攻撃者がスマートフォンやPCなど自分のBluetoothデバイスを接続することが可能になる。なお、Chatter Telephone の電源を入れたままにした場合、電池切れになるまで電源が自動で切れることはないそうだ。

そのため、攻撃者は自分のスマートフォンを Chatter Telephone とペアリングし、別の回線から電話をかければ知らずに受話器を取った子供と話をすることができる。また、受話器がフックから上がった状態で着信すると自動応答するため、ペアリングしたスマートフォンに電話をかけることで盗聴が可能になる。

問題を発見した Pen Test Partners がマテルに連絡したところ、Chatter Telephone with Bluetooth は大人向けの製品であり、子供の使用は想定していないといった回答が返ってきたという。しかし、大人が飽きたら子供のおもちゃになる可能性が高く、自動応答による盗聴の問題は使用者が大人でも子供でも発生する。

子供のおもちゃによる盗聴の問題は何年も前に My Friend Cayla で発生している。Chatter Telephone の場合は受話器を上げたりスピーカーボタンを押したりしなければ電話がつながらないものの、十分に問題を回避できるとは考えられないとのこと。