セブン＆アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した（発表PDF、ITmedia）。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行ったという。

一方でこれに関連して複数のトラブルが発生しているようだ（Togetterまとめ）。その中でも大きいものとして、パスワードを再設定しようとして誤って新規にアカウントを作成してしまい、7payの残高やクーポンが消えてしまったように見えるという問題が話題となっている。なお、セブン＆アイ・ホールディングスによると残高やバッジ、クーポンなどが消えたということはないという（ITmediaの別記事）。

また、パスワード再設定の際には生年月日と電話番号、IDの入力が必要で、これらを正しく入力するとメールでパスワード再設定メールが届くのだが、このメールが届かないというトラブルも発生している（Togetterまとめ）。セブンネットショッピング時代は生年月日のうち年と月のみが登録されており、この時代にアカウントを作成したユーザーについてはオムニ7への以降後勝手に生年月日のうち日がが「1日」に設定されていたという報告や、登録メールアドレスを変更していたにも関わらず初回登録時のメールアドレスにパスワード再設定メールが送信されていた、といった報告があるようだ。

Anonymous Coward曰く、

米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという（日経新聞、TechCrunch、Bloomberg、Reuters）。

容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services（AWS）のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。

Anonymous Coward曰く、

先日、7月31日を持って「JWord」プラグインのサービスが終了されることが発表されたが、JWordプラグインを提供していたGMOインサイトが提供する「E STARTアプリ」が実質的にJWordプラグインだったという話が出ている（黒翼猫のコンピュータ日記 2nd Edition）。

これによると、この「E STARTアプリ」はJWordプラグインとファイル名が同じで、単にバージョンが変わっただけのものだったという。

なお、この「E STARTアプリ」についてはいくつかのWindows向けフリーウェアにバンドルされているようだが、現在GMOインサイトの「E START」サイトにPC版の記載はなく、Android版もGoogle Play上の配信ページにアクセスできない状態になっている。また、PC向けには「E START Widget」や「E STARTデスクトップバー」というものが提供されているが、提供元が「JWord」（2016年以前のGMOインサイトの社名）になっている以外はJWordとは関係はないように見える。

Anonymous Coward曰く、

現在、ベータ版が公開されているAndroidの次期バージョンとなるAndroid Q（Android 10）では、プライバシーに重点が置かれている。しかし、電子フロンティア財団（EFF）がこれに対し、OSが依然としてユーザーよりも広告トラッカーを優先していると指摘している。

EEFによると、Android QではGoogleやサードパーティの広告主がアプリ間でユーザーを追跡できるようにする機能が継続的にサポートされており、Android Qで行われているプライバシー対策の良さが損なわれているという。さらにAndroidでは、アプリのインターネットへのアクセスをユーザーが制御できていないと指摘した。

Android Qではデバイスの識別に新たな制限を設けている一方で、Advertising ID（広告ID）と呼ばれる固有のデバイス識別子を生成し公開している。これにより、広告主が複数のアプリを利用してユーザーの行動を関連付けできる。Advertising IDはトラッキングCookieのようなもので、デフォルトではデバイス上のすべてのアプリに表示され、リセットこそ可能なものの、制限や削除はできない。

さらに、Facebookやほかのターゲティング会社は、他のプラットフォーム上のユーザーをターゲットにするため、Advertising IDのリストをアップロードすることを企業に許可しているとも指摘している（SD Times、電子フロンティア財団、Slashdot）。

政府が漫画やアニメなどの海賊版サイト対策について、改めて検討を行う方針だそうだ（時事通信）。

昨年の知的財産戦略本部・海賊版サイト対策検討会での議論は結論を出せず無期延期になったが、これに対し知的財産戦略本部の有識者会議の委員からは「一刻も早く議論を再開すべき」との声が出ているという。

人気ゲーム「グランド・セフト・オートⅤ」のオンラインモードにカジノが実装された。このゲーム内カジノではゲーム内通貨を使ってギャンブルをプレイできるのだが、一部の国では法的問題によってギャンブルのためのチップを購入できないよう規制されているそうだ（IGN、Game*Spark、GAME Watch）。

このカジノは新たに実装されたストーリーの舞台になっているだけでなく、ルーレットやブラックジャック、ポーカー、スロットマシン、競馬といったコンテンツを楽しんだり、施設内の建物をゲーム内通貨で購入することができる。しかし、Redditへの投稿によると、中国や中東ルクセンブルク、ペルー、ベトナム、韓国、ポーランド、ポルトガルなどではこれらのコンテンツが利用できないようになっているようだ。

このリストにはオンラインカジノが法的に規制されている国も含まれているが、そうでない国も含まれており、基準が分からないと言った声も出ているようだ。なお日本では規制されておらず、これらのコンテンツを楽しめるとのこと。

taraiok曰く、

BYODなどの概念が流行ったことで、多くの人が勤務先の仕事専用のスマートフォンを用意することは減った。結局は一つのスマートフォンで大半の用事が済んでしまうことが分かったからだ。しかし、Mediumの記事によるとそれは危険な行為であると警告する。仕事用のメールアカウントが、バックグランドであなたを監視している可能性があるためだ（Medium、Slashdot）。

スマートフォンに仕事用の電子メールアドレスを追加すると、MDMプロファイルのインストールが求められることがある。MDMには、電子メールサーバの設定や資格情報とその鍵などが含まれている。多くの人はそれを盲目的に受け入れてしまうだろう。しかし、MDMプロファイルとデバイス管理ツールを組み合わせれば、会社は従業員の端末を追跡することも可能になる。場合によってはあなたのデータをリモートで抹消することすら可能だ。

MDMプロファイルには企業VPNのインストール機能を持たせることができる。VPNを経由して企業ネットワーク経由で通信を行った場合、その通信内容を企業側が追尾することも可能だ。Hexnode社のようなサードパーティ製のMDMツールの中には、「機器の位置情報を監視することで、従業員の業績を評価できる」、「特定の場所で過ごした時間を把握し、業績への影響を判断できる」といった点をセールスポイントにしている製品もあるという。

やや旧聞ではあるが hylom 曰く、

特に加齢フィルターが注目を集める顔写真加工アプリ「FaceApp」だが、開発元がロシア企業ということもあってプライバシーの面でも注目を集めている(WIRED.jpの記事、 BUSINESS INSIDER JAPANの記事、 iPhone Maniaの記事、 Mashableの記事)。

発端となったのはデバイス内のすべての写真を勝手に送信するのではないかとの疑惑だが、実際に通信内容を分析した結果で否定されている。FaceAppによれば、顔写真の加工はクラウド上で行われるが、アップロードされた写真は48時間以内に削除しており、サーバーは米国内にありロシアには送信していないとのこと。顔写真と個人情報がセットで収集されるのではないかとの懸念に対しては、アプリはログインせずに使用することができ、99%が非ログインユーザーだと述べている。

アップロードされたコンテンツをFaceApp社および関連会社が二次利用できるという利用規約の項目を問題視するメディアもあるが、Facebookの利用規約にも似たような内容があり、FaceAppが特別に問題視される理由はないようだ。

WIREDの記事では、このアプリに限らず、アプリを利用する際はそれらがアクセスする個人情報に注意を払うべきだとまとめている。

GoogleがChromeのデベロッパープログラムポリシーを改訂し、拡張機能の新ユーザーデータポリシーを10月15日に適用開始すると発表した(Chromium Blogの記事、 The Next Webの記事、 VentureBeatの記事)。

新ユーザーデータポリシーは5月30日に予告されていたもので、実装に必要なデータへのアクセスのみを要求することが必須化され、プライバシーポリシー公開が必須となるユーザーデータの対象が拡大される。新ユーザーデータポリシーに違反する拡張機能は10月15日以降、削除または却下されることになる。

拡張機能開発者は既存の拡張機能を調査し、より狭い範囲のパーミッションが利用可能な場合はそちらへ切り替えること、要求するパーミッションとその理由をリストアップしてChromeウェブストアの拡張機能情報ページ、または拡張機能のAboutページに掲載することが求められる。将来を見据えて現行バージョンで使用しないパーミッションを要求することは禁じられ、実際に使用するバージョンでのみ要求する必要がある。

プライバシーポリシーに関してはユーザーの個人情報や機密情報を扱う拡張機能に加え、ユーザー作成コンテンツや個人の通信を扱う拡張機能でも公開が必須となり、個人情報・機密情報と同様に適切な暗号化を行うなどデータ保護が求められる。

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイート、 Bleeping Computerの記事、 BetaNewsの記事、 Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

headless曰く、

イタリアではブロッキングにより海賊版サイトへのアクセスを大幅に減らすことに成功したが、音楽産業の課題は海賊版対策ではなく消費者を合法な無料サービスから有料サービスに移行させることだという（TorrentFreak）。

イタリアでのWebサイトブロッキングは裁判所の判断を待つことなく、通信産業の監視当局AGCOMが直接命令を出すことができる。これにより、権利者はAGCOMへ申請するだけで迅速に海賊版サイトのブロッキングが可能となる。AGCOMは過去1年間に385件のブロッキング命令を出しており、海賊版サイトへのアクセスは35%減少したという。

しかし、イタリアの音楽業界団体FIMIによれば海賊版利用者がYouTubeやSpotifyなど合法的な無料サービスへ移行しただけだといい、海賊版サイト対策の成功が収益増にはつながっていないようだ。そのため、有料の「プレミアム」サービスへの移行促進が課題となるが、「芸術は無料」との考えが根付くイタリアでは有料サービスに誘導するのは容易ではないという。実際にイタリアでの有料サービスへの移行レートは世界平均を下回っているとのことだ。

2013年、英企業がPythonの商標権を主張して騒動となったが（過去記事）、日本ではアークという企業が電子的コンテンツや教材・刊行物、コンサルティング、デザインなどの分野で「Python」の商標を2017年に出願し認められていたとのこと（Ruby開発者・まつもとゆきひろ氏のTweet、Pythonに関する執筆やコミュニティ活動などを行っている石本敦夫氏のTweet）。

アークは各種認定試験やセミナー、コンサルティングなどを行っている企業で、「【Python】Foundation／Expert／Master公認研修」という研修を提供している。PythonはPython Software Foundationという組織によって開発が行われているが、このPython Software Foundationとこの「Foundation／Expert／Master公認研修」との関係は不明。

また、アークによるとこの研修は「唯一のPython公認資格」とのことだが、この「公認」が何を指しているのか、どの組織による公認なのかの詳細はWebサイトには記載されていない。海外のPythonに関する資格・トレーニング紹介ページにこの「Foundation／Expert／Master公認研修」に該当すると思われるものは記載されていない。

なお、Python Software FoundationにはWebucatorやPython AcademyといったPython関連の研修コースを提供する企業がスポンサーとして参加しているが、アーク社の名前はスポンサー一覧ページには無いようだ。

headless曰く、

Twitterで会話に表示されないツイートについて、理由がわかりやすいようにする改善が予定されているそうだ（Twitter Supportのツイート、The Verge、9to5Mac）。

ツイートが会話に表示されない理由としては、削除・非公開・ミュートといったものがあるが、現在のところ一律に「このツイートは表示できません」という通知が表示される。今後数週間のうちに、なぜツイートが非表示になっているのか理解できるよう、各通知に状況説明が追加されるとのことだ。

7月30日にリリース予定のGoogle Chrome 76では、Webサイトによるシークレットモード検出に使われないようFileSystem APIの動作が変更される(The Keywordの記事、 Neowinの記事、 BetaNewsの記事、 SlashGearの記事)。

現行のGoogle Chromeではシークレットモード時にFileSystem APIが無効化されるため、WebサイトはAPIが有効かどうかを調べることでシークレットモードを検出できる。このような「抜け穴」を使用しているのは、一定数の記事を無料で閲覧できるメーター制課金システムを採用しているパブリッシャーだ。記事の閲覧数はCookieに保存されるため、制限を超えて閲覧する方法の一つとしてシークレットモードが使われることもあるという。Googleでは制限の迂回を避けたいパブリッシャーに理解を示しつつも、シークレットモードを検出してユーザーに対応を求めるような手法はシークレットモードを台無しにするものだと述べている。

なお、今回のブログ記事に具体的な変更内容は書かれていないが、Chromium Gerritによればシークレットモードではメモリー上に作成した仮想ファイルシステムを使用するというものだ。FileSystem APIは実質的にシークレットモードの検出にしか使われていないことから、いずれは削除も視野に入れているとも報じられていた。この機能自体は実装済みであり、Chrome 75でもchrome://flags/#enable-filesystem-in-incognitoを「Enabled」にすれば利用可能だ。

Anonymous Coward曰く、

企業などが収集した個人データを同意なしに利用する行為を独占禁止法の「優越的地位の乱用」に該当するとの指針案を公正取引委員会がまとめていると報じられている（朝日新聞、日経新聞）。

米GoogleやAmazon、Facebook、Appleといった大手IT企業はさまざまなデータを収集しているが、いっぽうで欧米を中心に個人情報を保護する動きも強まっている。日本も2018年12月に基本方針を示し、公取委が具体的な運営指針の作成を進めていた。

現在の指針案は、巨大IT企業による個人情報の収集が独禁法違反となりかねないケースとして以下の3つを示しているという。

• 本人に目的を知らせずに個人情報を取得
• サービス提供に必要な範囲を超えた個人情報を本人の意に反して取得・利用
• 安全管理のために必要な措置を取らずに個人情報を取得利用

具体的には、個人情報の利用目的をウェブサイトで知らせなかったり、利用者の個人情報を同意なく第三者に提供したりすることなどを想定している。個人情報の取り扱いに関する規約を明らかにしていても、長文で専門用語が多く利用者が理解しづらい場合は違反にあたるという。公正取引委員会は8月に公表、年内に実施する方針だとしている