FacebookがBusiness Insiderに対し、最大150万人のユーザーがサインアップする際に使用した電子メールアカウントから連絡先情報を無断収集していたことを認めたそうだ(Business Insiderの記事、 Mashableの記事、 The Guardianの記事、 SlashGearの記事)。

問題発覚のきっかけとなったのは、一部の電子メールサービスのアカウントを使用してFacebookにサインアップする際、電子メールアカウントのパスワード入力が求められると3月末に指摘されたことだ。パスワード入力が求められていたのはYandexなどoAuthに対応しない電子メールアカウントを確認するためとされていたが、批判を受けてFacebookは電子メールアカウントに送信したコードによる確認へ変更している。

ところが、変更前にBusiness InsiderがYandexで作成したアカウントを使用してFacebookへのサインアップを試したところ、パスワード入力後に「連絡先をインポート中」といったタイトルでキャンセル不能なダイアログボックスが表示されたのに続き、連絡先がなかった旨表示されたそうだ。Facebookによれば、電子メールパスワードによる確認とともに連絡先をアップロードするオプションを2016年5月以降削除したが、アップロード機能自体を削除しておらず、一部のユーザーが意図せずサインアップ時に連絡先をアップロードする結果となっていたようだ。

連絡先アップロード機能は電子メールパスワードによる確認処理の廃止に伴って機能しなくなったとみられるが、Facebookによれば最大150万人のユーザーが影響を受けるという。連絡先情報がアップロードされていたユーザーには個別に通知するが、連絡先情報は誰とも共有したことはなく、削除中だとも述べているとのことだ。

なお、Facebookが3月に数億人分のパスワードが可読状態で保存されていたと発表した際、影響を受けるInstagramのユーザーを数万人としていたが、18日にブログ記事が更新され、影響を受けるInstagramユーザーの数が数百万人に変更されている。

headless曰く、

Mozillaは15日、iOSデバイスの広告識別子を月1回変更するようAppleに求める署名キャンペーンを開始した（キャンペーンページ、The Mozilla Blog、BetaNews、Mac Rumors）。

MozillaはAppleがユーザーのプライバシーを守る素晴らしい記録を保持していると称賛したうえで、iPhoneの広告識別子機能はAppleが使用する最新のスローガン「Privacy. That's iPhone」を少し真実味のないものにすると述べている。広告識別子はユーザーの興味関心に基づく広告を配信できるようにするものだが、広告主がユーザーの行動を追跡してプロフィールを作成することも可能になる。Mozillaによれば買い物中に一人の販売員がすべての店へついてきて何を見たか記録しているようなもので、まったくプライベートではないという。

広告ID機能は設定で無効化できるが、多くのユーザーはその機能が存在することすら知らないとし、緩和策としてAppleが端末ごとの広告IDを毎月変更することを提案している。これにより、ユーザーは関連性のある広告を受け取ることができる一方、企業が長期にわたってユーザープロファイルを作成することは回避できるとのこと。Appleが月1回の広告ID変更を採用すればiPhoneのプライバシーが向上するだけでなく、ユーザーが企業にデフォルトでプライバシー保護を求めているとのメッセージをシリコンバレーの企業へ送ることにもなるとのことだ。

iOS 12.2ではSafariの設定で「モーションと画面の向きのアクセス」を明示的に有効にしないと、Webブラウザで実行されるスクリプト内からのモーションデータの取得ができなくなているという（@ikkou氏のTweet）。これにより、Webブラウザ上で動作するVR/ARコンテンツで問題が発生する可能性があるようだ（Qiita）。

この変更は、ユーザーのプライバシ保護強化のために行われたと見られている。しかし、この設定がオフになっていた場合、たとえばiPhoneの動きに応じてコンテンツ表示を変更するようなコンテンツがそのままでは動作しなくなるため、Webブラウザ上でVR/AR体験を提供するWebVRやWebARの普及に水を差すのではないかとの声が出ている。

なお、モーションセンサなどの利用についてはFirefoxも過去にプライバシーリスクがあるとしてAPIを非推奨にする計画を明らかにしていた（過去記事）。

あるAnonymous Coward曰く、

米国の法執行機関が、Googleが蓄積している位置情報データを犯罪捜査目的で要求するケースが増えているという（ITmedia、CNET Japan、Engadget日本版、New York Times Slashdot）。

位置情報データの要求は場所・時間を指定した「ジオフェンス令状」という令状で行われているとのこと。Googleはこの令状による要求に対し、その条件を満たしたデバイスの情報を匿名化して警察などに提供するという。警察はこれを分析して事件に関係のある端末の情報を絞り込み、その後改めてGoogleにその詳細な個人情報を要求するという。

現在、位置情報データの要求は1週間に180件ほど行われているとの証言もあるそうだ。一方でGoogleはそれぞれの要求に対し、正当なものかどうか検証してから返答しているという。

headless曰く、

1月1日～3月28日にかけてMicrosoftが提供する電子メールサービス（outlook.com/msn.com/hotmail.com）に不正アクセスがあり、影響を受けるユーザーにMicrosoftから通知が送られたことが先週話題になっていたが、当初の報道ではアクセスされていないと考えられていたメッセージの内容にもアクセスされたユーザーがいるようだ（Motherboard、The Verge、On MSFT、SlashGear）。

不正アクセスの原因はMicrosoftのサポート担当者の認証情報が奪われたことで、これによって外部の人物が一部のユーザーの電子メールアカウントに対し不正にアクセスできる状況になっていたという。当初の報道でメディアが入手したMicrosoftからの通知では、攻撃者がアクセス可能だった情報としてユーザーの電子メールアドレスや送受信した電子メールのタイトル、送受信相手の電子メールアドレスが挙げられており、メッセージ本文は除外されていた。Microsoftによれば、影響を受けるユーザーはコンシューマー向けアカウントのごく一部で、侵害された認証情報は既に無効化して攻撃をブロックしたとのこと。

しかしMotherboardの情報提供者によると、Microsoftサポートアカウントはほかの従業員よりも高い権限があり、この方法で不正アクセスした場合は電子メール本文も閲覧可能だという。情報提供者からは「Email Body」というラベルに電子メールのボディー部分が表示されたスクリーンショットも提供されたとのこと。このスクリーンショットを添えてMotherboardがMicrosoftに問い合わせたところ、影響を受けたユーザーのおよそ6%が電子メール本文を閲覧された可能性があり、該当するユーザーにはそのような内容の通知を送っているとの回答があったそうだ。Motherboardの情報提供者は不正アクセスが行われた期間を少なくとも6か月と述べているが、Microsoftはこれを否定している。なお、影響を受けたユーザーの具体的な数については現在も明らかにされていない。

headless曰く、

PlayStation Network（PSN）では11日からオンラインIDの変更が可能になったのだが、コミュニティー行動規範に反するIDを設定すると「TempXXXXXX」のような仮IDに変更される可能性があるそうだ（英国版ヘルプ記事、The Verge、SlashGear、Gamasutra）。

仮IDへの変更は、他のプレイヤーからの報告を受けてモデレーション担当スタッフが調査を行い、コミュニティー行動規範を含む利用規約に違反したことが確認された場合に行われるという。オンラインIDを変更した場合だけではなく、アカウント作成時に設定した元のオンラインIDも仮IDに変更される可能性がある。該当のヘルプページは欧州ほぼ全域や中東の一部などの各国・言語版PlayStationサイトで公開されているが、日本や米国を含むアジア（インドを除く）や米州の各国・言語版では見つけることができなかった。ただし、オンラインIDの変更方法ではコミュニティー行動規範を含む利用規約に沿うよう求められており、コミュニティー行動規範ではオンラインIDの作成に際して「攻撃的、不愉快または公序良俗に反すると当社が判断する」ものが禁じられている。

オンラインIDの変更は初回のみ無料、2回目以降は税込1,000円（PlayStation Plus加入者は税込500円）となる。変更はPS4またはWebブラウザー、PS Appで設定できるが、オンラインID変更対応タイトルであっても、入手済み追加コンテンツやセーブデータなどが利用できなくなる可能性がある。このような場合には元のオンラインIDに戻すことで解決できるが、一部は回復しないこともあるという。以前のオンラインIDへ戻すのは無料だが、カスタマーサポートへの連絡が必要となる。なお、変更前のオンラインIDは何度変更してもすべて保持され、他のプレイヤーに使われることはない。そのため、コミュニティー行動規範に違反しないものであれば、過去に設定した任意のオンラインIDへ戻すことが可能とのことだ。

あるAnonymous Coward曰く、

ファミリーマートはTポイントの大口ユーザーであったが、所有する約15％のTポイント・ジャパンの株式を、すべてカルチュア・コンビニエンス・クラブ（CCC）側に売却することを4月10日に発表した（日経xTech）。

ファミリーマートでは「dポイント」「楽天スーパーポイント」も導入されることによるもの。なお既にファミリーマートではd払い、Rpay、Paypalが導入されている（ファミリーマートの「ご利用可能な決済サービス」ページ）。

もう一つの大口ユーザーであるソフトバンクグループも、Yahoo!ショッピングで付与されるＴポイントをPayPayに変更することを発表している（Yahoo!ショッピング）。

BitTorrentで違法にアニメやテレビ番組をネット配信していたとして、三重県四日市市の韓国籍会社員が著作権法違反の疑いで逮捕された（NHK、日経新聞）。

動画公開者のアカウント情報やIPアドレスから容疑者が特定されたとのことで、アニメやテレビ番組など計約170作品をBitTorrentを使って公開、不特定多数がダウンロードできる状態にしていたという。容疑者は「自分が編集した動画をみんなに見てほしかった」と容疑を認めている。

日本音楽著作権協会（JASRAC）が収集した著作権使用料を権利者に配分する際、分配額を統計的に決める「サンプリング方式」を止め、使用された楽曲すべてを元に配分比率を決める「センサス方式」に全面的に切り替えるという（弁護士ドットコムニュース）。

JASRACでは利用形態毎に異なる分配の仕組みを採用しており、テレビやラジオなどの放送では各放送局が使用した楽曲をJASRACに報告し、それを元に使われた楽曲の権利者に使用料を分配する仕組みになっている。一方でライブハウスやバー、レストランなどの飲食店や宴会場での楽曲仕様については、「統計学に基づいて一部の契約店舗の利用曲目を調査するサンプリング方式」が主流だった（JASRACの「ライブハウスでの生演奏など」ページ）。この場合、利用された楽曲のうち一部のみが調査対象となるため、楽曲が利用されたにもかかわらず著作権料が分配されないことがあるとして権利者からは批判の声も上がっていた。

あるAnonymous Coward曰く、

Apple Musicのストリーミングサービス上で、香港の人気歌手ジャッキー・チュン（張學友、Jacky Cheung）の楽曲が検閲対象となったという（GIZMODO、Slashdot）。

問題の曲は「Ren Jian Dao」で、1989年の天安門事件に対する抗議の意志を込めたものだとされる。今年の6月に天安門事件は30周年を迎えることから、中国共産党によって検閲されたとみられている。

Apple Musicでの検閲はこれだけではなく、たとえばAnthony WongやDenise Hoというアーティストの楽曲も検閲対象になっているという。これらアーティストの楽曲は中国以外では購入可能となっているといい、検閲の理由は民主主義を支持しているためだと推測されている。

中国研究者のYaqiu Wang氏はこれに対し、Appleは天安門の大虐殺に関連する歌を削除することで、中国共産党の歴史書き換えに荷担していると非難している。

Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事、 PCMag.comの記事、 SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星～5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。

英政府が、「有害な投稿」に関連するプラットフォーム企業に対する規制強化を検討している（ITmedia）。

FacebookやYouTubeなどで「有害な投稿」が放置されていることは度々批判されているが、この動きはこういったプラットフォームによる削除・投稿ブロックといった自主規制ではなく、第三者機関によって規制基準を決めてそれを守らせるというもの。

対象はSNSや各種ネットサービスを運営する企業で、独立した規制機関を設立し、規制に違反した企業や企業幹部への罰則が検討されている。違反したサービスに対する接続ブロックをISPに命じることも考えられているようだ。

この提案は12週間の討議を経て、7月1日に最終案にまとめられる見込みだという。

あるAnonymous Coward曰く、

Facebookに対してはプライバシに関する情報の扱いや偽ニュース・デマ対策などに関連してさまざまな批判が出ているが、今度はニュージーランド当局からFacebookに対する強い批判が出ている（Newsweek、The Guardian、Slashdot）。

ニュージーランドでは3月15日に銃乱射事件が発生し50人が殺害されたが、その模様がFacebookでライブ配信された。この動画はすでに削除されたが、同じものを再投稿するケースが繰り返し起きているという。また、ロヒンギャに対する虐殺についてもFacebookがロヒンギャに対するプロパガンダを広げていると批判されている。こういった状況に対し、ニュージーランドのプライバシコミッショナー、ジョン・エドワーズ氏はTwitterで「道徳的に破産している病的な嘘つきだ」「Facebookは信頼できない」などとFacebookを非難している。

人気エアバンドのゴールデンボンバーが、同バンド名義で発表されている楽曲の歌詞をSNSなどにを転載することを許可することを発表した（ITmedia、ゴールデンボンバーのボーカル・鬼龍院翔氏のブログ）。

ブログによると、氏はライブで使う歌詞の「カンペ」（カンニングペーパー）を作る際にネットで自身の歌詞を検索することがあるそうで、その際はいわゆる「歌詞サイト」などではコピペができないため個人ブログなどを参照するそうなのだが、その時に「続きはここに全部書くと鬼龍院さんに迷惑になるので載せません」と書かれたブログを見つけたという。これに対し氏は「良い歌と思ってるなら歌詞全部載っけて良さを宣伝してくれた方がよかったのに」と思ったそうで、事務所と確認して氏が作詞したゴールデンボンバーの楽曲について、権利関係的に問題のある3曲を除いて「無料のSNSに全文を載せても良い」と宣言した。ゴールデンボンバーは著作権管理をJASRACではなくNexToneに委託しているため、このような措置ができるようだ。

なお、弁理士の栗原潔氏によると、JASRACと包括契約している大手ブログサービスであれば、JASRAC管理楽曲の歌詞全文を掲載することが可能だそうだ。包括契約を結んでいるサービスとしてはアメブロやYahooブログ、ライブドアブログ、楽天ブログ等があるという。

あるAnonymous Coward曰く、

中国では個人の活動履歴から「社会信用」を評価するシステムが導入されているが、浙江省が頻繁に転職を繰り返す人物について社会的信用を低く評価するという方針を示したようだ（GIGAZINE、abcNEWS、Slashdot）。

企業からの従業員の離職を防ぐことを目的としているようだ。