公正取引委員会、Cookieや位置情報を使った個人情報収集を規制へ 28
ストーリー by hylom
適切な方向に進んで欲しい 部門より
適切な方向に進んで欲しい 部門より
公正取引委員会が、Cookieやスマートフォンの位置情報を使った個人情報の収集を規制する方針を決めたと報じられている(朝日新聞、Togetterまとめ)。
Cookieを使った個人情報収集についてはすでに欧州などで規制が行われているが、日本では現在このような規制は行われていない。
公正取引委員会が、Cookieやスマートフォンの位置情報を使った個人情報の収集を規制する方針を決めたと報じられている(朝日新聞、Togetterまとめ)。
Cookieを使った個人情報収集についてはすでに欧州などで規制が行われているが、日本では現在このような規制は行われていない。
犯人はmoriwaka -- Anonymous Coward
リクナビ (スコア:4, すばらしい洞察)
リクナビ 企業に学生へのアンケートを指南 識別情報を入手 [nhk.or.jp]でやったような、実情報とcookieを紐づけるような施策が罪と判断されるようになるわけですね。
望ましいことです。
Re: (スコア:0)
悪質なら制裁できるようにはなってほしい。うっかりさんには警告でいい。
Re: (スコア:0)
ガッツリ収集しておいて、バレたら「プログラムのバグだった」って言い訳がはかどるな。
Re: (スコア:0)
「下請プログラマーが勝手にやった」と擦り付けるんじゃないのかな?
人権ないし。
Re: (スコア:0)
やっと規制がないをいいことにやりたい放題やってきた業界に鉄槌が下るな。是非とも成立させねばならない。
朝日新聞曰く (スコア:2, 興味深い)
朝日新聞 [asahi.com] 曰く [twitter.com]
<クッキー> パソコンなどからウェブページに接続したとき、ページ側が利用者側の端末に保存する情報のこと。利用者がどんなページを閲覧したかの履歴のほか、ログイン時に入力したパスワードなどが含まれ、利用者は同じページにログインするときにパスワードなどを入力する手間が省けるようになる。
OK、俺の知ってるCookieとは違うけど、こんな邪悪なデータ保存形式なら規制すべきだ。
Re: (スコア:0)
Re: (スコア:0)
平文であろうとなかろうとCookieにパスワードなんかぶっこむのは阿呆の所業だ。
Secure属性をつければ(かつブラウザが適切に処理していれば)盗聴はある程度防げるけど、書き換えは防ぎようがないから。
少なくとも認証情報として何かしらのIDとパスワードを同時に持つような実装では意図しないIDを使わせることができるという脆弱性が発生するし、ユーザーIDではなくセッションIDをCookieに持つなら対になる認証情報がパスワードである必要は全くない。というかそんな実装する理由がない。(セッションID+ユーザーIDとかなら理解できるけど、そうすると朝日新聞の解説とは矛盾する)
個人情報の収集を (スコア:1)
そもそもの、個人情報の収集を規制すべき
かならずユーザーの同意を得ること、とかさ。
# そしてあちこちでok押す儀式が始まる
# そしてそして反射神経的無意識に押してしまう
Re: (スコア:0)
馬鹿げてる
ブラウザに機能をつけさせたほうが早い
Re: (スコア:0)
リンクにあるTogetterを見ると、公取委はそう考えてるらしいよ。
むしろCookieのみで収集してほしい (スコア:1)
Cookieなら、Cookieを定期クリアすればいいだけだが、
Cookieにたよらない方法で収集されると、ユーザー側では対処できない
ついにクッキークリッカー規制か (スコア:1)
最近注意メッセージ出すサイト出てきた (スコア:0)
最近、最初にサイトにアクセスすると、「これからサイトの利用を続けるとクッキー利用するよ」的なメッセージ出すサイト増えてきてるな。まあ、ある程度大きな会社のサイトばかりだけど。
個人的には、常にステルスモードで、そうしなかった時はブラウザ終了時に履歴削除してるから、クッキー問題はあまり大きくないんだけど。
あれは逆に迷惑で本末転倒 (スコア:1)
Cookieをブロック、またはセッションごとに廃棄していると、あの警告が毎回出てコンテンツ閲覧の邪魔になる。
Cookie警告は広告ブロッカーでもブロックできないし(サイト毎に自分で設定すればできるが面倒)、とにかく邪魔。
仕方ないので、Cookieを受け入れる設定に変更せざるを得なくなった(EUのGDPRのせいで、逆にプライバシーが侵害された一例)
Re: (スコア:0)
μMatrixでcookieをブロックしてμBlockでバナーを非表示にするという手もありますよ
Re:最近注意メッセージ出すサイト出てきた (スコア:1)
GDPR対応でしょ。
GDPRはEU内の事業者、EU内のサーバ、EUからのアクセス、
のみならず、EU居住者によるアクセスでも適用されうる。
予めそのアクセスがEU居住者によるものか判別することはできない為、
全利用者から同意を取らねばならない。
違反してもEU内で違反となるだけではあるが、
EUとの取引を失う恐れを考えると従う他ない。治外法権かよ………
普通のアクセスログにまでイチャモン付けてくるとは思いたくないが、
万が一、普通のアクセスログも保護対象データだと強弁された場合、
同意を取る以前のアクセスログを義務として保存することもできない。
多分サイト閉じるしかないね。
Re: (スコア:0)
GDPRではなくて、ePrivacy指令ですよ。
Re:最近注意メッセージ出すサイト出てきた (スコア:1)
ストーリーの件はePrivacy指令との足並み合わせと思うけど、親コメの件はGDPRだし、相補的なものなので間違いではない。
そうじゃなくて (スコア:0)
どうせ「サービスを利用するには〇〇に同意する必要があります」ってやるだけでしょ?
サービスを使いたい人は(Cookie、GPS情報の収集に)同意するしかないよねぇ。
CookieやGPS情報の提供をしなくても、提供した場合と同程度のサービスを
受けられるようにする、って感じで独禁法の観点から規制してほしいなぁ。
Re: (スコア:0)
いあー。同意できないから使わないという選択肢があるのは大事だと思うよ。
実際アプリなんかだとパーミッションによってはやっぱやめとこってなることあるもん。
Re: (スコア:0)
>CookieやGPS情報の提供をしなくても、提供した場合と同程度のサービスを
>受けられるようにする、って感じで独禁法の観点から規制してほしいなぁ。
Webサービスについては利用者側有利になりすぎてる気がする
提供側に1円の得もないのにサービスは提供しろってパターンが多すぎ
Google アナリティクスは? (スコア:0)
前に兵庫県警のサイトでGoogleアナリティクスを使っていただけで個人情報の無断収集だとニュースになりました。
https://nlab.itmedia.co.jp/nl/articles/1904/05/news117.html [itmedia.co.jp]
Googleアナリティクスの方針として「サイト内に告知すること」というものがあるのはいいとして、
個人情報の定義では「個人を識別できる情報」となっています。(現在の所)
https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf [ppc.go.jp]
Cookieではそこまでできないと思うのですが、結局この兵庫県警の件が炎上したのはGoogleの規約に反したことと
上記記事にもあるように兵庫県警のサイトに不正なリンクを張った人間を検挙したことなどとあわせてということなんでしょうか。
なんだか今ひとつ納得感がないんですよね。
Re: (スコア:0)
無限アラート事件 がトリガーでは?
Re: (スコア:0)
兵庫県警が適当な理論で捕まえたから同じ理論でもって叩かれただけ
ただの自業自得
Re: (スコア:0)
「この時間にあるwebサイトを見て、そのあとこの時間にこのwebサイトを見た人物」
という方法でも個人を識別できています。
個人情報保護法における、個人を識別できる情報という定義はそういうことです。
で? (スコア:0)
罰金の使いみちは公表すんのかね
# EU式ビジネスモデルみたいな
Re: (スコア:0)
罰金は徴収後に関係者がおいしく頂きました