個人情報の匿名化、信用できる? 125
ストーリー by headless
匿名 部門より
匿名 部門より
匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。
位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。
カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。
事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。
位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。
カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。
事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。
そもそも (スコア:5, 興味深い)
精度がそのままな位置情報≒住所≒特定個人となりうるので、
「匿名化された(精度を落としていない)位置情報」って言葉自体が矛盾している。
例えばゲイ向けマッチングアプリに由来する位置情報があってそこに一人しか居ないならば、
その場所にいる特定個人がゲイ向けマッチングアプリ利用者だと特定する情報になってしまう。
IDが固定じゃなくてもこうなんだから、IDで追跡云々以前の問題。
該当者が多数いる状態にまで情報の粒度を粗くしないと話にならない。
IDなしでも同一エリアに必ずユーザが複数居る程度までは粗くする(または少人数のデータは弾く)べきだし、
ID有りなら経路まで完全に一致するユーザが複数居るくらいまで位置情報とID有効期間を粗く短くしなければならない。
そこまでやってようやくスタート地点だと思う。
Re:そもそも (スコア:2, すばらしい洞察)
概念があることとそれが実際の場で適切に考慮されているか、容易に考慮するためのプロトコルがあり、考慮していない可能性は十分排除されるかどうかとは大分開きがありますよね。言葉を知って終わり、みたいな発言よりも現状実際どうなのか、という情報はお持ちでないですか?
Re:そもそも (スコア:1)
位置情報精度と人口密度の問題でマイノリティ云々って言うとちょっと違う。
センチメートル単位の位置情報(高度付き)ならアパート住まいの個人単位、
1世帯内の個人の居室単位で特定されるのでマイノリティもクソもない。
普通のGPS情報だと集合住宅内での世帯特定に至るかどうかってところだけど、
それでも相当数の人間が世帯まで特定されうるよ。
別のとこでも書いたけど (スコア:1, 興味深い)
Chromeでシークレットウィンドウでyoutube見てても、次に起動したとき前見ていた関連動画が出てくるのであまり当てにしていない
本気で匿名環境作るならKaliLinuxとかDockerを利用するといいと思う。
Re:別のとこでも書いたけど (スコア:1)
個人情報を気にしているのにChrome使っている時点でおかしい
Google依存を辞める所からスタートしたら?
Re: (スコア:0)
正直そこまでして匿名を求めるならインターネット使わないほうがいいんじゃないかなあ。
通販でクレジットカード忌避とかいるけどECサイト使う時点で破綻してるようなカンジ。
たまに電車でsuica使わずに切符買う人がいるけど監視カメラで全部見られてるのには意識してなさそうだし。
Re: (スコア:0)
クレジットカードとECサイト、Suicaと監視カメラに何の関係が?
Re: (スコア:0)
全て情報収集の糸口になるのをわからないのかな
Re:別のとこでも書いたけど (スコア:1)
どうして「ECサイトに情報を渡すことはいいけどSuicaに渡したくない」事がいけないの?
そんなの本人の自由でしょう。
1つのサービスにプライバシーの懸念を抱くとすぐに極論に走って「全てのサービスを使うな」と言い出す人が多いんだよね。
問題は許可していない情報が拡散される事よ。
Re: (スコア:0)
>どうして「ECサイトに情報を渡すことはいいけどSuicaに渡したくない」事がいけないの?
どのコメもそういう意味で書いてないような。
全てのサービスとも書いてない。Suicaは情報売ってるわけだし、 [yro.srad.jp]ECサイトで漏れたことは過去数え切れないほどあるし。
Re: (スコア:0)
情報収集の糸口を減らすことは意味があると思いますが。
それに得られる情報も違いますよね。
Re: (スコア:0)
個人情報を収集されることで実害があるから意識するって話だと思うよ。
そして、その情報を手にする者が信用できるか否かってのも重要な問題。
例えばメールアドレス漏れればスパム送られるし、電話番号漏れれば仕事中だろうが営業電話かかってくるし。
住所と資産状況がセットで漏れればセールスのみならず強盗や詐欺師が訪問してくるとかしゃれになっていない。
一方で駅の監視カメラの映像は再利用性が低い上にJRという信用できる相手が取得している。
まぁ、指名手配犯とかはその背後にいる警察に渡ると実害があるので嫌がるだろうけど。
Re: (スコア:0)
JRが信用できるん?ちょろすぎへん?
Re: (スコア:0)
そら、匿名化の仕組みじゃなくてブラウザの履歴消すだけの機能なんだからサーバーには閲覧情報残ってて当然だろ。
ブラウザによってシークレット/プライベートとか呼び名はそれぞれだが、新規タブにそういう説明が載ってるはずだぞ。
Re: (スコア:0)
chromeのプライベートモードは履歴を残さないだけなのか。
ならプライベートモード使うならCookieも残さない他のブラウザ使ったほうがいいね。
Re:別のとこでも書いたけど (スコア:1)
最近はCookie受入無効になってると閲覧すら出来ないサイトとか遭遇するようになったなぁ。
# 大抵Cookieが何らかの理由で壊れて閲覧できなくなってから気づく。
Re: (スコア:0)
ブラウザの履歴消すだけって、それ何か意味があるの?
何を閲覧したかをGoogleに取られているんだから意味ないしただ不便になるだけじゃん。
Re: (スコア:0)
つか情報取ってもいいんだけど、分けたくて分けてるんだから勝手に混ぜるなよと
仕事してるときにアニメ動画とか薦められても困る
Re:別のとこでも書いたけど (スコア:2)
仕事用アカウントを別に作って切り替えるもんじゃないのか?
私はデバイス自体を切り替えてるからやらないけど。
Re: (スコア:0)
フェイクまき散らすな (スコア:0)
> 通常のウィンドウで開いてた情報を引き継いでる可能性もあるので、完全に削除しないと残ったままです。FirefoxでもSafariでも同じ。
嘘です。シークレットブラウズは普通ウィンドウのCookieを引き継ぎません。
ChromeでもFirefoxでもSafariでも同じ。
> もしくはGoogleやChromeアカウントにログインしたままだと、関連付けされて意味なかったり。
それも嘘。
ブラウザ自体をGoogleアカウントにログインさせても(ブックマークの同期などのために)、
シークレットブラウズを使えばそのログイン情報は使われない。
> 数通りしかないので残るか残ら
Re:フェイクまき散らすな (スコア:1)
よし、おら、試しちゃうぞ
FirefoxでDLSiteにログインしカートを表示する。
https://www.dlsite.com/maniax/cart [dlsite.com]
元のウインドウは開いたまま、プライベートウインドウを開き、https://www.dlsite.com/maniax/cart にアクセスする。
引き継がれないことを確認した。
Re: (スコア:0)
実験のため履歴とCookieなどを削除して終了してFirefoxを再起動
↓
プライベートウィンドウでYouTubeを開いて、ジャンルはなんでもいいけど例として適当にクラシック曲の動画ページを何個か見る。(Cookieは受け入れ)
↓
別にプライベートウィンドウを立ち上げてYouTubeの適当な動画ページを見ると、右部の関連動画にクラシック曲の動画が表示されている。
↓
念のためにFirefoxを終了させて(プライベートウィンドウの仕様を信じて、Firefox終了時に履歴やCookie削除するのは設定しない)、再度開いてYouTubeの適当なクラシック曲以外の動画を見ると、右部の関連動画はクラシック曲の動画
Re:フェイクまき散らすな (スコア:1)
> 別にプライベートウィンドウを立ち上げてYouTubeの適当な動画ページを見ると、右部の関連動画にクラシック曲の動画が表示されている。
これは仕様。
全てのプライベートウィンドウを終了しない限り、プライベートブラウジングは終了とはみなされず、同じプライベートセッションとなる。
> 念のためにFirefoxを終了させて(プライベートウィンドウの仕様を信じて、Firefox終了時に履歴やCookie削除するのは設定しない)、再度開いてYouTubeの適当なクラシック曲以外の動画を見ると、右部の関連動画はクラシック曲の動画だらけになる
これは明らかにおかしい。
不具合でFirefoxが終了していないと思われる(Firefoxではよくある不具合ではある)。
この時点で Ctrl + Shift + Esc でFirefoxのプロセスが1つでも残っていたら、それが原因。
こっちの環境ではその現象は起きないので、いわゆるオマ環。
Re: (スコア:0)
ここまで誰もOS環境もブラウザのバージョンも書かずに議論しているのが面白くて仕方ない。
Re:フェイクまき散らすな (スコア:1)
俺もFirefoxでやってみた。
プライベートウインドウを立ち上げ、Youtubeにアクセスする。
検索で「惑星」と入れる。
ホルストの惑星の動画が出てきたので再生する。
プライベートウインドウをもう一つ立ち上げる。タブが立ち上がる。
新しいプライベートウインドウというかタブでYoububeにアクセスすると、動画のおすすめにホルストの「惑星」が出てくる。
上で立ち上げたプライベートウインドウという名のタブ2つを閉じる。
Firefoxをメニューから「終了」する。
Firefoxを立ち上げなおして、プライベートウインドウを立ち上げ、Youtubeにアクセスする。
先ほどと違い、動画のおすすめにホルストの「惑星」は出てこない。
ということでCookiesは保存されてないんじゃね?
Re: (スコア:0)
もう一回確認したら、プライベートウインドウはウインドウやったわ。
無意識にタブにしてたみたい。
Re:フェイクまき散らすな (スコア:1)
通常とプライベートの間で情報が洩れてる話とかトラッキングを引き継ぐ話はいくらかありますし、Cookieとキャッシュだけでは不十分です。
例えばWeb利用者の意識を高める目的でやってるEFFの実験サイト [eff.org]によると、EFF財団が知る限りのトラッキング手法で調べると私のマシン構成は完全に唯一無二、過去45日間25万件で1例もなかったようです。そんなもんなのでプライベートウィンドウに切り替えたくらいではブラウザに履歴が残るか残らないかくらいの違いにしかなりません。
本気で閲覧履歴の突き合わせから逃げたかったら、残念ながら複数のペルソナを持ってしまうしかないんではないでしょうか。IPアドレスやマシン構成が違うのはもちろん、嗜好やクリック間隔、マウスの動かし方なども異なる複数のダミー戸籍をどうにかして作り、それらのダミー人間がたまたま閲覧した風を装いつつプロキシで抜くようなSFじみた手法が必要になってくると思います。
Re:ちょっと何言っているのかわからないです (スコア:0)
ちょっとこの人、何にご立腹なのかわからんのです。
>「匿名環境」とやらを作る上で一番重要なのはIPアドレスなのでTorを使うのがまず必須。
ん-、匿名とする場合、IPアドレスも因子の一つですが最も重要という訳ではないです。
Torは確かに第三者からすると通信の隠蔽は割とかなえていますがPeerToPeer(EndToEnd)の
視点でしてみれば、受け手のサービスでは[TOR]から接続してきたという事は十分判断できます。
これだけでもTORは匿名環境に最適とは言えないです。
Telegram、Signal、etc... (スコア:1)
アカウントに電話番号が必須な匿名特化アプリの代表格もありますしねぇ
信じるものは(足元を)すくわれる良い例かと
いくら匿名化しても (スコア:1)
位置情報だと長時間滞在してるところから居住地や勤務地を割り出せてしまうよな
Re: (スコア:0)
定期的にネカフェを引っ越さなきゃ
Re: (スコア:0)
楽天モバイルを回線に使うと、Google mapでは関係ない県の地図もしくは日本地図が出る。
Re: (スコア:0)
自分より前に同じIPアドレスを使っていた人がある場所をよく見ていたらそこが中心になる。
これも流出といえば流出じゃないかなって思う。俺の自宅のおおよその位置も他人に漏れてるんだろうなぁ。
これ法的にどうなんだろ。
Re: (スコア:0)
どっちのお漏らしになるんだろうね
Re: (スコア:0)
VPNを使っているが、Googleマップを開くと俺は東京に住んでるのに初期表示が行ったこともない大阪、名古屋、長野中心の地図が出ることがあるんだよな。アメリカやイギリスの知らない街が地図の中心だったこともある。
同じVPNサービス使って接続している誰かの町単位の位置情報がGoogleのアルゴリズムのせいで他人に漏れてるww
CloudbleedならぬMapbleedだろうか。他のVPNや普通のISPや携帯回線でもGoogle通して漏れてる可能性はあるだろう。
#GoogleのWeb検索結果やYouTubeの検索結果でも同じアルゴリズム組み込んでいるなら同じ回線の他人の興味や位置情報が漏れているのかも。
#そこから上手く推測してストーカーされたらヤバいなー、同様に警察の捜査にも使えそうだし。
Re: (スコア:0)
Googleマップの初期表示の選択アルゴリズムは興味深いよな。
VPNの出口(IPアドレス)がアメリカなのに中心が中国だったり、出口がドイツなのに中心がウクライナだったりする。
共産主義国家の検閲回避に使われてるのがよくわかる。
IPジオロケーションよりも何らかの形で紐付けた利用者の位置情報を優先してるんだろうね。
Re: (スコア:0)
匿名化されていたとしても、職場と自宅を知られていたら他の行動範囲もすべて個人と結び付けられてしまいますね。聖職者の方などは職場が公開されてることも多いでしょうから、自宅が近所の人なら、位置情報から容易にどこに行ったかわかるでしょうね。尾行が楽になりましたね。
ザ・ボーイズを (スコア:0)
途中まで観て忘れてたのを思い出した。
聖人 (スコア:0)
高位聖職者は徳が高いから、匿名化したデータからも聖性を感じられるのでは?
Re: (スコア:0)
> カトリックは性的レイシストの集まりです
バイデン 「お前、グァンタナモ基地送り」
信じてない。 (スコア:0)
匿名化って、具体的にどのような匿名化をするか非公開なオレオレ匿名化が多すぎる。
Re: (スコア:0)
個人情報を抜かれている前提ならしているはずの自衛を
匿名化してると油断させてノーガード化させる商売だと思ってます
先例に学ぶ (スコア:0)
「暗号化してあるから安心」
よく見るフレーズだけど、暗号化手法もピンキリ、大手企業がヘマして漏洩した事例もある。
Adobeにお漏らしされた人は自分含めて結構いるのでは。
・Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか
https://blog.tokumaru.org/2013/11/adobe.html [tokumaru.org]
さて、匿名化とやらはどうよ? ってことだわな。
Re: (スコア:0)
LINEのE2E暗号化、どこまで信用していいのか不明だな
Re:先例に学ぶ (スコア:1)
Re: (スコア:0)
PCI DSSみたいな感じでISOやらRFC準拠とか有ればよいのだが。
日本なら個人情報保護法絡みの匿名加工情報周りがある程度参考になるのかね。
k-匿名化必須、kは100以上みたいなガイドラインとか有ると嬉しいけど、有るのだろうか?
個人的には個人情報はそもそも可能な限り収集しないし、可能なら持ちたくない情報だが。
マイナンバー送り付けてくる個人情報テロとか。
Re: (スコア:0)
PCI DSS取得企業での実際あったこと・・・
ゲイアプリで位置情報取得許可 (スコア:0)
このアプリはユーザーの位置情報を取得して「あなたの近くにゲイがいますよ」みたいなサービスをやってたってことか?
個人情報匿名化の不備を擁護する気はないが、不用意にこんな機能をONにしたまま使ってたら遅かれ早かれバレてたんじゃ……
外部にデータを売るときに匿名化処理をしてたとしても、このアプリの運営会社は覗き放題だよな。
まあ、個人情報を取得するサービス全部に言えることだけど。
最近は本人確認のためとか、多要素認証でセキュリティ強化のためとかで電話番号を要求するサービスが多くて萎えるなー。
別に後ろめたいことはないんだが、個人情報を渡してしまったら自分では守れなくなるのがイヤだ。
あと、COVID-19関係を口実にイベント会場に入るときに個人情報を登録させたりスマホに(COCOAじゃない)よく分からんアプリを入れさせたりもあったな。「じゃいいですー」って帰ったけど。
Re:そもそもGPSとは... (スコア:1)