gistfile1.txt

プライバシーとはデータ自体の公開、非公開の制御ではない。

- データ自体の公開、非公開には大した意味がなく、リンクこそが情報の本質である
- 自己に関する情報のコントロールが失われることが、プライバシーの侵害である

1. データ自体が秘密の情報ではない

情報の性質
- 明確に本人以外には秘密にしなければならないもの → 例: パスワード
- 住所 → 単体では単なる文字列、住民基本台帳調べれば出てくる、その土地に実際に行けば調べられる
- ◯◯さんがここに住んでいる、ここに住んでいる住人はこんな人間、といった関連性によって情報に意味が発生する
- データの関連性(リンク、リレーション)こそが、情報の本質

2. 公開情報であっても、どういった文脈で参照されるのかが問題になる

mixiあしあと帳
- mixiのあしあと機能を使って、外部サイトからmixiのユーザーアカウントを特定可能という問題
- → ユーザー情報を取得可能な、CSRF脆弱性とみなすことが出来る

Facebook like jacking
- Facebookのlikeに対するclickjacking
- spam行為として流行して、Facebookが一定の対策を取った(不審なlikeには確認画面が出る)
- 実は、誰がlikeを押したのか分からないlikeと、ページ管理者から誰が押したのか分かるlikeが混在している
- 単なるspamの問題ではなく、ユーザー情報の取得が可能なclickjackingである

取得される情報が「公開情報」だから問題がない？

「問題ない」のであれば、mixiのidやfacebookのidをHTTPヘッダであらゆるサイトに送信しても平気なのか？
- プロフィールが公開情報でも、匿名でウェブを見ている時に「あなたが誰であるのか」ということが秘密の情報
- 匿名の誰か → Facebook id という「リンク」が保護すべき情報であって、プロフィール情報自体が非公開なのではない
- 「自分が誰であるのか」を相手のwebサイトに知らせてよいかどうか、のコントロールが失われている

3. リンクは双方向とは限らない

公開範囲の選択は、もっぱら公開、非公開、友人にのみ公開、といった選択肢が与えられるが、実際にはもっと細かい属性がある。
- 公開, 非公開, 索引が公開, 完全一致で検索可能, 部分一致で検索可能, リコメンドに利用, etc

例: はてなスターというサービス
- URLに対してスターをつけたユーザーの一覧を表示する機能がある
- ユーザーがつけたスターの一覧は、本人にしか見れない

同じURLを見ているユーザー同士であれば、他に誰がスターをつけているのか分かるが、
そのユーザーがどんなURLにスターをつけたのかは、非公開になっている
→ 索引が公開されないことによって、公開範囲が限定されてる記事のURLに対しても、安心してはてなスターをつけられる
→ 認証がかかっているURLであっても、そのURLにスターをつけた、という情報自体がセンシティブになる可能性がある

あらゆるURLに対してリクエストを投げれば誰がどのURLにスターをつけたのかは収集が可能、だがサービスの方針として公開していない。
索引が公開される、はてなブックマークとの差別化

例: 電話番号検索
- 電話番号は「公開されません」と主張しつつ「完全一致で検索可能」
- 一致した場合は、誰がその電話番号を保有しているのか、が分かる

ユーザーのプロフィール情報に対して、電話番号が表示されない。
プロフィール → 電話番号 のリンクは無いが 電話番号 → プロフィールへのリンクがある状態

ある文脈では公開情報が、別の文脈では非公開になっている
- 公開: この電話番号の持ち主はこのユーザーである
- 非公開: このユーザーの電話番号はxxxである

プライバシーについて考えるときに「公開」「非公開」という考え方自体が不適切であり、
どういう文脈で参照されるかどうかこそがプライバシーの問題、

近代におけるプライバシーの考え方 = 自己に関する情報のコントロール

自己に関する情報のコントロールが失われている状態が、プライバシーの侵害。

公開非公開の制御ではなく、リンクの制御。

ある文脈では公開している情報が、他の文脈から参照されて平気かどうか、ユーザーに選択肢が無い
→ プライバシーに配慮していないサービス