事故から学ぶ

Qiitaユーザーページの「読んだ記事」を非公開に 「プライバシーに関わる」との批判受け

事故概要

業種 Blog
発生時期 2020/03/25
漏えい人数 未発表
事故概要

プログラマ向けのコミュニティサイトであるQiitaが25日、各ユーザーが閲覧した記事の傾向を分析し、第三者から閲覧できる機能をリリースした。この変更にともなうオプトアウト機能が適切に動作していなかったことや、自動的に自らの傾向が公開されていたことが、利用者から問題視され、26日にQiitaは機能の一時停止を発表した。
Qiitaは以下の通り事情を説明している。
昨日リリースしたユーザーページでは「読んだ記事」という項目に、Qiitaの記事の閲覧情報をタグの割合へと変換した情報を掲載しています。
この情報は元々投稿した記事だけではなく、読んだ記事の情報を用いることで技術スキルなどのエンジニアとしての自己表現をより広げることができるのではないか、という仮説のもと追加したものです。
リリース後のユーザーの皆様からの、「読んだ記事」の情報は個人の行動履歴であり、そのような情報の取り扱いに一層配慮すべきと言う指摘を真摯に受け止めております。早急に「読んだ記事」の取り扱いに関する社内協議を全力で進め、適切に対応していく所存でございます。

また、オプトアウトの方法のご案内に関しまして不備があり、ユーザーの皆様から行動履歴の保存を停止することができなくなっていました。深くお詫び申し上げます。
今回の「読んだ記事」は、対応方針が固まるまでは取り急ぎ非公開にいたします。
また、不備のあったブログの内容についても取り急ぎ非公開にいたします。
最後に、今後このようなことが起こらない様、アップデートや機能追加、変更に対する社内での方針とユーザーの皆様へのアナウンス方針を協議いたします。

引用元 Qiita

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19(第21条)従業者の監督 作業ルールの徹底(誤開示防止)

チェックリストにある要求ルール:

ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?

■ 推奨対策

対策:

この事案は個人情報とは何か、の定義が甘く発生したと考えられる。オプトアウトの不備はあまりにお粗末であるが、「読んだ記事」は行動履歴にあたる、という点に理解が足りず、個人情報の登録と収集時に「行動履歴を取得し公開する」という同意を得ておくべきものである。オプトアウトの対象とするには考えが足りていない。

具体例:

一言でいうと運営者側での個人情報保護意識不足、レベルの低さがこの事態を招いたと言わざるを得ない。
個人情報の利活用が許されるのは、個人情報が保護されている場合だけに限られている。利活用の条件にあたる部分の認識を改める必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。