水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > LAWSON Wi-Fiのオモシロ利用規約と情報収集

LAWSON Wi-Fiのオモシロ利用規約と情報収集

2012年4月8日(日曜日)

LAWSON Wi-Fiのオモシロ利用規約と情報収集

公開: 2012年4月15日14時5分頃

こんなお話が……「ローソンと付き合うには友達を捨てる覚悟が必要 (takagi-hiromitsu.jp)」。

LAWSON Wi-Fi (www.lawson.co.jp)の話ですが、サービスとしては、ローソンの店内でWi-Fiにつながり、独自のコンテンツが見られたりするもののようです。認証してログインすると何か会員の個人情報が見られるとか、そういうものではなさそうです。

似たようなサービスとして、任天堂がやっているニンテンドーゾーン (www.nintendo.co.jp)というものがあります。ニンテンドーDSやニンテンドー3DSを持って行けば、特にパスワードも求められずに誰でも接続できます。こういう場合、アクセスしているのが誰なのかを厳密に知る必要は特にないでしょう。権利者でない人にフリーライドされるのは問題でしょうが、コストをかけて排除するほどのこともない、という判断もできます。

と考えると、厳密な認証はしない、という判断もできるところです。

そして高木さんも、認証が甘いことを問題にされているわけではないのですね。

少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。

「無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許される」という考え方をするのはまあ良いのだけれども、認証の体をなしていないものを「ログイン」という名前で呼ぶのはやめてほしい、というお話です。

そして最もインパクトが強いのが、利用規約の話。

ローソンアプリの利用に際しては、以下の行為を禁止します。

1)(略)

10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。

他人に電話番号や生年月日を教えることが禁止されているという。ローソンはいったい何の権利があってこれを禁止しようとしているのでしょうか。あまりに異常な規約です。

このような利用規約を起案した人、そしてチェックした人もいただろうと思うのですが、おかしいと思わなかったのでしょうか。とにかく何でも禁止しておいて自社に有利なようにしておけば良い、という考え方なのかもしれませんが、むしろ「利用者のことを何も考えていない」という印象を与えることになってしまい、リスクを招いてしまっています。

と、ここまではまあ、シニカルな笑い話のような感じですが、笑えないのがその後の話。

ところで、問題はこれだけではなかった。

このローソンアプリ、利用規約の「利用記録の保存」のところに書かれているように、IMEIを送信するものとなっている。(さらには、IMSIまで送信すると書かれている。)

(~中略~)

MACアドレスも送信しているが、これは公衆無線LANの自動接続機能を提供する限度で送信が許される(MACアドレスの本来の使い方*3)唯一のもので、それ以外の、Android ID、IMEI、SIMのシリアル番号、IMSIは全く必然性がない。(特に、IMSIは契約者識別番号であり、端末の情報ではなく個人の情報である。)

ここまで数々のIDを根こそぎに送信するアプリは初めて見た。取れるだけ盗っておけという調子で、悪質極まりない。

オモシロ利用規約のインパクトが強すぎるせいで印象に残りにくくなっていますが、むしろこちらの方が大きな問題でしょうね。

関連する話題: セキュリティ / プライバシー

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト