当ブログのサイドバーに表示させていたはてなブックマーク(以下「はてブ」)の「新着エントリー」のブログパーツ(右図)、および各エントリーの下部に表示させていたはてブのボタンとはてブのコメント一覧(Zenbackのブログパーツの一部。Zenbackは12日の正午に「差し替えた」とのアナウンスがあったのですが)を、非表示にしました。
「はてブのボタン」の代替としては各自のブラウザのツールバーなどをご利用ください。「新着エントリー」や「コメント」の一覧は、下記URLでご確認ください。ただし、これらのページは、各ページの末尾の方で必ず読み込まれるスクリプト(はてなブックマークボタンのスクリプト)で send.microad.jp に何かを送信しているので、それが気になる方はid:Dullahanさんによる詳し目の解説などをご参照の上、対策をしてからお願いします(一番簡単なのは、「MicroAd 行動ターゲティングオプトアウト」というページで「オプトアウト(クッキーの無効化)」の手続きをすることでしょう。リンク先のページでボタンをクリックするだけです)。
「新着エントリー」:
http://b.hatena.ne.jp/entrylist?url=http://nofrills.seesaa.net/&sort=hot
「コメント一覧」:
http://b.hatena.ne.jp/bookmarklist?url=http://nofrills.seesaa.net/
【何があったのか】
MicroAdというのはサイバーエージェント系の広告配信サービスで、「NAVERまとめ」などネット上では多くのところで見られますが、株式会社はてなとは別の会社です(第三者、サードパーティ)。はてなユーザーがはてなのサービスを使っているときにトラッキングされるのは納得済みなのですが、今回のケースはそうではなく、その第三者のcookieがはてなの提供するボタンに入って(仕込まれて)いて、誰かが(はてなのアカウントを持っていようがいなかろうが)そのボタンを貼り付けたページを表示させただけで(ボタンをクリックしようがしまいが)、その人のウェブでの行動(閲覧したページなど)を追跡する仕組みになっていた、ということです。
@SleepingSnowさんのツイートをお借りします。
簡単に言うと、はてブボタンが置いてあるサイトを「表示する」と、はてなではない他社のシステムのトラッキングが行われる。ボタン押したらとかじゃない。そしてユーザーに通知せずにサービス途中からそういう仕様に変更したという。スパイウェアじゃんこれ。
— 寝雪 (@SleepingSnow) March 12, 2012
【もうちょい詳しく】
カトゆーさんのブログが「リンク集」として網羅的ですばらしいです。
http://d.hatena.ne.jp/katoyuu/20120312/boycotthatebu
……だけで終わらせてはいけないので書きます。
何日か前、いつの間にか「はてなブックマーク」のボタンが、事前許諾なしに、行動履歴トラッキングを行うようになっていたことが、オンラインで大きな話題になりました。個人的には、週末を挟んで月曜日には運営(株式会社はてな)から説明、もしくは何らかの反応があるだろうと考えていたのですが、ないようです。
それはちょっとないんじゃないのかということで、株式会社はてなに対する「抗議」の意思表示として、月曜の夜、自分のブログから「はてなブックマーク」に関する表示をすべて消すことにしました。作業ができたのは日付が変わったあとです。(今のところ「もう使う気がしない」までは行っていなくて、「意思表示」なのですが……。)
done: ブログに表示させているzenbackで、はてなブックマークのボタンとコメント一覧を非表示に設定。(zenbackで表示されるブクマのボタンは問題のjsを読み込んでいないかもしれないが、月曜日のうちに株式会社はてなから何も反応がなかったというのはちょっと…)
— nofrills (@nofrills) March 12, 2012
done: メインのブログ nofrills.seesaa.net のサイドバーに設置してあった「はてなブックマークの新着エントリ」を表示させるブログパーツを非表示にした。(北アイルランドFAQのブログ nofrills-nifaq.seesaa.net には、これは設置していない。)
— nofrills (@nofrills) March 12, 2012
※以下、リンク先にb.hatena.ne.jpのページを含みます。これらのページは、各ページの末尾の方で必ず読み込まれるスクリプト(はてなブックマークボタンのスクリプト)で send.microad.jp に何かを送信しています。
私が最初に問題を知ったのは、3月8日、どなたかのはてブかツイート経由で読んだ「最速転職研究会」さんの「ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない」というエントリででした。
少し抜粋:
ブログパーツやソーシャルボタンの類で行動履歴が収集されるのは当たり前、と考えてしまっている人がいるようだ。最初からそういう目的であると謳って配布されている広告やブログパーツであるなら分からないでもないが、当初はそういう目的ではなかったのに後から行動履歴が収集されるようになる(しかも他社のサービスのシステム使って)、というのは異例だろう。
単にアクセスログが残るという話と、トラッキングに使われるということは明確に違う。……
(はてなとは全然関係ないのですが、この日は、Anonymous/LulzSecのSabuがFBIのスパイだったことがバレて、ネット上は大騒ぎになっていました。多くの人たちが信頼していたSabuが、昨年のある時点で当局に逮捕されてとんでもない長さの懲役刑の可能性を示唆され、司法取引をして「情報屋」となり、Anonymous/LulzSecの動向を当局に流していた、というわけで、売られたハックティヴィストにしてみれば、「信頼していたのに俺の情報売りやがって」ということになってます。はてブのボタンのトラッキング問題とちょっと似てるかも……。←強引なこじつけ)
「何が問題の本質であるか」を一言で言い表しているのは、高木浩光さんのこのツイート:
特に悪質なのは、仕掛けなしの当該ボタンが広範に普及した頃合いを見計らって、後からトラッキングの仕掛けを注入してきたこと。まさに騙し討ち。悪質極まりない。.js 埋め込みパーツが突如マルウェア化する危険性を体現している。
— Hiromitsu Takagi (@HiromitsuTakagi) March 9, 2012
丁寧に説明してくれているのは、id:Dullahanさんのこのブログの記述:
はてなブックマークボタン問題に関して(追記あり)
http://d.hatena.ne.jp/Dullahan/20120311/1331410665
(はてなは)サイトに貼り付ける……スクリプトを公開していたわけなのだけど、昨年9月、そのスクリプトに MicroAd 社へ情報を送信する記述を追加してしまった。……
これまで利用されていたスクリプトはそのままに、新規で MicroAd 用の記述があるバージョンをリリースして、利用者にも何かしらのメリットがあるような機能を追加して公開すれば問題は起きなかったはずだけれども、そうはしなかった。最初にあった信用を利用して、第三者であるサービスに情報転送する仕組みをまともな告知もなく実装したことが最大の問題。
これは MicroAd 社がトラッキングしているからであるという以前の問題で、世に溢れるネットサービスにおける重大な信用問題だと考える。これがまかり通ると、安心して外部サービスを利用することができなくなる。はてなはいちばんしてはいけないことをやってしまった。このような前例は見たことがない。
※id:Dullahanさんはこの翌日にも、さらに実例を交えて、詳しく説明してくださっています。(引用部分、パラグラフを構成するよう、改行に手を加えた。)
http://d.hatena.ne.jp/Dullahan/20120312/1331556353
始めにあった信頼を利用して「各社各サービスにおけるプライバシーポリシーに関わる部分」を「こっそり後から追加」したことは、大罪に値すると考えます。
……ユーザの同意を得る手段を講じた上でサイトへ直接トラッキング用スクリプトを記述するのであれば問題はないと思います。しかし、世の中へ向けてリリースした自社スクリプトにそれを後から混ぜるのは御法度です。
それから、id:mame-tanukiさんによる、経緯のわかりやすい「まとめ」:
はてなブックマークボタンの行動履歴追跡クッキー問題まとめ【私家版】
http://matome.naver.jp/odai/2133135680730086201
次のように「問題点」が整理されています。
問題点1 サイト閲覧者の事前承諾なしで広告表示用の行動情報を取得して良い事例なのか?
問題点2 ボタン設置済みサイトに事前通知なく、後から行動情報を取得する機能を追加
問題点2.5 ボタン設置サイトの中でも一部大手サイトは、例外として行動情報の取得対象外となっている
問題点3 はてなは、個人が特定されうる情報を収集していることを説明していない
問題点4 はてなブックマークボタンは、インターネット広告推進協議会(JIAA)のガイドラインを遵守しているのか?
その上で、次のような対処法(詳細はリンク先で):
【対処法】ボタン設置サイト閲覧時に、行動情報を収集されないためには
→MicroAdのオプトアウトで同社のCookieを無効化する ※上述
【対処法】ボタンを設置した自分のサイトで、閲覧者の行動情報を収集されないためには
→はてなが用意している「オプトアウト版」のボタンを使う
それから、emo.tamさんの下記の「まとめ」も有益です。1ページ目にこれまでの経緯、その後はネットのことについて知識のある方々(高木浩光さん、徳丸浩さんはじめ)の対応とコメント……という構成。
というわけで、私は特に背景となる専門知識もない一利用者ではあるけれど、「これはひどい」ということではてブ関連のブログパーツなどのこのブログでの表示をやめた次第。はてブの利用自体もちょっと変更すると思います。北アイルランドのニュースのクリッピング(タグで管理している)ができなくなるのは、ちょっと痛いけれども。
http://b.hatena.ne.jp/nofrills/
はてなによるはてなのサイト内での行動のトラッキングについては、id:mame-tanukiさんのブログを参照:
http://d.hatena.ne.jp/mame-tanuki/20120311/privacypolicy
記事のクリッピング(現在、はてなブックマークはこのトピックについてのみ、更新しています)
http://b.hatena.ne.jp/nofrills/boycotthatebu/
※この記事は
2012年03月13日
にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。
【ブログ関係の最新記事】
- トラックバック機能提供終了のお知らせ(Seesaaブログ全体)
- dlvr.itからTwitterへフィードする場合の画像の設定を変更する方法につ..
- Twitterfeedが終わってしまったので、Dlvr.itに乗り換えた。
- 9年前に提供開始された「AFP BBの記事の転載(引用)」のツールがサービス停止..
- ブログ更新時、Twitterに自動フィードする際のツイート末尾に、文字列を書き加..
- Twitterの「カード」などで表示されている当ブログの「見出し画像」について。..
- Seesaaブログさんで新たに提供されている「関連記事表示機能」を設定した。
- 「便利だから」と使っているツールに、どんどん時間を吸い取られるのはかないません。..
- わかりやすいところにしつこいほどリンクをしてあるのを読みもしていないかもしれない..
- 各記事の下に、アップロード日をでかでかと表示するようにしました。