Hatena::ブログ(Diary)

脳無しの呟き《土鍋と麦酒と炬燵猫》(旧) RSSフィード

2012/03/26

メールにまつわる話

お仕事で電子メールを利用するのが当たり前の環境に身を投じて十数年になるのだけど、同業者で数年以上同じようなことをしているにも関わらず、おかしなことをしている方を見ることがある。

スパムメール処理に追われる方

最近ではどのメールソフトでも自動的にフィルタリングしてくれるような機能があるのだろうけど、初見の怪しいメールは手動で覚えさせることが必要なケースもある。そのような状況にて「最近急激にスパムが増えたので、その対応が大変で」と愚痴る方がおりました。

普通に利用してれば急激に増えるようなことはない環境にいるわけで、一応話を聞いてみると「通報したのになぁ」という話。毎回毎回総務省にでも報告してるのかと思いつつ、さらに詳しく話を聞いてみると「スパムメールにある登録解除アドレスに連絡した上で総務省等にも連絡するようにしてます!」とかドヤ顔で言われましてうわあああああ。

雪だるま式に増えるスパムメールの原因がどこにあるのか教えましたが、目から汁が。

ケータイメアド教えるのは嫌なのに

ここ数年は本当に便利になったので、ちょっとした遅刻連絡などを駅からケータイやスマホで送ってくる方が後を絶ちません。業務連絡用の代表アドレス宛なので、参加者には当然キャリアのメアドが知れ渡ります。遅刻常習な方におかれましては、個人的事情でころころとアドレスを変更してもすぐわかるわけです。本当に便利ですね。

ところで、たまにですが上記のようなことをしている方の中にも個人的にメアド交換するとなると拒絶するようなケースがありまして、首をひねることが。個人的には教えないけど、誰が読んでいるか完全に把握していない業務用連絡用の代表アドレスにはキャリアメールを投げることのできる不思議。

かなり昔の話であるけど何が驚いたって、業務上仕方なく(業務上仕方なく!) *1 緊急で連絡取る必要の発生した方がおりまして、過去のメールを探してそのアドレス宛に「連絡ください」的なことを書いて送ったときの反応。「何で知ってるんですか?」とか、説明しないとわからないのかとか。とかとか。

プライベートなメールアドレスを知られたくないなら、他の手段を用意 *2 するとかそういうことくらいしないとダメなんだけど、どうにも境界線があいまいというか何というか。そもそも遅刻しないようにできればいんですけどね。もし連絡の必要があるなら電話すれば良いわけで。

こういう事例に遭遇するたび、たまにだけども人の気持ちがわからなくなるのでありました。

*1:業務上仕方なく!

*2:au なら au one メール使ってリダイレクトしたり。

2012/03/22

ベクターが不正アクセスされた件を受けて(追記あり)

PC を使っているとそれなりにお世話になるダウンロードサイトなのだけど、昔から Macintosh を使っている私はベクターの会員になっていて、シェアウェアの支払も行っていた。ただ、ダウンロード専門サイトの位置付けがここ数年でかなり変容はしていて、Macintosh でいえば作者のサイトからダイレクトにダウンロードするか、App Store を利用するようになっていて、個人的にベクターの存在はかなり薄れていた。

時を少し戻す。

私が利用している Web サービスに関しては昨年に棚卸しを行っていて、利用しないサービスは退会したり、利用中のものはパスワードの変更をしたりメールアドレスを含む登録情報を変更したりしていた。そして、当時利用していた古い登録用メールアドレスも削除して spam が来ないようにした次第。仕事用に独自ドメインを利用してるので、登録用のメールアドレスの作成や削除は簡単なのです *1

そうして本日、ベクターが不正アクセスを受けたというニュースを読んだ。

 ソフトバンクグループでソフト販売などを手掛けるベクター(東京)は22日、顧客情報を管理するサーバーが不正アクセスを受け、最大26万1161人分の氏名や住所などが外部に流出した可能性があると発表した。クレジットカード情報も含まれるが、悪用されたかどうかは現時点で不明という。

ベクター、26万人分情報流出も 不正アクセス受ける - 47NEWS(よんななニュース)

ここ数年はまったく利用していないし、このような事態で個人情報が漏れていても困るので、一旦ベクターの情報を変更しようと思ったのだけど……ここで使っている登録情報が先に書いたアカウントの棚卸しに漏れていた。すでに消してしまったメールアドレスで登録していたので、パスワードリセットのメールを受け取れないわけです。

仕方ないから当時使用していたメールアドレスを復活させて、それを現在利用中である1つのメールアドレスへ転送設定。そうしてパスワードリセットの手続きを行ってから、ベクターへ再度ログインして退会の手続き。退会が確認できたら、復活させたメールアドレスも削除予定(spam がすごいんだこれ)。

かなりお世話になったサイトだし、実は昔に仕事で名刺交換した方もいらしたんだけどね(現在在籍されてるかどうかは知らないけど)。ずっと利用していない状態でこの状況だと、退会しておく対応しかありません。安全が確認されてまた利用するとなれば登録しますけど *2 、仕方ないですね。とりあえずは早急の回復と情報公開を。

問題は本日の作業以前に不正に登録情報を利用されてクレジットカードが利用されてしまったかどうかだけど、明細で確認するためには再来月まで待たないとダメかもしれないということ。まぁ変な明細だったら速攻で止めるだけですが、該当する方々がおられるなら、その手のチェックは怠りなく。

2012/03/23 08:35 追記

ベクターより詳細な情報が公開されてました。

■【ベクター】不正アクセスによるお客様情報流出の可能性に関して
http://www.vector.co.jp/info/spinfo/20120323.html

流出の可能性がある個人情報は、最悪登録していた全情報。対象となる個人情報は 2008/02 以降にベクターで何かしら購入したか、オンラインゲームで課金を行ったことのある方の一部。その他詳細に関しては、必ず上記ページを確認してください。

*1:現在は面倒になっていて、Gmailエイリアスアドレスも併用して管理してます。

*2:いや、ソフトバンク系列になっているので再登録はないな。

2012/03/13

はてなブックマークボタン問題に関して(その3)

話題になってから数日後の本日、はてなからのメッセージが公開されました。これまでの経緯に関しては、以下を。

■はてなブックマークボタン問題に関して(追記あり)
http://d.hatena.ne.jp/Dullahan/20120311/1331410665
■はてなブックマークボタン問題に関して(その2)
http://d.hatena.ne.jp/Dullahan/20120312/1331556353

まずは Web 広告に関わっている私から指摘しておきたいこと

MicroAd 社は以下をどのように捉えているのか、確認したいところです。

閲覧している皆様へ

以下のマイクロアドのサイトにて「オプトアウト(クッキーの無効化)」ボタンをクリックすると、行動情報の蓄積が停止します。お手数をおかけし申し訳ございません。

はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました

上記文章の後に、MicroAd 社のオプトアウト用ページへのリンクが張られています。はてなが外部に提供したスクリプト内に第三者のトラッキング用スクリプトが記述されていたのは確かなのですが、それははてなに関わっている部分だけのものです。これをはてな側より「MicroAd 社のトラッキングをオプトアウトしてください」と誘導しています。

無論オプトアウトしたい人はするのでしょうが、それを行うことによって、はてなとは関係なく MicroAd 社のトラッキングシステム利用に合意している他サイトでも影響が出てはきませんか。これは MicroAd 社にとってかなりのペナルティですが、大丈夫なのでしょうか。

突っ込みたい

もうどこから突っ込んで良いのかわかりませんので、まずはタイトルから突っ込みます。『はてなブックマークボタンから収集した行動情報の第三者提供をやめます』となっていますが、「やめます」じゃなくて「停止することにいたしました」とか他に何かなかったのだろうか。駄々っ子が「もういいよやめてやるうわーん」とかそういう雰囲気を想像してしまうタイトルですね。

当たり前のことを書かれましても

読んでずっこけたのは以下です。

ブックマークボタン本来の目的は、「ブックマーク数が分かる」ことと、「簡単にブックマークできる」ことです。このボタンの表示から得た訪問者の行動情報を第三者に提供することは、ボタン本来の目的から考えて間違った情報の使い方でした。

当初はこうした行動情報の提供を行わない仕組みで提供開始したボタンを、途中から仕様を変更した点や、仕様変更の際に、事前に十分な告知を行わなかった点も間違っていました。

はてなブックマークボタンから収集した行動情報の第三者提供をやめます

私は前回のエントリで以下のように書きました。

世の中に向けて公開する(しかも広範囲に広がった)サービスにおいて、採用する企業や個人サイトの同意のないままに第三者のトラッキング用スクリプトを追加したことは、重大な信用問題だと考えます。基本的に公開したものは「内容を保持することが必須」で、バグフィックス等の修正でも変更されたことは目立つように告知しないといけません。

始めにあった信頼を利用して「各社各サービスにおけるプライバシーポリシーに関わる部分」を「こっそり後から追加」したことは、大罪に値すると考えます。

はてなブックマークボタン問題に関して(その2)

気が付くにはちょっと遅くないですか。私の書いた「内容を保持」というのは当然「本来想定した目的と機能の継続的な維持」という意味ですが、外部にも配布するつもりでコーディングされたスクリプトに関して、そのような意識で取り組んでいたことに驚きを隠せません。

ブログやTwitter、はてなブックマークのコメント欄などに書き込まれた皆さまのご意見を読みながら、この数日間、スタッフたちと議論を重ねました。その結果、根本的に、はてなブックマークボタンを使って、行動情報を第三者に提供する事自体が誤りである、という結論に達しました。

はてなブックマークボタンから収集した行動情報の第三者提供をやめます

数日間も掛けないと判断できない内容とはとても思えません。

除外指定ドメイン選定の経緯と不誠実さ

通常版スクリプトには除外指定されているドメインが列挙されていたのだけど、その経緯もいただけない。

ボタンの設置をお願いするなどのやりとりの中で、本行動情報の取得除外をご希望されたサイト運営者様については、除外ドメインリストとして実装いたしました。

はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました

どういうことかというと、はてな側よりはてなブックマークボタン設置を依頼した企業が数社あって、そこで拒絶された企業に関しては除外指定ドメインとしてスクリプト内に記述したということになります。その他の「便利だから使ってみよう」と導入実装したサイトに関しては何のフォローもしない状態を認識して……。

はてなは2011年9月1日より、はてなブックマークボタンから行動情報を取得し、株式会社マイクロアドに送信していました。その際、はてなブックマーク日記では送信の事実や無効化(オプトアウト)の方法を告知せず、以下の2つのページで情報を公開しました。

  • はてなブックマークボタンの作成・設置について
  • はてなブックマークボタンを表示する
はてなブックマークボタンを設置していただいているサイト運営者様や、閲覧者の皆様へのお知らせが十分ではなく、期待に反して行動情報を収集し、第三者へ送信しておりました。

はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました

はてなからアプローチしなかった企業や個人サイトは完全にスルーした状態(つまりは「黙っていてもわからないだろう」という認識)でスクリプトの改ざん(あえてこう書きます)に踏み切ったわけです。昨年の改ざん後から導入しようとした企業や個人のサイトでは、(一応注意して確認すれば)通常版かオプトアウト版の選択ができたわけです。しかし、改ざん後に導入実装したサイトの関係者が、それ以前に導入実装したサイト関係者に向けて「ああ、それ変わったよ」などと教えるような機会などほとんどなかったでしょう。

これを「だまし討ち」や「後出しじゃんけん」と言わずして何と言う。

今後は重要なお知らせについて、ユーザーの皆様に告知するよう徹底します。また、はてなブックマークボタンからの第三者への情報提供を行いません。

はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました

はてなブックマークボタン以外のスクリプトを利用することはあり得るということですかね。自社で作成するスクリプト内に他社へ情報を送信するというスクリプトを組み込むという行為は、以降もなされないほうがよろしいかと思います。例え告知があっても。

今後に関して

内容がどうしようもないのですが、ともかくははてなよりメッセージが出たということは良かったと思います。ただし、これではまったく終わりません。自社提供のスクリプトを自社で改ざんしたことで MicroAd 社へ流れてしまったデータの扱いです。これは不正な状態において取得されたデータなので、はてなは MicroAd に対して、そのデータの削除を依頼する必要があります。

本来であれば、取得された側(ユーザ)からの依頼を受けての作業となるのでしょうが、今回のケースは改ざんした結果の影響が大き過ぎるためにそれは不可能です(不正に取得されたため未だに知らないユーザはたくさんいる)。今回の問題における完全収束は「MicroAd へ流れたデータの削除」が必須条件です。

実際にどのような作業を行っていくのかはわかりませんし、それが困難なことであるかもしれませんが「不特定多数のユーザに変わって」削除依頼することが必要だと考えます。私は前回のエントリにて何度も「信用が大事である」ということを書きました。失った信用を少しでも取り戻すためにどう動くか、それを示して行かないと。そして、その結果を報告することが次の段階になるのだと思います。

さらに突っ込んでおくべきこと

通常版の修正を行ったということは、当たり前と言えば当たり前です。が、オプトアウト版のスクリプトも存在したままで、それを利用されることになります。大した問題ではないかもしれませんが、今後はてなは内容が同じでファイル名の違うものをメンテナンスする必要が出てきますね。

ところで今回の問題おけるはてなの対応が遅れたために、各所ですでにオプトアウト版への移行が指示された企業もあります。理由は「ソースを見られた時に通常版(のファイル名)だったら問い合わせがあるかもしれないから」という、実はとても深刻なものです *1 。通常版を修正したら解決する問題ではないということを、しっかり認識していただきたい。企業によっては制作会社に修正依頼を行って、もしかすると料金が発生している可能性もあります。

してはいけないことをやってしまったために、どれほどの影響が出ているかを調査する必要があるかもしれませんね。ちなみに、このエントリが『その3』なのは、先にも書きましたがこの問題がまだ終わっていないと考えているからです。『おわり』が来るまで頑張ってくださいませ。

*1:その手の問い合わせを行う方は、スクリプトのソースまでは確認しないか、できないことが多い。

2012/03/12

はてなブックマークボタン問題に関して(その2)

先日『 はてなブックマークボタン問題に関して(追記あり)』を書いたのだけど、一部において問題点の把握が中途半端なまま拡散されているような気がする。というわけで、前回では書かなかった部分などを。

第三者のトラッキングシステムを利用するということ

「サイト閲覧者に向けて適切で効果的な広告を出して利益を得る」というのは、昨今の Web 広告での流れです。ただ表示していれば良かった時代とは違い、さらに効率的な手法が求められています。そのため、各社はサイトへ訪れるユーザ……正確には閲覧に使用してるブラウザから得られる情報や各サイトで行った登録情報を組み合わせて効率的に広告を提供する手段を模索しています。

広告サービスを行う側(第三者側)は、その仕組みを売り込んできます。ですが、売り込まれてすぐ「ああいいですね、やりましょう」とは言いません。使用されるスクリプト等がどのような挙動を行って、どの情報を取得するのか精査します。もし、それが対象企業でのポリシーに反するのであれば、当然のことながら採用されません。

nikkei BPnet でのケース

nikkei BPnet 〈日経BPネット〉』では、ソースを確認すると MicroAd のトラッキング用スクリプトがダイレクトに記述されていることがわかります。

<script type="text/javascript">

</script>
<script src="http://send.microad.jp/js/conv0000.js"></script>

そしてこの件を含めて行っていることに関しては『日経BP社|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について』にて記述されており、オプトアウト方法に関しては別途『日経BP社|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用|オプトアウトについて』というページを用意して対応しています。

このケースにおいて、日経 BP 社は MicroAd のトラッキング用スクリプトを利用するにあたり、正式な合意があったことを示します。これを採用しているのは nikkei BPnet だけで、他の関連サイトにおいてはダイレクトで記述されていません *1

このように第三者のトラッキングシステムを利用することそのものに関しては、特に問題ありません。企業間で契約してその由をプライバシーポリシーにも記載し、オプトアウトするための方法(リンク等)を提供すれば良いと考えています。実際に、はてなも『はてなプライバシーポリシー』のページにて、第三者のトラッキングシステムに関することを記述しています(8項1)。

はてなの何がダメなのか

問題となったはてなブックマークボタン用スクリプト(通常版)の中に記述されている MicroAd のトラッキング用スクリプトは、先の例に挙げた nikkei BPnet 内に記述されているものと同じです。違う箇所は mad_partner_id の部分。ここでいろいろと区分しているようです(忍者ツールは5だし、はてなは6)。このスクリプトに関して、はてな内において、かつ規約内で施行されることであれば問題ないと思います(ただし、オプトアウト版選択の自由は欲しいかもしれない)。

問題は、この通常版スクリプトがその他サイトでも利用できるような形で配布されてしまっていたことに尽きます。配布当初は当然のことながら第三者へ情報を渡す部分の記載はなかったはずです。広告サービス側との直接の合意により採用した仕組みですが、はてな以外のサイトでブックマークボタン用スクリプトを設置した企業や個人は、MicroAd 社への情報提供に同意しているとは限らないのです。

さらには、先日のエントリで書いた jquery.socialbutton.js の件。こちらのスクリプトを使うとソーシャル系ボタンの設置が簡単にできますが、これをコーディングした方は現在このようになると思っていたわけではないでしょう。そして、このスクリプトは(先日のエントリでの例として挙げた)自民党公式サイトで使用されていたということになります。他にも jquery.socialbutton.js を利用したサイトを作成している方々がおられるようなら、是非確認していただきたい。

このケースでは1クッション挟まりましたが、結果的に、自民党は公式サイトへ JavaScript を有効にしてアクセスした方々の情報を MicroAd へ流してしまったことになります。この件に関しては関係者を通じて即時修正していただきましたが、当然のことながら MicroAd と合意した事実はないし、そのようなことになっているとは考えていなかったようです。

自民党のケースのように、一度実装したら「安心して使い続けることができると考えていた」サイトは全滅です。サイト制作をどこかの会社に委託しているようなケースはたくさんあるでしょうが、採用したスクリプトのソースが知らぬ間に変更されて「プライバシーポリシー」に関わる部分が追加されていたとしたら……。

私が主張したいこと

先日のエントリでも書きましたが、世の中に向けて公開する(しかも広範囲に広がった)サービスにおいて、採用する企業や個人サイトの同意のないままに第三者のトラッキング用スクリプトを追加したことは、重大な信用問題だと考えます。基本的に公開したものは「内容を保持することが必須」で、バグフィックス等の修正でも変更されたことは目立つように告知しないといけません。

始めにあった信頼を利用して「各社各サービスにおけるプライバシーポリシーに関わる部分」を「こっそり後から追加」したことは、大罪に値すると考えます。先に例として出した nikkei BPnet のように、ユーザの同意を得る手段を講じた上でサイトへ直接トラッキング用スクリプトを記述するのであれば問題はないと思います。

しかし、世の中へ向けてリリースした自社スクリプトにそれを後から混ぜるのは御法度です。

本サービス内で特に定める場合を除き、本サービス上からリンクされた第三者のサイトおよびサービスは、当社とは独立した個人情報の保護に関する規定を定めています。当社はこれらの独立した規定や活動についていかなる義務や責任も負いかねます。個人情報の提供にあたっては、各サイトの定める規約等を事前にご確認ください。

はてなプライバシーポリシー(10 項2)

他社のポリシーに関与しないと書くのは結構ですが、当然のことながら他社のポリシーを無視するようなことをしてはいけません。外部サービスを提供するのであれば、信頼を得るためにどうするべきかをいちばんに考えてください。お金儲けをするなと言っているのでありません。できるからと言って、やって良いか悪いかくらいは判断のつく企業であって欲しいと思います。

わてくし PLUS 会員なんだけども

id:jkondo さまにおかれましてはごきげんうるわしゅう。ほんと、何考えてるんですか。

*1:ITpro と日経ビジネスオンラインでは問題のスクリプトが使用されているが、除外指定により無効となっている(はず)。

2012/03/11

はてなブックマークボタン問題に関して(追記あり)

話題になっている『はてなブックマークボタンの行動履歴追跡クッキー問題まとめ【私家版】 - NAVER まとめ』なのだけど、あまりにひどいので書く。はてなダイアリーだし PLUS 会員だけど。多少は自身の仕事にも関わることだし知らない振りして良かったのかも知れないけども、無理なので私の考えていることを書く。

外部ファイルを利用するサービスに関して

昨今の流行なのかどうなのか、いつ頃からはわからないのだけども、第三者が提供する外部ファイルをそのままサイトの HTML ファイルに記述して利用するという手法がある。例えば jQuery を Google から呼び出して利用するケースもある。今回問題のケースは SNS 用のスクリプトになるのだけど、こちらも各社から提供されるファイルをそのまま自社(個人)のサイトで呼び出すように記述して利用する。

サービス提供側に設置されたものを呼び出すメリットは、提供側がそのサービスで不具合を発見した時にすぐさま対応できることなのだと思う。本来の目的から逸れることなく改善されるのであれば、それはとても大きなメリットだ。ただし、これを行うには確固たる信頼関係があればこそだ。

デメリットは当然のことながら、「知らぬ間に設置したサービスの挙動が変化」させられる可能性。最初に信用させておいて、後からこっそり変えてしまうようなことがあってはならない。私はネットを性悪説を元に考えることにしているけれど、それでもそれなりの責任を持っているであろう企業や個人は、信用されるべき行動を取らないといけないと考えているし、そうあって欲しいと願っている。せめてそれくらいは信用したいと考えている。

Web 広告の話

少し話は逸れるのだけど、Web 広告に関しても同じようなことが言える。

Web 広告というものにもいろいろあるのだけれど、例えば swf で入稿されるものがある。普通にネットを巡回していれば見ることのある、至極一般的なものだ。これを掲載するにあたりは、必ず fla ファイルの添付が必須になる。なぜなら、swf ファイル内でどのようなスクリプトがコーディングされているかを知るために必要だから。もし、fla ファイル内で使用禁止としている命令があったなら、そのまま突き返すことになる。

添付してきた fla と そこから書き出された swf ファイルが同一であるかどうかは、信用の問題になる。その気になれば逆コンパイルして調べるのだけど *1 、本来であればそのようなことはしてはならないと考えているので、信用して fla をチェックする作業を行う。基本レギューレションに関しては swf そのものをチェックする仕組みはあるけれども、最終チェックは fla で行うということ。

そうして入稿された原稿はメディア側のサーバに FTP して、そこから呼び出してサイトに掲載することになる。決してクライアントのサーバに置かれたような広告素材は掲載しない。なぜなら、広告掲載後に知らぬ間にファイルを差し替えられて掲載側が規定しているレギュレーションから外れるようなものが流されてたら困るからだ *2 。単純に素材の差し替えだけなら実害はないけれど、もし swf 内で勝手に変なスクリプトを仕込まれていたらどこが責任を取るのか。掲載する側が批難される可能性のあることを行うわけがなかろう。

だから大前提として、信用される関係を築いてからでないとスムースに広告掲載することはできないのである。広告1本を掲載するのに複数の人間が関わるのは、その信用がどれだけ大事なものか知っているからだ。

外部ファイルを利用するサービスを使うということ

Web 広告の例だけでなく、外部にあるファイルを利用するにはそれ相応の信頼関係がなければならない。「最初にリリースしたものがそのままの状態で保持される」ということが絶対の条件になる。リリースされて導入された後、もし不具合が発覚したり当初の予定を超えた機能が追加されるというのであれば、事前にそれなりの予告があるべきでそれが実行されないといけない。機能変更等の仕様に関わることであれば、事前に告知した上で別ファイルとしてリリースするべきだ。重要な問題が発生したというような事例でなければ、すでに導入されたものに対して告知なく変更を加えてはいけない(改善であっても告知は必須)。

はてながしたこと

サイトに貼り付けると簡単にブックマークできるスクリプトを公開していたわけなのだけど、昨年9月、そのスクリプトに MicroAd 社へ情報を送信する記述を追加してしまった。広告に利用するのが目的なのは明らかなのだけど、そうした上で MicroAd に情報を送信しないオプトアウト版の提供を別途行った。

これまで利用されていたスクリプトはそのままに、新規で MicroAd 用の記述があるバージョンをリリースして、利用者にも何かしらのメリットがあるような機能を追加して *3 公開すれば問題は起きなかったはずだけれども、そうはしなかった。最初にあった信用を利用して、第三者であるサービスに情報転送する仕組みをまともな告知もなく実装したことが最大の問題。

これは MicroAd 社がトラッキングしているからであるという以前の問題で、世に溢れるネットサービスにおける重大な信用問題だと考える。これがまかり通ると、安心して外部サービスを利用することができなくなる。はてなはいちばんしてはいけないことをやってしまった。このような前例は見たことがない。

どう対応するか

選択肢はそれなりにある。簡単で効果的なのは、利用を止めることだ。実際に今回の件で呆れ果てた方々はいるわけで、権限があって実行力のある人が問題視すれば「関わらない」ということで終了。ところが世間的には、なかなかそういうことができない環境もあるだろう。

はてなブックマークは、少なからず広告業界にも寄与していて、そこで紹介されてサイトの PV を上げることもできる。サイトへの流入に貢献していたサービスなので、これを捨てるには少しが時間の掛かるところもあるだろう。だからとりあえず、オプトアウト版に切り替えるという手法は知っておく必要がある。もちろんそのままで良いというならそれで良い。これは強制できるものではないし。

通常版は http://b.st-hatena.com/js/bookmark_button.js を script タグで読み込んでいるケースなので、これをオプトアウト版に変更するならば、http://b.st-hatena.com/js/bookmark_button_wo_al.js に変更すること。

サイト閲覧ユーザが対応するなら、オプトアウトするのがベストですか *4

jquery.socialbutton.js を利用しているサイトを運営されてる方へ

Twitter で自民党のサイトも通常版だったという呟きを読んで調べたのだけど、こちらの場合はサイトに直接記述されているのではなく、SNS 系のボタンをまとめた公開スクリプト内にその記述があった。jquery.socialbutton.js というものなのだけど、674 行目に修正するべき箇所がある。もしこれを使っているサイトで今回の状況を知らなかったのであれば、検討の上で対応するべき。

MicroAd 社との直接の合意でトラッキング用スクリプトが記述されているなら、それは問題ない *5 。が、当初の仕様とは違うはてなのスクリプト内に MicroAd 社向けの記述があったなら、それを知らないで採用していたサイトに MicroAd 社のオプトアウトページの紹介はないはずだ。それってどうなんですかね。

わてくし PLUS 会員なんだけども

id:jkondo さまにおかれましてはごきげんうるわしゅう。何考えてるんですか。

2012/03/12 追記

上記で例として出した自民党公式サイトですが、2012/03/12 12:03 に修正されていることを確認しました。言葉足らずな説明だったのですが、確実にするならファイル名も修正してオリジナルで上書きしないようにすることが望ましいかと思います。

2012/03/13 追記

問題点に関してさらに追記するエントリを書きましたので、よろしければお読みくださいませ。『はてなブックマークボタン問題に関して(その2)

*1:実際に挙動がおかしかったので一度だけ逆コンパイルをしたことがある。そして、その内容に対して問題提起をしたことがある。

*2:今回の事例に則して書いているので、広告の第三者配信に関しては割愛。ただしこれは企業間でしっかり契約を結んでおり、掲載側にもその由記載されているはず。

*3:利用者にメリットがないと使ってくれない。

*4:『 Web 広告における サードパーティ Cookie のオプトアウトとか諸々』で少し触れています。

*5:そうであれば、そのサイトには MicroAd 社のオプトアウトに関する記述がどこかにあるはず。というか、ないとダメ。