日向夏特殊応援部隊

俺様向けメモ

OpenID とプライバシーについて

高木先生の大作である日本のインターネットが終了する日を受けて、僕の日記のコメント欄にてid:futureeyeさんから質問が来ていたので、個人的な見解としての回答をしたいと思います。

名寄せの問題


a サイトで住所氏名Eメールアドレス等の個人特定情報を入力することによって、その個人特定情報と契約者固有ID(iモードID等)とが紐付けられ、ネット上での行動履歴情報が契約者固有IDを手掛かりに収集され(名寄せされ)、その収集情報と個人とが結び付けられる。

そもそも前提として携帯キャリアが確認無く契約者固有IDを任意のサービスに対して公開するという行為と、OpenIDのようにユーザの同意の下に Relying Party ( OpenID 認証を提供されるサービス ) に対して公開するのでは話のレベルが全然違います。

とは言え名寄せと言う点ではクロールして公開されている全ページを収集すればある程度、個人を特定できますが、まぁそれは OpenID のあるなしに関わらず、そのレベルであれば仕方無い事なのは容易に想像つくことかと。

もしそれすら嫌ならば、各サービスごとに異なるメールアドレスと異なる id 文字列を用意してネットを利用するか、あるいはネットその物を使うのを止めた方が良いでしょう。

と突き放した言い方をするのも何ですが、現時点でその観点で問題なのは OpenID Provider ( Identifier の提供者 ) はユーザがいつどのような Relying Party に対して認証を行ったかを把握していると言う事です。

例えば昨日、id:ZIGOROu さんは A と言うサービスを利用して、Aと言うサービスは技術書籍に関するサービスなので…みたいなレベルの事は把握出来てしまいます。
これを OP のサービスとして何らかの形で提供するにせよ、あるいはもう一歩踏み込んで第3者に提供するなりしたい場合は、予めユーザへの告知を行い同意を得た上でと言う話になりますが、運用上いつどのRPに認証を行い、それをどういう形で許可したのかは絶対に把握してなければなりませんので、その点はやむを得ないし、OpenIDを使うという行為はそういうものだと把握して欲しいです。

大きく違う点は、

  • 携帯の方は自分の意思とは無関係に第三者に自分固有のIDが通知されている
  • OpenID は自分の意思で第三者に認証結果を通知する

と言う訳で誰がそれを行っているかの観点で話が明らかに違います。

悪徳業者とか詐欺とか

収集情報と個人とを結び付けた情報(以下「個人特定型ライフログ」という)が、悪徳業者の手に渡り、詐欺行為等のツールとして悪用される。

その「個人特定型ライフログ」と言う物が悪徳業者が自力で集められるデータかどうかで違いがあるのかなと。

もう話の繰り返しになるので書きませんけど、結論を言えばそういう事です。クロール可能なデータはプライバシーではないと個人的には思います。
万が一個人の意図に反してクロール可能になっている場合、サービス側の責任もあるのでしょうが、そこは自衛の範囲の話だと思います。

ちなみに

こうした疑問は特定の個人に寄せるのではなく、openid-jaなどのグループに寄せるなりするのが良いと思います。

最もそこで回答が得られる保障はありませんが。