Yahoo! JAPANがユーザーの信用度をスコア化して企業に提供するサービス「Yahoo!スコア」を開始する（ITmedia）。

各Yahoo! JAPANユーザーはデフォルトでスコア化が許可される状態になっており、拒否するには設定画面で明示的な設定が必要となる。

スコアは「本人確認」「信用行動」「消費行動」「Yahoo! JAPANサービス利用」の4カテゴリーとなっている（Yahoo!スコアのヘルプページ）。各カテゴリごとに利用データは異なり、たとえば「信用行動」ではヤフオクの取引実績やYahoo!ショッピングでのレビュー回数、Yahoo!知恵袋での投稿などがスコアに反映されるという。

提携企業がYahoo! JAPAN外のサービスでスコアを利用する場合、その外部サービスとYahoo! JAPAN IDを連係させる必要があり、ユーザーに対しては連係を許可する画面で収集されたスコアを提供する旨が表示される模様。

Anonymous Coward曰く、

Mozillaは、Firefoxを新規にインストールした環境で「サードパーティのトラッカーCookie」をデフォルトでブロックすると発表した。既にインストール済みの環境でも、数カ月のうちに自動的にブロックが有効になる（The Mozilla Blog、CNET Japan）。

以前過去記事（2018年中にサードパーティCookieが無効でもWebサービスが正常に動作するか確認を）でこの話題が取り上げられていたが、この記事内の「2019年初めにはサードパーティCookieのブロックをデフォルトで有効にする方針」という記述は誤りで、ブロックされるのは既知のトラッキング用のCookieのみとのこと（説明コメント、@d_toyboxによる指摘）。

昨年Mozillaが開始した既知の個人情報流出の影響を通知するサービス「Firefox Monitor」が、「Firefox Monitor 2.0」にアップデートされた（窓の森、Mozilla Blog）。

メールアドレスを入力すると、そのメールアドレスが過去に発生した漏洩情報などに含まれていないかをチェックできるというサービス。登録したメールアドレスに関する新たな情報漏洩が確認された場合に通知を行う機能も備える。Firefox Monitor 2.0では複数のメールアドレスを登録してまとめて監視できるようになったほか、分かりやすく状況を確認できるダッシュボードが追加された。

匿名で運営されているサイト「netgeek」が名誉棄損を行っているとしてその責任を問う訴訟が行われているが（過去記事）、この訴訟の原告らはドメイン名登録代行業者が提供しているWHOIS情報公開代行サービスについても「違法行為の隠れ蓑になっている」と主張しているという（弁護士ドットコムニュース）。

Whois情報公開代行サービスは、ドメイン名登録者ではなくドメイン名登録代行業者の情報をWHOISデータベースに登録するサービス。たとえばGMOインターネットの「お名前.com」サービスでは有料オプションとしてこのサービスが提供されている。

netgeekは運営者が秘匿されていおり、netgeekが使用しているドメインについてはWHOIS情報公開代行サービスが使われている。原告らはこれについて次のように主張しているという。

登録申請者の連絡先をドメイン登録機関に提供しないことによって、違法な活動を行っても法的責任を追求されにくい状況を作り出し、インターネットをいわば無法地帯として活用したい人たちからの依頼を集めてその利益を極大化しようとしている

一方で、昨今WHOISデータベースでの連絡先情報公開が行われないケースは増えている。たとえばJPドメインでも、JPドメインの管理を行っているJPRSが公式にWhois登録者情報非表示設定を提供している。

Anonymous Coward曰く、

WHOIS上で名前や住所、電話番号が空欄になっているのはあたかもGMOインターネットのようなドメイン名登録代行業者が正確な情報を提供していないことと関係あるかのような書きっぷりだが、GMOのコメントにも書かれているとおり、これらの情報はGDPR施行以来（少なくとも.bizでは）一律でWHOISに公開されなくなったものであり、代行業者とは関係ない。たとえばnic.bizをWHOISで調べてみれば同じように空欄となっていることを確認できる。

小倉弁護士は、WHOISに連絡先情報がほとんど公開されなくなったことを知らないのではないか。まさかとは思うが、そうとでも考えないと氏の「独自ドメインを取らなくても、情報発信はできる」「サブドメインを使えば、whoisデータベースに情報を載せる必要はありません。独自ドメインを取るのであれば、責任の所在を明らかにすべきだと考えます」というコメントの説明がつかない。本当に知らないなら不勉強だし、知ってて（法廷戦術としてあえて）誤解させるような書き方をしているとしたら不誠実のそしりを免れないと思う。

headless曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された（The Keyword、The Verge、The Next Web、Android Police）。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ（Chromium Blog、FAQ、Android Policeの記事[2]）。

あるAnonymous Coward曰く、

英政府通信本部（GCHQ）は各種メッセージングサービスで送受信されるメッセージを法執行機関などが閲覧可能にするシステムの導入を提案しているが、これに対しApple、Google、Microsoft、Facebook傘下のWhatsAppといったIT大手やセキュリティ専門家らが共同でこの提案を放棄することを求めた書簡を送付した（CNBC、CNET、ITmedia、Slashdot）。

問題となっている提案は、ユーザーに見えない形で法執行機関などのユーザーをメッセージの送受信先に追加するというもの。書簡ではこういった行為がサービスプロバイダとユーザーの信頼を損なうほかセキュリティにも問題が出る可能性があるとして反対している。

あるAnonymous Coward曰く、

英歳入税関庁（HMRC）は2017年から音声認識によるユーザー認証システムを導入しているが、このシステムで記録・使用されていた納税者500万人分の音声データを削除するという。削除の理由は、EU域内で2018年5月25日から適用されているGDPR（EU一般データ保護規則）に違反すると判断されたため。

このシステムでは利用者に音声を登録してもらうことで、利用者の声をパスワード代わりに利用できるというもの。歳入関税庁への問い合わせ効率を高めるために導入されたが、利用者に対しては登録した音声をどのように利用するかの十分な説明がなく、また音声の登録は拒否できず、登録した情報の削除もできない点がGDPR違反になるとしている（Netsecurity、BBC、Register）。

taraiok曰く、

広告プラットフォームやSNSプラットフォームによる個人のオンライン活動の追跡はプライバシー侵害として問題化されつつある。米国のワシントンD.C.では、こうした追跡をワンクリックで拒否（オプトアウト）できるようにすべきだとする法案がJosh Hawley上院議員によって提出された（Decipher、Slashdot）。

この法案は「Do Not Track Ac（トラッキング拒否法）と呼ばれ、連邦取引委員会をシステムの執行機関としており、違反した企業や人物、組織は1ユーザー当たり1日50ドルの罰金が科せられるという内容になっている。

現在多くのWebブラウザでは追跡を拒否する「Do Not Track」オプションが用意されているが、ほとんど役割を果たしていない。このオプションは訪問者が追跡を望まないことを閲覧しているサイトに通知するものの、サイト運営者がそれを尊重する義務はない。Hawley上院議員の提出した今回の法案は、違反に対して罰金を科すことで状況を改善しようとしている。

taraiok曰く、

国土安全保障省（DHS）の国境担当は、米国に出入りする旅行者に対して、令状なしでスマートフォンやラップトップPCといったデジタル機器の中身を自由に検閲できる。米上院議員の二人は超党派的な法案により、この状況を変えることを望んでいる。この二人はオレゴン州の民主党員であるRon Wyden、ケンタッキー州の共和党員であるRand.Par Paulの両氏。二人はProtecting Data at the Border Act[PDF]という法案を発表した（CNET、CNETその2、Slashdot）。

DHSによる国境での電子機器の検閲数は、ここ4年間で急増しているという。2015年には4,764件であったのに対し、2018年の検閲数は33,000件にまで増加。Ron Wyden上院議員は、「国境は頻繁に移動するアメリカ人にとって、権利のない地域になりつつある。休暇を取った、仕事のために移動しなければならないという理由で、政府があなたの電子機器を検閲することはおかしい」とWyden上院議員は声明で述べている。

米国のジョシュ・ホーリー上院議員(共和党)は23日、子供がプレイするビデオゲームでの課金プレイ提供を禁止する法案を超党派で提出したことを発表した。ホーリー上院議員は5月上旬に法案の提出計画を発表していた(プレスリリース、 法案: PDF、 FAQ: PDF、 The Vergeの記事、 Ars Technicaの記事)。

提案者はホーリー上院議員のほか、民主党のエド・マーキー上院議員とリチャード・ブルメンタール上院議員の3名。法案では未成年者向けのゲーム並びに、パブリッシャーやディストリビューターが18歳未満のユーザーの存在を知り得るゲームについて、Loot Box(ガチャ)やPay-to-Win(ゲームの有利な展開を可能にする有料アイテム)の提供を禁じる内容となっている。対象が非常に幅広くなっているが、FAQによるとLoot BoxやPay-to-Winを提供する場合は未成年者がプレイできないよう制限をかけるべき、ということのようだ。

一方、入手に必要な金額が固定されており、ゲームの展開を有利にしない追加コンテンツや、通常よりも難易度を高くする追加コンテンツなどの提供は認められる。なお、課金アイテムの影響に関する報告書の提出を連邦取引委員会(FTC)に義務付ける条項も法案には盛り込まれており、こちらではLoot BoxとPay-to-Win以外の追加コンテンツも調査対象に含まれている。

taraiok曰く、

Facebookにはアップロードした写真から人物を認識してタグ付けする顔認識機能が実装されている。この機能はデフォルトで有効にされているものの、オプトアウト（利用拒否）もできるとされる。ところが消費者団体Consumer Reportsの調査によると、すべてのユーザーがオプトアウトできるわけではないという。調査によると、米国では31人中8人、約25％のアカウントに顔認識に関連する設定がないことが見つかった（The Daily Dot、Slashdot）。

Consumer Reportsのテストの責任者であるBobby Richter氏によると、現時点では少数のアカウントでしか調査していないため断言はできないものの、広い範囲で同様の問題が起きているのではないかと考えられるという。

米サンフランシスコ市で、警察など公共機関に対し顔認証技術の使用を禁じる条例案が可決された（BBC、朝日新聞、ウォール・ストリート・ジャーナル）。

米国ではすでに法執行機関が顔認識を活用しているほか（過去記事）、コンサート会場においてストーカーを検出するために顔認識技術が使われていた事例もある（過去記事）。

サンフランシスコ市が顔認証技術を禁じた理由として、「恩恵よりも市民の権利や自由を侵すおそれのほうが大きい」ことが挙げられている。企業や連邦政府は対象外。

あるAnonymous Coward曰く、

Googleは先日利用者のプライバシ保護強化に関する発表を行ったが（朝日新聞）、これに関する詳しい情報がGoogle Japan Blogにて公開された。ただ、うまく言葉が選ばれていて「あなたのアカウントから削除」という表現がブログ記事で使われている。

つまりアカウントからは削除されるが、完全にグーグルのデータベースから削除するとは書かれていない。アカウントに関連付けされない状態でグーグルが永久保存している可能性があるトラップ。やっぱ信用ならないわ。

発表内容としては、プライバシ設定画面を「見つけやすく、使いやすい」ように改善したほか、履歴をブラウザやデバイスに保存しない「シークレットモード」をブラウザ以外にも導入するとしている。一方でこうした対策に対しては「ユーザーへの責任転嫁」という指摘も出ている。

GoogleがGmailアカウントに着信したレシートメールを元に、ユーザーに無断でショッピングなどの履歴を収集してリスト化していたようだ。リストを閲覧できるのはログインユーザーのみだが、利用状況によっては何年にもわたる履歴が蓄積されていたという(CNBCの記事、 The Vergeの記事、 Mashableの記事、 SlashGearの記事)。

収集された履歴は「Googleアカウント」ページ(要ログイン、以下同)の「お支払いと定期購入」セクションで閲覧できる。このセクションには「購入」「定期購入」「予約」というサブセクションがあり、それぞれショッピング履歴、サブスクリプションサービスの支払い情報、旅客機やホテルなどの予約履歴が格納されている。個人的にはオンラインショッピング時の連絡先にGmailアカウントを使用したことはないが、航空券の予約に一度だけ使用したことがあったようで、「予約」セクションに履歴が2件(往復)保存されていた。

「購入」セクションではオンラインショッピングに限らず、実店舗で購入した場合にもレシートメールが送られてくる場合は収集の対象になるようだ。SlashGearによると、収集が行われるのは個人用Gmailアカウントのみで、G Suiteアカウントでは受信トレイにレシートメールがあっても収集されなかったという。また、ユーザーが電子商取引サイトを通じて商品を販売した場合にも購入として収集される問題もみられたそうだ。

Googleではユーザーが購入や予約、サブスクリプションを一か所でまとめて管理できるようにこのセクションを作成したとし、これらの情報はいつでも削除でき、Googleが広告の表示に利用することもないと述べたという。しかし、収集された各項目を削除するには対応するメールを削除する必要があり、履歴のみを削除することはできない。Googleは収集を無効化することも可能だとCNBCに伝えたが、CNBCでは説明された場所に該当するオプションは見つけられなかったと述べている。

多くのユーザーにとってGoogleアカウントページを開く機会は少ないと思われ、購入履歴の存在に気付かないユーザーも多いだろう。そのため、ユーザーの利便性のために作成したというGoogleの説明は納得のいくものではない。ただし、Googleではユーザーによる管理を容易にするため、設定の改善を検討しているとも述べているとのことだ。

Facebook傘下のWhatsAppが提供するメッセンジャーアプリ「WhatsApp Messenger」でリモートからのコード実行が可能な脆弱性CVE-2019-3568が見つかり、修正版が公開されている(Facebookのセキュリティアドバイザリー、 The Guardianの記事、 Neowinの記事、 Android Policeの記事)。

Facebookによると脆弱性はWhatsAppのVOIPスタックに存在するバッファーオーバーフローの脆弱性で、特別に細工した連続するSRTCPパケットをターゲットの電話番号に送信することでリモートからのコード実行が可能になるという。ターゲットが応答する必要はなく、着信させるだけでコードが実行されるようだ。Financial Timesの記事によると、この脆弱性を悪用してスパイウェアをインストールするコードをイスラエルのNSO Groupが開発しており、既に攻撃が確認されているとのこと。

脆弱性はAndroid版のバージョン2.19.134やiOS版のバージョン2.19.51などで修正されており、最新版への更新が推奨されている。